跳到正文
>_ITDITDWeb 安全平台

安全指南

#安全基础#备份#ransomware#恢复#AI 时代的防备

备份基础:3-2-1 规则与抵御 ransomware 的恢复计划

「我有做备份」并不代表关键时刻真能恢复。真正能扛住 ransomware 和误删的,只有「已经确认可以恢复」的备份。本文从本站的运维视角,讲解基础的 3-2-1 规则(3 份副本、2 种介质、1 份异地),以及不会被 ransomware 加密的离线/不可变副本,最后到恢复测试。

发布于 2026-06-12 更新于 2026-06-12 2 分钟阅读

适合:个人开发、小规模运营,心里没底「备份是有在做,但这样真的没问题吗?」的人。这里不讲攻击手法,只讲坏了也一定能还原的备份怎么做

本站的视角:「云同步」不是备份

一个常见的误解是「我同步到 OneDrive/Google 云端硬盘了,所以已经备份了」。不对。同步是「复制当前状态」的机制,所以误删的文件、被 ransomware 加密的文件,都会原样复制到另一边。备份真正需要的是「能把时间倒回去」——能回到过去版本的多版本管理,以及事后无法被改写的不可变副本。同步很方便,但它单独存在就是「一边坏了两边都坏」的状态。请认清它和备份是两种不同的角色。

为什么「有做」还不够

需要备份,是因为丢数据的原因又多、又会同时发生。设备故障、误操作删除、被盗与灾害,还有 ransomware。单一一道防线,挡不住来自另一个方向的事故。

同步≠保存
误删、加密也会一并复制
长期连接
连着的备份会一起被加密
3-2-1
按台数、介质、地点做冗余
恢复测试
能还原才算备份

尤其是 ransomware,会主动搜索并摧毁备份本身。所以「放在数据旁边的备份」,会在事故时被一起卷进去。这是漏洞应对中所说的「保持可恢复的状态」(→ 漏洞应对实务)最底层的那道防备。

基本形态:3-2-1(+离线/不可变)

3 — 3 份副本

原件+2 份复制。坏掉 1 份,还能靠另外 2 份还原。

2 — 2 种介质

例如:电脑内置+外接 SSD,或者 NAS+云。不要全堆在同一个盒子里。

1 — 1 份异地

放在另一个地方(云/另一处所)。别让火灾、被盗、水灾一次全毁。

+ 1 份离线/不可变

不长期连接,或无法覆写(immutable)。务必留 1 份 ransomware 加密不了的副本。

3-2-1=3 份副本、2 种介质、1 份异地。再让其中 1 份离线/不可变,把它与 ransomware 隔离。

怎么做(逐项填满)

1

先盘点「丢了会麻烦的东西」

照片、文档、代码、数据库、配置(密钥和连接信息的安全留存)等,把需要恢复的对象列清楚。不要平均地保护全部,而是从丢了就再也找不回的东西开始优先。
2

按 3-2-1 来布置

3 份副本,分到 2 种介质上,其中 1 份放到异地(云等)。别集中到单台、单地、单一介质,这是冗余的关键。
3

至少让 1 份离线/不可变

这是 ransomware 对策的主力。准备 1 份平时就切断的外接盘,或无法覆写的保管(对象锁定等immutable),给自己留一条攻击者加密不了的退路。
4

自动化(手动坚持不了)

人一定会忘。用计划任务自动获取、做多版本管理(按日/周保留过去版本),避免「回过神来只剩最新一版」。
5

定期做恢复测试

最容易被跳过,也最重要。实际还原到另一个地方,确认打得开。还原不了的备份,跟没有一样。最低限度清单里 Tier 3(检测、恢复)的核心就是这个。

ransomware 也会盯上备份

近期的 ransomware 不只加密本体数据,还会搜索并加密已连接的备份目标(NAS、外接盘、已挂载的云)。所以只有「一直连着的备份」时,事故一来就会一起遭殃。决定性的防御是:至少拥有 1 份离线(物理切断)或不可变(在一定期间内禁止改写、删除)的副本。有没有这一份,决定了你是付赎金还是不付。

只有云同步

  • 误删、加密也会原样同步过去
  • 回不到过去版本(无法把时间倒回去)
  • 长期连接=被 ransomware一起卷入
  • 从没确认过能不能还原

3-2-1+不可变+恢复测试

  • 多版本管理让你能回到过去干净的版本
  • 离线/不可变副本与 ransomware 隔离
  • 地点、介质的冗余让你不会全军覆没
  • 定期测试已确认确实能还原

本站是怎么做的

本站会把数据和文档自动地、放到另一个地方、保留多个版本地获取,并同时采用「能重建的就设计成能重建」的思路。比如可以机械地重新生成的数据(抓取的 feed 或索引),就以「不依赖备份也能重建」为前提来持有——这是「从源头减轻备份负担」的做法。在此之上,对丢了就再也找不回的东西(正文、配置)做冗余保有,把始终保持可恢复的状态当作运维的前提。即便是更换已停止支持的设备(→ Windows 10 支持终止的话题),之所以能安心迁移,也是因为有能还原的备份。请把备份当成事故应对的前提条件,而不是「最后的保险」。

接下来读

FAQ

Q云同步(Google 云端硬盘或 OneDrive)算备份吗?
A

同步不是备份。同步是「复制最新状态」的机制,所以即便你误删了文件、或被 ransomware 加密了,这个状态也会原封不动地被复制到云端。备份真正需要的是「能把时间倒回去」——多版本管理(能回到过去的版本),以及无法被改写的不可变副本。只有同步而没有备份时,一边坏了,另一边也跟着坏。

Q3-2-1 规则是什么?
A

保有 3 份数据副本(原件+2 份复制),保存到 2 种不同的介质上,其中 1 份放在另一个地方(异地),这是备份的基本原则。它通过冗余,避免单台故障、单地灾害、单次误操作就让数据全军覆没。作为 ransomware 对策,现代标准的做法是再加上「至少 1 份是离线或不可变(immutable)」。

Q防备 ransomware,什么最管用?
A

拥有至少 1 份不是长期连接的「离线」、或无法改写的「不可变(immutable)」备份。ransomware 会连备份本身都去搜索并尝试加密,所以一直连着的备份会连同本体一起遭殃。只要有一份被切断/无法覆写的副本,你就能不付赎金而恢复。然后通过定期的恢复测试,确认「真的能还原」。