跳至主要內容
>_ITDITD網站資安平台

資安指南

#安全基礎#備份#ransomware#還原#AI 時代的防備

備份基礎:3-2-1 原則與抵禦 ransomware 的還原計畫

「我有做備份」並不代表關鍵時刻真能還原。真正能扛住 ransomware 和誤刪的,只有「已經確認可以還原」的備份。本文從本站的維運視角,講解基礎的 3-2-1 原則(3 份副本、2 種媒介、1 份異地),以及不會被 ransomware 加密的離線/不可變副本,最後到還原測試。

發布於 2026-06-12 更新於 2026-06-12 閱讀時間 2 分鐘

適合:個人開發、小規模維運,心裡沒底「備份是有在做,但這樣真的沒問題嗎?」的人。這裡不講攻擊手法,只講壞了也一定能還原的備份怎麼做

本站的視角:「雲端同步」不是備份

一個常見的誤解是「我同步到 OneDrive/Google 雲端硬碟了,所以已經備份了」。不對。同步是「複製當前狀態」的機制,所以誤刪的檔案、被 ransomware 加密的檔案,都會原樣複製到另一邊。備份真正需要的是「能把時間倒回去」——能回到過去版本的多版本管理,以及事後無法被改寫的不可變副本。同步很方便,但它單獨存在就是「一邊壞了兩邊都壞」的狀態。請認清它和備份是兩種不同的角色。

為什麼「有做」還不夠

需要備份,是因為丟資料的原因又多、又會同時發生。裝置故障、誤操作刪除、被盜與災害,還有 ransomware。單一一道防線,擋不住來自另一個方向的事故。

同步≠保存
誤刪、加密也會一併複製
長期連接
連著的備份會一起被加密
3-2-1
按台數、媒介、地點做冗餘
還原測試
能還原才算備份

尤其是 ransomware,會主動搜尋並摧毀備份本身。所以「放在資料旁邊的備份」,會在事故時被一起捲進去。這是漏洞應對中所說的「保持可還原的狀態」(→ 漏洞應對實務)最底層的那道防備。

基本形態:3-2-1(+離線/不可變)

3 — 3 份副本

原件+2 份複製。壞掉 1 份,還能靠另外 2 份還原。

2 — 2 種媒介

例如:電腦內建+外接 SSD,或者 NAS+雲端。不要全堆在同一個盒子裡。

1 — 1 份異地

放在另一個地方(雲端/另一處所)。別讓火災、被盜、水災一次全毀。

+ 1 份離線/不可變

不長期連接,或無法覆寫(immutable)。務必留 1 份 ransomware 加密不了的副本。

3-2-1=3 份副本、2 種媒介、1 份異地。再讓其中 1 份離線/不可變,把它與 ransomware 隔離。

怎麼做(逐項填滿)

1

先盤點「丟了會麻煩的東西」

照片、文件、程式碼、資料庫、設定(金鑰和連線資訊的安全留存)等,把需要還原的對象列清楚。不要平均地保護全部,而是從丟了就再也找不回的東西開始優先。
2

按 3-2-1 來佈置

3 份副本,分到 2 種媒介上,其中 1 份放到異地(雲端等)。別集中到單台、單地、單一媒介,這是冗餘的關鍵。
3

至少讓 1 份離線/不可變

這是 ransomware 對策的主力。準備 1 份平時就切斷的外接磁碟,或無法覆寫的保管(物件鎖定等immutable),給自己留一條攻擊者加密不了的退路。
4

自動化(手動堅持不了)

人一定會忘。用排程任務自動取得、做多版本管理(按日/週保留過去版本),避免「回過神來只剩最新一版」。
5

定期做還原測試

最容易被跳過,也最重要。實際還原到另一個地方,確認打得開。還原不了的備份,跟沒有一樣。最低限度清單裡 Tier 3(偵測、還原)的核心就是這個。

ransomware 也會盯上備份

近期的 ransomware 不只加密本體資料,還會搜尋並加密已連接的備份目標(NAS、外接磁碟、已掛載的雲端)。所以只有「一直連著的備份」時,事故一來就會一起遭殃。決定性的防禦是:至少擁有 1 份離線(實體切斷)或不可變(在一定期間內禁止改寫、刪除)的副本。有沒有這一份,決定了你是付贖金還是不付。

只有雲端同步

  • 誤刪、加密也會原樣同步過去
  • 回不到過去版本(無法把時間倒回去)
  • 長期連接=被 ransomware一起捲入
  • 從沒確認過能不能還原

3-2-1+不可變+還原測試

  • 多版本管理讓你能回到過去乾淨的版本
  • 離線/不可變副本與 ransomware 隔離
  • 地點、媒介的冗餘讓你不會全軍覆沒
  • 定期測試已確認確實能還原

本站是怎麼做的

本站會把資料和文件自動地、放到另一個地方、保留多個版本地取得,並同時採用「能重建的就設計成能重建」的思路。比如可以機械地重新產生的資料(抓取的 feed 或索引),就以「不依賴備份也能重建」為前提來持有——這是「從源頭減輕備份負擔」的做法。在此之上,對丟了就再也找不回的東西(正文、設定)做冗餘保有,把始終保持可還原的狀態當作維運的前提。即便是更換已停止支援的裝置(→ Windows 10 支援終止的話題),之所以能安心遷移,也是因為有能還原的備份。請把備份當成事故應對的前提條件,而不是「最後的保險」。

接下來讀

FAQ

Q雲端同步(Google 雲端硬碟或 OneDrive)算備份嗎?
A

同步不是備份。同步是「複製最新狀態」的機制,所以即便你誤刪了檔案、或被 ransomware 加密了,這個狀態也會原封不動地被複製到雲端。備份真正需要的是「能把時間倒回去」——多版本管理(能回到過去的版本),以及無法被改寫的不可變副本。只有同步而沒有備份時,一邊壞了,另一邊也跟著壞。

Q3-2-1 原則是什麼?
A

保有 3 份資料副本(原件+2 份複製),保存到 2 種不同的媒介上,其中 1 份放在另一個地方(異地),這是備份的基本原則。它透過冗餘,避免單台故障、單地災害、單次誤操作就讓資料全軍覆沒。作為 ransomware 對策,現代標準的做法是再加上「至少 1 份是離線或不可變(immutable)」。

Q防備 ransomware,什麼最管用?
A

擁有至少 1 份不是長期連接的「離線」、或無法改寫的「不可變(immutable)」備份。ransomware 會連備份本身都去搜尋並嘗試加密,所以一直連著的備份會連同本體一起遭殃。只要有一份被切斷/無法覆寫的副本,你就能不付贖金而還原。然後透過定期的還原測試,確認「真的能還原」。