數據安全如同懸在企業頭頂的“達摩克利斯之劍”，隨著新技術的飛速發展，企業運營愈發依賴網絡與數據，然而這也為網絡威脅和攻擊敞開了大門，特別是勒索軟件攻擊，作為其中極具破壞力的一種攻擊方式，也正以驚人的速度肆虐全球。

第三方數據顯示，勒索軟件攻擊后的平均停機時間高達24天；而且超過75%的攻擊是通過身份、信任關系或者網絡漏洞實現的；此外，高達94%的勒索軟件攻擊嘗試破壞企業的備份系統，其中的得手率也達57%。

這些數據都反映了這樣一個事實，那就是勒索軟件攻擊給企業造成的損失正在加劇，而現有的數據保護方案，已難以應對惡意軟件和勒索軟件帶來的危險。特別是不少企業認為有備份就可以防住勒索軟件攻擊，或者在遭受勒索軟件攻擊后仍能夠恢復企業數據，其實都是抱有極大的“僥幸”心理的。

原因在于，當前備份數據已成為黑客攻擊的主要目標，其核心目的就是讓企業無法還原數據，最終只能被迫接受贖金的支付，且即使是企業“甘愿”支付贖金，也未必能夠贖回所有的數據。

這也意味著進入到數智化時代之后，一家企業或組織的安全“生命線”就在于是否能夠隔離數據并確保數據可用性，以支持網絡攻擊后的業務連續性戰略和恢復操作，而這就亟待構建一套“數據避風港”的安全防范框架和方案。

那么，什么是“數據避風港”的安全框架？其究竟有何特殊的“魔力”，能夠讓企業客戶在面臨勒索軟件攻擊時實現“獨善其身”的？更為關鍵的是，面對勒索軟件攻擊的肆虐，企業的數據保護策略和方案又應該如何“與時俱進”的進化與升級呢？

重塑威脅漏斗

以“3I+R”構建企業網絡彈性

隨著企業數智化轉型的加速，越來越多企業的基礎架構進行了重構，導致目前企業數據和網絡資產的數量和復雜性前所未有的增加，攻擊面極具擴大的同時，攻防不對稱也在加劇，再“疊加”上勒索軟件的攻擊，可以說當下企業面臨的安全威脅是“毀滅性”的。

對此，企業當前急需重塑安全威脅漏斗，可以把它稱之為數據安全防護的“三部曲”，首要的就是從主動防御角度看，企業的核心任務是減少攻擊面，并提供更安全的數據管控；在主動防御之后，企業仍然需要對數據進行“加固”，包括需要有一整套的數據整合機制，以及在發生災難后的數據響應機制等等，而最終的目標就是實現數據的恢復能力，由此才能實現完整的數據安全保護。

在此背景之下，基于NIST安全框架的防勒索解決方案——即數據避風港的理念和方案“應運而生”。

換句話說，企業對于任何數據都需要進行主動防御與“加固”數據本身，同時通過實現端到端的安全性，才能夠最大程度降低企業安全風險，增強網絡彈性，讓企業的數據保護“更安全、更完整、更可用”。

在此過程中，企業則是需要基于“3I+R”的安全防護指標以及體系架構來構建數據避風港方案，所謂“3I+R”是指，隔離(Isolation)、不可篡改(Immutability)、智能(Intelligence)以及斷網隔離(AirGap)，具體而言：

一是隔離(Isolation)，指的是數據避風港方案能夠以完全整合和全自動化控制的AirGap，幫助企業建立獨立、隔離的數據保護庫，且保護庫能夠完全“隱身”于企業的IT之中，由此能夠有效避免勒索軟件的攻擊。

二是不可篡改(Immutability)，指的是數據避風港方案能夠以最嚴格的技術鎖定備份資料或數據，使其不被刪除、加密，因此可抵御外部和內部的攻擊，強化數據的安全性和保護性。

三是智能(Intelligence)，指的是數據避風港方案加持了智能分析功能，能夠提供已被惡意軟件訓練過的ML/AI技術掃描、分析、識別，確保被保護的資料或數據是干凈未受感染的，同時還可自動識別干凈版本的時間點，快速還原企業的商業運作。

四是斷網隔離(AirGap)，指的是數據避風港方案中的“AirGap”功能，或者說“空氣閘”能力，它提供了與其他系統或網絡之間的物理或邏輯隔離，以防止滲透數據、系統或應用程序的可能性。同時，利用存儲區方法，能夠將受保護的數據副本復制到另一個區域，并斷開兩個數據副本之間的網絡連接，防止任何人接觸復制的數據。

為什么需要構建“3I+R”的安全防護體系架構呢？最直接的原因是，企業面臨的勒索攻擊手段日趨多樣化，不僅有針對備份數據的攻擊，如果企業僅依賴備份而缺乏相應的防護機制，一旦備份服務器被加密，所有數據都會“加鎖”，無法及時恢復業務。

此外，也有很多針對備份刪除動作的網絡攻擊，甚至是針對平臺級的攻擊。這種情況下，即使企業用部署的備份服務器或備份介質存放在虛擬化環境下，所有的數據也同樣會被黑客“加密”。

更嚴重的是，有些黑客還會對底層的BIOS進行攻擊，如果這時沒有有效隔離手段或不可篡改的抵御方式，那么企業的數據照樣會被破壞。

甚至有更可怕的潛伏性黑客攻擊，雖然企業每天都在備份，但備份數據卻早就被污染了，因此當企業需要進行數據恢復時，卻無法找到一份“干凈”的數據，這時即便是企業的數據此前就行了隔離，同樣也會“無濟于事”。

不難看出，當前的勒索軟件攻擊可謂是“防不勝防”的，僅僅只進行數據的備份是難以勝任企業安全防護的，但基于數據避風港方案構建和打造的“3I+R”的安全防護體系架構，則能夠讓企業面臨“最壞情況”發生時，也可迅速對數據進行隔離、清洗、掃描，最終讓企業的核心業務“起死回生”。

從三個關鍵詞

深入讀懂戴爾數據避風港方案

作為全球數據保護領域的“先行者”和“引領者”，戴爾科技早在2015年就基于NIST安全框架打造出了數據避風港(Cyber Recovery，CR)方案。

該方案起源于美國的金融行業，不僅是實實在在來源于業務需求所沉淀出來的解決方案，也是全球第一個能夠提供定制部署服務的“隔離”恢復解決方案，更是擁有廣泛和豐富最佳落地“實戰”經驗的解決方案。

戴爾科技的數據避風港方案，是完全符合“3I+R”的體系架構的，其整個工作過程如下：

● 其能夠將生產中心的備份數據快速復制到“金庫”，即Vault區，復制后網絡自動斷開，實現彈性隔離；

●在此基礎上，對復制到Vault區的數據快速進行拷貝，并對拷貝版本加鎖，在鎖定期，數據不允許刪除和修改；

●最后是在Vault區構建沙箱，同時在沙箱內對拷貝版本進行智能掃描分析，而且是基于原始格式的勒索行為分析，不僅能夠驗證數據是否完好，也能第一時間發現問題。

同樣，這樣一套基于“3I+R”的體系架構打造的戴爾科技數據避風港方案也是非常有意義和價值的——它能夠實現企業生產環境的“無感知”，其工作過程并不是通過生產備份軟件來抓取數據，而是通過隔離區里備份存儲之間的數據“抽拉”，同時其所有管控都在隔離區內，并有專門的三個軟件進行有效的控制。

尤為重要的是，其“鎖定”也并不依托于任何的操作系統進行數據的“防篡改”，而是基于底層硬件進行“防篡改”。在此基礎上，戴爾科技還加入了“零信任”架構，能夠實現多因素的認證，如底層硬件的時鐘防篡改、iDRAC賬號聯動等諸多其他特性，進一步提升整個環境的安全度。

此外，其專業的防勒索智能分析軟件是基于行為的，而非僅基于特征庫，加上該軟件還會嵌入AI大模型的預判能力，這樣就能夠更有效地提升整個數據的準確率，減少誤判。

也正因此，盡管當前市場上出現了很多類似的數據保護解決方案，但戴爾科技數據避風港方案的技術能力和最佳實踐經驗依然獨具優勢，可以從三個“關鍵詞”做進一步的觀察和解讀：

作為數據避風港方案中的關鍵能力，“AirGap”的能力可以說至關重要。當前，對于“AirGap”的能力，絕大部分廠商是通過第三方單向防火墻或者VPN來構建“隔離區”。

也有的廠商通過生產端備份軟件來控制隔離的，控制信息和數據信息分開，控制信息是常連接，AirGap只能控制數據信息，但并不能保證生產端和“金庫區”（Vault區）是完全斷開的，換句話說，黑客可以通過生產端的備份服務器發現Vault區的存在。

除此之外，也有部分廠商使用人工服務由命令腳本方式控制網絡端口來創建AirGap解決方案或者通過其他廠商Flex手動設定AirGap容器隔離機制與防篡改機制來廣義實現 AirGap，但這種方式由于AirGap的控制策略由外面的備份服務器確定，往往也存在著很大的風險性。

而戴爾科技數據避風港方案中的AirGap能力與一般數據保護方案最大的不同是：企業在生產環境中對Vault區是完全“無感知”的，所有的管理操作都在Vault區實現，生產端不能發現“隔離數據”的存在。此外，其AirGap并沒有持久鏈接，數據有復制時連通，沒有復制的時候斷開，這樣數據時刻處于“隔離狀態”。

與此同時，生產的備份服務器上index/catalog沒有記錄這份數據，黑客突破了企業的備份數據也發現不了這份數據的存在。也就是說，數據是單向的，只允許從Vault區控制復制，從Vault區拉數據，而并不是從生產端推數據。

其次，數據防篡改，是不是真的能夠實現防篡改？在防纂改能力方面，可以看到一部分廠商的防篡改功能是通過加固的linux系統來實現WORM的；而大部分廠商是通過用戶權限的方式來實現WORM鎖定機制的，而當系統都被攻破的時候，用戶權限也就沒有了任何意義。

也有一部分廠商是通過備份一體機上啟用虛擬機或者容器的方式，通過賦予不同虛機和容器角色來控制只讀權限的，但這種方式同樣也有很大的風險，如必須結合特定型號設備支持，而且基于容器的方式，性能難以保證。

此外，Flex中的WORM防篡改可以被禁用，這也意味著內部人員可以刪除關鍵備份，更為嚴重的是，如果虛擬機和容器可以被刪除，那么虛擬機和容器中的不可篡改功能也就完全失效了。

反觀戴爾科技數據避風港方案中的防纂改能力，則是通過專有硬件設備實現全堆棧的防篡改，從底層硬件到系統到應用的全面防篡改；此外，具有專利的DIA數據無損架構，提供最嚴格的法規遵從的不可篡改技術，數據保護期內可確保無法篡改等等。另外，戴爾科技早在2012年就推出了防篡改的功能，具有非常成熟的實踐和應用經驗。

最后，偵測分析掃描，是不是只是等同于殺毒軟件？在偵測分析掃描能力方面，可以發現當前大部分廠商提供的功能都類似于殺毒軟件，通過已有病毒庫和病毒特征來查殺病毒；同時，即使部分廠商擁有通過Data insight和Alta Analytics日志報表分析工具，但同樣也只能分析自己的備份軟件生成的數據。

而戴爾科技數據避風港方案中專業防勒索智能分析軟件CyberSense則具有十分強大的能力，它可以不用還原數據，而是直接對備份數據進行分析；支持元數據+ 200多個基于全內容分析點（文件熵、擴展名及其他）；支持文件、虛機、數據庫等；基于AI/ML，能靈活識別變種勒索軟件；還可檢測復雜的網絡攻擊，且具有99.997%正確率等，可以說其具有“全內容”的檢測能力，是市場上唯一支持對數據庫內部隱藏損害進行數據完整性分析掃描的產品。

也正是源于這種強大的技術能力，自戴爾科技數據避風港(CR)方案發布至今，全球Cyber Recovery數據避風港客戶超過2500+，大中華區Cyber Recovery數據避風港客戶超過250+，幫助企業實現了“保護更多、恢復更快、花費更少”，真正讓企業的關鍵業務數據做到“堅如磐石、穩如泰山”，不但大幅提升了企業在數據管理和保護領域的“新體驗”，更重新定義了網絡彈性的“新標準”。

安全進階之路

構建“三位一體”數據保護策略

當然，數據避風港或者說企業的網絡彈性構建也并不是“一蹴而就”的，數據避風港的最佳實踐或者說要實現其“連續性”，是建立在以下三個環節之上的，包括全面的數據保護，加固備份環境以及構建可信的恢復環境，總之需要以“防患于未然”的心態加強網絡安全防御，構筑全新的網絡彈性平臺，以減輕與勒索軟件攻擊相關的風險，才是最佳的企業數據保護之道。

為此，戴爾科技打造了“三位一體”的數據保護策略和方案，即通過“備份(BR)+容災(DR)+數據避風港(CR)”的全面保護，幫助企業構建出最為完整且整體的數據保護策略。

第一，備份(BR)環節，能夠幫助企業做到對數據的全覆蓋，不管是跨邊緣、核心還是在多云環境下，各類邏輯錯誤或人為錯誤都可應對。這也是對企業IT環境及數據最基本的保護，并能全面覆蓋所有工作負載，且具有可靠、快速、低成本恢復的優勢。

第二，容災(DR)環節，則是通過對重要數據做容災，比如構建兩地三中心，企業能夠無懼風火雷電等各類自然災害對IT系統的影響，這是增強的數據保護。

第三，數據避風港(CR)環節，無論是備份還是容災，在面臨AI加持、愈演愈烈的網絡攻擊問題時都會束手無策，而通過在戴爾Cyber Recovery數據避風港的安全范圍內檢測、診斷和加速數據恢復，加上AI智能化分析工具給予企業充分保障，才能夠在網絡攻擊后快速、從容地恢復關鍵的數據和系統，這樣就做到了完整的數據保護。

事實上，從網絡彈性成熟度角度來看，越早構建基于“備份(BR)+容災(DR)+數據避風港(CR)”的數據保護策略，越能最大限度地減少勒索病毒軟件或者網絡攻擊給企業帶來的時間、成本等方面的影響。

具體來說，如果僅進行備份，那么當備份遭受攻擊時，企業將面臨“月級別”的數據恢復時間。如果對生產環境進行有效“加固”，并使用專有的備份設備進行安全架構搭建，那么則可以讓恢復時間縮短到“周級別”。如果能夠有效建立數據隔離區和集中，那么恢復時間則可以縮短到“天級別”。

而如果企業有更完整的數據安全“金庫區”，且配備了專業的恢復服務以及完整的恢復手冊(handbook)，那么整個恢復時間將會縮短到“小時級”，而這將大大提升勒索攻擊后的數據恢復能力，確保企業正常運作的連續性，顯著增強企業遭遇攻擊后的信心和底氣。

結 語

勒索病毒軟件的攻擊和威脅“如影隨形”，不僅會使企業面臨高額贖金的勒索，更會導致業務停擺，客戶流失，聲譽受損，甚至威脅到企業的生存根基。因此，企業唯有保持高度警惕，持續優化數據保護策略，不斷提升安全防護能力。

更為關鍵的是，企業還可以選擇戴爾科技構建的獨具優勢的數據避風港方案，以及“三位一體”（BR+DR+CR）的數據保護策略，同時依托戴爾科技所具備的豐富網絡彈性實踐經驗，包括實施了數以百計的網絡彈性項目，以及數以千計的網絡恢復保險庫等能力，相信基于這樣的數據保護“硬實力”，企業將真正能夠在這場沒有硝煙的戰爭中立于“不敗之地”。