什么是 3-2-1 规则

3-2-1 规则是一种被广泛采用的数据保护基本原则的备份策略。该原则由美国摄影师 Peter Krogh 于 2005 年提出，由三个要素构成：3 份副本、2 种不同介质、1 份异地保管。

具体来说：(1) 至少保持 3 份数据副本（生产数据 + 2 份备份），(2) 存储在 2 种以上不同的存储介质上（例如：SSD 和外置硬盘、NAS 和云端），(3) 至少 1 份副本保管在物理上分离的位置。

该原则有效的原因在于概率论。如果单个存储设备故障的概率为 1/100，那么两个独立存储设备同时故障的概率为 1/10,000。通过分散到不同介质和不同位置，可以消除单点故障，还能应对火灾、盗窃、自然灾害等物理风险。

勒索软件时代的 3-2-1-1-0 扩展规则

随着勒索软件威胁的加剧，仅靠传统的 3-2-1 规则已不够充分。勒索软件会对网络连接的备份目标发起加密攻击，存在所有在线备份被全部摧毁的风险。

因此提出了 3-2-1-1-0 规则。在传统 3-2-1 的基础上，增加了两个要素：保持 1 份气隙（与网络物理隔离的）或不可变（不可篡改的）副本，以及在备份恢复测试中确认 0 个错误。

不可变备份可通过 AWS S3 的对象锁定或云存储的 WORM（Write Once Read Many）功能实现。由于写入的数据在一定期限内无法删除或修改，即使感染勒索软件也能保留安全的副本。

对于个人用户，现实的配置是：生产数据（PC 内置存储）+ 定期备份到外置硬盘 + 自动同步到云存储。外置硬盘仅在备份时连接，平时保持离线状态，也可作为勒索软件对策。

在企业环境中，推荐多层配置：生产服务器 + 本地 NAS（每日备份）+ 云端复制（每日）+ 磁带或不可变存储（每周）。

备份中最容易被忽视的是恢复测试。即使备份成功获取，如果无法恢复就毫无意义。至少每季度进行一次恢复测试，确认 RTO（恢复时间目标）和 RPO（恢复点目标）满足要求。

与数据加密的结合也很重要。如果备份数据未加密，异地保管的介质被盗时会导致信息泄露。

备份运营中容易陷入的失败模式。首先是混淆“同步”和“备份”。云同步服务（Google Drive、Dropbox 等）会实时反映文件变更，因此误删的文件或被勒索软件加密的文件也会传播到同步目标。同步不能替代备份。

其次是备份版本管理不足。如果只保留最新的 1 个备份版本，当数据损坏被发现较晚时，将无法恢复正常数据。建议至少保留 7 天的每日备份和 4 周的每周备份。

将备份恢复流程纳入事件响应计划也不可或缺。文档化谁从哪个备份按什么流程恢复，并定期演练，以便在实际故障时能够迅速应对。

勒索软件对网络连接的备份目标进行加密攻击已成常态，在传统 3-2-1 规则基础上增加两个要素的 3-2-1-1-0 规则正在成为行业标准。

“1” - 不可变备份：至少保持一份不可变（不可篡改）的备份。使用 AWS S3 的对象锁定（合规模式）或 Azure Blob Storage 的不可变存储，即使拥有管理员权限的攻击者也无法在保留期内删除或修改数据。保留期根据 RPO 设定，建议最少 30 天。

“1” - 气隙副本：保持一份与网络物理隔离（气隙）的副本。包括写入磁带介质或备份完成后断开网络的外置存储。在云环境中，也可通过跨账户、跨区域的复制实现逻辑气隙。

“0” - 零错误验证：定期进行备份恢复测试，确认恢复错误为 0。仅凭备份作业的成功日志是不够的。只有实际恢复数据并进行文件完整性检查（校验和比对）后，才能称为“零错误”。

为增强勒索软件抵御能力，将备份环境的认证凭据与生产环境完全分离也很重要。即使生产环境的 Active Directory 被攻破，也要确保备份系统无法被访问。建议将不可变备份的恢复流程纳入 BCP 恢复策略，并每季度进行演练。

保存在云存储中就满足了 3-2-1 规则: 仅使用一个云存储服务只是“1 种介质上的 1 份副本”。考虑到云提供商故障和账户被入侵的风险，需要与本地备份配合使用。
配置了 RAID 就不需要备份: RAID 提供磁盘故障的冗余性，但不是备份。它无法应对误删除、勒索软件、文件系统损坏或 RAID 控制器故障。RAID 和备份是具有不同目的的互补技术。

每次复制全部数据。恢复简单快速，但存储消耗大，备份时间长。通常每周执行。

仅复制上次备份以来变更的数据。存储效率高且速度快，但恢复时需要应用完全备份加所有增量。适合每日执行。