科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网服务器频道如何恰当评估和应对数据中心各种风险

如何恰当评估和应对数据中心各种风险

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

风险是与生活和生意密切相关的一部分。这个规则对于数据中心也是如此。从风险这个词汇的一般意义上说,它意味着对设施可能造成的任何潜在的或者可能的伤害或损失。当涉及到数据中心等重要设施的时候,这种风险必须要避免。

来源:比特网论坛 2008年11月18日

关键字: 漏洞 数据中心

  • 评论
  • 分享微博
  • 分享邮件

  风险是与生活和生意密切相关的一部分。这个规则对于数据中心也是如此。从风险这个词汇的一般意义上说,它意味着对设施可能造成的任何潜在的或者可能的伤害或损失。当涉及到数据中心等重要设施的时候,这种风险必须要避免。

  信息可用性是非常重要的。任何评估、规划和数据中心风险评估的目标都是要找出障碍,并且推荐一些冗余的和容错的网络和技术支持基础设施的解决方案。

  那么,风险评估需要什么呢?它需要全面的数据中心检查,评估技术支持基础设施提供连续不断的可用性的能力。一次检查应该包括全面评估现有的工作量状况,找出重要的缺陷,找出单个故障点,评估站点防御物理风险以及其它潜在的关机风险的坚固程度。每一次评估不仅要指出缺陷,而且还要提供修复的方法。

  信息风险

  安全风险可以细分为物理风险或者信息风险。物理风险需要保护数据中心的物理资产,如服务器和HVAC设备。信息和数据风险是同样重要的。在大多数情况下,数据通常比存储数据的设备更有价值。由于无形的性质,数据和信息不仅可以通过物理访问这个机器来访问,而且还能够通过破解口令等方式突破软件安全的屏障经过网络进行访问。

  物理风险

  物理风险应该包括从盗窃到设备的物理损失等一切事情。气候或者自然风险等非人为因素也能够对设施产生影响。事实上,气候风险与物理风险往往是同时发生的。例如,洪水和地震都会对数据中心基础设施造成破坏,这会导致数据中心的物理损失。

  也许还有其它种类的风险,如一个国家的政治形势发生巨变、恐怖主义的出现以及在数据中心所在的国家和地方出现的类似威胁等。这种危险在发展中国家出现的机会要大于在发达国家出现的机会,不过,这不是一个严格的规律。

  经济威胁

  除此之外,还有经济威胁,如全球经济繁荣和衰退对全球IT行业的影响以及对数据中心所在地区的影响。这看起来似乎与风险评估没有关系。但是,调查显示,在经济衰退和出现裁员风险的时候,从事白领犯罪的人员比例就会曾多。除了直接偷窃和贩卖保密的数据之外,员工有时候还会偷窃数据中心的计算容量,利用数据中心的计算能力经营自己的生意或者用于其它不容易发现的目的。但是,这种情况会产生风险。

  技术风险

  另一种风险是技术风险。技术中的某些突然变化会导致当前的基础设施冗余不足,或者不可用。跟上行业的不断发展是非常重要的。

  了解你的电源/冷却容量和可用性是极为重要的。如果你的容量每一年都在变化(这是很常见的情况),那么,你必须要了解你拥有的电源和冷却容量以及这些容量对你的数据中心可用性的影响。你可以放心地坐在为特定的可用性设计的数据中心中。但是,在某些情况下,电源和冷却的需求的增加会影响到你的可用性,特别是在这种需求增加到你的电源系统中的时候。

  了解你的单个故障点是同样重要的。一个单个的故障点就是能够造成你的设施崩溃的最薄弱的点。例如,如果你的电源系统没有配置发电机,那么,这就是一个单个故障点。当电源发生故障的时候,你没有备份的电源保持继续工作。

  另一个单个故障点的例子是在你的数据中心中采用只有一个单管循环的水冷却HVAC系统。如果那个循环管线出现故障,你的整个系统都将关闭进行维修。

  进行适当的风险评估

  上述一些威胁在数据中心的生命周期内也许永远不会出现。因此,了解所有的威胁的种类是不够的,人们还应该进行适当的风险评估,这样,人们就能够从正确的角度认识各种类型的威胁。

  这种风险评估可以让有能力的工作人员或者由第三方顾问完成。在数据中心没有可用的人员的情况下,建议让专家进行这种风险评估。有许多专门从事这种工作的有能力的公司。他们进行各方面的评估,包括系统安全健康检查、数据库安全健康检查、内部网健康检查等。他们使用专业的工具、技术和软件进行安全漏洞的评估,对数据中心的正常运行没有任何大的影响。

  一旦一个全面的设施风险评估完成,就是采取适当的措施防御检测到的威胁和风险的时候了。大多数人都是发现漏洞之后才采取措施,而不是提前采取预防措施。因此,这种采取提前预防措施的方法与我们的这种本性是完全不同的。例如,防御地震和洪水等自然灾害的威胁在建设数据中心的时候就可以采取必须要的技术进行预防,或者不要把数据中心建设在自然灾害风险频繁发生的地区。如果没有可用的选择,那么,要保证设计团队采取适当的设计措施防御这些潜在的威胁。

  采取适当的物理安全措施和身份识别技术能够防止物理威胁。政治风险等某些其它安全威胁也许不会完全预料到。但是,适当地预测和规划应付这些威胁方法是很重要的。

  即使进行最好的安全评估和采取最好的预防措施,风险也不可能完全避免。因此,应该制定一些计划在一旦发生不测的时候能够以最快的速度恢复正常。灾难恢复计划是风险控制实践中的一个重要部分。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章