如何恰當?shù)卦u估和應對數(shù)據(jù)中心各種風險

申請免費試用、咨詢電話：400-8352-114

風險是與生活和生意密切相關(guān)的一部分。這個規(guī)則對于數(shù)據(jù)中心也是如此。從風險這個詞匯的一般意義上說，它意味著對設(shè)施可能造成的任何潛在的或者可能的傷害或損失。當涉及到數(shù)據(jù)中心等重要設(shè)施的時候，這種風險必須要避免。

信息可用性是非常重要的。任何評估、規(guī)劃和數(shù)據(jù)中心風險評估的目標都是要找出障礙，并且推薦一些冗余的和容錯的網(wǎng)絡和技術(shù)支持基礎(chǔ)設(shè)施的解決方案。

那么，風險評估需要什么呢?它需要全面的數(shù)據(jù)中心檢查，評估技術(shù)支持基礎(chǔ)設(shè)施提供連續(xù)不斷的可用性的能力。一次檢查應該包括全面評估現(xiàn)有的工作量狀況，找出重要的缺陷，找出單個故障點，評估站點防御物理風險以及其它潛在的關(guān)機風險的堅固程度。每一次評估不僅要指出缺陷，而且還要提供修復的方法。

信息風險

安全風險可以細分為物理風險或者信息風險。物理風險需要保護數(shù)據(jù)中心的物理資產(chǎn)，如服務器和HVAC設(shè)備。信息和數(shù)據(jù)風險是同樣重要的。在大多數(shù)情況下，數(shù)據(jù)通常比存儲數(shù)據(jù)的設(shè)備更有價值。由于無形的性質(zhì)，數(shù)據(jù)和信息不僅可以通過物理訪問這個機器來訪問，而且還能夠通過破解口令等方式突破軟件安全的屏障經(jīng)過網(wǎng)絡進行訪問。

物理風險

物理風險應該包括從盜竊到設(shè)備的物理損失等一切事情。氣候或者自然風險等非人為因素也能夠?qū)υO(shè)施產(chǎn)生影響。事實上，氣候風險與物理風險往往是同時發(fā)生的。例如，洪水和地震都會對數(shù)據(jù)中心基礎(chǔ)設(shè)施造成破壞，這會導致數(shù)據(jù)中心的物理損失。

也許還有其它種類的風險，如一個國家的政治形勢發(fā)生巨變、恐怖主義的出現(xiàn)以及在數(shù)據(jù)中心所在的國家和地方出現(xiàn)的類似威脅等。這種危險在發(fā)展中國家出現(xiàn)的機會要大于在發(fā)達國家出現(xiàn)的機會，不過，這不是一個嚴格的規(guī)律。

經(jīng)濟威脅

除此之外，還有經(jīng)濟威脅，如全球經(jīng)濟繁榮和衰退對全球IT行業(yè)的影響以及對數(shù)據(jù)中心所在地區(qū)的影響。這看起來似乎與風險評估沒有關(guān)系。但是，調(diào)查顯示，在經(jīng)濟衰退和出現(xiàn)裁員風險的時候，從事白領(lǐng)犯罪的人員比例就會曾多。除了直接偷竊和販賣保密的數(shù)據(jù)之外，員工有時候還會偷竊數(shù)據(jù)中心的計算容量，利用數(shù)據(jù)中心的計算能力經(jīng)營自己的生意或者用于其它不容易發(fā)現(xiàn)的目的。但是，這種情況會產(chǎn)生風險。

技術(shù)風險

另一種風險是技術(shù)風險。技術(shù)中的某些突然變化會導致當前的基礎(chǔ)設(shè)施冗余不足，或者不可用。跟上行業(yè)的不斷發(fā)展是非常重要的。

了解你的電源/冷卻容量和可用性是極為重要的。如果你的容量每一年都在變化(這是很常見的情況)，那么，你必須要了解你擁有的電源和冷卻容量以及這些容量對你的數(shù)據(jù)中心可用性的影響。你可以放心地坐在為特定的可用性設(shè)計的數(shù)據(jù)中心中。但是，在某些情況下，電源和冷卻的需求的增加會影響到你的可用性，特別是在這種需求增加到你的電源系統(tǒng)中的時候。

了解你的單個故障點是同樣重要的。一個單個的故障點就是能夠造成你的設(shè)施崩潰的最薄弱的點。例如，如果你的電源系統(tǒng)沒有配置發(fā)電機，那么，這就是一個單個故障點。當電源發(fā)生故障的時候，你沒有備份的電源保持繼續(xù)工作。

另一個單個故障點的例子是在你的數(shù)據(jù)中心中采用只有一個單管循環(huán)的水冷卻HVAC系統(tǒng)。如果那個循環(huán)管線出現(xiàn)故障，你的整個系統(tǒng)都將關(guān)閉進行維修。

進行適當?shù)娘L險評估　

上述一些威脅在數(shù)據(jù)中心的生命周期內(nèi)也許永遠不會出現(xiàn)。因此，了解所有的威脅的種類是不夠的，人們還應該進行適當?shù)娘L險評估，這樣，人們就能夠從正確的角度認識各種類型的威脅。

這種風險評估可以讓有能力的工作人員或者由第三方顧問完成。在數(shù)據(jù)中心沒有可用的人員的情況下，建議讓專家進行這種風險評估。有許多專門從事這種工作的有能力的公司。他們進行各方面的評估，包括系統(tǒng)安全健康檢查、數(shù)據(jù)庫安全健康檢查、內(nèi)部網(wǎng)健康檢查等。他們使用專業(yè)的工具、技術(shù)和軟件進行安全漏洞的評估，對數(shù)據(jù)中心的正常運行沒有任何大的影響。

一旦一個全面的設(shè)施風險評估完成，就是采取適當?shù)拇胧┓烙鶛z測到的威脅和風險的時候了。大多數(shù)人都是發(fā)現(xiàn)漏洞之后才采取措施，而不是提前采取預防措施。因此，這種采取提前預防措施的方法與我們的這種本性是完全不同的。例如，防御地震和洪水等自然災害的威脅在建設(shè)數(shù)據(jù)中心的時候就可以采取必須要的技術(shù)進行預防，或者不要把數(shù)據(jù)中心建設(shè)在自然災害風險頻繁發(fā)生的地區(qū)。如果沒有可用的選擇，那么，要保證設(shè)計團隊采取適當?shù)脑O(shè)計措施防御這些潛在的威脅。

采取適當?shù)奈锢戆踩胧┖蜕矸葑R別技術(shù)能夠防止物理威脅。政治風險等某些其它安全威脅也許不會完全預料到。但是，適當?shù)仡A測和規(guī)劃應付這些威脅方法是很重要的。

即使進行最好的安全評估和采取最好的預防措施，風險也不可能完全避免。因此，應該制定一些計劃在一旦發(fā)生不測的時候能夠以最快的速度恢復正常。災難恢復計劃是風險控制實踐中的一個重要部分。（IT專家網(wǎng)）