【51CTO.com快譯自Roger Grimes的博客】衡量網(wǎng)絡(luò)安全的標(biāo)準(zhǔn)應(yīng)該包括保密性（Confidentiality）、完整性（Integrity）和可用性（Availability），一般我將它們合稱為CIA。我們經(jīng)常會談?wù)摰角皟蓚€，但卻很少注意可用性的問題。因此這次我想探討一下可用性方面，比如容錯和災(zāi)難恢復(fù)等主題——畢竟，如果服務(wù)或服務(wù)器無法正常使用，那么安全性又從何談起呢？

對于任何一個提供高可用性的服務(wù)，首先請確保有兩臺或以上的服務(wù)器，而且放置在不同的位置，不能被同一起災(zāi)難所毀壞。我知道有許多公司設(shè)置了多臺服務(wù)器提供容錯支持，首先這個想法值得鼓勵；但不幸的是他們以為把服務(wù)器放在同一個城市里的不同地點就可以了。看看最近有關(guān)洪水和颶風(fēng)的新聞，我不得不感嘆他們白費(fèi)了多大的力氣，因為一個中小型災(zāi)難就會讓整個城市斷電。因此如果可能的話，請把多余的服務(wù)器放到不同的城市，當(dāng)然如果能放到不同的國家就最好了。

此外，服務(wù)器應(yīng)該有多余的硬盤，考慮到性能因素，只要有可能的話，將日志和數(shù)據(jù)庫存儲到不同的物理硬盤上。如果硬盤支持RAID，那么請發(fā)揮RAID技術(shù)，讓硬盤得到最好的性能。

兩臺服務(wù)器總比一臺好

常有人問到應(yīng)不應(yīng)該使用服務(wù)器集群來支持服務(wù)？我的答案是兩臺服務(wù)器總比一臺好，集群可以讓兩個或以上的主機(jī)共享相同的數(shù)據(jù)庫、配置和服務(wù)名。集群的優(yōu)點是當(dāng)一個節(jié)點意外崩潰時，其他的節(jié)點會獲取原始數(shù)據(jù)并繼續(xù)處理請求，服務(wù)不會中斷。但集群也有缺點，共享同一個數(shù)據(jù)庫和配置可能會導(dǎo)致應(yīng)用崩潰。

我不會忘記我第一次將兩臺服務(wù)器進(jìn)行集群時的情形，我花掉公司整整15萬美元！當(dāng)時為了追求一切的高性能和高可用性，我使用了包括一個分離底板通道（separate backplane channel）在內(nèi)的多項措施來應(yīng)付故障排除。我向CEO保證說，我們的應(yīng)用運(yùn)行可靠時間將高達(dá)百分之百。我的各位親愛的讀者，那時的我真是很傻很天真！結(jié)果就在第二天，一部分隨機(jī)數(shù)據(jù)就崩潰了，并且集群中的每個關(guān)聯(lián)的節(jié)點都隨之崩潰——15萬美元的集群束手無策。

當(dāng)然，虛擬化正在災(zāi)難恢復(fù)上大顯身手。我知道有很多公司已經(jīng)使用虛擬機(jī)對兩個或以上的數(shù)據(jù)中心進(jìn)行了虛擬化。如果某一臺服務(wù)器或數(shù)據(jù)中心崩潰，只需要將服務(wù)移動到其他等待的虛擬服務(wù)器上，一些虛擬化廠商甚至提供了軟件使整個過程無縫進(jìn)行。

也許在不久的將來，云服務(wù)會成為解決方案的一部分。但現(xiàn)在，云服務(wù)還不是那么成熟，出現(xiàn)問題后解決起來常常還不如自己動手。不過我想這些情況應(yīng)該會隨著服務(wù)可用性合同和其他服務(wù)條款等逐漸得到改善。（有關(guān)云安全方面的資料，請參閱：云安全你暈了么？）

網(wǎng)絡(luò)問題和最終用戶的系統(tǒng)

在網(wǎng)絡(luò)安全方面，請回答下面這些問題。你的網(wǎng)絡(luò)帶寬充足嗎？目前的帶寬提供商能否保證你有兩種不同方式接入公司網(wǎng)絡(luò)？你有沒有使用兩家供應(yīng)商？——無論怎樣，請確保他們不使用同一根光纖接入你的辦公大樓，要知道這是他們常做的事。請盡量減少由于光纖的問題造成的數(shù)據(jù)中斷，這在網(wǎng)絡(luò)故障中占了很大比例。

還有，如果你在互聯(lián)網(wǎng)上架設(shè)了高可用性的服務(wù)器，那么請問你有沒有應(yīng)用防御DDoS攻擊（distributed-denial-of-service，分布式拒絕服務(wù)攻擊，可參閱51CTO.com DDoS防御專題）的解決方案？你采用的反DDoS攻擊的解決方案能否應(yīng)付任何規(guī)模的攻擊？還有即使你的解決方案可以阻止大規(guī)模攻擊，你的ISP提供商能不能對付攻擊行動，你會不會被他們拋棄以保存某些優(yōu)先客戶？如果你必須將服務(wù)器移走以躲開攻擊，有沒有事先安排好快速切換協(xié)議？需要多長時間來更新你的DNS入口？最后，這些問題你測試過嗎？

接下來——你的最終用戶系統(tǒng)可靠嗎？最終用戶使用驅(qū)動程序是否穩(wěn)定，在部署前經(jīng)過了測試嗎？我碰巧知道許多公司試圖給用戶提供一些花哨的新功能，結(jié)果卻出現(xiàn)了更多的問題，最后得不償失。我建議我的讀者朋友們，一定要使用精確的測量方法來確定哪些系統(tǒng)最不可靠、哪些系統(tǒng)是最可靠的，并且牢記教訓(xùn)；應(yīng)該時刻監(jiān)測硬盤可用空間、網(wǎng)絡(luò)使用率和CPU使用率，并且確認(rèn)用戶進(jìn)行了備份。

另外就是說到備份，你對備份進(jìn)行過測試嗎？許多公司在發(fā)現(xiàn)問題時已經(jīng)為時已晚，昂貴的磁帶備份系統(tǒng)成了擺設(shè)，管理員整日忙碌但就是忘了在之前測試一下數(shù)據(jù)恢復(fù)系統(tǒng)是否可靠。記住，測試、測試、再測試！

警報系統(tǒng)崩潰怎么辦

如果電子郵件或電話系統(tǒng)癱瘓，監(jiān)測系統(tǒng)是否能及時提醒你？還記得2000年那會兒Melissa、Iloveyou和Slammer等蠕蟲瘋狂入侵網(wǎng)絡(luò)造成報警系統(tǒng)崩潰的情景嗎？

我記得當(dāng)遭到Iloveyou蠕蟲攻擊時，我的傳呼機(jī)不停的被關(guān)閉，一遍又一遍的收到“愛”的信號。我知道發(fā)生了大事情，但手機(jī)無法工作。我試圖使用座機(jī)，它也已經(jīng)失效了。來自互聯(lián)網(wǎng)的蠕蟲一遍遍的沖擊電子郵件和短消息系統(tǒng)。我花了一個多小時才恢復(fù)了座機(jī)通訊——而我的手機(jī)在當(dāng)天的大部分時間仍然無法使用。

如果再次發(fā)生什么大事情，不要指望互聯(lián)網(wǎng)能夠正常運(yùn)行，它沒有你想的那么強(qiáng)大。你會知道碰上了大問題，但無法聯(lián)系上任何人，也不可能直接把技術(shù)人員帶來現(xiàn)場解決問題。

在這種情況下該怎么做？我不能肯定。在一個案例中，我們不得不用高空呼叫系統(tǒng)與對方進(jìn)行溝通，最后解決問題的辦法是發(fā)送手寫的標(biāo)語！關(guān)鍵是要預(yù)測那些沒法預(yù)測的，將意外情況納入反應(yīng)計劃中。出現(xiàn)緊急情況是首先聯(lián)系誰？有沒有設(shè)置第二、第三和第四種溝通方式？當(dāng)然，大家可以把RFC 1149（不明白嗎？請51CTO.com讀者盡快學(xué)習(xí)一下這個標(biāo)準(zhǔn)；當(dāng)然，如果您已經(jīng)在上個星期愚人節(jié)那天看過了Google的《2009谷鴿鳥看計劃》，那您應(yīng)該已經(jīng)明白了）作為最后一種，因為據(jù)說這些信鴿在巴西監(jiān)獄也可以工作。

當(dāng)然，你很有可能會覺得我說的是不是有點嚴(yán)重了，尤其是你的公司在最近這次傳說會有大麻煩的Conficker病毒中并沒受到什么影響。但我認(rèn)為，我們不得不防！在過去的五六年里蠕蟲沒有大規(guī)模爆發(fā)，這也帶給我們一個虛假的安全感。很多企業(yè)自以為有辦法應(yīng)對危機(jī)，但是也許只是因為我們很幸運(yùn)——無論如何，請確認(rèn)你的可用性和反應(yīng)計劃是最新的，并且隨時準(zhǔn)備應(yīng)對大塊頭蠕蟲的挑戰(zhàn)。

【51CTO.com譯稿，合作站點轉(zhuǎn)載請注明原文譯者和出處為51CTO.com】

【編輯推薦】

1. 專家支招：構(gòu)建安全服務(wù)器環(huán)境阻止黑客攻擊
2. 專題：打造安全服務(wù)器
3. 如何打造安全穩(wěn)定的FTP服務(wù)器

原文：Are you ready for the big one?  作者：Roger Grimes