數據中心應急管理體系建設的思考
2021年7月18日,河南鄭州出現罕見持續強降雨天氣。強降雨導致當地多區域電力、電信等基礎設施受到影響。受斷電影響,7月21日,中國移動公告稱,河南部分地區受極端天氣影響,樞紐機房斷電,目前無法正常辦理移動業務。同日,河南本地一家名為海騰數據的服務商也在官網掛出數據中心受影響的通知。該公司稱,機房由柴油發電機緊急供電,附近油站因道路積水導致無法及時供油,考慮到存儲油量有限,市電恢復時間不確定,建議用戶緊急備份數據或遠程關機以避免數據受損。
“水電煤”是生活必需品,數據網絡作為新一代的“水電煤”,一旦發生服務器宕機,將引發嚴重的后果。數據中心作為數據存儲、運行的基礎設施,和發電廠、自來水廠一樣舉足輕重。此次鄭州因極端暴雨造成停電停網,繼而進一步導致城市關鍵基礎設施業務中斷,這給商業銀行數據中心應急管理帶來深刻的啟示和思考。
數據中心應急災害事件盤點
歷史上,亞馬遜、三星以及歐洲云計算巨頭OVH的數據中心都遭遇過重大事故,甚至部分事故引發了不可挽回的嚴重后果。
2014年4月,三星在韓國首爾郊區果川的機房發生重大火災。三星官網因此暫時癱瘓,部分手機用戶的服務也受到了影響。2015年10月,Windows Azure上海數據中心發生故障,故障由服務器所在機房著火斷電引起,導致Azure基礎設施離線無法提供正常服務,受影響的用戶包括金融、互聯網、房地產等行業。2017年4月,北京郵電大學網絡數據中心突發火災。起火原因系UPS蓄電池組故障引起。由于北郵的網絡信息中心機房是北京多所高校的校園網上游節點機房,此次起火導致包括中國政法、北京理工、北航等多所北京高校網絡中斷。2018年11月,韓國三大電信運營商之一KT位于首爾市中心的大樓發生火災,事故原因為地下電纜隧道起火。火災燒毀16.8萬股電話線和220套光纜。由于通信設備受損,此次事故導致韓國的警察、醫院、金融等社會基礎設施被迫停轉。2020年8月,澳洲電信Telstra位于英國首都倫敦的托管數據中心由于UPS故障引起火災并引起宕機。當地消防部門共調集了4輛消防車和25名消防員到場救援。2021年3月,歐洲云計算巨頭OVH位于法國斯特拉斯堡的機房發生嚴重火災,這場大火徹底摧毀了五層高、占地500平方米的SBG2數據中心,并導致相鄰SBG1服務器發生損壞。本次火情導致約360萬家網站出現故障,約1.5萬名客戶的資料可能受到影響,部分客戶數據完全丟失且無法恢復,其中包括法國政府的部分數據。
數據中心應急災害事件分析
災害,是指能夠對人類和人類賴以生存的環境造成破壞性影響的事物總稱,包括一切對自然生態環境、人類社會的物質和精神文明建設,尤其是人們的生命財產等造成危害的天然事件和社會事件,主要包括地震、洪水、颶風、暴雨、火災等。
數據中心機房作為海量數據的關鍵載體,是信息化的核心場所,其復雜性、特殊性和重要性不言而喻,一旦發生災害或者事故,造成宕機,影響業務正常運營,將產生極為嚴重的經濟后果和社會后果。隨著國內商業銀行數字化轉型和線上化趨勢進一步加快,銀行數據中心如何避免重大安全事故和人身傷亡,保證基礎設施穩定運行將是一個重要挑戰。
1.數據中心消防安全隱患分析。數據中心可能面臨的災害類型眾多,本文以數據中心最多發頻發和導致嚴重后果的消防安全隱患來分析,其原因和處置難點主要分為以下幾種。
一是設備故障——機房內配電系統、用電設備、電腦、UPS系統、空調等設備始終處于24小時的工作狀態,易產生疲勞和老化故障。二是電氣線纜故障,電氣線路短路、過載、接觸電阻過大等易引發火災。三是可燃材料,機房內使用或存在各類易燃可燃材料。四是雷擊等強電侵入導致火災。五是靜電,通信設備的運行及工作人員所穿的衣服等都能產生靜電。如果機房接地處理不當,形成高電位,可能發生靜電導電產生火花并引燃周圍可燃物發生火災。
2.數據中心火災隱患處理難點分析。基于數據中心的特殊性,一旦發生火災隱患則難以處理。其難點主要如下。
一是環境封閉,易產生熱量積累。數據中心由于對環境的溫度、濕度及潔凈度要求較高,所以采用封閉空間的方式建造。如《數據中心設計規范》(GB50174-2017)6.3.3條明確指出“主機房不宜設置外窗。”由于密閉無窗,熱煙氣無法通過窗戶順利排出。
二是設備大量采用化工產品,易產生有毒煙氣。數據中心在設計之初使用了大量的服務器、電線、電氣設備等,這些材料在燃燒過程中,會產生許多有毒或有刺激氣體,對人身健康有巨大的影響。
三是各類電器使用量大,線路復雜。近年來的新建數據中心幾乎都是高壓配電機柜,用電量越來越多,常有負載超過連線和電路結構的承載能力,引發積熱、打火、斷路、數據損失,甚至電氣火災等事故發生。此外,由于長期高負荷運轉,部分電氣線路的絕緣保護層會因為高溫而加速老化,易形成陰燃。
四是氣體滅火系統帶來的管理難題。由于數據中心的特殊性,數據中心機房消防系統多采用氣體滅火系統。氣體滅火系統有諸多優點,如滅火效率高、不易產生二次傷害等。但氣體滅火系統也有其不足,首先是容易發生誤噴,由于工程本身的誤差,難以完全杜絕。其次是對管理要求高,例如氣體滅火設施按現有設計,預警時間為30秒,如果場內人員無法及時逃離,極易造成人身傷亡。
打造以消防安全為中心的應急管理體系
從必要條件來分析,從外部形勢看,傳統上我國對消防工作的范圍僅限于滅火和防火,2008年汶川地震以后,我國及時總結經驗教訓、整合力量,著手組建以消防為中心的國家應急救援體系。2018年3月21日,中央印發《深化黨和國家機構改革方案》,公安消防部隊不再列武警部隊序列,全部退出現役,成建制劃歸應急管理部,發揮應急救援主力軍和國家隊的作用,承擔防范應對各類災害事故風險、保障人民群眾生命財產安全的重要職責。
從行業發展看,近年來,隨著銀行業數字化轉型進程的逐步加快和全社會安防體系的建立完善,銀行安全防范重點逐步轉移到線上反欺詐和線下安全生產領域。因此,銀行數據中心作為重要的關乎國計民生的重點場所,應主動順應外部政策形勢變化和行業轉型發展工作需要,積極打造以消防安全為中心的應急管理工作體系。
從充分條件來分析,首先,從數據中心面臨的各類災害風險的可能性和重要性來看,地震、洪水、暴雨等災情重但發生概率小,人員傷亡可能性小,相對來說,消防工作特別是電氣設備防火和滅火始終位居重中之重。其次,從消防工作職責來看,范圍涵蓋各類自然災害應急處置職責,參與各類自然災害應急響應和處置是應有之義。最后,從現實可行性來看,近年來國家各級消防部門大力推進微型消防站建設,從農業銀行的工作實際來看,目前,各級行、各級數據中心都已按要求或通過自建或物業,組建和配備了較為完善的微型消防站人員和裝備。綜上所述,數據中心具有建立和完善以消防為中心的應急管理體系的能力和基礎。
根據上述因素,筆者認為,商業銀行數據中心應急管理體系建設應著力做好以下幾方面工作。
一是著力做好應急風險評估和分級。國家《數據中心設計規范》(GB50174-2017)將數據中心按照使用性質、重要性、損害程度劃分為三級,其中A級數據中心宜按容錯系統配置,B級數據中心宜按冗余要求配置,并對不同級別數據中心在數據保障時間、選址、抗洪等均有不同要求。數據中心在建設時,應嚴格比照相關國家和行業規范,充分考慮各類災害發生的可能性和發生概率,將數據中心主要系統按照關鍵系統、必要系統和可選系統做好分類,做好各類主要風險分類分析和風險評估,以便有針對性的做好響應準備。
二是著力抓好科技設施建設。一個良好完善的應急安全體系應當包括警衛、消防、安防三個方面,從另一方面則是物防、技防和人防。警衛主要負責外圍警戒,包括人員篩查、人員分類、門禁分區授權等等。消防主要包括內外部各類消防設備設施的建設使用、早期發現、應急處置等。安防主要是各類視頻監控攝像頭及各類物聯網設備設施的使用管理等等。三者并無絕對劃分,而是各有側重,相互配合共同組成應急體系。農業銀行近年來大力推進消安一體化建設,打通消防安防壁壘,大力建設電氣火災監測報警系統建設,力圖通過監測電壓、電流的變化實時發現風險,消滅數據中心最大的電氣隱患,在試點行均取得了良好的應用效果。
三是著力做好應急人員配備。再好的設備設施,都要由專業的人來操作使用,這在平時或許看不出什么不同,在關鍵時刻就會有較大的區別,這一點在公共安全領域表現的尤其明顯。對數據中心來說,應積極招聘一些具有公共安全、應急管理、消防等專業或相關工作履歷的人員,讓專業的人做專業的事,依托物業公司和“微型消防站”建設,著力建設一支訓練有素的應急人員隊伍,有針對性地開展各類注入滅火、反恐、防洪、反搶劫等應急發現和應急處置,如此才能有備無患、常備常安。
四是著力做好應急預案制定和培訓演練。一個好的應急預案應該是考慮周全、靈活性高而且簡便容易執行,應當充分考慮災害情況和自身的狀況、薄弱環節、可調配的資源等,并且在日常培訓演練中反復灌輸,讓員工熟知熟記,從而能在災害來臨時有條不紊、從容應對。在本次鄭州暴雨災害中,倘若相關數據中心能夠及時關注氣象局暴雨紅色預警,加強應急物資儲備,做好突發極端情況應急準備,充分考慮一旦市電切斷,自儲油料不足,社會救援不及等極端情況,或許就不會造成那么大的社會影響和經濟損失。
圖 中國農業銀行總行機關消防演練現場
五是著力做好災備中心建設。對于商業銀行來說,災備管理是業務連續性管理和應急管理交集中的一種極端特殊情況,專門針對IT風險。從某種意義上,災備管理從屬于應急管理的大范圍之下。數據中心作為銀行IT業務的核心場所,應著力做好災備中心建設,同步完成災備中心的系統、網絡和環境等基礎資源配置和運行維護,按照相關備份策略按時完成數據備份。當災難發生后,災難恢復組織機構的各層人員立即響應,在生產系統成功切換到災備中心運行后,要按照生產中心的規章制度、操作流程、技術規范來管理,保障生產系統安全穩定運行。以農業銀行為例,近年來積極推動“兩地三中心”災備項目,通過定期開展培訓演練和壓力測試等措施,從而為全行災備管理和IT應急管理奠定了良好基礎。
