IT系統(tǒng)管理的終極規(guī)章化?
原創(chuàng)【51CTO觀察】近日在Standalone Sysadmin博客上看到Matt Simmons的一篇文章,標(biāo)題叫做“Eventual regulation of system administration?”(系統(tǒng)管理的***規(guī)章化),針對(duì)系統(tǒng)管理/IT運(yùn)維這一行業(yè)是否能夠像工程領(lǐng)域和醫(yī)療領(lǐng)域那樣建立統(tǒng)一規(guī)章標(biāo)準(zhǔn)一事進(jìn)行了探討。標(biāo)題一眼看去,還以為是與系統(tǒng)管理員的培訓(xùn)體系相關(guān)的討論;但仔細(xì)一看,發(fā)現(xiàn)Matt所說(shuō)的“規(guī)章化”跟培訓(xùn)、執(zhí)照什么的并沒(méi)有多大關(guān)系,而且里面的很多觀點(diǎn)也十分有意思,所以決定將相關(guān)的觀點(diǎn)整理一下,與大家分享探討。
規(guī)章化(Regulation)一詞按照字面理解,其定義為“權(quán)威方發(fā)布并維護(hù)的規(guī)章制度”;不過(guò)在工程領(lǐng)域和醫(yī)療領(lǐng)域,規(guī)章化可以基本等同于“風(fēng)險(xiǎn)控制”。Matt在文中一上來(lái)就推薦了《Risk Society》這本書(中文名稱叫《風(fēng)險(xiǎn)社會(huì)》),這本書在上世紀(jì)90年代中期對(duì)工程領(lǐng)域的運(yùn)作規(guī)則造成了不小的影響。按照Matt的超級(jí)簡(jiǎn)版介紹,這本書的中心思想就是:“社會(huì)太復(fù)雜了,工程學(xué)的方式不可能將風(fēng)險(xiǎn)完全排除。”
目前看來(lái),很多企業(yè)的IT架構(gòu)已經(jīng)發(fā)展成為非常復(fù)雜的系統(tǒng),以至于它們面臨著跟社會(huì)一樣的風(fēng)險(xiǎn)問(wèn)題。所謂風(fēng)險(xiǎn)無(wú)法規(guī)避,背后的根源在于造成失效(Failure)的因素并不單一:磁盤壞了,或者交換機(jī)故障了,或者系統(tǒng)漏洞被利用了,或者管理員不小心刪除了什么重要的系統(tǒng)文件,或者網(wǎng)線的水晶頭壞了,或者掃地的大媽將服務(wù)器的電源關(guān)了……甚至很多外界的因素(比如空調(diào)壞了)都會(huì)造成系統(tǒng)失效。
換句話說(shuō),你如果把一個(gè)IT架構(gòu)放在那里不管,那么系統(tǒng)失效才是它的默認(rèn)狀態(tài),而工作狀態(tài)其實(shí)是一系列復(fù)雜因素“恰到好處”的組合在一起之后的小概率事件。與其問(wèn)它為什么會(huì)失效,倒不如問(wèn)它為什么沒(méi)有失效。
系統(tǒng)管理員在其職業(yè)生涯中會(huì)遇到很多不同原因造成系統(tǒng)失效的情況,如何將這些因素傳承下去,則是IT運(yùn)維規(guī)章化的目的。
現(xiàn)在的問(wèn)題在于,IT是一個(gè)過(guò)于年輕的領(lǐng)域(C語(yǔ)言之父Dennis Ritchie的去世在一定程度上宣告了這個(gè)領(lǐng)域已經(jīng)脫離了幼年期),雖然我們?cè)诖笮拖到y(tǒng)架構(gòu)方面已經(jīng)積累了不少經(jīng)驗(yàn),但是經(jīng)驗(yàn)的傳承仍是個(gè)問(wèn)題。按照Matt的話來(lái)形容,“很多菜鳥系統(tǒng)管理員成長(zhǎng)為資深人士的過(guò)程,就好象一個(gè)特別擅長(zhǎng)搭電動(dòng)合金積木的小孩子被雇傭建造一架人行天橋;如果這架人行天橋沒(méi)有垮掉,這個(gè)小孩子將會(huì)負(fù)責(zé)建造一些跨州大橋。”
在醫(yī)療領(lǐng)域和建筑工程領(lǐng)域,由于人命關(guān)天,這種事情顯然是不可接受的;那么對(duì)于IT領(lǐng)域而言,我們難道就不需要有一些統(tǒng)一的規(guī)章來(lái)減少系統(tǒng)管理員們因?yàn)橐阎腻e(cuò)誤而再次造成系統(tǒng)失效的幾率嗎?
其實(shí)是有的。事實(shí)上,現(xiàn)在針對(duì)IT系統(tǒng)管理的規(guī)章倒不是沒(méi)有,反而倒是太多了。
首先,IT業(yè)內(nèi)人士對(duì)下面這兩個(gè)法案應(yīng)該都不陌生,這正是目前已經(jīng)進(jìn)入實(shí)踐的一些在非IT領(lǐng)域的IT風(fēng)險(xiǎn)控制規(guī)章:
◆薩班斯法案(SOX)
薩班斯法案對(duì)公司治理、會(huì)計(jì)師行業(yè)監(jiān)管和證券市場(chǎng)監(jiān)管等方面提出了許多嚴(yán)格要求,并設(shè)定了問(wèn)責(zé)機(jī)制和相應(yīng)的懲罰措施。凡在美國(guó)上市的公司,都必須實(shí)踐薩班斯法案的標(biāo)準(zhǔn)。薩班斯法案中的第302款、第404款、第409款和第802款條例都對(duì)IT操作有直接影響,其中尤其以法案404條款提到的“內(nèi)控體系”為主。企業(yè)內(nèi)控很大程度上就是IT內(nèi)控,用于控制IT信息系統(tǒng)停頓、不可用和泄密等問(wèn)題。
◆巴塞爾協(xié)議(Basel)
巴塞爾協(xié)議主要針對(duì)銀行和金融機(jī)構(gòu),其核心內(nèi)容就是銀行的風(fēng)險(xiǎn)管理。銀行IT風(fēng)險(xiǎn)主要分為三部分,即IT環(huán)境的風(fēng)險(xiǎn)(包括組織架構(gòu)、物理環(huán)境、外包等方面),IT運(yùn)行風(fēng)險(xiǎn)(包括IT資產(chǎn)脆弱性、誤操作、欺詐、信息泄露、系統(tǒng)中斷等方面),以及基于IT的金融產(chǎn)品和服務(wù)的風(fēng)險(xiǎn)。
在醫(yī)療、航空航天等領(lǐng)域,目前也有一些針對(duì)IT人員的強(qiáng)制性規(guī)范。
另一方面,在IT行業(yè)本身,也出現(xiàn)了不少建議的規(guī)范條例:
- COBIT
- COSO
- ITIL
- ISO/IEC 17799:2005
- FIPS Pub 200
- ISO/IEC TR13335
- ISO/IEC 15408 2005/Common Criteria/ITSEC
- PRINCE2
- PMBOK
- TickIT
- CMMI
- TOGAF 8.1
- IT Baseline Protection Manual
- NIST 800-14
對(duì)于企業(yè)而言,這樣就有兩個(gè)很重要的問(wèn)題:
- 規(guī)章是否已落地或正在落地?——執(zhí)行規(guī)章是有成本的,如非強(qiáng)制執(zhí)行,企業(yè)未必能找到充足的理由說(shuō)服自己執(zhí)行以上規(guī)章。
- 不同規(guī)章各有特點(diǎn)和優(yōu)缺點(diǎn),如何選擇合適的規(guī)章,并與自己企業(yè)的審計(jì)工作融合?——尤其是可選擇的規(guī)章多達(dá)十?dāng)?shù)個(gè)的時(shí)候。
你所在的領(lǐng)域是否人命關(guān)天(或金錢相關(guān))?你的企業(yè)對(duì)于IT方面的風(fēng)險(xiǎn)控制進(jìn)行了什么努力?你認(rèn)為我們需要一個(gè)“***的”IT管理規(guī)章嗎?歡迎探討!
【編輯推薦】
