IT系統管理的終極規章化?
原創【51CTO觀察】近日在Standalone Sysadmin博客上看到Matt Simmons的一篇文章,標題叫做“Eventual regulation of system administration?”(系統管理的***規章化),針對系統管理/IT運維這一行業是否能夠像工程領域和醫療領域那樣建立統一規章標準一事進行了探討。標題一眼看去,還以為是與系統管理員的培訓體系相關的討論;但仔細一看,發現Matt所說的“規章化”跟培訓、執照什么的并沒有多大關系,而且里面的很多觀點也十分有意思,所以決定將相關的觀點整理一下,與大家分享探討。
規章化(Regulation)一詞按照字面理解,其定義為“權威方發布并維護的規章制度”;不過在工程領域和醫療領域,規章化可以基本等同于“風險控制”。Matt在文中一上來就推薦了《Risk Society》這本書(中文名稱叫《風險社會》),這本書在上世紀90年代中期對工程領域的運作規則造成了不小的影響。按照Matt的超級簡版介紹,這本書的中心思想就是:“社會太復雜了,工程學的方式不可能將風險完全排除。”
目前看來,很多企業的IT架構已經發展成為非常復雜的系統,以至于它們面臨著跟社會一樣的風險問題。所謂風險無法規避,背后的根源在于造成失效(Failure)的因素并不單一:磁盤壞了,或者交換機故障了,或者系統漏洞被利用了,或者管理員不小心刪除了什么重要的系統文件,或者網線的水晶頭壞了,或者掃地的大媽將服務器的電源關了……甚至很多外界的因素(比如空調壞了)都會造成系統失效。
換句話說,你如果把一個IT架構放在那里不管,那么系統失效才是它的默認狀態,而工作狀態其實是一系列復雜因素“恰到好處”的組合在一起之后的小概率事件。與其問它為什么會失效,倒不如問它為什么沒有失效。
系統管理員在其職業生涯中會遇到很多不同原因造成系統失效的情況,如何將這些因素傳承下去,則是IT運維規章化的目的。
現在的問題在于,IT是一個過于年輕的領域(C語言之父Dennis Ritchie的去世在一定程度上宣告了這個領域已經脫離了幼年期),雖然我們在大型系統架構方面已經積累了不少經驗,但是經驗的傳承仍是個問題。按照Matt的話來形容,“很多菜鳥系統管理員成長為資深人士的過程,就好象一個特別擅長搭電動合金積木的小孩子被雇傭建造一架人行天橋;如果這架人行天橋沒有垮掉,這個小孩子將會負責建造一些跨州大橋。”
在醫療領域和建筑工程領域,由于人命關天,這種事情顯然是不可接受的;那么對于IT領域而言,我們難道就不需要有一些統一的規章來減少系統管理員們因為已知的錯誤而再次造成系統失效的幾率嗎?
其實是有的。事實上,現在針對IT系統管理的規章倒不是沒有,反而倒是太多了。
首先,IT業內人士對下面這兩個法案應該都不陌生,這正是目前已經進入實踐的一些在非IT領域的IT風險控制規章:
◆薩班斯法案(SOX)
薩班斯法案對公司治理、會計師行業監管和證券市場監管等方面提出了許多嚴格要求,并設定了問責機制和相應的懲罰措施。凡在美國上市的公司,都必須實踐薩班斯法案的標準。薩班斯法案中的第302款、第404款、第409款和第802款條例都對IT操作有直接影響,其中尤其以法案404條款提到的“內控體系”為主。企業內控很大程度上就是IT內控,用于控制IT信息系統停頓、不可用和泄密等問題。
◆巴塞爾協議(Basel)
巴塞爾協議主要針對銀行和金融機構,其核心內容就是銀行的風險管理。銀行IT風險主要分為三部分,即IT環境的風險(包括組織架構、物理環境、外包等方面),IT運行風險(包括IT資產脆弱性、誤操作、欺詐、信息泄露、系統中斷等方面),以及基于IT的金融產品和服務的風險。
在醫療、航空航天等領域,目前也有一些針對IT人員的強制性規范。
另一方面,在IT行業本身,也出現了不少建議的規范條例:
- COBIT
- COSO
- ITIL
- ISO/IEC 17799:2005
- FIPS Pub 200
- ISO/IEC TR13335
- ISO/IEC 15408 2005/Common Criteria/ITSEC
- PRINCE2
- PMBOK
- TickIT
- CMMI
- TOGAF 8.1
- IT Baseline Protection Manual
- NIST 800-14
對于企業而言,這樣就有兩個很重要的問題:
- 規章是否已落地或正在落地?——執行規章是有成本的,如非強制執行,企業未必能找到充足的理由說服自己執行以上規章。
- 不同規章各有特點和優缺點,如何選擇合適的規章,并與自己企業的審計工作融合?——尤其是可選擇的規章多達十數個的時候。
你所在的領域是否人命關天(或金錢相關)?你的企業對于IT方面的風險控制進行了什么努力?你認為我們需要一個“***的”IT管理規章嗎?歡迎探討!
【編輯推薦】
