如今，數(shù)據(jù)中心管理人員正在不斷地與面臨的風(fēng)險進行戰(zhàn)斗。除了使用有限的電力和制冷系統(tǒng)將計算資源在有限的空間發(fā)揮到極致之外，他們的工作還要確保計算資源能夠不間斷性運作。這意味著需要識別和管理各種來源的風(fēng)險。

[[195883]]

基于標(biāo)準(zhǔn)的風(fēng)險管理方法可以幫助解決這一挑戰(zhàn)。它可以幫助數(shù)據(jù)中心管理人員優(yōu)先考慮其重大風(fēng)險，并為數(shù)據(jù)中心或關(guān)鍵環(huán)境審計做好準(zhǔn)備。那么具體是從哪兒開始?

了解不同類型的風(fēng)險

在能夠管理數(shù)據(jù)中心風(fēng)險之前，必須了解不同類別的操作威脅。法國跨國IT咨詢機構(gòu)凱捷公司的GIO英國高級派送中心經(jīng)理Kevin Read主要負責(zé)管理其組織中的數(shù)據(jù)中心風(fēng)險，該機構(gòu)擁有并運營自己的數(shù)據(jù)中心設(shè)施為客戶提供服務(wù)。他指出了數(shù)據(jù)中心管理人員擔(dān)心的幾個風(fēng)險類別。

他警告說："關(guān)鍵任務(wù)型數(shù)據(jù)中心面臨的首要風(fēng)險類別是電力中斷。這種風(fēng)險對于每個數(shù)據(jù)中心來說都是存在的，而風(fēng)險管理框架將其納入其中。像許多其他數(shù)據(jù)中心一樣，凱捷公司使用等級對風(fēng)險進行評級，這有助于揭示諸如此類的破壞性風(fēng)險。"

"凱捷公司按照Tier 3標(biāo)準(zhǔn)設(shè)計和建設(shè)了數(shù)據(jù)中心設(shè)施，采用'N + 1'和'N + N'冗余的UPS供電系統(tǒng)為客戶提供，并為機架設(shè)備和冷卻系統(tǒng)提供不間斷電源。"Read說，"此外，將不同來源電力提供給數(shù)據(jù)中心，可防止本地發(fā)生的電力故障，而采用備用發(fā)電機是最后的技術(shù)保障手段。"

第二個風(fēng)險是火災(zāi)，由數(shù)據(jù)中心內(nèi)部的IT設(shè)備故障導(dǎo)致服務(wù)中斷。他補充說，該公司在所有數(shù)據(jù)中心所有房間內(nèi)布置使用惰性氣體滅火系統(tǒng)，以便在火災(zāi)蔓延前撲滅。

"第三個風(fēng)險類別是洪水(河水上漲和雷電、暴雨等極端天氣)、飛機、傳染病以及空氣污染，"他繼續(xù)說。 "數(shù)據(jù)中心建設(shè)場地不應(yīng)該選擇建在飛行路線上，或者是靠近洪水風(fēng)險區(qū)域，以及靠近污染或可能含有爆炸性化學(xué)物質(zhì)的工廠。"

最后，讀取指向安全是第四個風(fēng)險類別。這其中包括物理安全和邏輯安全漏洞(黑客)的風(fēng)險。該公司甚至將恐怖主義威脅納入這一風(fēng)險類別。

像其他類別的風(fēng)險一樣，安全性自然會分解成許多子類別，而這些分類可以進一步分化。例如，在邏輯安全性中，管理人員可以將員工對應(yīng)用程序的訪問視為特定的風(fēng)險區(qū)域，并將移動設(shè)備訪問作為另一個風(fēng)險區(qū)域。

一些風(fēng)險隨著新技術(shù)的出現(xiàn)而成為主流。例如，CA 技術(shù)公司安全解決方案總監(jiān)Paul Ferron警告說，虛擬化應(yīng)用是一種特殊的安全隱患。他警告說，這種經(jīng)常被描述為管理和資源風(fēng)險的現(xiàn)象也可能對數(shù)據(jù)安全造成影響。

"虛擬機可以很容易地被復(fù)制在沒有適當(dāng)?shù)陌踩貦?quán)時，"他警告說。 "當(dāng)用戶在使用結(jié)束后，它們可能不會被關(guān)閉。"

在這種情況下，與許多其他方案一樣，為某些操作設(shè)計安全過程有助于規(guī)范虛擬化技術(shù)，并降低通過網(wǎng)絡(luò)進入漏洞的風(fēng)險，使用IT服務(wù)管理工具來編纂和自動化這些流程，這進一步減少了風(fēng)險。

云計算托管商Pulsant公司首席技術(shù)官Matt Lovell在這些風(fēng)險組合中還增加了健康和安全風(fēng)險。

他警告說，這些風(fēng)險都是多方面的，工作人員將面對從電氣實踐和機械操作安全，到環(huán)境和噪聲控制，以及在空間有限的領(lǐng)域工作的挑戰(zhàn)。

他說："這需要對合規(guī)性和安全性進行大量的工作測量，以確保在環(huán)境中所有工作人員面臨最小的風(fēng)險。"

風(fēng)險管理方法

這些風(fēng)險并不都是平等的。其中，有些風(fēng)險會比其他風(fēng)險更有威脅，而有些風(fēng)險可能會有更大的潛在影響。因此，人們需要從預(yù)算視角來了解哪些優(yōu)先事項是這個進程的重要組成部分。

Ferron建議數(shù)據(jù)中心管理人員使用傳統(tǒng)風(fēng)險管理矩陣最新版本來評估同時存在風(fēng)險的概率以及潛在的業(yè)務(wù)影響。"這將是一個三維圖形，"他補充說，三維圖形可以表明減輕相關(guān)風(fēng)險的預(yù)計支出。

讀取操作也具有類似的方法，旨在識別和量化風(fēng)險及其潛在的緩解成本。值得注意的是，他的風(fēng)險管理系統(tǒng)被設(shè)計成一個隨時間推移而不斷變化的文件。

他說："在凱捷公司，我們制定了一個月度風(fēng)險管理系統(tǒng)，將所有風(fēng)險和問題記錄在遏制和行動計劃中。但這需要更改投資預(yù)算".

雖然數(shù)據(jù)中心面臨著自己獨特的風(fēng)險，但用于管理數(shù)據(jù)中心的方法并不只是針對這種環(huán)境。更通用的風(fēng)險管理方法適合描述和處理數(shù)據(jù)中心的風(fēng)險，因為風(fēng)險在其他領(lǐng)域也是如此。

Lovell說，這個通用的風(fēng)險管理標(biāo)準(zhǔn)是ISO 31000：2009.該標(biāo)準(zhǔn)規(guī)定了風(fēng)險管理的一般原則和準(zhǔn)則，旨在根據(jù)每個用戶認為合適的風(fēng)險類型進行調(diào)整。它更符合風(fēng)險管理框架，但Lovell表示，它也可用于審計數(shù)據(jù)中心內(nèi)的審計風(fēng)險防范。

他說："審計程序必須設(shè)法確定正確的響應(yīng)程序是否到位，這些都是由員工排練和理解的，這將隨時間而改變，因此必須不斷更新。".

數(shù)據(jù)中心不能單獨發(fā)揮作用。它們存在于一個更廣泛的連續(xù)的技術(shù)與商業(yè)目標(biāo)。風(fēng)險管理技術(shù)將成為一個更廣泛風(fēng)險管理的一部分。特別是大公司將會探索各種風(fēng)險，從財務(wù)到監(jiān)管和組織。

數(shù)據(jù)中心的風(fēng)險在多大程度上與公司不同。在凱捷公司的案例中，數(shù)據(jù)中心管理人員負責(zé)該設(shè)施的安全，并將管理每月的風(fēng)險和問題流程。數(shù)據(jù)中心管理人員連同其英國數(shù)據(jù)中心主管一起，每月都會與首席財務(wù)官團隊進行會議溝通，以預(yù)測任何重大風(fēng)險支出。

Pulsant公司的Lovell說，數(shù)據(jù)中心合規(guī)團隊通常會以某種形式向董事會匯告。"這個團隊有向董事會成員提交管理和報告的責(zé)任和義務(wù)。這可能與其他可能通過各種項目或組織結(jié)構(gòu)報告的IT治理計劃不同。"他說。

Lovell補充說，在理想情況下，在管理風(fēng)險和報告結(jié)果時應(yīng)該分擔(dān)責(zé)任。"建議始終是適當(dāng)?shù)毓芾盹L(fēng)險，這應(yīng)該涉及監(jiān)控和提供數(shù)據(jù)中心服務(wù)的運營團隊之外的獨立管理和驗證水平。這可以是獨立的內(nèi)部或外部治理團隊。"

選擇審計方法

這里的關(guān)鍵詞是驗證。量化，優(yōu)先排序和降低風(fēng)險是風(fēng)險管理挑戰(zhàn)的一部分，但衡量數(shù)據(jù)中心在這些領(lǐng)域的業(yè)績是該過程的重要組成部分。對風(fēng)險進行審計將有助于內(nèi)部員工和潛在客戶(如有必要)了解如何在數(shù)據(jù)中心的運營中控制各種風(fēng)險來源。

在選擇審計以彌補數(shù)據(jù)中心的風(fēng)險之前，管理人員必須了解自己想要實現(xiàn)的目標(biāo)。風(fēng)險審計是否以客戶為導(dǎo)向?如果是，客戶正在尋找什么具體的標(biāo)準(zhǔn)?是否有客戶希望獲得特定的數(shù)據(jù)中心打擊的風(fēng)險管理指標(biāo)?

數(shù)據(jù)中心的風(fēng)險緩解服務(wù)供應(yīng)商也可能會進行審計。Read說，例如，凱捷公司的數(shù)據(jù)中心由其本集團和政府客戶以及凱捷公司的保險公司定期進行審核。

審計標(biāo)準(zhǔn)

風(fēng)險審計面臨的最大挑戰(zhàn)之一是所涉風(fēng)險類別的多樣性。很難在一個標(biāo)準(zhǔn)下對所有這些風(fēng)險進行審核，這意味著數(shù)據(jù)中心管理人員在進行審核時可能需要采用各種標(biāo)準(zhǔn)。

在考慮安全性時，ISO 27002標(biāo)準(zhǔn)涵蓋了信息安全管理的實踐守則。它對各種不同的方面進行規(guī)范，包括人力資源安全，物理和環(huán)境安全以及訪問控制。

支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCI-DSS)也涵蓋了信息安全，這是一個高度規(guī)范的標(biāo)準(zhǔn)，重點是數(shù)據(jù)中心信用卡數(shù)據(jù)的組織和保留。它涵蓋了安全網(wǎng)絡(luò)的建設(shè)和維護，漏洞的管理以及網(wǎng)絡(luò)和系統(tǒng)監(jiān)控等。

對于處理政府部門信息的商業(yè)運營商而言，可能需要進行其他審核。在英國，List X是承包商處理政府?dāng)?shù)據(jù)的通常理解的安全許可系統(tǒng)，而在美國，F(xiàn)acility Clearance Levels是備選方案。

"從健康和安全的角度來看，許多數(shù)據(jù)中心運營商正在努力做到符合OHSAS18001的標(biāo)準(zhǔn)，OHSAS18001是國際公認的衛(wèi)生和安全管理及相關(guān)系統(tǒng)標(biāo)準(zhǔn)。"Lovell補充說。

環(huán)境保護審核往往低于ISO14001標(biāo)準(zhǔn)。數(shù)據(jù)中心不妨考慮這種審計標(biāo)準(zhǔn)和環(huán)境風(fēng)險，在現(xiàn)場儲存大量柴油來處理發(fā)電機的要求可采用這種標(biāo)準(zhǔn)。

利益相關(guān)者

Tenable網(wǎng)絡(luò)安全公司的技術(shù)總監(jiān)Gavin Millard表示，在定義和降低風(fēng)險方面，通常有多個利益相關(guān)者參與其中，該公司銷售旨在掃描網(wǎng)絡(luò)以進行安全威脅的軟件。他將利益相關(guān)者分為三個主要組織：安全團隊，運營團隊和業(yè)務(wù)部門。

問題是，并不是所有人都有相同的議程，他警告說："正如許多組織發(fā)現(xiàn)的那樣，每個組織的目標(biāo)和需求往往是相互沖突的，這就是為了減少每個特定組織的風(fēng)險定義所需要的行動。"他說。

這些沖突看起來像什么?一個例子涉及軟件補丁。這是減少組織安全風(fēng)險的最有效方法之一。2013年7月，澳大利亞安全部門發(fā)布了一系列減輕網(wǎng)絡(luò)入侵的策略。補丁操作系統(tǒng)是這些措施之一，補丁應(yīng)用程序是另一個措施。該機構(gòu)表示，與此同時，應(yīng)用白名單和最小化管理權(quán)限將會消除85%的黑客攻擊。

問題在于，IT安全小組的重點是集中在消除攻擊者可能侵入的系統(tǒng)中的漏洞，從而可以減少數(shù)據(jù)泄露的風(fēng)險。這需要它快速修補關(guān)鍵漏洞。相反，IT運營團隊需要盡量減少停機的風(fēng)險，這意味著系統(tǒng)的任何更改必須進行結(jié)構(gòu)化，計劃和控制。這可能會導(dǎo)致運營團隊要求不太頻繁的修補計劃來降低可用性風(fēng)險。

企業(yè)的業(yè)務(wù)經(jīng)理有自己獨立的議程：維持底線并達到其業(yè)績目標(biāo)。所以他們只想要補丁部署，如果底線的利益超過完成工作的成本的話。

"相互沖突的目標(biāo)可能難以解決，但這樣做的最有效的方法之一是有一個高效的過程，不斷識別風(fēng)險所在，"Millard說，"用戶還需要一種可預(yù)測的，可靠的更新系統(tǒng)的方法，而不影響組織的總體業(yè)務(wù)目標(biāo)。

那么有效管理風(fēng)險就不僅僅是對數(shù)據(jù)中心的威脅進行評估，而且還包括團隊成員之間合作的意愿，以便所有的議程都能被愉快地容納。在某些情況下，這可能為新的工作實踐創(chuàng)造機會。

引入DevOps(開發(fā)/運營)學(xué)科來簡化開發(fā)，測試和部署之間的工作流程，可能有助于緩解諸如Millard所描述的緊張關(guān)系。

與IT中的大多數(shù)事情一樣，有效的風(fēng)險管理和以技術(shù)為重點的流程一樣，也是以人為本的流程。使用標(biāo)準(zhǔn)化方法和審計可以幫助量化數(shù)據(jù)中心面臨的風(fēng)險，并可能影響未來的預(yù)算。它總是有助于衡量數(shù)據(jù)中心必須管理的內(nèi)容。