【51CTO觀察】近日在Standalone Sysadmin博客上看到Matt Simmons的一篇文章，標題叫做“Eventual regulation of system administration?”（系統(tǒng)管理的***規(guī)章化），針對系統(tǒng)管理/IT運維這一行業(yè)是否能夠像工程領(lǐng)域和醫(yī)療領(lǐng)域那樣建立統(tǒng)一規(guī)章標準一事進行了探討。標題一眼看去，還以為是與系統(tǒng)管理員的培訓(xùn)體系相關(guān)的討論；但仔細一看，發(fā)現(xiàn)Matt所說的“規(guī)章化”跟培訓(xùn)、執(zhí)照什么的并沒有多大關(guān)系，而且里面的很多觀點也十分有意思，所以決定將相關(guān)的觀點整理一下，與大家分享探討。

規(guī)章化（Regulation）一詞按照字面理解，其定義為“權(quán)威方發(fā)布并維護的規(guī)章制度”；不過在工程領(lǐng)域和醫(yī)療領(lǐng)域，規(guī)章化可以基本等同于“風(fēng)險控制”。Matt在文中一上來就推薦了《Risk Society》這本書（中文名稱叫《風(fēng)險社會》），這本書在上世紀90年代中期對工程領(lǐng)域的運作規(guī)則造成了不小的影響。按照Matt的超級簡版介紹，這本書的中心思想就是：“社會太復(fù)雜了，工程學(xué)的方式不可能將風(fēng)險完全排除。”

[[50143]]

目前看來，很多企業(yè)的IT架構(gòu)已經(jīng)發(fā)展成為非常復(fù)雜的系統(tǒng)，以至于它們面臨著跟社會一樣的風(fēng)險問題。所謂風(fēng)險無法規(guī)避，背后的根源在于造成失效（Failure）的因素并不單一：磁盤壞了，或者交換機故障了，或者系統(tǒng)漏洞被利用了，或者管理員不小心刪除了什么重要的系統(tǒng)文件，或者網(wǎng)線的水晶頭壞了，或者掃地的大媽將服務(wù)器的電源關(guān)了……甚至很多外界的因素（比如空調(diào)壞了）都會造成系統(tǒng)失效。

換句話說，你如果把一個IT架構(gòu)放在那里不管，那么系統(tǒng)失效才是它的默認狀態(tài)，而工作狀態(tài)其實是一系列復(fù)雜因素“恰到好處”的組合在一起之后的小概率事件。與其問它為什么會失效，倒不如問它為什么沒有失效。

系統(tǒng)管理員在其職業(yè)生涯中會遇到很多不同原因造成系統(tǒng)失效的情況，如何將這些因素傳承下去，則是IT運維規(guī)章化的目的。

現(xiàn)在的問題在于，IT是一個過于年輕的領(lǐng)域（C語言之父Dennis Ritchie的去世在一定程度上宣告了這個領(lǐng)域已經(jīng)脫離了幼年期），雖然我們在大型系統(tǒng)架構(gòu)方面已經(jīng)積累了不少經(jīng)驗，但是經(jīng)驗的傳承仍是個問題。按照Matt的話來形容，“很多菜鳥系統(tǒng)管理員成長為資深人士的過程，就好象一個特別擅長搭電動合金積木的小孩子被雇傭建造一架人行天橋；如果這架人行天橋沒有垮掉，這個小孩子將會負責建造一些跨州大橋。”

在醫(yī)療領(lǐng)域和建筑工程領(lǐng)域，由于人命關(guān)天，這種事情顯然是不可接受的；那么對于IT領(lǐng)域而言，我們難道就不需要有一些統(tǒng)一的規(guī)章來減少系統(tǒng)管理員們因為已知的錯誤而再次造成系統(tǒng)失效的幾率嗎？

其實是有的。事實上，現(xiàn)在針對IT系統(tǒng)管理的規(guī)章倒不是沒有，反而倒是太多了。

首先，IT業(yè)內(nèi)人士對下面這兩個法案應(yīng)該都不陌生，這正是目前已經(jīng)進入實踐的一些在非IT領(lǐng)域的IT風(fēng)險控制規(guī)章：

◆薩班斯法案（SOX）

薩班斯法案對公司治理、會計師行業(yè)監(jiān)管和證券市場監(jiān)管等方面提出了許多嚴格要求，并設(shè)定了問責機制和相應(yīng)的懲罰措施。凡在美國上市的公司，都必須實踐薩班斯法案的標準。薩班斯法案中的第302款、第404款、第409款和第802款條例都對IT操作有直接影響，其中尤其以法案404條款提到的“內(nèi)控體系”為主。企業(yè)內(nèi)控很大程度上就是IT內(nèi)控，用于控制IT信息系統(tǒng)停頓、不可用和泄密等問題。

◆巴塞爾協(xié)議（Basel）

巴塞爾協(xié)議主要針對銀行和金融機構(gòu)，其核心內(nèi)容就是銀行的風(fēng)險管理。銀行IT風(fēng)險主要分為三部分，即IT環(huán)境的風(fēng)險（包括組織架構(gòu)、物理環(huán)境、外包等方面），IT運行風(fēng)險（包括IT資產(chǎn)脆弱性、誤操作、欺詐、信息泄露、系統(tǒng)中斷等方面），以及基于IT的金融產(chǎn)品和服務(wù)的風(fēng)險。

在醫(yī)療、航空航天等領(lǐng)域，目前也有一些針對IT人員的強制性規(guī)范。

另一方面，在IT行業(yè)本身，也出現(xiàn)了不少建議的規(guī)范條例：

• COBIT
• COSO
• ITIL
• ISO/IEC 17799:2005
• FIPS Pub 200
• ISO/IEC TR13335
• ISO/IEC 15408 2005/Common Criteria/ITSEC
• PRINCE2
• PMBOK
• TickIT
• CMMI
• TOGAF 8.1
• IT Baseline Protection Manual
• NIST 800-14

對于企業(yè)而言，這樣就有兩個很重要的問題：

1. 規(guī)章是否已落地或正在落地？——執(zhí)行規(guī)章是有成本的，如非強制執(zhí)行，企業(yè)未必能找到充足的理由說服自己執(zhí)行以上規(guī)章。
2. 不同規(guī)章各有特點和優(yōu)缺點，如何選擇合適的規(guī)章，并與自己企業(yè)的審計工作融合？——尤其是可選擇的規(guī)章多達十數(shù)個的時候。

你所在的領(lǐng)域是否人命關(guān)天（或金錢相關(guān)）？你的企業(yè)對于IT方面的風(fēng)險控制進行了什么努力？你認為我們需要一個“***的”IT管理規(guī)章嗎？歡迎探討！

【編輯推薦】

1. IT管理員也瘋狂：五類內(nèi)賊需提防
2. 基于ITIL的IT運維管理系統(tǒng)概述
3. 薩班斯法案SOX與信息安全審計