【廉环话】漫谈信息安全设计与治理之资源治理
2016-12-15 09:46:00 来源:来源:51CTO.com 评论:0 点击:
推广 | 令人窒息的奖品等你―2016最权威的全球开发者调研
【51CTO.com原创稿件】上周末,廉哥突然江郎才尽了,不知和大家漫谈些什么好。于是干脆从自己待腻了的地方去了一趟僧人待腻了的地方。对,我去修禅了。这次我可没带什么书,不去装什么。因为哥最近知道了心理学上有个“酝酿效应”,把难题放在心里,潜意识对其进行思索或探究,过上一段时间,灵感说不定就会迸发出来的,据说艺术家都这样。
话说禅房并不提供WIFI和空调,所以我关掉手机,身披皎洁的月光抄了一段《般若波罗蜜多心经》,然后静心打坐。不久,我的脑子里居然跳出了企业IT治理的“终极三问”:“Why、What、How to治理”。想着、想着、我就 睡 着 了。次日灵光一现,我终于悟到了。这些问题都是围绕着要为企业的良性运营提供合理的IT资源。当前企业要存活着实很不容易的,我们经常能听到不少人在辩论是否处于资本寒冬期。资本运作的学问我不懂,我只知道各类中小企业无论是什么时候都“只能吃补药不能泻药”,从“0”到“1”很容易,从“1”到“0”也不难,但是保持这个“1”就需要我们IT资源对企业日常运作提供常说的“运营保障”了。
古代打仗常说“兵马未动,粮草先行”,可见储备对战略制胜的重要性。同样治理好作为“储备”的企业资源也是至关重要的。就像城市交通管理局可以通过播放摄像头储存的信息,来找到哪个地方出现了什么问题,从而就可以马上去解决。同理,通过对资源的掌控,IT部门也能以此判断出某个事故或问题发生在何处,与其所关联的业务以及其他资产。如果进一步恶化的话,所波及的范围有多大,此类事故或问题过去发生过多少次,是如何解决的,谁是责任人,谁能解决等。这些都是驱动或者说是倒逼着我们去合理化治理IT资源的各种因素。
资产管理
资产管理是涉及到企业“有什么”IT服务的静态资源的问题。它在整个IT服务的生命周期里对各种资产的购置时间、购买价格、折旧年限、折旧方法进行记录。并能体现资产的使用状态和位置等方面情况。它可以为企业节约成本开支,优化资源配置,实现合规;并且还能为采购和决策提供有效的和最新的依据。
在实际的运维中,我可以采用RFID技术进行标示和资产采集、各类管理软件予以制表建库等方式不断践行。操作上我就不多说了,这里只谈谈根据我的个人的经验是要注意如下几点:
1. 除了资产本身的各种信息的录入之外,其所隶属的部门、项目组之类的属主信息是非常重要的。我就曾经碰到过企业里有这么一个设备,多年来一直在某个机架上,供电且联网,无记录可查,无人知晓其用途,也前任IT交代过很重要不要动,故无人敢让它脱网。一次某个实习生冒冒失失的拔了网线忘记恢复了,任何业务未受影响,又这么过了一段时间,大家才意识到,没有它也行的啊。这种故事相信在您的企业也曾发生过吧?
2. 设备的使用服役期结束,并不等于其整个生命周期的完结。作为ITer,基本的数据残留保护意识,基本上大家都是有的。但是这会造成一个极端现象:由于没有财力或精力去购买消磁设备或执行消磁甚至是损毁操作,导致陈旧的设备在IT库房里堆积如山。另外,可能是由于一直是IT(挨踢),天生缺乏安全感的我们,总是用“将来某个紧急的时候用得上”的假象麻痹自己。在此,我要分享的经验是:有时候还是要使出“壮士断腕”的洪荒之力,再喝一碗 “舍得就是不舍怎能得到”的鸡汤来“扔掉”旧的设备。我们要相信新技术与设备在发展的同时会顾及“向后兼容”的属性,如不兼容定有更好的解决方案。另外,可以定期以社区慈善捐赠等方式申请消磁的款项以及push自己丢包袱。
3. 另外一种不常见的极端是:公司时常采购到新买设备或产品,但有些IT部门人员老是会犯“苹果定律”,继续沿用旧的同类功能的设备,以至于让新买来的“苹果”在“雪藏”中贬值,说大了这可是影响到了生产率的提高啊。既然购置,就应该让它们“发光发热”。这样才会产生积极的“马太效应”,IT部门的价值和服务质量才会在这种正循环中得以提升。
配置管理
如果说资产管理是静态的,那么配置管理是涉及到企业那些“如何使用着”IT服务动态资源问题了。如果说上一期和大家聊到的“变更管理”是一个IT服务的由静转动的话,那么配置管理是一个将软/硬件资产的使用状态记录在案的变动为静的操作过程。IT服务的配置信息是对于企业的IT日常运作与资产管理起着参考和支撑作用。建立一个配置项数据库(CMDB)是非常必要的,如果企业的规模较大,在各地有分支机构,则可将配置项数据库存放在本地并实现冗余备份和实时同步。该数据库可包括如下子库:
1. 最终硬件库(Definitive Hardware Store),主要是一些IT相关硬件设备的备件和库存等有形资产的配置和构成的详细信息,以及它们在实际运行环境中的对应部件信息。
2. 最终软件库(Definitive Software Library),主要是各种系统和软件等无形资产的版本号、许可证、配置项等最终批准版本信息。
3. 文档库,主要包括各种操作流程、技术参考文档、拓扑图、设备状态照片等无形资产的信息。
4. IT人员相关,主要包括对各种IT职能角色的定义,组织机构图,联系方式等信息。
在配置项数据库中,每个IT服务都有自己的体现结构,如下图是我曾接触过的一家企业里常用的远程登录系统的软件结构图:
这样采取树型结构层次化的记录方式可以一直深化到某个楼层/机房/机柜/设备,从而细粒度的局部细节展示。而在平时维护记录的时候,则可以通过拖/拉/放等操作,快速创建或修改一个模拟现场的系统环境。是不是有点VR(虚拟现实)的效果?
数据库里存放的是带有特征属性的配置项(CI),并体现着相互依存、调用关系。该远程登录系统的范例如下表所示:
英国首相威廉·皮特曾有句描述资产的名言:“风可进,雨可进,国王不能进。”我们在清点资产、完善配置并做日常治理的时候,同样不要忽视了访问和修改权限的管理。上期我们就说到了系统内部一致性的重要性。我们可以延用传统的身份和访问管理(IAM)的工具来进行控制。要时刻记住“没有任性,就没有伤害”!
IT部门应当强化运维人员及时更新配置管理数据库的意识,并设置专人定期对配置项等信息进行审核。不得不承认,资产和配置的维护与跟踪是一个需要长时间贯彻和落实的工作。有朋友可能会说:这么大的数据量,很难一蹴而就。那么就作为部门管理者的您,需要善用“阿伦森效应”,不断激励员工,让他们做到“日拱一卒,功不唐捐”。来吧,心动不如行动,跟我一起来做“左手右手一个慢动作”。
话说禅修已毕,禅师问我:可有所悟?我略思片刻,答曰:“佛家积德行善之道易于接受又博大精深,僧人们通过各类经文的誊写和重复念诵等不二法门,增加了对佛教宝贵的思想资产和财富的整理、梳理和其冗余度,解决了世代传播时的衰减和遗失问题,从根本上提高了佛经这种特殊代码的抗干扰能力。”禅师愕然,拍拍我肩膀说:“施主,你是从事IT而且是搞信息安全的吧?”我忙作揖道:“大师慧眼!”
【51CTO原创稿件,合作站点转载请注明原文作者和出处为51CTO.com】
【编辑推荐】