数据中心的有效风险管理

如今,数据中心管理人员正在不断地与面临的风险进行战斗。除了使用有限的电力和制冷系统将计算资源在有限的空间发挥到极致之外,他们的工作还要确保计算资源能够不间断性运作。这意味着需要识别和管理各种来源的风险。

基于标准的风险管理方法可以帮助解决这一挑战。它可以帮助数据中心管理人员优先考虑其重大风险,并为数据中心或关键环境审计做好准备。那么具体是从哪儿开始?

了解不同类型的风险

在能够管理数据中心风险之前,必须了解不同类别的操作威胁。法国跨国IT咨询机构凯捷公司的GIO英国高级派送中心经理Kevin Read主要负责管理其组织中的数据中心风险,该机构拥有并运营自己的数据中心设施为客户提供服务。他指出了数据中心管理人员担心的几个风险类别。

他警告说:"关键任务型数据中心面临的首要风险类别是电力中断。这种风险对于每个数据中心来说都是存在的,而风险管理框架将其纳入其中。像许多其他数据中心一样,凯捷公司使用等级对风险进行评级,这有助于揭示诸如此类的破坏性风险。"

"凯捷公司按照Tier 3标准设计和建设了数据中心设施,采用'N + 1'和'N + N'冗余的UPS供电系统为客户提供,并为机架设备和冷却系统提供不间断电源。"Read说,"此外,将不同来源电力提供给数据中心,可防止本地发生的电力故障,而采用备用发电机是最后的技术保障手段。"

第二个风险是火灾,由数据中心内部的IT设备故障导致服务中断。他补充说,该公司在所有数据中心所有房间内布置使用惰性气体灭火系统,以便在火灾蔓延前扑灭。

"第三个风险类别是洪水(河水上涨和雷电、暴雨等极端天气)、飞机、传染病以及空气污染,"他继续说。 "数据中心建设场地不应该选择建在飞行路线上,或者是靠近洪水风险区域,以及靠近污染或可能含有爆炸性化学物质的工厂。"

最后,读取指向安全是第四个风险类别。这其中包括物理安全和逻辑安全漏洞(黑客)的风险。该公司甚至将恐怖主义威胁纳入这一风险类别。

像其他类别的风险一样,安全性自然会分解成许多子类别,而这些分类可以进一步分化。例如,在逻辑安全性中,管理人员可以将员工对应用程序的访问视为特定的风险区域,并将移动设备访问作为另一个风险区域。

一些风险随着新技术的出现而成为主流。例如,CA 技术公司安全解决方案总监Paul Ferron警告说,虚拟化应用是一种特殊的安全隐患。他警告说,这种经常被描述为管理和资源风险的现象也可能对数据安全造成影响。

"虚拟机可以很容易地被复制在没有适当的安全特权时,"他警告说。 "当用户在使用结束后,它们可能不会被关闭。"

在这种情况下,与许多其他方案一样,为某些操作设计安全过程有助于规范虚拟化技术,并降低通过网络进入漏洞的风险,使用IT服务管理工具来编纂和自动化这些流程,这进一步减少了风险。

云计算托管商Pulsant公司首席技术官Matt Lovell在这些风险组合中还增加了健康和安全风险。

他警告说,这些风险都是多方面的,工作人员将面对从电气实践和机械操作安全,到环境和噪声控制,以及在空间有限的领域工作的挑战。

他说:"这需要对合规性和安全性进行大量的工作测量,以确保在环境中所有工作人员面临最小的风险。"

风险管理方法

这些风险并不都是平等的。其中,有些风险会比其他风险更有威胁,而有些风险可能会有更大的潜在影响。因此,人们需要从预算视角来了解哪些优先事项是这个进程的重要组成部分。

Ferron建议数据中心管理人员使用传统风险管理矩阵最新版本来评估同时存在风险的概率以及潜在的业务影响。"这将是一个三维图形,"他补充说,三维图形可以表明减轻相关风险的预计支出。

读取操作也具有类似的方法,旨在识别和量化风险及其潜在的缓解成本。值得注意的是,他的风险管理系统被设计成一个随时间推移而不断变化的文件。

他说:"在凯捷公司,我们制定了一个月度风险管理系统,将所有风险和问题记录在遏制和行动计划中。但这需要更改投资预算".

虽然数据中心面临着自己独特的风险,但用于管理数据中心的方法并不只是针对这种环境。更通用的风险管理方法适合描述和处理数据中心的风险,因为风险在其他领域也是如此。

Lovell说,这个通用的风险管理标准是ISO 31000:2009.该标准规定了风险管理的一般原则和准则,旨在根据每个用户认为合适的风险类型进行调整。它更符合风险管理框架,但Lovell表示,它也可用于审计数据中心内的审计风险防范。

他说:"审计程序必须设法确定正确的响应程序是否到位,这些都是由员工排练和理解的,这将随时间而改变,因此必须不断更新。".

数据中心不能单独发挥作用。它们存在于一个更广泛的连续的技术与商业目标。风险管理技术将成为一个更广泛风险管理的一部分。特别是大公司将会探索各种风险,从财务到监管和组织。

数据中心的风险在多大程度上与公司不同。在凯捷公司的案例中,数据中心管理人员负责该设施的安全,并将管理每月的风险和问题流程。数据中心管理人员连同其英国数据中心主管一起,每月都会与首席财务官团队进行会议沟通,以预测任何重大风险支出。

Pulsant公司的Lovell说,数据中心合规团队通常会以某种形式向董事会汇告。"这个团队有向董事会成员提交管理和报告的责任和义务。这可能与其他可能通过各种项目或组织结构报告的IT治理计划不同。"他说。

Lovell补充说,在理想情况下,在管理风险和报告结果时应该分担责任。"建议始终是适当地管理风险,这应该涉及监控和提供数据中心服务的运营团队之外的独立管理和验证水平。这可以是独立的内部或外部治理团队。"

选择审计方法

这里的关键词是验证。量化,优先排序和降低风险是风险管理挑战的一部分,但衡量数据中心在这些领域的业绩是该过程的重要组成部分。对风险进行审计将有助于内部员工和潜在客户(如有必要)了解如何在数据中心的运营中控制各种风险来源。

在选择审计以弥补数据中心的风险之前,管理人员必须了解自己想要实现的目标。风险审计是否以客户为导向?如果是,客户正在寻找什么具体的标准?是否有客户希望获得特定的数据中心打击的风险管理指标?

数据中心的风险缓解服务供应商也可能会进行审计。Read说,例如,凯捷公司的数据中心由其本集团和政府客户以及凯捷公司的保险公司定期进行审核。

审计标准

风险审计面临的最大挑战之一是所涉风险类别的多样性。很难在一个标准下对所有这些风险进行审核,这意味着数据中心管理人员在进行审核时可能需要采用各种标准。

在考虑安全性时,ISO 27002标准涵盖了信息安全管理的实践守则。它对各种不同的方面进行规范,包括人力资源安全,物理和环境安全以及访问控制。

支付卡行业数据安全标准(PCI-DSS)也涵盖了信息安全,这是一个高度规范的标准,重点是数据中心信用卡数据的组织和保留。它涵盖了安全网络的建设和维护,漏洞的管理以及网络和系统监控等。

对于处理政府部门信息的商业运营商而言,可能需要进行其他审核。在英国,List X是承包商处理政府数据的通常理解的安全许可系统,而在美国,Facility Clearance Levels是备选方案。

"从健康和安全的角度来看,许多数据中心运营商正在努力做到符合OHSAS18001的标准,OHSAS18001是国际公认的卫生和安全管理及相关系统标准。"Lovell补充说。

环境保护审核往往低于ISO14001标准。数据中心不妨考虑这种审计标准和环境风险,在现场储存大量柴油来处理发电机的要求可采用这种标准。

利益相关者

Tenable网络安全公司的技术总监Gavin Millard表示,在定义和降低风险方面,通常有多个利益相关者参与其中,该公司销售旨在扫描网络以进行安全威胁的软件。他将利益相关者分为三个主要组织:安全团队,运营团队和业务部门。

问题是,并不是所有人都有相同的议程,他警告说:"正如许多组织发现的那样,每个组织的目标和需求往往是相互冲突的,这就是为了减少每个特定组织的风险定义所需要的行动。"他说。

这些冲突看起来像什么?一个例子涉及软件补丁。这是减少组织安全风险的最有效方法之一。2013年7月,澳大利亚安全部门发布了一系列减轻网络入侵的策略。补丁操作系统是这些措施之一,补丁应用程序是另一个措施。该机构表示,与此同时,应用白名单和最小化管理权限将会消除85%的黑客攻击。

问题在于,IT安全小组的重点是集中在消除攻击者可能侵入的系统中的漏洞,从而可以减少数据泄露的风险。这需要它快速修补关键漏洞。相反,IT运营团队需要尽量减少停机的风险,这意味着系统的任何更改必须进行结构化,计划和控制。这可能会导致运营团队要求不太频繁的修补计划来降低可用性风险。

企业的业务经理有自己独立的议程:维持底线并达到其业绩目标。所以他们只想要补丁部署,如果底线的利益超过完成工作的成本的话。

"相互冲突的目标可能难以解决,但这样做的最有效的方法之一是有一个高效的过程,不断识别风险所在,"Millard说,"用户还需要一种可预测的,可靠的更新系统的方法,而不影响组织的总体业务目标。

那么有效管理风险就不仅仅是对数据中心的威胁进行评估,而且还包括团队成员之间合作的意愿,以便所有的议程都能被愉快地容纳。在某些情况下,这可能为新的工作实践创造机会。

引入DevOps(开发/运营)学科来简化开发,测试和部署之间的工作流程,可能有助于缓解诸如Millard所描述的紧张关系。

与IT中的大多数事情一样,有效的风险管理和以技术为重点的流程一样,也是以人为本的流程。使用标准化方法和审计可以帮助量化数据中心面临的风险,并可能影响未来的预算。它总是有助于衡量数据中心必须管理的内容。

作者:佚名

来源:51CTO

时间: 2024-11-02 18:36:18

数据中心的有效风险管理的相关文章

数据中心安全性评估指标介绍

随着人们对个人隐私数据安全的关注,数据中心安全受到越来越高的重视.当人们访问数据中心时,首先的顾虑是是否个人的信息会被泄露,自己的访问是否是安全的.这对数据中心提出了更高的要求,数据中心不仅要提供全年不中断的访问,还要确保数据不丢失,不被窃取.一个数据中心是否是安全的,空口无凭,要通过一系列的数据来说话,这就需要对常用的数据中心安全指标要有所了解,通过这些安全指标对数据中心进行考核,从而对数据中心安全进行有效评估. 首先,要对数据中心日常运营的安全管理,这部分主要侧重对数据中心资产进行管理,并对

解析互联网数据中心海量运营之道

互联网业务的快速发展,其数据中心除了自身数量.规模体量在快速增长外,承载的业务也呈现海量增长模式.面对如此海量的设备和需求,开发者应如何保障数据中心的安全.高效.稳定的运营呢?除了建立完善的运营体系,其思路和方法同样很重要.本文详细阐述了如何做好自动化运营.计划性运营.做好精细化运营.预防性维护和应急演练以及做好外包管理.和人员培养的解决之道. 随着互联网业务的快速发展,其数据中心除了自身数量.规模体量在快速增长外,其承载的业务也是海量增长.以腾讯为例,其拥有即时通信活跃账户8.08亿个,最高同

防止数据中心停机需要采取什么措施

日前,据调研机构对于数据中心的运营调查报告中表示,某些数据中心宕机事件本不应该发生.而其宕机的主要原因并不是由于恶劣天气.计划外维护.甚至电网故障等因素导致,相反,这是一些组织糟糕的计划和维护不当造成的.从航空公司到互联网巨头,这些主要的用户和企业都已经成为了停机中断事件的受害者,并且也深刻感受到这些可以预防的数据中心中断事件的影响.然而不幸的是,这种情况并不少见. 数据中心行业厂商通过对欧洲各国IT和数据中心管理人员的调查表明:27%的受访者表示在过去的三个月遭遇过长时间的中断,对组织业务产生

未来云计算能让数据中心更安全吗

与往常一样,在新的2013年即将到来之际,IT安全问题的再一次引起人们的关注.新的一年里,可能又会爆出很多知名度高的大型企业和机构由于反应迟缓,或没有进行相应的反应而带来数据安全威胁的例子. 过去的几年里,对于在迅速变化的IT领域寻求解决方案的人们来说,安全威胁趋势已然广为熟悉了.快速采用的云计算,转移到虚拟化基础设施和过渡到BYOD,已经意味着浪费了IT部门用于提高企业效率和寻求企业各部门协同的现有人员的大量精力. 快节奏的IT变化 企业管理高层对于IT部门专业人士的能力及其技术基础设施的信任

看看以下5件事,再去将数据中心应用迁移到云服务

据国外媒体报道,最近对240位信息IT和安全专业人员进行了一次深入的调查,该调查中发现,尽管在数据中心应用迁移到云服务这个过程中经常会出现应用连接中断问题,但还是有许多机构计划把数据中心应用迁移到云服务中,以下是机构在把数据中心应用迁移到云服务之前应考虑的五件事. 1. 理解应用连接是与防火墙规则绑定在一起的 在最近的调查中,32%的受访者表示,他们的数据中心有100多个重要的应用,19%受访者表示他们有200多个重要的数据中心应用.商务应用称作在数据中心中是非常重要的和非常多的.现代数据中心不

数据中心的“维稳之道”

近年来,我国信息产业发展迅猛,数据中心作为新一代信息技术及互联网创新应用的关键性基础设施和数据枢纽,为我国经济转型升级提供了重要支撑.但是国内部分地区也出现了建设过热的问题,有些地区规划了大批土地,建设了大量数据中心,但是产能较低. 近日,工业和信息化部办公厅印发了<关于组织申报2017年度国家新型工业化产业示范基地的通知>(以下简称<通知>),首次将数据中心.云计算.大数据.工业互联网等新兴产业纳入国家新型工业化产业示范基地创建的范畴,并提出本年度优先支持新兴产业示范基地的创建.

云计算推进公司在数据中心的长期投资计划

近日由CoreNet全球和Newmark Knight Frank在http://www.aliyun.com/zixun/aggregation/36188.html">亚特兰大进行的一项新的调查显示,尽管云计算的增加,50%的公司在投资和长期规划中,建立或扩大数据中心作为一个法人实体管理. 调查指出,企业最关注风险管理和业务连续性来决定在哪里建立他们的数据中心.调查结果还显示大多数企业倾向于保持内部数据中心的运营管理,而不是外包的功能. "数据中心机房的数字时代驱动今天的企业

如何成功完成数据中心升级而不停机?

数据中心为企业关键业务的发展提供了重要了支撑.但与此同时,其也有自己的成长和巩固周期.更大的数据利用率和吞吐量意味着需要消耗更多的服务器和机架资源,这反过来也就意味着更多的热量和电力问题,这不可避免地导致了数据中心本身的升级或整合需求.加之这一新兴的环境和相关的能源消费规定,很容易理解数据中心管理人员会发现自己几乎永远处在一个改变的状态. 虽然数据中心仍是一个新兴的行业,其目的还是建造相关的设施以便为企业提供有吸引力的.能够帮助企业解决并适应各种需求.由于成本因素和新的基础设施更新升级等相关问题

ASHRAE新标准促进降低数据中心能源消耗

近期的"商业建筑能源消费调查"(CBECS)显示,与商业建筑没有数据中心的相比,有数据中心的商业建筑,有着更密集的运算,需要更多的冷却能力与电力 能源(每平方英尺消耗). 这并不意外,因为数据中心需要不间断运行,这就意味着无论是对冷却系统,还是电力系统都需要持续运行. 能源消耗的规模可能更令人震惊,据估计,数据中心空间消耗的能源是标准办公空间消耗的100-200倍. 随着数据中心发展需要越来越多的电力能源,面临的压力就是考虑节能设计措施,从而降低运营成本.能源消耗. 新标准 鉴于日益对