互聯(lián)網(wǎng)企業(yè)云數(shù)據(jù)中心遷移項目的IT風(fēng)險管理

◆李啟明

?

互聯(lián)網(wǎng)企業(yè)云數(shù)據(jù)中心遷移項目的IT風(fēng)險管理

◆李啟明

(上海交通大學(xué)信息安全工程學(xué)院 上海 200030)

近幾年來虛擬化以及云平臺的出現(xiàn)開啟了互聯(lián)網(wǎng)的技術(shù)革命，云數(shù)據(jù)中心就是基于云計算虛擬化和互聯(lián)網(wǎng)思維而產(chǎn)生的，它有別于物理數(shù)據(jù)中心只提供服務(wù)器的空間租賃、網(wǎng)絡(luò)和用電，而是提供一項服務(wù)，用戶只需要在網(wǎng)頁上輕點鼠標(biāo)，很快就能完成服務(wù)器的搭建。云數(shù)據(jù)中心能提供給客戶更省的成本、更快的操作方式、更便捷的用戶體驗。因此，云數(shù)據(jù)中心也漸漸成為互聯(lián)網(wǎng)企業(yè)的第一選擇，并且在其它行業(yè)中也是大勢所趨。而物理數(shù)據(jù)中心遷移到云數(shù)據(jù)中心就成為了各企業(yè)所需要面對的課題，如何在這個遷移項目中使用IT風(fēng)險管理方法進(jìn)行循環(huán)風(fēng)險管理，將很大程度上保證IT項目的成功率。

IT風(fēng)險管理；云數(shù)據(jù)中心；互聯(lián)網(wǎng)；循環(huán)風(fēng)險管理

0 引言

企業(yè)物理數(shù)據(jù)中心與云數(shù)據(jù)中心遷移過程中的IT風(fēng)險管理，從物理數(shù)據(jù)中心與云數(shù)據(jù)中心的特點出發(fā)，針對企業(yè)數(shù)據(jù)中心遷移的過程進(jìn)行完整的風(fēng)險識別、評價、應(yīng)對、選擇以及溝通。論述云數(shù)據(jù)中心遷移項目的IT風(fēng)險管理模型，使互聯(lián)網(wǎng)企業(yè)擁有針對云數(shù)據(jù)中心遷移項目IT風(fēng)險管理實際運用的經(jīng)驗與參考。

1 互聯(lián)網(wǎng)企業(yè)云數(shù)據(jù)中心遷移項目

企業(yè)目前對于業(yè)務(wù)從傳統(tǒng)數(shù)據(jù)中心遷移至云數(shù)據(jù)中心的需求，大致分為三個方面：服務(wù)器整合、節(jié)點備份、降低成本，無論是服務(wù)器整合還是節(jié)點備份最終目的都是用最低的成本完成最高效的事情。

1.1 循環(huán)IT風(fēng)險管理

本文針對云數(shù)據(jù)中心遷移的項目介紹了一個IT風(fēng)險循環(huán)管理理論，理論由識別風(fēng)險、評價風(fēng)險、確定適當(dāng)?shù)娘L(fēng)險應(yīng)對策略、選擇所組成。

識別風(fēng)險，本步驟將識別項目所面臨的潛在風(fēng)險。

評價風(fēng)險，是指在風(fēng)險評估之外的任何其他因素的情況下，考慮項目各種交互依賴關(guān)系，評價項目單個風(fēng)險的發(fā)生概率和風(fēng)險影響。

確定合適的風(fēng)險應(yīng)對策略，風(fēng)險應(yīng)對策略大致可分為五種類型：預(yù)防風(fēng)險、轉(zhuǎn)移風(fēng)險、降低風(fēng)險、接受風(fēng)險、應(yīng)急處理。

選擇，風(fēng)險應(yīng)對過程中應(yīng)生成一系列風(fēng)險應(yīng)對方案，風(fēng)險應(yīng)對方案往往并不只有一個，而是有許多個給予項目管理委員會選擇。

1.2 云數(shù)據(jù)中心遷移項目的特點與難點

本文首先介紹一下云數(shù)據(jù)中心與傳統(tǒng)數(shù)據(jù)中心（IDC）區(qū)別：

（1）云數(shù)據(jù)中心的基礎(chǔ)設(shè)備更加規(guī)模化、標(biāo)準(zhǔn)化。

（2）云數(shù)據(jù)中心為了節(jié)省成本，采用各種虛擬化技術(shù)，實現(xiàn)日益增多的業(yè)務(wù)。

（3）云數(shù)據(jù)中心體現(xiàn)了高度的自動化，操作體驗非常簡便。

（4）云數(shù)據(jù)中心可彈性操作、靈活運用，增減配置、開關(guān)機(jī)都能遠(yuǎn)程操作。

（5）企業(yè)可以把對于傳統(tǒng)數(shù)據(jù)中心的IT風(fēng)險轉(zhuǎn)移到云數(shù)據(jù)中心上。

其次，在分析了云數(shù)據(jù)中心的特點之后，對于云數(shù)據(jù)中心遷移項目來說，也存在以下與傳統(tǒng)數(shù)據(jù)中心遷移項目的不同之處。相比傳統(tǒng)數(shù)據(jù)中心遷移項目，云數(shù)據(jù)中心遷移項目有以下特點：

（1）由于云數(shù)據(jù)中心屬于重新搭建的數(shù)據(jù)中心，傳統(tǒng)數(shù)據(jù)中心物理服務(wù)器可以繼續(xù)使用，如此遷移過程中現(xiàn)存業(yè)務(wù)可以無需中斷。

（2）云數(shù)據(jù)中心部署簡便、操作快捷、流程迅速、容錯性較高。

（3）云數(shù)據(jù)中心為新事物，用戶操作使用需要一定程度的提前學(xué)習(xí)。

（4）云數(shù)據(jù)中心遷移項目往往被要求迅速完成。

（5）云數(shù)據(jù)中心的使用被要求最大的成本節(jié)省，因此對虛擬機(jī)的需求資源參數(shù)有較高要求。

（6）目前云數(shù)據(jù)中心的遷移操作參考案例較少，更沒有IT風(fēng)險管理框架。

基于上述特點，采用傳統(tǒng)的IT項目管理方法并不能很好地解決云數(shù)據(jù)中心遷移項目中涉及的諸多問題，主要包括：

（1）遷移項目負(fù)責(zé)人經(jīng)驗不足，IT部門對于遷移流程不熟悉，導(dǎo)致盲目遷移，忽視許多風(fēng)險問題。例如：沒有進(jìn)行相關(guān)測試，直接進(jìn)行遷移操作。

（2）沒有提前設(shè)計好風(fēng)險對應(yīng)策略，發(fā)生問題手忙腳亂。例如：域名切換操作，由于解析擴(kuò)散需要時間，可能會導(dǎo)致業(yè)務(wù)網(wǎng)站不可訪問。

（3）沒有風(fēng)險責(zé)任人制，發(fā)生問題不知道找誰。例如：云數(shù)據(jù)中心發(fā)生網(wǎng)絡(luò)問題時，是開發(fā)人員負(fù)責(zé)？還是IT人員負(fù)責(zé)？由誰來聯(lián)系云服務(wù)提供商？

（4）項目目的是為了降低總成本，但是由于項目過程風(fēng)險管理失控，導(dǎo)致業(yè)務(wù)更多的損失，實施人員談虎色變，不愿意去做這個項目。

（5）項目進(jìn)行過程中，沒有及時更新IT風(fēng)險，導(dǎo)致“風(fēng)險記錄單”中記錄的僅僅是初步項目風(fēng)險，并沒有包含后續(xù)新增的IT風(fēng)險，結(jié)果是IT風(fēng)險管理遺漏，導(dǎo)致項目發(fā)生重大事故。

（6）項目完成后，未進(jìn)行IT審計以及業(yè)務(wù)持續(xù)性的IT風(fēng)險管理。

（7）項目超時交付。例如：由于對于云數(shù)據(jù)中心的操作后臺的不熟悉，導(dǎo)致遷移數(shù)據(jù)中心項目超時交付。

2 云數(shù)據(jù)中心遷移IT風(fēng)險管理

2.1 IT風(fēng)險管理程序

基于上節(jié)的項目難點以及涉及的問題云數(shù)據(jù)中心遷移項目的IT風(fēng)險管理程序是完成項目的相關(guān)步驟，主要包括：基礎(chǔ)信息收集、To do List、IT風(fēng)險管理（如下圖1）。

2.2 風(fēng)險記錄單

風(fēng)險記錄單是IT風(fēng)險管理程序中最重要的角色，也是本論文中心內(nèi)容之一。風(fēng)險記錄單將收錄云數(shù)據(jù)中心遷移項目過程中被識別的所有風(fēng)險，并針對這些風(fēng)險進(jìn)行評級以及制定風(fēng)險應(yīng)對策略，最終將會對于處理后的風(fēng)險再一次的進(jìn)行風(fēng)險評估。風(fēng)險記錄單是存在于項目整個生命周期中并在項目的任何階段都持續(xù)循環(huán)進(jìn)行著的。風(fēng)險記錄單是一種控制工具，它有利于快速了解所面臨的關(guān)鍵風(fēng)險。

圖1 IT風(fēng)險管理程序

2.3 風(fēng)險分布圖

風(fēng)險記錄單中的風(fēng)險值描述，是根據(jù)風(fēng)險分布圖由來的。風(fēng)險分布圖是風(fēng)險記錄單的前置項。它描述了項目全面的風(fēng)險情況，給出每一個風(fēng)險發(fā)生的概率區(qū)間、風(fēng)險的重要性區(qū)間以及它一旦發(fā)生時候會涉及影響區(qū)間。通過互相相乘可以得出它的風(fēng)險值，并匯總所有的風(fēng)險值，這種定性風(fēng)險分析是評估已識別風(fēng)險的影響和可能性的過程。

風(fēng)險值=重要性等級*可能性等級*嚴(yán)重性等級；

重要性等級描述服務(wù)級別高低，取值從低到高為：1-4；

可能性等級描述風(fēng)險發(fā)生的頻率：頻繁發(fā)生還是每月或每年發(fā)生，或者更久發(fā)生，取值由不太發(fā)生到頻繁為：1-4；

嚴(yán)重性等級描述風(fēng)險發(fā)生后的嚴(yán)重程度，等級取值由高到低為：1-4。

圖2 風(fēng)險值

本文使用類似于帕累托（Pareto）分析的技術(shù)通過對已經(jīng)評估過的風(fēng)險進(jìn)行分級或者排序，來確定對風(fēng)險的應(yīng)對順序。帕累托分析能將付出的管理工作集中在那些對項目目標(biāo)潛在影響最大的風(fēng)險上。企業(yè)根據(jù)風(fēng)險記錄單中關(guān)于IT風(fēng)險的風(fēng)險值進(jìn)行帕累托分析，著重處理風(fēng)險值最高的風(fēng)險，這在明確企業(yè)風(fēng)險方面十分重要，如此可以很容易地明確著整個項目的IT風(fēng)險。

通過圖2的風(fēng)險值計算，我們可以很明確地了解企業(yè)需要優(yōu)先處理的風(fēng)險，圖3即為相關(guān)處理意見表。

圖3 處理意見

3 結(jié)束語

IT風(fēng)險管理的目標(biāo)是保障項目的順利完成，考慮到云數(shù)據(jù)中心遷移過程的特點與難點，本文提出了云數(shù)據(jù)中心遷移項目的IT風(fēng)險管理模型，根據(jù)IT風(fēng)險管理理論，建立云數(shù)據(jù)中心遷移項目的IT風(fēng)險管理程序，并使用風(fēng)險記錄單以及風(fēng)險分布圖來評估與應(yīng)對項目的各類風(fēng)險，并為其它互聯(lián)網(wǎng)企業(yè)的云數(shù)據(jù)中心遷移做出表率與借鑒。

[1]吉新華.云數(shù)據(jù)中心中基于虛擬機(jī)遷移的負(fù)載均衡算法研究[D].大連理工大學(xué)，2015.

[2]Office of Government Commerce（OGC），Managing Successful Projects with Prince2，2002.

[3]AXELOS，Managing Successful Projects with PRINCE2? 2017 Edition，2017.

[4]Barry C. Arnold，Pareto Distributions Second Edition，Chapman and Hall/CRC，2015.