导言：对大多数企业来说，大规模网络建设已经完成，而以保证企业关键业务连续性为目标的网络管理显得越来越重要。在2008年里，在各种应用需求情况下，网络管理越来越多功能化、多元化……

一、网络管理员的工作目标：保证关键业务持续性
二、单一网络设备管理到融合式应用网络管理
三、深化：涉及业务的网络管理
四、对人的行为管理：关键数据保护
五、流量管理：保证关键业务的可持续性
六、2009年：以关键业务为中心的网络管理深化发展

　　【IT168 专稿】当前，国内不少企业经历了网络建设期，企业的基础网络已经部署完成，其中，又有不少企业已经在硬件网络设备上，部署了各种企业的关键业务系统，例如ERP、CRM系统、OA办公系统等。从信息化建设的目标来看，很多企业都已经实现了网络的互连互通，以及关键业务的正常使用。但是，这却仅仅是网络应用的开始。

一、网络管理员的工作目标：保证关键业务持续性

    之前，对于不少网络管理员来说，其主要的目标是建设企业网络，并让路由、交换等网络设备能够正常的运转，并防止外部病毒的攻击。在这种情况下，网络管理员们重点关心的是企业网络本身，例如，网络交换机的工作状态，网络内是否有病毒等。对于企业的应用业务，网络管理员们关心较少。

    然而，对于大多数企业来说，企业建设网络的真正目标是上线运行各种关键业务系统，例如，ERP、CRM系统、OA办公系统，邮件、Skype等网络通讯系统，各种Web内容发布系统等。

     这就意味味着，网络管理员不仅要关注网络系统本身，更应该重视运行在网络系统之上的各种企业关键业务系统，保证企业关键业务系统的连续性。

     保证企业关键业务系统的连续性，这才是当前网络管理员的真正工作目标。

　　要保证关键业务系统的连续性，就需要进行高效的网络管理。对于企业来说，不仅是要实现网络系统的互连互通和关键业务的使用，更进一步的是，能让关键业务能够安全、有效、持续地运转。

　　然而，随着不少企业网络设备越来越多，网络结构越来越复杂，出现的问题也越来多，各种因素都或多或少地影响了企业关键业务的顺利使用。

　　例如，网络设备越多，网络设备管理的工作就越来越繁重，网络故障也频频出现，当系统出现故障后，不能及时发现、诊断。可能，就因为一个小小的网络设备故障，导致企业整个业务无法运转。此外，安全问题也是大家头痛的事，例如ARP攻击导致业务中断，非法用户的侵入导致信息泄露，内网员工的非法操作隐患等等。

　　针对这些问题，我们就需要采用各种各样的网络管理系统去应对。

　　把一个网络由传统的普通的互联互通的平台变成一个可以精细运营、全面安全、智能高效的网络，管理是最主要的、最核心的问题。当然，管理一方面有制度上的管理，另一方面还需要技术上的手段作为一个支撑。

     此前，我们通常称企业里维护网络的员工叫"网络管理员"。而最近两年来，特别是在2008年里，"网络运维工程师"、"系统运维工程师"的叫法越来越普及，这就表明着，不少网络管理员的工作职责向维护关键业务连续性的方向发展。

例如在银行企业里，除了维护终端电脑设备的普通网络管理员外（有的企业甚至将这块工作进行了外包），有更大量的运维工程师在维护着与应用相关的网络系统。
 

二、单一网络设备管理到融合式应用网络管理

　　随着企业应用的需求变化，网络管理的概念已经发生了重大变化。传统网络管理主要指网络设备的维护管理。最近两年来，网络管理已经发展成涉及业务的网络管理系统、安全接入管理系统、员工行为管理(EAM)、应用流量管理等几大方面。

　　涉及业务的网络管理系统：
　　现在，对于不少企业来说，如果只针对网络设备进行管理可能已经不能满足需求了。我们对网络设备进行监测、配置和故障诊断的时候，就需要考虑单位部署了什么应用业务系统。面向业务的管理系统是一个比较新的网络管理方向，主要指对企业的关键业务运用进行监测、优化，提高企业运用的可靠性和质量，保证用户得到良好的服务，降低IT总拥有成本(TCO)。

　　安全接入管理系统：
　　对于安全方面，现在有不少专业安全设备，例如防火墙、入侵检测、安全网关等，但除此之外，我们还需要对保障合法用户对资源安全访问，同时防止非法用户的非法访问，防止并杜绝黑客蓄意攻击和破坏。对此，我们可能就需要采用可信接入系统，或者叫安全接入系统。

　　员工行为管理(EAM)：
　　员工行为管理包括两部份，一部分是员工网上行为管理（EIM），另一部分是员工桌面行为监测。它一般在Internet应用层、网络层对信息控制，对数据依据EIM数据库进行过滤；定制因特网访问策略，依据用户、团组、部门、工作站或网络设置不同的因特网访问策略。

应用流量管理：
有些企业因为非关键应用，甚至是非法应用霸占着企业的出口带宽，而企业的ERP、FTP等关键业务却可能频频受阻。例如，导致关键性业务不能可靠传输，数据包大量丢失，网络时延大，交换机的交换能力不能保证更多的应用的正常通讯，视频会议效果不能得到保证，IP电话话音质量差等，导致更多的员工抱怨网络慢，视频图像出现马赛克，声音不清晰，ERP操作中断、VPN连接中断等多种问题。此时，就需要进行带宽管理、应用流量管理。

　　如今，网络管理相关的产品多如牛毛，从传统的网络管理软件，到后续逐渐流行起来的终端软件、流量软件、数据软件等等。在这种情况下，容易出现呈现割裂态势，无法形成统一管理，在日益强调IT管理的新时期，愈发不合时宜。

　　不同厂商的不同功能的网络管理系统之间，各自为政，是一件不容忽视的事情。对于企业来说，不仅容易出现管理冲突，也会带来多次采购的高价格矛盾。其中一个可行的解决办法就是解决割裂现象，将以上几种管理功能都有机地统一管理，实现一个管理系统整体。思科、H3C等厂商都推出了一体化的网络管理产品，例如，H3C智能管理中心就以业务管理和业务流程模型为核心，采用面向服务（SOA）的设计思想，按需装配的组件化结构，为客户提供网络业务、资源和用户的融合管理解决方案，帮助客户实现网络业务的端到端管理。

三、深化：涉及业务的网络管理

  随着企业规模的不断扩大，为了方便地管理路由器、交换机、服务器等设备，网络管理系统开始被越来越多地应用在企业之中。然而，当企业的规模更大时，特别是当企业部署完众多对实时性、连续性要求比较高的关键业务时，普通的网络管理系统却遭遇了应用尴尬。

    当一个关键业务的运行出现故障时，到底是交换机端口堵了？防火墙受到了病毒攻击？还是数据库服务器的服务协议出现了故障，还是关键业务服务器系统本身的问题？更进一步，这可能是关键业务本身的流程控制出了问题而导致了故障。

    当这些问题出现时，我们会发现，尽管网络管理员、系统管理员总是在不停地盘查问题，但却总不能让关键业务良好地运行。当网络管理员、系统管理员们陷入了"四处救火"的尴尬境地时，传统的以设备为对象的网络管理已经力不从心了。

    例如，在某银行单位的企业网络中，运行着多种应用，主要包括：生产业务系统、中间业务系统、办公自动化系统、网上银行系统等。由于这些系统需要实时地提供数据，所以对整个网络的连续性、可用性、实时性有非常高的要求。同时，该银行网络系统从小型机到PC 服务器，从微软Windows到IBM AIX操作系统，从Oracle到Informix数据库，从Cisco路由器到华为交换机，可以说是涵盖了市面上所有主流的软、硬件产品。

    因此，传统的网络管理系统开始向涉及业务的网络管理系统发展。当前，实现了面向业务的系统监控平台却并不多，其主要包括国际软件平台：IBM Tivoli、HP OpenView、CA Unicenter、BMC等，以及国内软件游龙Site View、中软等。不过，IBM Tivoli、HP OpenView、CA Unicenter这几种常见的系统的部署成本都在百万元人民币以上，着实让很多企业难办。

    除了采用收费的专业网络管理系统外，在日常的网络管理中，借助Sniffer等网络分析工具进行网络管理，成为很多运维工程师的选择。

    以前，我们进行网络管理时，重点看路由、交换等网络设备的状态。现在，借助Sniffer等网络分析工具，分析应用数据包，从而更方便地进行网络管理。通过Sniffer、Tcpdump等协议分析工具，利用它我们可以实际了解到当前网络中正在发生的具体流量，并且通过Sniffer的专家系统以及进一步对数据包的解码分析，我们可以很快的定位网络故障，确认网络带宽的瓶颈，在故障发生前及时消除网络隐患，这样能给我们日常的维护工作带来很大的方便，也使得我们的维护工作处于主动地位，不会再只有接到用户故障投诉后才能处理故障，在时间和效率上都不能很好的让用户满意。
 

四、对人的行为管理：关键数据保护

    网络管理的对象除了网络系统，还有一个重要的对象：人。自进入2008年来，特别是今年6月深圳某著名妇幼保健医院等事件的发生，对人的网络行为的管理，越来越显得重要起来。这里，还显示了另一个网络管理的目标：企业关键数据的保护。

　　互联网上存在着各种各样的危险，这种危险要能是恶意的，也可能是非恶意的，如因失误而造成的事故；恶意的危险又分为理智型的 ( 如故意偷取企业机密) 和非理智型的( 如毁坏企业的数据) 。总的说来，比较典型的危险主要包括如下几个方面：

　　1、 软硬件设计故障导致网络瘫痪。
　　如防火墙意外瘫痪而导致失效，以致安全设置形同虚设；由于内外部人员同时访问导致服务器负载过大以致死机、严重者导致数据丢失等等；
　　2、 黑客入侵。
　　一些不坏好意的人强行闯入企业网实施破坏；冒充合法的用户进行企业网内部，偷盗企业机密信息和破坏企业形象等等；
　　3、 敏感信息泄露。
　　企业内部的敏感信息被入侵者偷看，导致这种状况的有几种原因，如寻径错误的电子邮件、配置错误的访问控制列表，没有严格地设置好不同用户的访问权限等等；
　　4、 信息删除。
　　有时网管员对安全权限设置不当，导致某些怀有恶意的人故意破坏企业商业机密的完整性以及向竞争对手故意泄露商业机密等等。

　　也就说互联网上的危险不仅来自于外面，而且有时也来自于内部。虽然在互联网上存在不同程度的危险，但为了企业的业务发展，很多企业不得不把企业的内部网联入互联网，向雇员提供互联网的访问。

     对员工的网络行为进行管理，一方面是为是提高工作效率，另一方面，就是为了防止信息泄露，保护企业的关键数据。

     企业关键数据泄露包括两个方面，一是通过网络形式而泄露，另一方面，就是通过物理的电脑终端方式而泄露。网络形式主要指通过邮件发送，QQ、MSN等传输，FTP上传，论坛发贴等方式进行。企业内部的敏感信息也可能被内部人员非授权泄露或删除。女秘书PK老板的EMC"邮件门"事件、惠普"电话门"事件等，都在告诉我们一个事实，通过外发邮件、BBS、博客等导致内部机密信息泄漏的现象越来越普遍。企业/机构赖以生存的机密信息，很可能会被在职甚至离职员工有意或无意地泄露出去。

    如何才能把这个路给堵上？在企业网络的出口处，部署内容管理设备是一种比较好的方法，目前最重要的就是Websense、深信服、网康、Bluecoat等厂商的上网行为管理设备，通过对出口流量内容进行审核，例如事前审核，事后审核等方式。

    网络泄露关键数据的事件发生后，这可能是人为主动的，也可能是被动的。例如现在的钓鱼攻击。有些恶意系统通过内部主机自身无防护环节，例如，很多电脑终端的补丁不能及时进行更新，这就留给攻击者巨大的机会，他们可以利用系统自身的漏洞对系统发起攻击，盗取系统中重要的资料文件。再有，就是企业防火墙失效以致安全设置形同虚设，或者黑客利用企业安全漏洞访问企业内部网络或数据资源，进行删除、复制甚至毁坏数据的活动。

    相对网络泄露而言，网下泄露比较难以解决。网下泄露主要指离线存储设备防泄密管理主要集中各种移动存储设备、打印机等设备的防泄密管理，其中包括移动硬盘、移动U 盘、IDE 硬盘等传播方式。就这需要我们对这些设备进行特别的管理了。
 

五、流量管理：保证关键业务的可持续性

2008北京奥运期间，通过网络看奥运比赛，成为很多人的选择。然而，大量的奥运视频录像，却在无情地侵占着企业有限的出口带宽。问题不断出现，员工的上网速度变慢、远程接入企业的ERP系统越来越困难、远程视频会议不断受阻……

　　其实，奥运视频点播的问题只是很小的部分，迅雷、BT等P2P应用，DDOS攻击、QQ在线直播和网络游戏等各种非关键应用，正严重威胁着企业的关键业务的可用性。

　　就目前来看，一般企业需要占用出口带宽的前三大热门应用排名为：

　　第一：是员工进行P2P下载，包含QQ在线直播、迅雷、BT、网络游戏等应用名列前矛，而这些应用，往往都是企业的非关键应用，甚至是非法应用；
　　第二：是办公室系统平台，如ERP、FTP大档案图文数据存取传输等应用次之。原因在于P2P下载与办公室系统图文存取，均会迅速占用比例相当大的带宽资源，如果没有进行良好的带宽流量管理，容易造成企业网络瘫痪；
　　第三：是VPN应用必须保障稳定质量，尤其是接入单线的企业，要使用单一线路同时进行上网与VPN传输，又希望VPN永保畅通，保证带宽是关键的要素之一。

　　由上可见，往往都是企业的非关键应用，甚至是非法应用霸占着企业的出口带宽，而企业的ERP、FTP等关键业务却可能频频受阻。例如，导致关键性业务不能可靠传输，数据包大量丢失，网络时延大，交换机的交换能力不能保证更多的应用的正常通讯，视频会议效果不能得到保证，IP电话话音质量差等，导致更多的员工抱怨网络慢，视频图像出现马赛克，声音不清晰，ERP操作中断、VPN连接中断等多种问题。

　　于是，对于企业需要带宽的应用，我们需要进行有效的管理，也就是需要进行带宽管理，需要进行有效的应用流量管理。针对这些问题，我们就需要专业的流量管理系统来解决。　　就目前而言，而具有带宽管理设备提供商的除了国外Packteer、Allot公司外，国内的lotflow、伟世盾安、畅讯科技等厂商，此外，像深信服、网康等上网行为管理厂商，也具有相当的带宽管理能力。

    其实，在流量管理方面，除了针对带宽方面的流量管理，还有针对应用处理能力的流量管理方案，这就是负载均衡解决方案。

如今，网络基础链路越来越好，例如万兆交换、千兆路由的普及，另一边，是企业关键应用的不断多功能化、复杂化，然而，当我们的关键应用运行在网络上时，却或多或少地出现了关键应用访问速度慢等很多问题，这给企业用户带来了不少麻烦。其实，专门针对网络流量压力、网络访问速度慢问题的解决措施是专业的应用交付结构，一种以负载均衡技术发展起来的综合网络流量解决方案。这在方面，思科、F5、Citrix、Radware等厂商都推出了相应的应用交付解决方案，以解决流量压力过大的问题，从而保证企业关键业务的连续性应用。

六、2009年：以关键业务为中心的网络管理深化发展

     回望2008年，我们发现，以保证关键业务持续性的网络管理，已经成为企业的应用趋势，在这种背景下，传统网络管理已经发展成涉及业务的网络管理系统、安全接入管理系统、员工行为管理(EAM)、应用流量管理等几大方面。

     2009年，网络管理又将如何发展呢？
     对大多数企业来说，大规模网络建设已经完成，而以保证企业关键业务连续性为目标的网络管理已经成为企业网络管理员的重要工作目标，而这一趋势还将继续下去。

     让我们再来看一下"网络管理员"的叫法改变问题。现在，"网络运维工程师"、"系统运维工程师"的叫法越来越普及，它就表明着，不少网络管理员的工作职责向维护关键业务连续性的方向发展。

目前很多企业已经开始放弃"网络管理员"的称谓，因为，有很多企业里，维护着与应用相关的网络系统的"网络管理员"被称为运维工程师，而维护企业终端电脑设备的"网络管理员"才被称为网管（负责企业网络内的终端电脑网络问题，病毒问题等），而这块工作已经不是企业网络的工作重点，有的企业甚至已将这块工作进行了外包。
由此可见，以关键业务为中心的网络管理，将是近年来的趋势。