主持人:
各位网友大家好,我是IT168网络通信的李志国,今天给大家讨论的一个题目就是企业运维中的统一安全管理与监控,我们荣幸的邀请到了网御神州科技有限公司的叶蓬先生,来与大家共同讨论,先请叶先生自我介绍一下。
叶蓬:
各位网友大家好,我是网御神州公司SOC事业部的产品总监叶蓬,我们网御神州公司是一家致力于信息安全尤其是网络安全的一家专业产品和服务提供商。我们公司整个业务分为三个部分,一是传统的方向,像防火墙,IPS,入侵检测等等安全产品,二是安全管理业务——基于这些安全设备,产品之上的一个偏软件的业务,三是安全服务与咨询业务。我们公司由这三块业务组成,我这次是代表公司的第二块业务安全管理业务来跟大家进行一个交流。
主持人:
叶先生,安全问题是一个永恒的话题,我记得我看过一张表,30年前互联网刚刚兴起的时候就有病毒的问题,以前一个病毒爆发是一年左右现在仅仅有一分钟或者几秒钟之间,安全一直伴随着互联网的兴起,如影随形。
我们都知道今年7月1号国际萨班斯法案在中国实施,这里面可能有一个对安全的要求,您能不能谈一下萨班斯法案对中国企业的要求是什么样的,中国一些企业还有哪些方面没有达到这个要求的?
叶蓬:
萨班斯法案源于是美国安然公司事件,主要是在财务,上市公司信用危机,到了2002年美国政府就出台了一个萨班斯法案,在纽约证交所上市的公司,要有一个严格的从公司治理层面的一些控制。这段时间以来国内也开始有这方面的动作,去年保监会、银监会、证监会、财政部,国家审计署统一发了一个文,颁布了企业内部控制基本规范。这个被很多国内人称之为中国版的萨班斯法案,这个跟美国萨班斯法案有参照,都对内控有很多要求。这个要求间接导致了IT方面的相应的要求。企业内部内控的基本规范,它主要针对大中型企业。大中型企业的运营都依赖于IP,所以整个IP网络的内控,就成为整个内控当中的一个重要的环节。这个内控尤其强调了要企业的领导人负责,在年审报告里面要签字,他就有这样一个责任,有这样一个压力,必须对企业内部,包括IT在内整个网络运行的正常情况,是否安全,是否有信息的泄漏,他有一个责任,必须尽责,要求在整体网络建设上有一些要求,这些要求虽然是间接的,但是企业运行必须有这块考虑。
主持人:
中国的国内企业现在能不能完全达到这个要求?
叶蓬:
这个来说,因为国内开展内控相关的工作比较晚,我们在讲内控的时候,大部分就是说在IT关注的比较少,在财务相对可能多一些,在金融方面,在IT支撑系统方面关注比较少。
再有一点,更多在关注IT建设当中,考虑的比较多就是单一防御,安全防护措施,被动的防御。作为企业的领导人,很难有把握说最近这一年单位安全状况心中有数,有把握的,我敢签字,敢说企业内控做到了。上了这么多设备,做了这么多投资,到底怎么样,这些设备发挥多大的效用,抵挡多少次攻击,还有没有隐藏的攻击,他也说不准。
主持人:
而且大中型企业里面领导层是不懂IT,也不懂技术。
叶蓬:
怎么把这些信息汇总起来成为一些有用的数据很重要。
主持人:
让他能看得懂的一些数据,很形象,很直观的反映出来,这样心里就有底了。
叶蓬:
所以安全建设的思路在内控的引导下会有一些变化,要向全面性安全过渡。
主持人:
并且是主动管理型的。
叶蓬:
协同、主动,都是现在考虑的关健词。
主持人:
前两天我看了一个报告,世界经济论坛的报告,对全球信息技术的排名,中国排名第46位,他得出了一个结论,中国对于IT投资还是比较少的,相对GDP来讲比较弱,仅仅比印度稍微高了一点点。我感觉无论是大型企业,还是中型企业,对于IT包括安全在内投资力度还应该加大。
其实中国政府还有一个安全方面的文件,有一个安全等级保护,今年是第三年,也是最后一年了,前两年有些企业对这个不是特别的重视,我从很多网友的反馈当中看到,一些军队,一些院校,或者政府里面,最近一段时间一直都在接受安全的检查,忙于应付,这是最后一年,安全标准必须达标,这些部门IT人员都非常忙。
我们可能也有很多网友不是特别熟悉,您给大家讲讲,我们政府对企业的一些安全,还有IT一些新的要求,然后企业怎么去做才能达到这种要求?
叶蓬:
等级保护这个东西提的挺早,最显著的一个动作,就是07年发了一个文,首先是要求国家主要的政府相关的一些部门,或者是国资委下面的一些央企,或者国有控股的企业,要求按照等级化的思路,进行安全的建设。其实所谓等级化这个词就是说把安全分为一个个等级,这种等级就相当于把安全做成可预期的,你不需要盲目的去做,根据你现在的状况,和你对安全的要求,达到一定的程度,就够了,是一个适度的原则。
这个等级化国家推进的力度现在还是很大的,尤其是中央部委做检查,前段时间由公安部牵头做备案、定级,是不是这阵风过去之后会不会好一些,我们作为企业也跟公安部网络通信保卫处进行沟通和交流,国家的政策就是以后的等级化保护会不断的做下去。
去年大部分时间都是定级,你是一级,还是二级,三级,根据你这个单位被损害以后对国家造成的损失。往后两三年可能是网络的建设,比如说你定为三级,你哪些需要补,哪些需要继续建设。这两年重点针对国家大的部委,大的企业,就要做定期的检查,至少一年要做一次检查,要抓落实。等级化的促进对于政府部门来说是一个持续的,我相信在未来一段时间内,这个词还是被很多的提到。
主持人:
您可以举一个例子,国家对一级保护,二级保护,最低级是哪一级?
叶蓬:
最低是一级,最高是五级。
主持人:
一级最低标准应该达到一个什么样的标准?
叶蓬:
我们认为一般来说一级就是你要有一些基本的安全防护措施,它对一级要求比较简单,一般政府部门主要都是从二级开始。比如像对外的网站,尤其是政府有一些门户网站,电子政务的外网,一般都是二级。涉及到国计民生的,像一些民航部门,交通部门,铁道部,它的系统如果造成破坏,可能对国民经济会导致重要的损失,这会可能定到三级甚至四级,定级主要考虑到你这个东西如果受到破坏,造成的危害。我们政府部门基本上是定在二级。
主持人:
这主要是针对政府和国有企业的方案,相当于它给安全定了一个标准,您觉得这个标准是不是对一些企业,比如说民营企业,或者普通的企业可不可以用这个标准作为一个标杆,来建造它的安全网络呢?
叶蓬:
我觉得是可以的,对于偏大一点的企业、中小企业,从投资和回报来讲,经营是本质目的,安全只是它的一个支撑,对于中型的企业来说可以参照企业内部控制的基本规范,它也是鼓励其他的企业照着这个来。你做的时候可以做适当的裁减,你肯定既要考虑内控的完整性,还要考虑到适应性,量力而行,根据你现在企业发展的规模,你有意识做一些相关的工作,做一些裁减,比如说等级化的要求,对于整个网络从管理的角度,从技术的角度都有一些要求。我们作为企业来说可以参照它,是企业都要安全问题,可以参照他制订相关的规定,这些规定就是这几个方面,都可以参考。它强调的是可控的安全,根据你发展的阶段来做一个设置,而不是一次性就把安全做到什么密不透风,没有人可以攻进来,这是不可能的,你要设定阶段性的目标,一步一步来做。按阶段性一步一步做,等级随着企业发展不断提升。
主持人:
这个思路是对的,一步到位会造成投资的浪费。
叶蓬:
对。
主持人:
您觉得09年的企业安全呈现哪些特点呢?
叶蓬:
觉得09年安全的建设什么样呢?首先,安全建设是一个多层次,立体化的建设,就像传统做安全防御,要拉防线的一种战术,被动的,有一种攻击,有一种威胁,就拉起一道防线,在屋子外面和里面之间,边界上有防火墙,再到后来防火墙也不够了,又是入侵检测,还有UTM,应用层的攻击也来了,又有应用层的防火墙。这种新的手段出现,老的那些设备还得用,就造成一种你要形成多层次立体化的防御纵深,一条防线不够,可能多条防线,相互配合。而且安全问题太复杂了,但就网络安全就很复杂,不是说一种产品就能把什么事情都解决了,就算UTM也不能都解决,所以要多层次、立体化的建设,建立防御纵深。
再就是我们谈到的有国外萨班斯,有国内萨班斯,有等级化保护,这些相当于我们国家政府外在的一些行业对企业的要求压力,对企业来说是外在的压力,这种外力要求企业不管你自身的情况如何,必须符合到某种程度,我们叫合规性管理,达到一定的标准。
国家前不久刑法第七修正案有出台了,其中就有关信息泄漏,尤其是国家机关,金融、交通核心的部门,如果泄漏的一些信息,要承担一定的责罚,这个都存在信息系统里面。一种可能就是有人非法通过信息系统盗取了这个信息,这个政策出台,很多部门就想我要有防范措施,防止有人通过IT系统把信息窃取,它必须对它的IT进行保护,间接就是内控。就是相关合规性,法律的要求,促使我们整个企业,金融、证券、电信等等企业,必须在安全方面要有所建设,有所考虑。这是一种外力。
像安全确实是一个不断滚动翻新,你真是防不胜防,道高一尺,魔高一丈,对于我们企业来说不可能投入太大的精力放在安全,它只是一个支撑层面的东西,现在有一个比较好的趋势,就是把专业的事情交给专业的人去做,有一些这样的公司,比较多的就是从事安全服务的外包公司,比如说安全运维的外包,把一些企业日常工作中和安全相关的,或者和整个运维相关的事情,可量化、切分出来,外包给专业的公司,由专业的公司为这些企业提供相关的服务,这也是一个趋势。
像现在的云计算,云安全,有一种实际的运用模式。比如说专业的安全公司,因为它拥有大量的安全专家,大量的资源,它可能在它的企业建立这样一个云安全中心,这个云安全中心为谁服务?就可以为千千万万普通的企业提供专业化的服务,企业就购买专业公司的服务,来享用相应的安全建设,可以最快享受到最新安全的防御、防护的措施。企业就相当于为了要向客户提供服务,自己要建立一个后台,建设一个安全的云,它要把大量的知识汇总起来,就像在软件领域已经有了SAAS,软件型服务。我利用这个云,为这个企业提供一些服务,这也是一个趋势。说白了,就是减轻用户在安全方面的压力。
关于管理系统的融合。传统的安全建设或者网络建设,建设到一个阶段就是不是部署几个设备就可以解决问题了,多层次、立体化也不是多种设备,多种软件,关键是怎么样能把这些设备协同起来工作,真正地为人服务。现在很多企业遇到一个瓶颈,就是上的设备越来越多,网络设备基本上都成型了,安全设备不断的网上累,但管理人员还是那两三个人员,他面对的设备数量和网络复杂度不断的增加,不可能登到每个设备去看。必须有一套管理系统,运维系统帮助他把这个管理起来,管理是09年很热的词,这个管理不仅包括安全管理,还包括网络管理,服务器,设备。管理人员就那几个,所有的IT资源,支撑的基础设施怎么有效的综合管理起来,这不仅是客户要思考的问题,也是我们企业界要去考虑的问题,怎么样满足客户的需求。
我认为是这几个方面。
主持人:
我问您一个小问题,您刚才提到了UTM,有很多用户反映说即使买了UTM,也只是作为VPN的接入设备,如果UTM全开,就相当于大机死了,很慢慢。它没有专业的防火墙那么好用,所以只是用了UTM很小的一个功能。以您个人来看,UTM是否还是一个可以发展的比较快,或者能够被更多的人接受的一个产品?
叶蓬:
我个人认为UTM总体上还是代表了未来的一个发展的趋势,虽然说您刚才提到了一些问题,这个主要是在硬件性能平台方面是存在一个瓶颈,但是我感觉从未来发展来说,从CPU,从一些硬件体系架构的发展方向来说,它的性能肯定是要不断提升的。未来肯定是要把多种设备,多种功能的东西揉合在一起,这个确实是没有问题的。
但是目前UTM怎么用,要么感觉投资浪费,要么感觉性能不够,我们把它用到合理的地方,而不是一概而论。刚才我们说等级化提供很好的思路,它由于有重点,可控的,我把网络划分成不同安全的等级,网络是一个整体大的部分,有办公网,有生产核心网,还有财务等不同的部门,不同的部门对企业来说关键程度,重要性是不一样的,在不同的等级划分之后,我们会考虑不同的情况用UTM,有些情况比较适合。比如对于你的一些分支的机构,压力没有那么大,不是大数据处理的部门,你可以考虑一个UTM,节省投资,不用上很多设备,对于你核心的网络,重要的部门,或者这个网络流量特别大,可用性和安全永远是一个矛盾,可以说连通性,安全是一种阻断的概念,您业务量非常大的情况下就不能考虑UTM这种设备。
主持人:
得需要专门的一些安全设备。
叶蓬:
对,在不同的场合分别的使用,至少UTM在一些分支机构,像拉一些专线,网络带宽不是那么大,或者对网络流量不是那么大的部门可以考虑使用UTM,这个可以优先考虑。因为设备太多,管理的成本就会呈指数型的增加。
主持人:
我们看了一个统计数据,75%的IT成本是来自运维,日常的管理,人力和服务器。
叶蓬:
你买UTM和专业的设备,不是一次性投资节省,而是你后来运维节省了成本。
主持人:
我们很多网友都是一些专业的技术人员,也有搞运维,我们刚才谈的东西都是对安全的一些市场方面,或者大概念,我们现在想请您谈一下,您刚才谈到统一安全管理,怎么对IT各个组件,比如说对这个路由器怎么管理,对一个交换机,或者对一个服务器,甚至对很多防火墙,IDS设备怎么做到安全管理,从技术层面上告诉大家一下。
叶蓬:
是这样的,说到统一安全管理,也是有一个动因,为什么我们通过大量的和客户沟通交流,发现客户有这样一个内在的需求,我们前面也提到了,随着网络建设的发展,安全设备不断的网上累计,就像垒积木一样,但企业管理运维管理人员并没有相应的增加,就导致一个结果,还是那几个人,管理的东西越来越多,越来越杂,你安全的责任越来越重。而且你也很难把那么多设备都学透了,学精了,就需要有一套管理系统,能够帮助人主动把各种各样的设备工作的状况统计、监控起来。不仅仅是这些安全设备,还包括一些网络设备,主机服务器,最关键的就是信息应用系统,比如说OA系统,报销系统,办公系统,ERP系统,要保障他们能够运营起来,这是客户管理的需求。
为了满足客户这个管理的需求,我们要统一管理,我们不是管理某些设备,而是把所有IT资源相关的设备都管理起来,这个管理是监控和审计,并不是做配置操作。所有应用业务系统工作状况怎么样,对于普通的运维人员,大部分时间经常都是接电话,一个电话打过来,都是说我的报销系统登录不上去了,某某系统上不了,反映出来都是通、断这些问题。调查一下是挺复杂的,有可能是办公系统的软件当掉了,有可能支撑这个办公系统Oracle服务器当掉了,有可能是交换机端口坏了,有可能是他电脑本身有问题,但是客户不会管,反正有问题,你就得排查,运维人员就得看哪儿出现问题。如果把业务相关的软件硬件统一的监控起来,都在我的监管之下,只要有电话打过来,我就可以很快的定位到是哪一个环节出了问题,快速的定位故障,解决问题。或者说我更进一步,通过主动的监控,甚至于你还没有打电话过来,我就发现有些地方在朝不好的趋势发展,存在问题,我可以提前采取一些干预的手法,把问题解决了。这个其实是统一管理要解决最大的问题,就是运维人员百分之八十的时间都是找问题,接电话,提升他们的工作效率,这是很大一块。
前面讲的是显性的问题,运维过程当中显性的问题。另外一块就是隐性的问题,比如说信息泄漏,黑客植入木马窃取信息,或者内部人员盗取信息,或者通过发邮件把重要的东西发出去,各种运行指标都很正常,都很顺畅,但是过了段时间公安部门找上门了,说你们有违法犯罪的事情。统一管理也包括隐性的安全管理问题,它要把各种网络相关的信息和事件搜集出来,因为你要窃取信息肯定有登陆信息,比如说某个库段,某个文件,在违规行为的时候,每个步骤都会留下有操作系统登录日志,防火墙都有日志,我们把这些信息搜集起来,汇总一下来判断是不是有异常的行为。就相当于体检一样,你生病了光是量一个血压,发现不稳定,或者你流鼻涕,不代表你就发烧了,还有多种指标特征综合判断才可以确诊,统一管理就是把不同的信息搜集起来,辅助我的人快速判断,不仅发现显性的问题,还可以发现一些隐性的问题,这就是统一安全为客户要解决的问题。
主持人:
我特别想知道一个问题,一个人把公司的信息发邮件发出去了,这个过程当中公司邮件非常多,你怎么判断这个信息是违规的?
叶蓬:
这块有比较多的技术,一种比较流行的技术,因为企业上互联网总会有一个网络出口,都有一些应用审计的设备,我们有一个上网行为审计,它有一种功能,能够抓取网络中流出的邮件SMTP还原,然后就可以找到你发了什么邮件,这个邮件的附件是什么,通过一些匹配的技术,或者人工核查的技术,看看是不是有违反我规定的信息,最简单有关键字匹配,比如说我们公司的资料都有机密二字,看看有没有匹配,或者看BBS论坛,你可能通过WEB邮箱发,我也可以通过WEB邮箱协议来查。
还有一种技术就是直接在员工电脑上装一个小软件,这种小软件就是一种桌面终端管理。
主持人:
电脑一出这个网口就知道。
叶蓬:
对,它相当于是一种侵入性很高,强制性的,电脑是我公司的资产,我作为企业主有权在电脑上面装一个小软件,监控你的行为,你是不是上班干该干的事情,是不是干一些违规的行为,这个一出口我就阻止你,这些行为就不可能发生。
主持人:
假如说附件是WORD文件,如果他把名字改了,你能探测到里面的数据吗?
叶蓬:
没有任何一种技术是功能较多的,因为信息泄漏必须要是综合治理,包括像员工的意识培训,相关的法律法规,公司制度,这个只是一种震慑和威胁的手段,比如说我有一个公司的机密,就用PGP加密成乱码,然后压缩到几百K,大邮件你会怀疑,小邮件你可能不会注意。这个没办法。但你来了我们公司要签保密协议,发生问题还要追究,在安全领域不可能存在百分之百的技术。
主持人:
不可能穷尽安全的问题。
叶蓬:
比如说我管理的严不允许员工上网,通过其他途径达到这个目的。
主持人:
我记得有一个单位说每发送邮件和接收邮件都备份。
叶蓬:
这个是事后追查的依据,作为证据留存下来,这也是一个很好的思路。
主持人:
刚才谈到的是一个应用的监控,比如像一个Oracle的数据,您怎么对这个数据进行监控?
叶蓬:
像数据库,或者应用系统,尤其是主机,LINUX操作系统等等,这种监控是采用了我们强调的一种技术,就是非侵入式的技术,不需要在这个被监控的设备上装东西,通过自身的网络协议,比如说Oracle数据库提供服务就支持ODBC接口,我就通过它已有的ODBC接口读取运行状况的信息,反映到我们的界面上。比如说对操作系统的监控,一般情况下不 需要在设备上装东西对它监控,因为很多企业就像数据库和主机都是重要的生产系统,很难说装一个小软件在上面,一方面怕影响信息,比如说装在微软的操作系统,你是不是通过微软的认证,以后是当机了,是我的业务系统导致的,还是这个小软件导致的,这是一个问题。我们做监控就比较强调是非侵入式的。
主持人:
像一些网络设备,路由器、交换机之类的,这时候你对它的监控在哪个层面上开展?像异常流量的监控。
叶蓬:
我们在传统网管领域有很多积累,不管是我们厂家,还有其他厂家,都有很多的积累,对网络设备进行监控。我们对网络设备的监控不仅停留在本身的监控,还有对配置信息监控,我要看你的配置信息有没有改动,还有你登录注销的日志,看看有没有人登录我们的交换机上。再一个就是流量的监控。流量有三种方式监控,第一种是读取交换机的端口,我来实时的看端口的流量,进、出、速率等等,我把流量曲线画出来,分析找出问题,第二,思科这种安全网络设备就能产生一种流量日志,在大规模的情况下,要监控网络比较费劲,通过这个日志就比较简单,这个日志把信息做了汇总,你可以分析。第三种,现在见得比较多的就是不仅要看网络流量有没有异常,还要分析出哪部分流量异常,把这个流量继续拆解,我能拆解出HTTP上网的流量,要把应用层的流量做细化,这要通过一种技术就要抓包,在网络上的通路放一个摄像头,这个摄像头可能就是网络的侦听,我把进进出出所有人的行为都侦听一下,做一个分析,发现这种细密度的违规行为。
像我们公司这三种技术都是具备的,在实际使用的时候,就是根据用户网络的情况,根据他的投资,他对网络要求等级不同。比如说我简单要流量,还是细到每一个应用,我们会用不同的技术对应。
主持人:
像交换机品牌差不多有200多个,网御神州全部监控,有一个兼容性的问题。
叶蓬:
说到安全管理,网络管理,都有一个很大的课题,就是这个平台的开放性,你不能是只管理自己公司的设备,要管理不同的品牌,甚至不同品牌的型号,因为用户网络建设不是绑定某一个厂家,客观环境很复杂。
主持人:
硬件不一样,软件也不一样。
叶蓬:
客户要求是跨平台,开放式的管理系统,我们设计这个系统的时候,也是从这个思路出发,并且朝着这个目标去做的。我们公司统一管理就可以兼容到国内外主流的网络设备、安全设备,进行统一的管理。
还有一个特点,网络设备虽然厂家多,品牌多,但是还是有业界通讯规范的标准,比如说STMP,大家都是比较遵循的,不能是百分之百遵循,但还是有规律可循。
我们做统一管理过程中遇到的难点不是在网络设备,而是在安全设备,安全设备和网络设备比发展阶段靠后一点,不像网络设备,业界有一些通行的标准,安全设备的标准没有公认的,像国外的厂商都没有,国内各家都有自己的标准,怎么管理这些安全设备呢,我们有自己的套路,我们倡导标准,我们参加一些标准化的组织,朝着标准化的方式前进,我们是通讯标准化委员会成员单位之一。
另外市场现实的需要摆着,标准可能是长期的过程,目前怎么解决?我们就是通过经验。我们这个产品用户有多少,成功案例有多少,比如说我们在跟用户讲我们为了证明我们开放性,我们在这个客户支持这个产品,在那个项目里面支持那个产品。我们做了三年,做了上百个项目了,通过这些项目,不同设备应该怎么去管,具有实际的工程经验。这些对于我们来讲是直接可以拿来用的东西,可以打消客户的顾虑,但是还是有隐患的,有可能会遇到新的设备无法兼容。
主持人:
这里面还涉及到一个统一管理的工具,应用的是一个比较灵活性的工具,遇到一个不知道的设备,研发人员可以迅速改进它。
叶蓬:
统一管理对于用户来说是一个产品,在我们研发来讲,它底下有一个平台,不能说有一个新的东西,要重新开发代码,这个模块重新编译,这肯定来不及了,我们做的时候就提供了二次开发的工具,只需要写一些配置脚本,一些解释性的语言,不需要重新编译,把新设备支持的东西像插积木一样插进去,这个新设备类型就可以用了。这个平台就使我们研发配置发生了变化,我们专门有开发底层平台的人,专门有负责实施的人,负责实施的人遇到问题就用二次开发工具。
主持人:
网御神州如果遇到这样的情况,可能是一个防火墙,原来的系统不支持,反馈给你们的研发人员改,最后把这个问题搞定需要多长时间?
叶蓬:
因为各种设备不太一样,每一种设备都不好拿以前的设备来打比方。我们做了多年,这个一般不超过五天,这个不需要反馈给研发,就是由我们工程实施人员就可以做了。但对于某些复杂的,可能需要交给我们研发来做,一般来说就是一周。
主持人:
这个时间是很短了。
叶蓬:
用户完全可以接受。
主持人:
我曾经见过一个很大的公司,要改进一个工艺里面一个代码,大概需要三个月的时间。
叶蓬:
像这种统一管理在国外做的比较早,像一些大的软件巨头,做管理软件,他们做的东西考虑到大架构,他们考虑大型企业是上千个节点,考虑更多的是扩展性、伸缩性,但是适应性、灵活性方面有欠缺,这恰恰是我们国内做的,我们做这种产品随着国内企业的发展阶段,一开始国内企业不是那么大型,都是偏中小型的,随着发展,我们产品不断从简单到复杂去做,我们产品一开始就很灵活。
主持人:
您刚才到可以在终端加一个小软件,除了这个方法,还有没有别的方法在企业里面对电脑进行监控?
叶蓬:
我认为做这个要把监控分为两层面,一是IT基础设施支撑的系统,像一些服务器,核心的主机,这个运维人员就是责任人,二是桌面终端PC,这个作为运维管理人员,我不是它的所有者,这个员工是这个资产真正的负责人,我只是说保证你这个系统,保证这台PC能够用,有问题,我可以支持你,保证你不拿这台电脑做不该做的事情。我认为桌面终端PC和我的基础设施要分开,为什么分开?因为它的管理者是不同的,对于基础设施管理者就是运维人员,运维人员要给他提供什么样的管理平台,管理工具,怎么有效的保障业务系统、生产系统正常的运行。这个技术就是采用一些非侵入式的技术,因为这些业务系统很重要,非侵入式系统会监控,收集日志,进行分析。对于普通的办公人员,普通的PC怎么弄呢?一种技术就是前面提到的在一些强制性的单位,要求在你的PC上装东西,你装了这个东西之后就在管理人员掌控之下,管理人员上我们的软件也不是看用户各种各样的操作,这不是我们的目的,目的是防止你违规我们远程监控是要征得当事人的允许,我远程把你的定理切换过来,我要做这个操作之前会通知你,你点同意,我才可以做,这也有人性化的地方。我上班时间对公司业务相关的信息才去监控,平常不去管。还有一种方法,因为终端一定要连到网上,很少有员工的电脑是单机,我们可以在网络做一种方法,现在流行的就是安全接入,就是说我这个设备要达到一定的安全标准,按照公司规定必须装杀毒软件,必须要装我某个系统,不能装什么什么,我都规定好了,这个设备一接进来,我会对你进行探测,在交换机层面,在网络层面,检测到一些匹配。甚至在防火墙有一种专有接入准入控制硬件设备,也可以一定程度上找到你有没有一些非法的接入或者违规。这个层级相对低一点,但是这个代价自然就小,你所付出的这个成本就小。成本跟安全性也是成比例关系的。
主持人:
还有一个问题,企业网络里面可能存在各种各样的管理软件,有管流量的,管上网行为管理的,还有很多应用软件。您刚才谈了一下安全是一种策略,一种阻断的策略,这时候就涉及到和其他管理人员的协同,你可以讲讲网御神州管理软件怎么和企业里面其他软件完美无缺的配合,协同过来。
叶蓬:
管理软件面向直接使用就是运维人员,我们既然叫统一管理,统一概念解决对运维人员就不需要有太多的管理系统。如果我这个统一管理系统又和其他的一些管理类软件都在一个水平面上,对它来说又是负担,我上了这个系统又上其他系统,管理起来用这个,还是用这个,还是不同情况下用不同的东西?它一定是在现在的管理系统之上的,我现在的管理系统架构在你现在的防火墙之上,架构在现在的网络设备之上,甚至架构在你现在的网管系统之上,也就是统一管理就是运维人员平常工作的时候,80%的时候就看这个统一管理的界面,它会告诉你,主机有问题,网络有问题,还是安全设备有问题。如果网络有问题,它可以具体看网络是哪儿有问题,网管软件这块做的非常细致。作为我们统一管理的入口,能够把网络的信息,主机的信息,安全设备的信息都反映出来,统一管理是一个门户。它也不是取代了什么网络管理,取代了防火墙,你有统一管理的设备,就不需要有防火墙,不需要入侵检测了,不需要网管了,不是这个意思。它本身不具备什么安全功能,不可能像防火墙那样发现安全的问题。它只是把信息做一个统计的汇总,然后展现,让运维人员在一个窗口看到不同的信息,通过点击可以把需要的界面调用出来,它不是取代你现有的设备,它是直接面向最终使用者,这样用户的价值就容易体现出来。
这种系统也强调要有一个开放的接口,怎样把不同的设备、不同的软件,包括服务器管理软件,网络设备软件,流量的软件,进入进来,这包括界面的集成,有一个整体的观念,还有信息的集成,流量软件自身有一套分析机制,流量信息发到我的管理系统来,我还可以做二次分析,因为流量的分析仅仅是对流量分析,在我的统一管理里面,不仅有流量的信息,还有主机或者服务器其他的信息,我把你的流量信息和其他信息综合起来交叉汇总,这样更准确一点,更容易帮客户定位问题,把各种单一信息做一个汇总。
主持人:
这样等于是说对企业里面所有的设备,所有的软件,基于安全的问题统一汇总起来,然后把它呈现出来,对于一个网管来讲很容易判断,出了问题出在哪个环节,快速定位,快速解决这个问题。
叶蓬:
本质上就是提高效率,一个正常的运维人员,即使没有这个系统,他工作的原理也差不多,我先登录到流量管理系统,看看有没有流量异常,这个IP流量异常,我可能登录到防火墙,以这个IP作为线索,有没有这个针对这个IP的攻击,就看到病毒,或者看那个IP有没有非法登录日志,我干这个事情也是把相关的信息汇总一下,但是麻烦一点,东看看,西看看。有了统一管理系统,这些信息都在一个平台上,不用东看西查了,都可以看到,信息都实时汇总,相当于一个总控中心,一个神经中枢大脑这样的概念。
主持人:
实际上相当于运维人员聘了几个助手,帮助他工作。
叶蓬:
对,本质上是提高工作效率。
主持人:
我们今天先讲到这儿,各位网友非常感谢大家,谢谢大家。
(结束)