網(wǎng)絡(luò)管理系統(tǒng)的發(fā)展分析

未來網(wǎng)絡(luò)與安全必然密不可分，只有將網(wǎng)絡(luò)管理與安全管理有機(jī)結(jié)合，才能滿足中國用戶的實(shí)際需要。

1 網(wǎng)絡(luò)管理系統(tǒng)的發(fā)展分析

網(wǎng)絡(luò)管理系統(tǒng)作為一類IT管理系統(tǒng)，伴隨著網(wǎng)絡(luò)技術(shù)的興起而迅速發(fā)展起來，其發(fā)展路線經(jīng)歷了一個從網(wǎng)絡(luò)設(shè)備管理到業(yè)務(wù)管理的過程。最早的網(wǎng)絡(luò)管理就是對網(wǎng)絡(luò)設(shè)備的管理。后來，由于客戶網(wǎng)絡(luò)化程序加深，設(shè)備網(wǎng)管逐步發(fā)展到綜合網(wǎng)管階段，不僅管理網(wǎng)絡(luò)設(shè)備，還管理主機(jī)、存儲、應(yīng)用系統(tǒng)等等，管理范圍不斷擴(kuò)大。到了最近，網(wǎng)絡(luò)管理領(lǐng)域出現(xiàn)了將IT監(jiān)控與業(yè)務(wù)整合的需求和發(fā)展趨勢，客戶開始關(guān)心IT服務(wù)對業(yè)務(wù)帶來的影響，強(qiáng)調(diào)從業(yè)務(wù)目標(biāo)角度出發(fā)來優(yōu)化IT服務(wù)，也就是到達(dá)了IT與業(yè)務(wù)融合的階段。

隨著客戶的信息化水平不斷提升，對網(wǎng)絡(luò)的依賴日趨加深，而其中的信息問題，尤其是網(wǎng)絡(luò)安全問題日益突出，嚴(yán)重威脅了客戶的整個IT系統(tǒng)。對此，網(wǎng)絡(luò)管理系統(tǒng)顯得力不從心。

現(xiàn)在的應(yīng)用性能管理(Application Performance Management)系統(tǒng)或者業(yè)務(wù)服務(wù)管理(Business Service Management)系統(tǒng)雖然可以監(jiān)控客戶的應(yīng)用和業(yè)務(wù)，但是卻沒有考慮到安全保障方面的因素。以BSM為例，該系統(tǒng)的核心的業(yè)務(wù)的可用性和連續(xù)性，保障業(yè)務(wù)服務(wù)的持續(xù)性。雖然有的BSM也能夠?qū)Ψ阑饓?、IDS等安全設(shè)備進(jìn)行監(jiān)控，但是基本是監(jiān)控這些設(shè)備的運(yùn)行狀態(tài)，并沒有從安全的角度去分析這些設(shè)備產(chǎn)生的安全事件。還有的BSM也能夠收集來自網(wǎng)絡(luò)設(shè)備、主機(jī)甚至安全設(shè)備的日志，但僅僅將這些日志存儲起來，供用戶查詢，沒有去對這些日志進(jìn)行深入的關(guān)聯(lián)分析，挖掘日志背后隱藏的安全威脅。當(dāng)然，BSM也就不可能去評估業(yè)務(wù)系統(tǒng)的安全風(fēng)險，從而難以指導(dǎo)運(yùn)維人員進(jìn)行安全預(yù)警與應(yīng)急響應(yīng)。

2 傳統(tǒng)安全管理平臺的不足

安全管理平臺的發(fā)展也經(jīng)歷了一個從分散到集中的過程。傳統(tǒng)的安全管理平臺比較多的將焦點(diǎn)放到了對客戶資產(chǎn)的安全風(fēng)險，尤其是隱性的安全風(fēng)險管理之上，借助安全事件的分析和處理過程建立起了一套應(yīng)急響應(yīng)流程。但是，傳統(tǒng)的安全管理卻存在不少管理上的缺失，嚴(yán)重影響了安管平臺的應(yīng)用效果。

那么，傳統(tǒng)的安全管理到底存在什么問題呢?主要原因有以下幾點(diǎn)：

1) 傳統(tǒng)的安全管理信息來源單一，安全分析不全面

傳統(tǒng)安全管理的信息來源不充分，基本集中在對日志和事件的處理分析，缺少IT資源的性能、故障、運(yùn)行狀態(tài)等信息的輸入，難于反映用戶業(yè)務(wù)系統(tǒng)的實(shí)際情況。有些應(yīng)用系統(tǒng)連日志采集都是很困難的，根本無法通過日志分析知曉這些應(yīng)用的情況。有的安全管理系統(tǒng)聲稱能夠收集用戶已有的網(wǎng)管系統(tǒng)發(fā)出的告警信息，但實(shí)際上，目前國內(nèi)大量用戶(包括企事業(yè)單位和政府部門)連網(wǎng)絡(luò)管理、業(yè)務(wù)管理等基本的IT資源管理技術(shù)手段都缺乏，也就更無法為安全管理提供必要的信息了。

由于和網(wǎng)絡(luò)管理割裂，安全管理基本處于被動狀態(tài)，對系統(tǒng)和設(shè)備的可用性和健康狀態(tài)無法做到主動和有效監(jiān)控，安全管理就成了無根之木。當(dāng)用戶的網(wǎng)絡(luò)和系統(tǒng)出現(xiàn)故障后，安全管理系統(tǒng)都不可能收到事件，那么分析和展示又有什么意義呢?所以目前很多SOC項(xiàng)目基本停留在審計安全設(shè)備的日志層面，不可能有好的效果。

此外，傳統(tǒng)的安全風(fēng)險分析基本集中在事件和弱點(diǎn)的簡單關(guān)聯(lián)計算上，無法反應(yīng)實(shí)際安全威脅和風(fēng)險的全貌，由于弱點(diǎn)本身的滯后性，導(dǎo)致這種分析基本都是事后諸葛亮，無法給用戶體現(xiàn)實(shí)際效果。

2) 傳統(tǒng)的安全管理片面強(qiáng)調(diào)解決隱性安全問題，缺乏實(shí)效性

傳統(tǒng)的安全管理系統(tǒng)實(shí)用性存在問題，它沒有解決用戶面臨的更為首先的問題——IT資源可用性管理和業(yè)務(wù)連續(xù)性管理。所有安全風(fēng)險中最基本、也是最常見的一類風(fēng)險就是可用性風(fēng)險。如果業(yè)務(wù)中斷，那么其他安全風(fēng)險分析也就失去了意義，而傳統(tǒng)的安全管理過分強(qiáng)調(diào)分析各種隱性的安全問題，例如外部入侵和內(nèi)部違規(guī)，這些行為往往不導(dǎo)致業(yè)務(wù)和網(wǎng)絡(luò)負(fù)載出現(xiàn)波動。誠然，這類分析很重要，但卻是片面的，忽略了對顯性的安全風(fēng)險，也即可用性風(fēng)險的識別。

由于缺乏對顯性化安全問題的處理，使得安全管理系統(tǒng)看起來總是捕風(fēng)捉影，難以快速建立起用戶的信任和正面反饋，從而制約了系統(tǒng)自身的不斷完善。

3 用戶需求催生網(wǎng)管安管一體化IT管理系統(tǒng)

對于客戶而言，網(wǎng)絡(luò)管理也好，安全管理也罷，最首要的是要解決他們面臨的實(shí)際問題。企業(yè)和組織的IT運(yùn)維人員經(jīng)常面臨這樣的問題：

接到的保障電話只是反映網(wǎng)絡(luò)和系統(tǒng)的可用性問題，但實(shí)際上可能是由于網(wǎng)絡(luò)和系統(tǒng)自身導(dǎo)致的，也可能是安全問題引發(fā)的;

總是事后響應(yīng)，甚至是等到公安部門找上門來，難以提前發(fā)現(xiàn)安全問題;

發(fā)現(xiàn)可疑情況后，缺少分析、響應(yīng)的手段和流程;

無法了解當(dāng)前整個IT系統(tǒng)的整體運(yùn)行狀況和安全狀態(tài)，風(fēng)險和運(yùn)維管理全憑感覺;

要緩解和消除上述問題是一個系統(tǒng)性的問題，需要體系化的IT建設(shè)思維。其中，很關(guān)鍵的一環(huán)就是IT部門必須對其IT設(shè)施和服務(wù)進(jìn)行全面的、整體的網(wǎng)絡(luò)運(yùn)行監(jiān)控和安全管理。這其中，既涉及到網(wǎng)絡(luò)管理，也有安全管理。

但從目前的實(shí)際情況來看，網(wǎng)絡(luò)管理和安全管理建設(shè)基本是割裂開來的：網(wǎng)絡(luò)管理系統(tǒng)主要采用SNMP等協(xié)議監(jiān)控設(shè)備和應(yīng)用的可用性和健康狀態(tài)，而安全管理則通過分析安全設(shè)備，主機(jī)和應(yīng)用的事件信息，采用關(guān)聯(lián)規(guī)則進(jìn)行事件關(guān)聯(lián)，進(jìn)行審計和風(fēng)險管理。二者各管一塊，看似也正好和一些IT管理部門的職能劃分一致。雖然存在就有一定的道理，但是未必就真正合理。長期的客戶自身實(shí)踐，以及大量的網(wǎng)管和安管的實(shí)施案例都表明，要想保障業(yè)務(wù)的持續(xù)運(yùn)營，必須統(tǒng)籌考慮業(yè)務(wù)的可用性與業(yè)務(wù)的安全性。越來越多的客戶已經(jīng)開始主動要求進(jìn)行一體化的IT管理系統(tǒng)建設(shè)。

未來的網(wǎng)絡(luò)發(fā)展趨勢必然是網(wǎng)絡(luò)與安全密不可分，很多網(wǎng)絡(luò)故障都是安全問題引發(fā)的，而大部分安全問題都是透過網(wǎng)絡(luò)傳播的。因此，只有將網(wǎng)絡(luò)管理與安全管理有機(jī)結(jié)合，才能滿足中國用戶的實(shí)際需要。

4 網(wǎng)絡(luò)管理與安全管理的融合

可以看出，針對相同的客戶IT資源，網(wǎng)絡(luò)管理平臺和安全管理平臺相互割裂，分別為用戶提供服務(wù)功能，并各自向上層的運(yùn)維平臺輸出管理信息，給客戶的IT運(yùn)維人員使用運(yùn)維管理平臺造成了極大的困難。

最典型地，就是IT資產(chǎn)的一致性問題。對于運(yùn)維管理而言，一切運(yùn)維流程都是建立在一套完整的IT資產(chǎn)庫的基礎(chǔ)之上，而當(dāng)前的網(wǎng)管平臺和安管平臺各自有自己的資產(chǎn)庫，導(dǎo)致輸出到運(yùn)維平臺的信息缺乏一致性，從而使得工單處理、事故管理、配置管理、變更管理無所適從。

又例如，網(wǎng)管和安管各自面向客戶的IT資源進(jìn)行信息采集，造成了數(shù)據(jù)重復(fù)采集的事實(shí)，并可能造成對IT資源和業(yè)務(wù)系統(tǒng)自身運(yùn)行的影響，或者導(dǎo)致客戶網(wǎng)絡(luò)中的管理流量過大，影響業(yè)務(wù)數(shù)據(jù)流。

再例如，網(wǎng)管平臺和安管平臺產(chǎn)品的告警信息之間的關(guān)聯(lián)性沒有得到體現(xiàn)。事實(shí)上，很多網(wǎng)絡(luò)告警事件是由于安全威脅導(dǎo)致的，而傳統(tǒng)的IT管理架構(gòu)下卻無法進(jìn)行相關(guān)性分析，造成了運(yùn)維平臺之上的報警事故頻繁，降低了運(yùn)維人員故障處理的效率。

通過對現(xiàn)在的IT管理架構(gòu)的深入分析，可以發(fā)現(xiàn)，網(wǎng)絡(luò)管理平臺和安全管理平臺都可以劃分為三個層次：采集層、資產(chǎn)層和業(yè)務(wù)層。在這三個層次上，網(wǎng)絡(luò)管理平臺和安全管理平臺都具有一些技術(shù)相似性，因而具有融合的可行性。

可以說，網(wǎng)絡(luò)管理與安全管理的融合是未來發(fā)展的必然，這是客戶需求決定的，也是技術(shù)發(fā)展的必然。

【推薦閱讀】

◆網(wǎng)管軟件專區(qū)

◆成功網(wǎng)管員必備素質(zhì)軟件篇

◆網(wǎng)管基礎(chǔ)知識：如何關(guān)閉無線路由器的信號發(fā)射

◆合格的網(wǎng)管員必備的個人能力和技術(shù)知識

◆IT運(yùn)維管理專區(qū)