網(wǎng)絡管理系統(tǒng)的發(fā)展分析

未來網(wǎng)絡與安全必然密不可分，只有將網(wǎng)絡管理與安全管理有機結合，才能滿足中國用戶的實際需要。

1 網(wǎng)絡管理系統(tǒng)的發(fā)展分析

網(wǎng)絡管理系統(tǒng)作為一類IT管理系統(tǒng)，伴隨著網(wǎng)絡技術的興起而迅速發(fā)展起來，其發(fā)展路線經(jīng)歷了一個從網(wǎng)絡設備管理到業(yè)務管理的過程。最早的網(wǎng)絡管理就是對網(wǎng)絡設備的管理。后來，由于客戶網(wǎng)絡化程序加深，設備網(wǎng)管逐步發(fā)展到綜合網(wǎng)管階段，不僅管理網(wǎng)絡設備，還管理主機、存儲、應用系統(tǒng)等等，管理范圍不斷擴大。到了最近，網(wǎng)絡管理領域出現(xiàn)了將IT監(jiān)控與業(yè)務整合的需求和發(fā)展趨勢，客戶開始關心IT服務對業(yè)務帶來的影響，強調從業(yè)務目標角度出發(fā)來優(yōu)化IT服務，也就是到達了IT與業(yè)務融合的階段。

隨著客戶的信息化水平不斷提升，對網(wǎng)絡的依賴日趨加深，而其中的信息問題，尤其是網(wǎng)絡安全問題日益突出，嚴重威脅了客戶的整個IT系統(tǒng)。對此，網(wǎng)絡管理系統(tǒng)顯得力不從心。

現(xiàn)在的應用性能管理(Application Performance Management)系統(tǒng)或者業(yè)務服務管理(Business Service Management)系統(tǒng)雖然可以監(jiān)控客戶的應用和業(yè)務，但是卻沒有考慮到安全保障方面的因素。以BSM為例，該系統(tǒng)的核心的業(yè)務的可用性和連續(xù)性，保障業(yè)務服務的持續(xù)性。雖然有的BSM也能夠對防火墻、IDS等安全設備進行監(jiān)控，但是基本是監(jiān)控這些設備的運行狀態(tài)，并沒有從安全的角度去分析這些設備產(chǎn)生的安全事件。還有的BSM也能夠收集來自網(wǎng)絡設備、主機甚至安全設備的日志，但僅僅將這些日志存儲起來，供用戶查詢，沒有去對這些日志進行深入的關聯(lián)分析，挖掘日志背后隱藏的安全威脅。當然，BSM也就不可能去評估業(yè)務系統(tǒng)的安全風險，從而難以指導運維人員進行安全預警與應急響應。

2 傳統(tǒng)安全管理平臺的不足

安全管理平臺的發(fā)展也經(jīng)歷了一個從分散到集中的過程。傳統(tǒng)的安全管理平臺比較多的將焦點放到了對客戶資產(chǎn)的安全風險，尤其是隱性的安全風險管理之上，借助安全事件的分析和處理過程建立起了一套應急響應流程。但是，傳統(tǒng)的安全管理卻存在不少管理上的缺失，嚴重影響了安管平臺的應用效果。

那么，傳統(tǒng)的安全管理到底存在什么問題呢?主要原因有以下幾點：

1) 傳統(tǒng)的安全管理信息來源單一，安全分析不全面

傳統(tǒng)安全管理的信息來源不充分，基本集中在對日志和事件的處理分析，缺少IT資源的性能、故障、運行狀態(tài)等信息的輸入，難于反映用戶業(yè)務系統(tǒng)的實際情況。有些應用系統(tǒng)連日志采集都是很困難的，根本無法通過日志分析知曉這些應用的情況。有的安全管理系統(tǒng)聲稱能夠收集用戶已有的網(wǎng)管系統(tǒng)發(fā)出的告警信息，但實際上，目前國內大量用戶(包括企事業(yè)單位和政府部門)連網(wǎng)絡管理、業(yè)務管理等基本的IT資源管理技術手段都缺乏，也就更無法為安全管理提供必要的信息了。

由于和網(wǎng)絡管理割裂，安全管理基本處于被動狀態(tài)，對系統(tǒng)和設備的可用性和健康狀態(tài)無法做到主動和有效監(jiān)控，安全管理就成了無根之木。當用戶的網(wǎng)絡和系統(tǒng)出現(xiàn)故障后，安全管理系統(tǒng)都不可能收到事件，那么分析和展示又有什么意義呢?所以目前很多SOC項目基本停留在審計安全設備的日志層面，不可能有好的效果。

此外，傳統(tǒng)的安全風險分析基本集中在事件和弱點的簡單關聯(lián)計算上，無法反應實際安全威脅和風險的全貌，由于弱點本身的滯后性，導致這種分析基本都是事后諸葛亮，無法給用戶體現(xiàn)實際效果。

2) 傳統(tǒng)的安全管理片面強調解決隱性安全問題，缺乏實效性

傳統(tǒng)的安全管理系統(tǒng)實用性存在問題，它沒有解決用戶面臨的更為首先的問題——IT資源可用性管理和業(yè)務連續(xù)性管理。所有安全風險中最基本、也是最常見的一類風險就是可用性風險。如果業(yè)務中斷，那么其他安全風險分析也就失去了意義，而傳統(tǒng)的安全管理過分強調分析各種隱性的安全問題，例如外部入侵和內部違規(guī)，這些行為往往不導致業(yè)務和網(wǎng)絡負載出現(xiàn)波動。誠然，這類分析很重要，但卻是片面的，忽略了對顯性的安全風險，也即可用性風險的識別。

由于缺乏對顯性化安全問題的處理，使得安全管理系統(tǒng)看起來總是捕風捉影，難以快速建立起用戶的信任和正面反饋，從而制約了系統(tǒng)自身的不斷完善。

3 用戶需求催生網(wǎng)管安管一體化IT管理系統(tǒng)

對于客戶而言，網(wǎng)絡管理也好，安全管理也罷，最首要的是要解決他們面臨的實際問題。企業(yè)和組織的IT運維人員經(jīng)常面臨這樣的問題：

接到的保障電話只是反映網(wǎng)絡和系統(tǒng)的可用性問題，但實際上可能是由于網(wǎng)絡和系統(tǒng)自身導致的，也可能是安全問題引發(fā)的;

總是事后響應，甚至是等到公安部門找上門來，難以提前發(fā)現(xiàn)安全問題;

發(fā)現(xiàn)可疑情況后，缺少分析、響應的手段和流程;

無法了解當前整個IT系統(tǒng)的整體運行狀況和安全狀態(tài)，風險和運維管理全憑感覺;

要緩解和消除上述問題是一個系統(tǒng)性的問題，需要體系化的IT建設思維。其中，很關鍵的一環(huán)就是IT部門必須對其IT設施和服務進行全面的、整體的網(wǎng)絡運行監(jiān)控和安全管理。這其中，既涉及到網(wǎng)絡管理，也有安全管理。

但從目前的實際情況來看，網(wǎng)絡管理和安全管理建設基本是割裂開來的：網(wǎng)絡管理系統(tǒng)主要采用SNMP等協(xié)議監(jiān)控設備和應用的可用性和健康狀態(tài)，而安全管理則通過分析安全設備，主機和應用的事件信息，采用關聯(lián)規(guī)則進行事件關聯(lián)，進行審計和風險管理。二者各管一塊，看似也正好和一些IT管理部門的職能劃分一致。雖然存在就有一定的道理，但是未必就真正合理。長期的客戶自身實踐，以及大量的網(wǎng)管和安管的實施案例都表明，要想保障業(yè)務的持續(xù)運營，必須統(tǒng)籌考慮業(yè)務的可用性與業(yè)務的安全性。越來越多的客戶已經(jīng)開始主動要求進行一體化的IT管理系統(tǒng)建設。

未來的網(wǎng)絡發(fā)展趨勢必然是網(wǎng)絡與安全密不可分，很多網(wǎng)絡故障都是安全問題引發(fā)的，而大部分安全問題都是透過網(wǎng)絡傳播的。因此，只有將網(wǎng)絡管理與安全管理有機結合，才能滿足中國用戶的實際需要。

4 網(wǎng)絡管理與安全管理的融合

可以看出，針對相同的客戶IT資源，網(wǎng)絡管理平臺和安全管理平臺相互割裂，分別為用戶提供服務功能，并各自向上層的運維平臺輸出管理信息，給客戶的IT運維人員使用運維管理平臺造成了極大的困難。

最典型地，就是IT資產(chǎn)的一致性問題。對于運維管理而言，一切運維流程都是建立在一套完整的IT資產(chǎn)庫的基礎之上，而當前的網(wǎng)管平臺和安管平臺各自有自己的資產(chǎn)庫，導致輸出到運維平臺的信息缺乏一致性，從而使得工單處理、事故管理、配置管理、變更管理無所適從。

又例如，網(wǎng)管和安管各自面向客戶的IT資源進行信息采集，造成了數(shù)據(jù)重復采集的事實，并可能造成對IT資源和業(yè)務系統(tǒng)自身運行的影響，或者導致客戶網(wǎng)絡中的管理流量過大，影響業(yè)務數(shù)據(jù)流。

再例如，網(wǎng)管平臺和安管平臺產(chǎn)品的告警信息之間的關聯(lián)性沒有得到體現(xiàn)。事實上，很多網(wǎng)絡告警事件是由于安全威脅導致的，而傳統(tǒng)的IT管理架構下卻無法進行相關性分析，造成了運維平臺之上的報警事故頻繁，降低了運維人員故障處理的效率。

通過對現(xiàn)在的IT管理架構的深入分析，可以發(fā)現(xiàn)，網(wǎng)絡管理平臺和安全管理平臺都可以劃分為三個層次：采集層、資產(chǎn)層和業(yè)務層。在這三個層次上，網(wǎng)絡管理平臺和安全管理平臺都具有一些技術相似性，因而具有融合的可行性。

可以說，網(wǎng)絡管理與安全管理的融合是未來發(fā)展的必然，這是客戶需求決定的，也是技術發(fā)展的必然。

【推薦閱讀】

◆網(wǎng)管軟件專區(qū)

◆成功網(wǎng)管員必備素質軟件篇

◆網(wǎng)管基礎知識：如何關閉無線路由器的信號發(fā)射

◆合格的網(wǎng)管員必備的個人能力和技術知識

◆IT運維管理專區(qū)