网络管理系统的发展分析

未来网络与安全必然密不可分，只有将网络管理与安全管理有机结合，才能满足中国用户的实际需要。

1 网络管理系统的发展分析

网络管理系统作为一类IT管理系统，伴随着网络技术的兴起而迅速发展起来，其发展路线经历了一个从网络设备管理到业务管理的过程。最早的网络管理就是对网络设备的管理。后来，由于客户网络化程序加深，设备网管逐步发展到综合网管阶段，不仅管理网络设备，还管理主机、存储、应用系统等等，管理范围不断扩大。到了最近，网络管理领域出现了将IT监控与业务整合的需求和发展趋势，客户开始关心IT服务对业务带来的影响，强调从业务目标角度出发来优化IT服务，也就是到达了IT与业务融合的阶段。

随着客户的信息化水平不断提升，对网络的依赖日趋加深，而其中的信息问题，尤其是网络安全问题日益突出，严重威胁了客户的整个IT系统。对此，网络管理系统显得力不从心。

现在的应用性能管理(Application Performance Management)系统或者业务服务管理(Business Service Management)系统虽然可以监控客户的应用和业务，但是却没有考虑到安全保障方面的因素。以BSM为例，该系统的核心的业务的可用性和连续性，保障业务服务的持续性。虽然有的BSM也能够对防火墙、IDS等安全设备进行监控，但是基本是监控这些设备的运行状态，并没有从安全的角度去分析这些设备产生的安全事件。还有的BSM也能够收集来自网络设备、主机甚至安全设备的日志，但仅仅将这些日志存储起来，供用户查询，没有去对这些日志进行深入的关联分析，挖掘日志背后隐藏的安全威胁。当然，BSM也就不可能去评估业务系统的安全风险，从而难以指导运维人员进行安全预警与应急响应。

2 传统安全管理平台的不足

安全管理平台的发展也经历了一个从分散到集中的过程。传统的安全管理平台比较多的将焦点放到了对客户资产的安全风险，尤其是隐性的安全风险管理之上，借助安全事件的分析和处理过程建立起了一套应急响应流程。但是，传统的安全管理却存在不少管理上的缺失，严重影响了安管平台的应用效果。

那么，传统的安全管理到底存在什么问题呢?主要原因有以下几点：

1) 传统的安全管理信息来源单一，安全分析不全面

传统安全管理的信息来源不充分，基本集中在对日志和事件的处理分析，缺少IT资源的性能、故障、运行状态等信息的输入，难于反映用户业务系统的实际情况。有些应用系统连日志采集都是很困难的，根本无法通过日志分析知晓这些应用的情况。有的安全管理系统声称能够收集用户已有的网管系统发出的告警信息，但实际上，目前国内大量用户(包括企事业单位和政府部门)连网络管理、业务管理等基本的IT资源管理技术手段都缺乏，也就更无法为安全管理提供必要的信息了。

由于和网络管理割裂，安全管理基本处于被动状态，对系统和设备的可用性和健康状态无法做到主动和有效监控，安全管理就成了无根之木。当用户的网络和系统出现故障后，安全管理系统都不可能收到事件，那么分析和展示又有什么意义呢?所以目前很多SOC项目基本停留在审计安全设备的日志层面，不可能有好的效果。

此外，传统的安全风险分析基本集中在事件和弱点的简单关联计算上，无法反应实际安全威胁和风险的全貌，由于弱点本身的滞后性，导致这种分析基本都是事后诸葛亮，无法给用户体现实际效果。

2) 传统的安全管理片面强调解决隐性安全问题，缺乏实效性

传统的安全管理系统实用性存在问题，它没有解决用户面临的更为首先的问题——IT资源可用性管理和业务连续性管理。所有安全风险中最基本、也是最常见的一类风险就是可用性风险。如果业务中断，那么其他安全风险分析也就失去了意义，而传统的安全管理过分强调分析各种隐性的安全问题，例如外部入侵和内部违规，这些行为往往不导致业务和网络负载出现波动。诚然，这类分析很重要，但却是片面的，忽略了对显性的安全风险，也即可用性风险的识别。

由于缺乏对显性化安全问题的处理，使得安全管理系统看起来总是捕风捉影，难以快速建立起用户的信任和正面反馈，从而制约了系统自身的不断完善。

3 用户需求催生网管安管一体化IT管理系统

对于客户而言，网络管理也好，安全管理也罢，最首要的是要解决他们面临的实际问题。企业和组织的IT运维人员经常面临这样的问题：

接到的保障电话只是反映网络和系统的可用性问题，但实际上可能是由于网络和系统自身导致的，也可能是安全问题引发的;

总是事后响应，甚至是等到公安部门找上门来，难以提前发现安全问题;

发现可疑情况后，缺少分析、响应的手段和流程;

无法了解当前整个IT系统的整体运行状况和安全状态，风险和运维管理全凭感觉;

要缓解和消除上述问题是一个系统性的问题，需要体系化的IT建设思维。其中，很关键的一环就是IT部门必须对其IT设施和服务进行全面的、整体的网络运行监控和安全管理。这其中，既涉及到网络管理，也有安全管理。

但从目前的实际情况来看，网络管理和安全管理建设基本是割裂开来的：网络管理系统主要采用SNMP等协议监控设备和应用的可用性和健康状态，而安全管理则通过分析安全设备，主机和应用的事件信息，采用关联规则进行事件关联，进行审计和风险管理。二者各管一块，看似也正好和一些IT管理部门的职能划分一致。虽然存在就有一定的道理，但是未必就真正合理。长期的客户自身实践，以及大量的网管和安管的实施案例都表明，要想保障业务的持续运营，必须统筹考虑业务的可用性与业务的安全性。越来越多的客户已经开始主动要求进行一体化的IT管理系统建设。

未来的网络发展趋势必然是网络与安全密不可分，很多网络故障都是安全问题引发的，而大部分安全问题都是透过网络传播的。因此，只有将网络管理与安全管理有机结合，才能满足中国用户的实际需要。

4 网络管理与安全管理的融合

可以看出，针对相同的客户IT资源，网络管理平台和安全管理平台相互割裂，分别为用户提供服务功能，并各自向上层的运维平台输出管理信息，给客户的IT运维人员使用运维管理平台造成了极大的困难。

最典型地，就是IT资产的一致性问题。对于运维管理而言，一切运维流程都是建立在一套完整的IT资产库的基础之上，而当前的网管平台和安管平台各自有自己的资产库，导致输出到运维平台的信息缺乏一致性，从而使得工单处理、事故管理、配置管理、变更管理无所适从。

又例如，网管和安管各自面向客户的IT资源进行信息采集，造成了数据重复采集的事实，并可能造成对IT资源和业务系统自身运行的影响，或者导致客户网络中的管理流量过大，影响业务数据流。

再例如，网管平台和安管平台产品的告警信息之间的关联性没有得到体现。事实上，很多网络告警事件是由于安全威胁导致的，而传统的IT管理架构下却无法进行相关性分析，造成了运维平台之上的报警事故频繁，降低了运维人员故障处理的效率。

通过对现在的IT管理架构的深入分析，可以发现，网络管理平台和安全管理平台都可以划分为三个层次：采集层、资产层和业务层。在这三个层次上，网络管理平台和安全管理平台都具有一些技术相似性，因而具有融合的可行性。

可以说，网络管理与安全管理的融合是未来发展的必然，这是客户需求决定的，也是技术发展的必然。

【推荐阅读】

◆网管软件专区

◆成功网管员必备素质软件篇

◆网管基础知识：如何关闭无线路由器的信号发射

◆合格的网管员必备的个人能力和技术知识

◆IT运维管理专区