网络世界大会2013暨第十一届以太网世界大会速记

北京下午分会场一
2013-9-6

主持人:“以太改变世界,创新造就传奇”,尊敬的各位来宾,大家下午好!

感谢大家能够准时来到下午的分论坛,我是本场论坛的主持人网络世界行业运用主编王莹,今天下午有来自厂商的解决方案,也有来自用户的案例分享可以说内容非常精彩的。最后我们还会抽取今天的一、二、三等奖。时间宝贵,我们现在马上开始,首先有请第一位演讲嘉宾,来自神州数码网络有限公司无线产品线市场总监张鹏先生,为我们带来的“DCN精细无线,品质无线”,有请张总。

张鹏:大家下午好!

首先自我介绍一下,我是神州数码网络公司无线产品线的市场总监,我叫张鹏。很荣幸也很高兴,今天有这么一个机会可以跟大家就无线网络解决方案做一些简短的经验交流或者分享。我今天演讲题目是“DCN的精细无线跟品质无线”,首先介绍一下神州数码,2011年在香港联交所上市,目前拥有16000名员工。DCN,神州数码网络有限公司作为神州数码控股全资有限公司,作为国内领先的数据通讯提供商,以科技驱动和生活创新推进中国数字化进程。

今年神州数码提出了“智慧城市”,神州数码网络公司作为基础设施提供商,在数据管理中心,各个企业的大型数据中心,还有有线无线互联网方面提供通讯与信息的基础设施。

今天演讲主题主要是精细无线,品位无线。精细无线就是区别用户的场景,结合多种类型的无线接入点,对用户的无线覆盖做精细化的配置。品质无线,主要是在稳定性、安全性和高带宽、高性能方面做保障。

当前有几大热门的技术,云计算、互联网、移动互联网,云计算改变的主要是人们使用IT服务的模式,它需要人们随时随地可以使用IT服务,这就要求它强调的是一种便利性,它决定人们可以使用各种终端,可以方便快捷的接入无线网络并使用各种各样的IT服务,这样的话,必然推动了移动互联网的蓬勃发展,移动互联网实现了人们多年以来可以随时随地接入互联网的梦想。物联网的出现,它增加了网络元素,扩大了网络规模,加强了人与物品、物与物之间的联系,这三种技术互相结合,互相促进,迅速蓬勃发展。

作为IT服务的承载者,网络基础设施将面临更大的挑战,全球无线市场,最近几年,各种移动消费类终端的日益普及还有WIFI业务越来越丰富,移动业务越来越广泛,比如说现在的打车,还有家政服务都有相应的WIFI的业务去做响应。2012年,中国WLAN总体规模已经突破了100亿。无线让网络使用更方便,现在人们使用无线网络可以摆脱以前有线需要寻找有线或者是一个有线信息口的这种烦恼,让网络的接入就像在咖啡店里面喝咖啡一样轻松跟惬意。我们在公共场所,比如说,无线商城或者是候机大厅,我们可以方便快捷的接入无线网络,无线网络具有终端的便携性和可移动性,摆脱了以前受时间受地理位置的限制。无线让工作更高效,有一些工作场所,无线已经是不可或缺的帮手,比如说制造车间,工人们可以拿着各种手持终端对货物进行出厂入库的校对。在医院,医生和护士可以拿着手持终端实时的记录病人的身体特征,并查看病人的用药情况或者是执行最新的医嘱。

无线让网络建设更加经济,原有的有线工程最烦琐的也是有线的布线工程,它可能会涉及到穿墙、布线或者是架管,这是一个非常漫长的部署周期,但是自从有了无线以后可以在某一区域只架设一个或几个无线接入点,就可以实现对这个楼宇或者区域的局域网的覆盖。这样的话,大大减少,也可以完全避免非常繁杂的网络布线工程,让网络建设的前期成本降到最低,是一种低廉的无线网络建设方案。

DCN产品的发展历程,DCN从2005年开始就已经瞄准到无线,无线网络,2005年提出墙面式AP,已经有了无线全系列的产品,我们行业用户,从用户的需求出发延至无线产品,无线解决方案深入到了用户的工作学习和生活中。DCN经历了不同的发展阶段,产品已经逐渐走向成熟。经过将近十年的耕耘,DCN取得了如下的著名成功案例,上海生命科学院将近千颗AP的政府成功案例。北京交通大学DCN完善的IPV6赢得了用户的认可。近千颗AP高校成功案例。汉庭,锦江之星部署百家门店无线网络,经济型连锁酒店成功案例。政府、高校、星级连锁酒店都有DCN无线产品普遍应用成功的典型案例。

DCN每年的研发投入超过5000万,DCN致力于运营商、教育、金融、酒店、医疗、科研院所、社保等行业,产品广泛应用,产品长期稳定运行。现在每个人手头都有智能终端,尤其是iphone、ipad普及,无线让我们无法抛弃。移动医疗让医生工作者的工作效率大幅提升,有效解决了医患纠纷,各类酒店无线的接入,拉动酒店品牌服务,为住客提高体验。

DCN始终保持从用户的需求出发,提升无线的价值,在移动医疗无线网络的相关应用,比如说移动的医生工作站,移动的护士工作站,患者药物识别,护理监控。有的医院还利用WIFI的定位技术实现医院固定资产的管理系统,医疗垃圾回收系统,移动医疗要求无线网络更稳定更加安全应用。WIFI在行业内的应用,有的应用目前无法定位,在需要的时候不可能第一时间被找到甚至有可能丢失,医院的员工要花费一定的时间,在寻找设备上造成了一种资源的浪费。如果在医疗设备上粘贴一个WIFI的标签,这样的话,可以快速定位到这个设备的位置,甚至它的使用人员的信息,也能够被标注出来,这样的话,可以提高固定资产的重复使用效率。

医疗垃圾追溯系统,就是通过无线定位技术,也是在医疗垃圾上贴有WIFI的标签,可以对医疗垃圾的处理流程进行全程监控,避免医疗垃圾再一次被回收利用。

像图所示,终端的区域内建筑内的移动路径可以被实时的记录并回访。DCN移动医疗的方案特性,主要有三大目标,第一个就是DCN移动终端的访问体验,主要是结合多种的论证方式,Web认证,802.18认证,智能终端的识别,提升移动终端的易用性,医生工作者只要拿到一个移动终端,他基本上不用考虑这个终端是如何接入无线网络的,只要第一次输入了用户名、密码,后续记住了这个网络,相应提高了用户的工作效率。保障重点区域的安全,结合灵活的方式,主要是医生的门诊楼,门诊室通过墙面式AP进行覆盖,对于公共区域或者病房可能考虑通过放管AP进行覆盖,结合基于用户,使每个AP分摊的压力平均分摊,让每个终端能享受到高带宽的无线网络,这样的话,既保证了高稳定,也保证了无线网络的高覆盖。

第三个是简化运维难度,每个医院信息中心担心上了这套无线系统以后,是否要增加我的维护工作量,我们建议,对于有线无线设备做统一管理,接入的用户在信息中心统一管理,信息一套系统管理整个网络,降低信息中心的维护量,实现易管理。

这是我们河北省儿童医院的无线成功案例,当时是采用了一台控制器加200颗左右的AP,用户实际使用的业务可以随时地获取各种数据表格或者是检查记录,或者是检验结果,提升了医院的服务效率和质量,实现了医生跟护士移动查房,无线访问,电子病历等业务。这样的话,因为可以做到实时查看这些结果进行核对,医生出错的概率大大降低,也可以减少一些不必要的医患矛盾。

对于传统的酒店无线覆盖方式,传统的一般覆盖放置在走廊,有两个不利因素,主要是上下左右的信号干扰,主要是来自同屏干扰非常严重,而且信号如果要进入到房间里,它可能需要穿过个墙或者卫生间两栋墙这样摔点非常严重,出现卫生间的信号非常好,但是在书桌或床头的信号非常差,这样的话,这是一个不理想的无线部署。

DCN是国内首家推出墙面式AP的网络厂商,我们嵌入式无线解决方案凭借安装快捷、性能优异等特色在办公室、宿舍和酒店客房等环境得到了广泛应用。这是我们一系列的墙面式AP产品,三个系列,有150套接入数据、300套的接入数据的墙面式AP。采用工业化设计,它以原有的86盒完美契合,它的发热会引起火灾,产品美观,右图是实际安装效果图,大家都不用担心。墙面式AP基本上每个AP的安装时间不会超过5分钟,这样的话,在客房打扫卫生的时间基本上可以完成一间客房的无线部署,酒店的业主最希望看到这种情况,而不是说因为部署一个无线,我的酒店业务要停业,这个业主是不希望看到这种情况的发生,他希望是在不影响酒店正常业务的情况下,开展无线网络的部署。

这是汉庭酒店无线的成功案例,目前我们为汉庭大概做的百家直营店和加盟店,基本上每家600+30-50个AP,客人首次认证以后二次接入就进行无感知的免认证接入,让客户觉得我是酒店的会员,我第一次接入以后,后续到任何酒店的门店都能自动地连接到酒店的无线网络,并可以正常地上网,这就像我们拿着自己的终端,随时回到家里或者是办公室都能自动连接到原有的无线网络,让客人有一种宾至如归的感觉。

客户在酒店是通过认证可以满足酒店行业公安部82号令,在酒店的管理层他可以对接入的用户进行Portal认证的时候进行广告推送,可以给酒店带来一些业务。

这是上东盛茂无线成功案例,正常业务不被中断的情况下,安装快捷,没有影响酒店的正常业务,实现全店的无缝三层漫游,因为上东盛茂每一个客房基本上都分了三层网段,我们是通过集中转发实现了全店的无缝漫游,现在使用的效果就是客人反馈的网络业务非常流畅,而且酒店内部的WIFI电话通话也是运行正常。

在移动的教育城域网,教师可以快捷获取教学信息进行辅助教学或移动办公。电子书包作为一种新型的教育模式,被教育行业所关注。教育局对辖区下属的各个校区可以进行一些无线信息的发布,比如说,承载一些节日的问候或者学习园地、教育新闻、教育信息等,信息可以推送给学生还是推送给老师这些都可以做精细化的区分。

对于这种总部加多点的连锁分支机构,尤其是教育城域网还有经济连锁酒店,DCN推出云无线的概念,这种管理比较适宜云AC进行统一的无线设备的配置管理跟下发,而所有的AP,类似于虚拟化的大天线通过云技术统一管理,AP从而采用很好的部署方式,将多种形态的AP有机地组成一种无线语音,提供无线的信号覆盖和无线接入,这样大大简化了无论是酒店还是教育局,这种无线网络运维的难度跟复杂度。

这是我们在门头沟教育城域网的无线应用案例,门头沟下属50多所中小学每个学校一台无线控制器+30到50个AP点位,教育局信息局中心采用部署云AC对下属的各校的无线设备进行统一的管控。这样的话,可以达到管控的方便、快捷,而且还很安全,网管人员就是教育局中心的专业级管理人员,不是把管理工作下放到各个学校,各个学校可能比较偏远,没有专业的IT服务人员,一旦出现了问题管理起来肯定有难度,这样把管理难度上到教育局中心,通过云AC进行统一管控,简化了运维的难度。同时满足了电子书包跟老师移动办公的教学需求,因为每个分校都有一台无线控制器,加上总部的云AC多重防护即使分校无线控制器出现了故障,教育局信息中心就可以接管,这样的故障率大大降低。

电子书包软件功能,DCN无线网络响应速度都在一秒以内,对于10兆文件的分发10秒之内分发完毕,满足了电子书包软件带宽的需求。

在企业机关BYOD接入认证解决方案,解决了谁在什么时间段采取什么样的接入策略,什么位置可以访问哪些企业的资源或者是内部的办公系统,这样建立有效的精细化的身份认证可以保证这种非法的用户很难接入进来,并造成某些意想不到的情况。DCN推出了有线无线一体化的认证策略,无线有线是一体化认证,降低认证的管理难度,准入准出是一体化的,并不是说两个都要一起做,统一的Portal认证,强制离线,对于某些非法用户可以采取一些强制手段。

这是DCN上海生命科学院无线成功案例,网络规模达到1000个AP点位,用了两台无线控制器做准备,给用户实现用户需求,均可以轻松访问无线网络,并获取不同的访问权限,保障网络的安全,简化了网络的运维管理。

未来我们的发展方向,今年下半年我们还会推出802.11ac产品,对于精细化覆盖方面我们推出300兆的墙面式AP,远距离的网桥设备我们今年也有新品推出。在以物联网、传感网也会有相结合的产品问世,主要是加入FID识别模块和传感网、定位网进行组合,加入LTE与视频网络进行组合。

这是我们公司无线产品取得的一些资质,主要是无线电型号核准,WIFI联盟,还有国家密码认证。

这是前面提到的取得的重要成功案例,交通大学、中央戏曲学院、上海生命科学院、汉庭酒店、香格里拉、北京服装学院、门头沟无线教育城域网、北京、河北省儿童医院。谢谢大家!

主持人:好的。感谢张总精彩的分享,可以休息一下。其实张总刚才给我们算了一笔账,无线与有线相比有哪些优势,以及DCN在教育这些领域所做出的工作,我们最关注的是安全,下面有请东华软件技术总监曹荣海先生为我们带来相关的安全运维管理方面的解决方案,有请曹总。

曹荣海:各位专家,大家下午好!

我是东华软件的曹荣海,大家经过了一天,现在是2点多钟,最疲惫的时候,不论咱们怎么困,一旦咱们在运维过程中,要提到安全这个词,实际上大家不能再困,甚至在半夜里睡觉的时候,都可能会跳起来,因为涉及到安全,非常重要。企业或者说政府部门,很可能就因为安全的问题,会带来一系列的隐患或者说事故。我今天的议题主要讲一下东华在安全领域其中的一块,在运维的过程中,怎么样去保证数据的安全,行为的安全,甚至人和制度的安全。

我主要分两块,第一块介绍一块,智能安全运维管理的建设思路。第二块,智能安全管理的方案,从哪几个角度去看,或者入手解决这些安全的问题。看一下智能安全运维管理的建设思路,我们可以看得到,在传统的IT管理模式下,我们以前很少做安全更深层次的管理,很普通的,以技术为中心,通过一些技术手段去解决运维过程中出现的一些问题,对于安全,实际上没有更好的方案。第二以工具为主,很多情况下,做运维的时候采用一些免费的工具或者购买的一些工具,比如说传统意义上的网管、配置工具等等一些工具去管理,可能采用IDS这些防火墙的硬件设施。

第三块,我们采用的这些工具都是运维过程中一块一块的,信息无法共享,形成信息的孤岛,通过这些孤岛的产生怎么保证数据的关联性,通过一个问题,我可以解决更多安全上的漏洞,这实际上在传统的IT管理运维模式下没有办法解决的。我们看怎么样转变呢?实际上我们要以技术为中心的思维模式的转变,以原先的技术为主导,变成以用户为中心,通过用户的行为,用户的业务,通过他们的感知的程度,作为我的运维管理的中心,用户的需求出发,用户的角度去考虑问题,去考虑安全。第二个,以工具为主导转变为以流程为主导,以工具为主导往往你会局限在工具具体使用中或者工具的具体功能中,以流程为主导,把安全似乎做了很好的转变。我建立安全可靠的流程,通过这样的流程来强迫或者说必须使我们的运维工作人员按照流程去做,按照流程安排他的运维工作,流程制度上彻底解决了安全隐患,比如说,原先如果以工具为主导有些误判断,误分析引起的安全流动。通过以流程为主导,所有的管理的方法或者说所有管理的手段,都是要在正规的规范的流程上去运行,我可以通过流程的设置来保证你所有的操作是安全的。

最后,我们的信息孤岛的转变,通过信息孤岛来转换成数据共享,需要我建设一个数据共享的资源池,类似于我们现在比较流行的云计算里面的一些资源池,只不过资源池承载的对象是支持的数据或者说大家都可以共享的数据。比如说,我们现在公安上做得很好,他可以把人的身份信息共享给不同的领域,大家通过我这个数据的共享的平台,来进行数据的相互的引用。这样呢,它可以保证原始数据的安全性,而且避免了数据系统之间的不一致性所带来的安全隐患。所以我们看到,在智能安全运维管理模式下,我们要做的运维的思想或者说技术,或者说数据的一些转变。

我们现在市场上已经有一套IT服务管理的思想和运维的理念,这个理念实际上也是在我们工信部2009年开始主导ITSM规范的设置,通过这样我们可以作为日后运维管理过程当中引用的标准和安全规范。可以看到,国家已经很重视运维安全,也出台了相对应的规范和标准,有些标准还在审批过程中。可以知道,在传统的运维管理模式下,我们所说的安全问题,最主要从四个方面来去考虑问题,第一个,就是数据安全,这个勿庸置疑,我们天天都在跟数据打交道,怎么样保证它的安全。第二个,我们运行的网络安全,传统的防火墙、IDS、IPS已经不能满足智能化运维的要求,尤其现在大数据大集中,这样往往对我们的网络承载的数据的运行,里面业务的分析会有更高层次的要求。所以如何保证网络的安全性。

第三个,我们如何保证业务的安全性,以前我们建设的时候,可能往往注重业务系统去建设,建设好了之后能帮助我解决问题,能够给我带来利益或者给我带来收益就可以了,怎么样保证业务运行过程中的安全,比如说,我们在医院里面,他的挂号系统如果业务有问题,被非法入侵或者黑客所主导或者系统本身有些安全漏洞,导致挂号系统无法进行,医院其他业务没办法正常开展。我们怎么保证业务安全性,我会给出很好解决方案。

第四个,是所有运维工作中的起点,帐号的安全性,不能说把密码随便记在哪个位置或者记在哪个文档上,这是不可靠的,也不能记在脑子里,管理的对象很多,不可能把所有的密码全部记在脑子里,怎么样保障帐号的安全性,现在已经有很好的手段帮助我们解决这些问题。通过建设智能化的安全运维管理平台,分布式的放在网络中,通过一个点控制所有,这样的话,可能往往带来一些集中崩溃,整个网络瘫痪了。采用分布式的部署,不同的设备或者说不同的技术手段,在网络中间分布式的部署,从多种角度上解决我安全的问题,我们应该很清楚的知道,不可能说哪一个工具能全面地解决所有的安全问题,这是不现实的。怎么样保证多个角度,多个维度,甚至利用网络中的多种协议,甚至利用业务系统提供的接口或者提供的外部特征来去多方面分布式的部署网络中解决问题。最后把它融合贯通在一起,形成一个综合性的解决方案,才能达到解决安全的问题,才能真正为IT部门的运维安全及业务的优化提供按需服务。我们知道,一旦解决安全问题,剩下的是我要对业务进行优化,提高运行效率,怎么我的经营收入。

可以看一下,智能安全运维管理的建设视角,实际上在人,我们知道人是最根本,所有的事情都是由人来主导完成的,无论我采用什么样的工具,人是最根本的。所以说怎么样让人的行为或者说人的思想,人的动作让它标准化,一旦形成标准化的动作,该像流水线上的螺丝钉,不会说还有什么其他的安全隐患。第二个就是流程,流程上不能像原先制定一个工作流程打印出来,放在一个框里面挂在墙上,跟我做的过程中没有任何价值,没有很好的约束。我通过一个自动化的管理流程,让所有运维工作,从你的起点开始,你在自动化管理流程上去运行,只能按照我设置好的流程一步一步去操作,这样肯定会解决它在整个运维过程中所面临的流程改变或者说违反规章制度操作,违反流程,这样的一些安全漏洞就会解决掉。第三个,就是在技术上,技术上要实现智能化的一些管理手段,而不是说像传统意义上的,我用一些简单的软件或者工具去帮助我解决问题,而是说真的能智能化,帮助我分析,我可能在某一个结点或者说网络上某一条链路上,可能产生什么样的安全隐患,是数据拥塞还是说可能会发生IRP攻击等等这样的安全隐患,这些通过相对应解决方案都是可以达到的。

通过解决这三方面的问题,我们认为我们就可以达到很好的目标,服务的规范化,很多人可能以为,我达到目标,是我的安全管理,这是它的一个表象,实际上我们最终的目标就是让我们信息部门所提供的服务,这个服务可能是网络,可能是业务系统,可能是其他的。通过我们要的服务去规范,我们知道,一旦规范起来之后,很多安全问题就迎刃而解。所以说我们最根本的目标就是要实现服务的规范化,因为我们知道,在传统意义上,我们的信息部门,有的叫科技部,有的叫网络部,往往它在整个公司或者整个单位中的地位还是说是一个解决问题,一个配角的地位。但是在当今数据的信息化的发展过程中,很多行业IT部门已经开始主导整个公司的一些业务了,你像金融、保险行业、证券、银行,最传统的就是电信,完全基于信息化主导业务的发展和建设的。当一个银行,他的信息化网络出现问题,出现安全上的问题或者出现其他的问题,我们整个的存取款业务,信贷业务都无法开展,还想回到完全手工的情况下,完全不太现实。

我们知道,全面的安全运维管理架构怎么建立起来的?从最基本的机房的环境,温湿度,漏水,这都是机房里面的安全问题。然后在机房里面的基础设施,网络服务器,小机,存储等等,对它们进行安全的管理,然后再上升到资源池,很多做到虚拟化或者做了云计算的单位也很清楚,资源池怎样保证它的安全,尤其将来在云的模式下,我的数据怎么样保证它的安全。再往上就是我的应用系统和我的业务系统,怎么样保障它们的安全,我们知道,解决三方面的人员的问题,就能解决这些安全问题。最底层,最下面这两层,实际上通过我的IT运维服务提供商,我的厂商,服务提供商,通过他们的一些角度去解决问题。第二个,就是在我的资源池应用系统这一层次,通过我对IT人员进行约束和规范解决问题,对我的业务人员提出一些要求,帮助我们解决安全上的问题。我们把这三方面人的问题解决掉之后,通过人,通过流程,通过技术的一些工具的手段就可以把我们整个的运维达到安全的更好的水平。

不同的层次解决的问题是不一样的,我就不细说了,搞信息的,大家应该都非常清楚它们存在的一些问题,比如应用系统的问题,日志审计问题,业务响应速度的问题,性能的问题等等这些问题,说那些都是安全的问题或者说是某一方面,运维的某一方面所带来的一些安全的问题。

我们可以看到,在智能安全运维管理平台到底怎么样实现管理的机制?通过什么样的管理机制能保证我整个运维过程中是安全的呢?实际上有很多种手段,我们这次提出来,通过统一的登陆平台,这是必须的也是必要的,它有很多种技术手段和登陆的方式,因为技术手段太多了,不细说了。我们可以通过这样的角度,统一的登陆平台,然后进入里面的你的网络安全准入,业务系统安全准入,我的系统的负载的均衡,均衡包括服务器的负载,包括数据库的负载,网络的负载等等,还包括我们网络的管理监控运维,运维的一些流程,最后会涉及到网络流量的一些深层次的统计分析和一些非法数据或者说和一些垃圾数据的流量的清洗等等,通过这些方面去帮助我们在运维过程中实现安全的机制。我们可以看到,所有管理对象都是我的IT资源,我的IT资源包括什么,不是传统意义上的说的网络服务器,还包括我们的人,我们的业务系统、应用系统,所有管理对象,跟信息有关的对象。

东华在智能安全运维管理这块我们的解决方案,我们的解决方案更想说的是,我们从哪几个角度入手去帮助用户建立安全的运维平台,第一个,我刚才一直在强调的用户访问的安全管理,如果用户访问不安全,可想而知,你已经通过防盗门进入我的家了所有的屋可以去,所有的抽屉可以随便翻。所以说用户访问安全就相当于自己家里面的一道防盗门,怎么把这个防盗门做好呢?它有几个方面,第一个统一认证方面,统一授权方面,统一涉及方面,操作要留痕,你所有的操作我都要有记录,操作过程中,属于权限外的都可以阻断,这也是传统意义上说的3A或者4A的管理平台,通过管理平台进行扩展,真正跟其他管理的系统进行数据交换,实现数据共享,通过这样的平台来实现的。而且这个平台可以把我们所有管理的数据,管理的对象通过不同的安全级别进行分区,每个分区之间可以采用不同的记录手段进行隔离,有一些甚至可以直接做成物理隔离等等很多技术手段。

在我进入房间之后,可以全面分析我的业务流量还有数据安全的防止泄漏预防性的手段,手段有很多种,第一,很清楚网络的状态,它的性能什么样,什么样的状态,上面运行的数据都是从哪儿来到哪儿去,走的什么样的协议,哪一个端口会出现隐患,通过深层次的分析达到流量透视的功能,防止性能裂化带来的安全故障。第二个角度,通过用户的感知,包括用户的行为,操作行为,甚至上网行为,甚至一些业务访问行为等等这些行为进行分析。第三个点,通过我的故障诊断,及时的故障诊断防止小病拖成大病,通过及时的故障诊断和告警还有准确的定位,帮助我们信息管理人员及时地处理问题,这样避免一些大的问题的产生。

最后一个,通过一些性能报告,报表,质量的一些评估,数据的一些分析,还有容量的规划等等这些手段帮助信息管理人员做一些规划,网络规划、业务规划,近年发展的规划,通过这样一些方式去预防安全事故的产生。

我们可以看到,刚才那张图应该记得,最底层是机房的环境,怎么样对机房的环境进行安全管理,实际上我们有很多的手段和方式去帮助我在机房最底层,把它的环境,温湿度,漏水、消防还有红外入侵检测,还有玻璃防破碎,现在机房为了监控方便,很多机房和监控室都是采用玻璃的方式,很少还是那种墙的方式,这样可以通过玻璃可以看到机房内的机柜、机架的情况,对玻璃破损的情况进行监控。还有红外入侵,跟门相关,窗户相关,要部署的防红外的手段,安全手段,防止非法入侵,因为我们经常看大片都知道,神偷偷画全是安全的和视频监控进行相结合来防范它。通过这样的一些手段,真正的对我机房的环境进行安全检测和管理。

重点是在它的基础架构层,着重它的网络设备、服务器设备的安全监控,这个安全监控更主要的目的就是说要及时定位,我们产生故障原因,到底是哪个点产生的故障,通过这个图我们可以看到,通过不同的视图,它有表现物理的视图,有表现逻辑的视图,有表现地理位置的视图,通过不同的视图,不同的角度分析我的网络设备和我的服务器、数据库、中间件、应用等等,定位我的故障。我可以在图上进行分析,核心区、数据交换区、安全区,通过这个图可以一目了然清楚的知道不同的设备,在哪个区里面,安全等级是什么样的,这样的话,可以对它进行安全管理,要想对安全等级设密或者安全等级比较高的进行操作,你肯定要有管理员一定的授权的权限才可以去做。

机房管理,更多的情况下,我们会提出这样一些管理的视图,通过3D的,前面网络视图比较传统,平面的,通过3D视图给人更直观的感觉,设备的物理物质在哪个机柜或者机架上,设备背板什么样,装备是什么样,端口到底有没有网线或者连接线进行连接,它的每个端口的流量情况,每个端口的业务访问情况,都可以通过这样的试图进行分析出来,通过这样的试图一层一层地点击进去,我可以很清楚的知道,哪个设备大概的物理位置,它在机柜上的位置和相互之间,甚至可以进行分析到电力的情况,核定的功率是多少,是不是超出了我机柜的负载的要求,如果超出了负载的电力要求,可能会造成设备的供电不足,甚至引起火灾短路等等这些情况。所以说通过多种的表现方式和多层次的分析,可以从不同的角度去解决我们的一些安全问题。这个层次通过用户的行为监管和对用户行为的一些审计,对应的层次解决安全的问题,可以看得到,我们在对用户行为监管的过程中,采用多机策略IFI的数据,解析之后,对数据包代表的不同含义进行QS的管控。没有这样的手段之前,所有数据都是不透明的,在网络中进行传输,我也不清楚,采用这样的一些技术手段之后,DPI、DFI所有的数据都可以可控的,对每一级进行分配,动态的分配,去调整,这都不需要人手工接入,完全自动化的监控和实现。

我们可以看到,在对用户的行为进行审计之后,我还要对审计出来的结果,对它的应用进行一些加速和优化,这个往往是对带宽比较低的用户,比如说出口或者说广域网相互连接的位置。如果是内网,一般不会存在这样的问题。可以看到,通过这样不同的设备的部署或者不同技术手段的部署,可以对我的异地分支,甚至一些我们原先做过的客户,是远洋集团的客户,好多的设备都是在船上,出海,这种设备,所有的通信采用卫星链路的通信,一个是很昂贵,对业务数据进行保障,采用优化的技术手段去实现,可以保证网络资源最大化的利用。我们前面已经讲了,从不同的角度,从我的机房层次,从我的IT基础架构层次,从计算机资源池数据存储的层次,应用的层次,业务的层次,不同的层次采用很多技术手段进行组合,达到安全管理的目的。

最后,我对东华软件进行介绍,有些专家不来了解东华软件,东华软件在整个安全运维领域耕耘了十多年,从我们公司成立开始,针对这一块提出相对应的解决方案,随着现代的网络建设的发展,大数据、大集中、云平台,我们也在这方面做了很多的技术研究和储备,也开发出了不同的产品,来满足这几个角度去解决用户的安全运维问题。可以看到,安全运维管理平台不仅仅是需要好的设备和技术,更需要关注的是我要管理对象或者说我用户的安全的需求,不同的用户它对安全级别的定义是不一样的,有的用户要求我所有的交易数据一笔都不能丢,有的用户,比如说一些制造业来说,我可以采用一些相对应的手段,异地冗灾备份,保证一天之前的数据不丢就可以,对于不同的安全需求,所采用的技术手段和颗粒度是不一样的,这个到时候,如果有谁比较感兴趣,可以回头进行深入地交流,因为我们知道,如果安全与管理的力度越细,你所付出的成本就会越高,这是成正比的。所以说我们要看一下我们自己所在的企业或者单位,到底需要什么样级别的安全管理,我能付出多少的成本,这样相互进行一些结合和一些优化,来达到我们管理真正的目的。东华的价值在于安全领域的咨询、服务、产品、方案,包括最后系统的实施,售后服务等等,全方位一体化,一条龙的服务,你选择了东华,我们可以给你提供从头到尾的安全运维管理的规划和到最后实施的服务。

东华是工信部IT标准的制定者之一,同时拥有了成功的实施经验,我们做过的客户像中石油、中石化、运营商中国移动、中国联通,国家水利部等等这些部委都是大型的用户,针对不同的行业用户,安全管理的需求不一样,公安行业,金融行业有不同的条款和条令。所以说在不同的行业,我们会引用不同的管理要求和管理的规章制度,行业内的规章制度保障运维安全建设符合行业内部的一些要求。东华在这方面有非常领先的综合性的竞争优势,包括我们公司细分的行业领先优势,针对不同的行业的解决方案,优质的高端的客户资源还有卓越的营销能力,还有我们相关的资质,所有的资质的等级也比较高,我们的研发力量在北京有软件研究院,在全国有7个地区有软件技术中心,可以进行产品的研发,技术的支持。在员工队伍建设上,员工队伍也比较稳定,有很多员工都是从公司成立之后一直在公司里面工作,尤其是我们的技术人员的团队,相对来说他们比较稳定。这么多方面的优势,产生了众多的产品,今天我介绍的只是东华软件网管事业部的产品,我们事业部针对于安全运维的领域来进行产品的研发和实施。第一个,就是东华网络流量的管理系统,我们是FS产品系列,采用DPI、DFI保证网络应用层的数据进行解析和分析,分析出来之后进行管控,同时提供业界最专业、最领先的管理方案,在运营商里面做得非常多了,山西移动、辽宁移动、电信等等这些。网络分析上是FA的系统,主要通过数据流的数据手段,不同厂家FLow协议不一样,通过协议的分析,我们支持FIP竞相的分析,通过手段联合补充,不同手段采集到的数据量和管理的数据精细化颗粒度不一样,通过几种手段进行综合的分析,可以对全网的流量进行分析。我们在中国联通,全国的IDC机房进行统一的采购和部署,把整个IDC的机房流量全部分析出来,反映给信息管理员,通过分析结果保证日后IDC机房里面数据的部署和设备的采购,都是通过这样的报告给他提供决策的支持。

东华还有IT运营管理系统,综合监控,IT运维,综合监控是传统意义上叫网管,现在的虚拟化的软件还有安全软件,安全的硬件,在综合监控系统里面都有很好的管理。IT服务管理,我们IT运维管理系统,它基于ITIL的思想,把整个管理流程进行梳理,按照不同行业用户,管理流程的不一致进行流程的再造,通过流程的再造来完成我对我整个管理流程标准化的过程,通过我的流程管理化来保证我在流程的过程中是没有安全隐患的。同时使我日常的IT运维真正的做到有流程可依,不像以前值班的时候,两个小时登陆不同的系统,看一下情况,我们通过这样的IT运维管理系统把值班过程全部自动化的实现,只需要看一下结果就行了,就不用在电脑面前,值班的,巡检的过程执行完了之后,可以直接发一条短信,运维巡检过程有没有问题,如果有问题,到系统上登陆一下查看,如果没有问题可以休息或者做别的事情,因为大家知道,值班的过程是很辛苦的。

第四个产品线就是我们的桌面安全管理系统,主要针对个人电脑还有笔记本,这样的终端安全情况进行管理,终端所带来的安全隐患实际上比较多,而且比较复杂。我们通过内网运维、内网安全、内网审计这几个领域来去解决我们终端的安全。

最后是东华的应用交付系统,对网络运行的数据和信息进行加速优化。通过整个产品的组合,来实现了东华在网络安全运维管理方面的一些价值。

典型的案例也非常多,不一一细说了。

东华是A股上市公司,市值排行第一,超过了200亿,而且前一段时间刚停台,信息利好。谢谢大家!

主持人:好的,感谢曹总精彩的分析。其实刚才两位嘉宾有的对网络建设提供了一些良策,还有对安全运维管理提供了一些很实用的应用方案,我们新技术应用情况如何,今天请到了中石油北京天然气管道有限公司信息技术主管曹兴先生,带来了“油气长输管道信息化网络建设及应用”,有请。

曹兴:各位专家下午好!

感谢网络世界杂志社给我这个跟各位专家学习的机会,我今天演讲的主要有四个方面,第一个方面是我们企业的概况,但是我主要还是介绍后三个方面。中石油北京天然气管道公司是1991年北京市政府跟中石油合资共同组建的一个天然气管道建设、运营和管理的公司,主要是1996年全国第一条从陕甘宁输送天然气到首都北京,主要保证首都北京跟华北地区天然气的平稳供应。

我们公司的信息化,现在因为各个信息系统,还有网络运维方面,因为现在OA还有ERP已经不是咱们现在普遍关注的运维系统了,这些系统主要还是处于企业信息化的初级阶段。现在普遍关注的还是一些,比如说,虚拟化、大数据,还有移动办公、物联网技术,因为这些新的技术给各企业的信息化带来比较普遍关注的问题。刚才神州数码的张总还有东华软件的曹总也介绍了。对于我们公司来说,大数据,还有信息系统运维方面还是我们企业今后普遍关注的一个方向。

我们公司现在网络还是处于传统的三层网络,因为刚才东华软件的曹总也介绍了,企业现在普遍关注的还是业务数据、网络数据、帐户安全、业务安全、数据安全,对于我们公司来说,我本身处于信息化的运维管理,对于我来说,每天的工作主要还是普遍关注数据安全、网络安全,就像曹总刚才介绍的一样。我们日常工作当中,比如说,我们是24小时的,无论信息系统或者网络出现任何问题,我们下班之后也可能担心信息系统还数据、网络会出现问题。出现问题,我们无论何时何地都得对企业的信息系统进行处理。网络是信息化的基础设施,为提高网络运行水平和质量,确保高效、稳定、安全、可靠的运行,对于企业用户来说,都是普遍关注的问题。对于我们单位来说,比如说视频会议系统还有VPN,还有桌面安全都已经建设完成了,现在对防病毒保护,还有入侵检测系统都是我们今后工作的重点。

网络安全,我们现在主要还是分三个方面,加强我们公司的桌面安全,刚才曹总也介绍了,桌面安全审计方面对于我们企业用户来说,都是很重要的。对于我们公司来说,实行桌面安全之后,对于用户来说,如果不安装桌面安全软件,你是无法登陆到互联网的,所以说对于我们企业来说,从企业到每个用户都是非常重要的。第二个是UP,我们从2011年开始对身份认证进行了普遍安装,无论登陆我们企业的任何一个系统,必须有UP才能登陆,如果没有UP无法访问我们企业信息系统的,只有有UP,除了UP,还要有用户的帐号。比如说,你一个月不登陆或者是不进行修改身份,密码也是定期需要进行修改,所以说通过身份认证还有桌面安全进一步加深了企业的信息化安全。网管系统,主要还是我们入侵检测,还有防火墙,还有网络加速,刚才提到网络加速系统,通过这个系统,我们企业的网络速度会大大的提高。

下面是向大家介绍的是SDN,这个技术大家都很熟悉,通过去年或者今年对这个概念都有深深的了解,其实SDN来说,它是一个方向,一个创新,但是它不是一个功能,一旦提到SDN,大家首先想到的open flow,它是一个接口,但是它本质来说,其实就是将控制网络和设备相分离,通过集中化的网络控制,采取可编程实现网络业务的自动化。我只是对这个技术感兴趣,但是还没有尝试SDN,我只能说跟大家共同学习一下SND的技术,据我了解,SDN并不适合于所有的企业,包括我们企业也是,因为我们现在的网络还是处于三层的网络,SDN不是适合每一个企业。据我了解,SDN其实跟IP没有什么关系,比如说,一个企业它只能分配50个IP,我认为它就不适合SDN,如果一个企业能够分配100个IP,它可能适合SDN技术。它就像虚拟化一样,现在包括有服务器虚拟化、网络虚拟化,还有桌面虚拟化、应用虚拟化,这一系列的虚拟化,主要还是将网络进行虚拟化操作,通过可编程技术,将网络形成负载均衡。

大家可以看这个图,比如说,现在服务器的CPU还有内存,还有存储,它每一个都是相互独立的,怎么能将这些CPU还有它的内存,还有它的存储,包括网络能够合理地进行利用,它是我们每个企业运维人员普遍关注的,就像我们企业来说,比如说,之前传统的网络,我们要建一个信息系统的话,就得采购一台新的服务器,这样肯定会造成大量的企业资金的浪费,还有您上了一个系统,就要用一个服务器,包括它的CPU,包括它的内存,它只能跑一个系统,这样肯定会造成资源上的浪费。所以说虚拟化技术给我们日常运维也带来了很大的便利,就像我刚才介绍的SDN技术只是未来的一个方向,但是也是需要普遍去尝试。现在有很多厂商也在大量关注SDN技术,因为ONF,大家知道是开放网络基金会,它现在加入的企业,从最初的64家,现在一年之内增长到101家,今后还会有大量的厂商加入这个组织,包括它的SDN的产品,也有了70多种open flow的接口产品,但是它的市场,技术标准、产品接口、产品部署到目前为止,可能还不是那么成熟,不像服务器虚拟化、应用虚拟化那么成熟,大家普遍应用了。

第三方面,向大家介绍一下物联网,物联网主要应用在我们的管线技术上,原来我们人员巡检,巡检管线一天要走完一条管线,所辖的管线大概好几十公里,而且每天巡检一个地方都要手工录入巡检单子,这样一是造成了人员上的浪费,可能误操作,误填、误报,如果一旦需要这些数据,这些误操作,误记录都会给我们造成重大损失。通过物联网技术,确保我们管道安全风险要素有效识别,确保数据的实时性、准确性,第三个就是操作人员管理上,采集过程中的人为误差。这样的话,通过物联网RFID,巡检人员每走到一段管线,它的数据就会自动上传到我们公司的控制室,这样的话,实时的把数据传到数据中心,通过有效的数据分析,会得到准确的,及时的,有效的数据。

我们还有就是地质灾害监测,地质灾害监测,大家不了解,比如说,我们的管道在自然灾害,比如说地震、水灾等一些自然灾害侵蚀过程当中,如果通过跟管线的某一段会有一个芯片,通过这个芯片自动的感知地压、温度或者是水流这种数据,我们会设定正常值,如果超过或者低于这个正常值的话,就会自动报警,会传到我们控制中心。

大家看,这是陕西的子长县的滑坡,滑坡的时候,我们的控制室就会收到地质灾害的报警,会准确的定位到这个地方。这是通过应变监测温度、水压还有位移的监测,通过跟正常值不太一样或者是跟正常值不符的情况下,就会有报警。

这是巡检,刚才给大家介绍的,巡检人员会自动的上报一些巡检记录,包括我们的巡检人员是否按照我们管线正常的巡检了,以前如果是人为的话,可能记录不到,而且巡检人员每天巡检没巡检,我们也不太清楚,只能靠他巡检记录去判断巡检,但是这个数据对于我们来说可能有点不是那么准确。通过PDA巡检之后,我们就会实时记录巡检人员具体精确到几点几分,他巡检了哪一段管线,这个管线的数据是如何的,都会自动的上传到调度中心,调度中心通过数据分析得到及时准确有效的数据进行分析。

这是我们站场的PNM系统,这是实时介绍我们巡检人员几点巡检的哪个站或者哪个管线。

这是向大家介绍虚拟化技术,因为有好多虚拟化,包括服务器虚拟化、桌面虚拟化、网络虚拟化、应用虚拟化,这四个。我今天主要给大家介绍的是服务器虚拟化,因为我们原来传统的数据中心,比如说,我们400多平方米的数据中心,原来建一个应用系统就要采购一台服务器,这样的话,数据中心现在已经达到饱和的状态,包括它的温度还有它的电能,还有CPU利用率、内存利用率都是造成了资源上的浪费。通过采用服务器虚拟化之后,我们会将所有的,比如说,我们现在有50个应用系统,把50个应用系统全部自动迁移到两台高性能的IBMV7000的服务器上,只需要两台,原来CPU、内存,包括空间上都会节省很大的空间,现在我们的机房,原来处于饱和状态,现在只需要两台高性能服务器,其余的淘汰下来的服务器可以进行考虑。

比如说,用厂商的一个产品,可以用老旧服务器进行测试或者进行培训,或者自己的测试,这样不需要再大量采购服务器了,今后都不需要了。我们的机房电能也会减少,原来100台服务器,一年的电能就要消耗10多万,现在电能节省了,所有的应用系统处于两台高性能服务器,CPU、内存都是处于负载均衡,包括硬盘空间,这样就会大大提高CPU的利用率,内存利用率,还节省了硬盘空间的使用率。

大家看,蓝色的这是服务器虚拟化之前,红色的是虚拟化之后,第一个是服务器的数量,通过对比服务器数量大大减少,CPU的使用率,内存的利用率还有硬盘空间都会大大的提高。

除了这个,我还会向大家介绍一下我们未来的发展方向。刚才东华软件曹总也介绍了,数据安全还有网络安全,可能是我们今后所有企业关注的重点,一旦数据丢失了,可能会对企业的经营造成重大损失,我们通过备份数据采用了软件之后,实现了每日的增量备份和每周全备份,原来我进行运维的时候,每天都要去备份重要的操作系统,这样的话,因为每天的数据是增量的,我也不知道具体哪些数据是增加了,不可能所有的数据库都要进行备份,这样造成了人力还有资源上的浪费。通过采用本地的备份软件和异地灾备之后,我们可以实现自动的进行数据增量备份和每周全备份,减少了人员上的浪费。

未来几年,我们SDN云计算、大数据、虚拟化技术可能继续引领信息产业的发展,还有移动办公技术,也是信息发展的必然结果,就像神州数码的张总介绍的一样,无线网络给我们生活带来了巨大的变革,办公的话,可能通过ipad,通过酒店的wifi网络,就可以实现移动办公,但是安全上可能我们公司也做到了VPN还有移动办公软件的双重加密,包括帐户安全的加密,双重备份,双重加密,安全机制,都给数据大大增强安全性。综合运用无线通讯桌面虚拟化、信息安全,搭建移动办公平台能够利用移动设备随时访问公司网络,查看调用审批,处理日常业务,有效提高了工作效率,2013年我们会进一步加大互联网出口的带宽,包括网络加速设备,对信息安全的技术进行修补,包括保证数据传输的安全性。谢谢大家!

主持人:曹总请留步,借您的幸运之手抽取今天的一、二、三等奖。

(抽奖环节)

主持人:今天第十二届以太网世界大会,今天圆满落幕,我们明年再见。

——结束——