|
新浪财经讯 11月19日,由中国民航总局人事科教司主办、《中国民航报》和民航华东地区管理局等承办、IBM公司协办的第五届民航信息化发展论坛将在上海隆重举行。新浪财经进行了视频直播。
以下为部分会议实录。
主持人:
各位来宾朋友们,大家上午好。下面请中国民用航空学院副校长徐肖豪先生演讲,他的题目是《努力培养高水平信息技术队伍,提高民航信息化自主创新能力》,大家欢迎。
徐肖豪:
尊敬的各位领导,各位专家,女士们、先生们,大家上午好。我非常高兴参加第五届民航信息化发展论坛,首先请容许我代表中国民航学院对第五届民航信息化发展论坛的召开表示热烈的祝贺。中国民用航空学院作为一所综合性的行业院校,多年来在各级领导的指导支持下,在学科建设、科学研究、人才培养和信息化建设方面都有了长足的进步,学校数字校园工程取得阶段性成果。今天民航各界领导及专家,IT企业的人士和精英,以及关心支持民航信息化发展的各位朋友,在这里共商民航信息化发展大计。我就民航院校的工作谈几点看法。
我从三个方面进行介绍,高等院校与民航信息化建设。在2002年民航工作会议上,民航总局杨局长明确提出,在本世纪头20年,实现我国从民航大国到民航强国历史性发展目标。提出民航运行和管理的信息化,确定了民航信息化建设的总体要求和目标。民航信息化是一项庞大的系统工程,需要把计算机软硬兼技术、通讯传输技术、行业运用与管理有机结合起来。需要一大批掌握现代计算机和信息科学技术,了解和精通民航业务的复合性人才支持。高等院校是培养人才生产和传输新知识、新思想的重要基地,在国家创新体系中具有十分重要的地位。高校聚集大批博士和教授,拥有丰富的青年人才资源和高水平的专家。高校也适合发展具有目标导向的应用基础研究。服务社会是高校三大目标之一,在当今的知识经济社会,高校通过人才的培养,知识的创造与运用,为社会科技和社会发展提供强大的支持和保证。高校与产业的联系越来越密切,与产业界联合进行人才朋友,开展应用研究已成为普遍的趋势。前面举办过一次研讨会。学术交流会紧扣计算机科学技术与中国民航信息化,就以信息化促进民航现代化,民航业务信息系统和管理信息系统建设,企业信息化和电子政务发展,网络技术与信息安全,民航计算机学科建设与发展等一起进行了深刻的探讨,提出了许多建设性的意见和措施。研讨会特邀了30多位民航企事业单位信息化工作的领导专家与会,研讨会共收集来自民航生产单位、院校研究所等单位的高水平学术论文64篇,规模大、水平高、影响广、效果好的专题学术交流研讨会,也为本次论坛的顺利召开吹响了前奏曲。
第二中国民航学院的信息化建设。基础设施建设初具规模。是学校核心竞争力的组成部分。99年学院在开始筹建校园网时,当时的学院院长、党委书记就提出了网络校园、数字校园和智能校园的建设思想。经过几年的努力,校园网的规模已达到地下光缆40公里,包括学校南北两个校区,校园网带宽100兆,校园网用户达到1.4万多个。在不断加强基础设施建设的同时,学校注重信息化工作的软件建设。根据评审通过的数字校园的规划方案,学校先后自主开发了教务管理系统、办公信息系统、人事管理系统、科研管理系统、学生管理系统等管理信息系统,并应用。学校数字化图书馆建设取得阶段性进展。现在学生的选课、考试报名、成绩查询均通过教务管理系统进行,为学校学分制的进行奠定了基础。学校办公信息系统校院两级公文处理等网络平台,提供了个性化服务窗口。系统设计合理使用,技术完善,很好满足了不同单位、不同人员的日常办公需要。办公信息系统已经成为我校教职员工日常工作的必需。与此同时,学校注重系统的集成与整合。现在学校的内网和外网建设已初具规模。内网采用了身份认证,根据不同的使用权限对师生采访,外网主要承担信息宣传的功能,校外任务可以通过外网浏览包括全校40个多个单位网页。
第三,发挥综合优势,促进民航信息化建设。中国民航学院现有包括空中交通管制、机务维护、航空公司和机场运行管理等。范围涵盖了整个民航生产领域。作为一所民航类齐全的院校,服务于民航信息化建设,是我校义不容辞的使命和职责。在推进学校信息化建设的同时,学校努力加强与民航企事业单位的交流与合作,积极承担民航信息化研究项目。近三年来先后完成了民航生产运行与管理各个领域的八十多个信息化项目,经费达到四千万元。上海情报区管理实验系统、空域管理与评估系统、航行信息处理系统、武汉空管综合信息系统、首都机场统计分析系统、机场生产运行信息系统等。机务维护方面,飞机操纵品质监控系统、南方航空公司飞机排故专家系统、播音77鼓掌检测系统、飞行数据记录的信息处理、航空发动机故障分析系统,以可靠性为中心的航材维修检测系统、飞机维修管理信息系统等。在航空公司运行与管理方面,航空公司航运管理系统、西北航线航班网络优化研究。在航空安全方面的,航空构思、机场以及空管安全评估系统、民用航空人为因素研究及应用项目的总数据库研究、航空公司安全信息规范研究等等。这些项目的开发与运用,一方面为保障民航的安全正常的效应发挥重要作用,另一方面与民航学院培养和造就一支掌握现代信息技术、熟悉民航业务、知识结构合理的高层次中青年专业人才队伍。民航学院现有专任教师500余名,其中教授62名,具有博士学历的教师85名,具有硕士学历的教师240名。学校专门成立了从事民航信息化技术开发和成果转化的各级企业,北京天航信港信息技术有限公司。学院广大教师和科技人员,忠诚于党的教育事业,关心民航发展,具有献身、创新、协作的精神,无论过去和现在,我们都将为民航信息化建设而努力奋斗,实现民航运行和管理的信息化,任重道远。中国民航学院愿与在座各界同仁精诚合作,为民航强国的奋斗目标而努力奋斗。谢谢大家。
主持人:
谢谢徐肖豪校长。下面我们有请IBM公司全球服务部副总裁凯恩先生,演讲题目是《为中国民航建设安全的信息基础架构》,大家欢迎。
凯恩:
女士们、先生们早上好,我是IBM公司的凯恩,我是来自IBM基础设施架构部门的负责人。从全球来看企业越来越关注信息基础设施安全漏洞所面临的挑战,以及对政府部门、企业的冲击。下面我们可以看到一些实实在在的威胁。1998年一个电脑黑客入侵了美国NASA喷气推进实验室的计算机和美国民用空管系统的数据,美国联邦航空局不得不中断了正在飞行的航班。所幸没有带来严重的后果和灾难。接下来我们看到有些威胁直接影响到了飞行安全,例如美国一位十几岁的少年无意中入侵了信息系统,对机场安全造成影响,甚至使机场的跑道灯无法点亮。由于对武斯特机场造成影响,机场当局切断了机场控制塔的供电电源,造成了跑道灯无法点亮,是个很严重的失误。接下来一些影响说到可能是跟我们十分贴近,讲的是不仅影响到全球的航空业,也影响到我们中国的一些客户。我们中国客户面临的可能是一些网络上的安全问题,以及一些比如说病毒扩散、网络通行故障等等,这些问题可能对大家来说,在过去的一些经历当中并不陌生。除了信息方面的安全,9.11事件使我们的注意力放到通道控制,比如说我们在飞机在起飞之前等很多能够接触到飞机安全的通道上,这个通道主要指的是各种各样的人有关的。这些通道安全控制大部分指的是人为因素,但是确实我们企业航空业在这方面投入了巨大的人力物力,去控制这些安全的隐患发生。象彭泰龙先生昨天讲的在一些虚拟的安全上的问题,在这里我们要看到在飞行安全当中,另外一个部分,就是货运方面。我们货运方面的安全问题也必须引起我们的重视。这里有一个矛盾,因为要对安全的控制,所以我们必须做很多很多大量的验证,有一些大家可以看到一些验证的工作内容。因为有这些验证内容,但是又切合我们的客户服务,如果要验证的话必须要花时间,但是货运来讲时间又是很宝贵的。第二个矛盾在于资金,因为你要花很多的验证,所以必须要花大量的钱,如何去平衡这些矛盾,对我们来讲也是一个研究的问题。
接下来我们对这些复杂的安全隐患,安全事故,对整个行业的影响进行一个量化的分析。第一张图,讲的是近年来在IT领域的安全事故的次数,应该说是惊人的增长。第二,对上一张图带来的安全增长带来的这些企业如果要控制这些事故,增长的更加快。在两周前有一个例子,微软公司在发布一个消息,有关安全漏洞上他所要公开奖赏,对一个安全漏洞的征集解决方案,他愿意出很多的钱。这是关于一个蠕虫病毒的奖赏,开价在25万美金。而且微软公司愿意继续增加投资五百万美金在未来,就这个蠕虫病毒,因为蠕虫病毒的确是给微软公司造成了很大的影响。
接下来我们要看到的是在以上讲的这些安全问题在我们企业内部组织架构是如何面对的,我们目前组织架构是如何解决这些问题的。由于是一个很复杂的安全问题,我们企业内各个部门又是如何权责分工的。昨天泰龙先生也谈到了,因为有了这些复杂的安全问题,对企业内部来讲有些安全问题是被分散或者交叉不同的企业管理部门,因为他们管理权责可能是分散或者是交叉的,造成的更为复杂性。左边这张图大家看到的安全管理的要求,讲的是各种各样的企业内的安全的要求。在右边这张图我们看到的是在企业内部,如果我们要去定义他们职责的话,大家就会看到有各个部门,去管理左边的这些安全问题,所以这当中会看到有些是交叉的,一个问题并不能通过一个部门来解决,可能是被交叉或者分散到各个部门当中去,这就是我们称之为的复杂性。这对我们来讲是一个很巨大的挑战,因为你如果把这些问题很清楚的,一部分一部分的定义下来,就会看到复杂性展示出来了。我们为什么要把这些问题很清楚的详细列下来呢?因为我们要把这些信息很清楚的让各个部门知道,我们指的信息就是安全管理的职责,每个部门的职责必须很清楚的让各个部门知道他们的职责在哪里。如果我们做不到这一步,就会使得在企业内部各个部门或者是整体对安全的隐患漏洞反应非常的慢,合乎效果很差,这样这些安全问题就会越来越大,就会成为一个灾难了。
我们现在简要回顾一下,刚才我们谈到了有哪些安全问题对我们造成的影响和复杂性,接着又讲到了在我们企业当中是由各个部门负责的,他们负责的权限在哪里。接下来我们就回到从IBM角度建议如何管理信息方面的安全。我们在开始之前还是先谈一个概念,我们认为信息安全的三个最最基本的要素。第一点是一个信息安全上的机密性。这个机密性指的是我们企业的信息资产,这个资产很多包括有数据,包括应用方面的一些情况,包括您的一些真正的PC服务器配制等等,都可以称之为信息资产,要防止它被泄露出去。第二部分就是一个试用性,或者我们称之为可用性。指的是我们企业保护这些信息,我们的资产,是不是有一个可操作性和一个可用性。一旦我需要知道,比如说哪台PC或者哪一个服务器有安全问题了,我要很快知道这个PC在哪里,或者说这个服务器在哪里,我需要知道他的配制在哪里,这个信息是不是我可以很快获得,所以这个信息指的是可用性。然后是一个完整性。我希望我要了解一个信息的时候,我不是一个支离破碎的,我希望是一个很完整的,因为只有一个完整的信息才能帮助我们全面分析,当一个问题出现的时候,我们可以全面的分析安全问题到底该怎么对付,该怎么样去解决。接下来强调三个要素都是缺一不可,如果我们只关注其中一个都是没有意义的,或者说意义很小。
接下来我们看到安全管理的趋势更整体化,这里的整体化指的是很多安全问题是有集成性的,可能这个问题有两个部门或者多个部门集成起来,或者是一个安全问题涉及的信息安全,可能也涉及一些人为的安全,所以它只是一个整体化。互通化指的就是我们企业内部各个部门之间的协调和配合,相互沟通、相互合作,互通化发展。安全管理体制向更实用化的转变,必须要十分实际,不能只说解决一些理论性的问题,必须是很实用。下面我们展示趋势,第一个趋势讲到,因为我们现在的航空公司和机场在安全管理上越来越多有很多的配合,所以我们会看到在逻辑的安全性和人为因素有关安全性越来越要求统一,这里逻辑主要指的是一些信息技术方面的。人为因素我们指的是员工要坚持一些通道上的人员的通行,或者是说有些门禁等等人为因素的安全性。第二个就是从数据安全向信息安全转变。为什么会有这样一个转变?因为在IT业来讲,IT的趋势不仅是指安全趋势,IT的趋势已经是从数据的关注到整个信息的关注,我不是关注数据,我是关注整个信息。第三个趋势也是很重要的趋势,我们一般企业的传统讲的是一个系统灾难备份解决方案的理解或者设计。当我们能够有一个系统出现问题以后,另外一个系统能够很快接管起来,使他很快运行,这只是传统意义上的解决方案。但是我们现在要求从整个公司的领导层,关注的是一个企业经营连续性。企业经营连续性就是当有一个外部冲击,比如说非典或者9.11对你企业造成影响,你企业是不是能够做到经营的连续性,不能是当中有一个很大的转折,所以从一般的灾难恢复到企业经营的连续性这是一个转变。第四个就是对企业来讲,举个例子机场,以前我们可能考虑是整个机场周边的安全问题,但是这是不够的。我们要关注的是整个企业的安全,为什么这里指整个?因为有些安全问题并不是来自外部?可能内部本身就有隐患。所以我们关心是从外到内,整体来关注,而不仅关注外界周边的安全。另外从IBM建议安全考虑角度,从入侵的检测,以前我们是说我们去检测一些入侵,然后到预防入侵,我能够主动的预测到,然后能够采取措施去预防它,检测说我被动的等在那,当有被入侵的时候知道有入侵,预防就更加积极主动了。最后一个是发展实时的安全管理系统。这里关键词在于实时,实时可能跟我们以前理解的一个安全隐患爆发了,或者是一个安全灾难爆发了,我可能花一天两点时间去解决,甚至是更长的时间,实时就是能做到更短,十分雄心勃勃的目标,时间是几小时甚至几分钟就能解决它。
这里我介绍了一个概念安全管理分两个部分,一个是人为因素,一个是逻辑因素。大家可以看到以上的例子,逻辑上安全主要是跟信息有关的因素,而人为因素有关的主要是跟人身有关的安全因素。尽管我们分成两部分,但是我提醒大家,这两部分之间很多具体的因素都是直接相互联系在一起的,并不是可以被独立分开的。很有意思的是传统上,刚才讲的这些因素是被独立的考虑了,然后又是被独立的进行管理,我们指的是逻辑因素和人为因素,我们其实是分成两个不同的,从部门上来讲是分开考虑的。接下来看到我们讲到的公司的数据、资产、人员组织等等,这些都是我们可能把它分割开的。这里有几个阶段,当我们把它独立考虑的时候,我们分析传统行业上有几个阶段,第一个阶段是风险管理。风险管理其实更注重一些策略、方针、流程、管理方法等等,比较宏观的一些策略。第二个阶段对企业来讲,是一个管理的安全性,管理两个字我们应该理解成为一个执行层面和操作层面的一些安全性。因为前面既然有了策略、战略,接下来我们就是去执行他,从方针程序如何执行,从人员的管理意识、安全意识培训等等,都是属于实行层面,级别比刚才的级别稍微低一点。接下来是应用程序方面的安全,这个对大家来讲并不陌生,主要讲的是我们平时的运用系统,运用程序我们认为是应用系统,包括逻辑、访问控制等等。最后一个级别就是IT基础架构,其实主要是一些平台,防病毒等等,以及一些技术可能是用来预防基础架构受到影响和攻击的一些手段。讲到左边部分四个阶段以后,右边人为因素就是被单独分开了,人为因素包括社会保护、警卫等等监督,他是独立开来进行经营理解和管理。我们可能企业平时管理的时候是把这两部分隔离开的。POV指的是IBM观点的策略简称,是理解的一套方案,认为刚才我们讲的这些要素必须是在整个企业范围当中进行一个全盘的管理,而且必须要有一个公用的一些管理平台去控制他们。
昨天可能大家也听到在介绍当中谈到,在航空业来讲如何找到一个能够公用开放的系统管理整个企业内部,是有很多有意义价值的。这里我们也是从另外一个角度来分析,如果我们拥有这样一些公用的平台,除了能管理逻辑因素,还能管理人为因素,这些公用平台就是大家看到蓝色方框下面公用设施等等公用管理平台,对我们企业管理来说到底有一些什么样的好处。
IBM在安全管理观点上的一些细节。刚才我们讲到几个方面的管理层面,一层、两层、三层,现在我们把细节列给大家看一下。我们又研究了一下全球各个企业,他们在面对以上四个层面策略的时候,他们更注重于应用层面的安全性和信息技术物理安全性,底下这两个层面,是企业一般比较关心的,也比较感兴趣的。我们建议企业能够更关注上面两层,从战略层,企业的风险管理,指策略侧面,到操作管理层面的安全性,如果说忽略了这两方面,我们很多流程,很多策略都没有考虑进去,我们安全的效率就会大大下降,如果只是关心下面两层的话。如果说我们忽略了下面两个战略层面和操作层面的话,对整个部门来讲很困惑,因为上面两个层面不确定的话,企业内部的职责就是不清楚,只是关心下面两个部分,对一个安全隐患反应的速度会下降。这个是一个很宏观的架构图,在于我们把刚才讲的IBM安全管理观点,运用到航空企业安全管理体系,大家看看是怎么样一个图示。底下四个部分访问、通道控制、监督等等,是大家平时经常能看到的。这里主要是访问和通道控制,指的是经常在飞机、机场关键部位的通道管理。监督主要是指视频监视、跟踪等等,以及设施和信息进行管理还有一些我们核心的业务,订作、离港、财务等等。我们在四个层面之上,应该有一个安全综合性的平台,这个综合性的平台其实不一定实际要有这么一个平台,我要建这么一个部门,建一个管理平台管理,它应该是虚拟的,但是我们应该有这样一个平台,因为通过这样一个平台去管理底下四个部门,把四个部门整合起来。
刚才已经谈到安全、威胁,如何考虑这些安全问题等等。下面我们要进入到一个更广阔的主题范围,就是我们在开头讲到的一个业务的连续性,弹性的业务能力。为什么我们要讲这个主题?是因为从安全的角度考虑,如果说我们刚才解决的是安全问题,建立了一个系统,但是对企业来讲,他有更多的因素需要考虑进去,不仅是安全。所以一个业务的连续性和弹性的业务能力就呼之欲出。下面列出几个问题,如果说我们要针对各种各样的挑战,不仅是一个安全上的,对企业来讲各种各样的挑战都是会发生的。面对各种各样的挑战,我们该做出如何响应。一共列了三个问题给大家做一个介绍。第一个是对你一个企业的管理者来说,是不是对整个公司的信息、通信以及眼前运作的风险程度进行评估?这个风险已经不是指安全风险了,是整个风险的评估,然后是这些风险可能是在不断变化当中,这个很重要,是一个不停的在变化,这是我们当今世界的一个趋势。你是不是对以上讲的这些风险,对企业的影响是不是做过一个评估?而且这个风险是来自各个层面的,可能是不同层面的策略需要来制定。最后如果顺利推下来的话,接下来就是一个管理,对刚才讲的风险,你有没有一个很好的计划管理和控制它?所以我们讲IBM引入一个弹性的业务能力,指的是对以上这些业务的风险进行很好的控制。
翻译:
我补充一点,对弹性的业务能力有必要提醒大家看一下,在下面一部分的解释。弹性的业务能力指的是对企业内外部动态变化。企业不仅是内部,外部的动态变化,这些变化包括可能是对企业一个机会,也可能是一个需求,也可能是一个冲击带来的一个中断或者是瘫痪,也有可能是一个潜在的危险。对以上这些东西我们都能够控制好,能够对公司的运作不产生影响,很小,能够使得它不停的运作,所以我们称之为弹性的能力。
凯恩:
为什么我们要引入弹性业务能力,整个行业是不断的变化,变化太快,今天不可能明天会发生什么。行业发展趋势使得我们要关注整个企业的弹性能力。大家不妨想想在SARS爆发的时候,谁都没有想到一年前很小的一些事故,可能对我们的行业产生那么巨大的影响,甚至我们在四五月份的时候不知道这个影响会持续多久,持续的影响深度有多久,所以正因为有这么多不可预见的变化使得我们整个企业要有弹性能力。我们会举四个例子,这里一共有七个例子,我会举其中四个例子。第一个在左上角,他是适配存在于业务要求和弹性计划之间。指的是企业有他的业务要求,但是这个业务要求肯定是要求一个快速变化的,但是对弹性计划来讲,对企业目前的业务要求有一些限制,所以这之间会有匹配性。刚才讲的是计划适配。左边计划未能在企业内部得到执行和维持,这里主要指从企业组织架构分析,我们很多企业从组织架构来讲是不是所有员工都很好的执行个维持一个公司的整体策略?第三个在最下面,对关键人员的依赖性未能恰当的考虑下来,有些依赖性我们是不是已经评估清楚了,在我们制定计划的时候已经把关键性考虑进去了?在最后一个例子,我们想讲一下网络,在恢复经营活动当中,网络的适用性可能很小,指的我们在做系统备份的时候,往往对网络的影响很大的,因为系统做备份需要很多的东西,数据应用需要马上监管起来,这时候网络的可用性成为很大的瓶颈,这方面也是一个挑战。整个这张图是很关键的,因为即便你有很好的计划,但是忽略基础架构问题的话,一个计划执行起来可能就会有问题,效应会很差。
接下来讲的是IBM的方案,从弹性的业务能力我们看一下如何产出策略?我们先看四根竖轴,分别讲系统的恢复,包括IT系统业务的恢复,第二个是指安全,第三个是业务的连续性,第四个是可用性,我们是不是很快速的能够用到,主要指的是效率问题。从IBM安全管理的方案来讲,当我们看到刚才四个战略性的方向,然后我们又横过来看公司六个层面的概念,我们要把它集成起来考虑,这就是一个完整的安全管理解决方案。我们做到第一步的时候,我们制定一个策略是需要花时间的,第一层面是战略眼光,的确花时间、精力,如果说对策略进行很好的设计,其实就是对我们目前现有安全的管理能力的评估,以及我们知道我们目标在哪里,我们如何制定计划,一步一步很坚实的去执行。
接下来我们讲的各种各样的安全管理的响应策略。有五个层面的安全管理策略,因为我们的风险是不同的,所以我们需要有不同层面的响应策略解决和应付。我们如何去理解它?先从左边来看,左边讲的是一些低风险和低影响的安全问题。逐步向当中一些中度的风险和影响,和一些高的风险和影响。当中一个特点就是我们对低风险的安全隐患和影响,我们制定策略,和中度、高度所采用的技术手段方式都是不一样的,而且他是一步一步能够往上递增上去的。我们把这张图展示出来,接下来花一点时间把它进一步进行阐述。低风险我们是一些基本的响应策略,当一个安全问题出现以后,我只需做到一个基本反应就可以了,我怎么去控制它。可控制就是对这个安全管理已经是控制的非常好了,效率很高,这是可控制。接下来是预见性、自主管理、自主控制,他们三个阶段都是逐步在往上发展的,它们都是运用一些比较好的技术能力,然后逐步实现首先是能够预防这些风险,接着是能够自主管理,以及到最后完全自主进行控制。我们将会看两个不同类型的例子。第一个例子是企业的基础系统,这个基础系统不一定是指IT系统,可能跟你的业务系统有关系。基础系统瘫痪的时候,我们如何通过刚才讲到的六个层面,设计多层次的具有弹性能力的响应策略。从这个曲线上来讲,我们将会通过这个曲线来展示不同层面的响应策略,它是如何一步步发展上去的,它们之间的关系是如何的。最基本的主要指的是对系统的恢复技术,如何来解决刚才讲到的一些问题。基本相应策略里会考虑三个因素,热备份和类备份,我到底企业是需要热备份还是冷备份来解决哪些问题?到底是需要专门有一些资源,还是说可以跟其他有共享的资源解决问题。我到底是在恢复当中的程序怎么制定,怎么样能够使它到位?这三个问题都是基本层响应层策略里要考虑的因素。是基本的层面,又是企业最低限度的响应策略,这点必须要做到的。接下来是一个可控制和可预见的。这个层面讲的是一个企业的系统恢复能力和影响经营连续性的问题。企业到底有多少能力,前面讲的基本的,只是说有些策略能够使它恢复就可以了。接下来可控和预见,当一个问题出现的时候有多少能力可以恢复?到底会对我企业经营有多少连续性,有多大影响?在这两个策略当中已经被开始被考虑、设计研究出来了。这里讲到之间的关系,也就是说当我有一个系统恢复方案以后,我企业要知道我恢复系统恢复方案,到底对我们企业经营连续性有多少好处?或者是说我到底有多少能力使经营连续性保证下去?
接下来讲的是自适应阶段和自主阶段响应策略,考虑的问题是运用一些先进的计划工具,随机应变的解决系统的自动或恢复。包括以下方框里的分析都是这个策略里的。其中提到一点快速恢复时间,可能和基本层面不同的,基本层面响应的可能是需要24小时或者是稍微短一点的时间去恢复,但是在自适应和自主阶段这个恢复时间非常快,而且这个时间可能是在一个小时之内,或者几分钟之内就能恢复起来。
翻译:
在这里我补充一下,因为我跟凯恩在看演讲稿的时候,我们觉得整个这几张图会比较偏逻辑性,所以我在这里稍微补充几个例子。从基本层面来讲,对我们企业来讲经常看到的是我们国内一些企业已经做到,如果已经建了系统灾难备份,或者说已经做到初步备份解决方案的时候,我们认为基本层面已经做到了。可控制和预见性,现在在国外大部分企业都已经做到这一层了,他们逐步已经走到可控制和预见这个阶段。自适应和自主其实是一个发展的趋势,这个趋势对我们企业适应时间来讲非常短,很快我们在座的身边的领导就会考虑到自主性和自适应这个阶段。
凯恩:
接下来主要讲的是具体解决方案,HAGEO,很简单回顾一下这两个解决方案对于我们目前企业来讲灾难备份解决方案。IBM可以调用内部很多资源和能力帮助我们企业建立这样一个灾难备份的解决方案。这是一个典型的HAGEO环境分析,我们如何来实现HAGEO的架构,从两个异地,北京和上海,一个是现有的系统,一个是备份的系统,我们通过网络,大概的技术等等来实现。具体这些图如果大家有兴趣的话,针对不同企业的环境,我们很乐意一起跟大家探讨,如何设计每个客户的客户化的环境。
刚才我们看到这张图主要讲的是企业的基础架构有关的引起的系统瘫痪,现在我们讲的是安全引起的系统瘫痪,该从哪几个层面进行。这几个层面不同的策略是如何的。刚才我们讲的是两个类型,一个是基础架构类型,这个是安全架构类型。到底有什么不同,我们下面来介绍。
我们还是会用第一个类型的方式,很快的看一下基本型的响应策略,会做什么样的工作和内容。你会看到在这部分十分具体,主要是指防火墙、安全管理的流程,不是跟安全有关的在基本层面需要考虑进去。一个可控制性和预见性,要做的事情主要是安全意识和教育,跟安全有关的具体的工作。这样做的原因,如果不这样其做的话即便你有很好的计划,可能计划所带来的价值,对安全管理所带来的价值会很低。我们就会讲一下,具体有哪些技术还会跟这个有关的,进一步阐述可控制和预见层面涉及的内容。这里我们会用到一些即时的,即时指的是响应速度非常快的技术,保证对我们如何实现可控制和预见性两方面,包括一些监控等等。在自适应和自主阶段,当今世界一些技术不断的被研究和开发出来,所以对我们来讲不久的将来是一个趋势,目前已经有一些初步的实际的被运用出来了。为什么我们要这样做?对我们企业来讲,非常希望从一个被动的预防到主动的预防入侵,包括安全隐患的入侵,各种各样对我们安全造成影响的入侵。我们要主动的来预防,所以我们在这方面会花很多精力去研究它,保证我们今后不久的将来具有驾驭的能力。
在防病毒方面,以前我们防病毒是很基本的,当一个病毒出现了,比如说有一个蠕虫病毒出现了,我们会马上给企业内部发一些邮件,要求大家不要打开跟蠕虫病毒有关的电子邮件,这是很基本的预防,今后的预防能够做到更自主,当有一个心的蠕虫病毒演变出来的时候,系统自动处理,甚至说每个用户之间根本不会收到邮件,自动已经被隔离在外面了,有点像我们经常听到一种病毒的变异,可能我们已经找出一种方式预防一个病毒,但是病毒都是在不断变化的,我们要做好对不断变化的趋势,我们能够达到一个阶段,就是自主适应,这是比较高的阶段。当然我们看到现在觉得安全管理的确对我们这个行业来讲是一个不小的要求,所以对整个企业来讲,尽管这些因素很复杂,各种各样复杂的因素,但是我们还是会把这些复杂的因素,把这些问题整合起来考虑,从整个企业角度来看,如何来解决这些问题。
我们很有幸能够通过讲企业安全管理,到我们企业如何从安全管理比较局部的概念,讲到企业整体具有弹性能力的业务经营能力,我们把这方面希望能够给大家阐述的清楚和进行分享。对我们企业来讲,有些企业可能是走的比较快一些,而有些企业可能目前在发展阶段还是处于不断的发展中,针对这些不同的企业,为什么我们要介绍今天这样一个概念,就是因为考虑到不同企业不同需求,有各自发展的计划和各自发展的阶段。针对这些发展阶段,我们就必须要有一个很好的策略,很好的计划,帮助企业实现这样的目标,安全管理也好,业务的连续性也好等等。
这里是一些客户的名称,只是部分的。在这些客户当中,我们帮助已经做好或者正在帮助客户做一些在安全方面,或者是企业连续性方面能力的评估、计划、执行等等。以上这些客户都有共性,不仅是说跟IBM在各种各样的服务上有合作,更关心的是这几个客户都和IBM在系统的灾难恢复以及经营的连续性方面,已经开始有了合作,而且有了具体实施的项目在进行。目前来说,我们传统上看到的客户,在业务连续性方面比较关注数据中心,比较关注于能够建立一个比较大的灾难备份系统,或者说在网络的架构方面如何做到保证,保证这个网络是能够遇到一些安全问题的时候继续保证能够很好的运营下去。这方面关注的更多一些。
这里我们讲一个例子,美国航空是在不久以前发现他的网络不能足以支撑他的业务的连续性,其实美国航空在全球建立庞大的网络,但是每个网络由于在局部地区有不同的问题出现,所以对他来讲很头痛,经常会发现当一个新的业务系统上去以后,或者说新的冲击,这个冲击可能是一个病毒,对他整个网络来讲要协调运用起来经常会碰到各种各样的问题,所以很头痛。这个时候来找IBM咨询团队,说如何帮我解决这个问题?这时候我们发现它的问题跟我们昨天讲到的,您的架构跟您的运用之间实际运用当中是不是已经有矛盾,有冲突了?这个问题是很典型的一个问题,在我们企业当中经常会发现。当一个网络建好以后,过了一年会发现你的网络其实还是有很多各种各样的不足之处需要提高,这个时候就会困惑,到底是我这个网络之前设计时候有问题,还是说业务实在发展太快,对我的要求越来越高。最关键的问题是我如何来解决这个问题,现实情况已经出现,如何来解决它。结果我们发现,美国航空网络中心部分在这一块已经出现问题,不能支持业务的连续性。IBM发现这个问题以后,基本把每个部分都分析一遍,有点像我们飞机大修,等于是把整个网络的结构全部拆开,拆开以后不是说真正拆开,从分析上,我们把它拆开分析研究,到底每个部分出现什么问题,然后在很细微的地方进行修补,然后再整合起来。这样做一个好处,因为美国航空是一个庞大的全球网络,不可能重新花很大的投资重新提高上去,所以只能用这样一种整体的分析的角度,先拆开分析,然后再整合归并起来,每个局部地方进行提高和修正,这样的话保证美国航空网络能够支持他的业务的连续性,而且对将来还做很多计划,知道今后的业务发展以后跟网络如何共同发展。
最后我做一个小结。我们会发现企业提到,航空公司在内部协作方面,在针对整个安全管理,或者是说企业弹性业务能力方面,当中很多部门都是很独立的运作。从我在美国工作的一些经验来讲,我们需要经常看的是计划、评估和实施几个阶段,所以这张图可能是在某个沙漠拍下的,表示的是一个漫长的道路,或者是说企业在发展过程当中,会经历各种各样的阶段,有一点我们必须要明确,我们的目标在哪里?这是我们首先要确定下的。接下来当你有了一个目标以后,就是一个评估,到底是在这个阶段当中的哪一个站点?你知道自己是在哪一个位置吗?下来是一个计划,包括我们知道优先级,任何行业任何阶段,我们的投入和我们真正的实际拥有的时间和金钱都是一个矛盾。我们不可能把所有的时间和资金全部投入到某一件事情上去,但是必须要也优先级,必须有取舍。整个这条道路需要有时间,我们知道优先级在哪里,怎么去一步去做。
举一个例子,如果我们今天是在一个基本层面,处于一个很基本的响应策略,恢复等等。我们知道这个层面以后,如何一步步走到最终弹性的能力目标,这个时候我们需要有一个很清楚的计划和评估。这里给大家一个建议,IBM企业文化当中,我们经常运用当中的圆圈,我们做的时候先是评估评价目前的阶段,然后是计划,我们如何去运用实践,最后是实施。然后是循环来进行的,当你已经往前发展以后,您还是需要继续进一步评估,进一步的计划和进一步的实施,保证您每一步的经营运作下去都是持续性的,而且是很有逻辑性的开展下去。
在我们结束的时候非常感谢能够为大家在我们航空安全以及更大的着眼点企业的弹性业务能力方面,跟大家进行探讨,希望对大家能够有所益处,希望大家对我们提出宝贵意见和建议。也很感谢大会有这样的机会让我们在这里做一个短短的介绍,如果大家有兴趣的话,可以在会后进一步进行探讨。非常感谢。
| 
