大家好！实际上今天我要带来的是和大家讨论一下网络融合趋势下如何来做到对IT的可靠掌控。

实际上我这里重点是要跟大家讨论在现在比较关心的一个话题，就是说怎样建立一个变更管理的体系。今天我们可以先来讨论一下网络融合趋势下面的IT管理，在今天上午的大会上大家都得到了一些信息，在这样的环境下很多厂商推出了未来的方案，针对未来的一些想法，我们也可以看到在应用上的整合，有新的不断商业化的应用在影响着我们现在的IT管理，在业务上面来说我们每个客户由于不断增加一些新的业务上的需求，而且有一些新的滚间性应用，我们一直在寻求，在寻求新的IT方面的方法来管理和控制我们的IT。

这里就谈谈我个人对IT管理挑战的理解，虽然这个话题比较大，但是我个人理解还是从上到下去讲。

实际上基础设施现在变得是越来越复杂了，我们所懂得的网络通信设备很多厂商都有非常针对性的应用，这种应用造成现在整个IT基础设施是一个非常复杂的情况，这种复杂的情况也带来了在这个基础之上我们的业务应用，像很多中间件的产品，包括现在在应用上面比如开发商SOA的方法。

国内的信息管理部门，对象他们来说第一个问题就是内控制。我们怎么审计怎样通过一些法案，这就是我要跟大家讨论的一些问题。

现在讲到有最佳IT管理实践，什么是最佳IT管理实现呢？这样的方法论实际上是一些国外的一些方法论，属于舶来品，起到了一个向导的作用。怎样在应用中使用起来呢？这里我是基于PPT上面分析的，说话我们应该把我们的业务流程分析出来。另外我们要基于我们的IT管理有一个定位。

事实上目前来说很多IT管理面临的问题是什么，都会认为IT部门可能是花钱的部门，然后遇到问题就会想到对业务的影响，所以IT部门成了一个既花钱又导致其他部门意见的一个部门。所以我们希望上层对IT管理做一个归纳、总结，希望对这样的现状做一个改进，这也需要我们做一个思考，我想这个思考应该基于我们管理上的模式，我们把IT部门作为一个在我们企业内部、机构内部做一个定位，我们IT部门会不会和我们的生命线结合在一起？IT部门可否为我们的服务提高保障，能够提高客户对我们的满意度？我们做这个还需要一个组织，怎样建立一个合理的团队执行这些，这也是关键的问题。

在引入IT管理最佳实践我们可能做一个结构的层次，然后在这个基础上再做一个层次的改造，这是我们一直在做的事情。变更管理，刚才提到因为有一个非常复杂的环境在里面，过去我们会关心到我们的主机，如果它安全，它的数据保存也是安全的，我们可能不会微少它做工作了。但现在我们会关心我们的中间件、应用、服务，所以这种复杂性实际上是带来了变更后的变化，我们怎么来处理它呢？作为IT部门有责任做这个思考怎样履行我们这个职责。

实际上在做这个管理的时候，实际上我们这个组织在运转过程中也是在梳理这个技术，梳理这项共聚合流程包括最后的侧，实际上是一个共同协作的过程，如果在推进这个策略的过程中我们没有很有力完成的话会造成不可信。而且在审计的过程中，很可能带来时间、精力的浪费。

目前来讲，因为7月15日在萨班斯法案颁布之后，实际上很多企业都在考虑其中条款的内容，实际上他们都很头疼，如果按照法案它要花几千万资金，然后还需要出人力物力达到它的审计，所以说我们需要规范化的东西去指引这个审计的过程。

另外，在执行过程中不是很彻底的话会带来服务的下降，这个问题会影响到我们的IT目标，这也是CIO信息决策官最关心的问题，当然对于基础设施者来讲，很可能这样就会带来系统的不安全性，也导致了风险的增加。为什么我们要研究这样的问题，实际上我们把目标上升到对企业IT组织来讲，我们的根本目的就是要让这个企业本身成为一个高效的执行者，在IT执行里面我们怎样衡量或者评估这个执行力呢？这是我们需要考虑的问题，我相信各位都有自己的看法，作为一个制造业的用户我平时都积累了一些经验，我有自己的规范、流程去管理，在大家都有自己的经验的情况下，实际上我们需要再在这上面做一个归纳、分析形成比较符合他本身特点的准则。

首先要让企业做到高效执行，需要做变更管理的文化是要进行的，它会让我们的IT员工坚持这个策略的执行，在上层来讲变更管理可以成为链条的一部分。我这个IT部门发行到种间执行层再到管理层实际上也是互相有贯穿的过程。在这种文化中我们要提到一个重点，我们不仅仅希望他需要严格遵守策略，而且要让他保证策略的执行。

在控制上面CIO爱有一些策略的制订，然后在策略的执行过程中确保变更操作是授权的，对未授权的操作是可以审查的。我们做了这些之后它为我们带来什么东西？首先是信誉，这种信誉能够为企业的服务产生价值，能够为企业带来更多的客户。当然我们讲信誉本身不是被创造出来的，实际上还应该是在服务过程中积累起来的，IT组织能够赢得可信，只有当在有一个比较完善的变更管理体系中来解读结果然后说明它是可信的，这也会增加对用户的信心。

因为他们本身就需要对一些行为负有责任，这种责任是很明确的，就像萨班斯法案里所要求的，这是一个比较严格的规定。这就是我们对于内部、外部的要求而提出的这么一套方法。让企业能够成为一个高效的执行者。

这张图是Tripwire公司创始人对IT变更管理成熟化的一个模型，这里面有四个的阶段，我放在后面来讲。就是形容一个企业怎样从一个比较初级的系统到一个高级变更管理的系统。

Tripwire为变更管理操作定义了四个不同等级的成熟度。第一级就是应激性的系统，打个比方就是“救火”，IT管理员他们要去每次事件中做应急响应，这种过程实际上是耗费大量时间的，这样也导致了服务得不确定性，在运行的环境中也没有对变更操作进行交互式的管理。

第二种是用信用的系统，比如老板说今天财务部的主机你要做一个检查，那你就用一张纸做出一张报表，这可能就是目前一些人需要做的工作。

看起来这是个制度，但是这种备案实现还是一个比较初级的阶段。但是他已经很努力的做变更管理流程，这很可能出现一个情况就是，谁签的谁做的是不一定有效的。

第三个阶段，我们叫闭环的变更管理系统。在监控信息系统的时候，可以监控基本上比较多的基础设施的操作，并且这种操作是需要授权的，可以监督到那些未经授权备案的操作，可以检测到。

实际上这部分还要做一个持续性的改进，这种改进可以不断对我们的方案得到细化，并且把我们新的需求拿进来，这就是所谓新的管理流行。而且这种持续改进能够增强系统抗攻击能力得到增加，而且能够修复系统中平时不容易观察到的变更细节，而且性能在各方面得到升级，包括服务质量，并且在不断持续的过程中我们能够预见一些问题，能够对未来发生的状况做些了解。

在推进变更策略的时候我们这里有三个单元是我们需要关注。

第一部分包括四个部分。第一，所有的变更操作是必须可以被监控到的。第二要管理IT结构中的性能程度，通过这种方法记录。第三，可以通过一线对目前正在运转的系统做一个基线。第四，变更执行者不能够审批自己执行的变更操作。

第二个部分，变更咨询模块必须支持查询回顾所有变更操作。在预定的时间间隔内，生产过程中的所有设备都必须详细检查器发生的变更操作。需要有一个优先级别，还需要跟操作系统结合起来。这样就形成了一个闭环的变更管理系统。

第三个部分，所有的变更操作要被审查，就是要知道其中的细节，而且要知道细节解决的情况是怎样的。对未授权的变更操作，只要一出现的话就可以给我一个警示。

这就是换按中建立的一个管理的方法论。

Tripwire实际上在变更审计的方案上证实了IT流程控制是有效的，而且提供了大量的方法为大家起到指引的作用。

下面介绍一下Tripwire是怎样来做变更操作，Tripwire实际上它是比较早的一个公司，92年在安全领域是一个非常有名的软件，所有的技术对系统核心层面操作技术都是源于Tripwire在安全领域里研究的成果。目前Tripwire里面实际上已经覆盖到IT基础设施，这成为今天我们的主题。最早的时候叫做数据完整性，通过检测帮助很多管理员发现有没有入侵的可能。

在之后Tripwire提出了体变更的审计。那时候也是随着网络的发展，目前来讲有这样一个需求，就是有变更管理控制的需求，在今天来说我们的通信融合的情况下，我们要对IT基础设施做统一掌控的要求会越来越紧迫。

它满足的首先第一是安全性，在上面再去融合法案、法规的符合性。我们可以看到Tripwire它的一个管理范围，包括一些网络设备、分布式数据库、中间件、主机，可以对一个非常广阔IT组织进行分析。

这边是Tripwire架构的一个展示，我们也可以从刚才图中看出，在最上端应用层面的数据，再下面是中间件、再下面是数据库，再下面是开源系统和Windows系统的服务型。再下面是开放式系统，这是目前的一些特性。最底层的是我们Tripwire的一些网络设备，我们可以做到一个比较完善的掌控。

我想这样的一个结构是反应到Tripwire公司产品对多层次支持这样的结构，这种结构是大多数企业中的一种架构。

我们再回过头来看在策略上通过用这种方法论去指引IT管理者从这种策略上去建立一套IT变更管理的体系，他是这种加强性的变更管理操作，说话我们可以通过这种审计，花最少的钱花最少的精力去减少开销，如果在没有上这个系统之前有很多可能我们不知道什么样的操作在我们的系统上面，都不知道有哪些系统发生了哪些状况都不知道，这叫计划外的操作，在我们的平台上就能够清楚的解决这样的问题。还有确保完整性，我们可以确保整个信息的完整。

Tripwire推出了一个专业服务型的应用，去帮助实现企业的变更管理，包括有很多信用卡的公司要去通过PCI卡支付，实际上在我国这方面的制度也在逐渐引入，也会有这样类似法案的要求，实际上到时候也会有这样的要求，Tripwire已经启动了一个比较完善的经验和系统在做。

下面看到的一个箭头（PPT），通过变更系统来达到这些合规性的流程，来去讲述一个合规性是怎样在企业中得到发挥的。

（PPT）大家可能听到变更管理的时候会有一个疑问，最后我们看到什么东西？最后我们可以看到变更加上这种技术的手段做出一个体系，就是说我们的管理者可以清楚的了解自己变更的状况，怎样来了解，Tripwire提供了业界目前来讲非常好的一份报告，这里包括对所有系统证实操作的各个细节，这是这个报告的一些情况，首先会给我们定出哪些是在柳橙汁外，哪些是不合我们这个流程的，然后是否和授权相匹配，然后给了一些拯救、晚会操作和对风险提供的一些帮助。

我们获得IT掌控，这是很多IT决策者所要关心的问题，我们IT天天做这样的工作目的是什么，我们的目的就是省市这样的一个解决方案，有没有实现变更管理的体系。这就会造成大量精力浪费，实际上我们在做大量变更管理的时候还会遇到个问题，就是说在发现变化的时候你有多久才能知道变更的发生，怎样知道这个变更是对系统好的还是不利的，怎样获得完整的报告，这是我们经常接触到的，这些都是比较头疼的问题。

这样实际上可以达到变更管理控制对象的细化，所有的变更必须要通过审计，所有的变更必须要通过授权，所有未授权的可以看到变更细节。在获得IT掌控第二点在于研究变更管理系统过程中可以减少计划外的操作，有些不是我们的部门，当然可能是一些其他的误用或者怎么来控制数据，我们可以通过Tripwire变更审计就可以非常清晰的把这些变更操作很快的反映出来对系统作出反应。

计划外的一些影响我想这也是大家非常了解的，我举个例子，比如说在银行，很多ATM机上的系统操作的目的，对系统的维护，他做这种操作都应该是非常严格的，否认谁都能完全去动就会失控，所以很多时候方案会用到系统的保护上面，如果谁做了对银行系统做了一个非常细小的改动，首先非常技术支持做策略、支撑，这样我们会知道会造成混乱。究竟是IT部门的操纵还是某一个流程里面的操纵呢？我们要做到对系统操作的跟踪。

这有张图可以研究一些方法在变更过程中我们带来的好处，不论对安全上的投资还是对整体上的投资都带来了一些投资，在一个比较规整的方法论指引下面我们实现了一个变更管理的体系或者系统，我们未经授权的变更会很快被我们系统管理者或者IT机构负责人检测到，这种行为就可以很快的避免掉。在这种前瞻性的过程中也就规范了很多行为，包括不管是他故意的还是他的一些误用，这样实际上也就降低了风险，另外降低了很多IT控制和管理的开销，这就是变更管理介入IT管理中的重要意义。

第三，在IT掌控中我们的目标是什么，我们的目标是需要有一个掌控完整性，目前来讲不管是做安全还是做IT架构的专家们，他们越来越重视到完整性对系统的策略是非常重要的，已经作为一个基本的属性在那里，Tripwire这里有一些创新的理念，在更早的时候Tripwire已经成为了一个对系统的检测工具，因为它可以做到这个人在这个过程中做了什么事情，作为一个事情的证据，负责到所有IT设施变更管理的方案，实际上在主机的入侵防范功能里它是非常领先的。

下面我们再来回顾一下刚才讲的非常空泛变更管理的体系。首先我们上面要有政策，实际上包括CIO和大多数管理者他们去定义的，我们企业要达到什么样的效果，我们的部门怎样被以往老是花钱的部门转变为起到重大作用的部门，我的IT部门组织非常好，我通过有这样程序标识的能力来实现它的功能，通过这些做一个规划。所以说这是一个政策型的东西，包括流程的定义也是需要有这么一个决策层来做。

接下来是在管理执行中间的管理层里面我们需要做到有效控制，这个控制我们还需要重复三个内容，所有的变更都必须被审计。所有变更必须是经授权的。所有的未经授权变更必须可被调查。

最后通过以上内容我们可以达到可信性，明确的讲一项技术做到IT管理解决方案，Tripwire可以组织包括决策者包括变更操作者仆役明确他们的责任和义务，可以决定谁在操作这个操作后会达到什么作用。而且通过这套方案，我们知道我们不是用管理者的魅力管理这个企业，我们不是在用基于纸面或者自身的信心或者制度去管理，我们是用更科学更成熟被广泛先进的IT机构所证实的策略方法论去管理我们的企业和整个机构，从而达到一个可信度。

最后介绍一下Tripwire，Tripwire实际上是变更管理一个先驱者，在92年做了一个非常有名的软件叫做Tripwire，Tripwire公司是在97年创建，目前在全球客户有5000多家，都是大客户，作为一个变更审计解决方案的提供商，实际上Tripwire的信念就是做IT变更的自动化和独立的监控。

而且Tripwire不仅是提供这个方案，更多的是提供一个专业化的服务区帮助企业建立这么一个方案去满足合规性，预测到安全管理架构中的某个单元，这是Tripwire所要表达的观念。

我讲到这么多变更管理，在座的听众了解到了这么一个细节，实际上重要的是其中的变化，笼统的讲这个变化，假设在机器上访问了一个文件这是变化，在我的机器上打了一个补丁是个变化，我对我的路由器做一个操作是一个变化，我们研究的就是变更的管理。Tripwire不仅在技术层面做的非常深入，做到了系统级完整性的方案，而且上升到IT基础设施层面来讲提供了决策的方法和思想。它已经被很多大的机构或者企业所接受，成为一种最佳时间的方法。

这个方案的推行就是人员、技术、服务三位一体的流程，大家也可以看的到Tripwire有一个专注，有很多奖项，这边只是随便摘了两个放在这里，实际上从99年开始在业内都得到了很多的认可，也和很多厂商结合起来。

这边的方案是四个美国的方案，我就不多介绍了，主要是讲Tripwire是怎样帮助这些企业，这些公司都是在国际上非常有代表性的一些公司，提出了在IT变更管理里面的一些案例，帮助他们使用这种体系实现IT变更管理。

这是Tripwire在国内的一些介绍，包括石油、电力行业等。

Tripwire的精神，对所有IT管理者来讲有一个建议，我们怎样去做这样的变更管理和为什么去做，实际上做Compllance等概念。谢谢大家！