CMCS，网络威胁“防火墙”

　　随着企业网络规模的不断扩大，尤其是银行、保险等行业，为了保障其合规性，企业投入的人、财、物各种成本都在急剧增加。尽管如此，很多企业的网络配置管理流程仍不规范，而每一次配置变更的同时也增加了合规检查的成本。据调查，高达47%的变更未经授权，60%的网络宕机由人为原因导致。因此，健全完善的合规管理制度以及配置变更审核管理显得非常必要。

　　不管是传统企业，还是新兴互联网公司，都把快速响应看作是衡量企业竞争力的一项关键指标。移动互联网、云计算、BYOD等新概念、新技术的产生，也为快速响应提供了技术支撑。然而，在日常工作中，却总是出现一些人为导致的网络宕机问题，阻碍了快速响应这一目标的达成。

　　随着企业网络规模的不断扩大，尤其是银行、保险等行业，网络已经成为IT的基础平台，IT和业务对于网络的依赖程度也越来越高。因此网络的合规性、可用性、安全性等方面一旦出现问题，就会对企业产生非常严重的影响。实际上，许多公司并没有充分认识到合规管理的意义，因此，经常会有检查不及时的问题，而且每次合规检查都耗时耗力。但是由于很多企业的配置管理流程并不规范，以致于每一次配置变更都可能增加合规检查的成本。因此，为了保障其合规性，企业投入的人力、财力、物力等各种成本都急剧增加，但却仍然不能做到防患于未然。

　　调查发现，60%的网络宕机问题是由于人为原因导致的，这是由于大部分问题是在部署之后才会被发现。另外，47%的用户变更都是未被授权的，由此可见用户配置管理流程并不规范。而且，大部分用户网络配置依然采用手动模式，这样就导致多设备下发时工程师时间被大量占用，使得办公效率急速降低，同时准确率也无法保证。因此，引入合规审计，配置变更审核管理等机制显得非常必要。

　　而合规管理与配置服务的提出，正是为了解决用户面临的这些网络运维方面的挑战。合规管理与配置管理结合起来一体化的服务，可以避免每次配置变更带来的潜在合规风险，降低运维风险，提升运维效率，为用户节省近51%的日常运维变更工作量，进而降低人力成本。

　　合规管理那些事

　　美国曾经最大的能源公司——安然公司的财务造假丑闻，为世界敲响了一记合规管理警钟，合规的必要性在当时被极大的凸显出来，它成为美国国会和政府拯救资本市场投资者信心的关键准则。因此，美国国会和政府加速通过了《萨班斯法案》（以下简称SOX法案），法案的第一句话就是“遵守证券法律以提高公司披露的准确性和可靠性，从而保护投资者及其他目的。”

　　如今，合规性要求已经从金融行业蔓延到其他领域，为了更好地应对用户因网络规模增长带来的合规风险，CMCS服务将合规管理划分为用户合规、自身合规、设备运行状态检查三个板块，从而在多个维度上保证用户配置的合规性。

　　在用户合规方面，帮助用户建立自定义合规标准，介绍国内相关行业合规经验，为用户量身推荐网络配置最佳实践，并且提供用户合规报告，统计违规条目，揭示违规原因并且提供修复建议。在自身合规方面，结合安全通告（PSIRT），配置最佳实践（SAFE），后期专属检查以及9种国际通用标准合规策略（SOX、HIPAA、ISO、PCIDSS等），为用户提供标准合规报告，明确违规条目来源，揭示违规原因，进而提供修复方案。最后，在设备运行状态检查方面，帮助用户建立自定义健康巡检，与用户共同确立巡检机制，针对用户所有在线设备进行定时定期巡检，自动告警，并提供巡检结果报告。

　　三方面的合规性保障，使得合规风险大幅减低，全网合规检查在三分钟内就可以完成，每月一次的健康巡检也只需要五分钟就可以完成，而且全部检查都可以实时进行，在合规管理效率上确实有很大的提升。

　　自动化配置变更的实现

　　在企业网络运维方面，大部分企业的网络配置仍然属于手工操作模式，人为因素的不确定性正是导致配置变更准确率低下的非常重要的因素。上文也已经提到，60%的网络宕机问题是由人为因素导致。而且多设备下发命令时，工程师时间被大量占用，导致人力资源的浪费。其次，企业配置管理流程不规范，使得很多未被授权的变更也被执行，进而导致合规风险的增加。

　　而的CMCS配置管理将配置变更服务流程划分为提交需求、生成配置、下发审核、配置下发、结果验证、记录追溯六个方面，严格把控配置流程，每个环节都智能化、自动化，实现自动化配置变更，避免了变更人为操作风险，从源头避免违规，杜绝配置丢失风险，并且使每项变更都有据可循，即使变更后发现错误，也可以通过回退点退回自动保存的之前的正确配置。

　　目前，国内某银行已经采用了CMCS服务方案，从该用户的一次访问控制列表变更中，可以清楚地发现人工方式变更与CMCS变更方式的效率差别。在准备阶段，人工方式手动登陆设备进行变更前状态检查，手工生成脚本，这要求变更操作人员对命令及设备相当了解；而CMCS则自动进行变更前状态检查，部分内容调用模板，仅需填入参数，对操作人员的技术要求相对较低。二者的耗时相比，CMCS比人工方式效率提升了50%。而从配置与变更的全部流程来讲，CMCS可以提高约51%的工作效率。

　　软件映像与工作流管理

　　现实中，企业网络运维风险不仅局限于上面提到的内容。软件版本升级复杂，专业知识水平要求高也是合规与配置管理面临的现实挑战；另外，工作流程混乱导致的未被授权的变更执行、变更追溯困难等问题，对企业的合规风险是否能即时排除有很大的影响。

　　因此，合规合规管理与配置服务加入了这样两块内容，分别是软件映像管理与工作流管理。其中，软件映像管理，可以对用户的设备进行软件映像备份、升级、归档等管理，从而即时发现安全漏洞，避免小错误引起大问题。而工作流管理则保证了用户网络变更都被授权，并可以追溯以往变更记录，提供一种完整的、集中的用户化流程管理方式，从而增强每项操作的安全系数。此外，工作流管理还提供了一种基于角色的访问控制，四种默认用户角色为用户根据自身需要进行灵活调整角色提供了选择空间，安全性也因此更多了一重保障。

　　梁欢