對(duì)任何IT部門來(lái)說(shuō)，識(shí)別并阻止網(wǎng)絡(luò)威脅都是一場(chǎng)艱苦的戰(zhàn)斗。而對(duì)于RIT這種規(guī)模的大學(xué)來(lái)說(shuō)，BYOD是常態(tài)，活躍用戶數(shù)量一般在16,000到21,000之間，所以，既要保護(hù)網(wǎng)絡(luò)安全，還要尊重學(xué)術(shù)自由，這使得工作更具挑戰(zhàn)性。

有這么多的用戶，尤其是有很多精通技術(shù)的用戶，那么您認(rèn)為目前面臨的最大挑戰(zhàn)是什么?

Sidney Pendelberry：連接到網(wǎng)絡(luò)上的設(shè)備數(shù)量不斷激增。很多學(xué)生都是第一次踏入大學(xué)校園，就像我小時(shí)候黑白電視機(jī)換成彩電一樣。

以前我們還可以控制計(jì)算機(jī)設(shè)備，所以所有的APP都很安全。而現(xiàn)在是在大學(xué)，BYOD是整個(gè)網(wǎng)絡(luò)的心臟和靈魂。每個(gè)人都用自己的設(shè)備。我們有一個(gè)B級(jí)網(wǎng)絡(luò)，需要管理65000個(gè)IP地址。而且沒(méi)有防火墻，沒(méi)有ISP提供任何保護(hù)。如果你的IP正好在B級(jí)網(wǎng)絡(luò)的129.21，我們還能阻止一些不安全的操作，但是又不得不格外小心，因?yàn)榈么_定不會(huì)侵犯學(xué)術(shù)自由。

但是，網(wǎng)絡(luò)威脅還是時(shí)常。很多新生第一次設(shè)置自己的網(wǎng)頁(yè)，他們運(yùn)行Apache，但是他們卻從來(lái)都不設(shè)置防火墻，所以他們可能很快就遭到攻擊，而我們要做的就是盡可能關(guān)閉那些可能威脅網(wǎng)絡(luò)的網(wǎng)站。我們還要求學(xué)生做重要的事情時(shí)使用RIT自己的網(wǎng)絡(luò)。每天上午，大約3%到4%的學(xué)生會(huì)就會(huì)占用到80%的帶寬，所以我們還會(huì)做一些帶寬管控。

另外，我們還一直在徹底清除XP系統(tǒng)登錄網(wǎng)絡(luò)。關(guān)于身份認(rèn)證的問(wèn)題也很讓人頭疼，因?yàn)橛泻芏嗖煌南到y(tǒng)，而且他們都有自己的獨(dú)立密碼。所以想找到最合適的總會(huì)需要NTLMv2，雖然很難，但是我們?cè)诒M力做。我們有很多的舊的實(shí)驗(yàn)室設(shè)備需要連接到網(wǎng)絡(luò)上，比如一些舊的投影儀之類的設(shè)備，它們的安全很難保護(hù)。打印也很難防御。雖然我不知道具體是什么情況，但是我知道大的打印機(jī)廠商在提到安全防護(hù)的時(shí)候都會(huì)含糊其辭，無(wú)論是惠普、施樂(lè)還是其它的廠家。網(wǎng)絡(luò)威脅一直都是個(gè)難題。因?yàn)闆](méi)有防火墻，所以很多設(shè)備都采取端點(diǎn)保護(hù)方式。所以我們做很多用戶安全意識(shí)教育以及網(wǎng)絡(luò)掃描，來(lái)確保把安全漏洞降至最低。

用戶安全意識(shí)培訓(xùn)和漏洞掃描，您認(rèn)為哪種方式對(duì)于防御網(wǎng)絡(luò)威脅更有效?

Sidney Pendelberry：這取決于是哪些用戶。學(xué)生在安全意識(shí)方面就做的很好，尤其是在接受教育以后。同樣，我們給員工和老師做同樣的培訓(xùn)好幾次，但是效果都不好。

幾年前我們做過(guò)一個(gè)簡(jiǎn)單的統(tǒng)計(jì)：處理員工或教員遇到的網(wǎng)絡(luò)釣魚(yú)需要花費(fèi)多少錢?結(jié)果證明，將近14,000美元。很多人收到網(wǎng)絡(luò)釣魚(yú)的郵件，通常都會(huì)打開(kāi)看看。一旦這樣就可以讀取你的郵箱里的所有信息，即使你什么都不填。這時(shí)候，我們就不得不重置郵箱，確保個(gè)人信息不被竊取，這樣就形成了報(bào)告問(wèn)題。然后我們還要請(qǐng)求用戶原諒，因?yàn)槲覀儧](méi)能阻止網(wǎng)絡(luò)釣魚(yú)事件發(fā)生。如果不能確定攻擊向量，有時(shí)我們也會(huì)做一些安全調(diào)查，當(dāng)然不只是關(guān)于郵箱的。幸虧這種網(wǎng)絡(luò)威脅隨著時(shí)間的推移已經(jīng)越來(lái)越少了，但是我們還是需要注意。

那么您現(xiàn)在在做哪些網(wǎng)絡(luò)項(xiàng)目?

Sidney Pendelberry：最大的問(wèn)題就是電源，我們有很多方法報(bào)告和控制電力消耗。但我們并不想監(jiān)控個(gè)人用戶。因?yàn)槟菚?huì)涉及到很多問(wèn)題。畢竟我們沒(méi)有權(quán)利管理個(gè)人用戶的數(shù)據(jù)，如果我們給學(xué)生發(fā)個(gè)提醒說(shuō)：‘我們一直在監(jiān)控你的活動(dòng)，你用了太多電。’學(xué)生們一定很害怕。我們是想保護(hù)他們，不想嚇到他們。我們也沒(méi)有堅(jiān)持做日志，只做極少量必要的日志。當(dāng)然，如果需要，我們會(huì)繼續(xù)做，如果沒(méi)必要，我們就不做。

我自己會(huì)做一些大數(shù)據(jù)。RIT想跟蹤我們已經(jīng)監(jiān)控的環(huán)境和樓宇條件，比如溫度、濕度、氣流以及其它外部條件，調(diào)度數(shù)據(jù)和網(wǎng)絡(luò)可利用數(shù)據(jù)，以給RIT的冷卻和加熱需求一個(gè)準(zhǔn)確的需求模型。

具體來(lái)說(shuō)，無(wú)線AP的累計(jì)會(huì)話數(shù)據(jù)可以幫我們判斷實(shí)時(shí)使用情況，而不是溫度傳感器提供的潛在反應(yīng)，這樣用戶進(jìn)入或離開(kāi)大樓時(shí)你能更好的監(jiān)測(cè)。比如，你可以早上給大樓加熱。但是隨著人們陸續(xù)進(jìn)入，會(huì)產(chǎn)生很多熱量和濕度。而晚上的時(shí)候，就可以給大樓降溫了。這樣你可以更有效的控制大樓環(huán)境，用戶連接到網(wǎng)絡(luò)上的移動(dòng)設(shè)備對(duì)于大樓使用情況來(lái)說(shuō)，是個(gè)巨大的指標(biāo)。像SDN這種新技術(shù)大大改變了這個(gè)領(lǐng)域。

作為RIT的輔導(dǎo)員，它對(duì)您的課程有什么影響嗎?

Sidney Pendelberry：課程一直在變。這就是最難的，今天的東西拿到明天就不能用了，所以實(shí)驗(yàn)也需要不斷的改。以前我很喜歡做未打補(bǔ)丁的Windows XP實(shí)驗(yàn)，可以演示密碼破解的過(guò)程，但是現(xiàn)在不能做了?？赡墁F(xiàn)在連這種系統(tǒng)都不能用了。

現(xiàn)在最重要的事情就是配置管理。我們會(huì)花費(fèi)很多時(shí)間配置SCCM、Puppet或者Chef?；顒?dòng)目錄數(shù)量非常大，所以需要LDAP。關(guān)于身份驗(yàn)證方法，Kerberos是最大的標(biāo)準(zhǔn)，而且已經(jīng)普遍應(yīng)用。但是隨后我們又遇到像Shibboleth這種實(shí)施問(wèn)題和一些以網(wǎng)絡(luò)為中心的認(rèn)證問(wèn)題，它們都是在不斷演變的。

軟件定義網(wǎng)絡(luò)非常重要。我們的網(wǎng)絡(luò)環(huán)境已經(jīng)應(yīng)用了SDN。而且我們有一個(gè)非常穩(wěn)固的云環(huán)境。我們做很多云內(nèi)聯(lián)網(wǎng)，事實(shí)證明值得做。我們還有很多邊緣設(shè)備以及虛擬化的交換機(jī)和路由器。在一些實(shí)驗(yàn)中，學(xué)生們做的第一件事就是設(shè)置一個(gè)虛擬子網(wǎng)，不管是用pfSense還是Vyatta，基本上都有自己的虛擬網(wǎng)絡(luò)。很多學(xué)生都是大三或者大四才做這種實(shí)驗(yàn)的。但是也有一些學(xué)生第二學(xué)年就開(kāi)始選修這個(gè)課程，為他們實(shí)習(xí)打好基礎(chǔ)。

您是怎么進(jìn)入IT和專用網(wǎng)絡(luò)領(lǐng)域的?

Sidney Pendelberry：這其實(shí)是個(gè)意外。1999年到2000年，我在施樂(lè)公司做系統(tǒng)工程師。后來(lái)有一個(gè)人和我都想創(chuàng)業(yè)，就成立了UniteU Technologies。當(dāng)時(shí)他剛剛拿到羅切斯特大學(xué)西蒙商學(xué)院的MBA學(xué)位，我也剛考上RIT大學(xué)的系統(tǒng)工程師碩士。后來(lái)，我做技術(shù)，他做管理，我們一起創(chuàng)辦了UniteU Technologies。這個(gè)公司現(xiàn)在還在，大約有三四十人，是一個(gè)POS集成公司。

我以前從來(lái)沒(méi)有看見(jiàn)過(guò)路由器，所以我不得不買一個(gè)裝上了。我們的業(yè)務(wù)發(fā)展起來(lái)以后我就離開(kāi)了施樂(lè)公司，但是那段時(shí)間真的很難。我每天工作16個(gè)小時(shí)，我還放棄了原來(lái)豐厚的薪水。后來(lái)我妻子說(shuō)我太傻了，所以我就又找了一份工作，就到了RIT。

最后一個(gè)問(wèn)題：除了科技，您最大的愛(ài)好是什么?

Sidney Pendelberry：我是一個(gè)戶外型的人。我經(jīng)常徒步旅行。周末的時(shí)候，我會(huì)把手機(jī)放在家里，帶著孩子和狗一起去徒步，我很享受那種狀態(tài)。