虚拟化：最大的风险是心怀不满的内部人员

译文2011-09-13 09:44:59环境更安全——可以防御的逻辑边界比物理边界更多。任由虚拟化环境暴露在攻击者面前，这个过错不在于我们的运气，甚至也不在于我们的虚拟机管理程序，而在于我们自己。

【51CTO 9月13号外电】环境更安全——可以防御的逻辑边界比物理边界更多。任由虚拟化环境暴露在攻击者面前，这个过错不在于我们的运气，甚至也不在于我们的虚拟机管理程序，而在于我们自己。

现在很清楚的是，虚拟化环境不仅提供了更灵活地管理数据中心的机会，也为离经叛道的管理员提供了一种更有效的攻击途径。在虚拟化环境中，我们可以建立深层防御机制，远远胜过在物理环境下所能实现的防御机制。但是我们刚刚习惯于这种灵活应变、千变万化的虚拟机环境;而在茜些情况下，我们带来了更大的风险，而不是互相加强深层保护机制。

以日本制药公司的北美子公司盐野义制药(Shionogi)为例。2010年7月，盐野义在亚特兰大办事处的IT员工Jason Cornish与他经理发生争执后愤然辞职。据新泽西泽纽瓦克的美国地方检察官Paul Fishman提交的案卷显示，在同一家公司共事15年的一位朋友主张，既然熟悉网络，他应该继续以合同工的身份为盐野义制药工作。2010年9月，提供给Cornish的工作被终止了;当月晚些时候，盐野义制药宣布裁员，Cornish的朋友也在裁员名单之列。10月1日，这位朋友拒不将网络密码告诉给盐野义制药留下来的管理员，结果导致他被公司直接炒鱿鱼。

2月3日，Cornish使用盐野义制药的一个用户帐户CVAULT和系统认可的密码，访问了一台服务器，而他在几周前，将VMware vSphere客户软件偷偷安装在了该服务器上。盐野义运行一套高度虚拟化的基础架构，Cornish将一台笔记本电脑带到配备了无线网络的麦当劳餐厅，进而删掉了盐野义的电子邮件、黑莓、订单跟踪和财务管理等服务器。

总的来说，Cornish只用vSphere客户软件就能访问vSphere的虚拟化管理控制台，只轻松点击一下，就彻底删除了盐野义的15个虚拟主机上的每个虚拟服务器。Cornish边嚼着巨无霸汉堡和薯条，边删掉了88个虚拟服务器，而盐野义的日常业务依赖这些虚拟服务器。

他最后被逮捕了，你不由得会想盐野义的防御机制最后还是胜出了，其实表明其防御机制根本不行。

他后来之所以被逮捕，主要是联邦调查局的网络犯罪打击小组快速介入有关。在这起攻击的发生地纽瓦克和亚特兰大都有联邦调查局的小组成员。犯罪现场在附近的麦当劳餐厅;特工跟踪查明了攻击者的IP地址后，查到了这起攻击来自那家麦当劳餐厅。就在攻击前几分钟，Cornish曾出现在现场，他用信用卡购买了4.96美元的食品。他肯定缺钱花。要不然，他的计划原本会得逞——那样他可能仍逍遥法外，没人知晓他与盐野义蒙受的80万美元损失有直接关系。

盐野义发现，从9月被解雇到次年2月3日发动攻击，Cornish前后访问系统达20次，这对破案也有所帮助。他们发现了为非作歹的vSphere客户软件，进而提出了诉讼，最终促使Cornish在8月16日低头认罪。11月10日，他将面临量刑法官，可能面临长达10年的监禁和25万美元的罚款。

但在此案中，正义得到伸张并没有给人多少安慰。盐野义的安全程序似乎很松懈;不过我知道有几回，妥善管理的公司也不了解为本公司工作的合同工。即使在前员工迅速被开除、合同工受到严格监控的情况下，每家公司要保护自己远离内贼作案还是有很大的难度。Cornish案并没有弄清楚他在何处获得了有效密码。在这种情况下，盐野义有可能采取了正确的措施，保护自己远离某位心怀不满的员工，随后却沦为无法证明其有罪的另一位员工的受害者。

在IT员工被裁减的那一刻，公司就特别容易受到内部人员的攻击。

不过，盐野义本该遵守最佳实践：比如对IT管理员的权限进行限制，限制每个管理员只能访问一组规定的服务器。但是并非只有盐野义这一家公司才将一般的权限分配给公司信任的IT工作人员;不然，有时意味着拥有相应技能的人无法访问相应的故障处。盐野义本该设置一个软件看门狗系统，从而监控谁登录到了哪些服务器、谁删除了服务器，但是许多公司没有落实能够从软件事件查到某个人的此类保护机制。

盐野义案真正让人关注的地方并不在于，多快地伸张了正义，而是多快地造成了严重破坏——这归因于虚拟化环境的管理界面。盐野义的业务被迫中断了好几天，直到后来虚拟服务器被重新构建，已知、有效的数据被重新创建。

我常常得到积极正面的反馈，说在这些新兴的虚拟化数据中心，IT经理具有怎样惊人的能力。但是有必要记住的一点是，如果使用虚拟化，不是只有好人才得到“上帝般”的权力。

什么叫全程电子商务？

近几年来，电子商务在我国得到了飞速的发展，企业从电子商务中得到的信息也越来越多，如何管理好这些海量信息，以及再利用好这些海量信息，成为一个亟待解决的问题。这使得以电子管理身份出现的ERP，自然而然的与电子商务联系到了一起。通过业界专家的深入探讨和研究，已经形成了一个共识，用ERP为电子商务作后台管理支撑，是电子商务脱离浅层运用，得以全面开展和深入运行的坚实基础。

ERP与电子商务关系密切

ERP概念和产品进入中国已有近十年的时间，电子商务的出现则要稍晚一些。当两者同时应用于企业的时候，由于管理环节有相融的部分，因此人们经常将两者作比较：是信息化大还是电子商务大？是否信息化主内、电子商务主外？这从一个侧面反映了两者是很有关联的。事实是，信息化及其重要组成部分ERP与电子商务关系密切。

我国著名的电子商务专家梁春晓先生将ERP与电子商务的关系形容为“是一个硬币的两个侧面，只是一体二面的关系。”

著名管理顾问徐剑先生则将两者的关系表述为“ERP+IT技术=电子商务”。他认为IT 技术和企业应用最好的结合点就是 ERP 系统， ERP 本身就是吸收先进的管理思想以及 IT 技术的最新成就而发展的。而正是由于 IT 技术的大力应用，促使 ERP 系统能够基于 Internet/Intranet 实现作业管理，企业从而能够在此基础上实现电子商务。

关于两者的关系，财政部财政科学研究所的高绍华先生归纳了三点，很具代表性。

基于供应链的兼容性一个企业有三条供应链，即物资供应链、资金供应链和信息供应链，ERP系统就是对企业的物流、资金流和信息流实施优化管理。

而电子商务主要涉及到的是采购与销售业务，实质是网上电子采购和网上电子销售，它们只是使企业原有物流和资金流分别增加了一个入口和出口，并成为新物流与资金流的一部分而已。

这就是说，通过重组企业组织结构及业务流程，电子商务可以融入企业的供应链中。只不过对于网上模式，客户的订单、企业的采购单要由网上形成和交付，货币收支亦由网上进行。

侧重点的差异性从上面的分析我们得知，ERP 系统作用于企业的整个业务流程，其应用层次分为三层：决策层的数据查询与综合分析、中间层的管理与控制、作业层的业务实现。而电子商务主要在于作业层的业务实现，具体来讲，是采购和销售业务的网上实现，也包括为市场营销提供网上辅助手段，例如，网上产品发布、网上商机搜索、诚信认证、即时通讯等。

应用的互补性根据我国企业目前的内外部条件，企业在引进电子商务时，不会完全摒弃传统的采购与销售模式，单单使用网上模式，而是两种模式、两个系统会共同存在，互为补充。当然，在今后，网上模式会越来越占优势。

因此高绍华说：“由于电子商务与ERP之间存在着种种密切的联系，我们不能再把它们简单地看作是独立的两个对象，而是应该用联系的观点去认识和研究它们。”

ERP与电子商务必须融合

从以上分析可以看出，电子商务和ERP它们本身就应该是在一起的。过去是因为一些原因，比如信息化程度从这块到另外一块需要时间或者是技术的条件不成熟，或者是其他种种原因，导致了两者成为一个分裂的状态。

从传统的电子商务载体——电子商务网站来看，其最大的特点在于它基本上是一个“电子贸易”市场的概念，企业在上面发布信息，进行交易，但是他们本身并不管理这些交易，也不去管理最终的信息交易的情况。这就使得企业从电子商务网站上获得的信息，与企业内部ERP管理系统获得的信息成为一个分离的状态，数据不能充分共享，造成资源浪费。同时，两套分离的系统也为企业增加了投入成本。

随着电子商务在这几年的快速发展，企业这种分离使用ERP和电子商务的状况已经开始遭遇发展瓶颈。企业在电子商务中积累的越来越多的市场信息处于游离状态；由于企业参与全球竞争的残酷性，企业现有的响应速度不能为自己赢得更多订单。而最为关键的是，企业这种状况使其在电子商务运用上，始终处在一个低级阶段，不能往更高层次发展。

理想的电子商务运用状态是怎样的呢？高绍华先生说：“市场营销部通过网络ERP软件（亦称电子商务ERP，即eERP）可以及时的、准确的掌握客户订单信息，并按时间、地点、客户统计出产品的销量和销售速度，经过对这些数据的加工处理和分析对市场前景和产品需求做出预测，同时，把产品需求结果反馈给计划与生产部门，以便及早安排某种产品的生产和相应投入品的购进。”

这个做法的最大好处是可以真正实现零库存，极大的减少资金占用。而且我们看到，整个流程均在电子系统上走完，其响应速度和科学性是传统手段无法比拟的，企业参与电子商务的竞争力将会得到极大提高。

对此，梁春晓先生讲到：“不论从中小企业的外部、市场的电子商务应用，还是从内部的信息化应用来看，这几年发展趋势都是从分散走向整合。 ”这是一个必然的发展趋势，包括高绍华、徐剑在内的国内许多电子商务研究专家已经认同了这一点。

ERP与电子商务融合的解决方案

对于ERP与电子商务融合的解决方案，高绍华先生讲到：“在实现两者融合时，ERP方面应优先考虑采购、生产计划、市场营销、销售、库存、财务等与物流、资金流密切相关的模块，电子商务方面应考虑网站管理模块、网上销售模块、网上采购模块和网上资金收付模块，把两者的这些模块集成到一起，构成一个新的应用系统，可以称之为融合系统。融合系统要为今后模块的扩充留有接口。 ”

对于这一课题，当国内管理软件商还处在探讨阶段时，已有软件公司将这一设想付诸实践了。 2006年，金算盘软件有限公司开发出了这样一个系统——全程电子商务平台。下面以这一个平台为例说明ERP与电子商务是如何融合的。

金算盘全程电子商务平台体现了以供应链管理为核心的思想。平台通过全程供应链管理系统9i、电子商务网站亿禧网（）、电子商务工具eTools三根柱石构成。客户缴纳298元以上的年费以后，获取了这一平台的注册用户资格。注册用户可以在亿禧网上使用9i来进行财务和业务的管理，可以在亿禧网上发布企业的信息，宣传自己的品牌，进行诚信认证、商机发布、即时通讯等操作。

这一平台通过9i后台管理系统将企业内外部数据进行有效对接，将电子商务和企业管理融合，把企业内部业务管理与供应商管理、客户管理连为一体，构建一个以客户为中心的完整的电子商务供应链管理系统（eSCM）。它力求形成中小企业用户进行企业内部管理和参与各种商业活动的一站式工作平台。

从以上的描述中，我们看到，这种电子商务平台与传统相比，其最大特点是提供的服务要比传统电子商务网站多。除了网上的交易、搜索、金融、诚信保障、支付等等常规的电子商务外，还提供了其他的服务，比如网上客户关系的管理，网上供应商的管理以及网上财务核算等。

融合带来的客户价值

1、特点

真正实现ERP与电子商务融合了的电子商务平台，以及这一中小企业电子商务解决方案，它具有非常鲜明的特点。

首先，它以全程供应链管理软件为核心，帮助中小企业将内部业务和上游供应商、下游分销商/客户链接成为一个完整的供应链条，将管理从提升企业内部效率拓展到提升整个供应链的效率。为什么以供应链为突破口呢？那是因为经过研究发现，我国中小企业最为关心的是供应链问题，是如何降低供应成本，如何高效做成生意。

其次，它还是电子商务与企业管理的理想结合体，不仅实现了第一代电子商务网站所具有的信息发布、搜索、匹配等功能，还成功的将电子商务过程中的外部信息与企业内部核心业务紧密联系在一起，使得电子商务成为企业管理和商业活动的一个重要途径和环节。对提升电子商务在我国的应用档次也起到了很大作用。

第三，它以符合世界趋势的软件服务化（SaaS）模式向客户提供所有的服务。中小企业完全可以做到按需使用、按需付费，颠覆了传统的软件应用模式，使得中小企业能够像我们平常使用自来水、天然气一样来享受电子商务服务。对普及电子商务也将起到重大推动作用。

第四，它充分利用了互联网的特点，采用了最新的智能客户端（SC/S）技术，能够实现互联网与本地局域网互为补充的部署方式，既突破了传统管理软件在固定局域网上使用的限制，也彻底改变了传统Web应用方式客户体验不佳、表现力不够等缺陷。

2、给客户带来的巨大价值

原来用户需要内外部两个管理系统，使用融合的模式可以在一个平台完成企业内部管理、销售和采购等各种商务活动，并加强与外部伙伴之间的业务协同能力，提高整体的运作效率，降低资金占用率。

这样一种一站式平台完全可以提高中小企业销售过程的效率，从而增加销售量。

用户可以获取更多的经销商信息，并对这些分销商进行管理和业务协同，扩大并畅通销售渠道。

通过搜索、订阅等方式，用户还可以从获得更多的供应信息，并对供应信息进行各种管理，完成与供应商之间的业务协同，优化供应链结构，降低采购成本。

这种平台同样为用户提供了一个完整的企业展示和产品推广的营销平台。用户可以在这种平台上及时的发布企业信息、产品信息，组织市场活动，加入平台上提供的社区、论坛、协会等虚拟组织，从而实现低成本的品牌推广和产品营销。

用户通过SaaS模式使用包括应用软件服务在内的各项服务，完全可以做到按需使用、按需付费，这样大大降低了用户对IT系统的投资风险。电子商务平台服务商提供了专业维护，用户没有必要在IT系统维护方面投入更多的资源，可以更加专注于自己核心业务能力的提升。

用户可以基于互联网来使用这种电子商务平台提供的各种服务，没有了固定设备对使用范围的限制，也完全突破了地理上的区域限制，因而用户可以非常轻松的实现异地使用和跨区域的管理。

友情链接

网管要具备哪方面的技术条件

这要看什么样的网管，大网站的网管，其实也并不是一个全面手，若很全面，可能人家反而不会要你。有的精通UNIX，有的则精通WinDows，有的熟悉ASP，有的则熟悉JSP或是PHP等等。 而对于网吧的网管，一般就得具有全面的知识和动手能力，这是基本的。不过合格的网管学的东西还是很多的看看吧: 网络管理员的知识结构仅仅是计算机相关专业毕业，离一名合格的网管还相距很远。在网络技术日新月异的今天，课本内容已显得非常落伍与陈旧。因此，应当广泛涉猎与网络管理相关的领域，完成最基本的知识积累。 ●了解网络设计拥有丰富的网络设计知识，熟悉网络布线规范和施工规范，了解交换机、路由器、服务器等网络设备，掌握局域网基本技术和相关技术，规划设计包含路由的局域网络和广域网络，为中小型网络提供完全的解决方案。 ●掌握网络施工掌握充分的网络基本知识，深入了解TCP/IP网络协议，独立完成路由器、交换机等网络设备的安装、连接、配置和操作，搭建多层交换的企业网络，实现网络互联和Internet连接。掌握网络软件工具的使用，迅速诊断、定位和排除网络故障，正确使用、保养和维护硬件设备。 ●熟悉网络安全设计并实施完整的网络安全解决方案，以降低损失和攻击风险。在Internet和局域网络中，路由器、交换机和应用程序，乃至管理不严格的安全设备，都可能成为遭受攻击的目标。网络必须全力以赴加强戒备，以防止来自黑客、外来者甚至心怀不满的员工对信息安全、信息完整性以及日常业务操作的威胁。 ●熟悉网络操作系统熟悉Windows和Linux操作系统，具备使用高级的Windows和Linux平台，为企业提供成功的设计、实施和管理商业解决方案的能力。 ●了解Web数据库了解Web数据库的基本原理，能够围绕Web数据库系统开展实施与管理工作，实现对企业数据的综合应用。网管的素质能力一个真正的网管，应当对网络硬件和操作系统都有较为深入的了解。也就是说，作为网管，应当熟悉网络设备的性能、连接与配置，掌握网络服务的搭建、配置与管理，深入了解网络协议和网络安全，熟练使用网络诊断软件工具，及时排除网络故障。 ●自学能力网管应当拥有强烈的求知欲和非常强的自学能力。第一，网络知识和网络技术不断更新，需要继续学习的内容非常多。第二，学校课本知识大多过于陈旧，并且脱离于网络管理实际，许多知识都要从头学起。第三，网络设备和操作系统非常繁杂，各自拥有不同的优点，适用于不同的环境和需求，需要全面了解、重点掌握。 ●英文阅读能力由于绝大多数新的理论和技术都是英文资料，网络设备和管理软件说明书大多也是英文，所以，网管必须掌握大量的计算机专业词汇，从而能够流畅地阅读原版的白皮书和技术资料。提高阅读能力最简单的方法，就是先选择自己熟悉的技术，然后，登录到厂商的官方网站，阅读技术白皮书，从而了解技术文档的表述方式。遇到生词时，可以使用电子词典在线翻译。 ●动手能力作为网管，需要亲自动手的时候非常多，如网络设备的连接、网络服务的搭建、交换机和路由器的设置、综合布线的实施、服务器扩容与升级，等等。所以，网管必须拥有一双灵巧的手，具备很强的动手能力。当然，事先应认真阅读技术手册，并进行必要的理论准备。 ●创造和应变能力硬件设备、管理工具、应用软件所提供的直接功能往往是有限的，而网络需求却是无限的。利用有限的功能满足无限的需要，就要求网管具有较强的应变能力，利用现有的功能、手段和技术，创造性的实现各种复杂的功能，满足用户各种需求。以访问列表为例，利用对端口的限制，除了可以限制对网络服务的访问外，还可用于限制蠕虫病毒的传播。