對任何IT部門來說，識別并阻止網(wǎng)絡威脅都是一場艱苦的戰(zhàn)斗。而對于RIT這種規(guī)模的大學來說，BYOD是常態(tài)，活躍用戶數(shù)量一般在16,000到21,000之間，所以，既要保護網(wǎng)絡安全，還要尊重學術自由，這使得工作更具挑戰(zhàn)性。

有這么多的用戶，尤其是有很多精通技術的用戶，那么您認為目前面臨的最大挑戰(zhàn)是什么?

Sidney Pendelberry：連接到網(wǎng)絡上的設備數(shù)量不斷激增。很多學生都是第一次踏入大學校園，就像我小時候黑白電視機換成彩電一樣。

以前我們還可以控制計算機設備，所以所有的APP都很安全。而現(xiàn)在是在大學，BYOD是整個網(wǎng)絡的心臟和靈魂。每個人都用自己的設備。我們有一個B級網(wǎng)絡，需要管理65000個IP地址。而且沒有防火墻，沒有ISP提供任何保護。如果你的IP正好在B級網(wǎng)絡的129.21，我們還能阻止一些不安全的操作，但是又不得不格外小心，因為得確定不會侵犯學術自由。

但是，網(wǎng)絡威脅還是時常。很多新生第一次設置自己的網(wǎng)頁，他們運行Apache，但是他們卻從來都不設置防火墻，所以他們可能很快就遭到攻擊，而我們要做的就是盡可能關閉那些可能威脅網(wǎng)絡的網(wǎng)站。我們還要求學生做重要的事情時使用RIT自己的網(wǎng)絡。每天上午，大約3%到4%的學生會就會占用到80%的帶寬，所以我們還會做一些帶寬管控。

另外，我們還一直在徹底清除XP系統(tǒng)登錄網(wǎng)絡。關于身份認證的問題也很讓人頭疼，因為有很多不同的系統(tǒng)，而且他們都有自己的獨立密碼。所以想找到最合適的總會需要NTLMv2，雖然很難，但是我們在盡力做。我們有很多的舊的實驗室設備需要連接到網(wǎng)絡上，比如一些舊的投影儀之類的設備，它們的安全很難保護。打印也很難防御。雖然我不知道具體是什么情況，但是我知道大的打印機廠商在提到安全防護的時候都會含糊其辭，無論是惠普、施樂還是其它的廠家。網(wǎng)絡威脅一直都是個難題。因為沒有防火墻，所以很多設備都采取端點保護方式。所以我們做很多用戶安全意識教育以及網(wǎng)絡掃描，來確保把安全漏洞降至最低。

用戶安全意識培訓和漏洞掃描，您認為哪種方式對于防御網(wǎng)絡威脅更有效?

Sidney Pendelberry：這取決于是哪些用戶。學生在安全意識方面就做的很好，尤其是在接受教育以后。同樣，我們給員工和老師做同樣的培訓好幾次，但是效果都不好。

幾年前我們做過一個簡單的統(tǒng)計：處理員工或教員遇到的網(wǎng)絡釣魚需要花費多少錢?結果證明，將近14,000美元。很多人收到網(wǎng)絡釣魚的郵件，通常都會打開看看。一旦這樣就可以讀取你的郵箱里的所有信息，即使你什么都不填。這時候，我們就不得不重置郵箱，確保個人信息不被竊取，這樣就形成了報告問題。然后我們還要請求用戶原諒，因為我們沒能阻止網(wǎng)絡釣魚事件發(fā)生。如果不能確定攻擊向量，有時我們也會做一些安全調查，當然不只是關于郵箱的。幸虧這種網(wǎng)絡威脅隨著時間的推移已經(jīng)越來越少了，但是我們還是需要注意。

那么您現(xiàn)在在做哪些網(wǎng)絡項目?

Sidney Pendelberry：最大的問題就是電源，我們有很多方法報告和控制電力消耗。但我們并不想監(jiān)控個人用戶。因為那會涉及到很多問題。畢竟我們沒有權利管理個人用戶的數(shù)據(jù)，如果我們給學生發(fā)個提醒說：‘我們一直在監(jiān)控你的活動，你用了太多電。’學生們一定很害怕。我們是想保護他們，不想嚇到他們。我們也沒有堅持做日志，只做極少量必要的日志。當然，如果需要，我們會繼續(xù)做，如果沒必要，我們就不做。

我自己會做一些大數(shù)據(jù)。RIT想跟蹤我們已經(jīng)監(jiān)控的環(huán)境和樓宇條件，比如溫度、濕度、氣流以及其它外部條件，調度數(shù)據(jù)和網(wǎng)絡可利用數(shù)據(jù)，以給RIT的冷卻和加熱需求一個準確的需求模型。

具體來說，無線AP的累計會話數(shù)據(jù)可以幫我們判斷實時使用情況，而不是溫度傳感器提供的潛在反應，這樣用戶進入或離開大樓時你能更好的監(jiān)測。比如，你可以早上給大樓加熱。但是隨著人們陸續(xù)進入，會產(chǎn)生很多熱量和濕度。而晚上的時候，就可以給大樓降溫了。這樣你可以更有效的控制大樓環(huán)境，用戶連接到網(wǎng)絡上的移動設備對于大樓使用情況來說，是個巨大的指標。像SDN這種新技術大大改變了這個領域。

作為RIT的輔導員，它對您的課程有什么影響嗎?

Sidney Pendelberry：課程一直在變。這就是最難的，今天的東西拿到明天就不能用了，所以實驗也需要不斷的改。以前我很喜歡做未打補丁的Windows XP實驗，可以演示密碼破解的過程，但是現(xiàn)在不能做了。可能現(xiàn)在連這種系統(tǒng)都不能用了。

現(xiàn)在最重要的事情就是配置管理。我們會花費很多時間配置SCCM、Puppet或者Chef。活動目錄數(shù)量非常大，所以需要LDAP。關于身份驗證方法，Kerberos是最大的標準，而且已經(jīng)普遍應用。但是隨后我們又遇到像Shibboleth這種實施問題和一些以網(wǎng)絡為中心的認證問題，它們都是在不斷演變的。

軟件定義網(wǎng)絡非常重要。我們的網(wǎng)絡環(huán)境已經(jīng)應用了SDN。而且我們有一個非常穩(wěn)固的云環(huán)境。我們做很多云內聯(lián)網(wǎng)，事實證明值得做。我們還有很多邊緣設備以及虛擬化的交換機和路由器。在一些實驗中，學生們做的第一件事就是設置一個虛擬子網(wǎng)，不管是用pfSense還是Vyatta，基本上都有自己的虛擬網(wǎng)絡。很多學生都是大三或者大四才做這種實驗的。但是也有一些學生第二學年就開始選修這個課程，為他們實習打好基礎。

您是怎么進入IT和專用網(wǎng)絡領域的?

Sidney Pendelberry：這其實是個意外。1999年到2000年，我在施樂公司做系統(tǒng)工程師。后來有一個人和我都想創(chuàng)業(yè)，就成立了UniteU Technologies。當時他剛剛拿到羅切斯特大學西蒙商學院的MBA學位，我也剛考上RIT大學的系統(tǒng)工程師碩士。后來，我做技術，他做管理，我們一起創(chuàng)辦了UniteU Technologies。這個公司現(xiàn)在還在，大約有三四十人，是一個POS集成公司。

我以前從來沒有看見過路由器，所以我不得不買一個裝上了。我們的業(yè)務發(fā)展起來以后我就離開了施樂公司，但是那段時間真的很難。我每天工作16個小時，我還放棄了原來豐厚的薪水。后來我妻子說我太傻了，所以我就又找了一份工作，就到了RIT。

最后一個問題：除了科技，您最大的愛好是什么?

Sidney Pendelberry：我是一個戶外型的人。我經(jīng)常徒步旅行。周末的時候，我會把手機放在家里，帶著孩子和狗一起去徒步，我很享受那種狀態(tài)。