对任何IT部门来说，识别并阻止网络威胁都是一场艰苦的战斗。而对于RIT这种规模的大学来说，BYOD是常态，活跃用户数量一般在16,000到21,000之间，所以，既要保护网络安全，还要尊重学术自由，这使得工作更具挑战性。

　　有这么多的用户，尤其是有很多精通技术的用户，那么您认为目前面临的最大挑战是什么?

　　Sidney Pendelberry：连接到网络上的设备数量不断激增。很多学生都是第一次踏入大学校园，就像我小时候黑白电视机换成彩电一样。

　　以前我们还可以控制计算机设备，所以所有的APP都很安全。而现在是在大学，BYOD是整个网络的心脏和灵魂。每个人都用自己的设备。我们有一个B级网络，需要管理65000个IP地址。而且没有防火墙，没有ISP提供任何保护。如果你的IP正好在B级网络的129.21，我们还能阻止一些不安全的操作，但是又不得不格外小心，因为得确定不会侵犯学术自由。

　　但是，网络威胁还是时常。很多新生第一次设置自己的网页，他们运行Apache，但是他们却从来都不设置防火墙，所以他们可能很快就遭到攻击，而我们要做的就是尽可能关闭那些可能威胁网络的网站。我们还要求学生做重要的事情时使用RIT自己的网络。每天上午，大约3%到4%的学生会就会占用到80%的带宽，所以我们还会做一些带宽管控。

　　另外，我们还一直在彻底清除XP系统登录网络。关于身份认证的问题也很让人头疼，因为有很多不同的系统，而且他们都有自己的独立密码。所以想找到最合适的总会需要NTLMv2，虽然很难，但是我们在尽力做。我们有很多的旧的实验室设备需要连接到网络上，比如一些旧的投影仪之类的设备，它们的安全很难保护。打印也很难防御。虽然我不知道具体是什么情况，但是我知道大的打印机厂商在提到安全防护的时候都会含糊其辞，无论是惠普、施乐还是其它的厂家。网络威胁一直都是个难题。因为没有防火墙，所以很多设备都采取端点保护方式。所以我们做很多用户安全意识教育以及网络扫描，来确保把安全漏洞降至最低。

　　用户安全意识培训和漏洞扫描，您认为哪种方式对于防御网络威胁更有效?

　　Sidney Pendelberry：这取决于是哪些用户。学生在安全意识方面就做的很好，尤其是在接受教育以后。同样，我们给员工和老师做同样的培训好几次，但是效果都不好。

　　几年前我们做过一个简单的统计：处理员工或教员遇到的网络钓鱼需要花费多少钱?结果证明，将近14,000美元。很多人收到网络钓鱼的邮件，通常都会打开看看。一旦这样就可以读取你的邮箱里的所有信息，即使你什么都不填。这时候，我们就不得不重置邮箱，确保个人信息不被窃取，这样就形成了报告问题。然后我们还要请求用户原谅，因为我们没能阻止网络钓鱼事件发生。如果不能确定攻击向量，有时我们也会做一些安全调查，当然不只是关于邮箱的。幸亏这种网络威胁随着时间的推移已经越来越少了，但是我们还是需要注意。

　　那么您现在在做哪些网络项目?

　　Sidney Pendelberry：最大的问题就是电源，我们有很多方法报告和控制电力消耗。但我们并不想监控个人用户。因为那会涉及到很多问题。毕竟我们没有权利管理个人用户的数据，如果我们给学生发个提醒说：‘我们一直在监控你的活动，你用了太多电。’学生们一定很害怕。我们是想保护他们，不想吓到他们。我们也没有坚持做日志，只做极少量必要的日志。当然，如果需要，我们会继续做，如果没必要，我们就不做。

　　我自己会做一些大数据。RIT想跟踪我们已经监控的环境和楼宇条件，比如温度、湿度、气流以及其它外部条件，调度数据和网络可利用数据，以给RIT的冷却和加热需求一个准确的需求模型。

　　具体来说，无线AP的累计会话数据可以帮我们判断实时使用情况，而不是温度传感器提供的潜在反应，这样用户进入或离开大楼时你能更好的监测。比如，你可以早上给大楼加热。但是随着人们陆续进入，会产生很多热量和湿度。而晚上的时候，就可以给大楼降温了。这样你可以更有效的控制大楼环境，用户连接到网络上的移动设备对于大楼使用情况来说，是个巨大的指标。像SDN这种新技术大大改变了这个领域。

　　作为RIT的辅导员，它对您的课程有什么影响吗?

　　Sidney Pendelberry：课程一直在变。这就是最难的，今天的东西拿到明天就不能用了，所以实验也需要不断的改。以前我很喜欢做未打补丁的Windows XP实验，可以演示密码破解的过程，但是现在不能做了。可能现在连这种系统都不能用了。

　　现在最重要的事情就是配置管理。我们会花费很多时间配置SCCM、Puppet或者Chef。活动目录数量非常大，所以需要LDAP。关于身份验证方法，Kerberos是最大的标准，而且已经普遍应用。但是随后我们又遇到像Shibboleth这种实施问题和一些以网络为中心的认证问题，它们都是在不断演变的。

　　软件定义网络非常重要。我们的网络环境已经应用了SDN。而且我们有一个非常稳固的云环境。我们做很多云内联网，事实证明值得做。我们还有很多边缘设备以及虚拟化的交换机和路由器。在一些实验中，学生们做的第一件事就是设置一个虚拟子网，不管是用pfSense还是Vyatta，基本上都有自己的虚拟网络。很多学生都是大三或者大四才做这种实验的。但是也有一些学生第二学年就开始选修这个课程，为他们实习打好基础。

　　您是怎么进入IT和专用网络领域的?

　　Sidney Pendelberry：这其实是个意外。1999年到2000年，我在施乐公司做系统工程师。后来有一个人和我都想创业，就成立了UniteU Technologies。当时他刚刚拿到罗切斯特大学西蒙商学院的MBA学位，我也刚考上RIT大学的系统工程师硕士。后来，我做技术，他做管理，我们一起创办了UniteU Technologies。这个公司现在还在，大约有三四十人，是一个POS集成公司。

　　我以前从来没有看见过路由器，所以我不得不买一个装上了。我们的业务发展起来以后我就离开了施乐公司，但是那段时间真的很难。我每天工作16个小时，我还放弃了原来丰厚的薪水。后来我妻子说我太傻了，所以我就又找了一份工作，就到了RIT。

　　最后一个问题：除了科技，您最大的爱好是什么?

　　Sidney Pendelberry：我是一个户外型的人。我经常徒步旅行。周末的时候，我会把手机放在家里，带着孩子和狗一起去徒步，我很享受那种状态。