【51CTO.com 综合报道】尽管RSA 2010大会已经结束了,但是很多精彩的演讲内容还是值得我们去深思和探讨的。那么,51CTO作为特邀媒体,参加了这次大会,并进行了相关的报道,在这里我们来一起回顾下网康科技首席执行官袁沈钢,所带来的关于《语音计算对合规性及网络质量的挑战》的演讲吧。更多内容请参阅RSA 2010信息安全国际论坛专题报道。
袁沈钢:各位先生女士下午好,很荣幸有这个机会在中国参加RSA的论坛,我参加RSA已经有八年了,我们每年都参加RSA的展览,今年能够有幸在北京参加RSA国际论坛,包括能够在这做个演讲是非常的高兴,我大概讲30到40分钟,之后请大家多多讨论。
论坛在组织的时候并没有完全限定要讲什么,我是到最后主办方告诉我可以讲云计算合规性和网络质量的内容,云计算跟可信计算都是原有的技术的延伸,无外乎是希望通过云计算的模式,以后可以让计算像电厂和自来水厂一样给人们提供随需的供应,那么有两件事,第一提出这种模式实际上是有大的客户和社会背景的需求;第二有了需求之后还得落实到两件事上,就是技术支撑上,在技术支撑上主要是两个技术支撑,第一云端的技术支撑,技术支撑如何从可计算的提供足够的性能,包括安全性;另外一个支撑就是网络支撑,在这其中的云计算的合规性的网络的问题,实际上是网络社会化的大背景,那么云计算从合规性的角度来说,云计算的模式我称之为网络的社会化,网络的社会化是原来的网络都是孤立的信息岛,而现在的网络由于有了互联网的模式,包括云计算的模式,人们在单位企业和工作环境当中所干的事情和在家干的事情相互之间更模糊了。
在相关报道中表明,人们越来越可以随意随需地在任何的时间地点拿到他所需要的信息和资源了,每天可以用2.9个小时做不合规的网络应用,用得最多的实际上是聊天;据调查,实际的企业的情况,每天一个人一个小时,总共一天八小时,挂在网上的时间干不合规的事情,从企业的角度来说或者从企业单位的角度来说可以达到2.9个小时。
第二,同样是这个单位如果是从企业内容的合规现状来分析,违反规定的东西文件传输大概占了2%,上网行为管理中最大的挑战是网页,网页是30%,主要是做跟工作无相关的事情,另外是邮件和聊天上,内容合规度的情况,这是从行为角度来看的,第二我们看网络的社会化之后包括云计算提出来之后,网络在传输的时候也有合规性的问题,这个合规性主要是有两个方面,第一方面什么样的应用能够在我的社会化的网络当中,包括一个私有网络跟云所发生的交互性当中什么样的应用是合规的,第二点,在交互的过程如何让合规的应用能够保证顺畅的交互,而不合规的应用能够进行控制和管理,实际上最大的是占25%的情况它是迅雷的流量,迅雷的流量我今天坐地铁到国贸的时候,旁边有一个年轻人他是用苹果电脑在看电影,每天上班看一个电影,下班看一个电影,那么用什么做数据的传递呢?实际上就是2%的迅雷在解决这个问题。
我们抛开社会化的问题,单纯从企业的合规性的角度来说和带宽利用的角度,合规性的挑战是蛮大的,四分之一的带宽可能是帮助他下载电影,下班之后在路上看这个电影,这是从带宽的角度来说;同时有效的应用无法进行带宽上的保证,这是从合规性的角度来说,它的传输的质量,特别是视频会议,如果现在都是分布在全国的,我们无论使用柯达、中兴、华为的视频系统,当迅雷这些软件在抢带宽的时候,网络传输的质量是无法保证的。所以从另外的角度,合规性一个是内容和行为的角度,一个角度是应用的可控性角度。
整个大背景,云计算提出了网络的社会化问题,整个的大背景是怎样的呢?现在网络资源80%以上都饱和,在此之前,直到1993年还没有互联网的问题,那时候基本上是数据的传输,网络没有社会化,数据一定都是有用的,而且知道双端之间有可信任性,那么不需要进行智能鉴别。现在到了互联网阶段,它实际上网际互联主要是解决三层的互联的内容,这时候影响的人数并不很多,但是2003年它实际上催生了内容的智能获取,我们在建立云计算的模式,网络的社会化模式,实际上整个的大背景是我们现在的社会人和互联网已经密切构成了另外的虚拟世界了,人和互联网发生了密切的交互,我相信由于3G的普及和三网融合的普及,原来的互联网影响的是4.2亿中国网民,以后可以想象到大概是影响到10到12亿的中国的网民,所有的人都挂在网上,而且大量地使用云计算的SAS的东西,有公有和私有的云,在这个背景下在网络的社会化在合规性和网络的挑战性给我们提出了巨大的挑战。
在人际互联网时期,云计算会成为坚实的基础,云计算主要是结果适应网络化,原来的网络我们称之为“农耕”时代,每个人都是子给自足,我自己架一个服务器,自己架一个邮件服务器干各种各样的事情,我种的粮食一定可以自己消耗我也不卖给别人,但未来的云计算,网络社会化之后要求应用的使用者和通过网络跟各种各样的数据中心进行大规模的长期的高质量的安全的有效的交互,包括数据的存储,这个时候人快速获得自己预期的数据必然成为关键,什么数据是好的数据,这就决定了要有可见性和可控性,你要知道云计算传输的数据和内容是可鉴别的,要知道传输的方向,这时候才可以说云计算成为人际互联网的基础。
云计算有两个关键性的技术,第一是云端技术,还有传输技术,在云网格中大量的数据存储在云网格或者云端当中,但是目前来看,我们还是从TE狭窄的通道来进行获取,人们在有限的带宽中如何合理地安全地使用这个带宽,这是第一个挑战。未来的网络传输的问题会更大,因为现在已经开始不仅人在上网,设备也在上网,我们在做物联网上的事情,大量的数据在网络中进行传输;前些日子是有一篇文章说,网络带宽以后就是黑金,以后带宽就像资源一样,特别是无线的带宽。即将到来物联网加大了传输的压力,无线传输物理带宽传输的限制必然要求未来不仅在互联网对它进行质量的保证和控制,特别是以后的无线网络当中,更需要鉴别传输的质量,传输的带宽物理上已经限定得非常的清楚,不可能超过物理频谱的带宽。
云计算还带来一些什么问题呢?我们可以看到,原来是一个个称之为小的农庄,现在既有公有的云还有私有的云,内容是纷繁复杂的,哪些合规,那些不合规,云有白云、有乌云,从另外的角度来讲,这个时候如何鉴别云,包括控制云的传输,以及一些内容一旦进入云之后,比如说现在发表的各种帖子,一旦进入云之后实际上信息是不可控的,包括谁发的,哪些信息是真的假的,是不可控的,其中有一个电影,一旦我们叫“黑客世界”,一旦网络启动之后没有人可以关闭掉它,就是说一旦信息和网络启动后整个网络和云已经处于不可控的阶段了,那么如何来建立云的安全性呢?
我现在所给大家展示的是一些在云计算的模式下,我们倒过来来看过去网络所展现的信息,云计算下最上层还是应用层的内容,云计算内容的智能分发要求这一层成为最关键的内容,而且它所带来的隐患第一是安全性的、一个是传输质量,传统的意义上大量的技术都是在做物理链路层、数据层和网络层的东西,而现在大量在做应用层的而且,特别是云计算下智能的分发,什么样的内容能够进入云,海量的数据的传递的合规性和质量的保证,成为云计算模式下内容的智能分发的关键。内容的智能分发有哪些关键性的技术?
第一根据智能分发我们提出了一种模型,在云的模式性称之为可控的智能分发的模型,这个模型的核心是七层内容的洞察力,原来的网络是物理链路层,我们只要看数据从这个IP传到那个IP就可以了,但是现在不是简简单单看TCP/IP的五元组,而且我要知道这个数据传给谁,包括数据的鉴别整个七层的洞察力,可以看到用户名、应用,包括内容,我们首先做的是在云计算模式下内容的智能分发,第一要七重可见,如果仅仅是在网络层的五元组已经不能够适应了。第二在可见的基础上要做可控,就是行为可控,行为可控涉及到监控,谁在做什么事情,事后的审计,包括数据的发出及时的告警产生警报,同时还有路径管理,访问控制,带宽控制,以及配额控制,从这几个角度来进行行为控制,包括应用的控制才能说我能够开始向智能分发来做,第一是可见,第二是可控,可控是控制内容,要控人、应用,三者可控才能构成整体的架构,在这个基础上我们称之为可以做很多商业智能的内容,因为做到的可见、可控之后,基于大量的信息可以做很多商业智能的行为,比如说第一级事件查询,谁发的,什么时间发的,发给谁了?这是事件的查询,包括多个时间的会话的关联,包括行为规律,包括数据的及时的告警,通过这些告警之后又能够产生行为规律的判断,包括进行商务上的决策,比如说企业内部根据网络、内容行为,包括整个的网络的流量的分布和规律,在做商务决策的时候是扩还是不扩带宽,是不是加服务器,视频会议系统到底占了多大的带宽,应该怎么进行带宽和数据中心的分布,只有可见可控之后才能合理地建立你的云计算模式下的IT的架构,设备的架构、网络的架构,包括人员的组织架构。
基于智能为内容的商务决策提供一些判断,包括各方面的信息的防泄漏的安全的判断,我们称之为可见、可控、进行商务的智能的判断,我们目前认为在七层内容的洞察和行为监控方面技术方等各方面已经取得了长足的进步,我们也在加大投入,只有这样才能够保证在云计算的模式下的合规性,包括IT技术对企业整个投入的保障,可以说才能增加客户的黏性,也就是说企业使用IT技术的黏性。
在三者的基础之上最后是稳定可用,实际上涉及到集中的管理,灵活的部署,和整个HA的内容,这是内容在智能分发技术是这种技术模型,道理实际上很简单,我们实际上在过去用了接近15年的时间都是解决连通性的问题,实际上是连通什么?就是铺自来水管,实际上以后我们在做自来水流向了谁,怎么流好的事,过去十几年都在做建高速公路的事情,大家如何保证高速公路的合理合法合规,包括流量的畅通,这就是我们现在做的事情,基于我们可见、可控、可管之后才能时高速公路、自来水管更合规、更安全、高效地使用,来给云计算模式提供服务。这个模式有一个技术是智能的FI,它的核心是在云端进行服务和本地做的事情必须要有智能的内容鉴别的内容,要有信息鉴别的能力,才能够完成可控、可管的模型。
第二做完了内容的鉴别才能做内容的管理,才能够根据自己的情况做各种各样的设计、限额、阻断,包括机密信息的判断与报警,这是第一个技术难题,第二个难题是智能的XFI,是云端技术中除了对内容鉴别以外,还要做带宽的控制,还是要对应用进行鉴别,第二要智能地调度分发这些内容,来确保这些业务,实际上就是根据用户和路径和应用以及特点来进行智能的调度。
XFI这是原来针对DPI来做的东西,XFI是深度检测,除了做TCP还是做IP来做包检测,DFI是对多包检测,原来的技术已经不能适应新的云计算模式下对应用鉴别,特别是七重内容的识别的要求了,这时候我们做的事情是XPI,这是七层的识别,ICTVP的识别,包括整个的SAP特征内容的识别,UIL的识别,这是传统的DPI技术的识别,现在DFI在做跨包技术识别,因为迅雷等等要通过多个包来识别,我们在做包藏序列的识别,包括流特征,包括对隧道的识别;第三除了连续多包的识别,包之间已经建立了连接之后还要有连接的关联性,比如说FTP或者是很多的视频会议还有连接的关键性,一般都建立两个以上的通道,包括用户属性的识别,最后除了跨连接的识别以外还要做跨用户的识别,比如说你已经识别了一个跨连接视频会议等等的内容,另外用户再建立这个连接以后应该可以迅速地识别,通过缓存来识别出用户在干什么,现在的识别不是简简单单DPI、DFI,而应该是XPI,这样我们产生的结果应用的类似,我们知道在七层中应用的属性是什么,第二可以发现应用的内容类型和内容属性,这是我们可以做到的。
整个的XPI的过程,数据包来了之后我们有SPI的引擎,我们有连续特征的引擎,有数据包的引擎,有用户的引擎,最后要产生七重可见的结果,原来的DPI、DFI,在这样的情况下还不足以完整地实现快速的高性能的七重可见,在这个基础上还要做用户的特征的识别,另外是跨用户特征的库的识别,来产生整个的对七层的可建性。
在人际互联网之下利用我们的技术,可以看到的无论是国际市场还是国内市场,也产生了很多的这样的产品,这种产品适应云计算模式下的合规性和网络质量的挑战,我们称之为是行为管理、流量管理包括代理加速,所有的都有DPI的关键特点,都有身份的关键特征,但针对不同的场景它会强调的内容不一样,作为合规性的角度,作为审计和报警的角度来讲对行为的管理,信息的安全和鉴别,包括在这个基础之上对内容、人进行商业智能的分析,这方面的内容会强调得更多,而对流量的控制更强调应用质量的保障,在可见的基础上应用质量的保障,网络的优化和智能的流控,在国内很多地方都在大规模地推广视频会议系统,在视频会议系统中进行智能的流量管理带宽保障是很好的应用,它是适应云计算的模式,包括CBN的网络也可以适用,这个场景主要是在CBN网络中可以快速地解决网络质量的保证问题。
理想的云世界,或者理想的云安全是随需的业务,随需的计算和随需的存储,但是我觉得这个理想还是非常长的过程,目前我个人认为能够比较现实地看到比较好的模式是SAA模式,在这个模式下,企业内部开始大量地使用分布式的网络进行工作,这时候它要进行合规性的控制,网络流量的控制,包括安全性的加强,所以说未来可能我们在向云的计算模式走的时候,可以说公有云、私有云的结合,但不管怎么说发展的进程都需要高效的传递合规的内容,合规是从社会化来谈是否合规,政府、法律的角度,包括从个人的角度来谈是否合规这件事。#p#
提问环节
提问:重点是把内容管理起来,这就牵扯到隐私的问题,隐私的保护和内容管理如何结合起来。
袁沈钢:好的,这个问题很尖锐,我觉得这是两件事情,实际上提到的隐私性的问题在任何的社会都是普遍的挑战和现象,如果这个社会不交流、不沟通、不联络、不合作基本上每一个人都是隐私的,他都是在封闭的盒子中干一件事,但从另外的角度讲,只要在社会中一个企业中或者一个单位中,只要尽量交流和干各种各样的事情,一定是有些东西是隐私的,有些是不隐私的,所以有两个前提,第一个前提对隐私内容的鉴别的问题,第二个前提是对隐私场景的鉴别问题,这两个问题是非常大的问题。
就网络这个角度来讲,特别是由于网络的社会化,特别是又提出了云计算模式,人们时时刻刻在想,我把我的照片、私人档案等等都存到网上了,谁保证我的隐私和安全呢?这是对整个社会的新的挑战,但是在这个挑战的过程中,这实际上是平衡性的问题,没有绝对的对和错的问题,但是基本的问题是国家,特别是我们的宪法,要从法律层面保证个人的隐私性和安全性,这是第一件事;第二件事任何个人的隐私性和安全性,也不能侵犯一个组织和集体的合理的利益,这是两个内容,这两个内容要有一定的平衡性,如果是在家中,你在家中做的事情国家得从法律层面必须得保护你的隐私,而且要尊重你的隐私,不管有什么特殊的东西,但是从另外的角度中如果进入到一个社会和组织当中,就一定要有一定的规范来管理来制衡,而不是无政府的社会,所以说从这个角度来讲隐私具有平衡性,而且隐私性是随着社会的发展而发展的,不是静态的,实际上是动态的变化的过程中。
提问:有一个基本的原则,隐私是动态的,是有生命周期的;第二如何来鉴别隐私,隐私是由用户本身来定的。
袁沈钢:我发表一下个人的观点,就隐私的角度来说两件事,如果你认为这是隐私的,你有责任和义务把它保护好,包括你不告诉任何人,它就是隐私,从这个角度来说隐私就是属于自己的,但是从国家的法律层面的角度来讲,组织和社会的角度来讲,什么东西是公共的、大家道德范围内承认这是隐私的内容,你认为这是隐私的,他认为这不是隐私的,这时候作为保护隐私的组织社会和法律体系中如何来鉴别呢?这就有公共性的问题,任何的问题都是私和公之间是要有平衡性和公共性的关系。
提问:你提到的对包的内容和行为的检测,路由器和交换的设备已经成为一个瓶颈,在大的网络体系不会发生本质的改变的情况下,还要在中间的设备上做大规模的检测,请问是否对大规模应用之后的效率问题,是不是降低人们对网络的体验,本来已经是瓶颈了,把更加复杂的计算加入进去,这样是否会影响人们对网络的基本的体验,有没有模拟的实验和数据可以论证的?
袁沈钢:这个问题很好,实际上路由器和交换机主要是解决网络的连通性的问题,这个技术已经蛮成熟的,而且越来越高性能了,在现在的网络的情况下,我们去加入一个新的东西挑战性非常大,挑战性第一是必要性在不在,第二充分性在不在,必要性是指需求在不在,而且也是产品或者这项技术能不满足客户的需求,如果网络延迟非常大,放进去之后用户是得不偿失的,这是不行的,举个简单的例子,假设你用路由器和交换机建立了一个非常完美的高速的网络,但在一百个用户当中如果有十个用户进行大规模的迅雷下载的时候,那无法进行ERP或者是视频会议的保障,延迟和马赛克各种各样的东西都会来了,这个时候会觉得原来我面临的巨大的挑战是其他的人进行了不合规的应用来影响我网络的交互性,这时候我能够让你七层可见,包括针对业务需求来进行控制管理,一般现在的视频会议是2.3兆就够了,别人只要不抢这2.3兆基本上可以保证带宽,第二是延迟性,我们做过实验,基本上在10到40毫秒之间,这个时候基本上延迟性就不会造成太大的影响,这是我们现在所做的研究。所以说要去判断这件事,如果世界是平安无事的,我们不需要军队和警察,但是世界并不是平静的。
提问:有人把存储比喻成在银行存钱,我觉得是不一样的,存钱主要是数字,具体的人民币的编号没什么太大的关注;那么存数据这个差别就很大了。我的问题是像网康科技公司,你们采用什么技术手段让员工不看一些不该看的内容;第二个问题,有没有什么制度来约束员工一些私秘信息的外泄,这也是云计算和云存储和很多的企业都共同面临的问题。
袁沈钢:我觉得上午的比喻很好(武汉大学张教授的比喻),“云计算模式下能否办出银行的模式来。这件事我们的企业界、学术界和政府都可以来探讨,举个例子,既然我们国家的银行都是政府办的,那好了工信部也办一个云存储银行好了,每个中国的纳税人都掏了钱了,给大家办这个东西这不也挺好的,中国立马超过了韩国了,中国把云技术都普及到每个人了,这不是很好吗。但是我觉得私密性和安全性,就网康科技本身来说,我们用自己的产品主要做两件事,第一是全国各地有办事处所以我们进行视频会议的保障,因为我们每周每月都要开会;另外,我们并不对自己内部进行大量的管理,但是我们时刻保持监控的权力,以保持告警性;第三,大家一上网我们先进行认证,这是我们做的事情,我们并不对传统意义上的邮件进行大规模的监测,我们需要实验各种各样的通讯协议,我们无法进行强检,因为我们内部的测试和开发太多了。
提问:今天讲就是人际互联,这个模式一学习起来,如果员工获得了这些信息,你们公司有没有对员工的教育和约束呢?
袁沈钢:我们还没有大规模地做这件事,在互联网的情况下在通讯的情况下私密性的问题,现代问题的私密性是越来越少而不是越来越多的,但是是必须到了某一个点必须要保护的,这也因企业而议,因为在组织和社会中用的网络和计算机都是企业的,你的8小时的时间就应该干企业所交给你的工作,至于说其他的是法律层面的问题了。
提问:请教一下袁先生,你讲的包括七层可见,现在做内容做监管做合规有很多工作已经在做了,我的问题是,这样一个智能内容管理,从底层到高层你认为在什么层面可以形成标准(国际和行业的标准),因为不形成标准一层叠加一层的应用,这个可行性如何?
袁沈钢:这个问题很有挑战,我觉得有几件事,在中国形成一个标准有两种可能性,一种可能性是这个技术政府非常喜欢使用,或者想进行大规模推广,这个时候政府会积极地参与来主导这个事情,某种程度上这也是中国好的地方也是中国不好的地方,政府如果选对了做好了这件事,迅速地推动这方面的标准会加速这方面的产业的发展和升级,这是好的方面;不好的方面是,这个标准的制定谁有权来说,或者谁更聪明可以做好这件事,实际上是难度很大的事情,比较可见的事情,今天早上有一个发言人讲的事情可能是很好的鉴别,美国政府在做标准的时候,实际上跟企业界做的标准是不同的,美国政府组织密码学家进行讨论,然后把意见传达给政府然后和政府进行交流和互动,如果在中国学术界、政府和企业界迅速地构建出一种可交流的管道和通道那么这个标准的制定会起到加速的作用,另外就是看产品的普及的广度,如果产品需求越来越大它的标准性也会加速。
提问:前面也讲到了互联网到人际互联网中间也有一个瓶颈,现在这个瓶颈有一批网络的设备供应商现在来做,你认为你现在的产品和他们将来是怎样的关系呢?是否可以合而为一吗?如果能够去占有广大的市场你会怎样去部署?
袁沈钢:我回国六年了我对这个市场是非常有信心,这个信心是来自于我认为网络的发展是一层层发展的,包括我们提出的云计算模式代表着网络的社会化模式,现在的发展最重要最活跃和最好的地方是在网络的应用层,网络的应用层发展之后在这个领域可以说是涉及到了应用、人、内容,在这个领域中国的企业,包括中国研究和技术具有先进性的优势,因为涉及到语言、文字、法规,和用户的使用习惯和场景,这其中中国的企业有巨大的发展空间,另外的角度由于网络的分层性,我认为每两层可以构成一个产业,物理层和链路层可以构成一个产业,比如说当年的AT&T,3、4层可以构成一个产业,包括人和内容这一层又构成一个产业,这个产品已经开始脱离TCP/IP传统的标准,到了应用层标准性开始弱化,大概得需要3到5年的时间产生业界的领导者,包括客户的广泛使用才能够产生这些标准。
【编辑推荐】
