信息化觀察網(wǎng)

武漢綠色網(wǎng)絡(luò)信息服務(wù)有限責(zé)任公司CEO

在剛剛結(jié)束的2019第四屆中國(guó)網(wǎng)絡(luò)信息安全峰會(huì)上，武漢綠色網(wǎng)絡(luò)信息服務(wù)有限責(zé)任公司CEO葉志鋼帶來(lái)了題為“網(wǎng)絡(luò)安全賦能邊緣計(jì)算”主題演講，以下是葉志鋼在會(huì)上的演講內(nèi)容實(shí)錄，未經(jīng)整理。

今天演講的主題主要是在運(yùn)營(yíng)商級(jí)別的網(wǎng)絡(luò)上實(shí)現(xiàn)網(wǎng)絡(luò)安全，采用邊緣計(jì)算的新理念。網(wǎng)絡(luò)安全和效率一定是一個(gè)矛盾體，我們主要是解決了工程上的問(wèn)題，工程上怎么在運(yùn)營(yíng)商的大網(wǎng)里把低成本，高效率把網(wǎng)絡(luò)安全實(shí)現(xiàn)起來(lái)，這個(gè)其實(shí)是一個(gè)非常難的難題。不僅是咱們中國(guó)電信，中國(guó)移動(dòng)，中國(guó)聯(lián)通，包括全球最大的運(yùn)營(yíng)商，所有的運(yùn)營(yíng)商網(wǎng)絡(luò)只解決了連通的問(wèn)題，并沒(méi)有解決安全問(wèn)題，我們上網(wǎng)是裸奔的，為什么不解決這個(gè)問(wèn)題，不是不愿意，從成本和效率上不合算，連通就可以賺到很多錢，沒(méi)必要提供網(wǎng)絡(luò)安全。剛才華三的曹總也講到網(wǎng)絡(luò)安全功能，主要在企業(yè)網(wǎng)。

安全生態(tài)的這些公司基本上在企業(yè)網(wǎng)里在運(yùn)行，只有極少數(shù)開(kāi)始在公網(wǎng)上跑安全應(yīng)用，接下來(lái)介紹一下我們這幾年做的技術(shù)上的積累。首先我們DPI產(chǎn)品有固網(wǎng)和移動(dòng)網(wǎng)，固網(wǎng)基本上在IDC里頭和城域網(wǎng)，相關(guān)產(chǎn)品已經(jīng)在中國(guó)電信31個(gè)省，160個(gè)地市和總共覆蓋了400T以上的流量，大概有404個(gè)機(jī)房，中國(guó)移動(dòng)，中國(guó)聯(lián)通也有較多的部署。

DPI產(chǎn)品給運(yùn)營(yíng)商帶來(lái)還是運(yùn)維方面的價(jià)值，同時(shí)也有一部分是國(guó)家信息安全的需求，網(wǎng)絡(luò)安全，注意信息安全和網(wǎng)絡(luò)安全其實(shí)是兩個(gè)不同的范疇。當(dāng)然今天這個(gè)主題是都點(diǎn)到了，咱們峰會(huì)的名字都點(diǎn)到了，信息安全和網(wǎng)絡(luò)安全這兩個(gè)范疇，網(wǎng)絡(luò)安全其實(shí)是沒(méi)有在運(yùn)營(yíng)商的網(wǎng)絡(luò)中運(yùn)行，剛才我已經(jīng)講到了。

接下來(lái)介紹一下，我們計(jì)劃采用通用架構(gòu)的計(jì)算平臺(tái)來(lái)解決DPI問(wèn)題，原有的網(wǎng)絡(luò)設(shè)備為什么不能開(kāi)啟網(wǎng)絡(luò)安全功能，因?yàn)樵械木W(wǎng)絡(luò)設(shè)備增加網(wǎng)絡(luò)安全功能非常復(fù)雜，成本很高，基于通用平臺(tái)的X86架構(gòu)，天生的計(jì)算靈活性非常強(qiáng)，但是性能是一個(gè)關(guān)鍵問(wèn)題，可靠性，穩(wěn)定性也是一個(gè)難點(diǎn)。

這個(gè)問(wèn)題其實(shí)已經(jīng)從底層解決了，我們?cè)?012年的時(shí)候已經(jīng)在上海電信大規(guī)模部署了基于X86的網(wǎng)絡(luò)設(shè)備，只實(shí)現(xiàn)了當(dāng)年已經(jīng)是非常不容易，現(xiàn)在看來(lái)只實(shí)現(xiàn)了基本的網(wǎng)絡(luò)流量轉(zhuǎn)發(fā)和分析能力，而且注意為什么到現(xiàn)在為止還是一個(gè)全球單一的最大案例呢？是因?yàn)樗谴未嬖贐I和CI之間，也就是說(shuō)上海電信在7年以前用一百臺(tái)PC覆蓋了2/3網(wǎng)絡(luò)帶寬，全部用一百臺(tái)PC轉(zhuǎn)發(fā)和控制。覆蓋了500個(gè)寬待用戶，因特爾告訴我們這是全球最大單一案例。一百臺(tái)PC穩(wěn)定運(yùn)行7年時(shí)間，去年2018年升級(jí)了一部分內(nèi)存，還在跑，大大顛覆了運(yùn)營(yíng)商認(rèn)為X86通用計(jì)算機(jī)不能用于城域網(wǎng)絡(luò)傳統(tǒng)的概念。

由于當(dāng)時(shí)的X86的性能和今天不能相比，處理能力只做比傳統(tǒng)的網(wǎng)絡(luò)設(shè)備稍多一點(diǎn)兒的功能，但7年以后到現(xiàn)在，X86的性能非常高了，現(xiàn)在百億的網(wǎng)卡很快能夠處理了。但是我們現(xiàn)在廣泛應(yīng)用部署的位置都是在類似像國(guó)際出口，運(yùn)營(yíng)商的結(jié)算互聯(lián)互通的結(jié)算出口和省網(wǎng)的出口，或者是城域，地級(jí)的出口。流量匯聚非常大，很難實(shí)現(xiàn)網(wǎng)絡(luò)安全能力，不是因?yàn)閯e的問(wèn)題，主要是因?yàn)槌杀镜脑颍€有一個(gè)同源同處的問(wèn)題，我們思考這個(gè)問(wèn)題，既然X86可以放在城域網(wǎng)跑DPI的功能，我們就可以實(shí)現(xiàn)網(wǎng)源能力，我們計(jì)劃用計(jì)算資源的一小部分，1/3來(lái)實(shí)現(xiàn)基本的網(wǎng)源能力，用大部分的計(jì)算資源，包括存儲(chǔ)資源來(lái)實(shí)現(xiàn)安全能力，而且我們實(shí)現(xiàn)網(wǎng)絡(luò)安全能力，我們是一個(gè)平臺(tái)，一個(gè)生態(tài)，不是解決所有網(wǎng)絡(luò)安全的功能，不可能把七百多家公司可能我認(rèn)為在我的視角來(lái)看無(wú)非就是三類，一類是基于終端的手機(jī)或者電腦的，一類基于云的，就是服務(wù)端的，另外一類是基于網(wǎng)絡(luò)的，基于網(wǎng)絡(luò)的公司也有很多，我們不可能基于網(wǎng)絡(luò)流量的所有安全業(yè)務(wù)全部來(lái)完成，但是我們可以形成一個(gè)生態(tài)。

這個(gè)生態(tài)其實(shí)最終生態(tài)還是基于運(yùn)營(yíng)商，我們給運(yùn)營(yíng)商提供基礎(chǔ)能力，也就是說(shuō)我們現(xiàn)在用X86通用服務(wù)器來(lái)為運(yùn)營(yíng)商最邊緣一側(cè)的一萬(wàn)用戶提供所有的網(wǎng)絡(luò)接入能力，同時(shí)實(shí)現(xiàn)安全能力。

我們核心是有一個(gè)叫SRME的超級(jí)規(guī)則引擎，這個(gè)引擎能夠?qū)崿F(xiàn)所有的信息安全和網(wǎng)絡(luò)安全的基礎(chǔ)業(yè)務(wù)。在今年的八展，主題是很火熱的5G，我們認(rèn)為未來(lái)5G的接入流量會(huì)非常大，會(huì)導(dǎo)致這個(gè)移網(wǎng)網(wǎng)絡(luò)流量接近甚至超過(guò)固網(wǎng)的流量，固、移融合是必然的趨勢(shì)。未來(lái)網(wǎng)絡(luò)一定會(huì)融合，我們把這個(gè)安全能力作為多接入邊緣計(jì)算MEC的功能賣點(diǎn)可以嵌入到這個(gè)系統(tǒng)，MEC一定是基于通用服務(wù)器，同時(shí)把這些能力也實(shí)現(xiàn)了，就有點(diǎn)像我們現(xiàn)在拿到的智能手機(jī)，以前手機(jī)主要功能就是打電話，發(fā)短信，現(xiàn)在重度應(yīng)用微信，互聯(lián)網(wǎng)金融，導(dǎo)航，都變成了一個(gè)內(nèi)嵌的功能，而且這個(gè)功能成本很低，因?yàn)槟慵虞d一個(gè)芯片和攝像頭就是幾美金，十幾美金的事，如果做成獨(dú)立的設(shè)備成本就非常高。

我們上海2012年產(chǎn)品是OEM給中興通訊替代到華為的設(shè)備，為什么選擇我們創(chuàng)新的解決方案，原因很簡(jiǎn)單？我?guī)退×怂那f(wàn)，首先成本是非常重要的。成本解決了以后，只是降價(jià)的話運(yùn)營(yíng)商不一定有這個(gè)動(dòng)力使用新技術(shù)，還有一個(gè)是能帶來(lái)多功能，可變化的能力是非常強(qiáng)的，七年以來(lái)這個(gè)產(chǎn)品只是軟件升級(jí)，但如果采用傳統(tǒng)的架構(gòu)一定會(huì)做一些推廣，要把原來(lái)的設(shè)備換掉。

還有一個(gè)問(wèn)題，直接能支撐國(guó)家信息安全的需求，因?yàn)槲覀児境巳筮\(yùn)營(yíng)商是我們客戶，像國(guó)家信息安全響應(yīng)中心核心的引擎也是我們支撐的，所以我們對(duì)運(yùn)營(yíng)商需求和國(guó)家信息安全都比較了解，但我們比較可惜的是還沒(méi)有看到在大網(wǎng)在網(wǎng)絡(luò)安全里跑起來(lái)，隨著5G，隨著物聯(lián)網(wǎng)應(yīng)用，智能家居上來(lái)以后，公網(wǎng)上的網(wǎng)絡(luò)安全就非常重要了。

這個(gè)引擎實(shí)現(xiàn)的功能和整個(gè)雙網(wǎng)融合的生態(tài)是需要一個(gè)較為漫長(zhǎng)的過(guò)程，就像在七年以前運(yùn)營(yíng)商不接受用X86的接受實(shí)現(xiàn)DPI，現(xiàn)在我認(rèn)為比當(dāng)時(shí)已經(jīng)要接受的多得多，認(rèn)為用通用的計(jì)算平臺(tái)來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)，至少在邊緣一側(cè)的網(wǎng)絡(luò)是完全沒(méi)有問(wèn)題的。核心網(wǎng)，固網(wǎng)的核心網(wǎng)還是IPA這種產(chǎn)品，但邊緣一側(cè)肯定是智能化解決方案有很大的用武之地。

同時(shí)，我們采用的國(guó)產(chǎn)化的海光處理器做試點(diǎn)，這個(gè)試點(diǎn)的效果我們認(rèn)為還是非常好的，原有國(guó)產(chǎn)化的平臺(tái)由于計(jì)算能力和網(wǎng)絡(luò)處理能力不太夠，原來(lái)我們認(rèn)為性能上頂不住，現(xiàn)在我們測(cè)試海光的處理器，CPU的核數(shù)高達(dá)128個(gè)核，我們用它單做DPI超過(guò)160GDPI，其中只用了64個(gè)核，另外64個(gè)核做畫單的處理。我們?cè)瓉?lái)是有一個(gè)非DPDK的解決方案，我們?cè)谶@個(gè)領(lǐng)域做了16年，原來(lái)我們有一套自己的解決方案，現(xiàn)在我們雙平臺(tái)都支持。

剛才提到了我們會(huì)用軟硬結(jié)合，固移結(jié)合，加上安全的方式，同時(shí)幫運(yùn)營(yíng)商大力解決成本問(wèn)題，把運(yùn)營(yíng)商的安全問(wèn)題解決掉。最后我花一點(diǎn)時(shí)間簡(jiǎn)單介紹一下我們綠網(wǎng)，我們武漢綠色網(wǎng)絡(luò)信息服務(wù)有限責(zé)任公司，我們的理念是因?yàn)閷Ｗ⑺詮?qiáng)大，實(shí)際上我們只干了一件事16年，就是在運(yùn)營(yíng)商的網(wǎng)絡(luò)里做深度包檢測(cè)，同時(shí)我們用深度包檢測(cè)技術(shù)來(lái)實(shí)現(xiàn)網(wǎng)源的功能。

我們目前全國(guó)大概有420個(gè)人，基本上服務(wù)對(duì)象主要是三大運(yùn)營(yíng)商，在中國(guó)電信市場(chǎng)占有率，這個(gè)類型，這個(gè)細(xì)分市場(chǎng)我們是最大的。我們證書里沒(méi)有提到我們有國(guó)家保密局的雙甲級(jí)，軟件和系統(tǒng)集成的資質(zhì)，在這個(gè)方面我們會(huì)結(jié)合運(yùn)營(yíng)商的需求和國(guó)家信息安全的需求提供我們完整的解決方案。

剛才也提到了，運(yùn)營(yíng)商主要是解決管道問(wèn)題的，當(dāng)然也希望向云方面滲透，這個(gè)管道目前一直在提智能管道，但為什么智能管道運(yùn)營(yíng)商提了十年了，但為什么沒(méi)有成功呢？主要原因是因?yàn)榛A(chǔ)計(jì)算架構(gòu)不是智能的?，F(xiàn)在隨著基礎(chǔ)計(jì)算架構(gòu)智能化以后，網(wǎng)絡(luò)是有可能變成智能化的。

智能化以后，能夠?yàn)檫\(yùn)營(yíng)商帶來(lái)一些提供安全服務(wù)增值的能力，這個(gè)是運(yùn)營(yíng)商比較希望看到的，同時(shí)國(guó)家信息安全和未來(lái)的網(wǎng)絡(luò)安全都能夠進(jìn)入這個(gè)平臺(tái)，能夠開(kāi)展更多的業(yè)務(wù)應(yīng)用。剛才前幾位演講者提到在主機(jī)層面或者基礎(chǔ)架構(gòu)上保證網(wǎng)絡(luò)安全，但現(xiàn)實(shí)是什么？剛才說(shuō)了運(yùn)營(yíng)商沒(méi)有給網(wǎng)絡(luò)提供有效的保護(hù)，所以說(shuō)網(wǎng)絡(luò)是裸奔的，同時(shí)不是所有的單位，所有的個(gè)人都會(huì)投入這么高的成本去解決單位里頭的安全問(wèn)題，剛才沈院士提到的像中央電視臺(tái)還有其他的一些機(jī)構(gòu)，用了較高成本來(lái)實(shí)現(xiàn)安全，這個(gè)方案一定是可行的。

但現(xiàn)網(wǎng)上是江湖，江湖上什么都有，人非常多，各種各樣的人，各種攻擊行為，而且各種未經(jīng)保護(hù)的設(shè)備非常多。所以說(shuō)把局域網(wǎng)里面的安全能力遷移到現(xiàn)網(wǎng)里來(lái)，并且形成一個(gè)新的生態(tài)，這個(gè)價(jià)值非常巨大。為什么基于企業(yè)網(wǎng)和智能網(wǎng)的安全設(shè)備這么貴？原因很簡(jiǎn)單，因?yàn)閱挝挥脩舫杀臼潜容^高的，因?yàn)橐粋€(gè)政企單位有幾百，幾千用戶是很大了，上萬(wàn)的非常少見(jiàn)。但對(duì)運(yùn)營(yíng)商來(lái)講，幾千人是非常小的末端的分支，如果用非常高昂的成本實(shí)現(xiàn)不可能，現(xiàn)在由于融合性的技術(shù)以后，完全可以做到這一點(diǎn)，這樣的話會(huì)大幅度攤薄應(yīng)用成本。想象一下中國(guó)有7億的網(wǎng)民，手機(jī)用戶，我一個(gè)朋友是做這方面的，他告訴我的數(shù)據(jù)在網(wǎng)用戶有12億，就算按5億算，用5億來(lái)平灘網(wǎng)絡(luò)安全技術(shù)，對(duì)網(wǎng)絡(luò)安全廠家和運(yùn)營(yíng)商進(jìn)行合作，這個(gè)總的收入會(huì)非常的高，所以有可能大幅度降低安全技術(shù)的應(yīng)用成本。

當(dāng)然，不是替代政企網(wǎng)絡(luò)內(nèi)部的，因?yàn)橛行﹫?chǎng)景是不一樣，所以我們認(rèn)為這個(gè)方向是非常有前景的，我們最近幾年投入了大量的資金和人力在這個(gè)方面做一些儲(chǔ)備。非常感謝大家聽(tīng)我分享，有機(jī)會(huì)可以來(lái)我們公司進(jìn)行合作，把相關(guān)好的安全產(chǎn)品整合在運(yùn)營(yíng)商的網(wǎng)絡(luò)里，謝謝大家。