叶志钢:网络安全赋能边缘计算

在刚刚结束的2019第四届中国网络信息安全峰会上,武汉绿色网络信息服务有限责任公司CEO叶志钢带来了题为“网络安全赋能边缘计算”主题演讲,以下是叶志钢在会上的演讲内容实录,未经整理。

武汉绿色网络信息服务有限责任公司CEO

在刚刚结束的2019第四届中国网络信息安全峰会上,武汉绿色网络信息服务有限责任公司CEO叶志钢带来了题为“网络安全赋能边缘计算”主题演讲,以下是叶志钢在会上的演讲内容实录,未经整理。

今天演讲的主题主要是在运营商级别的网络上实现网络安全,采用边缘计算的新理念。网络安全和效率一定是一个矛盾体,我们主要是解决了工程上的问题,工程上怎么在运营商的大网里把低成本,高效率把网络安全实现起来,这个其实是一个非常难的难题。不仅是咱们中国电信,中国移动,中国联通,包括全球最大的运营商,所有的运营商网络只解决了连通的问题,并没有解决安全问题,我们上网是裸奔的,为什么不解决这个问题,不是不愿意,从成本和效率上不合算,连通就可以赚到很多钱,没必要提供网络安全。刚才华三的曹总也讲到网络安全功能,主要在企业网。

安全生态的这些公司基本上在企业网里在运行,只有极少数开始在公网上跑安全应用,接下来介绍一下我们这几年做的技术上的积累。首先我们DPI产品有固网和移动网,固网基本上在IDC里头和城域网,相关产品已经在中国电信31个省,160个地市和总共覆盖了400T以上的流量,大概有404个机房,中国移动,中国联通也有较多的部署。

DPI产品给运营商带来还是运维方面的价值,同时也有一部分是国家信息安全的需求,网络安全,注意信息安全和网络安全其实是两个不同的范畴。当然今天这个主题是都点到了,咱们峰会的名字都点到了,信息安全和网络安全这两个范畴,网络安全其实是没有在运营商的网络中运行,刚才我已经讲到了。

接下来介绍一下,我们计划采用通用架构的计算平台来解决DPI问题,原有的网络设备为什么不能开启网络安全功能,因为原有的网络设备增加网络安全功能非常复杂,成本很高,基于通用平台的X86架构,天生的计算灵活性非常强,但是性能是一个关键问题,可靠性,稳定性也是一个难点。

这个问题其实已经从底层解决了,我们在2012年的时候已经在上海电信大规模部署了基于X86的网络设备,只实现了当年已经是非常不容易,现在看来只实现了基本的网络流量转发和分析能力,而且注意为什么到现在为止还是一个全球单一的最大案例呢?是因为他是串形存在BI和CI之间,也就是说上海电信在7年以前用一百台PC覆盖了2/3网络带宽,全部用一百台PC转发和控制。覆盖了500个宽待用户,因特尔告诉我们这是全球最大单一案例。一百台PC稳定运行7年时间,去年2018年升级了一部分内存,还在跑,大大颠覆了运营商认为X86通用计算机不能用于城域网络传统的概念。

由于当时的X86的性能和今天不能相比,处理能力只做比传统的网络设备稍多一点儿的功能,但7年以后到现在,X86的性能非常高了,现在百亿的网卡很快能够处理了。但是我们现在广泛应用部署的位置都是在类似像国际出口,运营商的结算互联互通的结算出口和省网的出口,或者是城域,地级的出口。流量汇聚非常大,很难实现网络安全能力,不是因为别的问题,主要是因为成本的原因,还有一个同源同处的问题,我们思考这个问题,既然X86可以放在城域网跑DPI的功能,我们就可以实现网源能力,我们计划用计算资源的一小部分,1/3来实现基本的网源能力,用大部分的计算资源,包括存储资源来实现安全能力,而且我们实现网络安全能力,我们是一个平台,一个生态,不是解决所有网络安全的功能,不可能把七百多家公司可能我认为在我的视角来看无非就是三类,一类是基于终端的手机或者电脑的,一类基于云的,就是服务端的,另外一类是基于网络的,基于网络的公司也有很多,我们不可能基于网络流量的所有安全业务全部来完成,但是我们可以形成一个生态。

这个生态其实最终生态还是基于运营商,我们给运营商提供基础能力,也就是说我们现在用X86通用服务器来为运营商最边缘一侧的一万用户提供所有的网络接入能力,同时实现安全能力。

我们核心是有一个叫SRME的超级规则引擎,这个引擎能够实现所有的信息安全和网络安全的基础业务。在今年的八展,主题是很火热的5G,我们认为未来5G的接入流量会非常大,会导致这个移网网络流量接近甚至超过固网的流量,固、移融合是必然的趋势。未来网络一定会融合,我们把这个安全能力作为多接入边缘计算MEC的功能卖点可以嵌入到这个系统,MEC一定是基于通用服务器,同时把这些能力也实现了,就有点像我们现在拿到的智能手机,以前手机主要功能就是打电话,发短信,现在重度应用微信,互联网金融,导航,都变成了一个内嵌的功能,而且这个功能成本很低,因为你加载一个芯片和摄像头就是几美金,十几美金的事,如果做成独立的设备成本就非常高。

我们上海2012年产品是OEM给中兴通讯替代到华为的设备,为什么选择我们创新的解决方案,原因很简单?我帮他省了四千万,首先成本是非常重要的。成本解决了以后,只是降价的话运营商不一定有这个动力使用新技术,还有一个是能带来多功能,可变化的能力是非常强的,七年以来这个产品只是软件升级,但如果采用传统的架构一定会做一些推广,要把原来的设备换掉。

还有一个问题,直接能支撑国家信息安全的需求,因为我们公司除了三大运营商是我们客户,像国家信息安全响应中心核心的引擎也是我们支撑的,所以我们对运营商需求和国家信息安全都比较了解,但我们比较可惜的是还没有看到在大网在网络安全里跑起来,随着5G,随着物联网应用,智能家居上来以后,公网上的网络安全就非常重要了。

这个引擎实现的功能和整个双网融合的生态是需要一个较为漫长的过程,就像在七年以前运营商不接受用X86的接受实现DPI,现在我认为比当时已经要接受的多得多,认为用通用的计算平台来实现网络,至少在边缘一侧的网络是完全没有问题的。核心网,固网的核心网还是IPA这种产品,但边缘一侧肯定是智能化解决方案有很大的用武之地。

同时,我们采用的国产化的海光处理器做试点,这个试点的效果我们认为还是非常好的,原有国产化的平台由于计算能力和网络处理能力不太够,原来我们认为性能上顶不住,现在我们测试海光的处理器,CPU的核数高达128个核,我们用它单做DPI超过160GDPI,其中只用了64个核,另外64个核做画单的处理。我们原来是有一个非DPDK的解决方案,我们在这个领域做了16年,原来我们有一套自己的解决方案,现在我们双平台都支持。

刚才提到了我们会用软硬结合,固移结合,加上安全的方式,同时帮运营商大力解决成本问题,把运营商的安全问题解决掉。最后我花一点时间简单介绍一下我们绿网,我们武汉绿色网络信息服务有限责任公司,我们的理念是因为专注所以强大,实际上我们只干了一件事16年,就是在运营商的网络里做深度包检测,同时我们用深度包检测技术来实现网源的功能。

我们目前全国大概有420个人,基本上服务对象主要是三大运营商,在中国电信市场占有率,这个类型,这个细分市场我们是最大的。我们证书里没有提到我们有国家保密局的双甲级,软件和系统集成的资质,在这个方面我们会结合运营商的需求和国家信息安全的需求提供我们完整的解决方案。

刚才也提到了,运营商主要是解决管道问题的,当然也希望向云方面渗透,这个管道目前一直在提智能管道,但为什么智能管道运营商提了十年了,但为什么没有成功呢?主要原因是因为基础计算架构不是智能的。现在随着基础计算架构智能化以后,网络是有可能变成智能化的。

智能化以后,能够为运营商带来一些提供安全服务增值的能力,这个是运营商比较希望看到的,同时国家信息安全和未来的网络安全都能够进入这个平台,能够开展更多的业务应用。刚才前几位演讲者提到在主机层面或者基础架构上保证网络安全,但现实是什么?刚才说了运营商没有给网络提供有效的保护,所以说网络是裸奔的,同时不是所有的单位,所有的个人都会投入这么高的成本去解决单位里头的安全问题,刚才沈院士提到的像中央电视台还有其他的一些机构,用了较高成本来实现安全,这个方案一定是可行的。

但现网上是江湖,江湖上什么都有,人非常多,各种各样的人,各种攻击行为,而且各种未经保护的设备非常多。所以说把局域网里面的安全能力迁移到现网里来,并且形成一个新的生态,这个价值非常巨大。为什么基于企业网和智能网的安全设备这么贵?原因很简单,因为单位用户成本是比较高的,因为一个政企单位有几百,几千用户是很大了,上万的非常少见。但对运营商来讲,几千人是非常小的末端的分支,如果用非常高昂的成本实现不可能,现在由于融合性的技术以后,完全可以做到这一点,这样的话会大幅度摊薄应用成本。想象一下中国有7亿的网民,手机用户,我一个朋友是做这方面的,他告诉我的数据在网用户有12亿,就算按5亿算,用5亿来平滩网络安全技术,对网络安全厂家和运营商进行合作,这个总的收入会非常的高,所以有可能大幅度降低安全技术的应用成本。

当然,不是替代政企网络内部的,因为有些场景是不一样,所以我们认为这个方向是非常有前景的,我们最近几年投入了大量的资金和人力在这个方面做一些储备。非常感谢大家听我分享,有机会可以来我们公司进行合作,把相关好的安全产品整合在运营商的网络里,谢谢大家。

THEEND

最新评论(评论仅代表用户观点)

更多
暂无评论