在“2013中關(guān)村大數(shù)據(jù)日”的“大數(shù)據(jù) @數(shù)據(jù)智慧城市”論壇上，山石網(wǎng)絡(luò)的首席技術(shù)官楊慶華帶來“智慧城市的網(wǎng)絡(luò)安全”主題演講。以下是演講全文：

楊慶華：謝謝首席，今天我們的主題是智慧城市，所以我先從智慧城市開始講起。智慧城市我們要提到一個詞，這個詞是2010年上海世博會的宣傳語，城市讓生活更美好。城市融合了各種各樣的人，還有城鎮(zhèn)化的建設(shè)。

所謂的智慧城市，是將人的世界，也就是說我們現(xiàn)在的物理世界，現(xiàn)在虛擬世界越來越不確切，過去我們把信息化叫虛擬世界，現(xiàn)在應(yīng)該叫數(shù)字城市。

在這個智慧城市里面我們看到的首先是物和物之間的連接，人和人之間的連接，事件和事件，信息和信息之間的連接，這些連接出來就選擇了完美的智慧世界。在這個智慧世界當(dāng)中，我們看到城鎮(zhèn)化建設(shè)成為未來很多年中國的一個重要的發(fā)展。

為什么會發(fā)展這么多的城鎮(zhèn)化？城鎮(zhèn)化會給人們的生活帶來很大的該，智慧城市是可以引領(lǐng)整個的城鎮(zhèn)化的建設(shè)。我們在整個的城鎮(zhèn)化建設(shè)之中，我們會看到現(xiàn)在有很多的系統(tǒng)，比如說數(shù)字城管、數(shù)字工商，包括平安城市、平安交通，數(shù)字物流、電子政務(wù)等，我列了很多這樣的東西。

你會發(fā)現(xiàn)所有的這些內(nèi)容，都需要一個東西來保障。其實所有的這一切要做的是什么？智慧城市要做的就是融合，把所有的系統(tǒng)融合到一起，之后把所有的信息共享給大家。我本人從1998年開始做安全，做所有的事情首先想到安全性。所以我經(jīng)常會被大家定義成你是任何事情的反對者，一個新的東西出來，我們首先想到的是它存在哪些安全性的問題。我們看到智慧城市帶來的第一是融合，第二是共享。

融合的角度來看，首先看到的矛盾，是融合和分離之間的矛盾，他會把越來越多的系統(tǒng)，融合在一起。但是從安全的角度來說，每一個里面的部分，都是相對封閉的。因為它的內(nèi)容，是要給有限的人看到。所以一旦融合之后的系統(tǒng)，出現(xiàn)一點的故障，都會給整個的城市帶來災(zāi)難性的影響。

前面我們提到各種各樣的數(shù)字問題，它只會產(chǎn)生一點業(yè)務(wù)的影響，智慧城市會帶來的是災(zāi)難性城市的影響。

第二、共享的隱私。除了當(dāng)年四川綿陽開車動作之外，又除了一個新的一個庭長在酒店開房的視頻。我們發(fā)現(xiàn)智慧城市里面有很大的問題是視頻云，有平安城市，平安交通，數(shù)字、工商、城管、治安，有很多的視頻，包括交通。把這些視頻集中在一起，這些視頻怎么用，怎么保護(hù)隱私權(quán)，這里面就有一個問題，共享的隱私。

我們需要用二維碼，或者是無線定位各種各樣的技術(shù)實現(xiàn)全面透徹的感知。希望通過無線網(wǎng)、移動的網(wǎng)絡(luò)，社交的網(wǎng)絡(luò)，智能終端實現(xiàn)我們的寬帶廣泛的這種互聯(lián)。人和人的互聯(lián)，物和物的互聯(lián)。我們需要大數(shù)據(jù)挖掘智慧的應(yīng)用，智能的分析，包括云計算各種各樣的技術(shù)，實現(xiàn)智能融合的應(yīng)用。需要通過各種各樣的創(chuàng)新，不管是web2.0電子政務(wù)，實現(xiàn)以人為本的創(chuàng)新。智慧城市很大程度是一種創(chuàng)新，我們需要通過智能靈活的應(yīng)用，用戶創(chuàng)新，開放創(chuàng)新，大眾創(chuàng)新，協(xié)同的創(chuàng)新，等實現(xiàn)所有的創(chuàng)新。

這些創(chuàng)新之后，你會發(fā)現(xiàn)歸根到底在IT上。智慧城市最終需要靠IT解決。它完全符合IT的大的發(fā)展趨勢，云計算的發(fā)展趨勢，社交網(wǎng)絡(luò)、大數(shù)據(jù)挖掘，智能終端或者是移動的發(fā)展趨勢。這幾個發(fā)展趨勢都對傳統(tǒng)的IT管理，和傳統(tǒng)的安全，帶來的是顛覆性的挑戰(zhàn)。這是我們做安全的人覺得很恐怖的事情，就是現(xiàn)在IT建設(shè)的技術(shù)發(fā)展或者是技術(shù)創(chuàng)新，對傳統(tǒng)的管理，傳統(tǒng)的安全帶來的是顛覆性的挑戰(zhàn)。

云計算帶來什么樣的挑戰(zhàn)？第一、所有的數(shù)據(jù)擁有者失去了控制權(quán)，現(xiàn)在云化以后我們失去了控制權(quán)。

第二、大二層扁平網(wǎng)絡(luò)重新定義安全技術(shù)的形態(tài)和位置。

第三、海量的非結(jié)構(gòu)化的數(shù)據(jù)，使整個數(shù)據(jù)的可用性、安全性帶來很大的挑戰(zhàn)。包括各種行為的記錄，增大了整個信息泄露的危險。

第四、移動終端化，提到BYOD，BYOD對所有人的生活帶來非常大的好處，但是給所有的管理者帶來的是巨大的挑戰(zhàn)。原因是什么？我們做很多的終端管理的，都是管理桌面的計算機，筆記本，但是現(xiàn)在我們的管理者改成了平板電腦、智能手機。這些設(shè)備位置、使用人、應(yīng)用軟件、進(jìn)程的不確定性，給黑客的攻擊產(chǎn)生了非常大的變革。

再就是社交網(wǎng)絡(luò)，過去講黑客，有一門黑客學(xué)叫《社交工程》，都是通過社交密碼獲取你的帳號，現(xiàn)在基于社交工程，人和人交互的即時聊天，微信、郵件，都給黑客，給我們的安全防范有很大的障礙。

我們前幾天在單位內(nèi)部做了實驗，發(fā)了一個郵件，我們的VP假冒他的郵件，發(fā)給他的員工，里面帶了一張照片，大家只要打開這個照片你的電腦不受控。打開照片的人不知道，但是你的操作都可以在我的屏幕上顯示出來，他本人不會有任何的感覺。我們想這只是我做的一個實驗，如果我真的干一件事情，是多少的危險。我可以知道你們每個人的帳號，你們輸入帳號和密碼的時候，我都可以看到，這是非常危險的事情。

回到這點，因為今天時間的關(guān)系，我們只談其中的一個挑戰(zhàn)，就是云計算。云計算我們不得不談的是云計算中心的發(fā)展趨勢。過去的計算中心，就是從核心到匯聚，到底層接入的網(wǎng)絡(luò)。從網(wǎng)絡(luò)布局來說，接入層是一比一的配比。接入層到匯聚層是1：8。匯聚到核心大概是1：8。過去的數(shù)據(jù)中心絕大部分做計算，第二是做存儲。現(xiàn)在把計算機熔化之后，你會發(fā)現(xiàn)有大量的數(shù)據(jù)，南北向數(shù)據(jù)的流量基本上不會發(fā)生變化，發(fā)生和你的業(yè)務(wù)量相當(dāng)，但是東西向流量會發(fā)生巨大的變化。這是第一個發(fā)展的趨勢。

第二是服務(wù)器的平臺，服務(wù)器平臺單機的處理量在加大，同時帶來了體積的影響，能耗現(xiàn)在減少。今天首席上面提到很多的系統(tǒng)里面能耗要求是1.5，但是過去我們看到，昨天我在跟廣州的信息中心他們在做超算中心，他們一期三分之一用到總功耗的70%?，F(xiàn)在能耗是非常頭疼的一件事情，對所有的服務(wù)器能耗是最大的難題。

再就是對帶寬的要求，從基礎(chǔ)架構(gòu)來看，從過去的實體化的建設(shè)，已經(jīng)變成了全虛擬化，虛擬存儲，虛擬網(wǎng)絡(luò)，虛擬計算，等已經(jīng)全部的虛擬化。山石也在提出虛擬的安全系統(tǒng)，安全池這樣的概念。

包括運營，過去我是實體管理數(shù)據(jù)中心，現(xiàn)在全是托管，整個的運營中心他的復(fù)雜性在變化，它可以按照你的需要，按照你的實驗進(jìn)行靈活的調(diào)整，都已經(jīng)把運營變得很復(fù)雜。它會給安全帶來哪些挑戰(zhàn)？

第一、云化的數(shù)據(jù)中心，他已經(jīng)非常模糊的去模糊了網(wǎng)絡(luò)的邊界。我們過去做任何的網(wǎng)絡(luò)規(guī)范的時候。首先是劃分安全域，劃分安全域的前提是首先區(qū)分業(yè)務(wù)，之后劃分邊界，在邊界處做很多安全措施。但是云化之后，安全域不見了，網(wǎng)絡(luò)的邊界不見了，他的邊界深入到了服務(wù)器的內(nèi)部。安全設(shè)備你找不到被保護(hù)的目標(biāo)在什么地方。

第二、效能和性能。如果說傳統(tǒng)的數(shù)據(jù)中心，只是保護(hù)南北向的流量，它非常容易計算我的能力。我要求的防護(hù)系統(tǒng)，只要高于我南北向總流量就夠了。流量的混合在不同的時期，租戶的用處不一樣，流量是不一樣的。怎么樣保證你在設(shè)計的時候，保證東西向流量符合要求，這幾乎是不可能的。

第三、動態(tài)化。你地虛擬機之后，這個虛擬機如果沒有使用的時候功耗就可以降低，安全系統(tǒng)怎么辦？我們知道傳統(tǒng)的安全設(shè)備，只要一開起來，這個設(shè)備使用起來就在里面。即使流量很少，也是全負(fù)荷的在工作。能不能做到我的需求量起來，你的處理能力才起來。我當(dāng)時我的處理能力要求低，你的處理能力同時低下來，這也是一個挑戰(zhàn)。

第四、管理的復(fù)雜性。

現(xiàn)在市面上能見到的，云計算中心，云化的數(shù)據(jù)中心，會帶來哪些方案？第一、高性能的硬件安全設(shè)備。高性能的硬件網(wǎng)關(guān)可以適用對南北向 流量控制非常嚴(yán)的云計算中心。也可以用在東西向流量不大，可以達(dá)到硬件處理能夠的數(shù)據(jù)中心。

這樣的數(shù)據(jù)中心往往第一部署的時候，可能部署在南北上網(wǎng)關(guān)，如果管理東西向的流量，嚴(yán)格的都會采取單臂的部署，這樣的部署，我們會將每一個租戶的流量，牽引到安全的設(shè)備上，處理之后再牽引回來。帶來的問題出現(xiàn)了？它已經(jīng)將東西向的數(shù)據(jù)流加到了一倍，加大了東西向的流量，硬件處理能力會受到限制。

第二、虛擬化軟件安全設(shè)備。裝一個虛擬的安全機，可以跑防病毒等。好處是不會產(chǎn)生東西向的流量，因為存在整個硬件里面本地的處理，不會太多的產(chǎn)生東西向的流量，但是問題出來了，因為它是部署在你的硬件中，所以他要占用你要租給用戶的計算資源。

動態(tài)處理的性能一定會低，隨著你對安全虛擬機的性能要求提高，它一定會占用更多資源，你最給用戶的性能在下降。

處理的實時性和深度有影響，因為它的性能受到了影響。

第三、操作系統(tǒng)當(dāng)中，固化了安全系統(tǒng)。固化的安全系統(tǒng)實現(xiàn)起來很容易，只要需要虛擬的操作系統(tǒng)廠商提供就可以了。但是因為他在這里面做穩(wěn)定性，就是虛擬操作系統(tǒng)最重要的一點。

總結(jié)一下，其實我們看到，云數(shù)據(jù)中心現(xiàn)在的解決方案，都有兩個大的問題。第一、怎么樣很好的解決東西向流量的友好性，使你的安全系統(tǒng)，更加貼近到VM身邊，這是第一個要解決的問題。

第二、服務(wù)所需的資源需要可預(yù)測，我們服務(wù)所需的資源，隨著用戶需求量的變化動態(tài)的收縮。有沒有一種方案能把兩個東西融合，或者是平衡的狀態(tài)下，提供這樣的系統(tǒng)。

看一下山石怎么做？我們提出了一個架構(gòu)，叫彈性安全網(wǎng)絡(luò)架構(gòu)。我們把它叫做EFF，在這個系統(tǒng)里面我們把整個的安全分三個部分。第一部分叫安全觸角，第二是資源池，第三是管理中心。安全觸角分布到每一個套上，根據(jù)你的的需要去裝，需要看到你這個套里面，你需要的性能。如果我的一個VM叫VIOM，當(dāng)我租戶的需求下降，我就可以退租兩個，那兩個可以租給用戶使用。

同時云計算里面帶來更大的一個問題就是虛擬機遷移。我們知道過去在南北向流量控制的時候，虛擬機遷移了之后，南北向的防火墻一定要跟著變化。所以不管是南北流向還是東西流向，VM的感知和動態(tài)遷移的跟蹤，是非常重要的內(nèi)容。

怎么做？后面我們會講，安全的管理中心里面，我們有一個VM的感知，還有一個虛擬機的管理中心，有一個動態(tài)的聯(lián)動。聯(lián)動之后我們不會隨著虛擬機遷移，比如說虛擬機從左邊的機柜跳到右邊的機柜里面去，我們的安全觸角不會變。而是它走了之后，遷移到那個套的安全觸角，已經(jīng)感知這個虛擬機過來就會起作用。

包括VM之間的轉(zhuǎn)化速度非?？?，第二就是安全資源池，套里面的數(shù)據(jù)怎么做分析，怎么做深度的分析，都在安全資源池里。安全資源池可以部署在三個物理的虛擬中心組成的大的云中心，我們可以部署在任何的一個或者是N個硬件服務(wù)器上，也是由完全虛擬化的系統(tǒng)組成，可以為多租戶提供服務(wù)。每一個多租戶之間在系統(tǒng)里是隔離的。

第三、就是安全集成，我們叫安全管理中心。在安全管理中心里，它可以和虛擬機的管理中心進(jìn)行聯(lián)動。

這是分布式架構(gòu)，叫vDSA。由安全管理中心和虛擬管理中心進(jìn)行聯(lián)動和感知。

最后總結(jié)一下，首先第一個vDSA，我們要把它做到可以和分布式的，可以擴展到各個角落，同時可以把安全的觸角貼近VM中間。它的資源可以做彈性的收縮，隨著對性能、功能的要求大和小，可以自由的伸縮。用大的時候可以用多個VM，用小的時候可以收縮到很小。

最后介紹一下山石，2007年成立的公司，現(xiàn)在已經(jīng)從2010年開始，穩(wěn)居在中國安全網(wǎng)關(guān)的前兩名。大概擁有140多項專利，在北京、蘇州、美國硅谷都有我們的研發(fā)中心。從2008年開始，到現(xiàn)在不斷的發(fā)布我們?nèi)虻氖卓町a(chǎn)品。今年我們發(fā)布了下一代智能防火墻，360G的數(shù)據(jù)中心的防火墻。

山石成立6年，為超過五千以上的用戶，提供了安全系統(tǒng)，包括政府、金融、高校，互聯(lián)網(wǎng)，以及ISP等。

最后，在加一句，智慧讓城市更美好！謝謝大家。