我国正在修建的250公里和300公里时速高速铁路简况
作者 高飞 | 2009-04-21 12:32 | 类型 专题分析 | 4条用户评论 »
系列目录 世界铁路和中国高铁笔者按:本文主要内容来自网络BBS如水木清华站等,是爱好者和有心人收集的。弯曲评论不对内容正确性负责。表格编号按开工时间先后顺序进行排列。350公里时速以上高铁状况,请参考:我国正在修建的350公里时速高铁简况。 表1: 300公里时速高铁状况
表2: 250公里时速高铁状况(表格编号按开工时间先后顺序进行排列)
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
我国正在修建的350公里时速高速铁路简况
作者 高飞 | 2009-04-21 10:05 | 类型 专题分析 | Comments Off
系列目录 世界铁路和中国高铁笔者按:本文主要内容来自网络BBS如水木清华站等,是爱好者和有心人收集的。弯曲评论不对内容正确性负责。表格编号按开工时间先后顺序进行排列。
| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
甲骨文吞并过的公司列表
作者 陈怀临 | 2009-04-21 09:42 | 类型 行业动感 | 2条用户评论 »
1977年,在许多《弯曲评论》读者还不知道人间为何物,更不要说什么是关系数据库的时候,Larry Ellison, Bob Miner和Ed Oates在加州的红木城市(Redwood City)创办了一家数据库研发咨询公司公司,名字为Software Development Laboratories(SDL)。当年,Larry才33岁。1982年,其公司正式改名为Oracle,中译为甲骨文。 甲骨文公司自创立以来,一路发展。即使2000年的互联网电子商务泡沫的破灭,也没有使得甲骨文踏上不归路。 甲骨文的神奇很多,至今不败的原因很多。在众多原因之中,笔者认为最主要的原因就是Larry的自信(或解释为刚愎)成就了甲骨文。 时至今日,甲骨文员工人数已达84,233人。2008年销售额为2百44亿美金。2008年纯盈利为55亿美金。 (笔者注:Sun Micro公司目前员工为33,500人。2008年销售额为1百40亿美金。2008年纯盈利为4亿3百万美金。 ) 曾经有篇文章题目为“上帝与Larry的区别”。其基本论点就是“上帝不认为其是Larry.”。换言之,Larry基本上认为他自己就是上帝了,没有他做不成的事情。当然,这就是Larry与上帝的差距所在。例如,Larry能收购《弯曲评论》吗?不能!:-)本首席与其他创办人是不会卖给Larry这样的人的:-),除非价格特别好:-)。 Larry就好象丛林中的一个凶悍的非洲豹,观察着,吞噬着对手。。。。。。 读者来看一看其猎物列表:
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
高性能存储革命——华为Rambox产品评测报告
作者 老韩 | 2009-04-20 14:49 | 类型 互联网, 弯曲推荐, 通讯产品 | 32条用户评论 »
此文发于2009年1月。据悉,此类高性能存储产品尚属某些国家对中国禁售范畴,所以笔者对华为能自主研发Rambox深表钦佩。需要说明的是,由于华为方面不希望公布太多细节,文中公开的测试数据与技术分析只是笔者原稿的一部分。华为目前要做的,是尽快挖掘Rambox的应用领域,打开这个市场。 原文发布于《计算机世界》 近年来,存储技术的发展十分迅速,优秀产品不断涌现。但无论是FC SAN、IP SAN还是NAS,其性能的增长却总没有容量提升或价格下降的幅度那样令人欣慰。在某些对性能要求极高的应用环境中,现有产品仍然无法很好地满足需求,用户不得不为高性能存储子系统做大量投资。市场规律告诉我们,如果需求得不到满足,必将会有一种革命性的产品出现。本次华为技术有限公司送测的Rambox,就是这样一款高性能低成本的存储产品。
创新无处不在 华为Rambox上没有任何盘位,它的最大特点就是采用了内存作为存储介质。该产品提供了32个内存插槽,支持DDR2 ECC规格的内存,分由两个控制器进行管理。系统加载驱动程序后可以看到多个驱动器,每个控制器都与一个单独的驱动器相对应;其他的驱动器则代表单个设备或多个设备的集合,工作模式类似于JBOD。与大多数存储产品复杂的安装过程不同,部署Rambox只需要加载内核模块(驱动程序)一个步骤,显得十分简便。事实上,我们让两台设备正常工作只用了5分钟左右的时间。 以目前单条最大容量4GB计算,单台Rambox满配时可以提供128GB存储空间。这个数字相比采用磁盘介质的存储设备来说显然不值一提,但在大多数对存储性能要求较高的应用模型中,却并不算少。例如数据库缓存、数据索引或图像渲染,这些应用对存储设备的IOps与延迟要求极高,对容量与吞吐量通常没有那么敏感,因为这些数据本身就处于不断刷新中,只是暂存在存储设备中而已。 高性能使外部链路成为新的瓶颈,目前常见的光纤、铜缆或SAS接口都难以满足Rambox与主机间的传输需求,该产品直接采用了带宽更高的PCI-E总线连接主机。主机端的适配卡采用了PCI-E 8x接口,可以兼容多数服务器。值得一提的是,除具备一个上联接口外,Rambox还提供了两个下联接口,可以树状级联多台设备。虽然级联只能共享PCI-E总线的带宽,却可以有效提升存储子系统的整体I/O性能,这一点在后面的测试中有比较明显的体现。 Rambox的可靠性是我们重点关心的问题。由于内存采用的是易失性存储技术,掉电后数据会全部丢失,保持不间断供电是重中之重。Rambox使用两个互为冗余的电源进行供电,设备层面做到万无一失。该产品还提供了连接UPS的串口,如果收到供电模式切换的告警,会自动将内存中的数据转存到内置硬盘。内存本身的可靠性到不必特别担心,由于自身特性方面的原因,内存的可靠性远高于磁盘。加之Rambox采用了带有ECC特性的内存,也可以有效防止数据错误产生。此外,针对可能发生的单点故障,还可以借用RAID的概念,在系统层面基于多个控制器或设备构建阵列,最大程度地保证数据的安全性。 性能前所未有 我们依照计算机世界实验室存储产品测试规范,为华为Rambox定制了比较详细的测试方案。用于连接Rambox的服务器采用了目前性能较高的Intel双路至强平台,处理器为两颗主频3GHz的E5450(单颗4核),配有8GB FB-DIMM。操作系统采用了行业用户应用较多的Redhat Enterprise Linux 5,为保证测试结果的有效性,系统在测试时关闭了不必要的服务。测试软件使用业界公认的Iometer(ver.2006-07-27),这也是许多用户进行存储设备选型测试时的首选。 需要说明的是,由于该产品的工作机制与磁盘类存储设备有较大差异,一些传统的测试项目并不能很好地体现出产品特性。为此,我们进行了大量的预测试工作,根据实际情况对测试方案进行了多次修正,力图准确地反映出Rambox的综合特性。例如,Iometer的测试模型无法准确取得文件系统下的性能结果,所以我们将测试对象定位为裸设备。 首先进行的是单台设备的基准性能测试。虽然1个Manager/1个Worker的测试模型负载较低,却已经可以表现出Rambox许多与众不同的性能特点。微秒级的、对数据块大小不敏感的平均延迟,基本处于同一水平的读、写性能,这都是我们测试内存时常见的景象,从未在采用磁盘介质的存储设备中出现过。可以说,Rambox很好地发挥出了内存介质的特性,其自主研发的内存控制器功不可没。
经过不断尝试,Rambox在8个Manager/各2个Worker的负载下表现出比较理想的性能,其顺序读写时的IOps超过10万,随机读写时更超过30万。随机读写性能高过顺序读写,这在使用磁盘介质的存储产品中是绝不可能发生的。即便这样,也不能认为目前小数据块随机读写的测试结果就是Rambox的极限性能,因为此时前端服务器的CPU占用率接近100%,意外地成为性能瓶颈。我们首次在存储产品的测试中遇到这种情况,看来强大的前端服务器是用户部署Rambox的先决条件。 前面提到,系统加载驱动程序后会直接将控制器映射为驱动器,那么理论上用一台Rambox也可以在软件层面建立RAID,从而提升性能或可靠性。我们尝试着基于两个控制器建立了RAID0驱动器,测试了8个Manager/各2个Worker时的性能。此时的顺序读写性能大幅提高,与随机读写同为30万出头,相信换用更高性能的服务器后还会有不小的增幅。 我们还使用相同的配置与测试用例对工作在级联状态下的两台Rambox进行了测试,发现顺序读写性能与单台设备相同,随机读写性能略有提高;而当两台设备运行在由4个控制器组成的RAID0模式时,小数据块顺序与随机读写的IOps都超过了36万。此时前端服务器的CPU占用率已达100%,甚至连处于wait状态的资源都没有。两种工作模式下,较大数据块的吞吐量与单台设备相仿,基本都保持在1500 MBps左右,对PCI-E 8x总线的利用率已经达到非常理想的水平。 测试是一种非常好的手段,可以令人更加深入地了解产品。但此次IOps测试中前端服务器成为瓶颈,吞吐量测试中PCI-E总线又限制了传输带宽,我们始终都没能找到Rambox自身的性能极限。不过从实际应用角度出发,该产品本身就定位于小数据块存取频繁、对IOps要求极高的环境,目前测得的性能结果是相当理想的,绝非传统的磁盘介质存储设备可比。所以我们认为,华为Rambox是一款设计思路与性能表现都极其鲜明的产品,完全可以满足特定用户群体的需求。 | |
甲骨文(Oracle)并购升阳(Sun)
作者 陈怀临 | 2009-04-20 05:43 | 类型 行业动感 | 18条用户评论 »
陈首席基本上是每天6点开始工作(在网上冲浪,情何以堪!)。说良心话,本首席对金钱不是最感兴趣(不是没兴趣)。因此,首选冲浪的地方,除了弯曲评论(Of course),不是quote.yahoo.com或者什么财经新闻网站,而通常是Linux论坛,然后是一些其他八卦论坛。今天赫然发现在China Linux Forum上,刊登出来了Oracle要购买Sun的新闻。已确认,还已经宣布成为了事实。 倒吸了一口冷气。Oracle厉害呀。Sun的员工要小心了。一场大规模的裁员是难免的了。做数据库出身的人看不懂,也不关心你CPU技术,多核系统,硬件平台。 我个人有许多在Sun工作的朋友,真心希望他们能离开那个是非之地。 去哪呢? 我也不知道。 | |
NetScreen被收购5周年
作者 陈怀临 | 2009-04-19 15:34 | 类型 行业动感, 通讯产品 | 18条用户评论 »
NetScreen Technologies Inc.(网屏技术有限公司) (1997/10/30–2004/4/16) 创建于1997年10月30日,NetScreen Technologies Inc. 是一个研发和销售网络安全系统软件 和设备的公司。其产品分布为Firewall, IPSEC VPN, IDP/IDS等系列。与业界其他 网络安全公司的产品比较,如Check Point Inc., NetScreen Technologies Inc.采用了ASIC Based 的Fast Path(NetScreen GigaScreen ASIC Series)与传统CPU担任Slow Path(NetScreen ScreenOS)相结合的系统体系结 构。这种”Seperation of Fast Path from Slow Path”的体系结构,使NetScreen在 技术路线上获得了巨大的成功,在高端Firewall/VPN市场上,NetScreen的产品稳定 在第一领先地位。在全球总体网络安全产品市场上,处于第二,仅落后与Cisco Inc. 2001年12月12日,网络安全设备公司NetScreen Technologies在著名的Underwriter投资银行高盛(Goldman Sachs & Co)的带领下,在NASDAQ上市,其股票代号为NSCN。第一天,股票开盘价位$23.76,收盘价位于$23.72。总交易量达 1千5百万股。公司市值为15.9亿美金。其时NetScreen旗下员工330人。 2004年2月9日,全球第二大网络通讯设备公司Juniper Networks Inc.以NetScreen 股票NSCN 2月6日市值26.40美金为基点,以股票交换率1.404出价约40亿美金并购NetScreen Technologies Inc.。此并购协议并在同年4月16日正式完成。NetScreen股票持有人共占Juniper股票的24.5%. 4月19日(星期一),NSCN的股票代号正式从NASDAQ市场消失。NetScreen Technolgies Inc.成为Juniper Networks Inc.的一个Business Unit–SPG(Security Product Group) . NetScreen作为Juniper Networks Inc.的网络安全产品的商标依然存在,销售并安装在世界各地的网络环境中,日日夜夜处理着Internet主干网,企业网的奔流不息的数据。。。 NetScreen Technolgoies Inc.员工,从2004年4月19日,开始进入Post-NetScreen Era(后网屏时 代)。。。。。。,时至今日,达5年之久。 NetScreen的传奇,是海外中国工程师在硅谷含辛茹苦,奋力一搏的缩影。 NetScreen被收购后的5年,许多原NetScreen的员工 陆陆续续出走,或者创办公司,或者出任其他公司的高级管理人员。 目前,由NetScreen Alumni创建的和/或任职高阶管理职务的机构和公司有: * 北极光(Northern Light)投资公司: 创办人:邓锋,柯岩等 *PaloAlto Networks Inc: 创办人:Nir Zuk, Yuming Mao等 * Fortinet Inc. 创办人: 谢青, 谢华 * AeroHive Networks Inc: 创办人:Changming Liu等。 * Sigma Technology Inc.: 创办人: Tan Ting, Guangsong Huang, Kui Seng Soon 等 * HillStone Networks Inc..: 创办人: Jian Tong, Dongping Luo, Ning Mo, Tim Liu, Zhong Wang 等 * MuSecurity Inc: 创办人: Kowsik Guruswamy等 * Bada Networks Inc. CEO & President: Anson Chen * Infoblox Inc. CEO & President: Robert Thomas CFO: Remo Canessa VP of Worldwide Sales: Mark Smith * ArubaNetworks Inc. VP of Engineering: Sriram Ramachandran | |
思科核心路由器CRS-1与SPP处理器的研究–交换机配置
作者 陈怀临 | 2009-04-17 09:55 | 类型 专题分析, 弯曲推荐 | 8条用户评论 »
系列目录 思科SPP处理器与核心路由器CRS-1
CRS-1产品系列中一个重要的组成部分就是其CRS-1的交换机FCC–Fabric Card Shelf。FCC产品的目的是通过提供一个或者多达8个FCC的交换机组,从而可以把2个,多达72个CRS-1线卡机(Line Card Shelf,简称LCC)互联起来,形成8个并行的高速交换平面(Switching Plane)。从理论上,CRS-1 多机箱技术(Multi-Shelf)可以提供高达92Tbps的报文交换容量。这种互联结构在工程实现上,机箱管理(Chasis Management),系统软件上都很复杂。在目前为止,思科只能支持16槽的LCC,通过1,2或者4个FCC的互联拓扑。换言之,读者可以认为92Tbps交换能力的互联,以CRS-1目前的体系结构而言其实是一个单纯的理论值。如果真的是72个LCC通过8个FCC互联,系统能否支撑(Sustain),笔者抱着谨慎乐观的态度。目前没有任何消息来源能证明思科自己内部是否做过这样的互联。其工程量非常大。能把所有的光纤正确的接对就相当优秀,更不需要说IOS-XR的各种板卡的初始化,数据管理等更复杂的问题。 FCC本身是一个满载可以配备24个交换卡的机箱。在FCC的术语里面,这个交换卡称为S2卡。在以后的CRS-1互联的章节里,笔者会介绍S2卡的更多细节。从交换机配置的角度,FCC的配置是: ×正面24个S2交换卡。40Gbps的进出。上下两层。每层12个卡槽。 ×正面2个机箱管理控制卡(Shelf Controller Gigabit Ethernet Card,简称SCGE)。 ×后面24个OIM(Optical Interface Module)卡。 ×后面2个OIM监视卡(OIM-LED)。 其中,后面的OIM卡就是用来互联LCC线卡机上的交换卡的。换言之,CRS-1机组互联是通过LCC交换卡上的适配器,然后通过光纤,连接到FCC的OIM卡上的适配器或者接口上,而形成互联网络的。在LCC与FCC互联时,例如16槽LCC,其后面的交换卡是一种叫做S13的交换卡。而LCC单独作为路由器时,其交换卡是S123交换卡。这是两个不同的物理卡。读者目前只需要了解在互联时,LCC要把S123的交换卡变成S13的卡就可以了。 机箱管理控制卡SCGE是CRS-1系统,例如通过LCC上的控制平面RP来启动,管理,监测FCC的唯一途径。SCGE卡分为2种类型–2个GigE端口的SCGE和22个端口的SCGE。这里最大的区别不是端口数目,而是层2的switching功能。 如果一个系统配置的是2个端口的SCGE,系统需要另外配备思科的Catalyst switch。LCC的RP通过Catalyst交换机解决SCGE,从而达到控制FCC机的目的。而如果是最新的22个端口的SCGE,就不需要另外配备Switch了。LCC的RP可以通过GigE以太端口直接连接SCGE。 下面是FCC的正面示意图: 下面是FCC的背面示意图: | |
我国成功发射第二颗北斗二代导航卫星
作者 高飞 | 2009-04-15 14:04 | 类型 专题分析, 行业动感 | 1条用户评论 »
系列目录 全球卫星定位系统
编者按:本文大部分数据引自新华社报道。经过笔者比较发现,新华社作为国家通讯社,其报道的准确度还是比《成都商报》、《大河报》之类的媒体要高不少,至少基本的数据数字能保证正确。 中国的北斗二代系统首星其实已经在2007年4月14日由长征三号甲火箭发射升空,是一颗中地轨道21500公里的卫星,代号是北斗二号A(请参考北斗卫星导航定位系统)。人民网2008年底披露,2009年前后我国将再发射12颗北斗导航定位卫星上天,2010年北斗导航定位系统即可为我国及周边地区提供基本服务,在此基础上预计到2015年逐步发展到为全球服务。 2009年过去了四个月,终于,4月15日零时16分,西昌,我国用“长征三号丙”运载火箭,成功将第2颗北斗导航卫星送入预定轨道。这是北斗二代的第二颗组网卫星,为地球同步静止轨道36000公里卫星。这颗卫星的成功发射,对于北斗卫星导航系统建设具有十分重要的意义。北斗二代总共有35颗卫星,其中5颗地球同步,30颗中地轨道。网络上大家互相引用以讹传讹的所谓“北斗二代组网首星”的说法,是不正确的。首星是2007年4月发射的那颗中地轨道卫星。今年看来有好戏看了,至少还有11颗北斗二代星等着上天。 这次发射的卫星和运载火箭分别由中国航天科技集团公司所属中国空间技术研究院和中国运载火箭技术研究院研制。这是长征系列运载火箭的第116次飞行。 | |
思科核心路由器CRS-1与SPP处理器的研究–线卡机配置
作者 陈怀临 | 2009-04-14 21:55 | 类型 专题分析 | 7条用户评论 »
系列目录 思科SPP处理器与核心路由器CRS-1
在讨论了CRS-1的接口模块(Interface Module)之后,对CRS-1能支持的端口(Port)配置就有了一个基本的了解。本节介绍这些接口模块是如何配置在线卡机(Line Card Shelf)之上的。在具体介绍和举例之前,读者要抓住一个概念,一个线卡机上的端口模块槽可以插入不同的40Gbps的端口卡,例如上OC-768,OC-192,或者10G以太卡或其他端口卡。可以是各种混合模式。对系统而言,只要是支持的端口卡就可以。对系统而言,就是一个40Gbps线速的报文端口硬件板子。不管你是光纤还是铜线,和层2的数据格式,一旦走到Fabric互联网络入口,都一样;都被打散成为Cell,做高速Fabric Switching了。LCC线卡机内部的板子都是通过中间板(Midplane)互联的,不是Backplane(背板)。另外,对理解机箱板子布局,抓住几个要点: ×端口卡(Interface Module)一定都是在机箱的正前面。 ×路由处理器卡(Routing Processor Card)一定都是在机箱的正前面。 ×交换卡 (Fabric Card)一定都是在机箱的后(背)面。 ×模块服务卡(MSC)除了4槽的CRS-1线卡机,都是在机箱的后面。 ×线卡机都是基于中间板(midplane)的设计,而非背板(Backplane)。 1. 4槽线卡机 机箱的前面(Front),总共有10个卡槽。其中: ×4个40Gbps的端口卡槽(或叫做接口模块) ×4个支持40Gbps的模块服务卡(Module Service Card)槽。其中,每个MSC上有两个SPP网络处理器。关于SPP会在后续的章节里介绍。 ×2个路由处理器卡(Routing Processor Card)槽 。在思科的网络产品里,路由处理器就是系统的控制平面。在Juniper的产品里,相应的概念是路由引擎(Routing Engine)。名称不同,表达的概念和功能是类似的–系统的控制平面。 上述的10个卡都通过中间板(Midplane),插入并连接在系统中。 ×4个Fabric卡,在机箱的后面(Rear),插入中间板。从而与其他在 前面的10个板子连接,形成一个路由器系统。 下面是一个满载的4槽线卡机的例子: 2. 8槽线卡机 机箱的前面(Front),总共有10个卡槽。其中: ×8个40Gbps的端口卡槽(或叫做接口模块) ×2个路由处理器卡(Routing Processor Card)槽 。上述的10个卡都通过中间板(Midplane),插入并连接在系统中。 ×8个与端口卡对应的MSC模块服务卡和4个Fabric卡,在机箱的后面(Rear),插入中间板。从而与其他在 前面的10个板子连接,形成一个路由器系统。 下面是一个满载的8槽线卡机的例子: 3. 16槽线卡机 机箱的前面(Front),总共有20个卡槽。其中: 上半部分: ×8个40Gbps的端口卡槽(或叫做接口模块) ×2个机箱控制卡 下半部分: ×8个40Gbps的端口卡槽(或叫做接口模块) ×2个控制平面的RP路由处理器卡。 ×16个与端口卡对应的MSC卡和8个Fabric卡,在机箱的后面(Rear),插入中间板。从而与其他在 前面的20个板子连接,形成一个路由器系统。 下面是一个满载的16槽线卡机的例子: 下面是CRS-1 16槽线卡机的前面和背面的平面示意图: | |
合二为一,顺势而为 —— 凹凸网络科技SifoScopes CM系列产品简评
作者 老韩 | 2009-04-14 15:45 | 类型 互联网 | 4条用户评论 »
此文发于2009年3月。现在看来,需求还是更多地体现在用户要求安全审计产品支持IM,这也与安全审计产品本身的定位相吻合(大中型企业)。另一方面,也听到有用户要求对P2P下载的内容进行审计(至少要记录服务器信息以及文件名),虽然这类用户不多,其购买力和采购量却毋庸置疑。 原文发布于《计算机世界》 大约3年前,笔者曾经参与过某机构针对安全审计与应用控制类产品的测试规范制订工作。那时的安全审计类产品已经很成熟,国家、公安部与各行业都有相应的测试评估标准;应用控制类产品则借P2P、IM等应用的高速发展呈方兴未艾之势,功能与产品形态都不统一。当时笔者最深刻的感受,当数两者间的融合趋势。随着应用模式的改变,传统的安全审计产品开始对各类P2P、IM软件提供支持,国内某些产品甚至可以屏蔽此类应用;应用控制类产品也不安于仅仅阻断或给应用限速,很多都实现了对下载文档信息和对话内容的审计。功能上的取长补短促进了两类产品的融合,时至今日,我们已经可以看到许多兼具审计与应用控制功能的安全产品。本次凹凸网络科技送测的SifoScopes CM系列网络行为检测系统,就是这样一个融合的典型范例。
SifoScopes CM系列产品全部采用1U机架式设计,具有两个千兆电口,可以工作在桥模式或旁路模式。当采用桥模式进行部署时,内外两个接口间具有Bypass特性,如果设备意外掉电或出现故障,链路依旧会保持连通。该设备内置有硬盘用于保存审计信息,如果空间紧张,也可以定期转存至NAS或文件服务器。此外,CM系列产品还采用了100V-250V宽幅自适应电源,以保证设备在供电条件不佳的环境中正常运行。 安全审计与应用控制的前提,是正确地识别各类协议。有了这个基础,才能谈审计或控制。作为融合了两者功能的新一类产品,SifoScopes可以识别多种应用层协议,并对某些特殊形态的应用提供支持。该产品对各类相关标准所要求的HTTP、FTP、SMTP、POP3和Telnet协议提供了较强的审计能力,可以详细记录用户浏览的网页内容、通过HTTP协议上传下载的文件、FTP上传下载的信息、所有往来信件与附件及Telnet下的交互数据。IM类应用也在被审计之列,除了常见的MSN、MSN Web Messenger、Yahoo Messenger等采用明文传输的软件外,SifoScopes还支持QQ与Skype这两种国内常见的采用加密传输的应用。针对Web Mail应用逐渐增多这一趋势,SifoScopes也提供了有针对性的审计功能。该产品目前可以识别多达12种主流的Web Mail服务,包括微软Exchange服务器内置的Web Mail界面。
罕有产品可以解析QQ与Skype使用的协议,更不要说对内容进行审计。笔者特别针对这两种应用进行了测试,结果令人震惊。由于QQ采用了密文传输,用户需要在登录前先进入设备提供的特殊页面输入QQ账号与密码,接下来SifoScopes就可以记录一切聊天信息,甚至连QQ群中多人会话的内容也不例外。针对Skype的审计功能更为惊人,除文本外,语音通信亦在支持之列。众所周知,Skype数据流采用了极强的加密算法,单纯网关设备几乎不可能对其进行解密。SifoScopes采用了变通的方法实现该特性,如果用户要使用Skype,必须先从特殊页面下载安装一个客户端,嵌套在Skype上层对明文的文本和语音进行记录,再传送至SifoScopes。双向语音内容以不同声道的方式保存为MP3文件,避免后期审计时还需要分离语音的麻烦。 融合的另一半是应用控制,SifoScopes主要还是针对P2P与IM类应用提供这部分功能。目前可控的P2P应用多达11种,其中包括了在国内应用广泛的BT、eDonkey和迅雷。笔者曾经遇到过个别应用控制设备对同协议族下的不同客户端控制效果不一致的情况,例如比特精灵被屏蔽的同时比特彗星仍可下载;SifoScopes在测试中没有出现这样的问题,主流P2P应用和不同客户端都被很好地屏蔽。可控IM应用的种类相比审计功能多了Google Talk,基本涵盖了国内常见的应用。与众不同的是,该产品还可以屏蔽MSN Web Messenger、Buddy、WebQQ等15种基于网页的即时通信客户端,基本堵死了内网用户的IM之路。既然包含了对传统P2P、IM和WebIM、Web Mail应用的识别功能,特征库的更新就显得尤为重要。凹凸网络科技为SifoScopes CM系列产品提供了永久的系统及特征库升级服务,这一点非常令人满意。不过,该产品尚不能实现对IM应用中文本、语音、视频的信令级控制,控制细粒度还有待加强。
还有一个不可忽视的非技术问题,那就是审计涉及到的隐私保护和法规遵从。这一点,所有具备安全审计特性的产品都应特别注意。国外产品通常在这方面比较完善,因为很多国家都有相关法律对企业员工的个人隐私保护作出明确规定。在网络中部署安全审计产品,于情、于理、于法,都应该对被审计者有明确的提示,并做出免责声明。免责声明还应考虑到外部用户,举个例子,笔者给某些跨国大公司的同仁发MSN消息时,都会收到安全审计产品以MSN消息形态发来的免责声明,明确告诉我即时通信内容正受到审核。SifoScopes在这方面做得并不完善,只有IM类软件登录时会有相关提示。而电子邮件、网页浏览等应用虽然也受到审计,却没有任何提示及免责声明。 | |