分享

【Appleleaf: 转载访谈一篇，该文内容非常适合弯曲。 Flashsky是国内知名黑客，冲击波病毒原型的作者。文中其对安全行业发展以及创业的相关评论，个人深表佩服，可供国内摩拳擦掌，跃跃欲试的个体户参考，激情当然要有，深思熟虑也很重要】

问：您对桌面安全软件（杀毒软件、主动防御类软件）的前景有什么看法？
答：
a.在现有计算机体系结构改进之前，病毒/木马的威胁是长期存在不会消亡的
b.但由于操作系统的安全改进，病毒/木马靠漏洞大规模传播的路径将减少，实质威胁会降低，
导致纯杀毒软件的市场需求会降低
c.PC病毒趋势是向应用化（捆绑应用或自身更象应用发展），预装化（捆绑盗版操作系统）发展
d.杀毒软件、主动防御类软件需要改进，应对未来的趋势。

问：Windows7发布后，对安全的影响有哪些？
答：
WINDOWS 7发布，对安全行业的影响巨大。当然，还得看WIN7的普及速度。主要影响：
a.漏洞挖掘和漏洞利用相关的研究领域，漏洞和漏洞可利用性的减少，相关研究领域要么能突破技术瓶颈，
要么能找到更好的研究成果的利用方式。我个人比较看好和测试方向的结合，实现可度量的软件安全性测试。
b.以漏洞为基础的整体攻防产业链，未来的攻防，系统漏洞将逐步降低比例，整个漏洞也会演变成攻防中的
一个重要组成而不象现在漏洞是唯一的技术手段，。因此整个产业链都涉及到技术整合和变革中。
c.新兴的平台或应用：特别是MOBILE设备，随着发展，MOBILE设备的接入方便性，信息资产都会接近现在的
PC，而针对安全漏洞的防护相对当今PC要脆弱很多。另外就是硬件设备，特别是在物联网兴起后。

【Appleleaf：言下之意，Win7如若铜墙铁壁，以Win7漏洞挖掘为生的人要game over了。我个人只是知道Winxp2之后微软发展了一系列防buffer overflow的技术，是否是因为这些技术的普及导致溢出攻击over了？还希望相关专家赐教。】

问：请问您认为智能手机操作系统安全与pc操作系统安全有何异同？
答：
本质上并无不同，但是有些特性
a。智能手机目前还无法做到实时打补丁，相对漏洞的时间窗口会很长
b。目前应用还比较少，所包含的攻击者容易变现的信息资产还比较少，应用和3G上网也还没形成气候，攻击者
发起攻击和攻击后植入木马还有困难，所以目前针对手机的地下产业链还未形成，但是未来，应该是继PC之后，
地下产业链最主要的舞台。因为手机本身也是支付的手段之一，攻击者攻占一台手机后，相对PC又更容易
获取变现的金钱。
c。智能手机平台相对PC更多更杂乱一些，相关攻击的技术方法也还在进一步的研究中。

问：请问您如何看待SDL？
答：
a.SDL是软件工程的重大进步，通过微软的成功实践，证明即使对一个很大的软件工程，通过SDL，也能非常
有效的改善软件的安全。
b.未来，普遍使用的软件，以及用于重要场合的软件，都会也应该逐步采用SDL过程。
c.国内的软件厂商，特别是给国家，重要部门开发使用，以及广泛使用的软件，应该加紧学习SDL并将其应用
到软件开发过程中。

问：请问您认为中国安全行业和国外安全行业相比有什么异同？
答：
视角更具备前瞻性
在VISTA推出之前，SYMANTEC就实施了大的转型。SYMANTEC是家非常独特的公司，最先他做C的编译器，做的
很好，但是微软一开发VC，他就立马推出，进军安全产业，留守的BORLAND后果如何大家也看到了，而SYMANTEC
靠进军安全行业，成为全球最大的安全公司，握有的现金流在IT公司里也是排名前几的。这次SYMANTEC看到
微软改善操作系统安全，实施的转型，其实是一次对安全行业发展的预判。
对比的是MCAFEE，MCAFEE坚守安全业务，但是MCAFEE也是在VISTA出来之初步，重新整合其安全业务，个人觉得，
未来MCAFEE针对个人保护的方向是在WEB信誉评估，隐私保护等这些更外延的安全上。

【Appleleaf：非常好的评论，为了饭碗，安全界的兄弟必须关注】

问：请问您认为在安全行业自主创业必须具备哪些条件？
答：
a.国内创业并不容易：至少需要以下当中的一个： 技术，把握一定的客户或者具备销售能力，人脉或者
说关系, 资金。其中技术是需要其他至少1个因素支撑的因素，如果没有其他因素的支持，除非你的技术
能保证你领先对手很多而客户的需求在相当长一段时间里只有你一家能够满足,否则很容易失败.
b.具备了以上4个要素中的2个(至少1个半吧)，你可以去创业了，但是还需要
一个团队：需要你的领导力，说服力，以及看人才的眼光，以及几个合得来有特长的核心伙伴
毅力：创业一般有3-5年的困难期，这期间你可能低工资甚至没有工资，还要天天顶着倒闭的压力。
眼光：安全行业是一个变化特别快的行业，变化快说明可选择的方向多，但是把握不好就死的更快，而
创业公司资源有限，如何选择适合自己的方向，同时是可以长期发展的方向，是一个非常困难的事情。

【Appleleaf：完全同意，小有补充。老大要选好，也就是要跟对人。最好老大要像马云那样。孙正义给马玉投资3500万美元，仅仅考察了几分钟。据说是因马云的激情以及炯炯之目光。老大眼睛一定要亮：-）】

问：请问您在创业过程中遇到的主要困难有哪些？
答：
a. 创新的矛盾：创新后需要培育市场，创业公司资源少，等到市场培育起来，竞争对手满地都是。
b. 客户认同的问题：创业公司都是从小开始，但是需要创新技术的客户都是大客户，他们考虑问题并不单纯
是技术，包括公司整体的实力以及责任等，小公司即使技术第一，也难以获得客户的认同。
c. 资源和机会的矛盾：创业公司，每个机会都需要去争取，但是争取机会也需要消耗资源。对于资源有限的
创业公司，判断和选择是非常困难的。
d. 抉择方向与坚持方向

【Appleleaf：真金白银之谈】

问：请问您个人下阶段的发展方向是什么？
答：
其实，每个转型都是痛苦的，也是快乐的。痛苦在于，需要不断的学习，并且抛弃一些以前视为很重要的
东西，快乐在于，能让自己理解以前很多不懂的东西。
a.目前是，做好当前的公司，并把很多创新的技术带入进来，坚持以创新的技术为本，并提升自己对
技术/行业发展方向的判断力。
b.未来，其实没有预设的人生，比如我从做大型MIS系统的系统分析员转入做安全研究人员，也就一个月决定
了的事情，相关积累够了，转向相关的领域，做什么都可以，视情况而定。

问：请您给想从事安全行业的大学生一些建议。
答：
a. 第一是兴趣，没有兴趣，事倍功半，有兴趣，事半功倍
b. 第二是打好技术基础，即使只做销售，技术基础是理解一个行业，发展以及你说服客户的重要基础。
c. 第三是遵守道德和法律，记住自己是一名安全从业人员，而不是黑客。

分享

分享

此君在国内名头并不响，在Wiki上竟然也没有人立碑做传，我其实也是在知道PAN之后才听说这个家伙（当然无缘得见）。值此年根岁末，提前回家过节，于是花了一整天时间查资料，写一篇东西同大家共享。

Internet上关于此君新闻不少，有价值的不多，换句话说噪音很大，基本上找到如下东东：

1.学术论著

无。

看看此君自述“For the past 15 years, I have been heavily involved in the design and implementation of network security technologies for enterprise networks. ”

同弓总不同，此人是从完全从工程领域走出的英才。

2.Presentation

作品一篇“Next Generation Firewalls”

3.blog

几篇豆腐块文章，参照http://www.paloaltonetworks.com/researchcenter/author/nir-zuk/

4.Patent

4，5篇，涉及状态跟踪专利，high-availability，日志分析，Packet classification等

5.Interview

几篇，多是荷兰文和日文。天朝大国的娱记都跑到哪里去了？？

英文interview一篇：http://rationalsecurity.typepad.com/blog/2007/11/take5-episode-7.html

MP3一首，就是download不下来。

6.视频多篇

都在Youtube上面，本人看不了。不是本人想不出办法看，实在是遵纪守法良民，不去强求了。

言归正传首先看看此君的名头：

2005-today Founder and CTO at Palo Alto Networks
- Next Generation Firewall
2002-2005 CTO at NetScreen/Juniper
2000-2002 Founder and CTO at OneSecure
- World’s first Network IPS
1994-1999 Principal Engineer at Check Point Software

我等鼠辈，到头来顶多就是个Principal Engineer。人家刚出生就已经是了。大凡工程师都有个臭毛病，就是文人相轻，眼高于顶，只有老子才是对的，别人一概不服，至少是口服心不服。我的感觉是，可以不服老人家，但是对于DE，CTO，首席之类的一定要服，这个世界上确有工程人员千里挑一，可以写出神鬼莫测的code，架构出精妙绝伦的系统。因此，即使和N君从未谋面，看了简历我也心服口服了。

Nir的工程界的创新如下：

１.flow-based stateful-inspection firewall,

２.high-availability for firewalls

3.stateful-signatures for intrusion detection and prevention.

上述特性基本上都是现今各个公司的标准配置了，它们都是如此自然，以至于没有Nir，也必然会被如此这般的做出来。只是Nir出道后一直站在业界前端，得以有此成就。可以说Nir创造了历史，历史也成就了Nir。

看看自述“The depth and breadth of experience I have gained over the last two decades, combined with extensive interaction with thousands of customers, has given me a unique perspective on a variety of network security issues – both at the business level and the technology level.”

对于工程人员来说，最宝贵的是自身积累的研发经验以及对于客户需求的理解，这也是学术界绞尽脑汁也很难写出几篇RFC的原因。因此对于Nir的成功，很难复制，自身的功底和机遇并存。

另外对于，item 1。我查到了Checkpoint的专利。Nir并非第一作者。Nir本人说的明白“I helped create Stateful Inspection, the basis for virtually all network security devices today”.

工程技术往往是协作才能完成大的创新的。

现在我们又可以增加上第四个：

4.Next Generation FW

下面是此君的业界产品评论：

1.对于对手，如秋风扫落叶般的无情：

UTM is a jack of all trades but master of none, or as my good friend Laurent Daudre-Vignier puts it, UTM, and Fortinet specifically, is like a duck. It can fly, swim, walk, dive, tweet and lay eggs but cannot do any of these very well

2.对于老东家，恨铁不成钢

I am pissed off. I am hurt. I built a big part of the Check Point product and to see what a bunch of jerks have done to that company really hurts. Check out  “Check Point Revolutionizes Security with New Software Blade Architecture”. WTH? Are you kidding me? Do you think people are that dumb? Anyone with an IQ over 70 reading the press release will see immediately what it’s about. It is about a new licensing scheme. Check Point’s major innovation is a new freaking LICENSING SCHEME!!! This not only hurts to see. It’s sad. A former top innovator in network security has been spending the last 3 years of its research and development on a licensing scheme aimed at squeezing more money from its customer based. So sad. So sad.

3.对于Juniper青眼有加

There are, however, multifunction devices that have best of breed components in them. Juniper has integrated security devices which have a world-class firewall and a best-of-breed IPS (I built both…).

言语虽然不多，但是性格鲜明。传言，一般牛到Top level的技术人员都很和善。我觉得主要是没有奔头了，满大街都是小弟了，还有什么可以得瑟的。但是Nir似乎不是这样。其实能够做自己想做的事，说自己想说的话，就是一种成功。

以下是此君对技术趋势的评论

1.Proxy－based的安全方案

At one point, TIS excused its proxy’s limited market acceptance by saying Check Point had a better GUI and was easier to manage. I have a different perspective: Proxies have failed because they are hard to use and not because they are hard to manage. Putting a proxy on the network puts unnecessary restrictions on the business, as to what the Internet can be used for. With a proxy, the business is limited to using only the applications that the proxy supports. Consequently, a proxy limits the business instead of enabling it!

2.对于FW

But this time, Richard, I have to disagree with you. Putting a firewall and an IPS on the same box is not innovation. I did it as the CTO of NetScreen more than 6 years ago so it’s certainly not new. And even then it was not innovative.

To make a better firewall, one needs to change the firewall itself.

3.对于Web-base应用

There is a slightly more subtle implication, but to me a far more important one. Google and the likes of Google are establishing a direct relationship with the enterprise end user, bypassing the traditional IT-department controls over which applications are used and who can use them. The IT department only needs to provide the pipes. Google will take care of the rest. And speaking of pipes – that DS3 link you have isn’t big enough. It needs to be upgraded – quickly! Google needs you to have more bandwidth. With everything coming in on ports 80 and 443 to the browser, QoS doesn’t work. So, more bandwidth please.

以及其对于IT部门悲惨结局的预测：

1) Denial (our users are using these applications? Nah!);
2) Anger (our users are using these applications? WTF!);
3) Bargaining (hey, if you stop using these applications we will upgrade your computer);
4) Depression (I can’t believe our users are using these applicationsL);
5) Acceptance (fine, are users really using these applications – let’s deal with it).

4.对于应用识别

I think that a more important trend in network security today is the　move from port-centric to application-centric classificationtechnologies. This will make most of the existing products obsolete,similar to the way stateful inspection has made its predecessorsdisappear from the world…

５.对于网络处理器和通用CPU的性能对比

【本人这方面是菜鸟，听后大感意外，原来Intel CPU这么囧】

Intel CPUs are very good at crunching numbers, running Excelspreadsheets and for playing high-end 3D games. They are not so good athandling packets. For example, the newest quad core Intel CPU canhandle, maybe, 1,500,000 packets per second which amounts to about 1Gbps with small packets. A single network processor, such as the one ofmany that we have in the PA-4000 series, can handle 10 times that -15,000,000 packets per second. Vendors that claim 10 Gbps throughputwith Intel CPUs, do so with large packet sizes which do not representthe real world.

6.对于IPS/IDS产品评价的一些看法

【兄弟深以为然】

As for the IDS/IPS functionality in the PA-4000 productline, it is providing full context for the IDS/IPS signatures for betteraccuracy but the most important reason as to why the PA-4000 productshave better accuracy is because Palo Alto Networks is not a pure IPSvendor and therefore does not need to play the “who has more signatures”game which leads to competing products having thousands of uselesssignatures that only create false positives.

总之我个人喜欢这样人的性格，率性。

我天朝大国，网络安全人士多如牛毛。前几个月，微软公布的安全漏洞尽数被我国民揽入怀中。绿盟和启明星辰在这方面贡献良多。但细想一下，相关牛人多为逆向专家，通俗的说是搞爆破的。对于系统正向架构的人才，很少听到国民扬名海外。Nir就是此中高手。

高中数学老师曾经教训本人“纵使清云无雨色，入云深处亦沾衣”.

兄弟虽然愚钝，但也要好好学习，天天向上，见贤思齐吧:-)

分享

分享

PAN（Palo Alto Networks）的系统是一个系统，而非一堆硬件。软件是其灵魂。但其肉身也值得发烧友看一看。

下面是PAN4K的家族图：

总体而言，PAN的4000系列是一个Dual Core XEON的Intel CPU 的PC主板（控制平面），然后通过PCI-E的Interconnect把数据卡（数据平面）有机的攒在一起。

这种体系结构其实现在也很common。关于基于Intel架构的嵌入式系统结构在《弯曲评论》上也曾经有过讨论。现在看来PAN就是这样做的。其实许多人都在这样做。这也是通常说的Pizza Box的意思。

下面两张图一是PAN4K的控制平面裸奔，另外一张是数据平面裸奔。可以很清楚的看见，在数据平面上，赫然有EZChip的NP2，和地球人都知道的Cavium的16个Core的Octeon CN3860。

另外，一定要注意，在数据平面的右下方，有一个Xilinx的FPGA。很有可能使PAN做AppID Lookup的。

在数据平面图的接口方面，左边从上到下一次是：2×4双层RJ45(8千兆)，2×4双层RJ45(8千兆)，2×4单层SFP(8千兆)，（光模块，用来接入与路由器互联，例如）和一个RJ45 Out of Band Mgt。从而在这张图中，有16个10/100/1000 端口；8个GigE端口和一个管理口。从图中可以看到，PHY，Mac和Switch芯片都是来自Vitesse公司。另外，这张数据平面图显然不是PAN最高端的4060，而更像是4050。4060的接口上4个XFP和4个SFP光模块，没有这么多的RJ25电接口。该图中的PHY很像是Vitesse的4端口的VSC8224芯片。因此左上角有4个PHY，4×4=16个端口。

PAN系统由于只用了一个10G的EZChip NP2，所以不可能做40G。这也是为啥PAN能而且目前只能声称10GFW的原因。另外，这里的10G是指单向。也可以说20G的throughput。 有兴趣的读者可参阅EZChip NP2 Product Brief。

4个VSC PHY芯片左边黑色的VSC芯片应该是个MAC芯片，例如，VSC7324系列。原因如下：16+8=24个 GigE port，EZChip NP2自己内部的Mac带不动了。NP2只能支持10个通过RGMII（total 10G)把外部的PHY忽悠进来。所以在PAN 4K的系统中，很有可能是用外部的Mac，然后通过MAC的SPI4.2 interface接入EZChip。

换言之，Packet是SPI 进入EZ，SPI离开EZ去Cavium Octane。EZ有两个10G的SPI 4.2 Interface。因此，EZChip的RGMII和XGMII interface在PAN系统中估计没有用。

在主板方面，要注意的是其内接硬盘。原因似乎也很简单。IDP要有大量的Log数据。主板CPU的一些基本参数应该是：Intel Xeon LV Sossaman Dual-Core – 1.66GHz；Bus speed (MHz)  667；L2 cache size (KB) 2048。Xeon LV的微结构应该是Pentium-M。有兴趣的读者可以参阅陈首席的“Intel CPU与微结构映射关系图”

PAN对外宣传4K的性能指标为：

10 Gbps firewall throughput
5 Gbps threat prevention throughput
2 Gbps IPSec VPN throughput
4,000 IPSec VPN tunnels and tunnel interfaces
60,000 new sessions per second
2,000,000 max sessions
(4) 10 Gigabit XFP + (4) Gigabit SFP
(2) Dedicated high availability interfaces (10/100/1000)
(1) Dedicated out of band management interface (10/100/1000)
(1) DB9 interface

有兴趣的读者可以参与PAN产品规约。PAN系统可以识别800多个App ID。

分享

分享

受首席之托关注一下PAN的产品。该公司产品我没用过，说明书也没有时间看（应该又是数百上千页的英文文档）。但是我不是很相信在应用安全功能上PAN能够开山立派，因为今天的应用安全功能在n年前就有人提出来并描述过，其中也包括PAN借以成名的应用识别。只不过没有市场驱动，没有竞争压力，Cisco和Juniper懒得去做，现在火烧屁股，不得不做了。

PAN的创新我觉得有两点：

1.功能集合的创新

将应用识别首先和FW攒起来，并且达到商用标准，切合应用标准，用户体验更爽。随着DPI以及应用识别功能逐渐成为各家产品的标配，我觉得PAN安全功能上的优势逐渐缩小（我是说功能而非性能）。

2.系统架构的创新（这点是我昨天刚刚悟出来的）

大家都是攒机器，PAN可能攒的更好。

我个人理解应用安全系统的核心组件式“引擎+signature+policy”（当然所有组件包括硬件平台，管理系统，TCP子系统都是核心，但是我的意思是从应用安全功能角度考虑，没有瞧不起其他同仁的意思：-））。其中引擎决定了signature，两者是一体的，因此可以简化为“引擎+policy”。前面我提到过，应用安全主要功能就是visibility+control，这里engine对应visibility，policy决定control。这样说大家是否更明白一些了。

本人在站内偶然搜的首席的一片PAN相关文章“网络安全公司PaloAlto Networks”，且有幸看到了弓总的一篇回帖，如醍醐灌顶，豁然开朗。弓总曰到：“我当时做架构的两个重要理念就是一体化引擎和一体化的策略框架（policy framework). 这在我看来，是保证高性能和易用性的关键。我很高兴，PAN公司一直坚持这点作为和UTM的重要区分线，Gartner 也认可。”

弓总点到为止，这时候就得靠“悟”了。

首先估计一下现有的应用安全系统实现：

应该大体都是接力棒形式的，你干你的，完事把包给我，我再接着干。系统这样实现是有原因的，也是有好处的：

1.兼容遗留系统。系统往往不是一蹴而就的，新feature的加入要以不break已有功能为前提，否则必出血案。除非你能保证：

a.被break模块owner的生命安全（Job Security）。

b.引入的新bug你来负责。

2.分割软件复杂度。

这是最重要的优点，一线工程师做起来更容易。

所谓“一体化引擎”，我的猜测如下：

打碎坛坛罐罐，管他祖传丸散还是秘制膏丹，全部打碎。从全局的角度统一设计engine。这样的一个明显的优点是去除冗余，更加高效，理想的实现是每个报文仅仅parse一遍。最好连signature都统一起来。我本想花张图，但是感觉又不好画，大家也“悟”把。

所谓“一体化策略”，估计也类似。将各个不同模块的policy通盘考虑，分清层次，减少冗余（别存那么多五元组），提高性能（别搞那么多没有的匹配）。

如果是这样，确实比简单的Integration看的更深远。

这样的系统实现，对于架构师要求极高，我粗略的想了一下，头脑有些发晕。感觉有点像功力未到，强练葵花宝典一样。架构这样的系统，架构师本人首先要通晓现今安全需求，还要预知未来，谁也说不定今后是否有新的应用安全功能需要集成到系统中，且同所设计的系统架构冲突。

总之上述都是“我猜，我猜，我猜猜猜”，或许实际情况远不是这么回事。

但如果和我想的一样则：

PAN的NGFW同UTM的区别不在于应用安全功能本身，而在于系统架构，也就是白炽灯和节能灯的区别，虽然都能发光，但是前者终将被淘汰。

真的希望弓总茶余饭后能看到这篇东西给个Yes，No。

分享

分享

Immunet是一家初创公司，专注于反病毒技术安全服务等，例如例如通过Facebook，twitter，开心网的社区等等。Immunet公司创办于2008年7月。其自认为是反病毒（Anti-Virus)技术很优秀的一个公司。最近还成功忽悠到了2百万美金的风投。投资公司是Altos Ventures。Immunet反病毒的技术有点新意，是通过一个社区合作或者云计算的方式，有点类似居委会大妈，大娘，片警联合布控的方式；或者人民战争的方式来对付小偷，好色之徒，强盗。从而更多的人加入Immunet的反病毒社区中，Immunet反病毒的能力就越大。构造了一个良性的正反馈系统。。。

这也有点类似于《弯曲评论》读者讨论时提到过的“共产主义”–各个公司共享病毒的特征库。。。。。。

Immunet的产品“Immunet Protect”目前是Free。可以免费下载。

Immunet的创办人和现在的老大是Oliver Friedrichs。其原来在Symantec和McAfee都穿过军装。现在自己又当大王了。为什么是“又”？Oliver之前创办过2个公司，都不错。一个（SecurityFocus ）被Symantec收编；一个（Secure Networks,）被McAfee收编。感觉是个厉害的江湖高手。

Immunet公司位于硅谷的Palo Alto。希望加盟的读者可以琢磨琢磨。这种公司要去就要早。为啥涅？因为其出路通常还是被收编。

Immunet的管理团队信息可参阅：Immunet Management Team。

分享

分享

【下面Top 10是通信世界网评选出来的2009年度的10大新闻。感觉不错。】 

1.    中国3G启动

2009年1月7日，中国电信产业酝酿多年的3G牌照终于落地。工业和信息化部部长李毅中亲手将TD-SCDMA、CDMA2000、WCDMA三张3G牌照发放给中国移动、中国电信、中国联通三家运营商。

由此，三大运营商展开了如火如荼的3G网络建设，并将带动网络建设、系统建设、信息服务等产业链共同发展。据工信部统计，中国3G建设将直接拉动投资2000多亿元，在未来3年内，整个3G产业链将拉动1.8万亿—2万亿元的社会投资。

更为重要的我国自有知识产权的3G标准——TD-SCDMA将与其他两个国家标准同台竞技，摆脱了在国际通信标准及产业化方面受制于人的局面，使我国在向电信强国发展的道路上又更进一步。

在电信重组完成后，三大运营商已经成为可以同时展开固话业务与移动业务的全业务运营商，3G将是三大运营商新的起跑线，改变以往中国电信市场一家独大的失衡格局。同时，3G牌照的发放将有效提高移动网络带宽，促使运营商开发符合用户需求的各种新业务、新技术，提高运营商之间竞争的技术含量，摆脱低价竞争的恶性循环。

2009年是国际经济局势动荡不安的一年，在国际经济危机的大背景下我国3G牌照的发放对扩大内需，刺激经济发展起到了重要作用。

2.    小灵通三年内退市

小灵通退市消息一出，立刻引起社会各界的关注，可谓一石激起千层浪。

2009年2月13日，工信部印发了《关于1900-1920MHz频段无线接入系统相关事宜的通知》，部署在2011年底前完成1900-1920MHz频段的清频工作。

1998年1月，小灵通开始进入中国市场，浙江余杭区正式开通小灵通，实行单向收费，月租费20元，资费每分钟0.2元。相对于当时高企的手机资费，小灵通利用自身优势几乎创造了一个神话，在其发展的最顶峰的2006年，其用户数达到近1亿。随后，由于移动通信技术的快速发展，资费不断下降，小灵通开始走向下坡路。

社会各界对小灵通的退市褒贬不一，就如同它刚进入中国之初一般无二，但是不可否认的是小灵通十余年的发展历史值得肯定，而退市也已成为不可避免的历史趋势,中国监管机构和运营商应仔细反思小灵通带给产业的成败得失。

3.    北电申请破产保护并分拆出售

2009年1月14日曾经显赫一时的北电网络正式向法庭提出申请破产保护，并随后的时间里展开业务的分拆出售。

北电最辉煌的年代在20世纪末，领先的光通信技术把北电送到电信设备上前三位的领域。随后，由于互联网的兴起，北电所掌握的10G容量光纤技术脱颖而出，使得北电的订单如雪花般飞来。但2000年后，互联网泡沫破裂，北电40亿美元的产品积压，造成了极大的损失。随后北电又投入巨资研发40G光传输网络，但运营商的网络扩容变得更加理性，北电从此陷入低迷，直至今年不得不以分拆出售为结局。

“北电见证了电信业这么多年的发展历程，算得上电信业的百年老店。这家公司非常值得尊敬。”一位老电信人这样评价北电。今天看来，北电的倒下除了市场环境恶化，竞争加剧等外部原因之外，还有重要的一点值得借鉴：技术路线的选择必须与市场需求相符。

4.    iPhone入华

10月30日，中国联通在北京举行了iPhone入华的首发式，中国的苹果迷们终于可以使用正版的iPhone了。

对于全球手机产业来说，iPhone是一款革命性的产品。除了美轮美奂的外形设计，出色的应用功能成为全世界厂商、运营商效仿的对象，“创新”一词再一次被乔布斯重新诠释。

坊间传言联通三年将报销500万部iPhone，联通为引入iPhone付出的代价不可谓不大，也另苹果迷和媒体们翘首企盼。无疑联通希望利用iPhone知名度为自己的3G业务展开加上重重的一笔，但到今天为止我们还无法确认，iPhone入华究竟谁是最后的赢家。

5.    九部委联合打击手机黄色产业链

从2009年12月到2010年5月底，中央外宣办、全国”扫黄打非”办、工业和信息化部、公安部、新闻出版总署等九部门将在全国范围内联合开展深入整治互联网和手机媒体淫秽色情及低俗信息专项行动。

此后，工业和信息化部多次发文强调配合其他部委工作，并与运营商采取积极措施治理手机和互联网低俗信息。

企业社会责任在这一网络低俗内容专项整治事件中再次成为焦点。运营商与增值业务提供商综合交错的利益链条纵容了手机黄色低俗内容的泛滥，与既得利益相比运营商应更多的考虑企业在社会中承担的责任，这一时刻“不作恶”再次成为企业的终极信条。

6.    华为成为全球第二大电信设备供应商

2009年第三季度，研究公司Dell’Oro称，华为现在已经超越诺基亚西门子通信公司(Nokia Siemens Networks)，获得全球电信设备业20%的收入，成为世界第二大电信设备供应商，仅次于爱立信公司(Ericsson)。分析称，华为的快速成长主要得益于其GSM设备在印度销售强劲和中国市场的3G牌照的发放。

无独有偶，这又是一个冬天，一个全球经济的冬天。由“土狼”变身为全球第二的华为在过去的“冬天”中不断成长，不断突破自我，成为中国高科技企业的一面旗帜。也许“第二”并不是华为的最终目标，但它必须在这里留下自己的足迹。

7.    铁通正式分拆

2009年12月15日，中国铁通“分家”终于尘埃落定。中国移动与铁道部达成的协议，与铁路通信相关的业务划至铁道部，包括铁路运输生产专用电话、站车广播、铁路专用数据通信等业务；而固话及宽带等业务划归中国移动。“中国铁通”的名称仍将留在中国移动。

2000年12月，铁通前身铁道通信信息有限责任公司成立。2004年，铁通脱离铁道部划归国资委，并成为当时国内排名第5的电信运营商。2008年电信业大重组，铁通并入中国移动。此后，关于铁通分拆的传言不断，今年12月终于水落石出。

9年创业之后，又归于原点，铁通的分拆多少有些苍凉和悲怆，这也标志着由2008年开启的重组大幕全面收官，中国通信产业进入了一个崭新的时代。

8.    高锟获得诺贝尔奖

2009年10月6日下午，瑞典皇家科学院宣布华裔科学家高锟与另外两位美国科学家一起活得2009年度物理学奖。高锟的获奖理由为——“在光学通信领域光在光纤中传输方面所取得的开创性成就”。

高锟于1933年出生于上海金山的一个书香世家，曾任香港中文大学校长，在2000年与邓小平一起被《亚洲新闻周刊》选为“二十世纪亚洲风云人物”。1996年当选为中国科学院外籍院士。

1981年，经过高锟的不懈努力，第一个光纤系统面世。那时，谁也不会想到比人的头发还要纤细的光纤会取代体积庞大的千百万条铜线，成为传送容量接近无限的信息传输管道，彻底改变了人类的通讯模式。

9.    漫游费调整

工信部、国家发改委于12月11日发布了《关于简化移动电话拨打长途电话资费的通知》，主要内容为简化移动电话拨打长途电话的资费结构，要求实行单一计费方式。

通知要求“手机长话一费制”，就是将基本费和长途费两项收费合一，在本地用手机拨打国内长途时“仅收取相应的长途通话费”，实际就是不再收取本地基本通话费。此次调整后，手机用户拨打长途实行单一计费，收费结构更为合理。

自1994年开始，国内移动电话拨打长途电话，除收取长途通话费外，还叠加收取本地通话费或漫游费。2008年，上述两部委发文将国内漫游通话费上限标准统一降至每分钟0.6元，解决了用户在漫游状态下拨打国内长途电话叠加计费问题。

此次资费调整使运营商的资费结构更为简单，也进一步表明语音业务低值化是大势所趋，运营商应顺应这种趋势，尽快优化业务结构，推出更丰富的数据业务。

10.移动互联网成焦点

2009年12月8日到9日，2009（第三届）移动互联网国际研讨会在北京召开。

在前两届成功举办的基础之上，中国移动决定基于开放、合作、共赢的原则，与国际、国内产业界紧密携手，结合中国移动的实践、创新和认识，举办第三届“移动互联网研讨会”，并全面完善和提升这个产业参与者分享和互动的国际性交流平台；通过这个平台，探讨移动互联产业发展方向，凝聚产业精英，共谋产业未来。

事实证明，本次国际研讨会各方观点的精彩碰撞必将成为今后移动互联网进一步发展的风向标。

分享

分享

       FireEye是一家研制计算机安全软件的初创公司，它创建于2005年，位于硅谷的Milpitas市。它的主要产品是对抗Malware和Botnet的软件，称为FACT（FireEye Analysis & Control Technology），号称“utilizes virtual machines to perform real-time, dynamic analysis on suspicious traffic flows.”。Botnet这个词有些读者可能不熟悉，它指的是Software Robot，多用于指有恶意的Robot软件，但也可以包括象Google，Yahoo的web crawler等。

      FireEye的创始人兼CEO是Ashar Aziz，他曾担任Sun Micro的DE（Distinguished Engineer），曾创办TerraSpring公司，后被Sun收购。工程副总裁是Bahman Mahbod，他曾在IBM，Sybase等公司工作。FireEye的高管中还曾经有一位华人，弓峰敏，担任‘Chief Security Content Officer’。弓博士1984年毕业于西安交大计算机系，1992年获得美国圣路易斯华盛顿大学（Washington University in Saint Louis）计算机专业博士学位。弓博士还是Palo Alto Networks的共同创始人和首席科学家，他还曾创办IntruVert Networks公司，2003年被McAfee收购，他也转入McAfee任首席科学家。目前弓博士任职华赛公司首席科学家。

      FireEye至今已获得风投资金共约3500万美元，主要投资商有Sequoia Capital，Norwest Venture Partners，JAFCO Ventures，SVB Capital，和Juniper Networks等。

弯曲评论相关文章：
网络安全公司PaloAlto Networks

分享

分享

广留交会，简称广州留学生援交会，历来很火爆。似乎不去整一下就不是人才。 据说这次交友会的规模创下了历史之最。。。看了一下相关数据。在创业方面，可以忽悠600万现金，确实还是很有吸引力的。可惜，不知道该如何申请：-）

下面是高校方面忽悠方与被忽悠方的一个博弈，请欣赏：-）：

海南大学校长李建保开出1000万天价的优厚条件，令现场一时沸腾起来。“我们的教师家属宿舍，只要打开窗户，把钓竿伸进海里，还可以钓鲨鱼！”幽默的李建保甚至用“每天一筐新鲜水果”、“冬天能够穿短袖上班”作为撒手锏，吸引在场的海归。

另外，留交会（真心的认为应该换个名字。留学生援交会也可以简称为留交会）的主站上有一个第四届“春晖杯”创业大赛入围项目一览表。大家可以看看入围项目的Title。有的比较拉风，例如， 编号为200900224 的项目。项目名称为“个人超级计算机的研发及推广”。忽悠者为： 孟宪东。是一个来自美利坚帝国的博士。

窃以为人才回归是个好现象。虽然真人才，假人才，但毕竟还是有真人才的。 说心里话，1000万去中国的夏威夷当个老师，还真不错：-）。但是，天下应该没有白食。

有兴趣的读者可以参阅：中国留学人员广州科技交流会主站。

附录： 国务院“千人计划”　掀海归回国潮

中国经济指标已总体回升趋好，加上国务院引进海外高层次人才“千人计划”等政策刺激，新一轮高层次海归人员回国创业热潮正在兴起。文汇报记者从26日开幕的第12届中国留学人员广州科技交流会上获悉，此次留交会吸引的高层次人才创下历史之最，参会的2400多名留学人员当中，超过1200人具有博士以上学历。

据悉，本届留交会受到中央及地方的高度重视，中组部、全国人大外事委员会、教育部、人保部、国务院侨办、中国科学院、中央组织部人才工作局、科技部等国家有关部门均派出相关领导参加。本届留交会也得到众多留学人员的关注，近2400名海外高层次留学人员、120个留学人员专业社团携850多项高新技术项目参展本届留交会，高出往届近20%。这些留学人员当中，拥有博士学位的留学人员占55%，其余人员全都拥有硕士学位。

纷提诱人条件抢“海龟”

据悉，今年留交会的展会面积达3万平方米，远超历届规模。来自全国各地的展台纷纷打出醒目的揽人招牌，不少地市的市领导亲自出马，向到场的留学人员介绍当地的人才招聘计划。不过，似乎沿海地区省市的展台人气明显旺于内地省份，而其中又以上海、广州展台的人气最旺，前来谘询的留学生几乎挤满了展厅的各个位置。

为了能够招揽到更多高端海归人才，各地出台十分诱人的刺激及奖励措施。其中，厦门火炬高新区推出《引进境外科技创业创新领军人才办法》，根据该规定，在厦门火炬高新区的领军人才，可获得“7个100”的扶持，包括：提供不少于100万元的生活补助；提供不低于100万元的创业扶持基金；最高达100万元的贴息扶持等。而杭州市高新区也推出100万元扶持基金、100万元免息贷款、3年免租金的优惠条件。

而作为东道主，广东及广州的优惠及奖励条件则更具刺激性。根据广东省出台关于引进留学人才的办法，对于创新团队，资助金额最高达1亿元，分成1亿元、8千万元、3千万元三个档次；广州开发区也出台了领军人才的办法，被认定为领军人才可以拿到近1500万的资助，其中有600万是直接以现金的形式体现的，另外 300万体现在医疗保健、住房、交通、体育设施方面。如果一个留学人才在广州开发区被认定为是领军人才的话，省、市的优惠政策都能享受到，甚至能够进入 “千人计划”的资助。

中央明年再出引才新措施

主办方介绍，今年留交会之所以受到留学生及内地招聘单位的热捧，很大一部分是源于国务院出台的“千人计划”，各地都加大了对高端人才的引才力度，而这也激发了海外优秀留学人员回国创业的热情。中组部副部长李智勇介绍，“千人计划”实施以来，已有326名海外高层次人才入选“千人计划”，还有400位人选正在评审之中。明年将进一步拓宽“千人计划”的引才渠道和范围，完善相关政策和办法，在更广的领域吸引更多的优秀海外高层次人才回国创新创业。

分享

分享

最后看一下故事的主角ScanSafe本身，ScanSafe主要提供下述的安全特性。

1.Web Malware Scanning

如果看了第一篇，我们应该知道IronPort也有这个东东。但是IronPort的引擎是同其它厂家合作的，而ScanSafe是自身的，其注册商标如下：

ScanSafe Web Security is powered by Outbreak Intelligence which comprises of numerous correlated detection technologies, automated machine-learning heuristics, and multiple “scanlets”

从上图可知，其支持扫描的文件类别。

2. Web Filtering

首先是URL过滤

从其特性描述看，有一些亮点：

例如

* Policy management by custom grouping, LDAP, and time-based policies

结合了用户role进行policy设定等。更多细节可以参照其web site。

另外最拉风的feature是Safe Way To Search

其实现方式是hack搜索引擎的结果，并且结合自身的URL安全信息库给出用户提示。

这真是一个绝妙的Idea，兄弟佩服的五体投地，工程技术和用户体验的完美的结合。

3.IM Control

这个IronPort就没有了，其目的是提高管理员对于IM应用的透明度，可以实现block外发文件等种种action。

综上所述，ScanSafe也是防护Client端设备的，比IronPort的Web安全设备做的更细致更好，且是业界老大，因此不难理解Cisco为什么并购ScanSafe了。从下述Cisco的官网的声明也可以看出，最终Cisco也将该产品并入了IronPort，补充IronPort的web安全功能。

By acquiring ScanSafe, Cisco is building on its successful acquisition of leading on-premise content security provider IronPort.  The acquisition brings together the Cisco IronPort high-performance Web Security Appliance and ScanSafe’s leading SaaS Web security service to offer superior on-premise, hosted, and hybrid-hosted Web security solutions.  The combination is expected to provide better protection from threats, while flexible delivery options will enhance Cisco’s ability to protect the borderless network as organizations increasingly depend on Web 2.0 and mobility technologies to collaborate and conduct business.

分享

分享

这是一个同事前几天和我提到的话题，看似比较大。我思考了一阵，有一些想法。这些想法应该大都是已有的，且都是我自己比较认同的。欢迎大家探讨。

首先看看应用安全功能本身的发展。我觉得还是那两个字：Visibility and Control。大家可以体会一下FW，AntiVirus，IDS/IPS，DLP，URL过滤，NAC, P2P等应用识别以及APP QOS…，其功能是否就是一直在按照这个要求发展。有读者可能会提出，那私密性呢？VPN呢？VPN不属于应用安全，无论VPN的承载协议位于哪个层次，其实质还是隧道协议，是在公用隧道上的私密性的保护，而且终结之后还是要走我们提到的安全控制流程。其他安全要求，在不同场合也许更重要，但从整体来看笔者认为还是Visibility and Control。

有关Visibiliy，尤其是应用层安全识别技术近年大热，我关注过下述一些公司的产品，这些公司通过研发和并购都在最近一两年内强化了其FW的应用识别功能，支持数百乃至上千种应用协议的识别（其中很多是所谓Web2.0应用）。

1.CheckPoint

2.MaCfee

3.Fortinet

4.Palo Alto

……

竞争必将Visibility推向极致。并且我断言应用安全识别技术不远的将来也会是国内厂商FW的标准配置。

从应用安全的设备发展来看，我觉得也是两个方面：Integration and High Performance。

1. Integraion

自从VPN加到FW之后，这个趋势就一直没有停止过。不仅仅是UTM这样的边缘用设备具有了多种安全特性，核心网大安全设备也在不停的堆积新的特性，将多种功能的盒子合并为一个。甚至Router和Switch也在融合网络安全设备特性，未来即使router吃掉FW，我也不会觉得奇怪。这个没有办法，用户需求推动使然。一来用户需要简洁的网络部署，二来需要节省银子。

应用功能的合并，并非简单的像堆积木，仅仅是代码的合并。其对于架构和开发人员是很大的考验，实际往往是功能之间相互影响制约，按下葫芦起了瓢，有各种问题，尤其是性能方面。其中的TCP子系统又是关键，没有对于多种安全特性的相关研发经验是设计不好的。

2. High Perfomance

这个也由来于用户需求推动，宽带接入的普及以及带宽的提高是不可阻挡的历史潮流。像香港，新加坡这样的发达地区，都在规划未来GBit入户，对比可见想见带宽提高未来还有多大的空间。从华赛的80G FW到Juniper的120 G FW，这绝对仅仅是是飙车的开始。对于像WAF这样的产品，我看到的报道往往都是用户对于性能的抱怨，如果能够横空出世几款高性能低价格的产品，必然大卖，有时安全功能本身反而退化为用户的第二需求了。

一家之言，欢迎大家讨论。

弯曲给我的最大的感受是有争论，没有谩骂，是一片净土，感谢首席，杰夫和幕后的维护人员。

分享