Flashsky访谈 (转载)
作者 appleleaf | 2009-12-31 01:42 | 类型 行业动感 | 3条用户评论 »
【Appleleaf: 转载访谈一篇,该文内容非常适合弯曲。 Flashsky是国内知名黑客,冲击波病毒原型的作者。文中其对安全行业发展以及创业的相关评论,个人深表佩服,可供国内摩拳擦掌,跃跃欲试的个体户参考,激情当然要有,深思熟虑也很重要】 问:您对桌面安全软件(杀毒软件、主动防御类软件)的前景有什么看法? 问:Windows7发布后,对安全的影响有哪些? 【Appleleaf:言下之意,Win7如若铜墙铁壁,以Win7漏洞挖掘为生的人要game over了。我个人只是知道Winxp2之后微软发展了一系列防buffer overflow的技术,是否是因为这些技术的普及导致溢出攻击over了?还希望相关专家赐教。】 问:请问您认为智能手机操作系统安全与pc操作系统安全有何异同? 问:请问您如何看待SDL? 问:请问您认为中国安全行业和国外安全行业相比有什么异同? 【Appleleaf:非常好的评论,为了饭碗,安全界的兄弟必须关注】 问:请问您认为在安全行业自主创业必须具备哪些条件? 【Appleleaf:完全同意,小有补充。老大要选好,也就是要跟对人。最好老大要像马云那样。孙正义给马玉投资3500万美元,仅仅考察了几分钟。据说是因马云的激情以及炯炯之目光。老大眼睛一定要亮:-)】 问:请问您在创业过程中遇到的主要困难有哪些? 【Appleleaf:真金白银之谈】 问:请问您个人下阶段的发展方向是什么? 问:请您给想从事安全行业的大学生一些建议。 | |
“Nir Zuk”小析
作者 appleleaf | 2009-12-30 20:33 | 类型 行业动感 | 22条用户评论 »
此君在国内名头并不响,在Wiki上竟然也没有人立碑做传,我其实也是在知道PAN之后才听说这个家伙(当然无缘得见)。值此年根岁末,提前回家过节,于是花了一整天时间查资料,写一篇东西同大家共享。 Internet上关于此君新闻不少,有价值的不多,换句话说噪音很大,基本上找到如下东东: 1.学术论著 无。 看看此君自述“For the past 15 years, I have been heavily involved in the design and implementation of network security technologies for enterprise networks. ” 同弓总不同,此人是从完全从工程领域走出的英才。 2.Presentation 作品一篇“Next Generation Firewalls” 3.blog 几篇豆腐块文章,参照http://www.paloaltonetworks.com/researchcenter/author/nir-zuk/ 4.Patent 4,5篇,涉及状态跟踪专利,high-availability,日志分析,Packet classification等 5.Interview 几篇,多是荷兰文和日文。天朝大国的娱记都跑到哪里去了?? 英文interview一篇:http://rationalsecurity.typepad.com/blog/2007/11/take5-episode-7.html MP3一首,就是download不下来。 6.视频多篇 都在Youtube上面,本人看不了。不是本人想不出办法看,实在是遵纪守法良民,不去强求了。 言归正传首先看看此君的名头: 2005-today Founder and CTO at Palo Alto Networks 我等鼠辈,到头来顶多就是个Principal Engineer。人家刚出生就已经是了。大凡工程师都有个臭毛病,就是文人相轻,眼高于顶,只有老子才是对的,别人一概不服,至少是口服心不服。我的感觉是,可以不服老人家,但是对于DE,CTO,首席之类的一定要服,这个世界上确有工程人员千里挑一,可以写出神鬼莫测的code,架构出精妙绝伦的系统。因此,即使和N君从未谋面,看了简历我也心服口服了。 Nir的工程界的创新如下: 1.flow-based stateful-inspection firewall, 2.high-availability for firewalls 3.stateful-signatures for intrusion detection and prevention. 上述特性基本上都是现今各个公司的标准配置了,它们都是如此自然,以至于没有Nir,也必然会被如此这般的做出来。只是Nir出道后一直站在业界前端,得以有此成就。可以说Nir创造了历史,历史也成就了Nir。 看看自述“The depth and breadth of experience I have gained over the last two decades, combined with extensive interaction with thousands of customers, has given me a unique perspective on a variety of network security issues – both at the business level and the technology level.” 对于工程人员来说,最宝贵的是自身积累的研发经验以及对于客户需求的理解,这也是学术界绞尽脑汁也很难写出几篇RFC的原因。因此对于Nir的成功,很难复制,自身的功底和机遇并存。 另外对于,item 1。我查到了Checkpoint的专利。Nir并非第一作者。Nir本人说的明白“I helped create Stateful Inspection, the basis for virtually all network security devices today”. 工程技术往往是协作才能完成大的创新的。 现在我们又可以增加上第四个: 4.Next Generation FW 下面是此君的业界产品评论: 1.对于对手,如秋风扫落叶般的无情: UTM is a jack of all trades but master of none, or as my good friend Laurent Daudre-Vignier puts it, UTM, and Fortinet specifically, is like a duck. It can fly, swim, walk, dive, tweet and lay eggs but cannot do any of these very well 2.对于老东家,恨铁不成钢 I am pissed off. I am hurt. I built a big part of the Check Point product and to see what a bunch of jerks have done to that company really hurts. Check out “Check Point Revolutionizes Security with New Software Blade Architecture”. WTH? Are you kidding me? Do you think people are that dumb? Anyone with an IQ over 70 reading the press release will see immediately what it’s about. It is about a new licensing scheme. Check Point’s major innovation is a new freaking LICENSING SCHEME!!! This not only hurts to see. It’s sad. A former top innovator in network security has been spending the last 3 years of its research and development on a licensing scheme aimed at squeezing more money from its customer based. So sad. So sad. 3.对于Juniper青眼有加 There are, however, multifunction devices that have best of breed components in them. Juniper has integrated security devices which have a world-class firewall and a best-of-breed IPS (I built both…). 言语虽然不多,但是性格鲜明。传言,一般牛到Top level的技术人员都很和善。我觉得主要是没有奔头了,满大街都是小弟了,还有什么可以得瑟的。但是Nir似乎不是这样。其实能够做自己想做的事,说自己想说的话,就是一种成功。 以下是此君对技术趋势的评论 1.Proxy-based的安全方案 At one point, TIS excused its proxy’s limited market acceptance by saying Check Point had a better GUI and was easier to manage. I have a different perspective: Proxies have failed because they are hard to use and not because they are hard to manage. Putting a proxy on the network puts unnecessary restrictions on the business, as to what the Internet can be used for. With a proxy, the business is limited to using only the applications that the proxy supports. Consequently, a proxy limits the business instead of enabling it! 2.对于FW But this time, Richard, I have to disagree with you. Putting a firewall and an IPS on the same box is not innovation. I did it as the CTO of NetScreen more than 6 years ago so it’s certainly not new. And even then it was not innovative. To make a better firewall, one needs to change the firewall itself. 3.对于Web-base应用 There is a slightly more subtle implication, but to me a far more important one. Google and the likes of Google are establishing a direct relationship with the enterprise end user, bypassing the traditional IT-department controls over which applications are used and who can use them. The IT department only needs to provide the pipes. Google will take care of the rest. And speaking of pipes – that DS3 link you have isn’t big enough. It needs to be upgraded – quickly! Google needs you to have more bandwidth. With everything coming in on ports 80 and 443 to the browser, QoS doesn’t work. So, more bandwidth please. 以及其对于IT部门悲惨结局的预测: 1) Denial (our users are using these applications? Nah!); 4.对于应用识别 I think that a more important trend in network security today is the move from port-centric to application-centric classificationtechnologies. This will make most of the existing products obsolete,similar to the way stateful inspection has made its predecessorsdisappear from the world… 5.对于网络处理器和通用CPU的性能对比 【本人这方面是菜鸟,听后大感意外,原来Intel CPU这么囧】 Intel CPUs are very good at crunching numbers, running Excelspreadsheets and for playing high-end 3D games. They are not so good athandling packets. For example, the newest quad core Intel CPU canhandle, maybe, 1,500,000 packets per second which amounts to about 1Gbps with small packets. A single network processor, such as the one ofmany that we have in the PA-4000 series, can handle 10 times that -15,000,000 packets per second. Vendors that claim 10 Gbps throughputwith Intel CPUs, do so with large packet sizes which do not representthe real world. 6.对于IPS/IDS产品评价的一些看法 【兄弟深以为然】 As for the IDS/IPS functionality in the PA-4000 productline, it is providing full context for the IDS/IPS signatures for betteraccuracy but the most important reason as to why the PA-4000 productshave better accuracy is because Palo Alto Networks is not a pure IPSvendor and therefore does not need to play the “who has more signatures”game which leads to competing products having thousands of uselesssignatures that only create false positives. 总之我个人喜欢这样人的性格,率性。 我天朝大国,网络安全人士多如牛毛。前几个月,微软公布的安全漏洞尽数被我国民揽入怀中。绿盟和启明星辰在这方面贡献良多。但细想一下,相关牛人多为逆向专家,通俗的说是搞爆破的。对于系统正向架构的人才,很少听到国民扬名海外。Nir就是此中高手。 高中数学老师曾经教训本人“纵使清云无雨色,入云深处亦沾衣”. 兄弟虽然愚钝,但也要好好学习,天天向上,见贤思齐吧:-) | |
PAN硬件体系结构浅析
作者 陈怀临 | 2009-12-30 12:02 | 类型 行业动感, 通讯产品 | 54条用户评论 »
PAN(Palo Alto Networks)的系统是一个系统,而非一堆硬件。软件是其灵魂。但其肉身也值得发烧友看一看。 下面是PAN4K的家族图: 总体而言,PAN的4000系列是一个Dual Core XEON的Intel CPU 的PC主板(控制平面),然后通过PCI-E的Interconnect把数据卡(数据平面)有机的攒在一起。 这种体系结构其实现在也很common。关于基于Intel架构的嵌入式系统结构在《弯曲评论》上也曾经有过讨论。现在看来PAN就是这样做的。其实许多人都在这样做。这也是通常说的Pizza Box的意思。 下面两张图一是PAN4K的控制平面裸奔,另外一张是数据平面裸奔。可以很清楚的看见,在数据平面上,赫然有EZChip的NP2,和地球人都知道的Cavium的16个Core的Octeon CN3860。
另外,一定要注意,在数据平面的右下方,有一个Xilinx的FPGA。很有可能使PAN做AppID Lookup的。 在数据平面图的接口方面,左边从上到下一次是:2×4双层RJ45(8千兆),2×4双层RJ45(8千兆),2×4单层SFP(8千兆),(光模块,用来接入与路由器互联,例如)和一个RJ45 Out of Band Mgt。从而在这张图中,有16个10/100/1000 端口;8个GigE端口和一个管理口。从图中可以看到,PHY,Mac和Switch芯片都是来自Vitesse公司。另外,这张数据平面图显然不是PAN最高端的4060,而更像是4050。4060的接口上4个XFP和4个SFP光模块,没有这么多的RJ25电接口。该图中的PHY很像是Vitesse的4端口的VSC8224芯片。因此左上角有4个PHY,4×4=16个端口。 PAN系统由于只用了一个10G的EZChip NP2,所以不可能做40G。这也是为啥PAN能而且目前只能声称10GFW的原因。另外,这里的10G是指单向。也可以说20G的throughput。 有兴趣的读者可参阅EZChip NP2 Product Brief。 4个VSC PHY芯片左边黑色的VSC芯片应该是个MAC芯片,例如,VSC7324系列。原因如下:16+8=24个 GigE port,EZChip NP2自己内部的Mac带不动了。NP2只能支持10个通过RGMII(total 10G)把外部的PHY忽悠进来。所以在PAN 4K的系统中,很有可能是用外部的Mac,然后通过MAC的SPI4.2 interface接入EZChip。 换言之,Packet是SPI 进入EZ,SPI离开EZ去Cavium Octane。EZ有两个10G的SPI 4.2 Interface。因此,EZChip的RGMII和XGMII interface在PAN系统中估计没有用。
在主板方面,要注意的是其内接硬盘。原因似乎也很简单。IDP要有大量的Log数据。主板CPU的一些基本参数应该是:Intel Xeon LV Sossaman Dual-Core – 1.66GHz;Bus speed (MHz) 667;L2 cache size (KB) 2048。Xeon LV的微结构应该是Pentium-M。有兴趣的读者可以参阅陈首席的“Intel CPU与微结构映射关系图”
PAN对外宣传4K的性能指标为: 10 Gbps firewall throughput 有兴趣的读者可以参与PAN产品规约。PAN系统可以识别800多个App ID。 | |
有关“一体化引擎和一体化的策略”
作者 appleleaf | 2009-12-29 19:27 | 类型 弯曲推荐, 行业动感, 通讯产品 | 54条用户评论 »
受首席之托关注一下PAN的产品。该公司产品我没用过,说明书也没有时间看(应该又是数百上千页的英文文档)。但是我不是很相信在应用安全功能上PAN能够开山立派,因为今天的应用安全功能在n年前就有人提出来并描述过,其中也包括PAN借以成名的应用识别。只不过没有市场驱动,没有竞争压力,Cisco和Juniper懒得去做,现在火烧屁股,不得不做了。 PAN的创新我觉得有两点: 1.功能集合的创新 将应用识别首先和FW攒起来,并且达到商用标准,切合应用标准,用户体验更爽。随着DPI以及应用识别功能逐渐成为各家产品的标配,我觉得PAN安全功能上的优势逐渐缩小(我是说功能而非性能)。 2.系统架构的创新(这点是我昨天刚刚悟出来的) 大家都是攒机器,PAN可能攒的更好。 我个人理解应用安全系统的核心组件式“引擎+signature+policy”(当然所有组件包括硬件平台,管理系统,TCP子系统都是核心,但是我的意思是从应用安全功能角度考虑,没有瞧不起其他同仁的意思:-))。其中引擎决定了signature,两者是一体的,因此可以简化为“引擎+policy”。前面我提到过,应用安全主要功能就是visibility+control,这里engine对应visibility,policy决定control。这样说大家是否更明白一些了。 本人在站内偶然搜的首席的一片PAN相关文章“网络安全公司PaloAlto Networks”,且有幸看到了弓总的一篇回帖,如醍醐灌顶,豁然开朗。弓总曰到:“我当时做架构的两个重要理念就是一体化引擎和一体化的策略框架(policy framework). 这在我看来,是保证高性能和易用性的关键。我很高兴,PAN公司一直坚持这点作为和UTM的重要区分线,Gartner 也认可。” 弓总点到为止,这时候就得靠“悟”了。 首先估计一下现有的应用安全系统实现: 应该大体都是接力棒形式的,你干你的,完事把包给我,我再接着干。系统这样实现是有原因的,也是有好处的: 1.兼容遗留系统。系统往往不是一蹴而就的,新feature的加入要以不break已有功能为前提,否则必出血案。除非你能保证: a.被break模块owner的生命安全(Job Security)。 b.引入的新bug你来负责。 2.分割软件复杂度。 这是最重要的优点,一线工程师做起来更容易。 所谓“一体化引擎”,我的猜测如下: 打碎坛坛罐罐,管他祖传丸散还是秘制膏丹,全部打碎。从全局的角度统一设计engine。这样的一个明显的优点是去除冗余,更加高效,理想的实现是每个报文仅仅parse一遍。最好连signature都统一起来。我本想花张图,但是感觉又不好画,大家也“悟”把。 所谓“一体化策略”,估计也类似。将各个不同模块的policy通盘考虑,分清层次,减少冗余(别存那么多五元组),提高性能(别搞那么多没有的匹配)。 如果是这样,确实比简单的Integration看的更深远。 这样的系统实现,对于架构师要求极高,我粗略的想了一下,头脑有些发晕。感觉有点像功力未到,强练葵花宝典一样。架构这样的系统,架构师本人首先要通晓现今安全需求,还要预知未来,谁也说不定今后是否有新的应用安全功能需要集成到系统中,且同所设计的系统架构冲突。 总之上述都是“我猜,我猜,我猜猜猜”,或许实际情况远不是这么回事。 但如果和我想的一样则: PAN的NGFW同UTM的区别不在于应用安全功能本身,而在于系统架构,也就是白炽灯和节能灯的区别,虽然都能发光,但是前者终将被淘汰。 真的希望弓总茶余饭后能看到这篇东西给个Yes,No。 | |
Immunet–社区网络系统安全
作者 陈怀临 | 2009-12-29 15:43 | 类型 初创公司 | 2条用户评论 »
Immunet是一家初创公司,专注于反病毒技术安全服务等,例如例如通过Facebook,twitter,开心网的社区等等。Immunet公司创办于2008年7月。其自认为是反病毒(Anti-Virus)技术很优秀的一个公司。最近还成功忽悠到了2百万美金的风投。投资公司是Altos Ventures。Immunet反病毒的技术有点新意,是通过一个社区合作或者云计算的方式,有点类似居委会大妈,大娘,片警联合布控的方式;或者人民战争的方式来对付小偷,好色之徒,强盗。从而更多的人加入Immunet的反病毒社区中,Immunet反病毒的能力就越大。构造了一个良性的正反馈系统。。。 这也有点类似于《弯曲评论》读者讨论时提到过的“共产主义”–各个公司共享病毒的特征库。。。。。。 Immunet的产品“Immunet Protect”目前是Free。可以免费下载。 Immunet的创办人和现在的老大是Oliver Friedrichs。其原来在Symantec和McAfee都穿过军装。现在自己又当大王了。为什么是“又”?Oliver之前创办过2个公司,都不错。一个(SecurityFocus )被Symantec收编;一个(Secure Networks,)被McAfee收编。感觉是个厉害的江湖高手。 Immunet公司位于硅谷的Palo Alto。希望加盟的读者可以琢磨琢磨。这种公司要去就要早。为啥涅?因为其出路通常还是被收编。 Immunet的管理团队信息可参阅:Immunet Management Team。 | |
通信世界网2009通信业十大新闻
作者 陈怀临 | 2009-12-29 10:12 | 类型 行业动感 | 6条用户评论 »
【下面Top 10是通信世界网评选出来的2009年度的10大新闻。感觉不错。】 1. 2009年1月7日,中国电信产业酝酿多年的3G牌照终于落地。工业和信息化部部长李毅中亲手将TD-SCDMA、CDMA2000、WCDMA三张3G牌照发放给中国移动、中国电信、中国联通三家运营商。 由此,三大运营商展开了如火如荼的3G网络建设,并将带动网络建设、系统建设、信息服务等产业链共同发展。据工信部统计,中国3G建设将直接拉动投资2000多亿元,在未来3年内,整个3G产业链将拉动1.8万亿—2万亿元的社会投资。 更为重要的我国自有知识产权的3G标准——TD-SCDMA将与其他两个国家标准同台竞技,摆脱了在国际通信标准及产业化方面受制于人的局面,使我国在向电信强国发展的道路上又更进一步。 在电信重组完成后,三大运营商已经成为可以同时展开固话业务与移动业务的全业务运营商,3G将是三大运营商新的起跑线,改变以往中国电信市场一家独大的失衡格局。同时,3G牌照的发放将有效提高移动网络带宽,促使运营商开发符合用户需求的各种新业务、新技术,提高运营商之间竞争的技术含量,摆脱低价竞争的恶性循环。 2009年是国际经济局势动荡不安的一年,在国际经济危机的大背景下我国3G牌照的发放对扩大内需,刺激经济发展起到了重要作用。 2. 小灵通退市消息一出,立刻引起社会各界的关注,可谓一石激起千层浪。 2009年2月13日,工信部印发了《关于1900-1920MHz频段无线接入系统相关事宜的通知》,部署在2011年底前完成1900-1920MHz频段的清频工作。 1998年1月,小灵通开始进入中国市场,浙江余杭区正式开通小灵通,实行单向收费,月租费20元,资费每分钟0.2元。相对于当时高企的手机资费,小灵通利用自身优势几乎创造了一个神话,在其发展的最顶峰的2006年,其用户数达到近1亿。随后,由于移动通信技术的快速发展,资费不断下降,小灵通开始走向下坡路。 社会各界对小灵通的退市褒贬不一,就如同它刚进入中国之初一般无二,但是不可否认的是小灵通十余年的发展历史值得肯定,而退市也已成为不可避免的历史趋势,中国监管机构和运营商应仔细反思小灵通带给产业的成败得失。 3. 2009年1月14日曾经显赫一时的北电网络正式向法庭提出申请破产保护,并随后的时间里展开业务的分拆出售。 北电最辉煌的年代在20世纪末,领先的光通信技术把北电送到电信设备上前三位的领域。随后,由于互联网的兴起,北电所掌握的10G容量光纤技术脱颖而出,使得北电的订单如雪花般飞来。但2000年后,互联网泡沫破裂,北电40亿美元的产品积压,造成了极大的损失。随后北电又投入巨资研发40G光传输网络,但运营商的网络扩容变得更加理性,北电从此陷入低迷,直至今年不得不以分拆出售为结局。 “北电见证了电信业这么多年的发展历程,算得上电信业的百年老店。这家公司非常值得尊敬。”一位老电信人这样评价北电。今天看来,北电的倒下除了市场环境恶化,竞争加剧等外部原因之外,还有重要的一点值得借鉴:技术路线的选择必须与市场需求相符。 4. 10月30日,中国联通在北京举行了iPhone入华的首发式,中国的苹果迷们终于可以使用正版的iPhone了。 对于全球手机产业来说,iPhone是一款革命性的产品。除了美轮美奂的外形设计,出色的应用功能成为全世界厂商、运营商效仿的对象,“创新”一词再一次被乔布斯重新诠释。 坊间传言联通三年将报销500万部iPhone,联通为引入iPhone付出的代价不可谓不大,也另苹果迷和媒体们翘首企盼。无疑联通希望利用iPhone知名度为自己的3G业务展开加上重重的一笔,但到今天为止我们还无法确认,iPhone入华究竟谁是最后的赢家。 5. 从2009年12月到2010年5月底,中央外宣办、全国”扫黄打非”办、工业和信息化部、公安部、新闻出版总署等九部门将在全国范围内联合开展深入整治互联网和手机媒体淫秽色情及低俗信息专项行动。 此后,工业和信息化部多次发文强调配合其他部委工作,并与运营商采取积极措施治理手机和互联网低俗信息。 企业社会责任在这一网络低俗内容专项整治事件中再次成为焦点。运营商与增值业务提供商综合交错的利益链条纵容了手机黄色低俗内容的泛滥,与既得利益相比运营商应更多的考虑企业在社会中承担的责任,这一时刻“不作恶”再次成为企业的终极信条。 6. 2009年第三季度,研究公司Dell’Oro称,华为现在已经超越诺基亚西门子通信公司(Nokia Siemens Networks),获得全球电信设备业20%的收入,成为世界第二大电信设备供应商,仅次于爱立信公司(Ericsson)。分析称,华为的快速成长主要得益于其GSM设备在印度销售强劲和中国市场的3G牌照的发放。 无独有偶,这又是一个冬天,一个全球经济的冬天。由“土狼”变身为全球第二的华为在过去的“冬天”中不断成长,不断突破自我,成为中国高科技企业的一面旗帜。也许“第二”并不是华为的最终目标,但它必须在这里留下自己的足迹。 7. 2009年12月15日,中国铁通“分家”终于尘埃落定。中国移动与铁道部达成的协议,与铁路通信相关的业务划至铁道部,包括铁路运输生产专用电话、站车广播、铁路专用数据通信等业务;而固话及宽带等业务划归中国移动。“中国铁通”的名称仍将留在中国移动。 2000年12月,铁通前身铁道通信信息有限责任公司成立。2004年,铁通脱离铁道部划归国资委,并成为当时国内排名第5的电信运营商。2008年电信业大重组,铁通并入中国移动。此后,关于铁通分拆的传言不断,今年12月终于水落石出。 9年创业之后,又归于原点,铁通的分拆多少有些苍凉和悲怆,这也标志着由2008年开启的重组大幕全面收官,中国通信产业进入了一个崭新的时代。 8. 2009年10月6日下午,瑞典皇家科学院宣布华裔科学家高锟与另外两位美国科学家一起活得2009年度物理学奖。高锟的获奖理由为——“在光学通信领域光在光纤中传输方面所取得的开创性成就”。 高锟于1933年出生于上海金山的一个书香世家,曾任香港中文大学校长,在2000年与邓小平一起被《亚洲新闻周刊》选为“二十世纪亚洲风云人物”。1996年当选为中国科学院外籍院士。 1981年,经过高锟的不懈努力,第一个光纤系统面世。那时,谁也不会想到比人的头发还要纤细的光纤会取代体积庞大的千百万条铜线,成为传送容量接近无限的信息传输管道,彻底改变了人类的通讯模式。 9. 工信部、国家发改委于12月11日发布了《关于简化移动电话拨打长途电话资费的通知》,主要内容为简化移动电话拨打长途电话的资费结构,要求实行单一计费方式。 通知要求“手机长话一费制”,就是将基本费和长途费两项收费合一,在本地用手机拨打国内长途时“仅收取相应的长途通话费”,实际就是不再收取本地基本通话费。此次调整后,手机用户拨打长途实行单一计费,收费结构更为合理。 自1994年开始,国内移动电话拨打长途电话,除收取长途通话费外,还叠加收取本地通话费或漫游费。2008年,上述两部委发文将国内漫游通话费上限标准统一降至每分钟0.6元,解决了用户在漫游状态下拨打国内长途电话叠加计费问题。 此次资费调整使运营商的资费结构更为简单,也进一步表明语音业务低值化是大势所趋,运营商应顺应这种趋势,尽快优化业务结构,推出更丰富的数据业务。 10.移动互联网成焦点 2009年12月8日到9日,2009(第三届)移动互联网国际研讨会在北京召开。 在前两届成功举办的基础之上,中国移动决定基于开放、合作、共赢的原则,与国际、国内产业界紧密携手,结合中国移动的实践、创新和认识,举办第三届“移动互联网研讨会”,并全面完善和提升这个产业参与者分享和互动的国际性交流平台;通过这个平台,探讨移动互联产业发展方向,凝聚产业精英,共谋产业未来。 事实证明,本次国际研讨会各方观点的精彩碰撞必将成为今后移动互联网进一步发展的风向标。 | |
计算机安全公司-FireEye
作者 杰夫 | 2009-12-28 11:12 | 类型 初创公司 | 10条用户评论 »
FireEye是一家研制计算机安全软件的初创公司,它创建于2005年,位于硅谷的Milpitas市。它的主要产品是对抗Malware和Botnet的软件,称为FACT(FireEye Analysis & Control Technology),号称“utilizes virtual machines to perform real-time, dynamic analysis on suspicious traffic flows.”。Botnet这个词有些读者可能不熟悉,它指的是Software Robot,多用于指有恶意的Robot软件,但也可以包括象Google,Yahoo的web crawler等。 FireEye的创始人兼CEO是Ashar Aziz,他曾担任Sun Micro的DE(Distinguished Engineer),曾创办TerraSpring公司,后被Sun收购。工程副总裁是Bahman Mahbod,他曾在IBM,Sybase等公司工作。FireEye的高管中还曾经有一位华人,弓峰敏,担任‘Chief Security Content Officer’。弓博士1984年毕业于西安交大计算机系,1992年获得美国圣路易斯华盛顿大学(Washington University in Saint Louis)计算机专业博士学位。弓博士还是Palo Alto Networks的共同创始人和首席科学家,他还曾创办IntruVert Networks公司,2003年被McAfee收购,他也转入McAfee任首席科学家。目前弓博士任职华赛公司首席科学家。 FireEye至今已获得风投资金共约3500万美元,主要投资商有Sequoia Capital,Norwest Venture Partners,JAFCO Ventures,SVB Capital,和Juniper Networks等。
弯曲评论相关文章: | |
国务院“千人计划” 掀海归回国潮
作者 陈怀临 | 2009-12-28 11:10 | 类型 行业动感 | 20条用户评论 »
广留交会,简称广州留学生援交会,历来很火爆。似乎不去整一下就不是人才。 据说这次交友会的规模创下了历史之最。。。看了一下相关数据。在创业方面,可以忽悠600万现金,确实还是很有吸引力的。可惜,不知道该如何申请:-) 下面是高校方面忽悠方与被忽悠方的一个博弈,请欣赏:-): 海南大学校长李建保开出1000万天价的优厚条件,令现场一时沸腾起来。“我们的教师家属宿舍,只要打开窗户,把钓竿伸进海里,还可以钓鲨鱼!”幽默的李建保甚至用“每天一筐新鲜水果”、“冬天能够穿短袖上班”作为撒手锏,吸引在场的海归。 另外,留交会(真心的认为应该换个名字。留学生援交会也可以简称为留交会)的主站上有一个第四届“春晖杯”创业大赛入围项目一览表。大家可以看看入围项目的Title。有的比较拉风,例如, 编号为200900224 的项目。项目名称为“个人超级计算机的研发及推广”。忽悠者为: 孟宪东。是一个来自美利坚帝国的博士。 窃以为人才回归是个好现象。虽然真人才,假人才,但毕竟还是有真人才的。 说心里话,1000万去中国的夏威夷当个老师,还真不错:-)。但是,天下应该没有白食。 有兴趣的读者可以参阅:中国留学人员广州科技交流会主站。 附录: 国务院“千人计划” 掀海归回国潮 中国经济指标已总体回升趋好,加上国务院引进海外高层次人才“千人计划”等政策刺激,新一轮高层次海归人员回国创业热潮正在兴起。文汇报记者从26日开幕的第12届中国留学人员广州科技交流会上获悉,此次留交会吸引的高层次人才创下历史之最,参会的2400多名留学人员当中,超过1200人具有博士以上学历。 据悉,本届留交会受到中央及地方的高度重视,中组部、全国人大外事委员会、教育部、人保部、国务院侨办、中国科学院、中央组织部人才工作局、科技部等国家有关部门均派出相关领导参加。本届留交会也得到众多留学人员的关注,近2400名海外高层次留学人员、120个留学人员专业社团携850多项高新技术项目参展本届留交会,高出往届近20%。这些留学人员当中,拥有博士学位的留学人员占55%,其余人员全都拥有硕士学位。 纷提诱人条件抢“海龟” 据悉,今年留交会的展会面积达3万平方米,远超历届规模。来自全国各地的展台纷纷打出醒目的揽人招牌,不少地市的市领导亲自出马,向到场的留学人员介绍当地的人才招聘计划。不过,似乎沿海地区省市的展台人气明显旺于内地省份,而其中又以上海、广州展台的人气最旺,前来谘询的留学生几乎挤满了展厅的各个位置。 为了能够招揽到更多高端海归人才,各地出台十分诱人的刺激及奖励措施。其中,厦门火炬高新区推出《引进境外科技创业创新领军人才办法》,根据该规定,在厦门火炬高新区的领军人才,可获得“7个100”的扶持,包括:提供不少于100万元的生活补助;提供不低于100万元的创业扶持基金;最高达100万元的贴息扶持等。而杭州市高新区也推出100万元扶持基金、100万元免息贷款、3年免租金的优惠条件。 而作为东道主,广东及广州的优惠及奖励条件则更具刺激性。根据广东省出台关于引进留学人才的办法,对于创新团队,资助金额最高达1亿元,分成1亿元、8千万元、3千万元三个档次;广州开发区也出台了领军人才的办法,被认定为领军人才可以拿到近1500万的资助,其中有600万是直接以现金的形式体现的,另外 300万体现在医疗保健、住房、交通、体育设施方面。如果一个留学人才在广州开发区被认定为是领军人才的话,省、市的优惠政策都能享受到,甚至能够进入 “千人计划”的资助。 中央明年再出引才新措施 主办方介绍,今年留交会之所以受到留学生及内地招聘单位的热捧,很大一部分是源于国务院出台的“千人计划”,各地都加大了对高端人才的引才力度,而这也激发了海外优秀留学人员回国创业的热情。中组部副部长李智勇介绍,“千人计划”实施以来,已有326名海外高层次人才入选“千人计划”,还有400位人选正在评审之中。明年将进一步拓宽“千人计划”的引才渠道和范围,完善相关政策和办法,在更广的领域吸引更多的优秀海外高层次人才回国创新创业。 | |
Cisco并购ScanSafe 续完. ScanSafe
作者 appleleaf | 2009-12-27 19:07 | 类型 行业动感 | 18条用户评论 »
最后看一下故事的主角ScanSafe本身,ScanSafe主要提供下述的安全特性。 1.Web Malware Scanning 如果看了第一篇,我们应该知道IronPort也有这个东东。但是IronPort的引擎是同其它厂家合作的,而ScanSafe是自身的,其注册商标如下: ScanSafe Web Security is powered by Outbreak Intelligence which comprises of numerous correlated detection technologies, automated machine-learning heuristics, and multiple “scanlets”
从上图可知,其支持扫描的文件类别。 2. Web Filtering 首先是URL过滤 从其特性描述看,有一些亮点: 例如 * Policy management by custom grouping, LDAP, and time-based policies 结合了用户role进行policy设定等。更多细节可以参照其web site。 另外最拉风的feature是Safe Way To Search 其实现方式是hack搜索引擎的结果,并且结合自身的URL安全信息库给出用户提示。 这真是一个绝妙的Idea,兄弟佩服的五体投地,工程技术和用户体验的完美的结合。 3.IM Control 这个IronPort就没有了,其目的是提高管理员对于IM应用的透明度,可以实现block外发文件等种种action。 综上所述,ScanSafe也是防护Client端设备的,比IronPort的Web安全设备做的更细致更好,且是业界老大,因此不难理解Cisco为什么并购ScanSafe了。从下述Cisco的官网的声明也可以看出,最终Cisco也将该产品并入了IronPort,补充IronPort的web安全功能。 By acquiring ScanSafe, Cisco is building on its successful acquisition of leading on-premise content security provider IronPort. The acquisition brings together the Cisco IronPort high-performance Web Security Appliance and ScanSafe’s leading SaaS Web security service to offer superior on-premise, hosted, and hybrid-hosted Web security solutions. The combination is expected to provide better protection from threats, while flexible delivery options will enhance Cisco’s ability to protect the borderless network as organizations increasingly depend on Web 2.0 and mobility technologies to collaborate and conduct business. | |
网络应用安全系统发展方向之我见
作者 appleleaf | 2009-12-27 17:01 | 类型 网络安全, 行业动感 | 43条用户评论 »
这是一个同事前几天和我提到的话题,看似比较大。我思考了一阵,有一些想法。这些想法应该大都是已有的,且都是我自己比较认同的。欢迎大家探讨。 首先看看应用安全功能本身的发展。我觉得还是那两个字:Visibility and Control。大家可以体会一下FW,AntiVirus,IDS/IPS,DLP,URL过滤,NAC, P2P等应用识别以及APP QOS…,其功能是否就是一直在按照这个要求发展。有读者可能会提出,那私密性呢?VPN呢?VPN不属于应用安全,无论VPN的承载协议位于哪个层次,其实质还是隧道协议,是在公用隧道上的私密性的保护,而且终结之后还是要走我们提到的安全控制流程。其他安全要求,在不同场合也许更重要,但从整体来看笔者认为还是Visibility and Control。 有关Visibiliy,尤其是应用层安全识别技术近年大热,我关注过下述一些公司的产品,这些公司通过研发和并购都在最近一两年内强化了其FW的应用识别功能,支持数百乃至上千种应用协议的识别(其中很多是所谓Web2.0应用)。 1.CheckPoint 2.MaCfee 3.Fortinet 4.Palo Alto …… 竞争必将Visibility推向极致。并且我断言应用安全识别技术不远的将来也会是国内厂商FW的标准配置。 从应用安全的设备发展来看,我觉得也是两个方面:Integration and High Performance。 1. Integraion 自从VPN加到FW之后,这个趋势就一直没有停止过。不仅仅是UTM这样的边缘用设备具有了多种安全特性,核心网大安全设备也在不停的堆积新的特性,将多种功能的盒子合并为一个。甚至Router和Switch也在融合网络安全设备特性,未来即使router吃掉FW,我也不会觉得奇怪。这个没有办法,用户需求推动使然。一来用户需要简洁的网络部署,二来需要节省银子。 应用功能的合并,并非简单的像堆积木,仅仅是代码的合并。其对于架构和开发人员是很大的考验,实际往往是功能之间相互影响制约,按下葫芦起了瓢,有各种问题,尤其是性能方面。其中的TCP子系统又是关键,没有对于多种安全特性的相关研发经验是设计不好的。 2. High Perfomance 这个也由来于用户需求推动,宽带接入的普及以及带宽的提高是不可阻挡的历史潮流。像香港,新加坡这样的发达地区,都在规划未来GBit入户,对比可见想见带宽提高未来还有多大的空间。从华赛的80G FW到Juniper的120 G FW,这绝对仅仅是是飙车的开始。对于像WAF这样的产品,我看到的报道往往都是用户对于性能的抱怨,如果能够横空出世几款高性能低价格的产品,必然大卖,有时安全功能本身反而退化为用户的第二需求了。 一家之言,欢迎大家讨论。 弯曲给我的最大的感受是有争论,没有谩骂,是一片净土,感谢首席,杰夫和幕后的维护人员。 | |