多核信息安全產(chǎn)品的出現(xiàn)使得安全產(chǎn)品市場面臨著一次新的沖擊，多核還是單核是大家討論的一個問題。我們所能感受到的網(wǎng)絡(luò)現(xiàn)狀是：10G/N*10G的網(wǎng)絡(luò)數(shù)據(jù)流量、3G時代的來臨預(yù)示著3年之后手機終端會超過PC終端。另外云計算的興起帶來了計算、網(wǎng)絡(luò)、存儲等基礎(chǔ)設(shè)施的虛擬化整合、數(shù)據(jù)/信息的整合帶來了網(wǎng)絡(luò)流量更加集中，以及大多數(shù)業(yè)務(wù)應(yīng)用從C/S向B/S轉(zhuǎn)移，這些都促使越來越多的流量發(fā)生在網(wǎng)絡(luò)上，而本地產(chǎn)生的運算量卻會越來越少。因此，遠程集中式運算與網(wǎng)絡(luò)傳送的信息量也就越來越大。

從這個角度來說，網(wǎng)絡(luò)病毒檢測、入侵檢測、入侵防御以及信息數(shù)據(jù)安全等很多環(huán)節(jié)，都離不開對網(wǎng)絡(luò)數(shù)據(jù)內(nèi)容的分析。而除了我們通常所了解的算法優(yōu)化能帶來高效的計算外，對硬件計算資源的消耗正在隨著網(wǎng)絡(luò)容量、信息傳送量的增加而高速膨脹，以至于當前絕大多數(shù)安全設(shè)備所引用的X86通用計算平臺在不借助其他加速組件的方式下，幾乎無法滿足高性能的內(nèi)容運算，并且性能和效率也都難以達到每秒超過2G以上在線數(shù)據(jù)運算量。在網(wǎng)絡(luò)帶寬和信息量高速膨脹的今天，這樣的運算效率僅僅只能滿足局部應(yīng)用需求。

因此，性能的大幅提升是信息安全未來發(fā)展的必然趨勢。

兩大因素制約傳統(tǒng)性能提升 多核應(yīng)運而生

通常來講，以往在為數(shù)不多的面對大容量計算需要時，我們常會采取分流分布式計算來解決，也就是將一個較大的網(wǎng)絡(luò)流量分流為若干個小流量，采取分而治之的方式來完成對數(shù)據(jù)內(nèi)容進行各類安全性檢查，并進行必要分析與實時運算。

顯然，在運算性能不具備的條件下，分布式計算方式是無奈之舉，但是它帶來了較大的管理成本和維護壓力。更重要的是大多數(shù)企業(yè)用戶根本無法接受這樣的應(yīng)用方式，更多的企業(yè)級用戶，在面對大流量下的安全需求時，更多是選擇了“等待”，等待著更快、更安全的產(chǎn)品出現(xiàn)和成熟。

那么，一個很顯然的問題就出現(xiàn)了——信息安全設(shè)備為什么不能像網(wǎng)絡(luò)通信設(shè)備那樣，引用高性能的網(wǎng)絡(luò)處理器或ASIC達到與網(wǎng)絡(luò)速度類似的處理效率呢？簡單分析一下會發(fā)現(xiàn)，這其中最根本原因主要有兩方面：

一方面，是客觀技術(shù)的制約，相比僅僅處理網(wǎng)絡(luò)局部信息（大多數(shù)是頭信息）、而不分析數(shù)據(jù)內(nèi)容的網(wǎng)絡(luò)通信設(shè)施而言，信息安全設(shè)備對信息內(nèi)容的分析深度、廣度比網(wǎng)絡(luò)通信設(shè)備要復(fù)雜得多，甚至還要分析數(shù)據(jù)內(nèi)容之間的關(guān)聯(lián)性。這就像機場等重要交通樞紐對行李、攜帶物品等的安檢程序一樣，它要關(guān)注的內(nèi)容和范圍要比常規(guī)的身份檢查復(fù)雜得多，因此它比簡單的檢驗每個人身份證的效率就要低很多。同理，對數(shù)據(jù)內(nèi)容進行安全檢查的計算，永遠比網(wǎng)絡(luò)數(shù)據(jù)傳送的計算要復(fù)雜得多（代價和開銷都要大一個數(shù)量級），因為網(wǎng)絡(luò)中每個數(shù)據(jù)包的信息數(shù)據(jù)內(nèi)容往往是信息頭的10倍～70倍。

另一方面，是各類導(dǎo)致安全威脅的病毒、入侵行為都在利用計算機高級語言不斷更新以突破某種防護，是因為這樣的效率更高，也因此每天都會有新的威脅誕生，而這種動態(tài)性和不確定性的存在，使得幾乎所有關(guān)注分析信息和數(shù)據(jù)內(nèi)容的信息安全設(shè)備也必須在開放的運算平臺上基于高級語言搭建的運算系統(tǒng)來工作，是因為只有這樣構(gòu)建的安全系統(tǒng)才有靈活的升級能力，從而也才能與安全的動態(tài)性和不確定性進行對抗。因此，大多數(shù)關(guān)注信息內(nèi)容的信息安全產(chǎn)品（如UTM、IDS、IPS、審計等），必須利用高級的語言和開放的硬件運算平臺才能完成對各類信息內(nèi)容的檢索和各類安全性檢查。

所以，要滿足未來信息安全產(chǎn)品適應(yīng)當下信息高速膨脹的發(fā)展趨勢，提升開放平臺的硬件性能，既是必然趨勢也是滿足未來應(yīng)用需求的關(guān)鍵要素。

也就是在這樣一個開放性平臺應(yīng)用需求的驅(qū)動力下，多核信息安全產(chǎn)品應(yīng)運而生。

超越X86 選擇多核SoC收獲與代價并重

需要說明的是，剛才所說的多核并不是基于X86的2核、4核這樣的CPU，而是在網(wǎng)絡(luò)、安全設(shè)備上最新使用的基于MIPS64的多核SoC（System on Chip）處理器，此類多核SoC處理器目前可支持到16核，并還在隨著安全計算需求的不斷增加而繼續(xù)提升。

相比X86、NP、ASIC硬件平臺，SoC多核平臺的最大優(yōu)勢是保留了X86平臺的高靈活性（這一點對于安全設(shè)備的應(yīng)用層檢測非常關(guān)鍵），并且具備與ASIC平臺相當?shù)母咛幚硇阅?。同時，SoC通過增加核數(shù)，使線性提升硬件計算能力成為了可能，更重要的是功耗也隨之得到了控制。

唯一具有挑戰(zhàn)性的是，傳統(tǒng)的X86平臺屬于通用硬件平臺，具有開發(fā)難度小的優(yōu)勢，而SoC多核平臺屬于專用硬件平臺，駕馭難度相當高?？梢哉f，全球范圍內(nèi)能自如駕馭多核技術(shù)的廠家不足10家，而且多為國際性技術(shù)領(lǐng)先的大廠家，國內(nèi)一直到啟明星辰2008年成功駕馭多核并發(fā)布自主研發(fā)的基于16核的萬兆UTM時才填補了這塊空白。

這的確是一個痛處。因為，對于很多廠家而言，實現(xiàn)對多核系統(tǒng)真正意義上的駕馭還是一個國際性的難題，尤其是計算性能的提升，如是否能隨核數(shù)的增多而達到線性的增長。這其中需要各個廠商在多核硬件的基礎(chǔ)上作大量的原創(chuàng)性設(shè)計，包括重構(gòu)操作系統(tǒng)、多核之間的業(yè)務(wù)調(diào)度、檢測效率提升和計算性能挖掘等。與此同時，一旦對多核技術(shù)駕馭不理想，如對多核運用得不夠平滑或兼容性不夠，那么由于核數(shù)的增加會帶來軟件核心設(shè)計的不斷變化，這就意味著需要為不同核數(shù)的SoC處理器設(shè)計不同的軟件系統(tǒng)和驅(qū)動，由此將極有可能導(dǎo)致相互不兼容，4核、8核、16核、32核等與軟件的不兼容。可以想象，如果技術(shù)上突破能力有限，而導(dǎo)致陷入如此尷尬境地，我們不難想象這對產(chǎn)品研發(fā)和供應(yīng)者是個多大的災(zāi)難。#p#

駕馭多核 高效低碳 決勝信息網(wǎng)絡(luò)安全的未來

如果能成功駕馭多核，那么多核信息安全產(chǎn)品能帶給信息安全產(chǎn)業(yè)的將是一種革新。

首先，從功能上來講，SoC多核處理器不失X86 處理器的靈活性，便于快速響應(yīng)信息安全的應(yīng)用層檢測需求；其次，SoC多核處理器通過協(xié)處理器的概念將“軟件特性硬件化”處理，在設(shè)計上奠定了多核平臺的高性能基礎(chǔ)。更為重要的是，計算性能隨核數(shù)的線性增長將完全突破信息安全產(chǎn)品發(fā)展的性能瓶頸，隨著核數(shù)的倍增，多核的計算性能也將成倍數(shù)增長，計算能力的提升是支撐安全產(chǎn)業(yè)發(fā)展的基礎(chǔ)。

多核架構(gòu)在支撐高性能的同時，帶來的另一個卓有成效的經(jīng)濟效益就是低碳、節(jié)能。

正如全國政協(xié)副主席在2010年1月22日，以“發(fā)展低碳經(jīng)濟、共建低碳中國”為主題的低碳中國論壇首屆年會上指出的那樣：“氣候是第一生產(chǎn)力，必須從這樣的高度來認識低碳經(jīng)濟”。對信息安全產(chǎn)品而言，減排、低功耗是實現(xiàn)“低碳經(jīng)濟”最主要的節(jié)能目標。多核架構(gòu)的主要優(yōu)勢為一顆芯片上集成了多個核，核與核之間可以協(xié)同工作，同時在各個核周邊還集成了豐富的安全協(xié)處理硬件，如硬件加密、正則匹配和應(yīng)用加速等，以及高集成度的特點簡化了整體硬件板卡的復(fù)雜度和能耗。同樣的應(yīng)用，對于X86通用硬件平臺，需要1顆甚至多顆高頻率CPU，同時需要南北橋芯片組、通過PCI擴展的硬件加速板卡或應(yīng)用加速卡等，一系列配套芯片設(shè)計使能耗遠遠高于同檔次多核SoC專用硬件平臺。

根據(jù)硬件廠商提供的典型平臺實際功耗數(shù)據(jù)對比，多核SoC硬件平臺實際功耗僅為同檔次X86平臺的1/3左右。以萬兆平臺為例，1臺萬兆設(shè)備每年可節(jié)省2102.4度電，按照每消耗1度電等效于0.997千克的二氧化碳排量計算，每臺多核萬兆設(shè)備每年可以減少2.1噸的二氧化碳排放，相當于少砍伐1.14棵生長5年的大樹。
 

在高效能、低碳排放的同時，多核架構(gòu)帶給信息安全產(chǎn)業(yè)的另一個附帶優(yōu)勢為高質(zhì)量。高度集成的SoC處理器降低了硬件平臺的整體復(fù)雜度，硬件的簡化促使故障率可以降低到1％以下（X86平臺故障率通常為5％以上），達到電信級標準。

在“安全為本、計算為王”的云計算時代，多核信息安全產(chǎn)品以高性能、低碳排放和高質(zhì)量的特點帶給了信息安全產(chǎn)業(yè)新的機遇，在這個大環(huán)境下，誰駕馭了多核計算，誰就有可能決勝安全未來。

【編輯推薦】

1. 企業(yè)網(wǎng)絡(luò)安全事件識別與分類
2. 企業(yè)網(wǎng)絡(luò)安全事件識別與分類
3. 企業(yè)網(wǎng)絡(luò)防護應(yīng)注意的四個基本點
4. 企業(yè)如何對員工進行網(wǎng)絡(luò)安全培訓(xùn)
5. 企業(yè)如何在復(fù)雜環(huán)境中降低安全風(fēng)險