2011英特尔科学奖(Intel Science Talent Search (Intel STS)决赛入围名单26日揭晓，全美40名决赛入围者中有近一半华裔学生(16名)，而加州则首次超过纽约州成为获奖学生最多的州。
【Intel Science Talent Search 2011 Finalists Announced!

Intel and Society for Science & the Public announced the 40 Intel STS Finalists who will come to Washington, D.C. in March to participate in final judging, display their work to the public, meet with notable scientists, and compete for the top award of $100,000.

These Finalists were selected from 300 Semifinalists and 1,744 total applicants in 2011. The top winners will be announced on March 15.】

所有入围者将在今年3月10日至15日聚会华盛顿，角逐总额为63万美元的奖金，其中最高奖得主将获得10万美元。组织这一科学竞赛的科技与公众协会的主 席马瑞克拉表示，今年第70届科学奖的入围学生们所研究的领域从广度和深度来说都令人赞叹，这些年轻学生们探究的都是与当今人类生活密切相关的科学方面的 挑战。

今年的决赛入围者来自全美15个州的39所学校。其中加州共有11名入围者，而纽约有7名。

入围今年决赛的华裔学生有16人，可谓所有入围者中最大的一个少数族裔群体。入围华裔学生的研究领域非常广泛，包括肝癌的新治疗对策、器官移植的排斥问题，甚至具体到美国华裔癌症病人的疼痛克服教育等。

本文尝试分析数据中心所面对的安全问题，和解决这些安全问题所发展出来的安全产品，以及未来云计算环境下，安全环境和安全产品的变化。首先声明本人不是做市场的，所以不会推销产品，如果提到某个产品，也不是为了宣传这个产品；其次，本人不是搞产品管理的，所以对数据中心用到的东西，只是感性的理解，并没有实际动手的经验；最后，本人目前只是一个做研发的，所以这篇文章只是一个引子，希望能够引出来真正的牛人。

在我看来，数据中心有这样的三角关系：

数据中心提供者(ISP or IDC)
        ||
        \/
+----------------+
|     数据中心     | <=== 终端用户（end user）
+----------------+
        /\
        ||
数据中心使用者 （CSP or enterprise or personal ）

（从思科的网站上扒了张图，可以看到典型的数据中心都有哪些网络设备，包括安全产品）

数据中心提供者：提供场地，基础设施，以及设备等。通常这个角色是由ISP和IDC等扮演的，它们建造数据  中心，并把数据中心租给CSP或者enterprise使用。但是也有比较牛的CSP自己建造数据中心，比如google之  类的。

数据中心使用者：主要指CSP或者enterprise，当然也包括个人用户。数据中心使用者可以租用ISP或IDC的服务器  和网络，也可以把自己的服务器托管到ISP或者IDC。

终端用户：主要指消费者。

数据中心提供者（ISP和IDC）关心什么？首先是数据中心的物理安全。物理安全包含很多内容，比如场地选择，电力供应，对于火灾、水灾之类的灾难预案等等。物理安全是数据中心高可用性的基础。其次是数据安全，它应该提供数据在多个数据中心备份的机制，避免一个数据中心倒掉之后，服务就无法使用的尴尬。它应该也关心网络安全，具体应该包括：

• DDOS防护。对于来自外部的DDOS攻击，应该有一定的防护能力。这里主要关注的还是L4的攻击，对于L7 的攻击，主要还是看CSP自己的策略。如果在这一级就开始限流或者截流，可能会影响客户的业务。
• VPN。提供Data center到Data center的安全通道。
• Access control。对登录data center的用户进行认证，授权，访问控制等。而且需要提供客户端到data center 的安全通道。
• 流量监控。IDS或者其他能够监控网络流量的产品，需要了解数据中心内网络的流量变化趋势。在这里需要IDP 吗，从我看来并没有这个必要。ISP或者IDC只提供基础设施，更深层次的安全问题，应该有用户自己来决定。

数据中心使用者（CSP或者enterprise）关心什么？首先应该关心的是业务如何正常的开展，它们更关注应用的安全，具体包括：

• HTTPS。支持到终端用户的安全通道。这里需要PKI体系的建设，以及构建安全的应用流程。
• IDP，WAF。对应用服务器的保护，数据中心使用者更了解应用，知道什么需要保护，以及保护的级别。 对于服务器加固，防篡改这类的产品应该也有需求。
• Access control。CSP或者enterprise内部角色的划分，认证，授权，访问控制等。安全通道也是必不可少。
• Log。访问日志，出错日志，对应用层的流量的监控等。
• Firewall。主要是对应于内部网络不同安全域的划分，并配置不同的访问控制策略。
• Load balance和application acceleration等。这个和安全没什么关系，但是会和安全产品搭配起来卖。

终端用户关心什么？终端用户关系自己访问的网站是否安全，具体应该包括：

• 对安全网站的认证。通过第三方来认证某个网站是否安全。所以对于漏洞扫描或者攻击渗透之类的产品或者服务会有需求。Scansafe的产品就有点这个意思。
• HTTPS，SSL VPN之类的安全通道。保证了数据的机密性，又防止了别人的窥探，一举两得。

在新的数据中心里面，有很多虚拟化产品，那么与之相适应的安全产品应该有什么样的变化？简单列一下：

• 虚拟机之间流量的监控。如果虚拟机之间的流量不通过外部的交换机转发，那么就需要在vSphere上部署防火墙，如果虚拟机之间的流量是通过外部交换机转发的，传统防火墙还可以继续发挥作用。
• 虚拟机的加密，授权，访问控制等。给用户分配虚拟机时，需要加密；用户虚拟机启动时需要认证，授权；用户 虚拟机用完了，需要销毁，而且应该有相应的生命周期。
• 安全设备虚拟化。在多租户的环境中，用户需要自己管理自己的设备，虽然是一套物理设备，但是有多套虚拟 设备。物理设备的管理和虚拟设备的管理，这这种情况下会完全不同。虚拟设备的使用和传统的物理设备完全        相同；但是支持虚拟化的物理设备，更多是虚拟机的载体，本身可能不具有虚拟机的功能（有点乱，自己理解 就行）
• 性能。如何在虚拟化的环境中，还能保持原来的性能指标。对物理设备的要求更高了。

参考资料：

1: http://www.scansafe.com/

2: http://www.ironport.com/

3: http://altornetworks.com/

4: http://www.f5.com/

5: http://www.riverbed.com/

6: http://www.cisco.com/en/US/docs/solutions/Enterprise/Data_Center/DC_3_0/dc_sec_design.html

7: http://www.cisco.com/application/pdf/en/us/guest/netsol/ns107/c649/ccmigration_09186a008073377d.pdf

8: http://www.sitelock.com/

原文发布于《计算机世界》2011年第4期

Sandy Bridge微架构的革新

——英特尔Sandy Bridge 处理器分析测试之二

计算机世界实验室 盘骏

           铱迅信息是一家专业做web安全的新兴公司，总经理是来自华为，研发总监来自摩托罗拉，此人在美国做了多年协议，对底层驱动研究异常透彻，web攻击检测引擎研发由10多名拥有10多年web安全研究的国内顶尖人员构成。人员配置都非常年轻，是一个很有青春活力的团队。

        既然是web安全公司，当然就是做web安全，铱迅主要产品就是“web应用防护系统”，先普及下web应用防火墙跟传统防火墙的区别，看下图：

传统的防火墙、IPS不能真正解决应用层的攻击问题，因为它工作的OSI 1-4层，基于IP报文的进行状态检测、地址转换、网络层访问控制等功能，但是对于报文中的具体内容不具备检测能力，因此，对于web应用而言，传统的网络防火墙仅提供IP及端口的防护，对于web应用攻击缺乏防御能力。web应用防护系统主要致力于提供应用层保护，通过对http/https及应用层数据的深入检测分析，识别及阻断各类传统防火墙无法识别的web应用攻击。铱迅具有完全自主研发的协议栈全状态检测引擎，还具有针对变形编码攻击的防护，可以有效的防止“IP碎片攻击”、“TCP碎片攻击”、“变形编码攻击”等，众多网络设备都存在被绕过的风险，但是铱迅的检测引擎真正体现了它的强大。

 弯曲的高手众多，应该知道国内非常多的厂商用美国开源的IDS Snort的机制做组包，它的组包机制是不会超过1.5k的数据，但是铱迅的waf可以做到全组包。这个也是其的一大优势。

另外铱迅的web漏洞挖掘能力具有一定的实力，像常见的Discuz、Phpwind用得非常广泛的论坛程序，铱迅挖出了几十个，还定期给国家漏洞库提交漏洞。

其千兆产品每秒HTTP请求叔率达到56000，性能也非常有优势。铱迅拥有攻击检测引擎和性能强大俩大优势，公司web安全技术能力可见不一般。

铱迅是华为系的公司，走研发路线，市场做得有点欠缺。在2011年web安全防护的市场越来越成熟，希望铱迅有自己的一席之地。祝愿铱迅越来越好，弯曲越来越好，首席身体健康，各位万事如意。

      2011年1月22日，苹果半官方的宣布，苹果应用商店iTunes App Store程序下载量突破100亿次。第100亿个被下载的程序是“Paper Glider”，是由英国肯特郡的Gail Davis下载的。按照苹果的承诺，该哥们将获得一万美元的iTunes礼品卡。

      苹果应用程序商店2008年7月10日开门迎客，当时只有500个初始应用，数日后下载量就上千万，一年后就上10亿，两年半的时间就扩张到100亿下载量，说“绝后”有点早，说“空前”是没问题的。

     目前苹果应用程序商店有超过35万个用于iPhone，iPod touch和iPad的应用程序，用户涉及九十多个国家。这其中为iPad原生设计的应用程序超过六万个。苹果的App分成20类，包括游戏、商业、新闻、体育、健康、参考（Reference)、旅行等等。

     苹果应用开发者社区148Apps.biz做了一个关于App分类的统计，如下图所示。最大的四个分类，依次是书籍(16% )，游戏（14%），娱乐（11%），教育（8%）。

      另外一个比较猛的分析，就是数据调查机构asymco对苹果发布的2010年Q4财报的剖析。这份报告和图表解释了苹果近几年收入的主要来源。2010年第四季度，iPhone和iPad产生了150亿美元的营收。另外，iPod touch产生了23亿美元的营收。两者相加，基于iOS的系统为苹果在上一季度带来了173亿美元的收入。

      数字当然不如图表清晰。下图不仅指出了各产品的销量，而且直观的说明了驱动苹果主流产品的两个操作系统所占的份额。上一季度苹果有65%的营收来自三年半以前还不存在的产品—-基于iOS的iPod Touch、iPhone、iPad；此外安装了OS X操作系统的Mac系列电脑占据了另外20%销售额。总体上看，基于苹果自己的操作系统（iOS和OS X）的产品带来了总销售额的85%。

      除此之外，单是OS X配套软件的销售额就有7.86亿美元，占总营收的3%；最后，来自iTunes音乐商店相关的销售额达到6亿美元，占2%多一点。来自外设的营收已经不到10%。软件平台对苹果日益重要，苹果在此基础上也显示了运营软件以及为软件搭建完整产业链的强大能力。

      从上图也能清楚地看出苹果营收的螺旋式上升。每年第四季度的小高峰来自于感恩节和圣诞节的购物大潮。最近三年的增长大部分来自于从2007年初推出iPhone以及后续基于iOS的产品。能够准确的打新产品而且这么快的叫好又叫座，还是令人佩服的。

      现在已经很难简单的判断苹果到底是一家硬件企业，一家软件公司，还是一家网络商店。答案多半是三者兼而有之。苹果90%的收入都来自该公司出品的操作系统及其适配的硬件，65%的营收来自近三年开发的产品和平台。这属于“世界上本来没有路，苹果自己开辟路”，还是“走自己的路，让别人（1）去说，（2）无路可走”？

1月25日消息，据国外媒体报道，华为今日在美国一家法院对摩托罗拉提起诉讼，试图阻止诺基亚西门子网络（以下简称诺西）收购摩托罗拉网络设备业务。华为称该收购将侵犯华为专利。

摩托罗拉目前已分拆为两大公司。摩托罗拉于去年7月份同意以12亿美元价向诺西出售部分网络设备业务。华为在今日向芝加哥联邦法院递交的诉讼文件中表示，华为要求两家公司在知识产权纠纷未得到解决前暂缓交易。

华为称摩托罗拉自2000年以后贴牌出售华为生产的设备。华为表示该收购交易将会把公司技术泄露给其最大的竞争对手。

华为外事部副总裁比尔·普拉莫（Bill Plummer）表示，“华为和摩托罗拉已进行10年合作。但我们并没有同意摩托罗拉将我们的知识产权转让给其他任何第三方。”摩托罗拉方面则为就此事进行回应。

该收购交易此前计划于去年结束。但诺西上月透露，因中国商务部要求对该收购交易进行反垄断调查，而导致收购延缓至今年。

华为起诉对象包括摩托罗拉解决方案、摩托罗拉移动，以及诺基亚西门子联合建立的合资公司诺西网络。

在去年7月，摩托罗拉起诉华为，称其窃取包括公司多项新技术在内的商业秘密。