多核信息安全產品的出現使得安全產品市場面臨著一次新的沖擊，多核還是單核是大家討論的一個問題。我們所能感受到的網絡現狀是：10G/N*10G的網絡數據流量、3G時代的來臨預示著3年之后手機終端會超過PC終端。另外云計算的興起帶來了計算、網絡、存儲等基礎設施的虛擬化整合、數據/信息的整合帶來了網絡流量更加集中，以及大多數業務應用從C/S向B/S轉移，這些都促使越來越多的流量發生在網絡上，而本地產生的運算量卻會越來越少。因此，遠程集中式運算與網絡傳送的信息量也就越來越大。

從這個角度來說，網絡病毒檢測、入侵檢測、入侵防御以及信息數據安全等很多環節，都離不開對網絡數據內容的分析。而除了我們通常所了解的算法優化能帶來高效的計算外，對硬件計算資源的消耗正在隨著網絡容量、信息傳送量的增加而高速膨脹，以至于當前絕大多數安全設備所引用的X86通用計算平臺在不借助其他加速組件的方式下，幾乎無法滿足高性能的內容運算，并且性能和效率也都難以達到每秒超過2G以上在線數據運算量。在網絡帶寬和信息量高速膨脹的今天，這樣的運算效率僅僅只能滿足局部應用需求。

因此，性能的大幅提升是信息安全未來發展的必然趨勢。

兩大因素制約傳統性能提升 多核應運而生

通常來講，以往在為數不多的面對大容量計算需要時，我們常會采取分流分布式計算來解決，也就是將一個較大的網絡流量分流為若干個小流量，采取分而治之的方式來完成對數據內容進行各類安全性檢查，并進行必要分析與實時運算。

顯然，在運算性能不具備的條件下，分布式計算方式是無奈之舉，但是它帶來了較大的管理成本和維護壓力。更重要的是大多數企業用戶根本無法接受這樣的應用方式，更多的企業級用戶，在面對大流量下的安全需求時，更多是選擇了“等待”，等待著更快、更安全的產品出現和成熟。

那么，一個很顯然的問題就出現了——信息安全設備為什么不能像網絡通信設備那樣，引用高性能的網絡處理器或ASIC達到與網絡速度類似的處理效率呢？簡單分析一下會發現，這其中最根本原因主要有兩方面：

一方面，是客觀技術的制約，相比僅僅處理網絡局部信息（大多數是頭信息）、而不分析數據內容的網絡通信設施而言，信息安全設備對信息內容的分析深度、廣度比網絡通信設備要復雜得多，甚至還要分析數據內容之間的關聯性。這就像機場等重要交通樞紐對行李、攜帶物品等的安檢程序一樣，它要關注的內容和范圍要比常規的身份檢查復雜得多，因此它比簡單的檢驗每個人身份證的效率就要低很多。同理，對數據內容進行安全檢查的計算，永遠比網絡數據傳送的計算要復雜得多（代價和開銷都要大一個數量級），因為網絡中每個數據包的信息數據內容往往是信息頭的10倍～70倍。

另一方面，是各類導致安全威脅的病毒、入侵行為都在利用計算機高級語言不斷更新以突破某種防護，是因為這樣的效率更高，也因此每天都會有新的威脅誕生，而這種動態性和不確定性的存在，使得幾乎所有關注分析信息和數據內容的信息安全設備也必須在開放的運算平臺上基于高級語言搭建的運算系統來工作，是因為只有這樣構建的安全系統才有靈活的升級能力，從而也才能與安全的動態性和不確定性進行對抗。因此，大多數關注信息內容的信息安全產品（如UTM、IDS、IPS、審計等），必須利用高級的語言和開放的硬件運算平臺才能完成對各類信息內容的檢索和各類安全性檢查。

所以，要滿足未來信息安全產品適應當下信息高速膨脹的發展趨勢，提升開放平臺的硬件性能，既是必然趨勢也是滿足未來應用需求的關鍵要素。

也就是在這樣一個開放性平臺應用需求的驅動力下，多核信息安全產品應運而生。

超越X86 選擇多核SoC收獲與代價并重

需要說明的是，剛才所說的多核并不是基于X86的2核、4核這樣的CPU，而是在網絡、安全設備上最新使用的基于MIPS64的多核SoC（System on Chip）處理器，此類多核SoC處理器目前可支持到16核，并還在隨著安全計算需求的不斷增加而繼續提升。

相比X86、NP、ASIC硬件平臺，SoC多核平臺的最大優勢是保留了X86平臺的高靈活性（這一點對于安全設備的應用層檢測非常關鍵），并且具備與ASIC平臺相當的高處理性能。同時，SoC通過增加核數，使線性提升硬件計算能力成為了可能，更重要的是功耗也隨之得到了控制。

唯一具有挑戰性的是，傳統的X86平臺屬于通用硬件平臺，具有開發難度小的優勢，而SoC多核平臺屬于專用硬件平臺，駕馭難度相當高?？梢哉f，全球范圍內能自如駕馭多核技術的廠家不足10家，而且多為國際性技術領先的大廠家，國內一直到啟明星辰2008年成功駕馭多核并發布自主研發的基于16核的萬兆UTM時才填補了這塊空白。

這的確是一個痛處。因為，對于很多廠家而言，實現對多核系統真正意義上的駕馭還是一個國際性的難題，尤其是計算性能的提升，如是否能隨核數的增多而達到線性的增長。這其中需要各個廠商在多核硬件的基礎上作大量的原創性設計，包括重構操作系統、多核之間的業務調度、檢測效率提升和計算性能挖掘等。與此同時，一旦對多核技術駕馭不理想，如對多核運用得不夠平滑或兼容性不夠，那么由于核數的增加會帶來軟件核心設計的不斷變化，這就意味著需要為不同核數的SoC處理器設計不同的軟件系統和驅動，由此將極有可能導致相互不兼容，4核、8核、16核、32核等與軟件的不兼容。可以想象，如果技術上突破能力有限，而導致陷入如此尷尬境地，我們不難想象這對產品研發和供應者是個多大的災難。#p#

駕馭多核 高效低碳 決勝信息網絡安全的未來

如果能成功駕馭多核，那么多核信息安全產品能帶給信息安全產業的將是一種革新。

首先，從功能上來講，SoC多核處理器不失X86 處理器的靈活性，便于快速響應信息安全的應用層檢測需求；其次，SoC多核處理器通過協處理器的概念將“軟件特性硬件化”處理，在設計上奠定了多核平臺的高性能基礎。更為重要的是，計算性能隨核數的線性增長將完全突破信息安全產品發展的性能瓶頸，隨著核數的倍增，多核的計算性能也將成倍數增長，計算能力的提升是支撐安全產業發展的基礎。

多核架構在支撐高性能的同時，帶來的另一個卓有成效的經濟效益就是低碳、節能。

正如全國政協副主席在2010年1月22日，以“發展低碳經濟、共建低碳中國”為主題的低碳中國論壇首屆年會上指出的那樣：“氣候是第一生產力，必須從這樣的高度來認識低碳經濟”。對信息安全產品而言，減排、低功耗是實現“低碳經濟”最主要的節能目標。多核架構的主要優勢為一顆芯片上集成了多個核，核與核之間可以協同工作，同時在各個核周邊還集成了豐富的安全協處理硬件，如硬件加密、正則匹配和應用加速等，以及高集成度的特點簡化了整體硬件板卡的復雜度和能耗。同樣的應用，對于X86通用硬件平臺，需要1顆甚至多顆高頻率CPU，同時需要南北橋芯片組、通過PCI擴展的硬件加速板卡或應用加速卡等，一系列配套芯片設計使能耗遠遠高于同檔次多核SoC專用硬件平臺。

根據硬件廠商提供的典型平臺實際功耗數據對比，多核SoC硬件平臺實際功耗僅為同檔次X86平臺的1/3左右。以萬兆平臺為例，1臺萬兆設備每年可節省2102.4度電，按照每消耗1度電等效于0.997千克的二氧化碳排量計算，每臺多核萬兆設備每年可以減少2.1噸的二氧化碳排放，相當于少砍伐1.14棵生長5年的大樹。
 

在高效能、低碳排放的同時，多核架構帶給信息安全產業的另一個附帶優勢為高質量。高度集成的SoC處理器降低了硬件平臺的整體復雜度，硬件的簡化促使故障率可以降低到1％以下（X86平臺故障率通常為5％以上），達到電信級標準。

在“安全為本、計算為王”的云計算時代，多核信息安全產品以高性能、低碳排放和高質量的特點帶給了信息安全產業新的機遇，在這個大環境下，誰駕馭了多核計算，誰就有可能決勝安全未來。

【編輯推薦】

1. 企業網絡安全事件識別與分類
2. 企業網絡安全事件識別與分類
3. 企業網絡防護應注意的四個基本點
4. 企業如何對員工進行網絡安全培訓
5. 企業如何在復雜環境中降低安全風險