演讲主题：从系统架构角度重新审视安全

演讲内容：CITRIX大中华区市场总监 陶 欣

在座的各位领导、各位来宾大家好，非常高兴能够有这个机会跟大家一起来分享一下关于安全领域的一些最新进展和我们的一些思考。刚才我在底下学习一下前面各位专家、领导的一个介绍，有一点让我觉得非常意外，从中国移动到华为到惠普，各位的介绍在关于安全领域的思路上有相当大的统一性。在我这部分的介绍中，其实应该说都有和前面介绍部分相呼应的内容。下面话我就给大家做一个简短汇报。

在介绍之前请允许我稍微介绍一下思杰公司，因为针对中国市场来讲这家公司太新了。那么它新在哪里呢？除了其中国市场是近几年刚开始拓展的“新”，其实更主要的是它所在的技术领域、它的解决方案更是相对“新”的，而这里的“新”的概念是指在整个IT产业链中出现的一种新趋势、新力量：传统上整个信息系统架构是起源于计算机，随着计算机的普及，出现了网络为主导的新趋势。但是，当网络化普及之后新情况、新问题、新矛盾又出现了，即应用的互联互通 – 既有应用系统之间网络化的互联互通，更有人们借助网络化应用产生的彼此之间的互联互通。整个IT产业在这持续发展变化过程中不断裂变出新的技术、产品、方案，将整个产业的技术分工不断专业化。比如说今天的网络系统，在刚开始有计算机的时候其实是没有的。那个时候的所谓网络不过是集成在主机系统里的某一种功能而已。但到了上世纪八十年代，随着计算机小型化、微型化，并且彼此连接的要求越来越多的时候，就开始出现专门的设备把原来在计算系统里的网络功能拿出来做专门处理，路由器这样的网络设备就是在这样一种背景下孕育而生的。与此相类似，随着人们对信息量需求的爆炸增长，后来技术人员又从原始主机系统里面逐步分离出来了硬盘、缓存、程序优化、应用接入等功能，于是就又形成了专门的存储、负载均衡、应用交付、乃至于虚拟化等这些目前很热的技术领域。而思杰就是专注于这些不断裂变出来的专业技术领域里的高技术公司，例如：虚拟化、应用交付等。所以它代表的是本世纪初IT领域最新的发展趋势。

思杰这家公司从1989年开始成立到现在其实已经有相当长的时间了，是北美市场应用虚拟化的领导者，相关市场份额超过70%。但是它传统都是在北美市场，一直到2002年左右刚进入到亚太地区，进入到中国也是从2003年才开始有的事情。先期主要是市场尝试；在看到中国市场有实实在在的巨大空间后，从现在起思杰要对中国市场进行全方位的拓展，并启动相应计划，所以它是一个逐步进入国内的高新技术公司。

我在刚加入这家公司头二周的时候没觉得它有什么太特殊的地方，后来有个机会到美国去参加了他们的一次全球用户大会。会议期间，我发现思杰在美国市场的影响力竟然是如此之大，几乎业界所有相关的厂商，例如微软、英特尔、惠普、IBM、SAP、赛门铁克、诺基亚、西门子、……以及其他很多我们在国内不知道的公司，都加入到这家公司所主办的用户大会当中去，来跟会场内来自全球的四千多用户分享、讨论虚拟化技术、安全架构、集中化管控等话题。那个时候我突然发现，原来IT的前沿早已不再是网络通信，世界竟已有这么大的一个变化。

所以实际上刚才我们说不管是华为还是惠普的同仁，其实谈到的都是代表了类似的这样一种趋势，即以IT为基础的集中化管控。这其实已不是技术问题，而是管理问题了。那么虚拟化也好、集中管控也好，其实它所达到最核心的一个目的，很重要的第一点就是安全性，其次第二点是叫面向服务的这么一种体系结构。整个IT产业未来的发展将越来越向以服务为导向的这么一种架构在发展。运营商整个的数据网络体系在系统建设、安全模型上将越来越多地向原先的电话网模型转型，我一会儿再做一个具体、详细的解释这是为什么。第三点达到的目的是投资成本和管理成本的节约和效率提升。这些都是我们在业务上所希望达到的目标，要想达到这些业务目标，就一定要有技术手段。但这个技术手段不是一家、两家或者是一个、两个技术体系就能完成的，它一定是一个产业系统。所以这是为什么我很意外也很高兴，刚才移动、惠普和华为的同仁，都会提到彼此相互呼应的一些要点，这其实就说明了，这个是要产业链来合作的这么一种关系。

好，那现在我就具体讲解一下如何从系统架构角度来重新审视安全。

首先我们来看几个问题。今天大家坐在一起讨论的是安全问题，但是我们能否跳出技术框架，从实际工作应用环境角度重新审视一下什么叫“安全”？其次，安全问题到底是怎么来的？第三，我们如何实现安全？我们说，信息系统里面的安全问题实际上归根结底是找一个确定性的问题，我们今天之所以有众多的安全性的问题的存在，是因为我们有太多的终端不确定性，所以要在众多的不确定因素当中来找到并且锁定这个确定性！在座各位如果您是工程师或技术人员，您是否记得在做具体的设备安装调试的时候，我们是怎么来配置琳琅满目的设备的？我们是不是把某一个已知道的IP地址输入设备，告诉设备这个IP地址我是允许他通过的，其他的IP地址我不允许他通过？我们是不是打入一个URL或一个网站的名称，告诉设备这个网站我是允许他通过的，或者说是允许用户访问的，而一些垃圾网站、或内容不良的网站我们是要屏蔽、过滤它的？这实际上在做什么事情？-- 是在找确定性！但是确定事物和不确定事物在信息系统中的比例关系太失调了，因为由浩如烟海的人类群体产生了比之更海量的信息，你要在成千成亿的不确定当中去找到那么几个确定性，并且一直要去跟踪、维护、管理、更新这些确定性的话，这个难度有多大可想而知。每一天上网的人有多少？每一分钟、每一个人产生的变化的行为又有多少，这是海量不可计数的。所以要想从不确定当中找到确定性，其实是相当难的一件事情。这，其实就是信息安全领域的最根本问题，也就是我们要说的“何谓安全”。

第二个，安全问题的由来。信息的产生根本操控在谁手中？是操控在人的手中！所以这些不确定因素归根结底是由人产生的。这是为什么我们说，所谓信息安全，其实就是要掌控人的不确定性，只有把人的不确定性给锁定住了，我们才有可能最大化地减少信息安全的威胁。这是为什么很多的时候，我们在说安全的时候，第一、第一、第一强调的，我记得刚才中国移动的周总也在谈到，第一、第一、第一强调的是什么？是规章制度、领导的重视、法令法规的贯彻和实施。这些东西为的是什么？还不是为了规范每一个终端使用者的行为。所以我们说安全问题的由来最根本的还是掌控人的行为。

因此，安全其实不是一个技术问题，它最终是一个管理问题。所以我非常赞同移动周总这块地方的一个解释，安全其实就是管理，一点儿没错，因为它是对人的行为的一种管控！是对信息一体化的一种管理，它最根本的性质实际上是通过技术手段来最终实现对人的安全行为的整体化管控。

那么如何实现安全？我们有很多的技术手段，我们有很多的厂商，我们有很多的方案，我们每天在报纸上、宣传中会听到林林总总的技术、产品、方案、架构等等这些东西，但是我们说这些东西是问题的全部吗？它可能是，但今天当我们发现真正的信息不确定性实际上是在于人的时候，你会发现单单只是谈一些技术问题是不能够真正解决我们所面临的所有挑战的。因为无论何种技术手段，最终都是要通过锁定人的信息行为来锁定某种确定性。
既然安全问题根本在于锁定人的信息行为的确定性，那接下来的问题就是，人的任何信息行为在IT系统当中是怎么转化成后面的这个技术语言呢？其实很简单，是通过应用。

我们每一个人都有终端，可能有PC，可能有手机，可能还有其他的诸如IP电话、iPOD、网络游戏终端、甚至移动电视终端等这些东西。其实每一个人在产生一个不确定的信息行为的时候，他不是直接去做0101的编码，他做的事情是点击以图形化界面表示的那个应用。所以我们说，安全的技术落实在于抓住终端应用！

这里有一个最新的调查报告，是世界金融领域著名的高盛集团在今年九月份对全球财富1000强的企业做的一个调查。调查显示，信息终端使用者的身份和行为识别以及集中管控是安全领域的核心乃至于第一的问题，就是我这里画红圈的地方。所以我们说所谓的身份识别和信息的接入管控，实际上说的是针对于人的不确定行为，怎么样去把它锁定的问题。所以这是为什么很多安全厂商最近都着力于身份识别、接入控制技术的原因。世界上各种事物变化万千，但对任何事物的考察都要回归到它根本的源头，才能找到其万变不离其宗的根本。对于信息安全的实施，万变不离其宗的根本就是要控制终端，控制应用。为什么要控制终端？因为在实际生活中，信息安全的不确定因素几乎都是由人产生的，而人接入到信息系统的界面和接口是什么？是终端。这个终端包含了PC，也包含了电话、掌上电脑、以及其他所有我们能想到的任何的一些设备。我记得刚才华为的同事在介绍他的网络系统的时候讲到了一个SIP协议，为什么会有SIP协议的存在，其实SIP协议之前是H.323，但是后来为什么H.323输给了SIP，是因为SIP协议它开放，跟计算机系统更多地兼容，而H.323是在传统的电信体系架构产生下来的，太过于完美而没有办法去真正地实施。所以今天IP电话会走向SIP。但SIP会带来一个问题，就是因为它是开放性的，管控性差，因此怎么去跟IT系统进行一个平滑的整合，怎么来管理里面的安全性的问题，又成为了一个话题，这是为什么我们说要控制终端、控制应用的一个例证。

早先的时间，应用可能只是一个计算语言，但是当IT系统非常地普及的时候，当我们每一个人，每一天，甚至于我们的父母，退休在家时都尝试上网的时候，它已经不再是一个计算语言了，它成为了我们生活当中的一部分，它应该说是任何业务语言的一种载体。所以说这是我们今天为什么反过来再要看应用的原因，要控制终端、控制应用，我们才能从体系架构方面对安全有一个重新的认识。

这是传统的安全体系架构，是分散式的，为什么我们说是分散式的呢？实际上取决于传统的IT架构。传统的IT架构是基于胖客户机的，胖客户机后面是服务器，所有的应用都跑在这个背景下。因此，当我们今天来看安全体系的时候，是不能够脱离这个整个的应用大环境的。

这个里面我们发现传统的安全体系架构有一些问题，第一个就是桌面太强大了。尤其是当我们要想安全管控的时候，发现桌面太强大了，很难控制。我们可以发各种指令，可以发各种法规下去，让我们所有的企业内部的人员、或者让我们外面的这些客户都来遵守我们的规章制度。但是如果要是仅仅依靠人的良好愿望去实现的话，这个事情的可操作性是很低的，因为每一个人的不确定性太强了。只能是通过一种什么技术手段来强制实施，才有可能真正地实现一体化的策略贯穿。所以的话在传统上桌面过于强大带来一个问题是什么？桌面的掌控性，这种信息的不确定性太高了，因为每一个人都可以做很多自己的事情，而且很多的时候，人们使用PC的时候，他可能是无意识当中去接收到了一些病毒，接收到了一些有威胁的插件，然后又无意识地把这些接入到了自己的企业网里面，接入到自己的办公网里面，接入到自己的业务网里面，于是就带来了这种灾难性的扩散。

所以我们说这个桌面太强大是一个问题。第二个是安全策略难以统一，难以真正地管控，因为每一个人的不确定性太高了，我们在北京可以发一个指令，比如说到海南岛，但是海南岛那块地方的机房的人员，真正的他，是每天一、二、三在做什么事情，你在北京市看不见的，也不可能看见的，这有一个地理距离的问题。再有一个是支持和管理的总成本很高。我们这里先树立一个概念，什么叫总成本，传统的中国企业和西方企业有一个很大的在成本方面的认知差异，就是我们在说到成本的时候，只是看到了它的金钱价值，也就是说它的这个人民币的价值，但实际上所谓的总成本，它应该还包含了时间、人员、设备然后再有经费等等方面的总体投入，因为我们每一个人的工作时间也是宝贵的，我们的运行的设备，我们的自然的资源，包括电力诸如此类的，空调等等诸如此类，难道不需要这个资源的支撑，而这个资源最终转化成经费吗？当然是需要的，所以我们说支持和管理的总成本很高，这个一定是有这方面的问题。

再比如说人员那就更不用说了，我们可能有很多的经费，但是一时半会儿只有两个工作人员能真正支持比如说上百台，那你有一天一下子要有上千台、上万台一个业务发展的话，你哪里去一时半会儿找到更多的人员呢？他是需要时间去培养的嘛对吧？而且一旦一个熟练的员工可以稳定地工作的时候，你又会开始不希望他有工作变化以保证相关业务的持续稳定。所以这个人员本身也是我们整体的总成本这个当中的一个很值得考虑的一个因素。

最后的话就是在目前的这种体系架构上面各种安全技术堆在一起，理论上看都有非常可行的章法，我们说应该相当的不错，但是实际上你会发觉，具体操作的时候这个部件和那个部件怎么配合，这个逻辑关系又是怎么回事儿，我跟你说挺绕脑子的，真要学习起来的话，还真不是一件容易的事情，所以诚如刚才惠普付云平总经理说的，30分钟之内搞不明白的东西，你就可以不要学了，因为实在有太多新的、其他的东西，有其他更多的选择，所以一个东西30分钟搞不明白也不要搞了。

所以我们需要新型的体系架构。为什么？还是我们来研究一下今天整个环境变化是怎么回事情。其实我们说万变不离其宗的一个是应用，第二个是用户，用户通过应用来接入到整个网络系统，然后产生所有的这个不确定因素。所以在用户和应用之间发生了什么事情？在用户这块地方，他其实是通过各种各样的终端系统来接入到信息网络，而在应用这一块地方，我们发现有一个趋势，越来越进行数据中心基础上的这种应用传送。这个最典型的一些外部的应用，再有的话是ERP、CRM，以及我们的BOSS系统、计费系统等等，所有这些东西。我们在日常运营的时候你会发现，实际上这些应用的核心引擎都是在数据中心。所以整个的计算环境现在有一个大的变化，就是客户端作为一个轻便的接入，而应用端，尤其是企业的业务系统等很重要的东西其实都是集中放在一起，放在数据中心的。这是一个整体的趋势，所以我们说，在应用接入和数据中心之间，它其实是有各个这种环境的。这个就需要我们去重新思考一下，我们怎么样在这种新型的场景之下，来去布置、来实施我们的安全体系架构。

这里有一个简短的一个陈述，以应用虚拟化技术为基础的新型安全体系架构集中式，那么这个实际上就是跟刚才惠普介绍的，比如说刀片PC也好，或者说是其他的方案技术也好，一个配合使用的一套方案系统。根据刚才我记得有的同事曾经问到说，你的这个东西具体怎么实施，操作系统是怎么回事儿，这块地方就可以做一个很明确的解答。

那么它是怎么做的呢？你可以看这个动画，我们原先所有的应用程序是在桌面的，但是你应用了集中化的管理体系的话，所有的这些应用被放到了后台，也就是说是在数据中心，在服务器这一端来启动这个应用。启动完了之后，我只要推送到客户机的前端，就可以了。这么做的最直接核心意义是什么呢？是我们管住了应用，也就是管住了不确定性。大家可以看这个是体系结构上一个根本性的思路转变。

再有一点，在技术实施上面，我们并不是说，我把所有的应用全部拿走了，客户端这块地方全部就成傻子一个，我们说这个用户也不干，最终的使用者也不干。所以呢这里面就要用一个特定的技术，应用虚拟化的这种技术来打包、分层，所有企业内部所关心的，所有我们业务运营关键的这些应用程序，我们需要进行集中掌控的应用程序，我们把它确定下来。然后把它从数据中心再推向客户端，你可以完全地管控。

另外一方，在桌面这个地方，可能毕竟还是有的用户，想自己稍微做一点儿自己小事情，存储一个什么文件，打印什么照片诸如此类的。这种操作是无关痛痒的吧，你如果把这些应用也全都给锁了的话，最终使用者肯定也不高兴，也的确是有问题。

现在我们就可以通过应用虚拟化的方式，把该管控的东西管控起来，把我们不想管控的东西给扔出去。而在扔出去和管控之间，两者之间甚至连用U盘来存储这种功能都不能做，由此达到彻底的安全隔离，这也是一种体系架构的变革。等于是在PC当中，或者瘦客户机当中，或者任何一种终端当中，我们加了一层虚拟层，把我们所需要的东西放进去，把我们所不需要的东西踢出去。刚才说过确定性和不确定性，其实我们真正能管住的确定性，可能只相当所有不确定因素的万分之一，我们怎么可能想象把这个100%的不确定性全部都给管起来？那也是不现实的一件事情。所以就要进行适当地区分。针对于我们业务运行的，比如说像BOSS、比如说像我们刚才说到的这个收费等等诸如此类，以及你像还有其他的一些自己内部的一些应用例如财务、人事、运营等等，这些东西你是需要管的，这些东西对于大家业务运行是非常关键的，对，你把他管起来。至于说哪个个人想打印一张照片，互相大家发个什么小Flash诸如此类的事情，你这些东西可能不想管，那你就把它给踢出去，而且这些东西在这些信息传输的时候，它也不会影响到你已经用一层钢筋水泥给糊起来的这些应用程序的本身的这些数据的交换和安全性，因为这两者之间是根本不能产生信息交换的，这里面是通过应用虚拟化的技术来达到的这么一个效果，所以这实际上是带来一个体系系统的根本性变革。

再解释一下什么叫应用虚拟化技术？实际上我们说前提是要分析一下网络的七层结构。为什么前提是要分析一下网络的七层结构？是因为我们今天面临的环境是网络化的环境，如果我们今天不是网络，而只是计算机的话，我们就不需要分析网络七层结构，直接你去看操作系统和应用和CPU这样的体系架构就可以了。因为今天我们是网络化的，所以要看网络的基础层次结构。我们说在这个网络七层结构当中，我们最熟悉的知道的网络的设备是什么？交换机、路由器，这是最知道的，那么交换机、路由器在哪里呢？交换机是在逻辑电路层第二层，它最早的形态是网桥。路由器在哪里？IP这个东西在哪里？是在网络层，是在第三层，而我们的应用程序在哪里？是应用层第七层，所以你会发现，从网络层一直到应用层这当中好像有很多的空间，TCP/IP这个协议，它其实只是解决了部分的问题，为什么？因为TCP/IP实际上是两个协议，IP是一个协议，它在网络层，TCP其实是另外一个协议，它在哪里？它实际上是在传输层，而这个传输层因为在开始出TCP/IP这个协议的时候，那个时候是什么年代？六十年代各位，上世纪六十年代，根本没有那种复杂的环境，所以他就直接简化了，从传输层一直做到了应用层。这里面就留下了巨大的空间。但是今天是二十一世纪的2007年，马上要进入到2008年了，事事变化、都快四、五十年了，你说这个传统的TCP/IP它能撑得住今天这么多的发展变化吗？当然撑不住，所以才会有风起云涌的各种各样的新的技术、方案、产品以及问题的出现，所以实际上应该说是以一种历史发展的角度来看这个技术问题。

好那我们就来看在这里面做了什么文章：我们把表示层拿出来，把表示层做成一个应用虚拟化的引擎，并且把它产品化叫做应用交付服务器，放到什么地方？放到整个计算系统的操作系统和应用层之间，我们在这之间加了一层东西，通过它来把我们该要的应用给隔绝起来，把我们不想要的应用给剔除出去，实际上这是应用虚拟化技术的核心思想，也就是说是在表示层做的一层东西，所以这是为什么我们的产品名称叫Presentation Server，因为在英文当中表示层是叫Presentation Layer。所以当我们在说到具体产品应用交付服务器的时候，可能更学术一点应该叫表示服务器。但是实在这个“表示服务器”太难懂了，所以我们把它转换了一下叫应用交付服务器了。

但是不管怎么说，他实际上是在这里面做了一个文章。所以也就是比如说在Windows操作系统，LINUX操作系统，以及不管什么样的操作系统之上，我们又加了一层，然后类似ERP的应用， Office套件的应用，或者说那个IE浏览器的这些应用，以及大家能想象到的任何的应用加在上面就可以了，这样的话就可以解释刚才大家的一个问题：你是用什么操作系统？我可以跟大家很放心地说，就是说你用Windows的操作系统，用LINUX的操作系统都可以，因为我们是在这个上面加了一层。通过这一层再把所有的该放的应用放进来，实现所有的安全性。

那么这些东西是软件的，我们在硬件上面需要怎么去实现呢？这里面就需要有刀片PC，就需要有后面的服务器，所以这个体系结构我们说今天上午，通过网络的华为，然后通过计算机系统的惠普，以及接下来我们这里的思杰应用虚拟化这一块，应该说整个思路就很清楚了。

集中式安全体系的两个实施步骤，第一要将所有的业务指定的应用，我们不是说所有的应用，是业务指定的关键应用，集中放置于数据中心，以简便管理和支持。第二个是选择最佳的应用交付和应用推送的方式，把应用从后端推到前端去，因为我们加了一层虚拟层，你从后端往前推，推到前端，这就是所谓应用交付的概念，或者更准确一点叫应用推送。

对于应用交付，刚才有另外一个朋友的问题说，带宽会不会受到影响？看这张演示图大家就可能清楚了。我们可以实现任何设备、任何网络、任何地点的无缝安全性，因为这里面在传输什么东西大家可以看，实际上关键应用的真正运行是在服务器里，它对于CPU的消耗，对于真正计算内存的消耗是在后端，而我的桌面只是去怎么接收到这些东西。所以整个系统只是把影像推送到了前端，推送到了客户端，然后我们在终端的最终使用者只是把鼠标的信号，把键盘的信号等回传给后台的服务器就好了，搞定？没错！所以才会只有25K的这么一个带宽消耗，因为他很简单，你在前端真正传输的只是很简单的鼠标、视频、键盘之类的这些信号，所以这是不会有太多带宽消耗的原因。

那么我们给大家画一张饼吧，不好意思画一张饼，以应用虚拟化为基础的应用交付实现一个什么样子的真正的应用场景？我们说技术再好、体系结构再好等等，东西再好，我们还是要鲜明地知道给我们带来什么好处，你才能觉得这个东西我能再继续往下使用对吧？这里面大家注意我这个图片的变化。左手边是服务器，这个大家看得很清楚，右手边是一台客户机，它的面前是一台笔记本电脑。我们通过应用推送的方式，通过刚才说到的这种体系架构，通过一种打包这种集成的一种虚拟化的方式，把应用推送到前端，这里面有各种Office的套件，也可以有这个Email的这种程序，也可以有这种应用软件，各种各样的应用软件，在国内我们其实还跟拥有和金蝶进行合作，所以他们的财务软件在这个平台上面运行完全没有问题，诸如此类的东西从后台推到前端这是第一。

然后你会发现，我换了一个地方，刚才是在一个场景下面，下面的话我在机场了，地点变了，但是你客户端的接收到的这些东西的安排是没有任何变化的。为什么？因为实际上真正的控制中心在哪里？是在服务器，我们前端这块地方只是信息的接收，举一个最简单的例子，它有一点像电视机，你会发现电视机、广播系统好像从来没有听说过他有安全这个问题，为什么？因为终端接收器就是一个傻傻的电视机，顶多人能操作的是一个遥控器，其他的没有了，所有的智能信息系统全部在后台通过电视台集中发送，这个跟传统的电话网很类似。我们在传统的电话网里面也从来没有听说过电话网会有安全性的问题，顶多就是有骚扰电话，这个骚扰电话是怎么产生呢？是因为我们有114查号台或电话黄页。但是说真正从某一个电话发起什么进攻诸如此类的东西从来没有听说过，为什么今天在计算机网里面却听说了，为什么在数据网里面却听说了，而且越来越成为一个很严重的问题，就是因为电话网的最根本的设计理念，就是用ITU的这个标准和思路来看的话，所有的智能系统全部控制在程控交换机，所有的职能系统全部控制在中心。所以终端电话它是一个很傻的设备。它只有从零到九这么十个数字。我记得小的时候，包括我在刚开始去上邮电大学的时候，学的是所谓的智能网，这个智能网它强调的是什么？是通过电话拨号盘发送指令到程控交换机，然后再去实现什么电话叫醒啊诸如此类的一些应用，结果发现推了半天也没人用，因为这个东西实在太复杂了。那好。现在这种集中管控的情况的话，我们终端就已经很傻了，根本没空间进行终端智能，所有的智能全部集中在中心，因此当然不可能有安全性的这种挑战问题了。所以我们说其实集中管控的体系架构不是新鲜的东西，在我们日常生活当中早就有了，在我们的电话系统里面早就有了。

那么为什么IT系统从一开始没走这条路？是因为它的发展、历史沿革不一样，它一开始是从计算机网络，从下端，从用户端逐渐发展起来，然后我们再到运营商这块地方，再到集中、再到集成这个东西，所以它的发展的路子不一样，因此带来了终端太强大的问题，所以我们说把终端管控起来，通过这个核心这块地方往下推送，你就可以解决这方面的问题，再有的话你走到哪里，你的应用的界面是一样的，因为你的应用的实际物理职能平台是在后台。

这张图片大家注意一下变化，你会发现我们在笔记本电脑上面和这块地方变化的台式计算机上面，应用程序的图表是一样的，但是设备变了，原来是笔记本电脑，现在是台式机，而且场景也变了，原来可能是出差的地方，现在是在家里。所以你会看到，这是集中管控的一个好处。一方面可以实现安全性，另一方面又可以实现应用的统一，你不管换成什么样子的终端，不管在什么样子的场景下面，你的这些应用对于终端使用者来讲，应用它是一致的。我们说电信运营商提供的是服务，你不能因为说我要提供安全性、要保证安全性，所以把服务全部掐掉，这是不可能的，我相信大家也不会去做的。但另一方面我们过于强调服务性、开放性，又会带来这个安全的问题，所以这是一个矛盾，这个矛盾怎么平衡、怎么解决？所以这里面是一个思路。
再有的话，大家可以看这个平台又变了，刚才是Windows的平台，现在是苹果的平台APPLE，他也可以平滑地支持这些东西，所以就是说它跟操作系统无关。

这个是集中式安全体系架构的一个核心技术以及产品平台，一个是应用虚拟化的软件系统及产品Presentation Server，还有一个是应用、优化与安全的网络集成平台NetScaler，一个是进行应用程序的推送，还有一个要优化网络传输的这么一个过程。

这是具体的产品，产品方面不想太多地详述，我们这个地方正好有一个业务经理，我们在外面也有展示，大家如果感兴趣，可以和我们一起再交流一下，而且我们这块地方可以给大家演示的不单单是基于PC的，也有基于手机的，多普达的手机，通过我们这样的应用交付的服务器现在已经可以平滑地支持Windows的任何程序，所以他其实已经打通了我们原来所梦想却没有实现的东西，就是把IT的东西和通信的东西整合在一起。

除了多普达的手机能够支持，其实诺基亚的手机也能支持，包括现在新出来的叫做黑莓的都可以支持。我正好大概早两个礼拜参观过这个公司内部的展示，现场看到了诺基亚的人员是多么兴奋地来跟我说，诺基亚手机可以来实现支持所有Windows的这些应用程序了，我看后都傻了，那就意味着我们的3G的应用简直就已经把这个大门推开了，因为3G也好，宽带也好，最终强调的是应用嘛，你没有应用的话这些带宽要来干什么用？而应用又怎么去突破硬件平台的瓶颈？是我们针对每一个体系，针对每一个东西去研发还是有更巧妙的办法？当然研发是重要的，但是如果要是有一个基础的平台，我们能够更加地加以利用的话，那这个市场放量是不一样的，这种概念放量是不一样的。所以我们说这个可以进行一个完整的支持，当然这里面有很多的技术性的东西，比如说可以实现安全的管控，针对于每一个终端客户，他是不是要去下载我们控制的那些应用程序的数据，我在这里全部都能够监控、全部都能管理到，让他能做什么，不让他做什么，这些全部都能够达到，所以这里面的集中管控我们说真正体现了管理的概念，是通过技术手段来实现这种管理。

再有的话就是网络优化与应用防火墙的这种集成平台，因为我们说应用是有，但是你还是要推送，这个推送要怎么去优化？所以这里面就要通过四到七层的网络的设备来加以优化，这里面详细的我就不说了。因此总体上来讲的话，思杰他其实提供的是一个应用交付的这么一个架构，为以数据中心为基础的集中式安全体系来提供一个完整的方案，当然在这个整个完整体系方案当中，其实不单单是思杰一家，也包含了很多的一些合作伙伴。

最后，思杰为您交付安全、交付合规，因为在整个安全体系里面，其实最重要的是管理，而且管理里面的话现在又有越来越多的要求、法规，比如说萨班斯法案、比如说PCI-DSS规范，以及巴塞尔资本协定等等诸如此类的这些东西，这些词比较新。萨班斯法案大家听说过了，我不解释，PCI-DSS，这个是一个银行卡的一个全球规范标准，在明年的6月30号，全球的信用卡组织要全部要求各商户来满足这个规范，所以假如说我们今天有手机银行业务，假如说我们今天有一些比如说POS终端要接收电话帐单，你要刷这个银行卡的话，因为我们这个每个中国移动也好、中国联通也好，中国网通也好，都有自己的营业网点，你这个营业网点要去收各种费用，而这个收费基本上现在有很多是通过信用卡或者说是借记卡来去完成的。而在刷卡的时候要符合的规范就是PCI-DSS，它的强制执行期是明年的6月30号。所以这个跟我们的业务是息息相关的。

再有就是新巴塞尔资本协定。这个是什么？是风险管控的一个标准，也是在前两年的时候提出来的。我们说电信企业拥有一个信息资产的风险管控的问题、信用资产的管控问题，这些东西都要符合相关的标准，可能这些国外的标准不会直接拿到中国，但是我相信中国政府一定会出来自己相应的类似标准。所以对于这些正在发生的趋势，我们比较能够前期地去关注，比较前期地去投入的话，会加速我们跟世界的合拍性，跟世界企业的这种合拍性。所以思杰为您交付安全、交付合规的另外一点就是说，不管这是一些什么样的体系规范，我们直接在后台做就可以了，然后推送到前台，你还需要以现在的方法做什么那些成千上万的PC的维护吗？然后再去管住每个人的这些行为吗？你没法弄的，但是当你把所有这些管控抓到后台的时候，所有事情就全都搞定了，这是一个体系思路的方法改变，而不单单只是一个技术，所以这是为什么我们说今天要看到的是一个思路的转变。

还有一个例证，在九月份，还是刚才那个调查报告的另外一部分，是全球企业对这种集中管控安全体系的广泛采用，这个报告很有意思，它是说你这个安全系统明年的投入的重点在哪里。其实思杰不是一个传统意义上的安全厂商，我们只不过是有了安全防火墙之后，才有了一部分直接的安全牵涉。刚才所说的所有的这些东西，也都不是什么防火墙、杀毒软件、IDP这些东西。但是财富1000强的这些企业在选择明年的投资重点的时候，却无一例外地都选择了思杰!其实我相信思杰正好是这么一个体系结构的一个代表，他们其实更多的选择的是集中管控的这种思路，集中管控的这些体系结构。因为对于CIO来讲，他站的高度不单单是一个技术上的配置，设备的配置的问题，它要关心的是整个系统的一个运行、维护、管理和扩展，看待问题的角度是不一样的，所以才导致思杰所代表的这种体系结构受到追捧，成为2008年这些领先企业首选的一个安全方案供应商。

感谢各位的时间，思杰是以虚拟化技术为依托的应用交付供应商，这个是今天思杰带给大家的一些主题，感谢各位的参与，也非常感谢在座各位的合作伙伴。

谢谢。