论文部分内容阅读
对于商用计算平台来说,除了在运算能力与节能环保这两个环节保持着与时俱进的要求之外,再就是对于数据的存储与共享以及数据安全性方面的需求了。说到数据的存储与共享,当然不能再局限于本地的数据存储和局域网内的数据共享,今天已经进入了一个云计算的时代,数据的存储和分享自然也离不开“云”的范畴。
传统模式下,企业要建立一套IT系统不仅仅需要购买硬件等基础设施,还要购买软件,配备专门的IT技术人员,当企业的规模扩大时还要继续升级各种软硬件设施以满足需要。对于企业来说,计算机等硬件和软件本身并非他们真正需要的,它们仅仅是完成工作、提供效率的工具而已。对于企业的每一个员工来说,日常工作需要这样或那样一些应用软件,有些软件是按照许可证书数量(说白了就是客户端的数量)来收费的,如果有些员工不经常使用该软件,为每一台电脑购买一个软件许可证就显得非常不划算的。能不能有一种提供软件租用的服务?这样只需要在使用时支付少量“租金”就可“租用”到这些软件服务,为企业节省很多购买软件的资金。比如我们每天都要用电,但我们不是每家自备发电机,它由供电公司集中提供;我们每天都要用自来水,但我们不是每家都打井,它由自来水公司集中提供。这种模式极大地节约了资源,降低了不必要的重复投资,我们是否能像使用水、电一样使用计算机资源?这些想法最终导致了云计算的产生。
云计算是一种基于互联网的超级计算模式,在远程的数据中心里,成千上万台电脑和服务器连接成一片电脑云。用户通过电脑、笔记本、手机等方式接入数据中心,按自己的需求进行运算。再直白一点说,云计算就是由谷歌、IBM这样的专业网络公司来搭建计算机存储、运算中心,用户通过一根网线借助浏览器就可以很方便地访问数据中心,把“云”作为资料存储以及应用服务的中心。狭义的云计算是指IT基础设施的交付和使用模式,指通过网络以按需、易扩展的方式获得所需的资源(硬件、平台、软件)。提供资源的网络被称为“云”。“云”中的资源在使用者看来是可以无限扩展的,并且可以随时获取,按需使用,随时扩展,按使用付费。这种特性经常被称为像水电一样使用IT基础设施。广义的云计算是指服务的交付和使用模式,指通过网络以按需、易扩展的方式获得所需的服务。这种服务可以是IT和软件、互联网相关的,也可以是任意其它的服务。
云计算的基本原理是,通过使计算分布在大量的分布式计算机上,而非本地计算机或远程服务器中,企业数据中心的运行将与互联网更加相似。这使得企业能够将资源切换到需要的应用上,根据需求访问计算机和存储系统。这可是一种革命性的举措,打个比方,这就好比是从古老的单台发电机模式转向了电厂集中供电的模式。它意味着计算能力也可以作为一种商品进行流通,就像煤气、水电一样,取用方便,费用低廉。最大的不同在于,它是通过互联网进行传输的。云计算的蓝图已经呼之欲出:在未来,只需要一台笔记本或者一个手机,就可以通过网络服务来实现我们需要的一切,甚至包括超级计算这样的任务。从这个角度而言,最终用户才是云计算的真正拥有者。
云计算还处于萌芽阶段,有庞杂的各类厂商在开发不同的云计算服务。目前我们所知道的几个著名的云计算应用提供商包括IBM、微软、谷歌、亚马逊等,他们所提供的云服务在形式和功能上并不相同,毕竟这还属于一个新兴的商业计算模型,人们对于云计算的认识也处在不断丰富和完善的过程中,目前还没有一个清晰一致的定义。尽管云计算的表现形式多种多样(简单的云计算在人们日常网络应用中随处可见,比如腾讯QQ空间提供的在线制作Flash图片,Google的搜索服务等),但是在服务形式上却可以归纳为以下三种类型:SaaS(Software as a Service), PaaS(Platform as a Service),IaaS(Infrastructure as a Service)。
软件即服务(SaaS)
SaaS服务提供商将应用软件统一部署在自己的服务器上,用户根据需求通过互联网向厂商订购应用软件服务,服务提供商根据客户所定软件的数量、时间的长短等因素收费,并且通过浏览器向客户提供软件的模式。这种服务模式的优势是,由服务提供商维护和管理软件、提供软件运行的硬件设施,用户只需拥有能够接入互联网的终端,即可随时随地使用软件。这种模式下,客户不再像传统模式那样花费大量资金在硬件、软件、维护人员,只需要支出一定的租赁服务费用,通过互联网就可以享受到相应的硬件、软件和维护服务,这是网络应用最具效益的营运模式。对于小型企业来说,SaaS是采用先进技术的最好途径。以企业管理软件来说,SaaS模式的云计算ERP可以让客户根据并发用户数量、所用功能多少、数据存储容量、使用时间长短等因素不同组合按需支付服务费用,既不用支付软件许可费用,也不需要支付采购服务器等硬件设备费用,也不需要支付购买操作系统、数据库等平台软件费用,也不用承担软件项目定制、开发、实施费用,也不需要承担IT维护部门开支费用,实际上云计算ERP正是继承了开源ERP免许可费用只收服务费用的最重要特征,是突出了服务的ERP产品。目前,Salesforce. c o m是提供这类服务最有名的公司,Google Doc, Google Apps和Zoho Office也属于这类服务。
平台即服务(PaaS)
把开发环境作为一种服务来提供。这是一种分布式平台服务,厂商提供开发环境、服务器平台、硬件资源等服务给客户,用户在其平台基础上定制开发自己的应用程序并通过其服务器和互联网传递给其他客户。PaaS能够给企业或个人提供研发的中间件平台,提供应用程序开发、数据库、应用服务器、试验、托管及应用服务。Google App Engine, Salesforce的force.com平台,八百客的800APP是PaaS的代表产品。以Google App Engine为例,它是一个由python应用服务器群、BigTable数据库及GFS组成的平台,为开发者提供一体化主机服务器及可自动升级的在线应用服务。用户编写应用程序并在Google的基础架构上运行就可以为互联网用户提供服务,Google提供应用运行及维护所需要的平台资源。
基础设施服务(IaaS)
IaaS即把厂商的由多台服务器组成的“云端”基础设施,作为计量服务提供给客户。它将内存、I/O设备、存储和计算能力整合成一个虚拟的资源池为整个业界提供所需要的存储资源和虚拟化服务器等服务。这是一种托管型硬件方式,用户付费使用厂商的硬件设施。例如Amazon Web服务(AWS), IBM的BlueCloud等均是将基础设施作为服务出租。IaaS的优点是用户只需低成本硬件,按需租用相应计算能力和存储能力,大大降低了用户在硬件上的开销。目前,以Google云应用最具代表性,例如GoogleDocs、GoogleApps、Googlesites,云计算应用平台GoogleApp Engine。GoogleDocs是最早推出的云计算应用,是软件即服务思想的典型应用。它是类似于微软的Office的在线办公软件。它可以处理和搜索文档、表格、幻灯片,并可以通过网络和他人分享并设置共享权限。Google文件是基于网络的文字处理和电子表格程序,可提高协作效率,多名用户可同时在线更改文件,并可以实时看到其他成员所作的编辑。用户只需一台接入互联网的计算机和可以使用Google文件的标准浏览器即可在线创建和管理、实时协作、权限管理、共享、搜索能力、修订历史记录功能,以及随时随地访问的特性,大大提高了文件操作的共享和协同能力。GoogleAPPs是Google企业应用套件,使用户能够处理日渐庞大的信息量,随时随地保持联系,并可与其他同事、客户和合作伙伴进行沟通、共享和协作。它集成了Cmail、GoogleTalk、Google日历、GoogleDocs、以及最新推出的云应用GoogleSites、API扩展以及一些管理功能,包含了通信、协作与发布、管理服务三方面的应用,并且拥有着云计算的特性,能够更好的实现随时随地协同共享。另外,它还具有低成本的优势和托管的便捷,用户无需自己维护和管理搭建的协同共享平台。Googlesites是Google最新发布的云计算应用,作为GoogleApps的一个组件出现。它是一个侧重于团队协作的网站编辑工具,可利用它创建一个各种类型的团队网站,通过Googlesites可将所有类型的文件包括文档、视频、相片、日历及附件等与好友、团队或整个网络分享。 Google AppEngine是Google在2008年4月发布的一个平台,使用户可以在Google的基础架构上开发和部署运行自己的应用程序。目前,Google App Engine支持Python语言和Java语言,每个Google AppEngine应用程序可以使用达到500M B的持久存储空间及可支持每月500万综合浏览量的带宽和CPU。并且,Google AppEngine应用程序易于构建和维护,并可根据用户的访问量和数据存储需要的增长轻松扩展。同时,用户的应用可以和Google的应用程序集成,Google AppEngine还推出了软件开发套件(SDK),包括可以在用户本地计算机上模拟所有Google AppEngine服务的网络服务器应用程序。
对云计算的概念有了一个基本认识后,让我们来列举一下云计算有哪些好处:
1、安全,云计算提供了最可靠、最安全的数据存储中心,用户不用再担心数据丢失、病毒入侵等麻烦。
2、方便,它对用户端的设备要求很低,使用起来很方便。
3、数据共享,它可以轻松实现不同设备间的数据与应用共享。
4、无限可能,它为我们使用网络提供了几乎无限多的可能。
早在三年前的商用技术发展论坛上,联想集团就提出了云计算的战略,尤其是专注于中小企业市场的联想扬天,更是以PC销售捆绑在线服务的形式充当了急先锋的角色。之所以用扬天这个品牌来作为先锋,是因为联想认为基于互联网的公共云计算更适合中小企业用户的需求,有助于降低成本。如果说“云”能给大型企业的IT部门带来实惠,那么对于中小型企业而言,它可算得上是上天的恩赐了。过去,小公司人力资源不足,IT预算吃紧,那些专业IT设备与服务所带来的生产力对他们来说就是可望而不可即的;如今,“云”为他们送来了大企业级的技术,并且先期成本极低,升级也很方便。这一新兴趋势的重要性毋庸置疑,不过,它还仅仅是一系列变革的起步阶段而已。云计算不但抹平了企业规模所导致的优劣差距,而且极有可能让优劣之势易主。简单地说,当今世上最强大最具革新意义的技术已不再为大型企业所独有。“云”让每个普通人都能以极低的成本接触到顶尖的IT技术。
归根结底,云计算的应用包含这样一种思想——把力量联合起来,给其中的每一个成员使用。
谈到商用计算,除了云计算这个热门词汇之外,还有一个不能忽视的名词就是博锐。英特尔公司在2006年4月发布的博锐(vPro)计算技术就是针对商用计算领域的一种平台化方案,可以说博锐平台的诞生,对于商用计算领域的意义要远远大于每一次处理器架构的改变或者制造工艺的进步。为什么要这样说,下面我们就对博锐平台的技术规格以及功能特性做一个详细的介绍。
博锐平台定位于大中型企业和有较强IT需求的小型企业,旨在为用户提供更好的远程管理能力和安全防护功能,而这正是IT维护人员所迫切需要改善的两个环节。对一些企业IT人员的调查结果显示,当前面临的重要IT挑战包括以下几点:
电脑恶意攻击的显著增长;
迫切需要缩短由恶意攻击、电脑故障,以及维护、升级和其它IT任务所引起的用户停机时间;
准确盘点资产的财务和法律压力;
对于大幅占用IT预算的IT服务的需求不断提高。
针对电脑的纯软件管理和安全解决方案已无法在基本限制范围内取得效果:它们无法管理或保护关闭或操作系统出现故障的电脑。若想让IT人员借助现有资源从事更多工作,最重要的能力便是使其能够在任何电源或操作系统状态下远程管理并有效保护电脑。
采用英特尔博锐技术的台式机专门设计用于应对可管理性和安全性方面的首要IT挑战。这些电脑可提供简单的远程管理和防篡改安全能力,因而IT人员能够在需要这些功能的地方—IT控制台拥有更多控制能力。采用英特尔博锐技术的电脑可支持的能力包括:
资产盘点。IT人员现在可以查找所有采用英特尔博锐技术的电脑,即使其关机或失灵也不成问题,由此IT人员可确切了解需要管理或保护哪些系统。
软硬件盘点。IT人员可以跟踪并盘点电脑上的软硬件资产,包括版本信息等——即使系统关机或操作系统出现故障也没关系。例如,软件资产信息包括版本文件信息,而硬件信息则包括基本输入输出系统( BIOS)设置,以及硬盘、内存、插卡和其它组件的制造、型号和保修信息。
远程解决问题。无论电脑电源状态或操作系统状态如何,IT人员均可远程诊断并解决更多问题,从而降低现场访问的成本、延长用户正常工作时间并节省IT资源用于新的服务。
基于硬件的强大安全性。IT人员可借助包括虚拟化在内的两个全新安全层来保护系统,从而可在需要时随时使用第三方安全软件,并可更快识别和有效阻止病毒、蠕虫和其它各种威胁。
更高性能。这些电脑基于一流的英特尔酷睿微体系结构,可提供改进的多任务处理和多线程能力,从而显著提高性能。IT人员现在无需中断用户应用即可在后台执行病毒扫描程序、电子邮件同步、备份和其它任务。
高效节能。先进的架构和封装设计技术可以更有效地利用能源,从而减少这些高性能电脑所产生的不必要的热量,以及所需的冷却工作。
结合第三方软件解决方案,英特尔博锐技术可支持IT人员避免大量的现场访问,减少对现有资源的过度使用,并将工作重点从管理电脑转到探索全新服务和战略计划上来。
远程通信,防篡改内存
通过在采用英特尔博锐技术的电脑上运行第三方软件解决方案,IT 人员能够在任何电脑电源状态或操作系统状态下更加轻松地管理和保护电脑。这项工作通过将英特尔主动管理技术(英特尔AMT)和其它先进技术直接融入平台硬件中来实现。
以下两项英特尔AMT能力对于远程IT任务尤为重要:
授权IT人员始终可用的安全通信信道;
可以安全存储第三方应用信息的永久非易失性内存。
安全的通信信道。该基于硬件的通信信道在操作系统外部运行,因此即使在电脑关机或其操作系统无法运行时也仍然可用。
远程通信信道
过去,在企业网络中,管理和安全软件只有在电脑开机(“带内”)及其操作系统正常运行的情况下方可与电脑进行通信。由于这些纯软件解决方案与操作系统的安装级别相同,因而其管理代理可以被篡改。此外,这些解决方案使用的基于软件的带内通信信道并不安全,因此通信保密性也是一个问题。
相比之下,英特尔博锐技术可为您提供两条与电脑通信的途径:
传统的、不受保护的通信信道,通过操作系统中的软件堆栈发送网络流量。
更安全的、基于硬件的通信信道在操作系统“下方”运行,不受操作系统状态的影响。这种“带外”信道通过内建于英特尔AMT硬件和固件中的堆栈发送网络通信。即使电脑关机或操作系统出现故障,经授权的IT人员仍然可以应用该通信信道。由于英特尔AMT通信信道基于硬件,因此只要电脑接入电源并连接至网络,IT人员便可以随时对其进行访问。即使操作系统出现故障,该信道仍可支持关键系统通信(如告警)和操作(如远程启动)继续运行。
IT人员现在可以在电脑或其操作系统处于任何状态的情况下,进行检修、诊断和修理工作。他们可以随时查阅事件日志、检查BIOS设置、访问硬件资产信息以及检查安全与管理代理的状态。可以在非工作时间对设备进行轮询,电脑甚至能够在关机的情况下向IT人员发送关键的系统告警。可以从IT控制台远程启动系统,并可在电脑操作系统崩溃的情况下远程重启、重建和修复故障电脑。
永久的非易失性内存
管理电脑的重要挑战之一便是获取以下信息:即在电脑关机、重新配置、重建或失灵时通常会丢失或不可用的信息。
为了解决这一问题,英特尔博锐技术可在运行于该操作系统下的执行环境中提供更安全的非易失性内存。这一非易失性内存可防止黑客、病毒、蠕虫和其它安全威胁篡改信息。
非易失性内存可分为以下三个主要区域:
针对已签名并加密的英特尔博锐技术管理引擎和英特尔AMT所用信息的存储区;
针对在每次加电自检(POST)运行时自动更新的硬件资产信息的存储区;
可由经授权的IT人员进行配置,供第三方软件保存安全性、库存和其它重要信息(或信息指示器)的存储区。
现在,IT人员无需“唤醒”系统即可随时使用重要的系统信息。同时,数据还可在操作系统构建、重映像和重配置过程中持续存在,从而进一步简化维护和灾难恢复工作。
防篡改的通信与内存
即使采用英特尔博锐技术的电脑关机,只要系统仍然插入电源并连接网络,该电脑的管理引擎便不会关闭。经授权的IT人员仍然可以访问该电脑。
管理和安全能力嵌入到了电脑平台的硬件设计中。此“固件”代码经过签名、加密并存储于非易失性内存中,且对于该空间的访问由访问控制列表(ACL)进行控制,以帮助防止未经授权的用户、黑客、病毒和其它威胁访问该区域。(第三方数据未在非易失性内存中进行加密,但对于该数据的访问通过ACL进行控制。)同时,从网络到管理引擎的通信通过传输层安全(TLS)和相互端(mutual-ended)HTTP身份验证得到保护,以帮助防止互联网协议(IP)欺骗行为。
借助这些基于硬件的措施,即使电脑关机或其操作系统出现故障,也仍然可以保障通信信道的机密性和身份验证,以及所存储信息的安全性。
简化远程管理
平均而言,在任意指定时间美国企业无法发现的电脑资产高达20%或更多,而海外企业“丢失”资产的比率甚至更高。即使借助出色的资产定位应用和程序,IT人员也仍有5%的资产无法找到。目前,对于准确电脑盘点的需求日益迫切,尤其体现在查找那些关机或操作系统失灵的电脑方面。
英特尔AMT简化的结构图。英特尔AMT是软件、硬件和固件的组合。
随时盘点电脑。IT人员现在即使在管理代理未安装、电脑关机或操作系统出现故障的情况下,仍可盘点电脑并获取软硬件资产信息。
资产盘点:远程查找系统
一般而言,以下几种情况会对电脑盘点的准确性造成影响:
由于在重建之后无法保留关键的系统信息,因而很难找到已升级或重映像的电脑;
由于用户、黑客和病毒往往会禁用管理代理,因而无法识别系统并恢复其一致性;
IT人员可能未发现添加到网络的新系统,从而无法在电脑获取网络访问权之前将公司政策应用于这些新系统,这种情况会导致其它电脑易于遭受网络内部的恶意攻击;
纯软件解决方案无法找到关机或失灵的电脑。
借助英特尔博锐技术,IT人员现在能够以远程方式准确地盘点所有电脑。即使第三方管理代理损坏或从系统中丢失,此项能力依然奏效。
对于采用英特尔博锐技术的电脑,盘点能力甚至可在安装管理代理之前应用于准系统电脑。例如,一个企业可能购买并安装了20 台新机器,但在将其接入网络之前却忘了通知IT人员。由此,一系列不一致的机器会立即使网络暴露在各种安全威胁面前,然而由于未安装管理代理,因而无法对其进行远程管理,IT人员连电脑都无法识别,更不用说推出各种安全补丁了。
通常在这种情况下,技术人员会到达现场来安装支持远程管理的第三方软件代理。借助英特尔博锐技术,将无需进行现场访问。相反,只要将电脑插入电源并接入网络,IT人员便可立即对其进行轮询。当第三方轮询软件识别出网络上不一致的机器时,IT人员将即时获得告警。随后,IT人员可从IT控制台远程启动该机器,甚至还可在安装库存代理之前就读取硬件资产信息,并将适当的管理、安全性和其它第三方应用推送至新电脑—所有这一切均可从IT平台上轻松完成。
针对电脑资产的软硬件盘点
当前,企业在了解以下信息方面承受着巨大的压力:即需要支付多少软件授权费,在维护合同方面需要保留多少软件和硬件资产,哪些资产需要重新认证,以及哪些资产需要更新、保护和/或升级。遗憾的是,已卖掉、丢弃、丢失或报废的资产不能从维护合同或授权清单中自动移除,这种情况会导致对一些资产的估计不足和对其它资产的过度购买。平均说来,当前企业在资产维护和授权服务方面的费用超支达两倍。
采用英特尔博锐技术的电脑可通过支持第三方管理应用和/或IT控制台使用以下三项重要能力来减轻IT人员的软硬件盘点负担:
将资产和其它信息(或资产信息指示器)写入永久性内存中;
随时轮询系统以获取资产信息;
启动关闭的电脑,由此IT人员将能够执行任何必要的盘点任务,并远程关闭电脑至用户离开时的状态。
现在可以减少单调乏味的人工盘点,从而显著节省劳动力成本。未使用的软件授权可适当地再分配给其它资源,同时还可以更好地利用硬件资产和更好地管理保修服务。同时,企业还可充满信心,确信其审计工作符合政府的规定。
用于解决问题的远程管理
IT目前最迫切需要具备远程解决电脑问题的能力,尤其是在系统关机或操作系统崩溃的时候。行业研究表明,在一般企业中,现场与服务中心维修次数仅占电脑维修总次数的20% ,但却会耗费80%的预算。实际上,现场维修的成本是远程维修成本的7倍。根据英特尔对44,000份故障单的研究,如果IT人员能够具备更高的远程解决问题能力,则可以节省大约40%甚至更多的现场与服务中心维修成本。
远程解决问题历来都比较困难,部分原因在于启动方面的故障通常会导致成本高昂、易起反应的管理操作。费时的现场诊断还会延长用户的停机时间,而且现场访问使IT人员不能同时处理其它事务。当问题可以被远程诊断或解决时,即便是通过电话指导用户排除故障也会被认为是不方便和低效率的做法。
采用英特尔博锐技术的电脑可以显著减少 IT 的现场访问次数,提供强大、安全、基于硬件的工具远程解决问题,即便电脑已关机或操作系统已经崩溃:
通过集成电路设备重定向(IDE-R)远程启动电脑,这比局域网唤醒(WOL)和预执行环境(PXE)更强大也更安全。
不间断的事件日志,IT人员可以了解问题发生前的迹象,如电源电压变低或温度区过热等。
始终可用的资产信息,该信息位于安全区内,经过授权的IT才可以获取有助于远程排除故障、诊断和维修电脑的软件版本信息、及硬件生产、型号与保修信息。
通过局域网串行(SOL)实现的远程控制台重定向。
基于政策的告警,完全符合工业标准,专门针对平台硬件传感器、硬件故障、操作系统锁定和平台启动故障等。
操作系统无法运行通常需要IT人员亲临现场进行重启或重新安装。英特尔博锐技术现在可以让IT人员远程解决几乎所有的操作系统问题。例如,如果操作系统无法运行,IT人员可以使用安全的IDE-R改变系统的启动路径,即使用CD或远程网络驱动器(如安全服务驱动器)上的映像来启动。然后IT人员可以建立远程控制台对话(使用SOL),逐步排除设备的故障。如果用户应用软件无法运行,技术人员可以远程重新映像用户的硬盘,通过映像文件恢复用户的数据,覆盖被损坏或存在问题的文件。用户最终能够以最快的速度和效率恢复系统并正常使用。
过去,当硬件组件(如硬盘)出现故障时,用户需要致电IT人员,然后技术人员来到用户所在地,有时候需要反复几次——诊断问题、寻找部件的生产和型号信息、安装新部件、及费时的重配置等。在使用采用英特尔博锐技术的电脑时,IT人员能够及时、甚至能够先于用户通知之前,接收系统组件出现故障的系统告警。然后IT人员远程获取更换组件的生产、型号和保修信息,并从库存中寻找合适的组件,从IT控制台重新映像驱动器。技术人员只需到现场一次:安装全新的硬盘并帮助用户恢复系统和运行。
采用英特尔博锐技术的电脑的所有系统告警均被记为事件日志,存入非易失性内存。授权IT人员可以随时访问安全的事件日志。第三方管理应用确定哪些告警可以同时发送至IT控制台和/或哪些将可以触发一项操作(如立即的资产轮询)。这样IT人员就可以指定接收的告警类型,因此重要性不高的告警就不会明显增加网络的流量,同时在系统受到安全威胁或出现问题时,优先级较低的告警也不会丢失。
远程解决问题。IT人员可以离线对电脑进行启动、故障排除、诊断和维修等操作,即使操作系统无法运行也不受影响。
管理混合环境
英特尔博锐技术内建的管理能力可以让您逐步部署或集成该技术。采用英特尔博锐技术的电脑使用的管理控制台和通信机制与其它电脑相同,因此移植到远程管理环境的操作十分轻松简便。
提高安全性
目前企业最重要的挑战是如何保护电脑免受恶意的攻击。即使是最好的纯软件解决方案也不能完全管理或保护已关机或操作系统已崩溃的系统。
三层防护体系
英特尔博锐技术为IT人员提供了两层基于硬件的全新安全能力,以防止恶意的攻击。现在IT人员已经拥有三层防护体系,其中包括:对出入网络的流量进行硬件过滤,对第三方代理的“心跳(heartbeat)”存在检查,受保护的内存区域,及其它主要能力。
第一层系统防护:过滤威胁并隔离电脑。基于硬件的可编程过滤器会检查电脑网络流量来识别威胁,同时基于硬件的“开关”可以断开网络数据路径(或设置速率限制),以更快速地遏制该威胁的蔓延。
第二层系统防护:第三方软件安全代理。基于硬件的能力可以提供电脑的远程可见性、安全代理的持续存在检查(“心跳”),以及预启动BIOS设置访问,即使安全代理出现故障或系统操作系统受损或崩溃也没关系。
第三层系统防护:非易失性内存和专用环境。即使威胁渗透其它防护,IT人员现在可以访问用于保护关键信息的永久性内存。此外,IT人员还可以使用独立的专用虚拟环境来智能地检验、隔离和管理用户操作系统中的应用和数据。
这些全新的防护层使IT人员可以更迅速、更轻松地发现存在的威胁,并有效阻止其蔓延。
过滤威胁并隔离电脑
基于软件的安全应用一般通过操作系统上面的代理来保护电脑的安全。这种方法的主要问题是,用户、黑客和病毒可以移除或禁用安全代理和告警,制造严重的漏洞。当系统出现故障或响应迟钝时,IT人员总是不能远程更新或实施一致性操作;如果其它管理代理也被禁用,甚至不能查找电脑。
英特尔博锐技术可以支持第三方软件:
在威胁到达操作系统前发现更多的威胁。
更迅速地隔离故障系统。
确保安全代理的正常运行。
英特尔博锐技术为IT提供了用于检测网络流量行为的可编程硬件过滤器。这些过滤器可检验进出操作系统软件堆栈的数据包。现在,电脑自身可通过实施IT政策来过滤进出的操作系统流量,从而帮助遏制威胁。过滤通过检查数据包标头内的来源、目的地和端口地址来进行。由于过滤器是可编程的,因而管理软件能够定义由被禁止的数据包行为(如记录告警、向IT人员发送告警、启动威胁遏制(threat-containment)“开关”等)所触发的事件。
当硬件过滤器识别出未经授权的数据包行为后,采用英特尔博锐技术的电脑可断开其操作系统的网络通信,从而遏制威胁。电脑可在网络流量真正进入操作系统前,就在操作系统软件堆栈断开网络数据路径。系统还可以设置网络流量的速率限制,以帮助IT探查潜在的威胁。IT人员仍可以通过基于硬件和固件的内建通信堆栈与电脑基础硬件进行通信。之后,IT人员可使用修复软件来纠正问题,使电脑重新回到企业网络中。因为只关闭了操作系统网络通信,用户应用(如文字处理和电子数据表)仍可运行,所以用户的正常运行时间不会受到影响。
以前,IT人员一般使用串行轮询(serial polling)来检查安全代理的运行状态。采用英特尔博锐技术的电脑在管理引擎中内置了一个定期、可编程的“心跳”存在检查。“心跳”使用“看门狗”计时器,这样第三方安全软件(或其它关键业务应用)就可以在可编程的一秒钟间隔内向管理引擎进行登记,确认其运行状态。代理每次登记时都会重置自己的计时器。如果代理在计时器到点之前未完成登记,则可以认为代理已被移除、破坏或禁用。然后管理引擎可以自动并立即记录告警并通知IT控制台。一台采用英特尔博锐技术的电脑可以监视多达16个不同的代理。通过基于硬件的“心跳”检查,电脑本身可以帮助提高存在检查的可靠性,而且有助于将软件漏洞的存在时间从几小时缩短到几分钟,从几分钟缩短到几秒。
三层防护体系。采用英特尔博锐技术的电脑带有两层全新的安全防护,可以阻止来自入站网络流量的威胁。
硬件过滤器检查外出的网络流量。发现威胁之后,电脑可以切断自己的网络数据路径并进行自我隔离—即使其操作系统不可用也没关系—这样有助于防止威胁向整个网络进行蔓延。
重量级虚拟化与轻量级虚拟化。在采用英特尔博锐技术的电脑上,虚拟化通过轻量级、专用功能第三方设备提供。
由于采用英特尔博锐技术的电脑可以反应性地隔离并阻止自己接入网络,因此它可以防止威胁向其它电脑进行蔓延。在这方面,采用英特尔博锐技术的电脑就像是其它电脑的缓冲区,有助于保护那些没有采用英特尔博锐技术这一先进硬件安全能力的系统。
采用英特尔博锐技术的电脑使用的管理控制台和通信机制与其它电脑相同,因此IT人员在部署采用英特尔博锐技术的电脑时不需要改变管理控制台的设置。无论电脑的电源状态如何均可以网络安装更新和补丁在英特尔博锐技术问世之前,IT人员不能远程向关机的电脑安装更新程序。相反,IT人员只有在它们再次启动后才能进入—这一过程使许多存在漏洞的系统均长时间地暴露在危险中。
目前有几种方法可用来唤醒电脑安装更新程序,但是这些方法均不安全,或者只能在操作系统正常运行下才能发挥作用。对于采用英特尔博锐技术的电脑,IT人员可以通知系统启动(或关机)。无论系统是否通电或操作系统的状态如何,安装更新和补丁程序的操作均可远程安全地进行。IT人员现在能够:
检查电脑的软件版本信息并查看是否需要更新,这两项操作均不必唤醒电脑。
从IT控制台远程启动电脑,这样在维护一开始即可将更新程序安装至原本已关机(或处于睡眠状态)的系统。
采用英特尔博锐技术的电脑可以让第三方应用在永久性内存中存储版本和文件信息,因此经过授权的IT人员可以随时查看一致性信息。如果轮询代理发现软件已经过期,则第三方管理应用可以远程关闭电脑,安装更新程序,然后远程将电脑恢复至原来的电源状态:如开机、关机、休眠或睡眠状态,这样就不会改变用户离开电脑时设置的电源状态。IT人员便可以使更多管理工具操作实现自动化,并确保采用英特尔博锐技术的电脑保持一致性。
专用虚拟设备
对于采用英特尔博锐技术的电脑,虚拟化能力内建在系统的硬件中。第三方软件厂商现在可以利用这些能力来构建独立的虚拟化环境或“虚拟设备”,帮助管理和保护电脑。IT人员现在可以选择使用专用工具来简化和提高端点(endpoint)电脑的可管理性和安全性。
测试软件的演变
通常我们所说的产品评测,是包含了测试(客观)和考评(主观)两个环节,对于PC类产品来说,测试这个环节基本是靠软件来实现的。伴随着PC产品的十年进化,我们常用的测试软件也经历了数个版本的更迭,从最初的ZD Business Winstone /Content Creation Winstone 到后来的Bapco SYSmark,累计的版本升级至少也有五次。
在2000年左右,Business Winstone/Content Creation Winstone作为第三方机构开发的Benchmark软件,一直备受业界的推崇和信赖;而BAPCo组织在开发SYSmark测试软件时因为得到了英特尔公司在技术和资金上的大力支持(AMD、VIA等厂商当时还并未加入该组织),所以在公正性上还不能完全被人信赖。直到2004年受《PC Magazine》委托开发Winstone测试软件的eTesting Labs宣布停止对该软件的后续开发,而BAPCo组织也在日益壮大,吸纳了更多的IT领导厂商作为其组织成员,因此其公正性也就受到了业界的信赖,从那时起《个人电脑》的日常测试软件也就转向了SYSmark 2004。从本月开始,我们将采用最新版本的SYSmark 2012软件作为PC类产品的性能测试工具,与前一代产品相比,它的评分基准和测试项目都发生了很大变化。
SYSmark 2012是以一台基本配置为Intel Core i3-540处理器、4GB DDR3-1333内存、处理器集成核心显卡、7200RPM SATAⅡ250GB硬盘、64位Windows 7专业版操作系统的联想ThinkCentre M90电脑作为基准样机,将它运行SYSmark 2012测试场景的效率定义为100分。测试PC完成SYSmark 2012的全部测试场景之后,系统会给出一个相对得分,如果一台PC的综合得分是200,那就意味着它的性能是基准样机的两倍。
SYSmark 2012软件包含的测试场景与前一代产品相比,也发生了一点的变化。它包括“3D建模”、“数据/财务分析”、“媒体制作”、“办公应用软件”、“系统管理”和“Web开发”六大测试场景,涵盖了Adobe多媒体套件、Microsoft Office套件、AutoDesk 3D建模工具以及Firefox、IE浏览器等多种应用软件的最新版本,测试场景为模拟现实应用模式的自动运行脚本,其中涉及大量的多任务、多线程操作。
传统的虚拟化
虚拟化技术并不是件新事物。这是一项业经证明的技术,可支持IT人员隔离和管理关键业务应用、操作环境和信息—即使所有这些都安装于同一台电脑上也不成问题。这有助于改进对管理和安全应用完整性的信任度。到现在为止,电脑虚拟化已主要成为了重要的微生态环境模式,特殊用户希望在此运行一个以上的操作系统。例如,帮助中心的技术人员可以使用分区电脑来为采用Windows和Linux操作系统的用户提供支持。可能需要软件开发商为同一操作系统的两个版本维护代码。或者,在操作系统移植期间,可同时安装新旧两种操作系统,以便重要用户继续使用传统应用。传统的电脑虚拟化既“重”又昂贵。它意味着要在每个分区构建整个“虚拟电脑”,从下层沉重、复杂的操作系统,直到上层一整套全特性用户应用。这将需要上百万串代码,并将为IT人员带来另一台电脑的所有维护问题。此外,由于管理和安全代理仍安装于分区操作系统的内部,因而它们很容易受到普通操作系统故障的困扰。
针对主流使用简化虚拟化
对于采用英特尔博锐技术的电脑,虚拟化能力内建在硬件中。IT人员可以使用这些强大的系统,在同一台机器上实现多个操作系统传统、有效的重量级(heavyweight)虚拟化。实际上,领先的重量级VMM已针对这些电脑优化了其应用。然而,尽管少量用户仍需要电脑上的重量级虚拟化,英特尔的目标是为主流商用电脑提供虚拟化的优势。为此,英特尔致力于打消IT在可管理性和安全性方面的顾虑。英特尔与领先的第三方软件提供商正在密切合作,以便为IT提供完善、独立的轻量级解决方案来实现管理和安全应用的虚拟化。这些轻量级解决方案将可以使IT同时运行用户操作系统和“服务”操作系统。IT现在可以从专用的防篡改空间为用户操作系统和网络提供关键服务。
何为虚拟设备
虚拟设备是专用于特定功能(如可管理性和安全性)的独立操作环境。它包括专用功能应用代码、相关的瘦嵌入式操作系统和指定的驱动程序。设备在用户操作系统外部运行,因此用户不能看到它,可以防止篡改。它处于授权IT人员的控制之下。该设备就象用户操作系统和网络之间的网关。它负责向用户操作系统提供服务,是所有网络通信经由的网关。例如,如果该设备检测到网络流量有问题或背离了IT政策,它可以支持与其它第三方安全或管理应用
相同类型的高级补救。这些响应包括告警、将用户操作系统与网络隔离、管理代理的完整性校验或部署本地补丁等。
高级可管理性和安全性
虚拟设备最重要的优势之一便是,它驻留于只需少量支持或维护的专用空间内,但仍可提供第三方安全或管理应用的高级功能。例如,为帮助保护端点,安全虚拟设备可以在网络数据包传输至操作系统(在此处用户应用可能受到影响)之前,智能地检测网络流量是否存在恶意封包内容(malicious payload)或可疑的入侵尝试。当虚拟设备发现问题或背离IT政策的情况,它可以采用高级补救方法。这其中包括前瞻性告警、有选择的隔离特定通信端口、硬件或软件盘点、BIOS配置重置,或部署关键更新等。由于该设备就是其自身的嵌入式操作系统,因而它能够根据一系列不同的响应进行编程。
与用户操作系统隔离
为处于IT的控制之下并预防威胁,虚拟设备与用户操作系统完全隔离开来。特别是,用户操作系统不在硬件的直接控制下。相反,用户操作系统通过虚拟网卡(NIC)进行网络访问。物理网卡负责处理用户操作系统中虚拟网卡与将通信传送到企业网络的硬件网卡之间的流量。与硬件相隔离的用户操作系统和虚拟设备在轻量级虚拟监视器(VMM)的顶部运行。VMM作为另一套硬件行动—它象仿真器一样提取针对操作系统的硬件。轻量级VMM使用户操作系统及其应用确信,用户操作系统“拥有”整个硬件平台。在这些电脑中,用户并不能看到虚拟设备,它处于授权IT人员的控制之下。
虚拟设备可提供高级能力。全面集成的应用代码可为IT人员提供丰富能力,提高用户操作系统的管理和安全性能。例如,安全设备可为IT人员提供许多补救方法,如可以衡量的响应,全面隔离用户的操作系统等。
为何选择使用虚拟设备
以下有效的虚拟设备使用方法,可增强安全性、可管理性或生产效率:
保护关键代理。在虚拟设备中安装代理、关键业务应用和敏感信息,以便更好地防止它们遭到篡改/或删除。即使黑客能够在用户操作系统中安装流氓应用,虚拟设备也会识别出该流氓应用未得到访问特定内存区域的授权。然后设备可以防止该应用访问敏感文件。
在后台运行任务。在虚拟设备中隔离IT任务,在这里它们可以在用户操作系统外部运行。这样IT便能够秘密、顺利地运行病毒扫描、反间谍软件、更新和备份等任务,而不会影响用户应用或生产效率。
虚拟化兼容其它技术和第三方解决方案
英特尔与市场上领先的安全和管理性厂商展开了密切合作,以确保第三方应用充分利用英特尔硬件虚拟化的强大能力。例如,第三方厂商可以将轻量级VMM、嵌入式操作系统、应用和英特尔的虚拟化网卡驱动程序集成到其软件解决方案中。由此将为IT带来一款易于实施和使用的交钥匙解决方案。标准的内存卡、存储卡和显卡均可与虚拟化技术结合使用。采用英特尔博锐技术的电脑还可以运行商业化操作系统和应用,而无需IT人员执行专门的安装步骤。
最后,基于硬件的虚拟化技术设计用于结合并补充其它先进的英特尔管理和安全技术,如英特尔主动管理技术等。
与迅驰移动计算技术类似,博锐平台的组成部分也是随着核心技术的发展而不断更新的,只是它并没有被直接命名为博锐一、博锐二、博锐三而已。在上文对于博锐平台的详细介绍中就可以看出,芯片组集成的主动管理技术和处理器提供的虚拟技术就是博锐平台的核心组成部分,Intel Q系列芯片组就是博锐平台的标准配置,例如Intel Q35/Q45/Q57/Q67,因为它们都提供了对英特尔主动管理技术的支持。而处理器自Pentium D之后已经全部内嵌了虚拟化技术(只有少数低端产品会省去VT),因此之后的每一代酷睿处理器搭配相应的Intel Q系列芯片组平台,都构成了新一代的博锐平台。
2006年5月,英特尔公司揭开了核心技术的新篇章,推出了全新的酷睿微架构,彻底摒弃了从Pentium 4到Pentium D处理器一直沿用的Netburst架构;同时在处理器的命名方式上,也结束了长达12年的“奔腾”时代,从此走入“酷睿”时代。酷睿微架构的设计初衷就是为了提供处理器的能耗比,相对于Netburst架构来说可以大大降低处理器的功耗,同时性能还有明显的提升。核心代号为Conroe的Core 2 Duo双核处理器是最早问世的桌面级产品,它仍然采用65纳米的制造工艺,但是改为两个核心共享4MB二级缓存的设计,这就比之前的Pentium D处理器双核各自独享二级缓存的设计有了很大的进步,可以明显减少因数据交换而产生的延迟,提升处理器的效率。随着制造工艺的进一步提高和量产规模的加大,采用45纳米制造工艺的Core 2 Duo双核处理器和Core 2 Quad四核处理器的价格也持续走低,让Pentium D处理器和Netburst架构彻底告别了历史舞台。
2008年年末发布的酷睿i7处理器(核心代号Bloomfield)是以Core 2 Quad继任者的身份问世的,它以Intel Nehalem微架构为基础,采用45纳米的工艺制程。从这一代产品开始,英特尔引入了一种名为睿频加速技术的新概念,简而言之,就是处理器根据负载情况,主动智能地提升倍频,从而实现提高运行效率的目的,睿频加速技术的诞生,进一步巩固了英特尔公司注重“每瓦性能”的设计理念。然而由于Core i7处理器及其芯片组平台Intel X58的成本过于昂贵,PC厂商几乎没有任何跟进,于是英特尔公司随后又推出了相对廉价的Core i5处理器来覆盖主流市场。相对于Core i7处理器来说,核心代号为Lynnfield的Core i5处理器只是省去了对超线程技术的支持,同时内存控制器由三通道设计改为双通道设计,价格有了明显的下降。随后英特尔公司又推出了基于32纳米制造工艺的Core i5/i3处理器,这些核心代号为Clarkdale的处理器最大的亮点就是集成显示单元,将以往北桥芯片中的“集成显卡”概念转化为“核心显卡”的概念。按照英特尔公司的说法,这种改进除了性能上的提升之外,同时对销售也有很大的帮助——以前OEM厂商购买主板时要为可能用不到集成显卡功能而买单;现在只要买Core i5/i3处理器就会获得附赠的核心显卡功能,更大程度上让利于下线厂商。
起初,英特尔公司在显示核心的制造工艺方面,并没有同步于CPU核心的制造工艺水平,因此基于Clarkdale核心的Core i5/ i3处理器只是把一个32纳米的CPU单元和一个45纳米的GPU单元简单地封装在一起,二者还算不上真正意义上的融合。直到今年年初推出了Sandy Bridge核心的新酷睿家族,GPU才达到了32纳米的制造工艺,与CPU单元更好地融为一体——GPU无需再向内存请求缓存数据,而是可以直接访问处理器的缓存,从而大大提高了运算效率。另外上一代酷睿处理器引入的睿频加速技术也得到了进一步的增强,它可以根据不同的指令类型确定超频幅度,最大限度地利用TDP冗余来实现高性能输出。
至此,我们就带您一起回顾了近十年来核心技术的发展概况,包括桌面级处理器的更新换代,以及博锐平台化之路带给商用计算的诸多帮助。
虚拟化从软件中“提取”硬件。IT可以通过位于用户操作系统之外的稳定的防篡改虚拟化环境——虚拟设备管理和提高电脑的安全性。