施光源

摘 要：隨著“熔斷、幽靈”等核心芯片安全事件發(fā)生，基于自主可控芯片的產(chǎn)品對我國關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域具有重要意義與作用。論文針對自主可控產(chǎn)業(yè)發(fā)展進行深入分析，在此基礎(chǔ)上，對基于國產(chǎn)申威處理器的自主可控服務(wù)器研發(fā)路線進行闡述。最后通過應(yīng)用案例分析說明自主可控產(chǎn)品具備國產(chǎn)化替代能力，對提升我國重要領(lǐng)域的基礎(chǔ)設(shè)施安全具有重要意義。

關(guān)鍵詞：自主可控；芯片；申威處理器；服務(wù)器

中圖分類號：TP309 文獻標(biāo)識碼：A

Abstract： With the “Meltdown、Spectre” security incidents happen in chip、products based on self-controlled chips are of great significance to China's key infrastructure areas. The paper analyzes the development of self-controllable industries、on this basis、development path of self-controllable server based on domestic Sunway processor is expounded. Finally， the application case analysis shows that the self-controllable products have the substitution ability of localization， which is of great significance to enhance the infrastructure security in important areas of our country.

Key words： self-controllable； chip； sunway processor； server

1 引言

近年來，隨著Intel被爆出“熔斷、幽靈”等安全漏洞，安全可控的重要意義被再次凸顯出來，關(guān)鍵核心部件如果不能自主可控，安全問題就無法從根本上解決。我國信息化存在的主要問題是自主化程度較低，同時外部網(wǎng)絡(luò)安全威脅日益嚴峻。由于早期我國在計算軟硬件核心技術(shù)存在一定的缺失，同時又面臨著信息化飛速發(fā)展的現(xiàn)實需求，導(dǎo)致我國很多關(guān)鍵部門大量使用了國外的計算通信設(shè)備。這些設(shè)備尤其是以美國政府扶植的八大金剛為代表的系統(tǒng)設(shè)備提供商占比最高，涵蓋了芯片、服務(wù)器、操作系統(tǒng)、數(shù)據(jù)庫等多個關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域。隨著2013年斯諾登曝光的棱鏡門事件，以及后來發(fā)生的勒索病毒事件等，更加使我們清醒地認識到關(guān)鍵領(lǐng)域自主可控能力不足，將對國家安全產(chǎn)生嚴重的危害。比如，由自由軟件基金會曝光，所有現(xiàn)代Intel處理器平臺都內(nèi)置了一個低功耗的子系統(tǒng)IME，能完全訪問和控制電腦，讀取打開的文件，檢查所有運行的程序，甚至能捕捉屏幕截圖，它還有一個被證明不安全的網(wǎng)絡(luò)接口，允許攻擊者植入Rootkit程序控制和入侵電腦，更有甚者有三條指令在用戶模式就可以使機器死機或重啟，作用機制直接穿透各種軟件保護措施。國內(nèi)重要關(guān)鍵行業(yè)的基礎(chǔ)設(shè)施幾乎被國外軟硬件產(chǎn)品壟斷，關(guān)系到國計民生的重要行業(yè)的核心應(yīng)用的高端計算產(chǎn)品幾乎被IOE占領(lǐng)。

隨著我國國民經(jīng)濟和社會信息化進程全面加快，網(wǎng)絡(luò)與信息系統(tǒng)的基礎(chǔ)性和全局性作用日益增強，信息和網(wǎng)絡(luò)已成為國際經(jīng)濟和社會發(fā)展的新的重要戰(zhàn)略資源。面對全球網(wǎng)絡(luò)戒備的態(tài)勢，建設(shè)“堅固可靠”的國家網(wǎng)絡(luò)安全體系，是中國必須作出的戰(zhàn)略選擇。黨的十八屆三中全會，決定成立中央網(wǎng)絡(luò)安全與信息化委員會，將信息安全問題提到了國家安全的高度。自主可控安全可信已經(jīng)上升到國家戰(zhàn)略層面，近年來陸續(xù)出臺多項法律法規(guī)以及產(chǎn)業(yè)支持政策?！毒W(wǎng)絡(luò)安全法》第十六條指出，要大力推廣安全可信的產(chǎn)品和服務(wù)，目前我國信息安全主要驅(qū)動力是合規(guī)性要求，比如等級保護等，主要應(yīng)用對象是軍隊、政府和大型央企等，廣大中小企業(yè)以及互聯(lián)網(wǎng)企業(yè)等對安全的重視程度不夠，隨著《網(wǎng)絡(luò)安全法》的頒布實施，網(wǎng)絡(luò)安全審查制度的逐步落實，未來強制性需求將逐步在市場上凸顯[1]。

2 自主可控含義與實現(xiàn)路線

2.1 自主可控含義

要從根本上提升中國網(wǎng)絡(luò)空間的防護能力，一個關(guān)鍵舉措就是用自主可控的國產(chǎn)軟硬件和服務(wù)來替代進口產(chǎn)品。只有建立起完全自主、安全可控的IT系統(tǒng)，把信息安全掌握在自己手中，才能確保國家網(wǎng)絡(luò)安全和信息安全。

自主可控顧名思義是技術(shù)發(fā)展獨立自主且安全可控，就是依靠自身研發(fā)設(shè)計，全面掌握產(chǎn)品核心技術(shù)，實現(xiàn)信息系統(tǒng)從硬件到軟件的自主研發(fā)、生產(chǎn)、升級、維護的全程可控，核心技術(shù)、關(guān)鍵零部件、各類軟件全都國產(chǎn)化，自主開發(fā)、自主制造，不受制于人。一般來說，國產(chǎn)化程度越高，自主可控的程度也越高。剛剛發(fā)布的GB/T 36630-2018 《信息安全技術(shù) 信息技術(shù)產(chǎn)品安全可控評價指標(biāo)》也對通用計算機、中央處理器等幾個方面實現(xiàn)自主可控給出了具體標(biāo)準[2]。處理器作為服務(wù)器、存儲系統(tǒng)等重要核心部件，要實現(xiàn)自主可控，至少要包括三方面要求。

（1）CPU研制單位符合安全保密要求：CPU企業(yè)無境外直接投資，且通過間接方式投資的外方投資者及其一致行動人的出資比例最終不得超過20%。

（2）CPU指令系統(tǒng)可持續(xù)自主發(fā)展：研制自主CPU不是最終目的，而是按照習(xí)近平總書記要求“構(gòu)建安全可控信息技術(shù)體系”，這就要求CPU的指令系統(tǒng)可持續(xù)自主發(fā)展且不受制于人。

（3）CPU核的源代碼自己編寫：CPU核的源代碼一定要堅持自主設(shè)計，CPU是巨復(fù)雜系統(tǒng)，影響其品質(zhì)的因素非常多，只能在實踐中邊試錯邊發(fā)展，隨時間推進而不斷演進。

國產(chǎn)申威CPU滿足上述三項要求，且申威CPU在高性能計算機領(lǐng)域做到了世界第一。申威1621生產(chǎn)工藝升級為28nm，主頻達到2.0G，外設(shè)從PCIE2.0升級到PCIE3.0，存儲控制器8路，采用cc_numa架構(gòu)共享三級cache，采用對稱16多核結(jié)構(gòu)以及SoC技術(shù)。國產(chǎn)申威CPU采用多核心多線程并行處理，對渲染等設(shè)計類工作非常重要。基于國產(chǎn)申威處理器研發(fā)的服務(wù)器、存儲系統(tǒng)，具有自主可控、高性能等特點，適用于在黨政、軍工等國家重要領(lǐng)域的國產(chǎn)化替代要求[3]。

2.2 自主可控實踐路線

華勝信息在充分理解自主可控發(fā)展現(xiàn)狀的基礎(chǔ)上，積極響應(yīng)國產(chǎn)網(wǎng)絡(luò)安全戰(zhàn)略，重點在軍民融合領(lǐng)域深入探索，以自主可控為理念，主要在三個方面努力開展工作。

（1）采用自主研發(fā)與技術(shù)引進雙路線，實現(xiàn)核心技術(shù)自主可控

從自主可控服務(wù)器產(chǎn)品研發(fā)路徑規(guī)劃上，華勝信息按照技術(shù)消化吸收結(jié)合自主研發(fā)互補的方式開展工作。通過對IBM主導(dǎo)的OpenPower核心技術(shù)進行消化吸收，形成自主的主板設(shè)計能力。在核心技術(shù)轉(zhuǎn)化過程中，通過將八大類35項核心技術(shù)進行吸收應(yīng)用，包括服務(wù)器RAS技術(shù)、隨溫自動調(diào)節(jié)技術(shù)、處理器能耗管理技術(shù)等，實現(xiàn)服務(wù)器從系統(tǒng)設(shè)計、主板研發(fā)等關(guān)鍵環(huán)節(jié)自主設(shè)計。研發(fā)了基于國產(chǎn)申威處理器的國威天成自主可控服務(wù)器TSI-2102TL，產(chǎn)品采用國產(chǎn)自主研發(fā)的申威處理器，實現(xiàn)“核芯”自主可控；同時服務(wù)主板自主設(shè)計，以板卡設(shè)計研發(fā)為起點，承載國產(chǎn)關(guān)鍵部件以及高安全等級操作系統(tǒng)，是具有自主可控、高可靠性的服務(wù)器產(chǎn)品。引入可信計算技術(shù)，進一步強化可信可控的產(chǎn)品設(shè)計理念，提供更加可靠的計算能力，為提高我國關(guān)鍵基礎(chǔ)設(shè)施安全水平提供支撐保障。

同時，構(gòu)建本地化研發(fā)團隊，開展自主研發(fā)，從整機主板結(jié)構(gòu)設(shè)計入手，進行邏輯電路重構(gòu)，另外，注重開展自主知識產(chǎn)權(quán)的申請與保護工作。在生產(chǎn)環(huán)節(jié)，采用本地化生產(chǎn)加工，在河北固安生產(chǎn)基地，按照軍工質(zhì)量認證體系標(biāo)準進行生產(chǎn)加工，最后通過引入可信計算技術(shù)、搭載國產(chǎn)高安全操作系統(tǒng)、數(shù)據(jù)庫、中間件，形成整機方案。通過幾個方面的努力，從芯片可控、硬件平臺可控、研發(fā)生產(chǎn)可控，知識產(chǎn)權(quán)自主等幾個方面，實現(xiàn)產(chǎn)品安全可控的目標(biāo)。

（2）建立自主可控技術(shù)創(chuàng)新基地，占領(lǐng)自主可控技術(shù)新前沿

與國內(nèi)高校聯(lián)合進行技術(shù)創(chuàng)新，提升自主可控技術(shù)攻關(guān)能力，形成核心知識產(chǎn)權(quán)。聯(lián)合北京工業(yè)大學(xué)成立自主可控可信服務(wù)器實驗室，針對自主可控關(guān)鍵技術(shù)開展聯(lián)合攻關(guān)，大幅提升產(chǎn)品核心競爭力。

（3）強強聯(lián)合，構(gòu)建自主可控生態(tài)鏈

構(gòu)建自主可控生態(tài)鏈，強化國產(chǎn)化廠商之間的合作，在政府以及國家核心行業(yè)、領(lǐng)域構(gòu)建起從服務(wù)器、操作系統(tǒng)、數(shù)據(jù)庫到應(yīng)用軟件等整套的國產(chǎn)化產(chǎn)品與解決方案。同時要聯(lián)合產(chǎn)業(yè)鏈各方，在市場、銷售、服務(wù)等方面通力合作，樹立自主可控樣板標(biāo)桿。構(gòu)建自主可控生態(tài)鏈，關(guān)注云計算、大數(shù)據(jù)、人工智能等基礎(chǔ)設(shè)施的安全性。

3 基于自主可控產(chǎn)品的解決方案

在新的安全形勢下，實現(xiàn)我國關(guān)鍵信息基礎(chǔ)設(shè)施的國產(chǎn)化替代任重道遠，前景廣闊。 “十二五”以來，在黨政軍裝備和信息系統(tǒng)的應(yīng)用或應(yīng)用試點中，以CPU和操作系統(tǒng)為代表的自主基礎(chǔ)軟硬件從不成熟到成熟，自主基礎(chǔ)軟硬件產(chǎn)業(yè)鏈從組合發(fā)散到組合收斂，基于自主基礎(chǔ)軟硬件的黨政軍信息系統(tǒng)從基本可用、到可用、到好用。

基于國產(chǎn)自主可控數(shù)據(jù)中心解決方案由國產(chǎn)申威高性能服務(wù)器、國產(chǎn)網(wǎng)絡(luò)設(shè)備、國產(chǎn)防火墻、國產(chǎn)高性能終端等構(gòu)成，如圖1所示，具有高性能、高可靠、易擴展等特性，結(jié)合業(yè)務(wù)系統(tǒng)可用于黨政機關(guān)辦公信息系統(tǒng)，以及“公、檢、法、司”業(yè)務(wù)系統(tǒng)等數(shù)據(jù)安全可控要求高的應(yīng)用場合。

方案中基礎(chǔ)物理設(shè)備自主可控，使用硬件級可信主動控制模塊，搭載國產(chǎn)高安全等級操作系統(tǒng)，配合國產(chǎn)數(shù)據(jù)庫，國產(chǎn)網(wǎng)絡(luò)設(shè)備，深度打造國產(chǎn)自主可控、高性能服務(wù)器計算平臺，為整套解決方案提供基礎(chǔ)的計算、存儲、網(wǎng)絡(luò)資源。

華勝天成云平臺作為統(tǒng)一的運維管理支撐平臺，針對不同應(yīng)用場景提供了不同的基礎(chǔ)設(shè)施，以滿足上層應(yīng)用的差異化需求，提高基礎(chǔ)設(shè)施效率和快速交付能力。同時，提供統(tǒng)一的服務(wù)呈現(xiàn)界面、統(tǒng)一的支撐流程。支持黨政部門日常事務(wù)管理、電子化、信息化、網(wǎng)絡(luò)化處理等智能化辦公業(yè)務(wù)需求；支持公文流轉(zhuǎn)、郵件收發(fā)、數(shù)據(jù)遷移、諸多應(yīng)用與服務(wù)統(tǒng)一配置和管理以及電子文件管理；實現(xiàn)外聯(lián)安全管控、移動介質(zhì)管理、數(shù)據(jù)導(dǎo)入、終端數(shù)據(jù)安全等安全控制，提高終端安全、邊界安全的可靠程度；實現(xiàn)多業(yè)務(wù)平臺支撐，支持常用辦公信息系統(tǒng)應(yīng)用支持，包含Web技術(shù)支持、數(shù)據(jù)庫支持、負載均衡等；具備與安全可靠基礎(chǔ)軟硬件廠商之間的產(chǎn)業(yè)互動協(xié)作體系。

（1）基于國產(chǎn)自主可控服務(wù)器，從設(shè)備基礎(chǔ)層面保證安全，系統(tǒng)穩(wěn)定性高，保障業(yè)務(wù)的連續(xù)性。

（2）核心功能模塊國產(chǎn)化，自主開發(fā)，使得整套解決方案性價比突出。

（3）強大的性能保障，多核多線程技術(shù)和高內(nèi)存帶寬等特性非常適合大數(shù)據(jù)等業(yè)務(wù)場景。

（4）通過融合資源池，打破原有煙囪式的資源池使用現(xiàn)狀，打通多個站點和孤立資源池的所有計算、存儲與網(wǎng)絡(luò)資源，滿足企業(yè)在業(yè)務(wù)快速部署，簡化管理，增強服務(wù)開放性的多方面需求，真正實現(xiàn)資源的統(tǒng)一管、融合用。

4 結(jié)束語

目前，國內(nèi)政府機關(guān)、軍隊、公安、保密部門、科研機構(gòu)、金融、證券等企事業(yè)單位大量使用的計算機、網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)及應(yīng)用系統(tǒng)等方面對國外的依賴度很高，這些設(shè)備、系統(tǒng)帶來高效應(yīng)用的同時，也帶來了各種安全風(fēng)險和隱患。處理器是信息產(chǎn)業(yè)的基礎(chǔ)部件，如果處理器上無法實現(xiàn)自主可控，那么整個信息產(chǎn)業(yè)的自主可控將無從談起。華勝信息國威天成服務(wù)器實現(xiàn)了整機的自主可控和高安全設(shè)計，為黨政軍等對于自主可控有更高要求的領(lǐng)域提供有力支持。

參考文獻

[1] 陳旦，李斌，葉曉俊.網(wǎng)絡(luò)服務(wù)安全審查與安全可控評價指標(biāo)建設(shè)思考[J].中國信息安全，2018年06期.

[2] 王闖，王超.信息技術(shù)產(chǎn)品安全可控內(nèi)涵及其評價指標(biāo)[J].信息技術(shù)與標(biāo)準化，2017年05期.

[3] 胡向東，楊劍新，朱英.高性能多核處理器申威1600[J].中國科學(xué)：信息科學(xué)，2015年04期.