在网安领域,全面替换国外CPU
发布时间:2017-08-23


在网安领域,全面替换国外CPU

发布时间:2017-08-02 17:03

随着我国《网络安全法》的正式颁布,针对关键信息基础设施中所使用的重要信息技术产品自主可控、安全可信的要求日益迫切。如今,在网络安全产品领域,伴随着国产CPU的成熟以及相关生态环境的逐步完善,在政策与需求的驱动下,基于国产CPU的网络安全产品已经开始进入全面替换的快车道。

观察者网日前专访了北京中科网威信息技术有限公司副总裁李源,李源表示,在网络安全领域,我国自主研发的基于国产CPU的网络安全产品已经完全具备了基于国外处理器安全产品的同等水平。

李源介绍了拥有完整自主知识产权的国产申威CPU近年来取得的重大技术突破,及能够替换国外cpu的鲜明事实(从2016年6月起,“神威·太湖之光”超级计算机已经连续三次荣登世界超级计算机排名榜单TOP500第一名,并被榜单编撰人形容为“毋庸置疑是这个星球上最强大的数字运算机器”。而它的核心部件正是来自真正自主可控的国产申威处理器。)


“神威·太湖之光”运算系统机仓

观察者网:国产防火墙中,使用的国产CPU主要是哪些?如何区分真正的国产CPU?

李源:目前,在国产防火墙市场上,宣称使用“国产CPU”的主要包括“申威”、“龙芯”、“飞腾”和“兆芯”等系列处理器。由于申威及龙芯采用自主知识产权微架构,在技术上避免了“捅刀子”的危害,在供应链上避免了“卡脖子”的风险,从而成为真正自主可控的国产CPU。

对于购买ARM授权的“国产”芯片来讲,其购买的IP核授权并非永久性授权,其授权具有诸多限制性和期限性。即便是较开放的软核授权,也不会做到所有代码可读可修改,而是包装了很多模块,而大部分模块内部都不可能进行随意修改。而对于采取简单贴牌OEM的芯片来讲,自主可控性就更无从谈起了。因此,就上述类别的处理器而言,其自身存在的安全风险可想而知。

芯片核心技术若自身不被国内掌握,无法避免后门植入等风险,安全性也必然得不到根本保障。自然也无法称之为真正的自主可控。


20170802171013_34054.jpg

观察者网:国内几家国产CPU厂商的行业应用及定位有什么明确的区分?

李源:各类国产CPU在各领域都有着自身独特的优势,申威处理器采用的是自主指令集,对溢出式攻击和恶意代码具备天然的免疫力,且具有完全的自主知识产权,其运算能力可以达到每秒千万次,并且其频率也达到了我国国产CPU的极限。因此,申威是目前最适合防火墙等网关类安全产品应用的国产处理器。


龙芯系列处理器,其高性能64位多核处理器片内集成多个64位高发射高性能龙芯IP核,由于低功耗的特性,使得该处理器更适用于面向桌面、数字信号处理(DSP)和高端嵌入式等应用。



观察者网:申威处理器在哪些方面实现了自主可控?

李源:申威CPU已经在结构设计、逻辑设计、正确性验证、物理设计及测试分析等方面,实现了知识产权、技术能力和发展的自主可控,真正达到了“全国产自主研发,全流程安全可控”。

观察者网:中科网威近年来有哪些基于申威CPU的产品?近期或未来将有什么新产品推出?

李源:自2014年6月率先推出以申威SW410为核心的自主可控千兆防火墙,先后取得《涉密信息系统产品检测证书》、《中国国家信息安全产品认证证书》、《军用信息安全产品认证证书》和《计算机信息系统安全专用产品销售许可证》等多项权威认证,也是国内第一家获得上述四证的单位。



2016年1月,中科网威继续在自主可控的安全产品领域发力,正式推出首款采用国产处理器的自主可控漏洞扫描系统。近年来,我们的自主可控产品线不断丰富,已经陆续推出了入侵检测系统、安全隔离与单向导入系统等产品。

2017年4月, 中科网威率先推出了基于申威SW411处理器的自主可控千兆线速防火墙NSFW-6000,64字节小包可达100%线速,从而在千兆网络环境中可以实现对基于国外X86芯片防火墙的全面替换。

在2017年底,中科网威将会推出基于申威1621平台的自主可控万兆防火墙,这将填补我国在全自主可控安全产品中没有万兆防火墙的空白。


观察者网:千兆线速防火墙产品有什么重大的技术突破?主要有哪些性能指标?

李源:该产品经深度优化后性能大幅提升, 64字节小包吞吐量显著提高,是首款国产自主可控防火墙64字节小包在千兆环境下达100%线速的防火墙产品,一举打破了国外芯片对防火墙的垄断格局,树立了国产防火墙产品的自主信心,为无缝替代国外产品奠定了坚实基础。

该产品采用自主指令集,对溢出式攻击和恶意代码具有天然的免疫力,杜绝了“后门”植入、“逻辑”炸弹等在引进国外技术过程中所面临的未知风险。结合自主优化加固的NPOS操作系统,使产品自身的安全性高度可控,为军队、党政等行业用户提供了更加安全可信、自主可控的产品选择。


千兆线速防火墙——中科神威NSFW-6000

观察者网:除了中科网威之外,还有哪些公司在做基于国产处理器的自主可控产品?可以多大程度上替换国外产品?

李源:国产处理器已经成功进入桌面、服务器、存储、网络安全等相关领域,继申威联盟的成立后,2016年5月19日,中科网威倡议发起了中关村可信计算产业联盟自主可信专委会,聚合了包括龙芯中科、上海高性能集成电路设计中心、山西百信、卫士通等40余家单位,而且这个数字还在不断增加,覆盖了从底层自主芯片,到上层服务应用等各个环节。专委会旨在为推动我国自主可信网络安全产业链的建设,聚合基于自主处理器的产业链各个环节的力量,上下游通力合作,将可信计算技术应用到自主可控的网络安全产品中,促进自主可信安全生态环境建设,提升我国网络安全产品的自主可控,安全可信水平。

可以肯定地说,以中科网威为代表的自主可控网络安全方向,已经具备了全面替代国外产品的技术实力,需要的只是一个时间过程。


 自主可信专委会


观察者网:近期了解中科网威提出的“自主可控+“网络安全理念,可以介绍一下何为”自主可控+“?具体实践体现在哪些方面?

李源:“自主可控+”是自主可控网络安全发展的新阶段,是在核心硬件自主工艺设计、研发、生产之下的网络安全产品发展的新形态,是在建立自主网络空间主权推动下,关键信息基础设施与行业信息化建设融合发展的新业态。通俗来讲,“自主可控+”就是“自主可控安全产品+各个行业的应用实践”,它代表着一种新的行业应用形态,它将自主可控产品与传统产业的安全应用深度融合,以自主可控安全产品无缝的替代,来提升自主可控、安全可信的能力,最终实现各个行业信息系统的自主安全。


随着中科神威自主可控防火墙系统、漏洞扫描系统、入侵检测系统、安全隔离与单向导入系统等产品的不断推出,已经初步形成了覆盖党政军等涉密行业的自主可控安全解决方案,并在国家重要试点示范工程的多种应用场景中,得以充分实践,为用户带来了更加实用的安全体验。

未来,中科网威将为推动我国自主可控网络安全产业的健康发展做出更大贡献,诚邀您一同鉴证。



400-0019-855