“曙光其實一直以來都是一個科技創(chuàng)新型的企業(yè),一講到曙光,大家想的是HPC,高性能計算,曙光目前是全亞洲第一的高性能計算廠商,在全球排名第三,另外一個就是講到中國科技的重要成果,現(xiàn)在可以看到第一個是高鐵,還有一個是像支付,移動支付,還有一個就是HPC和現(xiàn)在的量子計算機,我覺得是這四個方向。”在剛剛結(jié)束的2017中國信息技術(shù)主管大會上曙光信息產(chǎn)業(yè)股份有限公司網(wǎng)絡(luò)安全產(chǎn)品事業(yè)部總監(jiān)張榆這樣說。
曙光信息產(chǎn)業(yè)股份有限公司網(wǎng)絡(luò)安全產(chǎn)品事業(yè)部總監(jiān)張榆
曙光的信息化發(fā)展建設(shè)思路
最早是1993年以來國內(nèi)第一臺高性能計算機叫曙光1號,國家也是百廢待興,國外-對這一塊是禁運的態(tài)度,高性能計算機來到中國其實是放到一個玻璃房里,鑰匙掌握在國外專家里,這個叫玻璃房子。在1993年的時候由李院士帶隊,研發(fā)出第一臺曙光1號高性能計算機,同時1996年曙光公司成立,也是取曙光1號的名字。
2008年,我們開發(fā)出曙光5000A,也是坐落于上海,曙光6000新云計算機,現(xiàn)在在深圳超算中心,排到亞洲第一,全球第二。我們在2011年發(fā)展了城市云的戰(zhàn)略,曙光做云計算首先是做私有云,做私有云的解決方案。
我們在公有云這一塊,其實我們做的是城市云,跟全國各個城市簽云計算中心,把當(dāng)?shù)卮笮偷难肫筮€有省職機關(guān),政府單位,公安局的數(shù)據(jù)接進來,做大數(shù)據(jù)分析,從中找到價值,2015年發(fā)布數(shù)據(jù)中心,以數(shù)據(jù)為先導(dǎo)。
2016年數(shù)據(jù)中國加速的計劃,其實把它更加落地化。這一塊是我們現(xiàn)在有7個產(chǎn)品線,除了高性能PC這一塊,還有服務(wù)器存儲,云計算,網(wǎng)絡(luò)安全等七條產(chǎn)品線。
簡單解讀一下我們的數(shù)據(jù)中國戰(zhàn)略,數(shù)據(jù)中國在2015年提出來的時候是說要建百城百行做城市云計算大數(shù)據(jù)中心,目前我們已經(jīng)在40多個城市建了城市云計算中心,并且在上面,相當(dāng)于把政府以前的業(yè)務(wù)和數(shù)據(jù)分析全部上傳到云上做,目前也是覆蓋了30多個行業(yè)。
主要是讓全社會共享這個數(shù)據(jù)價值。在去年發(fā)布了數(shù)據(jù)中國加速計劃,其實主要是把這個更加細化,就是聚焦于四個行業(yè),科學(xué)大數(shù)據(jù)、工業(yè)大數(shù)據(jù)、政府大數(shù)據(jù)和安全大數(shù)據(jù),這四個方向。另外就是我們在做數(shù)據(jù)中國計劃的時候,其實有一些技術(shù)支撐,包括云計算,大數(shù)據(jù)的技術(shù),還有跟合作伙伴產(chǎn)生技術(shù)聯(lián)盟,另外一個就是安全,一定要保證城市云平臺的安全,就引出下一個議題,我們曙光在自主可控保障信息安全。
安全可控到自主可控
現(xiàn)有的信息安全系統(tǒng)其實是構(gòu)建于軟件之上,我們可以看到基本上以攻防為主,其實各個安全廠商都是一些軟件廠商,把軟件放到公共機上,形成網(wǎng)絡(luò)安全設(shè)備,這一塊有在主機層面,硬件層面缺失。其實核心的元器件,尤其是CPU這一塊,其實并不掌握在我們的手里,這一塊現(xiàn)在來說很有可能存在風(fēng)險。
如何解決這個問題,其實就是我們講安全可控,安全可控其實是包含三個層面的概念,一個是制造安全可控,就是我的生產(chǎn)制造一定要安全,不會在這個生產(chǎn)過程中埋入后門。另外一個是供給安全可控,能以合理的價格,并且在需要的時候買到元器件。第三個是講發(fā)展可控,發(fā)展安全可控,我的核心器件在發(fā)現(xiàn)漏洞,或者發(fā)現(xiàn)缺陷的時候,我能及時的升級和修改我的功能,比如說我們是通過授權(quán)的方式,在授權(quán)之后你應(yīng)該有一個延續(xù)。
這三個方面加起來是安全可控,其實安全可控的核心是什么?大家也可以看到,就是自主可控,如果解決了核心元器件,核心元器件最重要就是CPU,還有一個是基礎(chǔ)軟件,最重要的就是操作系統(tǒng),還有數(shù)據(jù)庫,其實把這些如果做到一個安全化,其實就能解決安全可控的問題。
曙光一直參與可控產(chǎn)業(yè)鏈,一個是性能問題,一個是穩(wěn)定性,還有一個是產(chǎn)業(yè)性能沒建起來,現(xiàn)在還都是以國家技術(shù)經(jīng)費為支撐,一個技術(shù)發(fā)展起來一定要得到市場的認(rèn)可,我們打算以曙光為核心,打造整個完整的生態(tài)環(huán)境,包括硬件廠商,還有CPU,還有集成商等等一起做自主可控產(chǎn)業(yè)鏈。
大家目標(biāo)都是一樣的,就是推廣自主可控。其實我們做了三件事情,簡單介紹一下,第一個就是總結(jié)出一套真正的業(yè)務(wù)模式,包括從咨詢到監(jiān)理到集成還有核心芯片和硬件設(shè)備的一套業(yè)務(wù)模式,因為只有業(yè)務(wù)模式完整了才能更好為客戶服務(wù)。另外我們跟好多軟件廠商做自主可控軟件的廠商成立了國家自主實驗室,我們其實這個實驗室承擔(dān)了好多兼容性還有調(diào)優(yōu)優(yōu)化的工作,包括有好多甚至是特一級的實驗室。
構(gòu)建了自主可控的產(chǎn)業(yè)聯(lián)盟,其實更多是跟各地的集成商或者是跟全國各地知名的龍頭企業(yè)成立產(chǎn)業(yè)聯(lián)盟,因為這個不能只在北京,一定要下到當(dāng)?shù)匾黄鹜茝V,所以我們跟各地的龍頭企業(yè)一塊構(gòu)建了好多自主安全產(chǎn)業(yè)聯(lián)盟。
包括我們跟工信部成立了工信部天津市還有北京市,還有中關(guān)村軍民融合一塊構(gòu)建了自主安全產(chǎn)業(yè)聯(lián)盟單位,這是一個列表。
最后我其實講一下曙光在自主可控的技術(shù)實踐,其實我們在這一塊技術(shù)積累已經(jīng)將近十幾年了,從2006年開始。第一個就是我們看到自主可控其實講的最關(guān)鍵的就是CPU,其實CPU有好幾個方向,第一個是龍芯CPU,還有一個國防科大做的,其實在去年他買了AIM的授權(quán),其實做了AIM架構(gòu)的CPU,其實AIM在一塊有風(fēng)險,因為AIM被日本的軟銀收購,而且給飛騰的授權(quán)是五年,五年之后怎么弄。還有第三個是江南計算所做的聲微系列的CPU,還有一個是其他,其他就包括像X86架構(gòu)的,這些更多是一個引進的思路。
我們說我們在選自主可控芯片的時候,我們?yōu)槭裁催x龍芯,曙光跟龍芯是同一個董事長,而且都是計算所出來的企業(yè),我們把很多中科院計算所的成果都轉(zhuǎn)化到曙光落地,我們溝通沒有任何障礙。龍芯是一個純自主研發(fā)的芯片,僅僅是采用了(英)的指令級,其實無論是從軟件還是從硬件架構(gòu)都是純自主設(shè)計,我們覺得要做自主可控,還是用純自主研發(fā)的,包括一些GPU這一塊都是自主設(shè)計。
我們基于龍芯推出一系列的自主可控的硬件產(chǎn)品,就包括雙路和四路的服務(wù)器,還包括桌面終端,其實我們也做出了筆記本,還有龍芯的安全產(chǎn)品,還有基于龍芯主控CPU和國產(chǎn)交換芯片的數(shù)通產(chǎn)品等等。
其實在這里面,我們做了很多,曙光配合龍芯做了很多技術(shù)上的優(yōu)化,第一個是橋片的優(yōu)化,除了芯片我們還有一些BMC管理芯片等等,其實選了好多型,進行適配工作。第二個是調(diào)優(yōu),包括對編譯器的調(diào)優(yōu),對網(wǎng)卡、顯卡的調(diào)優(yōu),還有對操作系統(tǒng)和行業(yè)應(yīng)用的適配。大家講到國產(chǎn)CPU,其實我們?nèi)绻麅H僅靠他跑分,跑的成績,無論是浮點運算還有定點運算基本上都是很高的,在實際用的時候發(fā)現(xiàn)真正跑應(yīng)用的時候比較慢。為什么?主要是這一塊對調(diào)優(yōu)做的不夠,比如說英特爾,他的軟件研發(fā)人員比硬件軟件多。
我們在某個軍隊的系統(tǒng)里,通過對應(yīng)用的調(diào)優(yōu),基本上性能提升十幾倍,其實調(diào)優(yōu)也很關(guān)鍵,我們針對客戶的應(yīng)用做了很多適配和調(diào)優(yōu)的工作。
最后一個是管理監(jiān)控的技術(shù),一個是我們在龍芯平臺上做了完整的ITMR,另外一個是我們有一個(英),監(jiān)控軟件,我們也移植到龍芯的平臺上做,這個是我們在這一塊獲得的專利,大概是一百多個專利。
自主可控技術(shù)實踐
簡單講幾個真正的應(yīng)用實踐,第一個就是我們的自主可控信息系統(tǒng)解決方案,全套基于龍芯的自主可控硬件平臺,主要是用于軍工包括黨政機關(guān)密級要求比較高的環(huán)境下,對性能要求不是特別高,里面涉及到一年產(chǎn)品包括服務(wù)器存儲、終端、安全產(chǎn)品還有交換機等等,其次還有一些辦公軟件,數(shù)據(jù)庫。這個是我們的一系列產(chǎn)品線,包括兩路和四路的服務(wù)器,還有桌面終端PC,還有我們的安全產(chǎn)品,安全產(chǎn)品其實是三個第一,首先在2001年7月份,我們發(fā)布了第一款基于自主可控CPU的防火墻,在2014年發(fā)布了第一款自主可控的堡壘機,包括接入交換機,路由器等等,這一套系統(tǒng)基本上目前來看是完全滿足黨政辦公的需求,信息化的需求。
另外一塊,我們的技術(shù)實踐是其實曙光承接好多項目,有一個項目要做網(wǎng)絡(luò)流量的分析處理,這個網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù),其實我要抓取下來做分析和做處理,這一塊考慮到項目的情況,其實他要求達到80%以上,性能還要達到萬兆,現(xiàn)在我們自己做的龍芯防火墻,其實只能達到千兆,這確實是一個瓶頸,主要是主頻低,還有一個LO速率比較低,基本上現(xiàn)在有些還支持PCIE1.0,其實我們是通過整機的優(yōu)化,國產(chǎn)的CPU用了國產(chǎn)的加速卡對網(wǎng)絡(luò)計算做加速,基本上通過一些處理加速的思路,使在國產(chǎn)CPU上把網(wǎng)絡(luò)處理發(fā)揮萬兆的性能,我們也成功通過了驗收。
最后一個是滿足國密算法的加密卡,它現(xiàn)在支持ECC國際算法,同時也支持商密算法。主要應(yīng)用場景是兩個,一個是網(wǎng)絡(luò)傳輸?shù)募用埽谟行┚W(wǎng)絡(luò)傳輸要求必須用商密的算法,甚至有些場景還得用普密的算法。另外一個就是數(shù)據(jù)讀寫的加解密,對于存到硬盤里的數(shù)據(jù),我會把這個LO請求弄到加密卡上,不僅僅是存硬盤,比如說存集群或者是存到陣列里,也可以實現(xiàn)加解密,這一塊是我們基于國產(chǎn)芯片做的自主可控的加解密的方案。