曙光網(wǎng)絡(luò)安全產(chǎn)品事業(yè)部總監(jiān)張榆:推進(jìn)自主可控,打造信息處理安全平臺

信息化觀察網(wǎng)
胡古月
“曙光其實(shí)一直以來都是一個科技創(chuàng)新型的企業(yè),一講到曙光,大家想的是HPC,高性能計(jì)算,曙光目前是全亞洲第一的高性能計(jì)算廠商,在全球排名第三,另外一個就是講到中國科技的重要成果,現(xiàn)在可以看到第一個是高...

“曙光其實(shí)一直以來都是一個科技創(chuàng)新型的企業(yè),一講到曙光,大家想的是HPC,高性能計(jì)算,曙光目前是全亞洲第一的高性能計(jì)算廠商,在全球排名第三,另外一個就是講到中國科技的重要成果,現(xiàn)在可以看到第一個是高鐵,還有一個是像支付,移動支付,還有一個就是HPC和現(xiàn)在的量子計(jì)算機(jī),我覺得是這四個方向。”在剛剛結(jié)束的2017中國信息技術(shù)主管大會上曙光信息產(chǎn)業(yè)股份有限公司網(wǎng)絡(luò)安全產(chǎn)品事業(yè)部總監(jiān)張榆這樣說。

曙光信息產(chǎn)業(yè)股份有限公司網(wǎng)絡(luò)安全產(chǎn)品事業(yè)部總監(jiān)張榆

曙光的信息化發(fā)展建設(shè)思路

最早是1993年以來國內(nèi)第一臺高性能計(jì)算機(jī)叫曙光1號,國家也是百廢待興,國外-對這一塊是禁運(yùn)的態(tài)度,高性能計(jì)算機(jī)來到中國其實(shí)是放到一個玻璃房里,鑰匙掌握在國外專家里,這個叫玻璃房子。在1993年的時候由李院士帶隊(duì),研發(fā)出第一臺曙光1號高性能計(jì)算機(jī),同時1996年曙光公司成立,也是取曙光1號的名字。

2008年,我們開發(fā)出曙光5000A,也是坐落于上海,曙光6000新云計(jì)算機(jī),現(xiàn)在在深圳超算中心,排到亞洲第一,全球第二。我們在2011年發(fā)展了城市云的戰(zhàn)略,曙光做云計(jì)算首先是做私有云,做私有云的解決方案。

我們在公有云這一塊,其實(shí)我們做的是城市云,跟全國各個城市簽云計(jì)算中心,把當(dāng)?shù)卮笮偷难肫筮€有省職機(jī)關(guān),政府單位,公安局的數(shù)據(jù)接進(jìn)來,做大數(shù)據(jù)分析,從中找到價(jià)值,2015年發(fā)布數(shù)據(jù)中心,以數(shù)據(jù)為先導(dǎo)。

2016年數(shù)據(jù)中國加速的計(jì)劃,其實(shí)把它更加落地化。這一塊是我們現(xiàn)在有7個產(chǎn)品線,除了高性能PC這一塊,還有服務(wù)器存儲,云計(jì)算,網(wǎng)絡(luò)安全等七條產(chǎn)品線。

簡單解讀一下我們的數(shù)據(jù)中國戰(zhàn)略,數(shù)據(jù)中國在2015年提出來的時候是說要建百城百行做城市云計(jì)算大數(shù)據(jù)中心,目前我們已經(jīng)在40多個城市建了城市云計(jì)算中心,并且在上面,相當(dāng)于把政府以前的業(yè)務(wù)和數(shù)據(jù)分析全部上傳到云上做,目前也是覆蓋了30多個行業(yè)。

主要是讓全社會共享這個數(shù)據(jù)價(jià)值。在去年發(fā)布了數(shù)據(jù)中國加速計(jì)劃,其實(shí)主要是把這個更加細(xì)化,就是聚焦于四個行業(yè),科學(xué)大數(shù)據(jù)、工業(yè)大數(shù)據(jù)、政府大數(shù)據(jù)和安全大數(shù)據(jù),這四個方向。另外就是我們在做數(shù)據(jù)中國計(jì)劃的時候,其實(shí)有一些技術(shù)支撐,包括云計(jì)算,大數(shù)據(jù)的技術(shù),還有跟合作伙伴產(chǎn)生技術(shù)聯(lián)盟,另外一個就是安全,一定要保證城市云平臺的安全,就引出下一個議題,我們曙光在自主可控保障信息安全。

安全可控到自主可控

現(xiàn)有的信息安全系統(tǒng)其實(shí)是構(gòu)建于軟件之上,我們可以看到基本上以攻防為主,其實(shí)各個安全廠商都是一些軟件廠商,把軟件放到公共機(jī)上,形成網(wǎng)絡(luò)安全設(shè)備,這一塊有在主機(jī)層面,硬件層面缺失。其實(shí)核心的元器件,尤其是CPU這一塊,其實(shí)并不掌握在我們的手里,這一塊現(xiàn)在來說很有可能存在風(fēng)險(xiǎn)。

如何解決這個問題,其實(shí)就是我們講安全可控,安全可控其實(shí)是包含三個層面的概念,一個是制造安全可控,就是我的生產(chǎn)制造一定要安全,不會在這個生產(chǎn)過程中埋入后門。另外一個是供給安全可控,能以合理的價(jià)格,并且在需要的時候買到元器件。第三個是講發(fā)展可控,發(fā)展安全可控,我的核心器件在發(fā)現(xiàn)漏洞,或者發(fā)現(xiàn)缺陷的時候,我能及時的升級和修改我的功能,比如說我們是通過授權(quán)的方式,在授權(quán)之后你應(yīng)該有一個延續(xù)。

這三個方面加起來是安全可控,其實(shí)安全可控的核心是什么?大家也可以看到,就是自主可控,如果解決了核心元器件,核心元器件最重要就是CPU,還有一個是基礎(chǔ)軟件,最重要的就是操作系統(tǒng),還有數(shù)據(jù)庫,其實(shí)把這些如果做到一個安全化,其實(shí)就能解決安全可控的問題。

曙光一直參與可控產(chǎn)業(yè)鏈,一個是性能問題,一個是穩(wěn)定性,還有一個是產(chǎn)業(yè)性能沒建起來,現(xiàn)在還都是以國家技術(shù)經(jīng)費(fèi)為支撐,一個技術(shù)發(fā)展起來一定要得到市場的認(rèn)可,我們打算以曙光為核心,打造整個完整的生態(tài)環(huán)境,包括硬件廠商,還有CPU,還有集成商等等一起做自主可控產(chǎn)業(yè)鏈。

大家目標(biāo)都是一樣的,就是推廣自主可控。其實(shí)我們做了三件事情,簡單介紹一下,第一個就是總結(jié)出一套真正的業(yè)務(wù)模式,包括從咨詢到監(jiān)理到集成還有核心芯片和硬件設(shè)備的一套業(yè)務(wù)模式,因?yàn)橹挥袠I(yè)務(wù)模式完整了才能更好為客戶服務(wù)。另外我們跟好多軟件廠商做自主可控軟件的廠商成立了國家自主實(shí)驗(yàn)室,我們其實(shí)這個實(shí)驗(yàn)室承擔(dān)了好多兼容性還有調(diào)優(yōu)優(yōu)化的工作,包括有好多甚至是特一級的實(shí)驗(yàn)室。

構(gòu)建了自主可控的產(chǎn)業(yè)聯(lián)盟,其實(shí)更多是跟各地的集成商或者是跟全國各地知名的龍頭企業(yè)成立產(chǎn)業(yè)聯(lián)盟,因?yàn)檫@個不能只在北京,一定要下到當(dāng)?shù)匾黄鹜茝V,所以我們跟各地的龍頭企業(yè)一塊構(gòu)建了好多自主安全產(chǎn)業(yè)聯(lián)盟。

包括我們跟工信部成立了工信部天津市還有北京市,還有中關(guān)村軍民融合一塊構(gòu)建了自主安全產(chǎn)業(yè)聯(lián)盟單位,這是一個列表。

最后我其實(shí)講一下曙光在自主可控的技術(shù)實(shí)踐,其實(shí)我們在這一塊技術(shù)積累已經(jīng)將近十幾年了,從2006年開始。第一個就是我們看到自主可控其實(shí)講的最關(guān)鍵的就是CPU,其實(shí)CPU有好幾個方向,第一個是龍芯CPU,還有一個國防科大做的,其實(shí)在去年他買了AIM的授權(quán),其實(shí)做了AIM架構(gòu)的CPU,其實(shí)AIM在一塊有風(fēng)險(xiǎn),因?yàn)锳IM被日本的軟銀收購,而且給飛騰的授權(quán)是五年,五年之后怎么弄。還有第三個是江南計(jì)算所做的聲微系列的CPU,還有一個是其他,其他就包括像X86架構(gòu)的,這些更多是一個引進(jìn)的思路。

我們說我們在選自主可控芯片的時候,我們?yōu)槭裁催x龍芯,曙光跟龍芯是同一個董事長,而且都是計(jì)算所出來的企業(yè),我們把很多中科院計(jì)算所的成果都轉(zhuǎn)化到曙光落地,我們溝通沒有任何障礙。龍芯是一個純自主研發(fā)的芯片,僅僅是采用了(英)的指令級,其實(shí)無論是從軟件還是從硬件架構(gòu)都是純自主設(shè)計(jì),我們覺得要做自主可控,還是用純自主研發(fā)的,包括一些GPU這一塊都是自主設(shè)計(jì)。

我們基于龍芯推出一系列的自主可控的硬件產(chǎn)品,就包括雙路和四路的服務(wù)器,還包括桌面終端,其實(shí)我們也做出了筆記本,還有龍芯的安全產(chǎn)品,還有基于龍芯主控CPU和國產(chǎn)交換芯片的數(shù)通產(chǎn)品等等。

其實(shí)在這里面,我們做了很多,曙光配合龍芯做了很多技術(shù)上的優(yōu)化,第一個是橋片的優(yōu)化,除了芯片我們還有一些BMC管理芯片等等,其實(shí)選了好多型,進(jìn)行適配工作。第二個是調(diào)優(yōu),包括對編譯器的調(diào)優(yōu),對網(wǎng)卡、顯卡的調(diào)優(yōu),還有對操作系統(tǒng)和行業(yè)應(yīng)用的適配。大家講到國產(chǎn)CPU,其實(shí)我們?nèi)绻麅H僅靠他跑分,跑的成績,無論是浮點(diǎn)運(yùn)算還有定點(diǎn)運(yùn)算基本上都是很高的,在實(shí)際用的時候發(fā)現(xiàn)真正跑應(yīng)用的時候比較慢。為什么?主要是這一塊對調(diào)優(yōu)做的不夠,比如說英特爾,他的軟件研發(fā)人員比硬件軟件多。

我們在某個軍隊(duì)的系統(tǒng)里,通過對應(yīng)用的調(diào)優(yōu),基本上性能提升十幾倍,其實(shí)調(diào)優(yōu)也很關(guān)鍵,我們針對客戶的應(yīng)用做了很多適配和調(diào)優(yōu)的工作。

最后一個是管理監(jiān)控的技術(shù),一個是我們在龍芯平臺上做了完整的ITMR,另外一個是我們有一個(英),監(jiān)控軟件,我們也移植到龍芯的平臺上做,這個是我們在這一塊獲得的專利,大概是一百多個專利。

自主可控技術(shù)實(shí)踐

簡單講幾個真正的應(yīng)用實(shí)踐,第一個就是我們的自主可控信息系統(tǒng)解決方案,全套基于龍芯的自主可控硬件平臺,主要是用于軍工包括黨政機(jī)關(guān)密級要求比較高的環(huán)境下,對性能要求不是特別高,里面涉及到一年產(chǎn)品包括服務(wù)器存儲、終端、安全產(chǎn)品還有交換機(jī)等等,其次還有一些辦公軟件,數(shù)據(jù)庫。這個是我們的一系列產(chǎn)品線,包括兩路和四路的服務(wù)器,還有桌面終端PC,還有我們的安全產(chǎn)品,安全產(chǎn)品其實(shí)是三個第一,首先在2001年7月份,我們發(fā)布了第一款基于自主可控CPU的防火墻,在2014年發(fā)布了第一款自主可控的堡壘機(jī),包括接入交換機(jī),路由器等等,這一套系統(tǒng)基本上目前來看是完全滿足黨政辦公的需求,信息化的需求。

另外一塊,我們的技術(shù)實(shí)踐是其實(shí)曙光承接好多項(xiàng)目,有一個項(xiàng)目要做網(wǎng)絡(luò)流量的分析處理,這個網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù),其實(shí)我要抓取下來做分析和做處理,這一塊考慮到項(xiàng)目的情況,其實(shí)他要求達(dá)到80%以上,性能還要達(dá)到萬兆,現(xiàn)在我們自己做的龍芯防火墻,其實(shí)只能達(dá)到千兆,這確實(shí)是一個瓶頸,主要是主頻低,還有一個LO速率比較低,基本上現(xiàn)在有些還支持PCIE1.0,其實(shí)我們是通過整機(jī)的優(yōu)化,國產(chǎn)的CPU用了國產(chǎn)的加速卡對網(wǎng)絡(luò)計(jì)算做加速,基本上通過一些處理加速的思路,使在國產(chǎn)CPU上把網(wǎng)絡(luò)處理發(fā)揮萬兆的性能,我們也成功通過了驗(yàn)收。

最后一個是滿足國密算法的加密卡,它現(xiàn)在支持ECC國際算法,同時也支持商密算法。主要應(yīng)用場景是兩個,一個是網(wǎng)絡(luò)傳輸?shù)募用?,在有些網(wǎng)絡(luò)傳輸要求必須用商密的算法,甚至有些場景還得用普密的算法。另外一個就是數(shù)據(jù)讀寫的加解密,對于存到硬盤里的數(shù)據(jù),我會把這個LO請求弄到加密卡上,不僅僅是存硬盤,比如說存集群或者是存到陣列里,也可以實(shí)現(xiàn)加解密,這一塊是我們基于國產(chǎn)芯片做的自主可控的加解密的方案。

THEEND