國(guó)產(chǎn)化替代的實(shí)踐與思考——以云報(bào)集團(tuán)為例
一、 總述
“沒有網(wǎng)絡(luò)安全就沒有國(guó)家安全”——自然也不會(huì)有媒體宣傳、出版、播出的生產(chǎn)安全。由于國(guó)家間利益沖突,以美國(guó)為首的西方國(guó)家形成聯(lián)盟,長(zhǎng)期對(duì)我國(guó)實(shí)行嚴(yán)格的出口限制政策。并且進(jìn)口的CPU芯片等電子元器件可能存在致命漏洞或者后門(從2017年爆出Spectre幽靈漏洞可見一斑),這些漏洞后門可竊取我國(guó)設(shè)備的數(shù)據(jù)甚至摧毀設(shè)備,并可能進(jìn)一步通過網(wǎng)絡(luò)傳播病毒、木馬和蠕蟲,嚴(yán)重影響我國(guó)的網(wǎng)絡(luò)信息安全。信息安全建設(shè)中如果不能實(shí)現(xiàn)電子元器件的自主可控,則始終會(huì)受制于人、處于被動(dòng)挨打的局面。
近年來隨著各級(jí)媒體改革發(fā)展的不斷深入以及相關(guān)網(wǎng)絡(luò)安全法律法規(guī)的不斷完善。構(gòu)建完善的網(wǎng)絡(luò)安全防護(hù)和應(yīng)急響應(yīng)體系,保障各生產(chǎn)業(yè)務(wù)系統(tǒng)高效、平穩(wěn)、安全的運(yùn)行,已經(jīng)成為媒體日常技術(shù)工作的核心組成部分。
網(wǎng)絡(luò)安全體系的構(gòu)建是一個(gè)龐大的系統(tǒng)工程,但在這個(gè)系統(tǒng)中,有一環(huán)因?yàn)樯鷳B(tài)、兼容性、性能、穩(wěn)定性和使用習(xí)慣等諸多問題,一直處于“任重而道遠(yuǎn)”的狀態(tài)——這就是“國(guó)產(chǎn)化替代”(本文所述國(guó)產(chǎn)化特指國(guó)產(chǎn)CPU芯片以及基于國(guó)產(chǎn)CPU芯片的軟硬件體系和國(guó)密商用密碼體系)。作為網(wǎng)絡(luò)安全和信息建設(shè)工作中極其重要一環(huán),“國(guó)產(chǎn)化替代”是推進(jìn)媒體深度融合,構(gòu)建“新聞+政務(wù)服務(wù)商務(wù)”運(yùn)營(yíng)模式,全面實(shí)現(xiàn)主流媒體進(jìn)入主戰(zhàn)場(chǎng)過程中必須面對(duì)和解決的核心問題。
二、 國(guó)產(chǎn)化現(xiàn)狀
目前主要的國(guó)產(chǎn)化替代方案大致可以分為4大類:基于ArmV8架構(gòu),代表芯片有華為鯤鵬920、飛騰D2000;基于x86架構(gòu),代表芯片有海光HG、兆芯陸家嘴;基于MIPS+自主演進(jìn)LoognArch架構(gòu),代表芯片有龍芯3A4000、3A5000以及針對(duì)超算基于Alpha架構(gòu)的申威(曾今一度排名世界第一的超算“太湖之光”就是基于申威CPU)。因申威的特殊性,常規(guī)國(guó)產(chǎn)化替代不會(huì)使用到,不在本文的討論范圍內(nèi)。
由于歷史、技術(shù)等多方面原因目前能夠商用的國(guó)產(chǎn)化芯片基本都是基于購買國(guó)外早期CPU芯片架構(gòu)的授權(quán)進(jìn)行國(guó)產(chǎn)化重新設(shè)計(jì)、優(yōu)化并加入國(guó)密算法和特定安全芯片而成,近年來國(guó)內(nèi)在芯片設(shè)計(jì)研發(fā)領(lǐng)域取到了重大突破,很多優(yōu)秀的團(tuán)隊(duì)已經(jīng)可以設(shè)計(jì)研發(fā)世界一流的芯片,但國(guó)內(nèi)在晶圓、光刻機(jī)、封片等芯片生產(chǎn)關(guān)鍵環(huán)節(jié)一直處于“卡脖子”狀態(tài),無法自主批量生產(chǎn)14nm以下規(guī)格的芯片,加之西方國(guó)家出于國(guó)家間利益競(jìng)爭(zhēng),對(duì)我們?cè)O(shè)置各種技術(shù)壁壘。導(dǎo)致性能、功耗不錯(cuò)但需要代工的國(guó)產(chǎn)芯片供貨嚴(yán)重不足,一直處于“供不應(yīng)求”的狀態(tài),供貨周期漫長(zhǎng),部分高性能芯片長(zhǎng)期處于缺貨狀態(tài),而可以完全自主生產(chǎn)的國(guó)產(chǎn)芯片在性能、功耗又不盡人意。
另一方面各國(guó)產(chǎn)芯片廠家由于技術(shù)路線圖選擇的不盡相同和基于商業(yè)的考慮,對(duì)現(xiàn)有主流軟件生態(tài)的兼容性不佳,從操作系統(tǒng)、基礎(chǔ)軟件到應(yīng)用軟件均需要進(jìn)行專門的定制開發(fā)與適配,而目前完成定制適配的各類軟件只有很小的一部分,并且這些已經(jīng)完成適配的軟件,從界面UI、操作方式、性能、穩(wěn)定性等方面均與原軟件存在較大的差距。
圖1:國(guó)產(chǎn)主流CPU技術(shù)架構(gòu)演進(jìn)圖
三、 云報(bào)的實(shí)踐
近年來,云報(bào)集團(tuán)陸續(xù)承建了一批覆蓋全省的政務(wù)信息化、媒體融合項(xiàng)目,這些項(xiàng)目或多或少的涉及到“國(guó)產(chǎn)化替代”的問題。下面將從三個(gè)具有代表性的項(xiàng)目入手,對(duì)項(xiàng)目實(shí)施過程中所遇到的具體問題進(jìn)行探討。
1.項(xiàng)目一:某信息發(fā)布省級(jí)簽發(fā)平臺(tái)國(guó)產(chǎn)化升級(jí)改造
作為覆蓋全省的信息發(fā)布省級(jí)簽發(fā)平臺(tái)(以下簡(jiǎn)稱簽發(fā)平臺(tái)),對(duì)平臺(tái)和數(shù)據(jù)的安全可控有著極高的要求,本次簽發(fā)平臺(tái)的國(guó)產(chǎn)化升級(jí)改造,全方位使用自主可控的國(guó)產(chǎn)化軟硬件是一個(gè)必選項(xiàng),但如何在最大程度上使用國(guó)產(chǎn)化軟硬件的同時(shí),讓業(yè)務(wù)系統(tǒng)的性能、穩(wěn)定性、兼容性和終端用戶的使用習(xí)慣,保持盡可能的一致,是項(xiàng)目需要解決的核心問題。
簽發(fā)平臺(tái)建設(shè)初期鑒于當(dāng)時(shí)的國(guó)產(chǎn)化軟硬件的成熟度、上下游生態(tài)、性能和終端用戶兼容性等多方面的綜合考慮,最終簽發(fā)平臺(tái)的服務(wù)端和用戶端都選擇了非國(guó)產(chǎn)的Intel x86架構(gòu),在服務(wù)端選擇了國(guó)外主流Linux 64位操作系統(tǒng),數(shù)據(jù)通信傳輸加密則選擇當(dāng)時(shí)主流的加密套件TLS1.1+RSA2048+AES128,用戶端的權(quán)限管理USBKEY基于Windows操作系統(tǒng)進(jìn)行開發(fā),對(duì)用戶的身份識(shí)別和關(guān)鍵性操作進(jìn)行鑒權(quán)。
在整個(gè)簽發(fā)平臺(tái)的國(guó)產(chǎn)化升級(jí)改造中,我們需要對(duì)服務(wù)端、用戶端以及通信傳輸加密三個(gè)部分進(jìn)行相應(yīng)改造:
1)服務(wù)端的改造相對(duì)比較順利,在充分考慮平臺(tái)適配難度、遷移成本、軟硬件生態(tài)和后期運(yùn)維管理的便利性后,我們最終采用國(guó)產(chǎn)主流ARM芯片架構(gòu)+國(guó)產(chǎn)企業(yè)級(jí)Linux操作系統(tǒng)替換了原有的架構(gòu)。
2)而用戶端的國(guó)產(chǎn)化改造最大難點(diǎn)就在USBKEY上,在國(guó)產(chǎn)化操作系統(tǒng)上要實(shí)現(xiàn)和Widows平臺(tái)一樣成熟完善的用戶鑒權(quán),難度非常大,且開發(fā)周期漫長(zhǎng),經(jīng)過權(quán)衡再三,我們使用一個(gè)折中的方案:在用戶端使用國(guó)產(chǎn)x86架構(gòu)海光CPU+經(jīng)過審查的可信版Windows。
3)目前國(guó)內(nèi)已有開源且功能完善、兼容性良好的國(guó)密庫,在通信傳輸加密上,我們按照項(xiàng)目的實(shí)際需求,通過自主編譯開源國(guó)密庫源代碼完成了平臺(tái)內(nèi)網(wǎng)的通信加密套件的國(guó)密替換,具體加密套件為NTLS+SM2+SM4。在互聯(lián)網(wǎng)區(qū)域考慮到大量訪問還不支持國(guó)密,依然
保留TLS1.1+RSA2048+AES128加密套件。
圖2:內(nèi)網(wǎng)國(guó)密加密套件訪問情況
圖3:互聯(lián)網(wǎng)加密套件訪問情況
2.項(xiàng)目二:某重點(diǎn)信息數(shù)據(jù)庫平臺(tái)國(guó)密改造
2021年云報(bào)集團(tuán)承建了某重點(diǎn)信息數(shù)據(jù)庫省級(jí)和多個(gè)州市(含所轄縣)平臺(tái)的建設(shè)工作,平臺(tái)需要向上鏈接國(guó)家平臺(tái),向下聯(lián)通省、州市、縣三級(jí)。按照“邏輯統(tǒng)一,物理分離”的原則,實(shí)現(xiàn)縣級(jí)庫可通過數(shù)據(jù)接口逐級(jí)上報(bào)至國(guó)庫的要求。在項(xiàng)目相關(guān)要求和規(guī)范中,重點(diǎn)對(duì)數(shù)據(jù)上報(bào)接口和數(shù)據(jù)的加密提出了國(guó)產(chǎn)化替代要求,云報(bào)項(xiàng)目團(tuán)隊(duì)在對(duì)國(guó)密商密主要四種算法的SM1、SM2、SM3、SM4進(jìn)行了對(duì)比。SM1、SM4為對(duì)稱加密比較適合不需要對(duì)外公開密鑰的加密、SM2是非對(duì)稱加密適用于需要公開公鑰的加密、SM3是類似MD5的摘要加密。結(jié)合本項(xiàng)目的對(duì)接口和數(shù)據(jù)實(shí)際加密應(yīng)用的場(chǎng)景,SM1和SM4的對(duì)稱加密更適合項(xiàng)目加密要求,而SM1為不公開算法,需要專門加密芯片的進(jìn)行加解密的算法,并且性能收到加密芯片自身的限制,項(xiàng)目最終采用SM4作為平臺(tái)接口與數(shù)據(jù)的國(guó)密加密算法。
3.項(xiàng)目三:某省級(jí)信息供稿平臺(tái)國(guó)產(chǎn)化適配
此供稿平臺(tái)由云報(bào)集團(tuán)自主研發(fā),主要為全省各級(jí)部門提供信息通聯(lián)和供稿所用,采用B/S架構(gòu)設(shè)計(jì),基于PHP+PYTHON語言開發(fā),已安全、平穩(wěn)運(yùn)行了三年多。各使用單位VPN撥號(hào)認(rèn)證后,通過瀏覽器登錄平臺(tái)后完成各項(xiàng)操作。2021年上半年,各使用單位大量辦公電腦開始從windows系統(tǒng)更換為國(guó)產(chǎn)設(shè)備+國(guó)產(chǎn)操作系統(tǒng)——雖然我們?cè)谄脚_(tái)研發(fā)之初就已經(jīng)考慮了國(guó)產(chǎn)化適配的問題,并在VPN安全設(shè)備的選擇上,選擇了國(guó)內(nèi)國(guó)產(chǎn)化平臺(tái),適配完成度較高的安全廠家。但一些令人頭痛的兼容性問題依然隨之而來。
1)VPN客戶端在國(guó)產(chǎn)化平臺(tái)上適配與WINDOWS平臺(tái)上,存在著從界面到操作上的巨大差異,需要對(duì)原使用單位人員進(jìn)行重新培訓(xùn),整個(gè)更換過程耗時(shí)、費(fèi)力。
2)相對(duì)于WINDOWS平臺(tái)的穩(wěn)定性和完善的管理認(rèn)證功能,國(guó)產(chǎn)化平臺(tái)的VPN由于版本迭代少,適配周期相對(duì)倉促,穩(wěn)定性和功能性存在較明顯的不足——簡(jiǎn)單來說就是能用但不好用。
3)辦公級(jí)的國(guó)產(chǎn)化設(shè)備,性能依然是一個(gè)無法回避的問題,相對(duì)于原x86+windows平臺(tái),可同時(shí)操作的供稿平臺(tái)頁面和響應(yīng)時(shí)間均有下降,一定程度上影響到工作效率。
4)國(guó)產(chǎn)化系統(tǒng)原生搭配的瀏覽器與供稿平臺(tái)存在一定兼容性問題,且調(diào)試較為困難。
四、 國(guó)產(chǎn)化的云報(bào)思考
1.生態(tài)
相對(duì)于Intel、AMD、IBM、Apple等國(guó)外廠家數(shù)以億計(jì),琳瑯滿目的軟硬件生態(tài)而言,國(guó)產(chǎn)化的軟硬件的上下游生態(tài)就顯的十分可憐,簡(jiǎn)單從軟硬件兩個(gè)方面來看:
1)軟件方面:目前除政務(wù)領(lǐng)域和部分特殊行業(yè)外,使用國(guó)產(chǎn)化替代用戶并不多,需求也不強(qiáng)烈。導(dǎo)致眾多的軟件開發(fā)商主要的精力和服務(wù)對(duì)象依然是以Intel x86+Windows的受眾為主,在眾多軟件領(lǐng)域國(guó)產(chǎn)化還沒有適配可用的軟件,就算是關(guān)鍵核心領(lǐng)域也只有一兩款軟件可選。另外很多應(yīng)用軟件的國(guó)產(chǎn)化適配是針對(duì)某一個(gè)大型項(xiàng)目進(jìn)行的專門適配,通用性不高。
2)硬件方面:與軟件類似,因受眾規(guī)模相對(duì)較少,而適配開發(fā)難度、成本也無法降低,很多硬件廠商國(guó)產(chǎn)化動(dòng)力并不足,一些日常辦公使用的外設(shè),如打印機(jī)、掃描儀、攝像頭均需要購買為數(shù)不多的特定型號(hào),且安裝過程繁瑣。
2.兼容性
兼容性問題與生態(tài)息息相關(guān),正因國(guó)產(chǎn)化生態(tài)的不完善,也無統(tǒng)一的標(biāo)準(zhǔn),在目前國(guó)產(chǎn)化替代的各項(xiàng)目實(shí)施過程中,兼容性可以說是最大的障礙,這個(gè)兼容性不僅僅是指國(guó)產(chǎn)化與非國(guó)產(chǎn)化之間的問題,國(guó)產(chǎn)化之間因芯片架構(gòu)、技術(shù)實(shí)力、商業(yè)目的等諸多原因也存在著大量從底層到應(yīng)用層的各式各樣的兼容性問題。在云報(bào)項(xiàng)目實(shí)施過程中,曾今遇到過在兩臺(tái)硬件完全一樣的的國(guó)產(chǎn)設(shè)備上,操作系統(tǒng)底層內(nèi)核一樣,僅僅是因?yàn)榘l(fā)行版來自不同的兩個(gè)廠家,同樣的一個(gè)安裝包,一臺(tái)設(shè)備能安裝,另外一個(gè)設(shè)備就無法安裝——必須進(jìn)行專門的適配開發(fā)的尷尬情況。
3.性能
性能也是國(guó)產(chǎn)化一直無法回避的話題,相對(duì)早些年基本無法正常的使用的狀況來說,最近幾年國(guó)產(chǎn)化在性能方面取的了長(zhǎng)足進(jìn)步,甚至部分廠家服務(wù)器端的產(chǎn)品已經(jīng)逼近同時(shí)期國(guó)外主流廠家的性能。云報(bào)目前在用基于ArmV8架構(gòu)國(guó)產(chǎn)CPU的服務(wù)器在部分業(yè)務(wù)場(chǎng)景已經(jīng)可以完全替代原Intel的志強(qiáng)CPU。但整體來看,特別是桌面級(jí)產(chǎn)品,國(guó)產(chǎn)化的性能和功耗比與國(guó)外主流產(chǎn)品至少還有5年以上的差距。
4.投入
與生態(tài)、市場(chǎng)規(guī)模相關(guān),國(guó)產(chǎn)化整體使用成本要遠(yuǎn)高于非國(guó)產(chǎn)化方案,特別是在軟件方面。非國(guó)產(chǎn)化從操作系統(tǒng)、業(yè)務(wù)軟件、應(yīng)用軟件、數(shù)據(jù)庫、中間件等有著大量、高質(zhì)量且價(jià)格低廉的優(yōu)秀應(yīng)用軟件,同時(shí)很多優(yōu)秀軟件是完全開源并且免費(fèi)使用的,比如:超融合軟件Ovirt、分布式存儲(chǔ)軟件Ceph等。而絕大部分的國(guó)產(chǎn)化軟件從操作系統(tǒng)到應(yīng)用軟件均需要支付不低的費(fèi)用(包括瀏覽器是否支持國(guó)密也是需要按數(shù)量進(jìn)行單獨(dú)付費(fèi)),因此媒體行業(yè),在進(jìn)行國(guó)產(chǎn)化替代時(shí)的投入是一筆不小的費(fèi)用。如果沒有專項(xiàng)資金的支持,對(duì)實(shí)施單位而言壓力不小,從很大程度上也降低了主動(dòng)進(jìn)行國(guó)產(chǎn)化替代的意愿。云報(bào)集團(tuán)自有業(yè)務(wù)目前只進(jìn)行了國(guó)產(chǎn)化嘗試性測(cè)試,很大原因也基于資金投入壓力的考慮。
五、 國(guó)產(chǎn)化的展望
中國(guó)進(jìn)入新時(shí)代,世界格局風(fēng)云變幻,逐步完成網(wǎng)絡(luò)安全和信息化建設(shè)的國(guó)產(chǎn)化替代,是一條媒體行業(yè)在新時(shí)代轉(zhuǎn)型發(fā)展的必由之路。雖然目前國(guó)產(chǎn)化還有諸多不盡如人意的地方,但是“自主可控”的國(guó)產(chǎn)化是網(wǎng)絡(luò)安全的明天,相信已經(jīng)走完了從無到有,再到可用的“國(guó)產(chǎn)化”會(huì)變的更好。
參考文獻(xiàn):
[1] 飛騰產(chǎn)品文檔[EB/OL].https://www.phytium.com.cn/class/38,2022
[2] 鯤鵬社區(qū)[EB/OL].https://www.hikunpeng.com/,2022
[3] 兆芯產(chǎn)品文檔[EB/OL].
https://www.zhaoxin.com/zlxz.aspx?nid=31&typeid=64,2022
[4] 龍芯開源社區(qū)[EB/OL].http://www.loongnix.cn/index.php/首頁,2022
新聞技聯(lián)動(dòng)態(tài)
- 成功舉辦中國(guó)新聞技術(shù)工作者聯(lián)合會(huì)市縣融媒體分會(huì)年會(huì)暨換屆大會(huì) 2022-12-23
- 中國(guó)新聞技聯(lián)新聞信息標(biāo)準(zhǔn)化分會(huì) 2022年年會(huì)成功召開 2022-12-01
- 《機(jī)器生產(chǎn)內(nèi)容自動(dòng)化分級(jí)》團(tuán)體標(biāo)準(zhǔn) 正式發(fā)布實(shí)施 2022-12-01
- 延期通知:中國(guó)新聞技術(shù)工作者聯(lián)合會(huì) 縣市融媒體分會(huì) 2022 年學(xué)術(shù)年會(huì)暨技術(shù)交流會(huì) 2022-12-01
- 2022年中國(guó)新聞技術(shù)工作者聯(lián)合會(huì)學(xué)術(shù)年會(huì)在貴陽成功舉辦 2022-11-17
- 喜報(bào)│53個(gè)案例入選首批“技術(shù)賦能‘新聞+’推薦案例” 2022-11-17
- 重磅│19位新聞技術(shù)工作者獲此殊榮 2022年度“王選新聞科學(xué)技術(shù)獎(jiǎng)”人才獎(jiǎng)在貴陽頒獎(jiǎng) 2022-11-17
- 新品│速看哪三項(xiàng)傳媒技術(shù)創(chuàng)新產(chǎn)品發(fā)布 2022-11-17
- 2022年中國(guó)新聞技術(shù)工作者聯(lián)合會(huì)學(xué)術(shù)年會(huì)勝利開幕! 2022-11-17
- 啟動(dòng)│“中國(guó)新聞技聯(lián)”2.0版官網(wǎng)上線啦! 2022-11-17