國產(chǎn)化替代的實踐與思考——以云報集團為例
一、 總述
“沒有網(wǎng)絡(luò)安全就沒有國家安全”——自然也不會有媒體宣傳、出版、播出的生產(chǎn)安全。由于國家間利益沖突,以美國為首的西方國家形成聯(lián)盟,長期對我國實行嚴格的出口限制政策。并且進口的CPU芯片等電子元器件可能存在致命漏洞或者后門(從2017年爆出Spectre幽靈漏洞可見一斑),這些漏洞后門可竊取我國設(shè)備的數(shù)據(jù)甚至摧毀設(shè)備,并可能進一步通過網(wǎng)絡(luò)傳播病毒、木馬和蠕蟲,嚴重影響我國的網(wǎng)絡(luò)信息安全。信息安全建設(shè)中如果不能實現(xiàn)電子元器件的自主可控,則始終會受制于人、處于被動挨打的局面。
近年來隨著各級媒體改革發(fā)展的不斷深入以及相關(guān)網(wǎng)絡(luò)安全法律法規(guī)的不斷完善。構(gòu)建完善的網(wǎng)絡(luò)安全防護和應(yīng)急響應(yīng)體系,保障各生產(chǎn)業(yè)務(wù)系統(tǒng)高效、平穩(wěn)、安全的運行,已經(jīng)成為媒體日常技術(shù)工作的核心組成部分。
網(wǎng)絡(luò)安全體系的構(gòu)建是一個龐大的系統(tǒng)工程,但在這個系統(tǒng)中,有一環(huán)因為生態(tài)、兼容性、性能、穩(wěn)定性和使用習(xí)慣等諸多問題,一直處于“任重而道遠”的狀態(tài)——這就是“國產(chǎn)化替代”(本文所述國產(chǎn)化特指國產(chǎn)CPU芯片以及基于國產(chǎn)CPU芯片的軟硬件體系和國密商用密碼體系)。作為網(wǎng)絡(luò)安全和信息建設(shè)工作中極其重要一環(huán),“國產(chǎn)化替代”是推進媒體深度融合,構(gòu)建“新聞+政務(wù)服務(wù)商務(wù)”運營模式,全面實現(xiàn)主流媒體進入主戰(zhàn)場過程中必須面對和解決的核心問題。
二、 國產(chǎn)化現(xiàn)狀
目前主要的國產(chǎn)化替代方案大致可以分為4大類:基于ArmV8架構(gòu),代表芯片有華為鯤鵬920、飛騰D2000;基于x86架構(gòu),代表芯片有海光HG、兆芯陸家嘴;基于MIPS+自主演進LoognArch架構(gòu),代表芯片有龍芯3A4000、3A5000以及針對超算基于Alpha架構(gòu)的申威(曾今一度排名世界第一的超算“太湖之光”就是基于申威CPU)。因申威的特殊性,常規(guī)國產(chǎn)化替代不會使用到,不在本文的討論范圍內(nèi)。
由于歷史、技術(shù)等多方面原因目前能夠商用的國產(chǎn)化芯片基本都是基于購買國外早期CPU芯片架構(gòu)的授權(quán)進行國產(chǎn)化重新設(shè)計、優(yōu)化并加入國密算法和特定安全芯片而成,近年來國內(nèi)在芯片設(shè)計研發(fā)領(lǐng)域取到了重大突破,很多優(yōu)秀的團隊已經(jīng)可以設(shè)計研發(fā)世界一流的芯片,但國內(nèi)在晶圓、光刻機、封片等芯片生產(chǎn)關(guān)鍵環(huán)節(jié)一直處于“卡脖子”狀態(tài),無法自主批量生產(chǎn)14nm以下規(guī)格的芯片,加之西方國家出于國家間利益競爭,對我們設(shè)置各種技術(shù)壁壘。導(dǎo)致性能、功耗不錯但需要代工的國產(chǎn)芯片供貨嚴重不足,一直處于“供不應(yīng)求”的狀態(tài),供貨周期漫長,部分高性能芯片長期處于缺貨狀態(tài),而可以完全自主生產(chǎn)的國產(chǎn)芯片在性能、功耗又不盡人意。
另一方面各國產(chǎn)芯片廠家由于技術(shù)路線圖選擇的不盡相同和基于商業(yè)的考慮,對現(xiàn)有主流軟件生態(tài)的兼容性不佳,從操作系統(tǒng)、基礎(chǔ)軟件到應(yīng)用軟件均需要進行專門的定制開發(fā)與適配,而目前完成定制適配的各類軟件只有很小的一部分,并且這些已經(jīng)完成適配的軟件,從界面UI、操作方式、性能、穩(wěn)定性等方面均與原軟件存在較大的差距。
圖1:國產(chǎn)主流CPU技術(shù)架構(gòu)演進圖
三、 云報的實踐
近年來,云報集團陸續(xù)承建了一批覆蓋全省的政務(wù)信息化、媒體融合項目,這些項目或多或少的涉及到“國產(chǎn)化替代”的問題。下面將從三個具有代表性的項目入手,對項目實施過程中所遇到的具體問題進行探討。
1.項目一:某信息發(fā)布省級簽發(fā)平臺國產(chǎn)化升級改造
作為覆蓋全省的信息發(fā)布省級簽發(fā)平臺(以下簡稱簽發(fā)平臺),對平臺和數(shù)據(jù)的安全可控有著極高的要求,本次簽發(fā)平臺的國產(chǎn)化升級改造,全方位使用自主可控的國產(chǎn)化軟硬件是一個必選項,但如何在最大程度上使用國產(chǎn)化軟硬件的同時,讓業(yè)務(wù)系統(tǒng)的性能、穩(wěn)定性、兼容性和終端用戶的使用習(xí)慣,保持盡可能的一致,是項目需要解決的核心問題。
簽發(fā)平臺建設(shè)初期鑒于當(dāng)時的國產(chǎn)化軟硬件的成熟度、上下游生態(tài)、性能和終端用戶兼容性等多方面的綜合考慮,最終簽發(fā)平臺的服務(wù)端和用戶端都選擇了非國產(chǎn)的Intel x86架構(gòu),在服務(wù)端選擇了國外主流Linux 64位操作系統(tǒng),數(shù)據(jù)通信傳輸加密則選擇當(dāng)時主流的加密套件TLS1.1+RSA2048+AES128,用戶端的權(quán)限管理USBKEY基于Windows操作系統(tǒng)進行開發(fā),對用戶的身份識別和關(guān)鍵性操作進行鑒權(quán)。
在整個簽發(fā)平臺的國產(chǎn)化升級改造中,我們需要對服務(wù)端、用戶端以及通信傳輸加密三個部分進行相應(yīng)改造:
1)服務(wù)端的改造相對比較順利,在充分考慮平臺適配難度、遷移成本、軟硬件生態(tài)和后期運維管理的便利性后,我們最終采用國產(chǎn)主流ARM芯片架構(gòu)+國產(chǎn)企業(yè)級Linux操作系統(tǒng)替換了原有的架構(gòu)。
2)而用戶端的國產(chǎn)化改造最大難點就在USBKEY上,在國產(chǎn)化操作系統(tǒng)上要實現(xiàn)和Widows平臺一樣成熟完善的用戶鑒權(quán),難度非常大,且開發(fā)周期漫長,經(jīng)過權(quán)衡再三,我們使用一個折中的方案:在用戶端使用國產(chǎn)x86架構(gòu)海光CPU+經(jīng)過審查的可信版Windows。
3)目前國內(nèi)已有開源且功能完善、兼容性良好的國密庫,在通信傳輸加密上,我們按照項目的實際需求,通過自主編譯開源國密庫源代碼完成了平臺內(nèi)網(wǎng)的通信加密套件的國密替換,具體加密套件為NTLS+SM2+SM4。在互聯(lián)網(wǎng)區(qū)域考慮到大量訪問還不支持國密,依然
保留TLS1.1+RSA2048+AES128加密套件。
圖2:內(nèi)網(wǎng)國密加密套件訪問情況
圖3:互聯(lián)網(wǎng)加密套件訪問情況
2.項目二:某重點信息數(shù)據(jù)庫平臺國密改造
2021年云報集團承建了某重點信息數(shù)據(jù)庫省級和多個州市(含所轄縣)平臺的建設(shè)工作,平臺需要向上鏈接國家平臺,向下聯(lián)通省、州市、縣三級。按照“邏輯統(tǒng)一,物理分離”的原則,實現(xiàn)縣級庫可通過數(shù)據(jù)接口逐級上報至國庫的要求。在項目相關(guān)要求和規(guī)范中,重點對數(shù)據(jù)上報接口和數(shù)據(jù)的加密提出了國產(chǎn)化替代要求,云報項目團隊在對國密商密主要四種算法的SM1、SM2、SM3、SM4進行了對比。SM1、SM4為對稱加密比較適合不需要對外公開密鑰的加密、SM2是非對稱加密適用于需要公開公鑰的加密、SM3是類似MD5的摘要加密。結(jié)合本項目的對接口和數(shù)據(jù)實際加密應(yīng)用的場景,SM1和SM4的對稱加密更適合項目加密要求,而SM1為不公開算法,需要專門加密芯片的進行加解密的算法,并且性能收到加密芯片自身的限制,項目最終采用SM4作為平臺接口與數(shù)據(jù)的國密加密算法。
3.項目三:某省級信息供稿平臺國產(chǎn)化適配
此供稿平臺由云報集團自主研發(fā),主要為全省各級部門提供信息通聯(lián)和供稿所用,采用B/S架構(gòu)設(shè)計,基于PHP+PYTHON語言開發(fā),已安全、平穩(wěn)運行了三年多。各使用單位VPN撥號認證后,通過瀏覽器登錄平臺后完成各項操作。2021年上半年,各使用單位大量辦公電腦開始從windows系統(tǒng)更換為國產(chǎn)設(shè)備+國產(chǎn)操作系統(tǒng)——雖然我們在平臺研發(fā)之初就已經(jīng)考慮了國產(chǎn)化適配的問題,并在VPN安全設(shè)備的選擇上,選擇了國內(nèi)國產(chǎn)化平臺,適配完成度較高的安全廠家。但一些令人頭痛的兼容性問題依然隨之而來。
1)VPN客戶端在國產(chǎn)化平臺上適配與WINDOWS平臺上,存在著從界面到操作上的巨大差異,需要對原使用單位人員進行重新培訓(xùn),整個更換過程耗時、費力。
2)相對于WINDOWS平臺的穩(wěn)定性和完善的管理認證功能,國產(chǎn)化平臺的VPN由于版本迭代少,適配周期相對倉促,穩(wěn)定性和功能性存在較明顯的不足——簡單來說就是能用但不好用。
3)辦公級的國產(chǎn)化設(shè)備,性能依然是一個無法回避的問題,相對于原x86+windows平臺,可同時操作的供稿平臺頁面和響應(yīng)時間均有下降,一定程度上影響到工作效率。
4)國產(chǎn)化系統(tǒng)原生搭配的瀏覽器與供稿平臺存在一定兼容性問題,且調(diào)試較為困難。
四、 國產(chǎn)化的云報思考
1.生態(tài)
相對于Intel、AMD、IBM、Apple等國外廠家數(shù)以億計,琳瑯滿目的軟硬件生態(tài)而言,國產(chǎn)化的軟硬件的上下游生態(tài)就顯的十分可憐,簡單從軟硬件兩個方面來看:
1)軟件方面:目前除政務(wù)領(lǐng)域和部分特殊行業(yè)外,使用國產(chǎn)化替代用戶并不多,需求也不強烈。導(dǎo)致眾多的軟件開發(fā)商主要的精力和服務(wù)對象依然是以Intel x86+Windows的受眾為主,在眾多軟件領(lǐng)域國產(chǎn)化還沒有適配可用的軟件,就算是關(guān)鍵核心領(lǐng)域也只有一兩款軟件可選。另外很多應(yīng)用軟件的國產(chǎn)化適配是針對某一個大型項目進行的專門適配,通用性不高。
2)硬件方面:與軟件類似,因受眾規(guī)模相對較少,而適配開發(fā)難度、成本也無法降低,很多硬件廠商國產(chǎn)化動力并不足,一些日常辦公使用的外設(shè),如打印機、掃描儀、攝像頭均需要購買為數(shù)不多的特定型號,且安裝過程繁瑣。
2.兼容性
兼容性問題與生態(tài)息息相關(guān),正因國產(chǎn)化生態(tài)的不完善,也無統(tǒng)一的標(biāo)準(zhǔn),在目前國產(chǎn)化替代的各項目實施過程中,兼容性可以說是最大的障礙,這個兼容性不僅僅是指國產(chǎn)化與非國產(chǎn)化之間的問題,國產(chǎn)化之間因芯片架構(gòu)、技術(shù)實力、商業(yè)目的等諸多原因也存在著大量從底層到應(yīng)用層的各式各樣的兼容性問題。在云報項目實施過程中,曾今遇到過在兩臺硬件完全一樣的的國產(chǎn)設(shè)備上,操作系統(tǒng)底層內(nèi)核一樣,僅僅是因為發(fā)行版來自不同的兩個廠家,同樣的一個安裝包,一臺設(shè)備能安裝,另外一個設(shè)備就無法安裝——必須進行專門的適配開發(fā)的尷尬情況。
3.性能
性能也是國產(chǎn)化一直無法回避的話題,相對早些年基本無法正常的使用的狀況來說,最近幾年國產(chǎn)化在性能方面取的了長足進步,甚至部分廠家服務(wù)器端的產(chǎn)品已經(jīng)逼近同時期國外主流廠家的性能。云報目前在用基于ArmV8架構(gòu)國產(chǎn)CPU的服務(wù)器在部分業(yè)務(wù)場景已經(jīng)可以完全替代原Intel的志強CPU。但整體來看,特別是桌面級產(chǎn)品,國產(chǎn)化的性能和功耗比與國外主流產(chǎn)品至少還有5年以上的差距。
4.投入
與生態(tài)、市場規(guī)模相關(guān),國產(chǎn)化整體使用成本要遠高于非國產(chǎn)化方案,特別是在軟件方面。非國產(chǎn)化從操作系統(tǒng)、業(yè)務(wù)軟件、應(yīng)用軟件、數(shù)據(jù)庫、中間件等有著大量、高質(zhì)量且價格低廉的優(yōu)秀應(yīng)用軟件,同時很多優(yōu)秀軟件是完全開源并且免費使用的,比如:超融合軟件Ovirt、分布式存儲軟件Ceph等。而絕大部分的國產(chǎn)化軟件從操作系統(tǒng)到應(yīng)用軟件均需要支付不低的費用(包括瀏覽器是否支持國密也是需要按數(shù)量進行單獨付費),因此媒體行業(yè),在進行國產(chǎn)化替代時的投入是一筆不小的費用。如果沒有專項資金的支持,對實施單位而言壓力不小,從很大程度上也降低了主動進行國產(chǎn)化替代的意愿。云報集團自有業(yè)務(wù)目前只進行了國產(chǎn)化嘗試性測試,很大原因也基于資金投入壓力的考慮。
五、 國產(chǎn)化的展望
中國進入新時代,世界格局風(fēng)云變幻,逐步完成網(wǎng)絡(luò)安全和信息化建設(shè)的國產(chǎn)化替代,是一條媒體行業(yè)在新時代轉(zhuǎn)型發(fā)展的必由之路。雖然目前國產(chǎn)化還有諸多不盡如人意的地方,但是“自主可控”的國產(chǎn)化是網(wǎng)絡(luò)安全的明天,相信已經(jīng)走完了從無到有,再到可用的“國產(chǎn)化”會變的更好。
參考文獻:
[1] 飛騰產(chǎn)品文檔[EB/OL].https://www.phytium.com.cn/class/38,2022
[2] 鯤鵬社區(qū)[EB/OL].https://www.hikunpeng.com/,2022
[3] 兆芯產(chǎn)品文檔[EB/OL].
https://www.zhaoxin.com/zlxz.aspx?nid=31&typeid=64,2022
[4] 龍芯開源社區(qū)[EB/OL].http://www.loongnix.cn/index.php/首頁,2022
新聞技聯(lián)動態(tài)
- 成功舉辦中國新聞技術(shù)工作者聯(lián)合會市縣融媒體分會年會暨換屆大會 2022-12-23
- 中國新聞技聯(lián)新聞信息標(biāo)準(zhǔn)化分會 2022年年會成功召開 2022-12-01
- 《機器生產(chǎn)內(nèi)容自動化分級》團體標(biāo)準(zhǔn) 正式發(fā)布實施 2022-12-01
- 延期通知:中國新聞技術(shù)工作者聯(lián)合會 縣市融媒體分會 2022 年學(xué)術(shù)年會暨技術(shù)交流會 2022-12-01
- 2022年中國新聞技術(shù)工作者聯(lián)合會學(xué)術(shù)年會在貴陽成功舉辦 2022-11-17
- 喜報│53個案例入選首批“技術(shù)賦能‘新聞+’推薦案例” 2022-11-17
- 重磅│19位新聞技術(shù)工作者獲此殊榮 2022年度“王選新聞科學(xué)技術(shù)獎”人才獎在貴陽頒獎 2022-11-17
- 新品│速看哪三項傳媒技術(shù)創(chuàng)新產(chǎn)品發(fā)布 2022-11-17
- 2022年中國新聞技術(shù)工作者聯(lián)合會學(xué)術(shù)年會勝利開幕! 2022-11-17
- 啟動│“中國新聞技聯(lián)”2.0版官網(wǎng)上線啦! 2022-11-17