國產(chǎn)化替代的實(shí)踐與思考——以云報集團(tuán)為例

2022/09/05-18:05 來源:

一、 總述

“沒有網(wǎng)絡(luò)安全就沒有國家安全”——自然也不會有媒體宣傳、出版、播出的生產(chǎn)安全。由于國家間利益沖突,以美國為首的西方國家形成聯(lián)盟,長期對我國實(shí)行嚴(yán)格的出口限制政策。并且進(jìn)口的CPU芯片等電子元器件可能存在致命漏洞或者后門(從2017年爆出Spectre幽靈漏洞可見一斑),這些漏洞后門可竊取我國設(shè)備的數(shù)據(jù)甚至摧毀設(shè)備,并可能進(jìn)一步通過網(wǎng)絡(luò)傳播病毒、木馬和蠕蟲,嚴(yán)重影響我國的網(wǎng)絡(luò)信息安全。信息安全建設(shè)中如果不能實(shí)現(xiàn)電子元器件的自主可控,則始終會受制于人、處于被動挨打的局面。

近年來隨著各級媒體改革發(fā)展的不斷深入以及相關(guān)網(wǎng)絡(luò)安全法律法規(guī)的不斷完善。構(gòu)建完善的網(wǎng)絡(luò)安全防護(hù)和應(yīng)急響應(yīng)體系,保障各生產(chǎn)業(yè)務(wù)系統(tǒng)高效、平穩(wěn)、安全的運(yùn)行,已經(jīng)成為媒體日常技術(shù)工作的核心組成部分。

網(wǎng)絡(luò)安全體系的構(gòu)建是一個龐大的系統(tǒng)工程,但在這個系統(tǒng)中,有一環(huán)因?yàn)樯鷳B(tài)、兼容性、性能、穩(wěn)定性和使用習(xí)慣等諸多問題,一直處于“任重而道遠(yuǎn)”的狀態(tài)——這就是“國產(chǎn)化替代”(本文所述國產(chǎn)化特指國產(chǎn)CPU芯片以及基于國產(chǎn)CPU芯片的軟硬件體系和國密商用密碼體系)。作為網(wǎng)絡(luò)安全和信息建設(shè)工作中極其重要一環(huán),“國產(chǎn)化替代”是推進(jìn)媒體深度融合,構(gòu)建“新聞+政務(wù)服務(wù)商務(wù)”運(yùn)營模式,全面實(shí)現(xiàn)主流媒體進(jìn)入主戰(zhàn)場過程中必須面對和解決的核心問題。

 

二、 國產(chǎn)化現(xiàn)狀

目前主要的國產(chǎn)化替代方案大致可以分為4大類:基于ArmV8架構(gòu),代表芯片有華為鯤鵬920、飛騰D2000;基于x86架構(gòu),代表芯片有海光HG、兆芯陸家嘴;基于MIPS+自主演進(jìn)LoognArch架構(gòu),代表芯片有龍芯3A4000、3A5000以及針對超算基于Alpha架構(gòu)的申威(曾今一度排名世界第一的超算“太湖之光”就是基于申威CPU)。因申威的特殊性,常規(guī)國產(chǎn)化替代不會使用到,不在本文的討論范圍內(nèi)。

由于歷史、技術(shù)等多方面原因目前能夠商用的國產(chǎn)化芯片基本都是基于購買國外早期CPU芯片架構(gòu)的授權(quán)進(jìn)行國產(chǎn)化重新設(shè)計(jì)、優(yōu)化并加入國密算法和特定安全芯片而成,近年來國內(nèi)在芯片設(shè)計(jì)研發(fā)領(lǐng)域取到了重大突破,很多優(yōu)秀的團(tuán)隊(duì)已經(jīng)可以設(shè)計(jì)研發(fā)世界一流的芯片,但國內(nèi)在晶圓、光刻機(jī)、封片等芯片生產(chǎn)關(guān)鍵環(huán)節(jié)一直處于“卡脖子”狀態(tài),無法自主批量生產(chǎn)14nm以下規(guī)格的芯片,加之西方國家出于國家間利益競爭,對我們設(shè)置各種技術(shù)壁壘。導(dǎo)致性能、功耗不錯但需要代工的國產(chǎn)芯片供貨嚴(yán)重不足,一直處于“供不應(yīng)求”的狀態(tài),供貨周期漫長,部分高性能芯片長期處于缺貨狀態(tài),而可以完全自主生產(chǎn)的國產(chǎn)芯片在性能、功耗又不盡人意。

另一方面各國產(chǎn)芯片廠家由于技術(shù)路線圖選擇的不盡相同和基于商業(yè)的考慮,對現(xiàn)有主流軟件生態(tài)的兼容性不佳,從操作系統(tǒng)、基礎(chǔ)軟件到應(yīng)用軟件均需要進(jìn)行專門的定制開發(fā)與適配,而目前完成定制適配的各類軟件只有很小的一部分,并且這些已經(jīng)完成適配的軟件,從界面UI、操作方式、性能、穩(wěn)定性等方面均與原軟件存在較大的差距。

圖片12.png


 


1:國產(chǎn)主流CPU技術(shù)架構(gòu)演進(jìn)圖

 

三、 云報的實(shí)踐

近年來,云報集團(tuán)陸續(xù)承建了一批覆蓋全省的政務(wù)信息化、媒體融合項(xiàng)目,這些項(xiàng)目或多或少的涉及到“國產(chǎn)化替代”的問題。下面將從三個具有代表性的項(xiàng)目入手,對項(xiàng)目實(shí)施過程中所遇到的具體問題進(jìn)行探討。

1.項(xiàng)目一:某信息發(fā)布省級簽發(fā)平臺國產(chǎn)化升級改造

作為覆蓋全省的信息發(fā)布省級簽發(fā)平臺(以下簡稱簽發(fā)平臺),對平臺和數(shù)據(jù)的安全可控有著極高的要求,本次簽發(fā)平臺的國產(chǎn)化升級改造,全方位使用自主可控的國產(chǎn)化軟硬件是一個必選項(xiàng),但如何在最大程度上使用國產(chǎn)化軟硬件的同時,讓業(yè)務(wù)系統(tǒng)的性能、穩(wěn)定性、兼容性和終端用戶的使用習(xí)慣,保持盡可能的一致,是項(xiàng)目需要解決的核心問題。

簽發(fā)平臺建設(shè)初期鑒于當(dāng)時的國產(chǎn)化軟硬件的成熟度、上下游生態(tài)、性能和終端用戶兼容性等多方面的綜合考慮,最終簽發(fā)平臺的服務(wù)端和用戶端都選擇了非國產(chǎn)的Intel x86架構(gòu),在服務(wù)端選擇了國外主流Linux 64位操作系統(tǒng),數(shù)據(jù)通信傳輸加密則選擇當(dāng)時主流的加密套件TLS1.1+RSA2048+AES128,用戶端的權(quán)限管理USBKEY基于Windows操作系統(tǒng)進(jìn)行開發(fā),對用戶的身份識別和關(guān)鍵性操作進(jìn)行鑒權(quán)。

在整個簽發(fā)平臺的國產(chǎn)化升級改造中,我們需要對服務(wù)端、用戶端以及通信傳輸加密三個部分進(jìn)行相應(yīng)改造:

1)服務(wù)端的改造相對比較順利,在充分考慮平臺適配難度、遷移成本、軟硬件生態(tài)和后期運(yùn)維管理的便利性后,我們最終采用國產(chǎn)主流ARM芯片架構(gòu)+國產(chǎn)企業(yè)級Linux操作系統(tǒng)替換了原有的架構(gòu)。

2)而用戶端的國產(chǎn)化改造最大難點(diǎn)就在USBKEY上,在國產(chǎn)化操作系統(tǒng)上要實(shí)現(xiàn)和Widows平臺一樣成熟完善的用戶鑒權(quán),難度非常大,且開發(fā)周期漫長,經(jīng)過權(quán)衡再三,我們使用一個折中的方案:在用戶端使用國產(chǎn)x86架構(gòu)海光CPU+經(jīng)過審查的可信版Windows。

3)目前國內(nèi)已有開源且功能完善、兼容性良好的國密庫,在通信傳輸加密上,我們按照項(xiàng)目的實(shí)際需求,通過自主編譯開源國密庫源代碼完成了平臺內(nèi)網(wǎng)的通信加密套件的國密替換,具體加密套件為NTLS+SM2+SM4。在互聯(lián)網(wǎng)區(qū)域考慮到大量訪問還不支持國密,依然



保留TLS1.1+RSA2048+AES128加密套件。

圖片13.png

 

2:內(nèi)網(wǎng)國密加密套件訪問情況

 


圖片14.png


                        圖3:互聯(lián)網(wǎng)加密套件訪問情況


 

2.項(xiàng)目二:某重點(diǎn)信息數(shù)據(jù)庫平臺國密改造

2021年云報集團(tuán)承建了某重點(diǎn)信息數(shù)據(jù)庫省級和多個州市(含所轄縣)平臺的建設(shè)工作,平臺需要向上鏈接國家平臺,向下聯(lián)通省、州市、縣三級。按照“邏輯統(tǒng)一,物理分離”的原則,實(shí)現(xiàn)縣級庫可通過數(shù)據(jù)接口逐級上報至國庫的要求。在項(xiàng)目相關(guān)要求和規(guī)范中,重點(diǎn)對數(shù)據(jù)上報接口和數(shù)據(jù)的加密提出了國產(chǎn)化替代要求,云報項(xiàng)目團(tuán)隊(duì)在對國密商密主要四種算法的SM1、SM2、SM3、SM4進(jìn)行了對比。SM1、SM4為對稱加密比較適合不需要對外公開密鑰的加密、SM2是非對稱加密適用于需要公開公鑰的加密、SM3是類似MD5的摘要加密。結(jié)合本項(xiàng)目的對接口和數(shù)據(jù)實(shí)際加密應(yīng)用的場景,SM1和SM4的對稱加密更適合項(xiàng)目加密要求,而SM1為不公開算法,需要專門加密芯片的進(jìn)行加解密的算法,并且性能收到加密芯片自身的限制,項(xiàng)目最終采用SM4作為平臺接口與數(shù)據(jù)的國密加密算法。

3.項(xiàng)目三:某省級信息供稿平臺國產(chǎn)化適配

此供稿平臺由云報集團(tuán)自主研發(fā),主要為全省各級部門提供信息通聯(lián)和供稿所用,采用B/S架構(gòu)設(shè)計(jì),基于PHP+PYTHON語言開發(fā),已安全、平穩(wěn)運(yùn)行了三年多。各使用單位VPN撥號認(rèn)證后,通過瀏覽器登錄平臺后完成各項(xiàng)操作。2021年上半年,各使用單位大量辦公電腦開始從windows系統(tǒng)更換為國產(chǎn)設(shè)備+國產(chǎn)操作系統(tǒng)——雖然我們在平臺研發(fā)之初就已經(jīng)考慮了國產(chǎn)化適配的問題,并在VPN安全設(shè)備的選擇上,選擇了國內(nèi)國產(chǎn)化平臺,適配完成度較高的安全廠家。但一些令人頭痛的兼容性問題依然隨之而來。

1)VPN客戶端在國產(chǎn)化平臺上適配與WINDOWS平臺上,存在著從界面到操作上的巨大差異,需要對原使用單位人員進(jìn)行重新培訓(xùn),整個更換過程耗時、費(fèi)力。

2)相對于WINDOWS平臺的穩(wěn)定性和完善的管理認(rèn)證功能,國產(chǎn)化平臺的VPN由于版本迭代少,適配周期相對倉促,穩(wěn)定性和功能性存在較明顯的不足——簡單來說就是能用但不好用。

3)辦公級的國產(chǎn)化設(shè)備,性能依然是一個無法回避的問題,相對于原x86+windows平臺,可同時操作的供稿平臺頁面和響應(yīng)時間均有下降,一定程度上影響到工作效率。

4)國產(chǎn)化系統(tǒng)原生搭配的瀏覽器與供稿平臺存在一定兼容性問題,且調(diào)試較為困難。

 

四、 國產(chǎn)化的云報思考

1.生態(tài)

相對于Intel、AMD、IBM、Apple等國外廠家數(shù)以億計(jì),琳瑯滿目的軟硬件生態(tài)而言,國產(chǎn)化的軟硬件的上下游生態(tài)就顯的十分可憐,簡單從軟硬件兩個方面來看:

1)軟件方面:目前除政務(wù)領(lǐng)域和部分特殊行業(yè)外,使用國產(chǎn)化替代用戶并不多,需求也不強(qiáng)烈。導(dǎo)致眾多的軟件開發(fā)商主要的精力和服務(wù)對象依然是以Intel x86+Windows的受眾為主,在眾多軟件領(lǐng)域國產(chǎn)化還沒有適配可用的軟件,就算是關(guān)鍵核心領(lǐng)域也只有一兩款軟件可選。另外很多應(yīng)用軟件的國產(chǎn)化適配是針對某一個大型項(xiàng)目進(jìn)行的專門適配,通用性不高。

2)硬件方面:與軟件類似,因受眾規(guī)模相對較少,而適配開發(fā)難度、成本也無法降低,很多硬件廠商國產(chǎn)化動力并不足,一些日常辦公使用的外設(shè),如打印機(jī)、掃描儀、攝像頭均需要購買為數(shù)不多的特定型號,且安裝過程繁瑣。

2.兼容性

兼容性問題與生態(tài)息息相關(guān),正因國產(chǎn)化生態(tài)的不完善,也無統(tǒng)一的標(biāo)準(zhǔn),在目前國產(chǎn)化替代的各項(xiàng)目實(shí)施過程中,兼容性可以說是最大的障礙,這個兼容性不僅僅是指國產(chǎn)化與非國產(chǎn)化之間的問題,國產(chǎn)化之間因芯片架構(gòu)、技術(shù)實(shí)力、商業(yè)目的等諸多原因也存在著大量從底層到應(yīng)用層的各式各樣的兼容性問題。在云報項(xiàng)目實(shí)施過程中,曾今遇到過在兩臺硬件完全一樣的的國產(chǎn)設(shè)備上,操作系統(tǒng)底層內(nèi)核一樣,僅僅是因?yàn)榘l(fā)行版來自不同的兩個廠家,同樣的一個安裝包,一臺設(shè)備能安裝,另外一個設(shè)備就無法安裝——必須進(jìn)行專門的適配開發(fā)的尷尬情況。

3.性能

性能也是國產(chǎn)化一直無法回避的話題,相對早些年基本無法正常的使用的狀況來說,最近幾年國產(chǎn)化在性能方面取的了長足進(jìn)步,甚至部分廠家服務(wù)器端的產(chǎn)品已經(jīng)逼近同時期國外主流廠家的性能。云報目前在用基于ArmV8架構(gòu)國產(chǎn)CPU的服務(wù)器在部分業(yè)務(wù)場景已經(jīng)可以完全替代原Intel的志強(qiáng)CPU。但整體來看,特別是桌面級產(chǎn)品,國產(chǎn)化的性能和功耗比與國外主流產(chǎn)品至少還有5年以上的差距。

4.投入

與生態(tài)、市場規(guī)模相關(guān),國產(chǎn)化整體使用成本要遠(yuǎn)高于非國產(chǎn)化方案,特別是在軟件方面。非國產(chǎn)化從操作系統(tǒng)、業(yè)務(wù)軟件、應(yīng)用軟件、數(shù)據(jù)庫、中間件等有著大量、高質(zhì)量且價格低廉的優(yōu)秀應(yīng)用軟件,同時很多優(yōu)秀軟件是完全開源并且免費(fèi)使用的,比如:超融合軟件Ovirt、分布式存儲軟件Ceph等。而絕大部分的國產(chǎn)化軟件從操作系統(tǒng)到應(yīng)用軟件均需要支付不低的費(fèi)用(包括瀏覽器是否支持國密也是需要按數(shù)量進(jìn)行單獨(dú)付費(fèi)),因此媒體行業(yè),在進(jìn)行國產(chǎn)化替代時的投入是一筆不小的費(fèi)用。如果沒有專項(xiàng)資金的支持,對實(shí)施單位而言壓力不小,從很大程度上也降低了主動進(jìn)行國產(chǎn)化替代的意愿。云報集團(tuán)自有業(yè)務(wù)目前只進(jìn)行了國產(chǎn)化嘗試性測試,很大原因也基于資金投入壓力的考慮。

 

五、 國產(chǎn)化的展望

中國進(jìn)入新時代,世界格局風(fēng)云變幻,逐步完成網(wǎng)絡(luò)安全和信息化建設(shè)的國產(chǎn)化替代,是一條媒體行業(yè)在新時代轉(zhuǎn)型發(fā)展的必由之路。雖然目前國產(chǎn)化還有諸多不盡如人意的地方,但是“自主可控”的國產(chǎn)化是網(wǎng)絡(luò)安全的明天,相信已經(jīng)走完了從無到有,再到可用的“國產(chǎn)化”會變的更好。

 

參考文獻(xiàn):

[1] 飛騰產(chǎn)品文檔[EB/OL].https://www.phytium.com.cn/class/38,2022

[2] 鯤鵬社區(qū)[EB/OL].https://www.hikunpeng.com/,2022

[3] 兆芯產(chǎn)品文檔[EB/OL].

https://www.zhaoxin.com/zlxz.aspx?nid=31&typeid=64,2022

[4] 龍芯開源社區(qū)[EB/OL].http://www.loongnix.cn/index.php/首頁,2022