一直以來，中國在信息技術領域普遍存在產業發展受制于人、信息安全受制于人的問題。而前段時間沸沸揚揚的中興事件則暴露出中國ICT產業極大的依賴性——在核心技術和產業鏈層面不同程度上存在受制于人的問題。雖然現階段中國科技公司無法做到對美國供應商的全部替換，但在局部領域，自主技術是否能實現國產化替換呢？

    觀察者網日前專訪了北京中科網威信息技術有限公司副總裁李源，李源表示，在網絡安全領域，我國自主研發的CPU已經能夠替換國外CPU。

    李源介紹了擁有完整自主知識產權的國產CPU申威在網絡安全領域的產業化情況，并說明了申威能在哪些方面替換美國CPU（申威更側重于超算領域，由申威搭建的全自主超算系統理論峰值高達100P）。中科網威公司是采用申威芯片開發網絡安全產品的公司，是申威產業聯盟的一員，創立于1999年，其前身是中科院高能物理研究所“網威安全工作室”，是國內最早從事網絡安全產品技術研發的企業。從2010年開始，中科網威就積極布局基于申威的安全產品研發，并為此打造了一個全新的產品品牌——中科神威。

 用在神威藍光超算的申威CPU  


SW411是國內第一款SPEC2000 int分值超過1000分的國產處理器

    觀察者網：什么是防火墻？有什么作用？

    李源：一種網絡訪問控制設備，置于不同網絡安全域的邊界，它是不同網絡安全域間通信流的唯一通道，能根據安全策略控制（允許、拒絕、監視、記錄）進出網絡的訪問行為。

    觀察者網：防火墻是怎樣保障信息安全的？

    李源：根據用戶預先配置的安全控制策略執行對數據包識別與轉發（通過或拒絕）。

    觀察者網：防火墻主要有哪些性能指標？


    李源：吞吐量、時延、丟包率、每秒并發連接數、每秒新建連接數。

    觀察者網：防火墻有哪些功能模塊？

    李源：NAT（網絡地址轉換）、VPN（虛擬專用網）、抗拒絕服務攻擊、內容過濾、防病毒、反垃圾郵件等。

    觀察者網：防火墻有哪些局限性？

    李源：一是不能防范不經過防火墻的攻擊。二是無法防止來自內部的攻擊。三是不能關閉需提供對外服務的端口。四是防火墻自身也可能存在安全漏洞。

    觀察者網：國內防火墻中，使用CPU主要是哪些？

    李源：所謂國內防火墻，具體分為兩種品類，一種是以國外X86芯片為硬件核心的傳統防火墻；一種是以龍芯、申威芯片為硬件核心的自主可控防火墻。

    觀察者網：國產防火墻在軟件方面實現國產化了么？自主可控防火墻是如何演進的？

    李源：國產防火墻（包括上述兩類）在軟件方面已實現國產化。

    我國網絡安全產品自主可控的發展歷程可以分為三個階段：一是“無”自主可控階段，即軟、硬件均為國外研發生產；二是“半”自主可控階段，即采用自主研發的軟件和基于國外CPU的硬件；三是“全”自主可控階段，即軟件、硬件均實現國產化。

    當前，我國絕大多數網絡安全產品，處于“半”自主可控階段。通過采用基于開源Linux的、經過裁剪的操作系統，以及自主研發的上層安全應用軟件，實現了軟件方面的自主可控；但包括CPU在內的硬件核心部件幾乎都來自境外，自身安全性方面存在著嚴重的失控風險。

    近年來，國產CPU在設計能力和生產工藝方面都取得了長足進步。隨著多核技術日漸成熟與深入應用，國產CPU性能有了較大提升，為進入“全”自主可控階段打下了堅實的基礎。基于國產申威CPU的中科神威系列安全產品也由此應運而生。

    觀察者網：那使用國外CPU的防火墻安全性怎樣？

    李源：通過對某些國外CPU的嚴格測試，可以確認存在功能不明確的“多余”模塊，它不是一般意義的調試接口，而是由特定的CPU芯片引腳控制，可讀寫CPU內部狀態寄存器、讀寫指定存儲區域、激活特定的微代碼段執行某個處理流程、并且可以對CPU進行復位。

    同時，還發現其存在未公開指令，包括加解密、浮點操作在內共計二十余條，其中，有三條指令在用戶模式就可以使機器死機或重啟，作用機制直接穿透各種軟件保護措施，防護軟件不能感知；普通應用程序中嵌入一條即可使系統宕機。

    這種不可控的國外芯片對防火墻等的自身安全性來講，是巨大的威脅。

    對于國內安全廠商和行業用戶來講，只有“芯改變”，才能“更安全”。

    觀察者網：為何選用申威芯片？

    李源：前期在技術路線選擇時，我們也作了大量嚴格的測試，分析結果是，申威在國內CPU中，性能領先于其他國產品牌CPU，尤其是在處理網絡數據包時有自身優勢；同時，申威的自主指令集使其不會像用其它合作知識產權以及授權應用的處理器那樣遭遇在技術上、安全上、利潤上受制于人的局面，極大提高了防火墻自身的安全性的同時，實現自主技術的獨立發展。

    觀察者網：申威在防火墻中發揮什么作用？

    李源：在防火墻產品中，申威是安全核心、管理核心、計算核心。

    觀察者網：申威防火墻和采用Intel芯片的防火墻差距在哪里？優勢在哪里？

    李源：從技術角度看，目前的差距主要是小包（64字節）性能，約為INTEL芯片的60%，但正在逐步接近（預計2017可以實現持平）；大包（大于64字節，如128、256、512等）性能已經完全一樣。

    最大的優勢毫無疑問是“安全”，而且不受制于人，不受美國制裁影響。

    觀察者網：最近中興被美國制裁，導致供應鏈被卡脖子，對這個事情您怎么看？國內處理器能多大程度上實現國產化替代？

    李源：不出意外，這本是大國之間的一種較量，是制約與反制的抗衡，某種意義上也象網絡安全攻防對抗中的“魔高一尺，道高一丈”。西方發達國家通常會以這樣或那樣的理由，排除或限制異己，特別是當它發現競爭對手的發展已經構成威脅時，這也再次提醒了我們自主可控的重要性，不僅是安全，而且在經濟層面也非常重要。

    目前國內IC廠商很多，而且近些年在技術上有相當大的突破，正在不同領域走向全面國產化、自主可控替代的階段。

    觀察者網：中科網威做出了哪些申威產品？市場表現或市場前景如何？

    李源：基于申威CPU，中科網威已經推出“中科神威防火墻”、“中科神威漏洞掃描系統”，并在黨政軍等核心要害部門實現了批量應用，這在很大程度上彌補了國產自主可控網絡安全產品的空白。結合國家政策上的對于核心網絡安全產品要求自主可控的大趨勢，市場前景巨大。

    觀察者網：申威防火墻市場化的最大障礙是什么？

    李源：申威前期重點在于超算領域，因此在目前安全產品市場化的過程中，存在生態圈不夠健壯的現象，基于申威的產品還不夠豐富，處于不斷增加的狀態；在用戶認知層面上，也存在著過去某些所謂國產CPU“造假”、“沒法用”等帶來的負面影響，這需要產業、行業、用戶、媒體的共同努力。

    觀察者網：還請介紹下中科網威的代表作，以及將來還會推出申威的產品？

    李源：2014年發布的采用國產CPU的中科神威千兆防火墻NSFW-6000成為首家獲得《涉密信息系統產品檢測證書》、《中國國家信息安全產品認證證書》、《軍用信息安全產品認證證書》和《計算機信息系統安全專用產品銷售許可證》等多項權威認證的自主可控安全產品，并已經在黨政軍等核心部門實現了批量部署。

    中科網威將繼續堅持以自主可控為研發指導思想，基于申威推出更多的網絡安全產品，同時，我們還將為合作伙伴提供自主可控的硬件平臺，共同打造自主可控網絡安全生態圈。

    觀察者網：除了中科網威之外，還有哪些公司在做申威的產品？大致發展情況怎樣？可以多大程度上替換國外產品？

    李源：目前，申威產業聯盟已經成功進入桌面、服務器、存儲、網絡安全等相關領域，相關公司近三十家（可從申威網站上獲知），大致發展情況與我們類似。

    可以肯定地說，以中科網威為代表的自主可控網絡安全方向，已經具備替代國外產品的技術實力。需要的只是一個時間過程，也誠邀您共同見證這一天的最終到來。