中科網威副總裁李源：在網安領域，我們開始全面替換國外CPU

2017-08-01

隨着我國《網絡安全法》的正式頒佈，針對關鍵信息基礎設施中所使用的重要信息技術產品自主可控、安全可信的要求日益迫切。如今，在網絡安全產品領域，伴隨着國產CPU的成熟以及相關生態環境的逐步完善，在政策與需求的驅動下，基於國產CPU的網絡安全產品已經開始進入全面替換的快車道。

觀察者網日前專訪了北京中科網威信息技術有限公司副總裁李源，李源表示，在網絡安全領域，我國自主研發的基於國產CPU的網絡安全產品已經完全具備了基於國外處理器安全產品的同等水平。

李源介紹了擁有完整自主知識產權的國產申威CPU近年來取得的重大技術突破，及能夠替換國外cpu的鮮明事實（從2016年6月起，“神威·太湖之光”超級計算機已經連續三次榮登世界超級計算機排名榜單TOP500第一名，並被榜單編撰人形容為“毋庸置疑是這個星球上最強大的數字運算機器”。而它的核心部件正是來自真正自主可控的國產申威處理器。）

“神威·太湖之光”運算系統機倉

觀察者網：國產防火牆中，使用的國產CPU主要是哪些？如何區分真正的國產CPU？

**李源：**目前，在國產防火牆市場上，宣稱使用“國產CPU”的主要包括“申威”、“龍芯”、“飛騰”和“兆芯”等系列處理器。由於申威及龍芯採用自主知識產權微架構，在技術上避免了“捅刀子”的危害，在供應鏈上避免了“卡脖子”的風險，從而成為真正自主可控的國產CPU。

對於購買ARM授權的“國產”芯片來講，其購買的IP核授權並非永久性授權，其授權具有諸多限制性和期限性。即便是較開放的軟核授權，也不會做到所有代碼可讀可修改，而是包裝了很多模塊，而大部分模塊內部都不可能進行隨意修改。而對於採取簡單貼牌OEM的芯片來講，自主可控性就更無從談起了。因此，就上述類別的處理器而言，其自身存在的安全風險可想而知。

芯片核心技術若自身不被國內掌握，無法避免後門植入等風險，安全性也必然得不到根本保障。自然也無法稱之為真正的自主可控。

觀察者網：國內幾家國產CPU廠商的行業應用及定位有什麼明確的區分？

**李源：**各類國產CPU在各領域都有着自身獨特的優勢，申威處理器採用的是自主指令集，對溢出式攻擊和惡意代碼具備天然的免疫力，且具有完全的自主知識產權，其運算能力可以達到每秒千萬次，並且其頻率也達到了我國國產CPU的極限。因此，申威是目前最適合防火牆等網關類安全產品應用的國產處理器。

龍芯系列處理器，其高性能64位多核處理器片內集成多個64位高發射高性能龍芯IP核，由於低功耗的特性，使得該處理器更適用於面向桌面、數字信號處理（DSP）和高端嵌入式等應用。

觀察者網：申威處理器在哪些方面實現了自主可控？

**李源：**申威CPU已經在結構設計、邏輯設計、正確性驗證、物理設計及測試分析等方面，實現了知識產權、技術能力和發展的自主可控，真正達到了“全國產自主研發，全流程安全可控”。

觀察者網：中科網威近年來有哪些基於申威CPU的產品？近期或未來將有什麼新產品推出？

**李源：**自2014年6月率先推出以申威SW410為核心的自主可控千兆防火牆，先後取得《涉密信息系統產品檢測證書》、《中國國家信息安全產品認證證書》、《軍用信息安全產品認證證書》和《計算機信息系統安全專用產品銷售許可證》等多項權威認證，也是國內第一家獲得上述四證的單位。

2016年1月，中科網威繼續在自主可控的安全產品領域發力，正式推出首款採用國產處理器的自主可控漏洞掃描系統。近年來，我們的自主可控產品線不斷豐富，已經陸續推出了入侵檢測系統、安全隔離與單向導入系統等產品。

2017年4月，中科網威率先推出了基於申威SW411處理器的自主可控千兆線速防火牆NSFW-6000，64字節小包可達100%線速，從而在千兆網絡環境中可以實現對基於國外X86芯片防火牆的全面替換。

在2017年底，中科網威將會推出基於申威1621平台的自主可控萬兆防火牆，這將填補我國在全自主可控安全產品中沒有萬兆防火牆的空白。

觀察者網：千兆線速防火牆產品有什麼重大的技術突破？主要有哪些性能指標？

**李源：**該產品經深度優化後性能大幅提升， 64字節小包吞吐量顯著提高，是首款國產自主可控防火牆64字節小包在千兆環境下達100%線速的防火牆產品，一舉打破了國外芯片對防火牆的壟斷格局，樹立了國產防火牆產品的自主信心，為無縫替代國外產品奠定了堅實基礎。

該產品採用自主指令集，對溢出式攻擊和惡意代碼具有天然的免疫力，杜絕了“後門”植入、“邏輯”炸彈等在引進國外技術過程中所面臨的未知風險。結合自主優化加固的NPOS操作系統，使產品自身的安全性高度可控，為軍隊、黨政等行業用户提供了更加安全可信、自主可控的產品選擇。

千兆線速防火牆——中科神威NSFW-6000

觀察者網：除了中科網威之外，還有哪些公司在做基於國產處理器的自主可控產品？可以多大程度上替換國外產品？

**李源：**國產處理器已經成功進入桌面、服務器、存儲、網絡安全等相關領域，繼申威聯盟的成立後，2016年5月19日，中科網威倡議發起了中關村可信計算產業聯盟自主可信專委會，聚合了包括龍芯中科、上海高性能集成電路設計中心、山西百信、衞士通等40餘家單位，而且這個數字還在不斷增加，覆蓋了從底層自主芯片，到上層服務應用等各個環節。專委會旨在為推動我國自主可信網絡安全產業鏈的建設，聚合基於自主處理器的產業鏈各個環節的力量，上下游通力合作，將可信計算技術應用到自主可控的網絡安全產品中，促進自主可信安全生態環境建設，提升我國網絡安全產品的自主可控，安全可信水平。

可以肯定地説，以中科網威為代表的自主可控網絡安全方向，已經具備了全面替代國外產品的技術實力，需要的只是一個時間過程。

自主可信專委會

觀察者網：近期瞭解中科網威提出的“自主可控+“網絡安全理念，可以介紹一下何為”自主可控+“？具體實踐體現在哪些方面？

李源：“自主可控+”是自主可控網絡安全發展的新階段，是在核心硬件自主工藝設計、研發、生產之下的網絡安全產品發展的新形態，是在建立自主網絡空間主權推動下，關鍵信息基礎設施與行業信息化建設融合發展的新業態。通俗來講，“自主可控+”就是“自主可控安全產品+各個行業的應用實踐”，它代表着一種新的行業應用形態，它將自主可控產品與傳統產業的安全應用深度融合，以自主可控安全產品無縫的替代，來提升自主可控、安全可信的能力，最終實現各個行業信息系統的自主安全。

隨着中科神威自主可控防火牆系統、漏洞掃描系統、入侵檢測系統、安全隔離與單向導入系統等產品的不斷推出，已經初步形成了覆蓋黨政軍等涉密行業的自主可控安全解決方案，並在國家重要試點示範工程的多種應用場景中，得以充分實踐，為用户帶來了更加實用的安全體驗。

未來，中科網威將為推動我國自主可控網絡安全產業的健康發展做出更大貢獻，誠邀您一同鑑證。

本文系觀察者網獨家稿件，文章內容純屬作者個人觀點，不代表平台觀點，未經授權，不得轉載，否則將追究法律責任。關注觀察者網微信guanchacn，每日閲讀趣味文章。