國產化替代的實踐與思考——以云報集團為例

一、 總述

“沒有網(wǎng)絡安全就沒有國家安全”——自然也不會有媒體宣傳、出版、播出的生產安全。由于國家間利益沖突，以美國為首的西方國家形成聯(lián)盟，長期對我國實行嚴格的出口限制政策。并且進口的CPU芯片等電子元器件可能存在致命漏洞或者后門（從2017年爆出Spectre幽靈漏洞可見一斑），這些漏洞后門可竊取我國設備的數(shù)據(jù)甚至摧毀設備，并可能進一步通過網(wǎng)絡傳播病毒、木馬和蠕蟲，嚴重影響我國的網(wǎng)絡信息安全。信息安全建設中如果不能實現(xiàn)電子元器件的自主可控，則始終會受制于人、處于被動挨打的局面。

近年來隨著各級媒體改革發(fā)展的不斷深入以及相關網(wǎng)絡安全法律法規(guī)的不斷完善。構建完善的網(wǎng)絡安全防護和應急響應體系，保障各生產業(yè)務系統(tǒng)高效、平穩(wěn)、安全的運行，已經(jīng)成為媒體日常技術工作的核心組成部分。

網(wǎng)絡安全體系的構建是一個龐大的系統(tǒng)工程，但在這個系統(tǒng)中，有一環(huán)因為生態(tài)、兼容性、性能、穩(wěn)定性和使用習慣等諸多問題，一直處于“任重而道遠”的狀態(tài)——這就是“國產化替代”（本文所述國產化特指國產CPU芯片以及基于國產CPU芯片的軟硬件體系和國密商用密碼體系）。作為網(wǎng)絡安全和信息建設工作中極其重要一環(huán)，“國產化替代”是推進媒體深度融合，構建“新聞+政務服務商務”運營模式，全面實現(xiàn)主流媒體進入主戰(zhàn)場過程中必須面對和解決的核心問題。

二、 國產化現(xiàn)狀

目前主要的國產化替代方案大致可以分為4大類：基于ArmV8架構，代表芯片有華為鯤鵬920、飛騰D2000;基于x86架構，代表芯片有海光HG、兆芯陸家嘴；基于MIPS+自主演進LoognArch架構，代表芯片有龍芯3A4000、3A5000以及針對超算基于Alpha架構的申威（曾今一度排名世界第一的超算“太湖之光”就是基于申威CPU）。因申威的特殊性，常規(guī)國產化替代不會使用到，不在本文的討論范圍內。

由于歷史、技術等多方面原因目前能夠商用的國產化芯片基本都是基于購買國外早期CPU芯片架構的授權進行國產化重新設計、優(yōu)化并加入國密算法和特定安全芯片而成，近年來國內在芯片設計研發(fā)領域取到了重大突破，很多優(yōu)秀的團隊已經(jīng)可以設計研發(fā)世界一流的芯片，但國內在晶圓、光刻機、封片等芯片生產關鍵環(huán)節(jié)一直處于“卡脖子”狀態(tài)，無法自主批量生產14nm以下規(guī)格的芯片，加之西方國家出于國家間利益競爭，對我們設置各種技術壁壘。導致性能、功耗不錯但需要代工的國產芯片供貨嚴重不足，一直處于“供不應求”的狀態(tài)，供貨周期漫長，部分高性能芯片長期處于缺貨狀態(tài)，而可以完全自主生產的國產芯片在性能、功耗又不盡人意。

另一方面各國產芯片廠家由于技術路線圖選擇的不盡相同和基于商業(yè)的考慮，對現(xiàn)有主流軟件生態(tài)的兼容性不佳，從操作系統(tǒng)、基礎軟件到應用軟件均需要進行專門的定制開發(fā)與適配，而目前完成定制適配的各類軟件只有很小的一部分，并且這些已經(jīng)完成適配的軟件，從界面UI、操作方式、性能、穩(wěn)定性等方面均與原軟件存在較大的差距。

圖1：國產主流CPU技術架構演進圖

三、 云報的實踐

近年來，云報集團陸續(xù)承建了一批覆蓋全省的政務信息化、媒體融合項目，這些項目或多或少的涉及到“國產化替代”的問題。下面將從三個具有代表性的項目入手，對項目實施過程中所遇到的具體問題進行探討。

1.項目一：某信息發(fā)布省級簽發(fā)平臺國產化升級改造

作為覆蓋全省的信息發(fā)布省級簽發(fā)平臺（以下簡稱簽發(fā)平臺），對平臺和數(shù)據(jù)的安全可控有著極高的要求，本次簽發(fā)平臺的國產化升級改造，全方位使用自主可控的國產化軟硬件是一個必選項，但如何在最大程度上使用國產化軟硬件的同時，讓業(yè)務系統(tǒng)的性能、穩(wěn)定性、兼容性和終端用戶的使用習慣，保持盡可能的一致，是項目需要解決的核心問題。

簽發(fā)平臺建設初期鑒于當時的國產化軟硬件的成熟度、上下游生態(tài)、性能和終端用戶兼容性等多方面的綜合考慮，最終簽發(fā)平臺的服務端和用戶端都選擇了非國產的Intel x86架構，在服務端選擇了國外主流Linux 64位操作系統(tǒng),數(shù)據(jù)通信傳輸加密則選擇當時主流的加密套件TLS1.1+RSA2048+AES128,用戶端的權限管理USBKEY基于Windows操作系統(tǒng)進行開發(fā),對用戶的身份識別和關鍵性操作進行鑒權。

在整個簽發(fā)平臺的國產化升級改造中，我們需要對服務端、用戶端以及通信傳輸加密三個部分進行相應改造：

1）服務端的改造相對比較順利，在充分考慮平臺適配難度、遷移成本、軟硬件生態(tài)和后期運維管理的便利性后，我們最終采用國產主流ARM芯片架構+國產企業(yè)級Linux操作系統(tǒng)替換了原有的架構。

2）而用戶端的國產化改造最大難點就在USBKEY上，在國產化操作系統(tǒng)上要實現(xiàn)和Widows平臺一樣成熟完善的用戶鑒權，難度非常大，且開發(fā)周期漫長，經(jīng)過權衡再三，我們使用一個折中的方案：在用戶端使用國產x86架構海光CPU+經(jīng)過審查的可信版Windows。

3）目前國內已有開源且功能完善、兼容性良好的國密庫，在通信傳輸加密上，我們按照項目的實際需求，通過自主編譯開源國密庫源代碼完成了平臺內網(wǎng)的通信加密套件的國密替換，具體加密套件為NTLS+SM2+SM4。在互聯(lián)網(wǎng)區(qū)域考慮到大量訪問還不支持國密，依然

保留TLS1.1+RSA2048+AES128加密套件。

圖2：內網(wǎng)國密加密套件訪問情況

                        圖3：互聯(lián)網(wǎng)加密套件訪問情況

2.項目二：某重點信息數(shù)據(jù)庫平臺國密改造

2021年云報集團承建了某重點信息數(shù)據(jù)庫省級和多個州市（含所轄縣）平臺的建設工作，平臺需要向上鏈接國家平臺，向下聯(lián)通省、州市、縣三級。按照“邏輯統(tǒng)一，物理分離”的原則，實現(xiàn)縣級庫可通過數(shù)據(jù)接口逐級上報至國庫的要求。在項目相關要求和規(guī)范中，重點對數(shù)據(jù)上報接口和數(shù)據(jù)的加密提出了國產化替代要求，云報項目團隊在對國密商密主要四種算法的SM1、SM2、SM3、SM4進行了對比。SM1、SM4為對稱加密比較適合不需要對外公開密鑰的加密、SM2是非對稱加密適用于需要公開公鑰的加密、SM3是類似MD5的摘要加密。結合本項目的對接口和數(shù)據(jù)實際加密應用的場景，SM1和SM4的對稱加密更適合項目加密要求，而SM1為不公開算法，需要專門加密芯片的進行加解密的算法，并且性能收到加密芯片自身的限制，項目最終采用SM4作為平臺接口與數(shù)據(jù)的國密加密算法。

3.項目三：某省級信息供稿平臺國產化適配

此供稿平臺由云報集團自主研發(fā)，主要為全省各級部門提供信息通聯(lián)和供稿所用，采用B/S架構設計，基于PHP+PYTHON語言開發(fā)，已安全、平穩(wěn)運行了三年多。各使用單位VPN撥號認證后，通過瀏覽器登錄平臺后完成各項操作。2021年上半年，各使用單位大量辦公電腦開始從windows系統(tǒng)更換為國產設備+國產操作系統(tǒng)——雖然我們在平臺研發(fā)之初就已經(jīng)考慮了國產化適配的問題，并在VPN安全設備的選擇上，選擇了國內國產化平臺，適配完成度較高的安全廠家。但一些令人頭痛的兼容性問題依然隨之而來。

1）VPN客戶端在國產化平臺上適配與WINDOWS平臺上，存在著從界面到操作上的巨大差異，需要對原使用單位人員進行重新培訓，整個更換過程耗時、費力。

2）相對于WINDOWS平臺的穩(wěn)定性和完善的管理認證功能，國產化平臺的VPN由于版本迭代少，適配周期相對倉促，穩(wěn)定性和功能性存在較明顯的不足——簡單來說就是能用但不好用。

3）辦公級的國產化設備，性能依然是一個無法回避的問題，相對于原x86+windows平臺，可同時操作的供稿平臺頁面和響應時間均有下降，一定程度上影響到工作效率。

4）國產化系統(tǒng)原生搭配的瀏覽器與供稿平臺存在一定兼容性問題，且調試較為困難。

四、 國產化的云報思考

1.生態(tài)

相對于Intel、AMD、IBM、Apple等國外廠家數(shù)以億計，琳瑯滿目的軟硬件生態(tài)而言，國產化的軟硬件的上下游生態(tài)就顯的十分可憐，簡單從軟硬件兩個方面來看：

1）軟件方面：目前除政務領域和部分特殊行業(yè)外，使用國產化替代用戶并不多，需求也不強烈。導致眾多的軟件開發(fā)商主要的精力和服務對象依然是以Intel x86+Windows的受眾為主，在眾多軟件領域國產化還沒有適配可用的軟件，就算是關鍵核心領域也只有一兩款軟件可選。另外很多應用軟件的國產化適配是針對某一個大型項目進行的專門適配，通用性不高。

2）硬件方面：與軟件類似，因受眾規(guī)模相對較少，而適配開發(fā)難度、成本也無法降低，很多硬件廠商國產化動力并不足，一些日常辦公使用的外設，如打印機、掃描儀、攝像頭均需要購買為數(shù)不多的特定型號，且安裝過程繁瑣。

2.兼容性

兼容性問題與生態(tài)息息相關，正因國產化生態(tài)的不完善，也無統(tǒng)一的標準，在目前國產化替代的各項目實施過程中，兼容性可以說是最大的障礙，這個兼容性不僅僅是指國產化與非國產化之間的問題，國產化之間因芯片架構、技術實力、商業(yè)目的等諸多原因也存在著大量從底層到應用層的各式各樣的兼容性問題。在云報項目實施過程中，曾今遇到過在兩臺硬件完全一樣的的國產設備上，操作系統(tǒng)底層內核一樣，僅僅是因為發(fā)行版來自不同的兩個廠家，同樣的一個安裝包，一臺設備能安裝，另外一個設備就無法安裝——必須進行專門的適配開發(fā)的尷尬情況。

3.性能

性能也是國產化一直無法回避的話題，相對早些年基本無法正常的使用的狀況來說，最近幾年國產化在性能方面取的了長足進步，甚至部分廠家服務器端的產品已經(jīng)逼近同時期國外主流廠家的性能。云報目前在用基于ArmV8架構國產CPU的服務器在部分業(yè)務場景已經(jīng)可以完全替代原Intel的志強CPU。但整體來看，特別是桌面級產品，國產化的性能和功耗比與國外主流產品至少還有5年以上的差距。

4.投入

與生態(tài)、市場規(guī)模相關，國產化整體使用成本要遠高于非國產化方案，特別是在軟件方面。非國產化從操作系統(tǒng)、業(yè)務軟件、應用軟件、數(shù)據(jù)庫、中間件等有著大量、高質量且價格低廉的優(yōu)秀應用軟件，同時很多優(yōu)秀軟件是完全開源并且免費使用的，比如：超融合軟件Ovirt、分布式存儲軟件Ceph等。而絕大部分的國產化軟件從操作系統(tǒng)到應用軟件均需要支付不低的費用（包括瀏覽器是否支持國密也是需要按數(shù)量進行單獨付費），因此媒體行業(yè)，在進行國產化替代時的投入是一筆不小的費用。如果沒有專項資金的支持，對實施單位而言壓力不小，從很大程度上也降低了主動進行國產化替代的意愿。云報集團自有業(yè)務目前只進行了國產化嘗試性測試，很大原因也基于資金投入壓力的考慮。

五、 國產化的展望

中國進入新時代，世界格局風云變幻，逐步完成網(wǎng)絡安全和信息化建設的國產化替代，是一條媒體行業(yè)在新時代轉型發(fā)展的必由之路。雖然目前國產化還有諸多不盡如人意的地方，但是“自主可控”的國產化是網(wǎng)絡安全的明天，相信已經(jīng)走完了從無到有，再到可用的“國產化”會變的更好。

參考文獻：

[1] 飛騰產品文檔[EB/OL].https://www.phytium.com.cn/class/38,2022

[2] 鯤鵬社區(qū)[EB/OL].https://www.hikunpeng.com/,2022

[3] 兆芯產品文檔[EB/OL].

https://www.zhaoxin.com/zlxz.aspx?nid=31&typeid=64,2022

[4] 龍芯開源社區(qū)[EB/OL].http://www.loongnix.cn/index.php/首頁,2022