郭涛
CPU是网络安全产品的“心脏”,也是实现自主可控的核心。基于国产核心芯片的安全产品的普及符合我国的国家利益,也符合当前国内网络安全的发展潮流。
CPU不自主,整个信息安全产业就像建筑在沙滩上的城堡。正是基于这样的认识,中科网威开始了艰辛的自主可控安全产品的创新之路。1月28日,北京中科网威信息技术有限公司发布了采用国产处理器的自主可控漏洞扫描系统—中科神威NSVS—7000。
从“无”自主可控到“全”自主可控
回顾历史,我国网络安全产品自主可控的发展历史可以大致化分为三个阶段:第一个阶段,2001年之前是无自主可控的阶段,软硬件全部为国外厂商生产;第二个阶段,2001年—2014年,这是半自主可控的阶段,软件已基本国产化,但是CPU仍然是国外厂商的;第三个阶段,从2014年开始进入全自主可控阶段,涌现出以中科网威为代表的国内安全厂商,致力于软硬件全部国产化,而CPU的国产化是一个非常重要的标志。以申威处理器为代表的国产处理器在设计能力、生产工艺等方面已经有了长足进步,并在党、政、军,以及一些商业企业中得到了应用,从而为网络安全产品进入全自主可控阶段奠定了基础。
不过,当前我国绝大多数网络安全产品仍处于半自主可控的阶段:在软件方面,通常采用基于开源Linux的、经过裁剪的操作系统,以及国内厂商自主研发的上层安全应用软件;在硬件方面,包括CPU在内的硬件核心部件几乎全部来自国外。“自主可控的安全产品是一个新的安全产品品类。”中科网威公司营销副总裁李源这样说,“用户对信息安全等级保护有不同的需求。通常来说,有安全等保三级以上要求的用户可以选择软硬件完全自主可控的安全产品。”
我们必须承认,国产CPU在性能等方面确实还与国外成熟的产品存在差距。但是有一些行业用户,它们对性能的要求并不太苛刻,但是对安全性有极高的要求。中科网威当前就是瞄准这类客户。“我们暂时不会涉足金融、电信等行业,而是将精力全部集中在党、政、军等行业。”李源表示。明确而聚焦的产品和行业定位让中科网威的自主可控安全产品获得了目标市场和用户的认可,在一些应用场景中已经替代了部分采用非国产处理器的安全产品。
中科网威公司总裁刘兵指出:“我们以党、政、军等重要行业用户的迫切需求为研发导向,以自主可控的防火墙、入侵检测、网闸、WAF和数据备份产品为基础,围绕行业用户的核心业务与敏感数据打造了一整套稳定性高、耐用、功能定制的更安全的解决方案,并在军队、政府等要害部门实现了成功应用。我们相信,随着国产CPU性能的不断提升,重要行业的用户很快就可以不再选择基于国外x86架构的安全产品。”
自主可控安全产品系列化
据刘兵介绍,为了打破国外CPU对国内网络安全产品的控制与垄断,从2010年开始,中科网威就积极布局基于国产CPU的安全产品研发,并为此打造了一个全新的产品品牌——中科神威。“自主可控”是中科神威系列安全产品研发的核心指导原则。
2014年发布的采用国产CPU的中科神威千兆防火墙NSFW—6000成为首家获得《涉密信息系统产品检测证书》、《中国国家信息安全产品认证证书》、《军用信息安全产品认证证书》和《计算机信息系统安全专用产品销售许可证》等多项权威认证的自主可控安全产品,并在2015年率先成功入围中央政府采购。
中科神威NSFW—6000防火墙采用申威SW410中央处理器芯片。该处理器采用40nm生产工艺,主频1.5GHz,每秒浮点运算次数高达44G,并且采用64位自主精简指令集,对溢出式攻击和恶意代码有天然的免疫能力。中科网威结合申威SW410处理器芯片的优势,对自主研发的安全操作系统(NPOS)也进行了优化,使得NSFW—6000防火墙产品在吞吐量、数据延迟、新建并发连接等性能指标方面可与基于非国产处理器的防火墙相媲美。
申威处理器是国家高性能集成电路(上海)设计中心的重大研究课题,也是国内CPU专项技术研发项目之一。在决定使用哪款国产CPU之前,中科网威曾经做过大量测试。测试结果显示,与其他国产的CPU相比,申威处理器在性能、可靠性等方面更适合企业级的安全产品。无独有偶,国内存储厂商创新科(UIT)也在2015年推出了自主可控的存储产品,CPU选用的也是申威的产品。申威处理器在企业级的存储、安全领域已经得到了较广泛的应用。
2016年,中科网威继续在自主可控的安全产品领域发力,于1月28日正式推出采用国产处理器的自主可控的漏洞扫描系统—中科神威NSVS—7000。李源介绍说:“中科神威NSVS—7000同样基于国产申威处理器,采用自主指令集,对溢出式攻击和恶意代码具有天然的免疫力,杜绝了‘后门植入的风险。NSVS—7000采用的神威睿思操作系统经深度优化加固后,进一步提升了系统的安全性。通过上述软硬件的完全国产化,NSVS—7000漏洞扫描产品自身的安全性高度可控,确保了扫描分析数据不外泄。”
与传统漏洞扫描产品不同的是,中科神威自主可控的漏洞扫描系统可以实现对当前各类国产软硬件产品的识别与分析,包括网络设备、存储设备、服务器、操作系统、应用系统、数据库、中间件等,为行业用户建设全国产化信息系统提供了主动安全管理的工具,并且可以做到每周更新,从而确保了识别的全面性与分析的准确性。概括来说,中科神威NSVS—7000具有“更安全、更全面、更高效”的特性。李源表示:“中科神威NSVS—7000的整机性能卓越,完全可以替代采用非国产处理器的漏洞扫描产品。”
核心软硬件完全国产化的中科神威防火墙、漏洞扫描产品为国内网络安全产品的自主可控树立了新的标杆。今年,中科网威还计划推出自主可控的入侵检测系统,并联合产业伙伴打造包括网闸、堡垒机在内的全自主可控解决方案。
中科网威踩上点儿了
创立于1999年的中科网威,其前身是中科院高能物理研究所网威安全工作室,早在1996年便开始了网络安全技术的研究。经过近20年的辛勤耕耘,也经历了起起伏伏,现在的中科网威年收入达数千万元,但中科网威昔日的那些“小伙伴儿”,比如天融信、绿盟科技、启明星辰等通过并购、上市不断扩张业务,年收入已达数亿元级别。有一些厂商也曾经提出过收购中科网威的要约,但中科网威最终还是决定独立发展。
李源十分感慨:“因为种种原因,我们错过了中国信息安全产业大发展的第一拨浪潮。我们不想再错过自主可控的安全产品市场崛起的有利时机。”中科网威今年的工作重点是完成公司MBO,实施员工持股,迅速扩展业务规模,同时加强产品的自主研发。现在中科网威的研发团队有近百人。
网络空间已经变成主权空间,而网络安全就是国家安全。CPU是网络安全产品的“心脏”,也是实现自主可控的核心。基于国产核心芯片的安全产品的普及符合我国的国家利益,也符合当前国内网络安全市场的发展潮流。中科网威已经在自主可控的道路上迈出了关键性的第一步,在防火墙和漏洞扫描安全产品领域实现了完全的自主可控。随着信息安全上升为国家战略,中国网络安全产品市场也进入了“新常态”,自主创新、自主可控将创造新的市场空间,进一步推动中国信息安全产业稳定、健康地发展。
已经踩在自主可控的安全点儿上的中科网威能否从网络安全市场上脱颖而出呢?我们拭目以待。