基于國產申威處理器的自主可控產品實踐之路

施光源

摘 要：隨著“熔斷、幽靈”等核心芯片安全事件發生，基于自主可控芯片的產品對我國關鍵基礎設施領域具有重要意義與作用。論文針對自主可控產業發展進行深入分析，在此基礎上，對基于國產申威處理器的自主可控服務器研發路線進行闡述。最后通過應用案例分析說明自主可控產品具備國產化替代能力，對提升我國重要領域的基礎設施安全具有重要意義。

關鍵詞：自主可控；芯片；申威處理器；服務器

中圖分類號：TP309 文獻標識碼：A

Abstract： With the “Meltdown、Spectre” security incidents happen in chip、products based on self-controlled chips are of great significance to China's key infrastructure areas. The paper analyzes the development of self-controllable industries、on this basis、development path of self-controllable server based on domestic Sunway processor is expounded. Finally， the application case analysis shows that the self-controllable products have the substitution ability of localization， which is of great significance to enhance the infrastructure security in important areas of our country.

Key words： self-controllable； chip； sunway processor； server

1 引言

近年來，隨著Intel被爆出“熔斷、幽靈”等安全漏洞，安全可控的重要意義被再次凸顯出來，關鍵核心部件如果不能自主可控，安全問題就無法從根本上解決。我國信息化存在的主要問題是自主化程度較低，同時外部網絡安全威脅日益嚴峻。由于早期我國在計算軟硬件核心技術存在一定的缺失，同時又面臨著信息化飛速發展的現實需求，導致我國很多關鍵部門大量使用了國外的計算通信設備。這些設備尤其是以美國政府扶植的八大金剛為代表的系統設備提供商占比最高，涵蓋了芯片、服務器、操作系統、數據庫等多個關鍵基礎設施領域。隨著2013年斯諾登曝光的棱鏡門事件，以及后來發生的勒索病毒事件等，更加使我們清醒地認識到關鍵領域自主可控能力不足，將對國家安全產生嚴重的危害。比如，由自由軟件基金會曝光，所有現代Intel處理器平臺都內置了一個低功耗的子系統IME，能完全訪問和控制電腦，讀取打開的文件，檢查所有運行的程序，甚至能捕捉屏幕截圖，它還有一個被證明不安全的網絡接口，允許攻擊者植入Rootkit程序控制和入侵電腦，更有甚者有三條指令在用戶模式就可以使機器死機或重啟，作用機制直接穿透各種軟件保護措施。國內重要關鍵行業的基礎設施幾乎被國外軟硬件產品壟斷，關系到國計民生的重要行業的核心應用的高端計算產品幾乎被IOE占領。

隨著我國國民經濟和社會信息化進程全面加快，網絡與信息系統的基礎性和全局性作用日益增強，信息和網絡已成為國際經濟和社會發展的新的重要戰略資源。面對全球網絡戒備的態勢，建設“堅固可靠”的國家網絡安全體系，是中國必須作出的戰略選擇。黨的十八屆三中全會，決定成立中央網絡安全與信息化委員會，將信息安全問題提到了國家安全的高度。自主可控安全可信已經上升到國家戰略層面，近年來陸續出臺多項法律法規以及產業支持政策。《網絡安全法》第十六條指出，要大力推廣安全可信的產品和服務，目前我國信息安全主要驅動力是合規性要求，比如等級保護等，主要應用對象是軍隊、政府和大型央企等，廣大中小企業以及互聯網企業等對安全的重視程度不夠，隨著《網絡安全法》的頒布實施，網絡安全審查制度的逐步落實，未來強制性需求將逐步在市場上凸顯[1]。

2 自主可控含義與實現路線

2.1 自主可控含義

要從根本上提升中國網絡空間的防護能力，一個關鍵舉措就是用自主可控的國產軟硬件和服務來替代進口產品。只有建立起完全自主、安全可控的IT系統，把信息安全掌握在自己手中，才能確保國家網絡安全和信息安全。

自主可控顧名思義是技術發展獨立自主且安全可控，就是依靠自身研發設計，全面掌握產品核心技術，實現信息系統從硬件到軟件的自主研發、生產、升級、維護的全程可控，核心技術、關鍵零部件、各類軟件全都國產化，自主開發、自主制造，不受制于人。一般來說，國產化程度越高，自主可控的程度也越高。剛剛發布的GB/T 36630-2018 《信息安全技術 信息技術產品安全可控評價指標》也對通用計算機、中央處理器等幾個方面實現自主可控給出了具體標準[2]。處理器作為服務器、存儲系統等重要核心部件，要實現自主可控，至少要包括三方面要求。

（1）CPU研制單位符合安全保密要求：CPU企業無境外直接投資，且通過間接方式投資的外方投資者及其一致行動人的出資比例最終不得超過20%。

（2）CPU指令系統可持續自主發展：研制自主CPU不是最終目的，而是按照習近平總書記要求“構建安全可控信息技術體系”，這就要求CPU的指令系統可持續自主發展且不受制于人。

（3）CPU核的源代碼自己編寫：CPU核的源代碼一定要堅持自主設計，CPU是巨復雜系統，影響其品質的因素非常多，只能在實踐中邊試錯邊發展，隨時間推進而不斷演進。

國產申威CPU滿足上述三項要求，且申威CPU在高性能計算機領域做到了世界第一。申威1621生產工藝升級為28nm，主頻達到2.0G，外設從PCIE2.0升級到PCIE3.0，存儲控制器8路，采用cc_numa架構共享三級cache，采用對稱16多核結構以及SoC技術。國產申威CPU采用多核心多線程并行處理，對渲染等設計類工作非常重要。基于國產申威處理器研發的服務器、存儲系統，具有自主可控、高性能等特點，適用于在黨政、軍工等國家重要領域的國產化替代要求[3]。

2.2 自主可控實踐路線

華勝信息在充分理解自主可控發展現狀的基礎上，積極響應國產網絡安全戰略，重點在軍民融合領域深入探索，以自主可控為理念，主要在三個方面努力開展工作。

（1）采用自主研發與技術引進雙路線，實現核心技術自主可控

從自主可控服務器產品研發路徑規劃上，華勝信息按照技術消化吸收結合自主研發互補的方式開展工作。通過對IBM主導的OpenPower核心技術進行消化吸收，形成自主的主板設計能力。在核心技術轉化過程中，通過將八大類35項核心技術進行吸收應用，包括服務器RAS技術、隨溫自動調節技術、處理器能耗管理技術等，實現服務器從系統設計、主板研發等關鍵環節自主設計。研發了基于國產申威處理器的國威天成自主可控服務器TSI-2102TL，產品采用國產自主研發的申威處理器，實現“核芯”自主可控；同時服務主板自主設計，以板卡設計研發為起點，承載國產關鍵部件以及高安全等級操作系統，是具有自主可控、高可靠性的服務器產品。引入可信計算技術，進一步強化可信可控的產品設計理念，提供更加可靠的計算能力，為提高我國關鍵基礎設施安全水平提供支撐保障。

同時，構建本地化研發團隊，開展自主研發，從整機主板結構設計入手，進行邏輯電路重構，另外，注重開展自主知識產權的申請與保護工作。在生產環節，采用本地化生產加工，在河北固安生產基地，按照軍工質量認證體系標準進行生產加工，最后通過引入可信計算技術、搭載國產高安全操作系統、數據庫、中間件，形成整機方案。通過幾個方面的努力，從芯片可控、硬件平臺可控、研發生產可控，知識產權自主等幾個方面，實現產品安全可控的目標。

（2）建立自主可控技術創新基地，占領自主可控技術新前沿

與國內高校聯合進行技術創新，提升自主可控技術攻關能力，形成核心知識產權。聯合北京工業大學成立自主可控可信服務器實驗室，針對自主可控關鍵技術開展聯合攻關，大幅提升產品核心競爭力。

（3）強強聯合，構建自主可控生態鏈

構建自主可控生態鏈，強化國產化廠商之間的合作，在政府以及國家核心行業、領域構建起從服務器、操作系統、數據庫到應用軟件等整套的國產化產品與解決方案。同時要聯合產業鏈各方，在市場、銷售、服務等方面通力合作，樹立自主可控樣板標桿。構建自主可控生態鏈，關注云計算、大數據、人工智能等基礎設施的安全性。

3 基于自主可控產品的解決方案

在新的安全形勢下，實現我國關鍵信息基礎設施的國產化替代任重道遠，前景廣闊。 “十二五”以來，在黨政軍裝備和信息系統的應用或應用試點中，以CPU和操作系統為代表的自主基礎軟硬件從不成熟到成熟，自主基礎軟硬件產業鏈從組合發散到組合收斂，基于自主基礎軟硬件的黨政軍信息系統從基本可用、到可用、到好用。

基于國產自主可控數據中心解決方案由國產申威高性能服務器、國產網絡設備、國產防火墻、國產高性能終端等構成，如圖1所示，具有高性能、高可靠、易擴展等特性，結合業務系統可用于黨政機關辦公信息系統，以及“公、檢、法、司”業務系統等數據安全可控要求高的應用場合。

方案中基礎物理設備自主可控，使用硬件級可信主動控制模塊，搭載國產高安全等級操作系統，配合國產數據庫，國產網絡設備，深度打造國產自主可控、高性能服務器計算平臺，為整套解決方案提供基礎的計算、存儲、網絡資源。

華勝天成云平臺作為統一的運維管理支撐平臺，針對不同應用場景提供了不同的基礎設施，以滿足上層應用的差異化需求，提高基礎設施效率和快速交付能力。同時，提供統一的服務呈現界面、統一的支撐流程。支持黨政部門日常事務管理、電子化、信息化、網絡化處理等智能化辦公業務需求；支持公文流轉、郵件收發、數據遷移、諸多應用與服務統一配置和管理以及電子文件管理；實現外聯安全管控、移動介質管理、數據導入、終端數據安全等安全控制，提高終端安全、邊界安全的可靠程度；實現多業務平臺支撐，支持常用辦公信息系統應用支持，包含Web技術支持、數據庫支持、負載均衡等；具備與安全可靠基礎軟硬件廠商之間的產業互動協作體系。

（1）基于國產自主可控服務器，從設備基礎層面保證安全，系統穩定性高，保障業務的連續性。

（2）核心功能模塊國產化，自主開發，使得整套解決方案性價比突出。

（3）強大的性能保障，多核多線程技術和高內存帶寬等特性非常適合大數據等業務場景。

（4）通過融合資源池，打破原有煙囪式的資源池使用現狀，打通多個站點和孤立資源池的所有計算、存儲與網絡資源，滿足企業在業務快速部署，簡化管理，增強服務開放性的多方面需求，真正實現資源的統一管、融合用。

4 結束語

目前，國內政府機關、軍隊、公安、保密部門、科研機構、金融、證券等企事業單位大量使用的計算機、網絡設備、操作系統及應用系統等方面對國外的依賴度很高，這些設備、系統帶來高效應用的同時，也帶來了各種安全風險和隱患。處理器是信息產業的基礎部件，如果處理器上無法實現自主可控，那么整個信息產業的自主可控將無從談起。華勝信息國威天成服務器實現了整機的自主可控和高安全設計，為黨政軍等對于自主可控有更高要求的領域提供有力支持。

參考文獻

[1] 陳旦，李斌，葉曉俊.網絡服務安全審查與安全可控評價指標建設思考[J].中國信息安全，2018年06期.

[2] 王闖，王超.信息技術產品安全可控內涵及其評價指標[J].信息技術與標準化，2017年05期.

[3] 胡向東，楊劍新，朱英.高性能多核處理器申威1600[J].中國科學：信息科學，2015年04期.