中标软件:用国产自主可控实现可替代

我们的国产化替代是分两个阶段,第一步是自主可控,再实现安全可靠。在这里和大家分享中标软件这么多年来,除了在自主可控的工作之外,我们在安全可信和操作系统做的工作。第二部分分享一下在自主可控替代和自主空间,对推进国产替代的体会。

ZD至顶网CIO与应用频道 12月26日 北京消息:2016年12月22日,由工业和信息化部软件与集成电路促进中心(简称“CSIP”)自主研发的自主空间(TEMPO平台)V2.0正式发布。中标软件有限公司安全可信专家董军平指出,现在自主可控替代已经由单一产品替代到解决方案,就是今天TEMPO2.0有两个重要的特性,知识库和解决方案,这是非常重要的。

中标软件:国产自主可控实现可替代

中标软件有限公司安全可信专家董军平

以下为演讲实录:

我们的国产化替代是分两个阶段,第一步是自主可控,再实现安全可靠。在这里和大家分享中标软件这么多年来,除了在自主可控的工作之外,我们在安全可信和操作系统做的工作。第二部分分享一下在自主可控替代和自主空间,对推进国产替代的体会。

首先看一下网络安全形势,现在国际上网络安全形势非常严峻,大家都知道震网病毒,棱镜门,乌克兰电网供给等事件,凸现网络安全的紧迫性。另外从网络安全需求的角度可以看一下,传统的计算机体系结构和设计上的安全缺陷,现在用到的计算机还是在上世纪50年代发明的,比如传统的结构,当时设计和产生计算机的时候,没有考虑到今天复杂的网络病毒木马的攻击和破坏。另外,从我们国家的安全,行业信息的安全有特殊的需求,需要安全可靠+自主可控。

我们国家从习主席十八大以后,对网络安全提升到了非常重要的高度,没有网络安全就没有国家安全,这是非常有前瞻性的。中标软件从04年成立,一直在做国产自主操作系统软件产品,通过这十多年看,这两年对国产的软硬件厂商或者国产的产业来说是一个非常好的时机,未来五到十年是一个非常好的发展机会。

近期通过网络安全法,明确指出来要推广安全可信的网络产品和服务。这里简单和大家分享一下,对可信计算的理解,在实现自主可控的基础上,刚才宋总讲到了,自主不一定是安全,怎么能够在自主的软硬件的基础上,再加上一些技术,真正保证自主可控和安全可靠。可信计算是现在比较好的防护方式,传统的大家知道,以前是做的防病毒软件,预警检测,防火墙,它是老三样,它还是防堵查杀的方式。通过在硬件上引入可信芯片,构成信任根,从平台加电开始,到应用程序的执行,构建完整的信任链,一级认证一级,一级信任一级,微获认证的程序不能执行,从而使信息系统实现自身免疫,构建高安全等级的防护系统。

简单总结一下可信计算与传统安全防护的对比,在大家用到的环境里,计算机加链以后,到操作系统内核起来,这个过程是没有安全防护的,大家也可以对比一下微软最新的Windows10操作系统,就是结合了国际上(英文)2.0,把启动的过程做了调整,Windows操作系统在早期的版本里是先启动操作系统再加载安全模块,这里有一个问题,如果操作系统内核被修改,后面加载的防御模块也会被修改,在Windows10里,微软将操作系统的启动流程进行了调整,首先是通过芯片度量操作系统有没有被修改,如果没有修改再启动微软自己安全防御的模块,通过没有被安全的安全防御模块度量微软的Windows10的操作系统的内心,再加载后面的系统。传统的安全防护里,操作系统一按电源到启动之前,这个系统是非常危险的,操作系统过程是没有安全防护的。

中标软件一直在做一件事情,就是做国产自主的操作系统,同时我们也一直努力实现在自主操作系统基础上,如何实现安全可靠。在05年在申院士的牵头下,我们和北工大和华为等厂商一起在做可信计算的支撑平台,有一个联合工作做,做了一个标准,在06年有可信计算的两个成果,可信计算的密码归满和可信计算的计算平台。在07年就有了安全标准研究的内容,当时和华为,长城电脑和北工大一起做,同时在07年通过了公安部的三级认证。在08年中标软件作为可信计算的工作组和成员单位。09年中标普华高可见Linux操作系统4.0研制完整。2010年中标麒麟安全操作系统软件V5.0研制完整。2011年和北工大合作完成核高基专项可信子系统技术方案。在2012年和武汉大学和华为公司,国民技术,南京百敖共同成立工作组。在2013年中标麒麟安全操作系统软件V5通过了GBT20272—2006第四级测评。2014年成立了中关村可信计算产业联盟,2015年完成了中标麒麟可信操作系统软件V6.0,完成了适配。今年和华泰一起做可信软件国标的工作。中标软件这么多年,除了在通用平台的操作系统以外,还做安全操作系统,包括可信操作系统,满足保密和涉秘需要的,比如基础安全可信增强的操作系统,包括虚拟化的平台软件。

中标软件参与了很多的可信联盟组织,中关村可信计算产业联盟,中国可信计算工作组,中国可信云社区,中国电子CEC可信理事会成员,CJ可信计算工作组核心成员。可信操作系统是国内唯一支持按照操作系统+可信计算技术的。我们支持X86和自主的CPU平台,刚才宋总讲到了,除了飞腾的平台,我们有龙芯、申威等都有合作。这是我们可信管理中心,百民但的度量和配置,基于可信芯片的保密箱。

目前和自主CPU,包括X86,英特尔等等都做了适配,对1.0芯片和2.0芯片都支持,国内的主要的服务器厂商,华为、浪潮、高鸿等等都做了适配。这是在客气云社区做的工作,中标软件除了做自己的产品之外,对OpenSSL国密算法改造及支持,可信嵌入式设备适配,还有2.0软件站的开放。目前操作系统已经在北汽集团的无人驾驶车载系统里得到了应用,这是把安全技术一直到FreeBSD操作系统,这也是一个比较好的尝试,是一个成功的应用。另外就是在嵌入式,基于安卓平台,嵌入式操作系统安全可信增强。还有电力二次防护系统应用,还有国防领域的应用,我们实现了一体化的认证,完整性保护,可信白名单管理,强制管控,三权分立等等。

现在自主可控替代已经由单一产品替代到解决方案,就是今天TEMPO2.0有两个重要的特性,知识库和解决方案,这是非常重要的,因为自主的操作系统,自主的产品,对他们来说是一无所知,今天坐在这里,不管任何一位,对国产软硬件都是专家,但是出门以后,到下面的每一个客户,到党政军办公室里去,他们真的不一定了解这个行业,不一定了解国产软件的现状。今天有单一产品应用到解决方案到生态环境了,这是很大的跨越,工作非常艰巨,2014年中标软件当时是WindowsXP停止替代,当时中标软件做了一件事,调研了接近30家单位,包括科技部很多的部委,包括企业,包括中软总部,科技部、民航总局、制造企业,我们调研他们的需求,如何替代它的操作系统。我们是先列出一个N个表格,现在单位里所有的PC、笔记本、手持终端有什么型号,业务办公有哪些工具,还有业务,内网应用,往往应用,还有专网应用等等,全部列出来以后,当时我们是作为一个操作系统厂商做的,当时在中软做了试点,做国产化替代,首先是接入X86平台,替操作系统,我们发现问题相当多。比如说外设驱动,这也是在一段时间内必须要解决的问题。第二是应用的适配,以前接入Windows平台,如何到国产操作系统上,有的开发商都找不到了,如果是跨平台的也可以重新编译,我想说明一个温家,中标软件一家干不了这个事情,在座任何一家也干不了这个事情,这个自主可控替代,包括现在做的这件事情非常好,是需要大家共同推动的。

试点应用到规模化应用。现在很多单位参与了2012年的核高基,未来的市场空间很大,道路也会很曲折,大家要有心理准备,包括用户厂商和集成商大家都要付出才能做成这件事。由试点应用到规模化应用,这是一个跨越,需要我们做很多的工作。这个片子大家看到过,是国内自主可控替代的基础,为什么我们又看重这件事。因为习主席明确提出了,要加快推进国产自主可控替代计划,构建安全可控的信息技术体系,这是非常好的信号。自主可控替代刚才我说了几个特性,一个是正版化应用到实际应用,软件应用到软件一体化应,由单品到解决方案,到生态环境,第四是试点到规模化应用。

自主可控替代我们也提一些建议,我们不要一刀切,而且市场有一定的区分,我们主要是面向党政军的市场,我们建议应用需求的场景不同分类实施。另外是IT先局部替代,最终整体替代;操作系统先服务器端,然后桌面端;首先实现自主可控,然后安全可信。服务器端替代应用场景和所处的阶段,并发数200以下,替代方案是软硬件全国产化。

来源:业界供稿

0赞

好文章,需要你的鼓励

2016

12/26

15:41

分享

点赞