“曙光其实一直以来都是一个科技创新型的企业,一讲到曙光,大家想的是HPC,高性能计算,曙光目前是全亚洲第一的高性能计算厂商,在全球排名第三,另外一个就是讲到中国科技的重要成果,现在可以看到第一个是高铁,还有一个是像支付,移动支付,还有一个就是HPC和现在的量子计算机,我觉得是这四个方向。”在刚刚结束的2017中国信息技术主管大会上曙光信息产业股份有限公司网络安全产品事业部总监张榆这样说。
曙光信息产业股份有限公司网络安全产品事业部总监张榆
曙光的信息化发展建设思路
最早是1993年以来国内第一台高性能计算机叫曙光1号,国家也是百废待兴,国外-对这一块是禁运的态度,高性能计算机来到中国其实是放到一个玻璃房里,钥匙掌握在国外专家里,这个叫玻璃房子。在1993年的时候由李院士带队,研发出第一台曙光1号高性能计算机,同时1996年曙光公司成立,也是取曙光1号的名字。
2008年,我们开发出曙光5000A,也是坐落于上海,曙光6000新云计算机,现在在深圳超算中心,排到亚洲第一,全球第二。我们在2011年发展了城市云的战略,曙光做云计算首先是做私有云,做私有云的解决方案。
我们在公有云这一块,其实我们做的是城市云,跟全国各个城市签云计算中心,把当地大型的央企还有省职机关,政府单位,公安局的数据接进来,做大数据分析,从中找到价值,2015年发布数据中心,以数据为先导。
2016年数据中国加速的计划,其实把它更加落地化。这一块是我们现在有7个产品线,除了高性能PC这一块,还有服务器存储,云计算,网络安全等七条产品线。
简单解读一下我们的数据中国战略,数据中国在2015年提出来的时候是说要建百城百行做城市云计算大数据中心,目前我们已经在40多个城市建了城市云计算中心,并且在上面,相当于把政府以前的业务和数据分析全部上传到云上做,目前也是覆盖了30多个行业。
主要是让全社会共享这个数据价值。在去年发布了数据中国加速计划,其实主要是把这个更加细化,就是聚焦于四个行业,科学大数据、工业大数据、政府大数据和安全大数据,这四个方向。另外就是我们在做数据中国计划的时候,其实有一些技术支撑,包括云计算,大数据的技术,还有跟合作伙伴产生技术联盟,另外一个就是安全,一定要保证城市云平台的安全,就引出下一个议题,我们曙光在自主可控保障信息安全。
安全可控到自主可控
现有的信息安全系统其实是构建于软件之上,我们可以看到基本上以攻防为主,其实各个安全厂商都是一些软件厂商,把软件放到公共机上,形成网络安全设备,这一块有在主机层面,硬件层面缺失。其实核心的元器件,尤其是CPU这一块,其实并不掌握在我们的手里,这一块现在来说很有可能存在风险。
如何解决这个问题,其实就是我们讲安全可控,安全可控其实是包含三个层面的概念,一个是制造安全可控,就是我的生产制造一定要安全,不会在这个生产过程中埋入后门。另外一个是供给安全可控,能以合理的价格,并且在需要的时候买到元器件。第三个是讲发展可控,发展安全可控,我的核心器件在发现漏洞,或者发现缺陷的时候,我能及时的升级和修改我的功能,比如说我们是通过授权的方式,在授权之后你应该有一个延续。
这三个方面加起来是安全可控,其实安全可控的核心是什么?大家也可以看到,就是自主可控,如果解决了核心元器件,核心元器件最重要就是CPU,还有一个是基础软件,最重要的就是操作系统,还有数据库,其实把这些如果做到一个安全化,其实就能解决安全可控的问题。
曙光一直参与可控产业链,一个是性能问题,一个是稳定性,还有一个是产业性能没建起来,现在还都是以国家技术经费为支撑,一个技术发展起来一定要得到市场的认可,我们打算以曙光为核心,打造整个完整的生态环境,包括硬件厂商,还有CPU,还有集成商等等一起做自主可控产业链。
大家目标都是一样的,就是推广自主可控。其实我们做了三件事情,简单介绍一下,第一个就是总结出一套真正的业务模式,包括从咨询到监理到集成还有核心芯片和硬件设备的一套业务模式,因为只有业务模式完整了才能更好为客户服务。另外我们跟好多软件厂商做自主可控软件的厂商成立了国家自主实验室,我们其实这个实验室承担了好多兼容性还有调优优化的工作,包括有好多甚至是特一级的实验室。
构建了自主可控的产业联盟,其实更多是跟各地的集成商或者是跟全国各地知名的龙头企业成立产业联盟,因为这个不能只在北京,一定要下到当地一起推广,所以我们跟各地的龙头企业一块构建了好多自主安全产业联盟。
包括我们跟工信部成立了工信部天津市还有北京市,还有中关村军民融合一块构建了自主安全产业联盟单位,这是一个列表。
最后我其实讲一下曙光在自主可控的技术实践,其实我们在这一块技术积累已经将近十几年了,从2006年开始。第一个就是我们看到自主可控其实讲的最关键的就是CPU,其实CPU有好几个方向,第一个是龙芯CPU,还有一个国防科大做的,其实在去年他买了AIM的授权,其实做了AIM架构的CPU,其实AIM在一块有风险,因为AIM被日本的软银收购,而且给飞腾的授权是五年,五年之后怎么弄。还有第三个是江南计算所做的声微系列的CPU,还有一个是其他,其他就包括像X86架构的,这些更多是一个引进的思路。
我们说我们在选自主可控芯片的时候,我们为什么选龙芯,曙光跟龙芯是同一个董事长,而且都是计算所出来的企业,我们把很多中科院计算所的成果都转化到曙光落地,我们沟通没有任何障碍。龙芯是一个纯自主研发的芯片,仅仅是采用了(英)的指令级,其实无论是从软件还是从硬件架构都是纯自主设计,我们觉得要做自主可控,还是用纯自主研发的,包括一些GPU这一块都是自主设计。
我们基于龙芯推出一系列的自主可控的硬件产品,就包括双路和四路的服务器,还包括桌面终端,其实我们也做出了笔记本,还有龙芯的安全产品,还有基于龙芯主控CPU和国产交换芯片的数通产品等等。
其实在这里面,我们做了很多,曙光配合龙芯做了很多技术上的优化,第一个是桥片的优化,除了芯片我们还有一些BMC管理芯片等等,其实选了好多型,进行适配工作。第二个是调优,包括对编译器的调优,对网卡、显卡的调优,还有对操作系统和行业应用的适配。大家讲到国产CPU,其实我们如果仅仅靠他跑分,跑的成绩,无论是浮点运算还有定点运算基本上都是很高的,在实际用的时候发现真正跑应用的时候比较慢。为什么?主要是这一块对调优做的不够,比如说英特尔,他的软件研发人员比硬件软件多。
我们在某个军队的系统里,通过对应用的调优,基本上性能提升十几倍,其实调优也很关键,我们针对客户的应用做了很多适配和调优的工作。
最后一个是管理监控的技术,一个是我们在龙芯平台上做了完整的ITMR,另外一个是我们有一个(英),监控软件,我们也移植到龙芯的平台上做,这个是我们在这一块获得的专利,大概是一百多个专利。
自主可控技术实践
简单讲几个真正的应用实践,第一个就是我们的自主可控信息系统解决方案,全套基于龙芯的自主可控硬件平台,主要是用于军工包括党政机关密级要求比较高的环境下,对性能要求不是特别高,里面涉及到一年产品包括服务器存储、终端、安全产品还有交换机等等,其次还有一些办公软件,数据库。这个是我们的一系列产品线,包括两路和四路的服务器,还有桌面终端PC,还有我们的安全产品,安全产品其实是三个第一,首先在2001年7月份,我们发布了第一款基于自主可控CPU的防火墙,在2014年发布了第一款自主可控的堡垒机,包括接入交换机,路由器等等,这一套系统基本上目前来看是完全满足党政办公的需求,信息化的需求。
另外一块,我们的技术实践是其实曙光承接好多项目,有一个项目要做网络流量的分析处理,这个网络中传输的数据,其实我要抓取下来做分析和做处理,这一块考虑到项目的情况,其实他要求达到80%以上,性能还要达到万兆,现在我们自己做的龙芯防火墙,其实只能达到千兆,这确实是一个瓶颈,主要是主频低,还有一个LO速率比较低,基本上现在有些还支持PCIE1.0,其实我们是通过整机的优化,国产的CPU用了国产的加速卡对网络计算做加速,基本上通过一些处理加速的思路,使在国产CPU上把网络处理发挥万兆的性能,我们也成功通过了验收。
最后一个是满足国密算法的加密卡,它现在支持ECC国际算法,同时也支持商密算法。主要应用场景是两个,一个是网络传输的加密,在有些网络传输要求必须用商密的算法,甚至有些场景还得用普密的算法。另外一个就是数据读写的加解密,对于存到硬盘里的数据,我会把这个LO请求弄到加密卡上,不仅仅是存硬盘,比如说存集群或者是存到阵列里,也可以实现加解密,这一块是我们基于国产芯片做的自主可控的加解密的方案。
