這樣的防火牆「中國芯」，才叫自主可控

【文/觀察者網專欄作者 科工力量】

在不久前的一次自主安全論壇上，申威公布了最新的技術藍圖，公開了申威3232、申威432等CPU的設計指標。緊接著，北京中科網威信息技術有限公司發布了中國首款採用申威CPU的自主可控萬兆防火牆，在防火牆領域實現了對採用英特爾CPU的完美替換。

在中興被美國制裁之後，大力發展自主可控晶元和基於自主可控基礎軟硬體的信息技術產業已經形成共識。不過，要替換掉英特爾、ARM的晶元，不能在實力有限的情況下衝擊桌面CPU和智能手機CPU市場與外商硬拼。而應當走「農村包圍城市路線」，像防火牆、IDSIPS漏洞掃描系統、固態硬碟主控晶元、工控晶元等將成為自主CPU替換馬甲CPU和國外CPU的突破口和根據地。

申威CPU最新藍圖

根據申威的規劃，將在桌面CPU、伺服器CPU、超算CPU等幾個方面全面發展。計劃在2019年，完成第四代申威核心與申威432的研發，主頻的設計指標是2.2—2.5GHz，綜合性能預期可以達到同期國際主流水平的60%。

申威還發布了新一代高性能伺服器處理器申威3232的設計指標。申威3232是32核伺服器CPU，綜合性能預期可以達到國際同期英特爾主流伺服器處理器性能的60—70%，主要面向大數據、雲計算等領域，支持四路直連，單晶元最大支持主存容量達到2TB。

申威3232各項指標最為驚艷的是單核性能，在主頻2.2-2.5GHz的情況下，SPEC2006測試成績預期可達25—30分，也就是單核心每Ghz超過10分。

如果這個成績是在GCC下取得的，那就非常嚇人了，畢竟AMD Zen的單核心每Ghz也就是這個水平，英特爾公司的內核單核心每Ghz大約在12+的水平。

換言之，在微結構設計水平上，申威和英特爾、AMD這些國際一流的大廠差距縮小到10—15%，即便單核心每Ghz超過10分是申威自己的編譯器下取得的成績，那也很不錯。

至於神威E級超算原型機，因種種原因還是等待官方披露好了。此外，申威計劃在2022年完成第五代申威核心與申威433的研發，申威433的主頻達2.8-3.0GHz，綜合性能達到同期國際主流水平的80%。屆時，只要軟體生態不拖後腿，就可以全面替換英特爾、AMD的高性能CPU。

建立產業生態把CPU用起來

做出了性能不錯的晶元，不能把晶元鎖在抽屜里，而是應當把晶元用起來。中國工程院院士李國傑提出「自主晶元產業發展需要應用支撐」的觀點。李國傑院士認為，發展自主晶元，不能等「做到跟國際水平一樣」才用，在用的過程中才能發現問題，及時改進。

龍芯首席科學家胡偉武指出，晶元沒有應用，做出來就是白做。國產晶元現在在一樓，想努力去往二樓，可是沒梯子……就算不給梯子，給條繩子也可以，至少讓我們有東西能借力爬上去……魔鬼藏在細節中，而細節，藏在應用中。缺少應用，也就難以進行針對性改進，二樓就變得可望而不可及。

想要把自主CPU用起來，並實現產業化，單單有CPU是不夠的，還必須有廠商給自主CPU做主板、整機應用和軟體生態。有鑒於此，國內部分CPU公司、板卡商、操作系統廠商和整機廠商已經組建了中關村可信計算產業聯盟自主可信專委會。

參加專委會的成員已經覆蓋了自主可控安全產業鏈上的各個環節，比如CPU廠商有申威和龍芯；板卡廠商有正陽天成和龍芯夢蘭；固件廠商有崑崙固件；操作系統廠商有深度、中標麒麟和普華；整機廠商有中科網威、立思辰、國保金泰等企業。這些廠商已經初步形成了一個自主可控安全的生態圈。

在黨政市場，採用自主CPU的整機產品已經有了不少應用，比如中科網威的自主可控系列網路安全產品，已經在黨政市場里有較大規模的應用，市場份額位列第一；又比如龍芯夢蘭的電腦，在黨政試點中份額位列前茅。

（中關村可信計算產業聯盟自主可信專委會的部分成員單位）

網安、工控等應用就是自主CPU的突破口和根據地

建立自主可控技術體系，並不意味著要直接與X86和ARM硬拼。有個比較有趣的現象，那就是只要一款CPU沒有進入像PC、智能手機這類與老百姓生活息息相關的行業，很多網友就會覺得這款CPU壓根不存在，或者就是騙錢的。

事實上，要想建立自主可控的技術體系，必須優先從一些常常被大眾忽視的領域著手。比如網路安全設備，以及工控、交通、能源、金融等行業應用，這些行業應用平台遷移難度遠遠低於智能手機和個人電腦。

原因就在於智能手機和個人電腦有海量的應用，而且像阿里、騰訊、百度這類互聯網公司是非常商業化的，在自主技術平台缺乏足夠用戶的情況下，是根本不會把QQ、微信、支付寶等應用軟體遷移到自主技術平台上的。至於那些國外軟體公司就更沒有動力做移植了。

而像行業應用，由於只需要執行特定的程序，具備特定的功能，即便是整機廠自己寫操作系統和應用系統，也能做下來。因而行業應用會是自主CPU的「革命根據地」，只要不斷的擴展行業應用領域，就可以把根據地擴展出去。就像土地革命時期，把有限的力量在大城市和敵人硬拼是要吃大虧的，必須上井岡山，拓展根據地，走農村包圍城市的道路，實現「星星之火，可以燎原」。

在防火牆等網安產品上可以實現對國外CPU的替換

防火牆是將內部網路和外部網路做安全隔離的設備，在保障信息安全方面意義重大。目前，國內防火牆大多在軟體上基本實現了國產化，但在硬體採用自主CPU的廠商卻非常少，即便是華為和華三這樣具備很強技術實力的企業，在自己的防火牆上依然採用美國英特爾公司的CPU。

之所以出現這種現象，並非自主CPU性能不行，而是商業公司已經習慣了國外CPU。

就以不久前中科網威發布的自主可控萬兆防火牆來說，性能已經不輸於採用英特爾CPU的國產防火牆。在實際測試中，小包吞吐達63%，基本達到同檔次X86防火牆的水平，高於萬兆防火牆國標。整機吞吐性能已經達到20-30G，而採用英特爾CPU的防火牆整機吞吐性能一般在20-40G，中科網威自主可控萬兆防火牆可以替換同樣整機吞吐量且採用英特爾CPU的防火牆。

除了性能不俗之外，中科網威自主可控萬兆防火牆還具備非常好的安全性。

首先，由於上海高性能集成電路設計中心一直未公開SW64指令集，這使惡意攻擊者無法編寫針對申威處理器的shellcode。

其次，申威CPU內核的每一行代碼都是自己寫的，這樣就可以保障CPU內不存在國外CPU和馬甲CPU里常見的「冗餘模塊」，從而保障安全可控。特別是之前英特爾、AMD、ARM的CPU接連曝出存在「幽靈」、「壟斷」漏洞的情況下，採用自主設計的CPU相對於國外CPU有更好的安全性。即便在寫代碼的時候，因疏忽留下了漏洞，但「難者不會，會者不難」，CPU是自己設計的，因此自己也可以修改。不會出現國外CPU和馬甲CPU只能等著洋人給你打補丁的狀況。

最後，中科網威自主可控萬兆防火牆的操作系統和應用系統全部是自己寫的，加上核心硬體自主可控，使中科網威自主可控萬兆防火牆對溢出式攻擊和惡意代碼具有天然免疫力。

特朗普制裁中興有助於自主CPU的推廣

目前，採用自主CPU的各種產品在市場上比較小眾。這固然有自主CPU性能、功耗、成本不如X86、ARM CPU的原因，但商業公司的短期逐利性也限制了自主CPU的推廣。

過去，國內商業公司一直在使用國外CPU，且習慣於使用國外CPU，加上這些整機產品在市場上賣的不錯，因而沒有多少動力去換掉國外CPU。

何況如果要採用自主CPU，不僅軟體上就要重寫，還需要時間去驗證整機產品的可靠性。由於英特爾、ARM有更強的品牌光環，要讓客戶認可自主CPU也要花費很多時間和精力，可以說是費錢費時費力不討好。

前不久，特朗普政府制裁中興事件，則給國內商業公司敲響了警鐘。

根據美國商務部披露的資料，中興之所以遭遇制裁，是因為向伊朗出售了電信設備，用於伊朗國家防火牆的建設。

試想，如果中興出售給伊朗的設備里，CPU、DSP、FPGA、RF、AD/DA等器件用的都是國產貨，美國還有理由制裁中興么？或者說，即便找一個借口制裁了中興，中興會像現在這樣進入「休克」狀態么？

有了中興事件這樣的前車之鑒，恐怕國內的整機廠會有意扶持本土廠商作為技術備份。

另外，特朗普政府的制裁也戳穿了馬甲晶元「皇帝的新衣」，一些宣稱是「完全自主研發」、「自主知識產權」的馬甲晶元面對特朗普政府的制裁不堪一擊。

因此，對於國家而言，應該大力發展那些可以加強自主技術體系的應用和項目。

政府在立項時應該從知識產權、技術能力、發展可能性、供應鏈、資質以及信息技術體系等方面做自主可控評估。評估這個項目做成之後，是會進一步加強Wintel和AA壟斷，還是可以加強自主技術體系建設。如果是加強Wintel和AA壟斷的項目，就不應該做，必須支持那些能夠把ARM、X86趕出中國的項目。

只有這樣，才有助於解決中國信息技術產業發展受制於人、信息安全受制於人的困局。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！