把脉信息安全 自主可控是良方

　　网络安全成为左右国家政治命脉、经济发展、军事强弱和文化复兴的关键因素。正如美国未来学家托尔勒所说：“谁掌握了信息，谁控制了网络，谁就将拥有整个世界”。然而，我国的信息安全防护能力总体上还处于发展的初级阶段。在许多采购案例中，我们仍可以看到，关键设备以及核心技术使用国外产品，重要系统也采购国外的，这等于把自己的秘密置于别人的眼皮底下，这种现象给我国信息安全带来的是很大的隐患。信息技术尤其是信息技术的核心部分和制高点如果没有自主的信息技术，将失去主宰自己的国际社会安定、安全的主动权。

信息安全必须“自主可控”

　　安全产品采用国外核心处理器，存在着严重的安全隐患。众所周知，CPU是决定电脑性能的核心部件，也是整个系统的核心。其负责整个系统指令的执行、数学与逻辑的运算；数据的存储与传送；以及对内对外输入/输出的控制。一颗CPU芯片由几百万个甚至几亿个晶体管构成，如果设计者在某些晶体管上“开了后门”，谁也无从知晓，这就是安全隐患。采用国外操作系统和安全软件，所有信息全部暴露在别人眼皮底下。之前发生的操作系统黑屏事件，就是非常典型的国外厂家操纵网民的电脑，而网民却束手无策，坐以待毙的惨痛经历。而在信息化的防护体系上，安全产品如果采用国外的软件，则网络所有的流量情况、流向、信息内容、关键内容等等都可以被完全回放，甚至做出细致的分析图表发到国外。而这些，都是在神不知鬼不觉的情况发生的。

　　目前市场上的安全产品，其硬件平台大都采用国外核心CPU，这就是存在安全隐患。 建立在国外芯片技术之上的信息化，国家安全将无从谈起。要构建中国自己的信息安全体系，必须从核心做起！使用国产的自主的核心芯片，将是中国信息安全的必然趋势！

中国芯 守护信息安全

　　要掌握信息安全的主动权，必须建立自主可控的信息产业体系，而核心的部分就是自主芯片—龙芯的设计。龙芯CPU从32位到64位，从单发射到4发射，从0.18微米到0.09微米工艺（目前正在准备采用65纳米工艺制造龙芯3号多核CPU），工艺升级两代，主频从266M到1G，集成度提高12倍，芯片实际性能提高了约30倍。龙芯CPU的发展速度远远超过摩尔定律，5年之内跨过了国外大企业十几年走过的路，实实在在地实现了跨越发展！

　　具体说来，龙芯2F是64位RISC处理器，采用90nm的CMOS工艺制造，典型工作频率在1G，支持动态频率调节以及关闭内核时钟等动态功耗管理功能，实测功耗小于5瓦。龙芯2F集成64位DDR2内存控制器，无北桥设计，有效提高了I/O性能和内存访问带宽，整体性能得到较大提升。基于龙芯2F的防火墙采用了千兆的网络芯片，并对整个系统进行了优化，性能达到了千兆的主流水平。专业实验室对龙芯2F进行了认真测试，新建连接数超越了2.1GHz频率的Celeron，达到了较高的水平。

全芯升级，曙光推出龙芯千兆防火墙

　　曙光公司07年推出了首款完全自主知识产权的龙芯百兆防火墙。时隔年余，曙光携手龙芯推出千兆安全产品，不但继承了百兆龙芯安全产品完全自主的技术优势，而且还采用了性能更高、总线速度更快的龙芯2F处理器，结合曙光自主研发的安全操作系统和安全软件，形成了软硬件一体化的安全系统。该产品不仅完全自主可控，而且性能卓越，适合更高的千兆网络环境使用，可以说，龙芯在安全领域的应用已经全面展开。
　　
　　基于龙芯2F的千兆防火墙在设计上既吸收了龙芯2E百兆防火墙的各种经验，又在软件设计上进行了重大升级。经过多年的发展，曙光防火墙系统已经具备2－7层全方位的安全防护功能，成为一个UTM综合安全网关系统。该产品不但能提供强大的访问控制、安全管理功能，对通过防火墙的网络访问请求进行控制，拒绝非法用户的访问试探，为用户构筑稳固的网络安全屏障，对外网络连接提供安全过滤防护，确保内部网络不受外网病毒、木马、蠕虫以及入侵等恶意行为的干扰。不仅如此，曙光千兆龙芯防火墙还具备高级路由、带宽和流量管理（QOS）、入侵防御（IPS）、病毒过滤（AV）以及虚拟专网（VPN）等应用安全和管理功能。可为用户构建一个安全的网络管理平台，并且管理方式简洁友好，管理员通过B/S管理方式，很方便地定制管理网络内用户的安全访问策略，有效提高网络的应用效率和安全等级。

曙光千兆龙芯防火墙在国家工信部成功部署

　　除了自主产权外，龙芯网络安全产品还具有低功耗的明显优势。计算机世界实验室曾经对曙光龙芯防火墙产品的性能以及节能降耗方面进行全面的测试。为了明确基于龙芯的安全产品在能耗方面的优势，评测中专门把基于龙芯的曙光防火墙产品和基于X86平台的防火墙产品进行了专门的能耗测试对比：在主板不加电的情况下，两台设备的功耗同为17W。恢复主板供电，开机进入系统后保持空载运行，此时基于龙芯的产品功耗为31W，X86平台的产品功耗则上升至38W，两者相差7W。接下来，使用SmartBits同时向两款产品加载64Byte双向线速的流量，确保它们都达到满负荷工作，此时基于龙芯的产品功耗为32W，只增加了1W；X86平台的产品功耗则达到56W，几乎是相同情况下基于龙芯产品的一倍，比空载时高出18W。具体的能耗对比情况如下图所示。

　　 从这些数据中可以看出，龙芯架构的能耗优势是非常明显的。为了尽量真实地模拟现实环境，测试中还将两台设备配置为SNAT模式，龙芯2E在12小时中的耗电量为 0.381kWh，Celron 1G的耗电量则为0.533kWh。以此计算，采用龙芯架构的整机将比Celron 1G每年节省约111度电。

　　当部署规模逐渐加大，性能能耗比将成为非常关键的指标。实际应用效果相仿的情况下，能耗自然是越少越好，这意味着运营成本的降低。可以想象，如果数据中心里数以百计甚至数以千计的网络通信、信息安全等设备都采用龙芯架构这样低能耗解决方案，每年节省下来的电量会是个惊人的数字。随着部署规模的逐渐加大，能耗将成为无法忽视的指标。如果数据中心里数以百计甚至数以千计的企业计算与网络平台都采用龙芯架构这样低能耗的解决方案，每年节省下来的电量会是个惊人的数字。从表面上看，运营成本大大降低了；深入些看，也为环境保护带来非常积极的一面。温总理在政府工作报告中怎么讲的？要“更加重视节约资源和保护境”。这是政府工作的基本思路和主要任务之一，也是当今我国的一项基本国策。节能、减排、环保，这三件事不分家。本次测试因为龙芯两个字变得不寻常，过程与结果也一直备受瞩目。成熟稳定、节能高效，这就是我们的整体感觉。龙芯，请向着机房，向着数据中心大步前进。

扩展应用，基于龙芯的机群安全模块（DCSM）

　　机群系统已经成为目前高性能计算机的主体架构，在TOP500的统计中，超过80%的高性能计算机都属于机群系统。事实上，无论是用于高性能计算、负载均衡，或用来构造高可用系统，计算机机群都是现阶段用户最重要的信息化建设内容之一。网络技术的发展使得我们可以通过内部局域网或Internet互联网向用户开放机群系统，实现机群使用的方便性和高效性。网络访问方式给人们带来了很多便利，但这种开放式环境也提高了信息安全的风险性、容易造成信息丢失，给心怀叵测者可乘之机。对公司不满的员工、黑客、行业间谍、疯狂的电脑技术爱好者能通过各种方式截获网络传输数据、入侵数据库，对信息安全造成严重的威胁；同时，机群系统的普通使用者试图超越自己的权限，获得不合适的信息数据和操作权限，给机群系统的管理使用带来挑战。

　　事实上，国内的高性能机群系统安全防护不到位，出现安全问题的案例也屡有出现。如：某航天集团用户，高性能计算机系统root密码被破解，数据被盗窃，被定位为泄密事件。机群系统一般部署用户的关键应用，存储重要数据，其安全问题是我们要重点考虑的问题之一。DCSM机群安全模块源于智能防火墙技术，其核心思想是为机群系统的使用增加一道管理屏障，增加机群的整体安全性和可管理性。DCSM专门针对机群按进行了优化，在软件设计上增强了机群系统的接入控制和安全管理功能，使之与机群产品有机结合，从而更好地发挥机群网络安全门户的作用。

　　曙光与龙芯的携手基于同样一个理由——民族需要！也有着共同的使命——国家安全，基于这样的理由两者紧密的结合在一起。从去年推出基于2E龙芯的百兆安全产品之后，曙光经过了用户反馈和经验积累，现在曙光发布了基于龙芯2F的千兆产品，同样的全自主技术，升级的性能指标，更重要的是由于百兆龙芯产品的优异表现，使得千兆龙芯的产业化进程有了实质性的飞跃，如果说百兆龙芯还有基于民族情节的实验品印记，那么千兆龙芯则是基于市场产业化需求推出的全新产品。创新的路是艰难而曲折的，不仅意味着从零开始，也意味着承受众多非议和不解，中国第一台高性能计算机曙光1号是这样，第一片龙芯也是这样，两者相同的研发之路让龙芯与曙光结下了不解之缘，浓厚的民族情，坚定的创新路，使得中国全自主的概念有了更多的希望。但随着更多的厂商认识到只有自主创新才是长期稳定发展的必须之路，相信更多厂商将不断加入这个队伍，以曙光为代表的国内厂商积极探寻新的发展道路，在实现技术上的突破后，更多的关注点应该是如何将技术转化成切实的市场竞争力，那么此次曙光与龙芯的合作应该为更多的国内厂商带来一定的启示。