如何在云防护体系CPU和内存之间加入控制芯片解决数据突出的问题？

随着新基建国产软硬件全面规模化应用进程加快，加速了中国企业数字化转型的步伐。

中国电子信息产业集团（以下简称中国电子）正式推出中国电子云，为政府机构、公共服务、大型集团企业等提供服务。

“中国电子十年磨剑，已经形成了完整的自主网信产业链条。”中国电子信息产业集团副总经理、党组成员陈锡明说，中国电子云作为新基建的核心要素，采用了被誉为“中国架构”的PK（飞腾CPU+麒麟操作系统）体系，从CPU到操作系统，再到数据库、整机、内存控制器等均实现自主。

自主是安全的前提

自主虽然不能完全等同于安全，但毫无疑问是安全的前提和基础。

“中国电子云采用的飞腾CPU，不仅软件的每一行代码、每一条语言是自己写的，设计图纸也都是自己画的。”陈锡明说，中国的自主创新团队正在不断成熟。

“判断一个东西是不是自主、掌不掌握核心，你就看它的迭代推出速度。”陈锡明对科技日报记者表示，CPU是“皇冠上的明珠”，只要掌握其核心，随着整个系统打磨得越来越“亮”，更迭的速度就会加快，近期飞腾CPU大约每半年就推出一款重要产品。

源头的自主带来更加强劲的自我完善和更迭能力，在面对攻击者不断变换的攻势时，才能从容对阵。

陈锡明举例说：“为了实现可信计算，我们的多核CPU里有一个核被‘任命’为可信核，它领头营造可信小环境。”

以可信系统“衡量”环境可信度，在确保安全的基础上“唤醒”通用系统，再启动传统计算，这样的防御策略对当下越来越“潜伏化”的攻击效果显著。

在2020数字中国创新大赛的网络攻防效果（以面积方式呈现）对比中，“中国架构”成功应对9大类攻击，其防护面积是经典CPU与操作系统组合（即Intel+Linux组合）的2.5倍。

“如果我们没有自己开发CPU、操作系统，我们的每一个想法都不可能实现。”陈锡明说。

无创新不安全

安全是悬在政务数据云化的“达摩克里斯”之剑。

中国工程院院士方滨兴认为：“最大的矛盾在于很难在保护隐私的同时开放大数据。”尤其在政务大数据中，此类矛盾格外突出。

“根据相关管理意见，党政部门采购云计算服务，安全管理责任不变、数据归属关系不变。”中国网络安全审查技术与认证中心审查部门负责人贾大文表示，这意味着数据云化之后，党政部门仍旧担责，出现问题不得将责任推诿给云服务商。

如何解决政务数据突出的安全矛盾、促进政企顺畅上云？中国电子云从源头创新，加入“S-Security”立体防护的安全可信链，化解安全问题。

据统计，网络空间中80%的数据攻击自内存而来，内存也因此被视为脆弱的“阿喀琉斯之踵”。

“中国电子云防护体系在CPU和内存之间加入控制芯片，形成完全可信内存区，使得攻击无法从内存得手。”陈锡明说，研发这一芯片的澜起科技（中国电子旗下企业）是这个领域的国际标准制定者。

为了构建立体的网络安全能力，中国电子2019年战略入股奇安信，构建了专业网络人才队伍，提升漏洞挖掘的能力、情报能力、攻击渗透能力……

此外，由于源代码自主，“一事一议”的定制创新成为可能。相较于与国际系统合作修改代码难上加难的情况，中国电子的产品全部开放。“用户如果有独特的安全需求，可以共同合作开发，把不同行业的安全基因打入CPU、操作系统、内存的底层核心，有效保护数据安全。”陈锡明说。

数字城市呼之欲出

“‘吃’进你的身份证，‘吐’出一张房卡，政务数据的有效利用会让未来的酒店入住异常简单。”这是中国电子云执行总裁马劲描绘的未来数字城市一景，这个场景之所以能实现，是因为酒店内部管理系统获准特定权限下，可自动调用公安局身份查验系统。

包括身份信息系统在内的政务大数据是个“大宝藏”，但此前一直没能充分利用。“前几年政府建大数据中心，大家把数据交上来，但这个模式没有走通。”马劲解释，“相关部门不知道别人拿我的数据干什么，会有顾虑。”

未来，中国电子云将创新模式，以场景驱动数据应用。“例如一个旅游场景，需要用公安的交通数据，具体到哪个数据、怎么用、什么时间用，通过设置访问的机制和权限，将形成一个良性循环，实现数据开放与数据保护双向协同。”马劲说。

“政府和大企业上云必须基于信任，中国电子有一套成熟的体制机制进行管控。”陈锡明说，作为网信产业“国家队”，中国电子几十年如一日服务于政府和各大企业，目前已与40个城市达成或开展云服务合作。
责任编辑:pj