自主可控安全，只有落地生根才能发展壮大

文│ 安方高科 杨宏

“十四五”规划纲要充分体现了对信息技术和网络安全的高度重视，同时，还明确指出“提升通信设备、核心电子元器件、关键软件等产业水平。”目前，在国家高度重视、政策充分支持和众多厂家企业的积极努力下，国产软硬件在国家发展建设的许多领域已经从能用迈入了好用的阶段，软硬件的装机量和相关企业的营收数据很好地证明了这一点。

“云、管、端”作为当下典型的信息系统架构，被广泛应用。“云、端”的主要设备就是各种各样的服务器和计算机终端，与用户联系更为紧密也更为复杂，自然也成为自主可控建设的重点领域。

飞腾 CPU+ 麒麟操作系统（“PK”体系）是国家信创产业优秀的 IT 架构，具有开放共享的技术体系和商业模式，但架构和平台优秀只是具备了“能用”的基础，要做到“好用”和用户“想用”，还要解决用户现有应用的顺利迁移及平滑升级等一系列的生态建设问题。

飞腾的服务器 CPU 芯片具备较好的硬件辅助虚拟化支持能力，加之源自 linux 的麒麟操作系统的鼎力适配，使得经过软硬件联合优化后的服务器类产品能够很好地承接现有应用的移植。飞腾的桌面CPU 芯片从架构上能够很好地满足从办公系统到电子政务，再到新基建等行业以及专用信息设施等领域的各类应用，推出后很快得到了广大整机厂家的支持，形成了较为完整、活跃的产品体系。

架构优秀、产品丰富依然不够，必须要配合用户把现有的或者需要的应用系统跑起来，才能真正让用户心甘情愿地使用自主可控产品。

随着“PK”体系的台式机、便携机、工控机、平板等各类终端逐渐向各行各业的各种应用场景渗透，体系产品厂家在配合用户做现有应用系统移植时发现，“PK”体系对于终端侧的支持还存在着诸多局限和不足。例如，通用版本的操作系统只支持台式机运行虚拟化，对便携式计算机、手持平板等轻终端则不支持主流虚拟化软件，而从操作系统层面来讲，最大的难点就在于支持跨平台应用的移植。

许多用户指出，如果“PK”体系在便携机这类轻平台上不能支持虚拟化，则用户需要对现有应用软件做大量的源代码修改，这样的时间成本和人力成本将导致用户无法下决心采用自主可控终端产品，并进而影响全系统向自主可控安全升级。

面对技术层面的困难和复杂的生态建设问题，众多信创企业联合起来共同攻关，从主板架构到南北桥、EC 控制器等关键单元，再到键盘、触摸板、风扇等外设驱动，逐渐完成了操作系统优化和内核适配，还可以将虚拟化模块按需集成，最终全面实现了“PK”体系的轻终端对虚拟化的平滑无损支持，顺利地帮助用户将现有应用系统迁移成功。以此为基础，防火墙、杀毒、入侵检测、漏洞扫描、安全审计等通用安全机制也逐一完成了适配和优化融合。

上述案例说明，优秀的架构、丰富的产品，仅仅是迈出了自主可控的第一步，只有主动、全面地协助用户将应用跑通、跑顺，解决了“最后一公里”，才能真正实现自主可控安全的落地生根和发展壮大。

目前，“PK”体系产品已经实现了多种类型终端对虚拟化的支持和对主机安全机制的全面适配，能够较好地满足高安全领域对自主可控的迫切需求。未来，面对硬件平台强适配性、操作系统优化定制、安全机制融合、多场景灵活部署等发展需要 , 自主可控在终端侧的应用落地依然会是一个复杂、困难的渐进过程，对基于国产操作系统的硬件适配与优化、软件运行库丰富和共性软件集成与优化、跨平台复用实现等关键问题，国内的软硬件参与厂商必须秉承工匠精神，齐心协力响应用户需求，不断优化和迭代升级产品体系，才能真正赢得用户和市场的认可。

（本文刊登于《中国信息安全》杂志2021年第4期）

声明：本文来自中国信息安全，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。