一直以来，中国在信息技术领域普遍存在产业发展受制于人、信息安全受制于人的问题。而前段时间沸沸扬扬的中兴事件则暴露出中国ICT产业极大的依赖性——在核心技术和产业链层面不同程度上存在受制于人的问题。虽然现阶段中国科技公司无法做到对美国供应商的全部替换，但在局部领域，自主技术是否能实现国产化替换呢？

观察者网日前专访了北京中科网威信息技术有限公司副总裁李源，李源表示，在网络安全领域，我国自主研发的CPU已经能够替换国外CPU。

李源介绍了拥有完整自主知识产权的国产CPU申威在网络安全领域的产业化情况，并说明了申威能在哪些方面替换美国CPU（申威更侧重于超算领域，由申威搭建的全自主超算系统理论峰值高达100P）。中科网威公司是采用申威芯片开发网络安全产品的公司，是申威产业联盟的一员，创立于1999年，其前身是中科院高能物理研究所“网威安全工作室”，是国内最早从事网络安全产品技术研发的企业。从2010年开始，中科网威就积极布局基于申威的安全产品研发，并为此打造了一个全新的产品品牌——中科神威。

用在神威蓝光超算的申威CPU

观察者网：什么是防火墙？有什么作用？

李源：一种网络访问控制设备，置于不同网络安全域的边界，它是不同网络安全域间通信流的唯一通道，能根据安全策略控制（允许、拒绝、监视、记录）进出网络的访问行为。

观察者网：防火墙是怎样保障信息安全的？

李源：根据用户预先配置的安全控制策略执行对数据包识别与转发（通过或拒绝）。

观察者网：防火墙主要有哪些性能指标？

李源：吞吐量、时延、丢包率、每秒并发连接数、每秒新建连接数。

观察者网：防火墙有哪些功能模块？

李源：NAT（网络地址转换）、VPN（虚拟专用网）、抗拒绝服务攻击、内容过滤、防病毒、反垃圾邮件等。

观察者网：防火墙有哪些局限性？

李源：一是不能防范不经过防火墙的攻击。二是无法防止来自内部的攻击。三是不能关闭需提供对外服务的端口。四是防火墙自身也可能存在安全漏洞。

观察者网：国内防火墙中，使用CPU主要是哪些？

李源：所谓国内防火墙，具体分为两种品类，一种是以国外X86芯片为硬件核心的传统防火墙；一种是以龙芯、申威芯片为硬件核心的自主可控防火墙。

观察者网：国产防火墙在软件方面实现国产化了么？自主可控防火墙是如何演进的？

李源：国产防火墙（包括上述两类）在软件方面已实现国产化。

我国网络安全产品自主可控的发展历程可以分为三个阶段：一是“无”自主可控阶段，即软、硬件均为国外研发生产；二是“半”自主可控阶段，即采用自主研发的软件和基于国外CPU的硬件；三是“全”自主可控阶段，即软件、硬件均实现国产化。

当前，我国绝大多数网络安全产品，处于“半”自主可控阶段。通过采用基于开源Linux的、经过裁剪的操作系统，以及自主研发的上层安全应用软件，实现了软件方面的自主可控；但包括CPU在内的硬件核心部件几乎都来自境外，自身安全性方面存在着严重的失控风险。

近年来，国产CPU在设计能力和生产工艺方面都取得了长足进步。随着多核技术日渐成熟与深入应用，国产CPU性能有了较大提升，为进入“全”自主可控阶段打下了坚实的基础。基于国产申威CPU的中科神威系列安全产品也由此应运而生。

观察者网：那使用国外CPU的防火墙安全性怎样？

李源：通过对某些国外CPU的严格测试，可以确认存在功能不明确的“多余”模块，它不是一般意义的调试接口，而是由特定的CPU芯片引脚控制，可读写CPU内部状态寄存器、读写指定存储区域、激活特定的微代码段执行某个处理流程、并且可以对CPU进行复位。

同时，还发现其存在未公开指令，包括加解密、浮点操作在内共计二十余条，其中，有三条指令在用户模式就可以使机器死机或重启，作用机制直接穿透各种软件保护措施，防护软件不能感知；普通应用程序中嵌入一条即可使系统宕机。

这种不可控的国外芯片对防火墙等的自身安全性来讲，是巨大的威胁。

对于国内安全厂商和行业用户来讲，只有“芯改变”，才能“更安全”。

观察者网：为何选用申威芯片？

李源：前期在技术路线选择时，我们也作了大量严格的测试，分析结果是，申威在国内CPU中，性能领先于其他国产品牌CPU，尤其是在处理网络数据包时有自身优势；同时，申威的自主指令集使其不会像用其它合作知识产权以及授权应用的处理器那样遭遇在技术上、安全上、利润上受制于人的局面，极大提高了防火墙自身的安全性的同时，实现自主技术的独立发展。

SW411是国内第一款SPEC2000 int分值超过1000分的国产处理器

观察者网：申威在防火墙中发挥什么作用？

李源：在防火墙产品中，申威是安全核心、管理核心、计算核心。

观察者网：申威防火墙和采用Intel芯片的防火墙差距在哪里？优势在哪里？

李源：从技术角度看，目前的差距主要是小包（64字节）性能，约为INTEL芯片的60%，但正在逐步接近（预计2017可以实现持平）；大包（大于64字节，如128、256、512等）性能已经完全一样。

最大的优势毫无疑问是“安全”，而且不受制于人，不受美国制裁影响。

观察者网：最近中兴被美国制裁，导致供应链被卡脖子，对这个事情您怎么看？国内处理器能多大程度上实现国产化替代？

李源：不出意外，这本是大国之间的一种较量，是制约与反制的抗衡，某种意义上也象网络安全攻防对抗中的“魔高一尺，道高一丈”。西方发达国家通常会以这样或那样的理由，排除或限制异己，特别是当它发现竞争对手的发展已经构成威胁时，这也再次提醒了我们自主可控的重要性，不仅是安全，而且在经济层面也非常重要。

目前国内IC厂商很多，而且近些年在技术上有相当大的突破，正在不同领域走向全面国产化、自主可控替代的阶段。

观察者网：中科网威做出了哪些申威产品？市场表现或市场前景如何？

李源：基于申威CPU，中科网威已经推出“中科神威防火墙”、“中科神威漏洞扫描系统”，并在党政军等核心要害部门实现了批量应用，这在很大程度上弥补了国产自主可控网络安全产品的空白。结合国家政策上的对于核心网络安全产品要求自主可控的大趋势，市场前景巨大。

观察者网：申威防火墙市场化的最大障碍是什么？

李源：申威前期重点在于超算领域，因此在目前安全产品市场化的过程中，存在生态圈不够健壮的现象，基于申威的产品还不够丰富，处于不断增加的状态；在用户认知层面上，也存在着过去某些所谓国产CPU“造假”、“没法用”等带来的负面影响，这需要产业、行业、用户、媒体的共同努力。

观察者网：还请介绍下中科网威的代表作，以及将来还会推出申威的产品？

李源：2014年发布的采用国产CPU的中科神威千兆防火墙NSFW-6000成为首家获得《涉密信息系统产品检测证书》、《中国国家信息安全产品认证证书》、《军用信息安全产品认证证书》和《计算机信息系统安全专用产品销售许可证》等多项权威认证的自主可控安全产品，并已经在党政军等核心部门实现了批量部署。

中科网威将继续坚持以自主可控为研发指导思想，基于申威推出更多的网络安全产品，同时，我们还将为合作伙伴提供自主可控的硬件平台，共同打造自主可控网络安全生态圈。

观察者网：除了中科网威之外，还有哪些公司在做申威的产品？大致发展情况怎样？可以多大程度上替换国外产品？

李源：目前，申威产业联盟已经成功进入桌面、服务器、存储、网络安全等相关领域，相关公司近三十家（可从申威网站上获知），大致发展情况与我们类似。

可以肯定地说，以中科网威为代表的自主可控网络安全方向，已经具备替代国外产品的技术实力。需要的只是一个时间过程，也诚邀您共同见证这一天的最终到来。

（采访：铁流 微信公众号：tieliu1988）

本文系观察者网独家稿件，文章内容纯属作者个人观点，不代表平台观点，未经授权，不得转载，否则将追究法律责任。关注观察者网微信guanchacn，每日阅读趣味文章。