首页 > 其他分享> > FreeBuf报道 | 当防火墙都用上龙芯：第三届北京军博会的“国产”迷思

FreeBuf报道 | 当防火墙都用上龙芯：第三届北京军博会的“国产”迷思

2021-05-07 15:53:46 作者：互联网

欧阳洋葱 FreeBuf

当我们囿于自己的圈子时，外面的世界都跟传说一样，就好像“龙芯”“兆芯”“飞腾”这些听来离一般消费用户，甚至企业用户都相去甚远的名词和产品。
所以像天融信这样的企业在2017第三届中国军民融合技术装备博览会之上，自家展位的宣传海报上写，“2013年发布龙芯防火墙”“2014年发布龙芯IDS”时，多少还是让小编感觉找到了稀世珍宝；而天融信的工程师还实实在在对小编说，采用龙芯的安全设备原本就应用到了那些对安全有高要求的军用领域。

这是我们在北京国家会议中心参加本届军博会之后最大的感受：全场都在用着龙芯的时候，是种怎样的体验？那至少也得是国家级别的安全需求了。

全场关键词：“自主可控”“国产”

对于像我们这样主要关注安全的人来说，军博会上展示的很多东西看起来是比较“偏题”的，比如无人机，虚拟现实飞行模拟器、无人艇、无人驾驶房车，再比如各种军事仿真产品，甚至还有涂料、航空材料、迷彩服、履带、生命探测系统等等。论坛则几乎与安全无关，那么FreeBuf究竟能去报道些什么？

对于一个常年游走在一般商业展会的人——而且在北京国家会议中心逛过很多次的人来说，以往那些参展厂商吹嘘的都是性能、功能、生态，或者即便是单纯的安全峰会，从不同层面谈安全问题，或许在“安全”这个话题上，相较这场展会也不过是片面的。

当“安全”上升到国家层面，“安全”问题将不只是你我口中探讨的普通***，或Apache曝出了某个漏洞，或WannaCry血洗某所学校这么简单；而在于Windows系统、Intel x86芯片、高通基带、甲骨文数据库、EMC存储解决方案，是否留有后门，这些后门将为国家安全带来如何不可估量的损失？别忘了，斯诺登曝出的文档显示，主要的科技公司都在和美国政府合作。

在这样一个电子科技核心技术都掌握在西方国家的时代里，“自主可控”和“国产”在很多人看来不过是句空话，就连每天关注科技新闻的小编都这么想，直到我们看到了军博会的这一切。

我们最先在南大傲拓科技的展位上，看到墙上挂着“国产龙芯处理器PLC”“国产率95%以上”时还有些欣喜，因为以往见到龙芯“活体”的机会并不多，毕竟这货的MIPS指令集，和主流的ARM/x86都不一样；无论从性能还是生态的角度，龙芯在半导体行业内都显得太难得了。

小编在寻思：或许工控领域的高安全性要求令龙芯有机会出现在场子里，但当我们一路走下去，发现连天融信都在宣传自家的龙芯防火墙和IDS；迈普则在展场最上方打出“中国自主可控网络设备领导品牌”的标语；中国电子科技集团公司第十五研究所，则在硕大的展位上注明“自主可控领域的排头兵”；以及到最终发现龙芯中科环绕型展区的气派…我们就意识到，军博会的奥义原非我等参与商业展无数的人可想。

迈普从里到外的“国产”

迈普展位上的网络设备都明确标注采用国产CPU、国产内存条、国产操作系统，工作人员告诉我们CPU部分采用龙芯、兆芯或者飞腾之类的解决方案，所以才叫“自主可控”；天融信的技术人员则说，他们的龙芯防火墙已经在军用网络中使用——即便龙芯在性能方面相较x86会存在弱势，但安全性是这类组织的最高优先级。

中电十五所的展位：“全面构建安全可靠产业生态”

太极云PAAS平台，“自主可控”

中电十五所自然就不出意外地提到了“全面构建安全可靠产业生态”，所以从底层芯片到操作系统、网络芯片和应用，都实现“自主可控”和“国产”。真正有趣的并非十五所展示的智能手表、终端；而是“自主可控太极云PAAS平台”。这个平台似乎已经竭力将“自主可控”扩展到了云之上。这个太极云PAAS支持全国产CPU的云计算平台，甚至支持龙芯、飞腾自主CPU和商用CPU的混合构建，也就是x86和龙芯可以相互兼容。这仿佛已经让我们看到真正“国产”走向。

龙芯或许可算是本届展会的最大主角

龙芯3号本尊

而龙芯中科自家的展位采用圆形环绕式，大有这个场子我做主的意思——走完展场这一圈，仿佛有了龙芯早已步入辉煌的错觉。这里不止能够看到龙芯3号本尊，且龙芯的展区很大，其中还包含很多小展位，都是地方性与龙芯合作的企业，比如中科声龙展示最具有代表性的主板产品。

你知道哪颗是北桥芯片吗？

上面这张图就是中科声龙的E6000，这是基于龙芯3A3000/3A1500处理器CPEX主控板，这块板子上我们甚至能够看到北桥（SR5690）+南桥（SP5100）的组合方式。工作人员介绍说，这个平台是专门针对图形工作所需。在小编有幸看到此等龙芯平台实体时，触摸基板纹理就感觉这一切根本就已经在我们身边。

而最让小编感觉到近在咫尺，真正有“自主可控”既视感的是中天安泰的展台。工程师很热情的在小编出现的当下就立刻上前介绍：这个展位总共四个区块，“自主可控”的网络芯片、操作系统、CPU和数据防泄密平台——这似乎已经在大方向上构建了完整的“自主可控”系统。

连晶圆都展示出来了

如链路层动态可控安全网络芯片——在片内构建链路接入控制权反转、动态帧重构等安全机制，在链路层实现网络放***和数据泄密；操作系统，则是基于指令级动态可控的操作系统，对计算机运行过程的完全控制（Antaios安全操作系统，建基于Linux内核）；还有CPU，建基于龙芯的Antaios安全CPU，用上了所谓的“流水线动态可控技术”，技术人员还饶有兴致地谈到了流水线之中的阻截恶意指令机制（虽然就生产制造仍来自意法半导体）。

只不过这全套生态尚未真正投入商用，从展台为我们这群人画的饼来看，这是自主可控路线的重要成品。

安全大厂的思路：协同联动

无论如何从底层做起的国家级网络安全更像是从头开始砌砖，对于普通消费用户和企业用户而言，这般投入的安全成本实在是太高了，尤其是考虑业务持续和发展的问题。企业和普通人谈的安全仍然是一般安全厂商需要思考的问题。

咱斗象科技也在军博会上露了把脸

比如斗象科技的网藤风险感知这类产品，就是在威胁检测方面一般企业会考虑的方案。不过在这种单项之外，FreeBuf先前在与不少行业大佬的对谈过程中都聊到，国内主要的安全厂商都期望做得“大而全”，安全产品能够形成闭环，包罗企业安全万象。

天融信的展位

天融信的工程师在向我们展示移动应用安全管理平台

所以天融信的工程师除了给小编介绍拳头产品新一代防火墙，其内部架构是和Intel合作的（似还有自家的ASIC？）之外，就是谈所谓的“下一代可信网络安全架构”，从最顶层的云到大数据分析，再到具体的安全检测和防护。展台三个大屏幕分别在宣传其云安全、威胁情报和态势感知。而具体到产品中，针对移动端都已经补全了TOP EMM天融信企业移动信息安全管理平台，用一台设备实现对企业内移动设备的管理和策略部署，比如杜绝员工针对敏感信息截屏、监控流量防止数据外泄等等，这些都是做大做全的表征。

启明星辰和安天展位的情况都颇为类似，安天在一面墙上写满了自家几大块产品（探海、智甲、追影）针对企业安全形成闭环的策略，另外还在一面墙上列出安天移动安全部署。

而这些安全企业在产品部署中都无一例外提到了威胁情报。在安全产品覆盖端点、网络、云等方面之后，其增值和尽可能获得***双方不要出现太大偏差的方案就是威胁情报，而威胁情报大概并非一家企业做大做全可以轻易实现的。这自然就成为“协同联动”，或者叫“聚力赋能”这类词汇的由来。

这本身就可能是安全行业未来很长一段时间内的话题，毕竟现如今的复杂***，当上升到高级持续性威胁之后，加上Shadow Brokers这类组织公开0day漏洞，企业和全球用户面临的安全威胁都已非往昔可及。

360企业安全展位这次的主题是大数据，这也是协同联动的最佳体现形式

这大概也可能是整场军博会在军用和国家层面，开始加快推动“自主可控”步伐的原因。这个步骤绝非一蹴而就，比如展讯的工作人员向小编透露，展讯已经开发出基于ARM自有微架构的芯片（并宣称是当前除了高通、苹果和三星之外，全球第四家有能力对ARM架构作深度二次定制的企业），并应用到某些对安全要求特别高的领域（或不会在消费用户领域铺开），这是自主可控迈出的一步；还有以“芯科技兴中国”为口号的欧比特，为卫星技术和国防电子提供芯片支持，其架构依托于Sparc v8，都是在此基础上的努力。

最后值得一提的是，7月5日后天的军博会上午会有网络空间安全论坛，不知我们从如此高度来看安全，军博会上分享的网络空间安全会有何种意外。届时FreeBuf还会进行报道。

军博会展区更多有趣内容

这部分我们拿来分享一些绝大部分或与安全无关，但却十分有趣的产品展示——或者说可能与我们探讨的安全无关，而与公共安全、军方安全这类实实在在的安全相关的内容。而安全这个话题，在军方看来，相较企业可不是一个层级的，就如同龙芯在这次展会上的地位这般让我们惊奇。

这是我们在展会上看到最有趣的一款安全产品，来自北京赛博兴安科技有限公司。这其实是个网关，针对那些“只进不出”的网络，名为“基于影像识别的单向导入系统”。当外部有数据传入的时候，设备那头会将入站数据转为图像编码；然后由摄像头来读取识别该编码，将数据传输到内部网络中；而内部网络则无法将数据传出。这个当然也是应对对安全有极大需求的网络，其吞吐率约为200Kbps。