在本次論壇上《網信自主創新發展研究報告》編委會正式發佈了自主可控CPU“核心三要素”, 第一次向外界就CPU的自主可控要素進行了發佈和解讀。
背景
CPU自主三要素只針對面向黨政軍及其它安全應用的CPU, 不針對開放市場
我國自主CPU的研發和應用推廣取得持續發展, 自主基礎軟硬體已經可以滿足大多數行業應用需求。
自主研發的技術路線和引進技術的技術路線展開激烈鬥爭。 一些我們想通過自主研發擺脫依賴的CPU和作業系統, 紛紛通過技術合作或企業合資的方式讓我們對其建立新的依賴。
從產業發展的角度來說, 各種技術路徑都是應當鼓勵的;對開放市場, 什麼道路都是可以的, 有利於我國資訊產業形成百花齊放的局面。
但引進技術的CPU紛紛通過各種方式, 打上“自主可控、安全可靠”的標籤, 意圖魚目混珠, 進入涉及國家安全的以武器裝備和黨政辦公為代表的資訊化應用,
各部門制定了不少面向黨政軍應用的自主CPU標準, 在制定標準時或者由於預設了立場, 或者由於過於關注細節, 不容易得到廣泛認可。 如果我們按照“構建安全可控的資訊技術體系”的要求, 不預設立場, 採取從上到下的方法, 則可以提出幾條簡單明瞭的原則。
自主可控CPU“核心三要素”
1、CPU研製單位符合安全保密要求
2、CPU指令系統可持續自主發展
3、CPU核的原始程式碼自己編寫
一、CPU研製單位符合安全保密要求
CPU企業無境外直接投資, 且通過間接方式投資的外方投資者及其一致行動人的出資比例最終不得超過20%。
由於CPU的基礎性和應用的多樣性, 在CPU應用過程中, 需要CPU企業技術人員直接到應用現場進行技術服務。 因此, 在黨政軍裝備或資訊化系統中應用的CPU, 應該參照《武器裝備科研生產單位保密資格認定辦法》對企業性質做出規定。
鑒於股東對企業經營資訊有基本的知情權, 為避免境外投資股東及其指定的企業經營管理人員知悉、接觸國家秘密資訊, 確保國家秘密安全, 提供應用於黨政軍裝備及資訊化CPU的企業不應有境外直接投資。
同時, 我國會計準則規定, 不具有共同控制或重大影響的投資, 持股比例一般小於20%, 因此通過間接方式投資的境外投資比例如果超過20%,
二、CPU指令系統可持續自主發展
研製自主CPU不是最終目的, 而是按照要求“構建安全可控資訊技術體系”, 這就要求CPU的指令系統可持續自主發展且不受制於人。
指令系統是電腦軟體和硬體的介面,反映了電腦所擁有的基本功能。自主可控CPU的指令系統應該是自主設計,或者得到已有指令系統的長期有效授權且可自行添加新指令。
盧錫城院士在《中國資訊安全》雜誌2018年第3期上發表的“聚焦安全可控---核心資訊技術自主可控發展思考”一文中指出,安全可控應包括三個方面內涵,其中一個就是技術發展安全可控。指令系統可以持續自主發展是CPU技術發展安全可控的必要條件。
境外企業指令系統授權是有期限的,到期後境外企業可以終止授權或漫天要價,則會使我們基於該指令系統辛辛苦苦建立的產業生態付之一旦。
如果自己不能隨著應用的要求添加指令,則只能亦步亦趨地跟隨別人的技術路線,難以構建安全可控的資訊技術體系。
三、CPU核的原始程式碼自己編寫
CPU核的原始程式碼一定要堅持自主設計,CPU是巨複雜系統,影響其品質的因素非常多,只能在實踐中邊試錯邊發展,隨時間推進而不斷演進。
人們喜歡把一個系統分成很多子系統,子系統間的關係比較清晰,但是大腦這樣的複雜系統不是樹狀結構,是網狀結構,即使看懂了每一行代碼,上百萬行代碼拼起來卻不知道其奧妙。
Intel的CPU中最近發現的“熔斷”和“幽靈”隱患給我們一個啟示,即使設計者對CPU的複雜度引起的安全隱患都難以完全把握,更別說是看別人的設計了。
有一種情況可以認為對引進CPU的原始程式碼“消化吸收”了,那就是基於引進的CPU原始程式碼進行改進後在相同工藝下性能提高一倍以上(正在研製的龍芯3A4000使用與龍芯3A3000相同的工藝,通用處理器性能可以提高一倍以上);如果只是做局部改動,提高性能百分之幾十,還不能算。
CPU中的其它模組,如記憶體控制器等,最好也自己寫原始程式碼。
關於CPU流片生產地--供應鏈安全
對於機要、保密等核心黨政軍資訊化應用,應該優先選用在境內流片的CPU。
在生產過程中加入後門雖然難度較大,但不是不可能。
2016年,在DARPA和美國國家科學基金會支持下,美國密西根大學首次在開源OR1200處理器的製造環節植入類比惡意電路(即硬體木馬),可進行遠端控制和實施攻擊。
可以在生產過程中在晶片的電源網路和地線網路中加入後門,在關鍵時候把晶片的電源地短路。
自主研發的CPU能滿足應用要求嗎?
“十二五”以來,在黨政軍裝備和資訊系統的應用或應用試點中,以CPU和作業系統為代表的自主基礎軟硬體從不成熟到成熟,自主基礎軟硬體產業鏈從組合發散到組合收斂,基於自主基礎軟硬體的黨政軍資訊系統從基本可用、到可用、到好用。
龍芯:龍芯CPU軟硬體生態已經跨越了“越用問題越多”的問題發散的階段,開始快速問題收斂並趨於成熟。龍芯產業化主體龍芯中科技術有限公司從2015年起持續盈利。
申威:滿足上述三項要求的申威CPU在高性能電腦領域做到了世界第一。
龍芯和申威的實踐充分表明,自主基礎軟硬體完全可以在試點應用中得到鍛煉成長,滿足以黨政軍資訊化為代表的行業應用需求。那種認為自主研發的CPU滿足不了應用需求,需要通過引進技術的觀點是錯誤的。在滿足黨政軍應用需求後,隨著其它行業應用的拓展,自主CPU將再次經歷一個從問題發散到問題收斂的階段。如此再有1-2次螺旋上升,自主CPU將可以面向開放市場競爭。
通過引進技術發展自主CPU可行嗎?
國內經濟最發達、GDP最高的兩個省份,都曾經有過通過引進技術發展自主CPU的嘗試,最後都失敗了。究其原因,就是再好的技術,只有符合中國國情、和具體應用需求相結合才能發展。一支有創業精神、有研發能力的團隊是自主CPU發展的內因;政府先引進技術,然後臨時拼湊的團隊是難以在激烈市場競爭中獲勝的。
引進的所謂國外先進技術,大都是在國際市場上被淘汰的產品,不符合市場發展需求,因此希望打著“自主可控”的旗號,在黨政軍資訊化市場得到應用。須知天下沒有免費的午餐,想依靠外國人幫助中國建立安全可靠的資訊技術體系是不現實的。
有些單位或企業把國外的CPU拿來改換標籤,或者稍作改動進行流片,然後在黨政軍機關展開積極遊說,試圖打上“自主可控”的標籤,其本質是為小集團利益犧牲國家安全利益。
改革開放四十年來,對於國外壟斷集團在我們不掌握技術時就封鎖技術、在我們掌握技術後就通過技術合作阻止自主技術發展的微末伎倆,中國人民已經洞若觀火。古人說“莫現乎隱、莫顯乎微”。那些為了小集團利益罔顧國家安全利益的人,那些千方百計貶低自主CPU、為買辦CPU路線搖旗呐喊的人,最終只能是搬起石頭砸自己的腳,最終身敗名裂,釘上中國資訊產業發展歷史的恥辱柱。
指令系統是電腦軟體和硬體的介面,反映了電腦所擁有的基本功能。自主可控CPU的指令系統應該是自主設計,或者得到已有指令系統的長期有效授權且可自行添加新指令。
盧錫城院士在《中國資訊安全》雜誌2018年第3期上發表的“聚焦安全可控---核心資訊技術自主可控發展思考”一文中指出,安全可控應包括三個方面內涵,其中一個就是技術發展安全可控。指令系統可以持續自主發展是CPU技術發展安全可控的必要條件。
境外企業指令系統授權是有期限的,到期後境外企業可以終止授權或漫天要價,則會使我們基於該指令系統辛辛苦苦建立的產業生態付之一旦。
如果自己不能隨著應用的要求添加指令,則只能亦步亦趨地跟隨別人的技術路線,難以構建安全可控的資訊技術體系。
三、CPU核的原始程式碼自己編寫
CPU核的原始程式碼一定要堅持自主設計,CPU是巨複雜系統,影響其品質的因素非常多,只能在實踐中邊試錯邊發展,隨時間推進而不斷演進。
人們喜歡把一個系統分成很多子系統,子系統間的關係比較清晰,但是大腦這樣的複雜系統不是樹狀結構,是網狀結構,即使看懂了每一行代碼,上百萬行代碼拼起來卻不知道其奧妙。
Intel的CPU中最近發現的“熔斷”和“幽靈”隱患給我們一個啟示,即使設計者對CPU的複雜度引起的安全隱患都難以完全把握,更別說是看別人的設計了。
有一種情況可以認為對引進CPU的原始程式碼“消化吸收”了,那就是基於引進的CPU原始程式碼進行改進後在相同工藝下性能提高一倍以上(正在研製的龍芯3A4000使用與龍芯3A3000相同的工藝,通用處理器性能可以提高一倍以上);如果只是做局部改動,提高性能百分之幾十,還不能算。
CPU中的其它模組,如記憶體控制器等,最好也自己寫原始程式碼。
關於CPU流片生產地--供應鏈安全
對於機要、保密等核心黨政軍資訊化應用,應該優先選用在境內流片的CPU。
在生產過程中加入後門雖然難度較大,但不是不可能。
2016年,在DARPA和美國國家科學基金會支持下,美國密西根大學首次在開源OR1200處理器的製造環節植入類比惡意電路(即硬體木馬),可進行遠端控制和實施攻擊。
可以在生產過程中在晶片的電源網路和地線網路中加入後門,在關鍵時候把晶片的電源地短路。
自主研發的CPU能滿足應用要求嗎?
“十二五”以來,在黨政軍裝備和資訊系統的應用或應用試點中,以CPU和作業系統為代表的自主基礎軟硬體從不成熟到成熟,自主基礎軟硬體產業鏈從組合發散到組合收斂,基於自主基礎軟硬體的黨政軍資訊系統從基本可用、到可用、到好用。
龍芯:龍芯CPU軟硬體生態已經跨越了“越用問題越多”的問題發散的階段,開始快速問題收斂並趨於成熟。龍芯產業化主體龍芯中科技術有限公司從2015年起持續盈利。
申威:滿足上述三項要求的申威CPU在高性能電腦領域做到了世界第一。
龍芯和申威的實踐充分表明,自主基礎軟硬體完全可以在試點應用中得到鍛煉成長,滿足以黨政軍資訊化為代表的行業應用需求。那種認為自主研發的CPU滿足不了應用需求,需要通過引進技術的觀點是錯誤的。在滿足黨政軍應用需求後,隨著其它行業應用的拓展,自主CPU將再次經歷一個從問題發散到問題收斂的階段。如此再有1-2次螺旋上升,自主CPU將可以面向開放市場競爭。
通過引進技術發展自主CPU可行嗎?
國內經濟最發達、GDP最高的兩個省份,都曾經有過通過引進技術發展自主CPU的嘗試,最後都失敗了。究其原因,就是再好的技術,只有符合中國國情、和具體應用需求相結合才能發展。一支有創業精神、有研發能力的團隊是自主CPU發展的內因;政府先引進技術,然後臨時拼湊的團隊是難以在激烈市場競爭中獲勝的。
引進的所謂國外先進技術,大都是在國際市場上被淘汰的產品,不符合市場發展需求,因此希望打著“自主可控”的旗號,在黨政軍資訊化市場得到應用。須知天下沒有免費的午餐,想依靠外國人幫助中國建立安全可靠的資訊技術體系是不現實的。
有些單位或企業把國外的CPU拿來改換標籤,或者稍作改動進行流片,然後在黨政軍機關展開積極遊說,試圖打上“自主可控”的標籤,其本質是為小集團利益犧牲國家安全利益。
改革開放四十年來,對於國外壟斷集團在我們不掌握技術時就封鎖技術、在我們掌握技術後就通過技術合作阻止自主技術發展的微末伎倆,中國人民已經洞若觀火。古人說“莫現乎隱、莫顯乎微”。那些為了小集團利益罔顧國家安全利益的人,那些千方百計貶低自主CPU、為買辦CPU路線搖旗呐喊的人,最終只能是搬起石頭砸自己的腳,最終身敗名裂,釘上中國資訊產業發展歷史的恥辱柱。