2016年4月19日,習總書記強調指出,要樹立正确的網絡安全觀,加快建構關鍵資訊基礎設施安全保障體系,增強網絡安全防禦能力和威懾能力。正确的網絡安全觀即總書記倡導的“總體國家安全觀”,是指網絡安全是整體的而不是割裂的,網絡安全對國家安全牽一發而動全身,沒有網絡安全就沒有國家安全。
衆所周知,安全已經是萬物互聯智能時代的核心需求,CPU作為無處不在的算力基石,其本身的安全性尤為重要,CPU自身不安全就無法實作網絡安全。正值習總書記“4 19”重要講話六周年之際,縱觀國内CPU廠商,對安全的重視程度、投入力度參差不齊。有的廠商已經開始積極探索系統化、全局化的CPU安全機制,開創性地提出了CPU安全的相關标準,從CPU層面實作了國産計算機系統自底向上的本質安全,宛如“疫苗”一樣為計算機構築起一道牢固的安全屏障。
敢為人先謀CPU安全
國家網際網路應急中心(CNCERT)釋出的《2021年上半年大陸網際網路網絡安全監測資料分析報告》顯示,國家資訊安全漏洞共享平台(CNVD)收錄通用型安全漏洞13083個,同比增長18.2%。其中,零日漏洞收錄數量為7107個,占總收錄漏洞數量的54.3%,同比大幅增長55.1%。這些漏洞在披露時尚未釋出更新檔或相應的應急措施,嚴重威脅大陸網絡空間安全。
嚴峻的網絡安全形勢,對國産CPU提出了更高的挑戰。而6年前,國産CPU的性能與國外廠商的整體差距還比較大,國内晶片廠商主要将研發重點放在性能的追趕上。
彼時,飛騰CPU在信創圈還是一個“新人”,知之者甚少。2016年4月19日習總書記的重要講話使飛騰CPU研發團隊意識到網絡安全責任重大,于是在後續産品的研發設計中除了注重性能突破之外,還把安全提升到了極其重要的位置。
“自主不等于安全,高性能也不代表高安全。”飛騰資訊技術有限公司副總經理郭禦風表示,CPU設計除了要自主正向設計封堵後門之外,還需要通過系統的主動安全設計對漏洞風險進行免疫,探索如何将安全設計理念融入到國産CPU設計的方方面面,在處理器設計的整個流程中貫穿安全設計的思想,從架構上、軟硬體總體上去把握,通過防後門、堵漏洞,真正将安全植入到“芯内”去。
凡事預則立,不預則廢。正是秉承這樣的安全理念,以“聚焦資訊系統核心晶片,支撐國家資訊安全與産業發展”為使命,從2016年到2019年,飛騰一直在謀劃、制定安全架構規範,設計研發主動免疫的可信計算CPU。飛騰安全技術團隊對處理器安全及其相關領域進行了廣泛研究與前沿探索,涉及處理器安全微架構設計、側信道攻擊與防禦、固件安全和虛拟化安全等諸多方向。敢為人先謀安全,也為飛騰CPU在信創市場後來居上打下了紮實的根基。
PSPA“疫苗”築牢安全屏障
作為資訊系統的安全基石,CPU如何真正做到防後門、堵漏洞?
經過三年多的思考、設計、疊代,2019年12月19日,飛騰公司制定的國内首個處理器安全架構規範PSPA1.0(Phytium Security Platform Architecture)正式亮相,這也是國産CPU企業首次釋出CPU層面的安全架構規範,從CPU層面實作了國産計算機系統自底向上的本質安全。可信計算3.0是大陸網絡安全等保2.0标準确定的核心防禦技術,飛騰PSPA實作了可信計算3.0的安全架構,真正将安全可信做到了“芯内”。
PSPA1.0從十個方面定義了安全處理器中涉及的軟硬體功能和屬性,包括密碼加速引擎、密鑰管理、可信啟動、可信執行環境、安全存儲、固件管理、量産注入、生命周期管理、抗實體攻擊和硬體漏洞免疫,涉及晶片的硬體設計、固件設計、量産等多個方面,對密碼算法、可信計算、全周期管理、抗攻擊、生産安全等方面均有全面的考慮和解決方案。
從國家網際網路應急中心(CNCERT)釋出的報告可以看出,随着網絡攻擊日益常态化、嚴峻化,安全已經成為各行各業的“強需求”。PSPA宛如“疫苗”一樣,為計算機構築起一道牢固的安全屏障,守護資料安全。
值得注意的是,在PSPA1.0正式釋出之前,飛騰就已經在高效能桌面晶片FT-2000/4的設計中貫穿了PSPA1.0的相關要求,進行了産品層面的實驗驗證。2019年9月首發的FT-2000/4在内置安全性方面擁有獨到創新,從CPU層面為可信計算提供了有效支撐。2020年12月推出的8核桌面CPU飛騰騰銳D2000也支援PSPA1.0規範。這兩款CPU已成為飛騰的“明星産品”,廣泛應用于政務、金融、交通、電力等重要領域。
“CPU疫苗”應用進行時
疫苗研究出來了,得讓大多數人用起來,才能增強身體免疫力。同理,“CPU疫苗”隻有實作落地應用,才能發揮其真正價值,真正做到為網絡安全保駕護航。
飛騰高度重視可信計算産業的生态建設。依托自主定義的安全可信架構規範,以及日益豐富的安全CPU産品譜系,飛騰廣泛聯手合作夥伴壯大安全可信生态圈,共同打造本質安全的聯合解決方案,助推信創産業安全體系的建構和PSPA的落地應用。
為切實解決從裝置硬體到固件、作業系統以及業務應用的整體可信安全問題,為政務、能源、交通、金融等行業的關鍵資訊基礎設施提供端到端的安全可信計算解決方案,2021年飛騰攜手北京計算機技術及應用研究所、麒麟軟體、可信華泰、中電科技推出了PSPA可信計算聯合解決方案,并已經在相關部門的業務管理系統的計算機終端落地應用。該落地項目以飛騰可信核為基礎建構了片内可信根,實作了主動免疫的防禦能力。北京計算機技術及應用研究所攜手生态夥伴,基于飛騰網安版FT-2000/4及PSPA1.0研發了符合可信計算3.0标準的可信計算機終端,内置在CPU中的安全機制得到了充分的應用。
該聯合解決方案代表了可信計算3.0新一代創新的軟硬體技術路線,由飛騰CPU等内置硬體提供支撐,減少對外部擴充的依賴,全面提升了計算性能、安全性、內建度以及相容性,真正實作了最深層的内生免疫能力,使得可信計算3.0的軟硬體産品的可用性、易用性得到了大幅度提升,為可信計算産品大範圍應用推廣奠定了堅實的基礎。
此外,飛騰攜手大唐高鴻信安推出了基于PSPA安全架構标準的可信系統聯合解決方案,已榮獲由中國電子工業标準化技術協會“信創工委會”頒發的“信創安全優秀解決方案”獎。
“有了PSPA這個免疫系統,計算機終端的安全更有保障了。”飛騰某生态夥伴表示。
PSPA2.0即将釋出
數字經濟将囊括經濟、社會、生活的方方面面,資訊安全将面臨前所未有的挑戰。“十四五”規劃綱要指出,要維護新型領域安全,全面加強網絡安全保障體系和能力建設。
2022年是實施“十四五”規劃的關鍵之年,飛騰将進一步加強安全前沿技術的研究,包括處理器微架構安全一體化防護技術、面向虛拟化場景的輔助安全技術、高安全等級晶片的實體安全防護技術等;飛騰将推出PSPA2.0規範,擴充PSPA安全機制覆寫範圍,提高PSPA安全機制支撐強度,進一步提升内生安全能力,有效護航資訊安全。
據透露,PSPA2.0規範将率先用于即将釋出的飛騰騰珑E2000。飛騰後續的CPU設計,無論是面向伺服器的(飛騰騰雲S系列)、面向桌面的(飛騰騰銳D系列),還是面向嵌入式的(飛騰騰珑E系列),都将全面支援PSPA2.0安全架構規範,使得内生安全技術的覆寫面越來越廣。
毋庸置疑,随着國産CPU的“疫苗”不斷推出加強版,自主算力系統的穩定運作必将堅如磐石。