>>返回主页
圆桌讨论:安全可信 共创未来

2018-10-17 16:20

圆桌.jpg

  李国徽:首先,非常感谢大会的主持人,各位嘉宾,同仁。接下来的圆桌讨论很荣幸邀请到新华三工业标准服务器产品部总经理刘宏程,联想数据中心业务集团产品总监黄山,中国长城科技集团长城信安研发总监王飞舟,还有中标软件副总经理李震宁。

  今天探讨一下安全计算这个大的话题。首先请教一下几位专家,按照我的了解,目前安全计算相关的解决方案是有限的,特别是在芯片这个层面,不管是CPU也好,memory也好。请你们谈谈对于安全计算的行业现状和未来走向的看法。

  刘宏程:现在是一个数字时代,大家都在做数字化转型,数据资产对于个人和企业越来越重要,安全问题就开始突出了。前一段时期多家公司都暴露出了严重的安全问题,未来随着数据的爆发性增长,安全问题将会越来越严峻。安全问题涉及到业务层面、应用层面、基础设施层面等各个方面,需要全方位的安全保障措施,同时需要保证业务的不停顿。新华三一直在寻找合适的安全解决方案,而津逮是当前看来最合适的一个安全解决方案。津逮是在硬件的最底层提供安全措施,已经接近基础设施的最底层,这是硬件级别的安全,与过去软件级别的安全措施相比,理论上更为安全一些。

  黄山:大家好,我是来自联想的黄山,是联想全球服务器产品总监。津逮方案在安全领域有两大特色:第一津逮用国内设计的芯片来监控 CPU从而为客户核心数据提供绝对安全保证也就是说津逮技术所运用的理念是用可信的来监控不可信的;第二津逮在提供安全检测的同时,最大化保障了性能和兼容性易于用户采纳。

  李震宁:大家好,我是来自中标软件的李震宁,中标主要是做中标麒麟Linux操作系统的。大数据时代,数据中心的信息安全较以往发生了巨大变革。底层的操作系统和芯片,乃至网络边界定义也发生了变化。可以看到近年来影响较为广泛的信息安全事件都和这些基础软硬件存在关联。因此,面向未来的数据中心安全建设过程中,都要把面向新时代的安全体系作为重要建设指标。操作系统和芯片作为安全系统的底层和基石,它们的可信、可控则是所有安全体系的出发点。我认为这些产品未来除了要提供基本的系统服务外,还要具备安全防护和监测体系,防泄露和防篡改,所有过程日志记录可回溯及不可抵赖这三大安全防护能力。

  王飞舟:各位来宾好,我是来自长城科技的王飞舟,我们公司为客户提供安全可靠的服务器产品。关于安全这个话题,通常分为两种:一种是本质安全,即底层的软件和CPU本身是安全可信的;另外一种是过程安全,也就是在一个产品整个生命周期的运行过程中怎么保证不出安全问题,需要在整个运行过程中不断对它监测、审计、再监测、再审计,不断循环来保证安全性

  李国徽:第二个问题想请教各位嘉宾。刚才刘教授对DSC核心技术做了具体的介绍,围绕津逮平台的解决方案,请问它带给客户最大的好处是什么?特别从以下几个维度去看,比如应用,市场导入,部署到大批量生产。

  刘宏程:从我们的经验来看,对于客户层面来说或者这个市场来说,津逮方案最大的一个好处是安全的导入成本会远远小于其他的解决方案。首先,津逮本身的平台是基于X86的,无论是基础设施还是应用或者软件,其兼容性都非常高。另外,津逮在底层上去解决这种安全问题后,在用户上层修改,用户增加安全机制不用投入过多的人力物力,就可以享用这种安全机制,这对用户来说选这种方案实施很容易。

  黄山:我们看到政府越来越强调金融、能源、互联网、公共服务等行业涉密数据须确保绝对安全。因此联想为此做好了充分准备一旦基于政府政策我们的用户需要配置绝对安全检测方案联想和津逮生态伙伴可以最快拿出最优的解决方案。

  李震宁:正如前面所谈,传统意义上CPU和操作系统只负责提供硬件资源和系统调用但新形势下的数据中心对两者安全能力提出了更高要求。因此,津逮的DSC技术应运而生。CPU层面的安全监控会使得数据在底层流转过程中就可见可控,安全能力肯定会更上层楼。

  王飞舟:动态监控技术有很多,软件也可以做,但是软件会影响CPU的性能。而且,既然是软件,取得软件控制权,总是有地方可以攻击,所以安全总是相对的。现在,津逮CPU基于硬件层面的动态监控技术,是独立的一套监控系统,不太容易受到攻击。因此,津逮平台可以提供一个更高安全等级的选择。

  李国徽:最后一个问题。刚才提到两点非常重要,一是对现有数据中心生态环境的兼容性与可靠性,包括硬件和软件另外一点是产品开发的难度。作为系统合作伙伴你们都已经把产品开发完成了,请问从技术维度来看,在产品开发过程中你们体会到什么?遇到很大的技术难关还是整个过程都比较顺利?

  刘宏程:我们和澜起科技合作,基于津逮平台开发服务器产品,其中一个重要的考量因素是,这不仅能为客户节省大量的投入,而且对整个运营环境来说,这个方案也能节省我们的投入,我们不用全部重写代码,所以我们很自然地选择了津逮平台。

  黄山:联想目前基于津逮的系统方案开发进相当顺利我们的服务器可以与津逮CPU同步量产上市。

  李震宁:关于津逮平台的引入过程,操作系统是CPU最直接的软件系统和管理软件。在测试津逮平台过程中,感觉津逮平台和现有X86体系兼容性较好,原有功能和加速优化均可在津逮平台直接使用,而且并未明显感受到安全检查对系统性能的影响。原来计划三个月的测试认证周期,由于进展顺利,提前到两个月左右完成。从这点来说,津逮平台具备替换X86的能力。同时,由于其具备安全监控的能力,对于一些安全层面有需求的客户是一种可选方案。当然,安全是需要底层软硬件配合上层安全加固共同实现。中标麒麟操作系统支持津逮在内的所有国内外主流CPU平台和体系架构。我们有信心,通过与芯片企业和安全厂商的强强联合,为国内数据中心客户提供更加轻便强健,安全稳定的底层软硬件支撑和服务。另外,我们已经完成了对津逮平台的测试认证,明天大家就将在我们两家的官网上看到正式消息的公布。

  王飞舟:长城的津逮服务器已经实现了小批量生产,我们的产品现在已经可以购买。导入津逮服务器平台,从研发来讲难度增加并不是很多。基于英特尔的平台研制一个服务器产品,按业界标准的能力基线,项目周期大概是12个月。我们研发津逮服务器这个产品花费的时间也就是比12个月多一点,基本上跟原有的平台差不多。其中设计难度增加的部分有一些,譬如散热要求会高一点,因为集成的RCP会有一些额外的发热量在现有成熟的服务器平台技术上去导入这个新的产品,其实只是增加大约20%的工作量,整个过程还是比较顺利的。从后面测试的情况来看,与原有的X86平台的兼容性非常好。

  李国徽:非常感谢。

0
中国信息通信研究院