2013年,“稜鏡門”的曝光在全球範圍內引起了安全軍備競爭,中國對安全保障的重視程度也達到前所未有的高度,國家2013年11月12日成立國家安全委員會。
傳統意義上的信息安全IT產品已經不能滿足國家政府、企事業單位對“安全”的理解和渴望,只有從體系上入手,實現整體IT系統的自主可控,才能真正保障信息安全。
“自主可控交換機”就是在這個背景下產生的,交換機作為信息傳遞的“高速公路”,是最底層信息安全的保障者,如果關鍵信息在鏈路層直接被竊取轉發,那么再完善的信息安全產品也無法保障安全。
自主可控交換機是指核心軟硬體全部國產自主,即“交換晶片、CPU和作業系統軟體”必須是採用國內自主研發生產的。只有這樣才能保障產品的安全不受制於人、技術不受制於人和貨源不受制於人。
基本介紹
- 中文名:自主可控交換機
產品和服務等自主可控,基本上可保證不存在惡意後門並能不斷地對其進行改進或修補漏洞。反之,如果產品和服務等不能自主可控,就意味著受制於人。其後果是,這些產品或服務可能會存在惡意後門,難以不斷地對其改進或修補漏洞,信息安全難以治理。
下表為交換機軟硬體組成和風險分析,通過分析看出,只有在作業系統、交換晶片和CPU的核心軟硬體上實現自主可控,才能杜絕安全風險,實現真正的不受制於人。
| 交換機關鍵軟硬體組成 | 安全風險規避 |
|---|---|
作業系統 | 風險級別:非常高 作業系統是交換機協定棧支撐和功能實現的基礎,各項功能和互聯互通性均通過作業系統軟體得以保障,在作業系統層面的隱藏後門可直接在系統引入偷連、竊取和破壞的風險。 自主可控作業系統可杜絕協定層面的後門植入,避免在網路通信過程中存在的各項信息竊取和破壞。 |
交換晶片 | 風險級別:非常高 自主可控交換晶片在交換機上使用,使系統化的信息竊取方案無法實現,存在自主可控的晶片級狀態查詢,對異常情況可及時獲取並採取處理措施。自主研發SDK API接口可加入安全檢查邏輯,規避了國外通用晶片API和保密調用方式訪問的安全漏洞,對需要晶片配合實現的惡意竊取行為方案(比如通過CPU及連線器來實現的入侵方案)啟到禁止作用,間接保護了信息安全。 |
CPU | 風險級別:非常高 自主可控的CPU規避了擾亂控制層信息非法行為的可能,不存在惡意的固化硬體邏輯,無法通過國產CPU下發竊取信息指令到晶片,規避了需要CPU配合的信息竊取行為。 |
記憶體 | 風險級別:低 記憶體是系統運行過程中保存程式指令和程式計算結果的器件,本身沒有數據處理、編輯和傳送相關的固化處理邏輯,目前未發現安全隱患。 |
PHY | 風險級別:微 它主要是負責數據轉換,非核心組件,不參與數據報文的解析,目前技術還不存在任何安全隱患。 |
CF卡 | 風險級別:微 主要負責數據存儲,在交換機中並不做數據的轉發和報文的解析,故在交換機中不存在任何風險,目前未發現安全隱患。 |
目前市場上的交換機可分為三類,第一類是進口交換機,即產品的交換晶片、CPU和作業系統均採用國外品牌,並在國外開發生產;第二類是國產交換機,即產品在國內開發生產,作業系統屬於自主可控,但核心晶片有一樣或者多樣採用海外進口;第三類是自主可控交換機,即核心軟硬體均屬於自主可控,同時產品的生產、加工製造等均由國內廠商完成。
全面自主可控交換機
全面自主可控交換機