微创软件吴玮：新形势下的安全运维保障新平台

8月22日-8月23日，2019全球闪存峰会(Flash Memory World)在杭州召开。山东微创软件有限公司技术运营总监吴玮在ABC分论坛发表了《新形势下的安全运维保障新平台》的主题演讲，畅谈公司的自主可控和国产化之路。

嘉宾简介：吴玮，山东微创软件有限公司技术运营总监 。 曾任上海硒圣信息技术有限公司技术总监、曾任深圳市鑫网电科技有限公司技术总监，先后组织完成富士康集团、中航工业沈飞集团、中航工业成飞集团、中国试飞院、航天十院、航天二院、吉利汽车、奇瑞汽车、上汽集团、北汽集团、长安汽车等信息安全体系建设，拥有CISSP、PMP、CCNP、RCE、MCSE等国际和国内认证证书，参与获得南京321人才计划一等奖。

山东微创软件有限公司技术运营总监吴玮

以下内容根据速记整理，未经本人审定。

吴玮：各位业界的同仁，非常高兴今天可以跟大家分享我们公司在新的基础架构下面的安全运维的管控平台。

我们做的产品比较特殊，它的技术原理和实现方式以及给用户带来的很多价值可能跟大家目前看到的主流技术或者号称国外的技术都不太一样。

先做一下公司的简介，我们是国内一家自主研发的公司，2000年成立，通过5年时间，我们做了第一代的系统。第一代的系统第一个大规模运用的客户就是富士康集团，富士康集团在龙华的几万台PC都是通过我们的系统去做底层的支撑和运维安全的管控。

到2007年、2009年、2013年，我们做了几个大版本的迭代，原始做的一些相对比较封闭，在外面不太会用，因为我们这些年一直集中在涉及国家安全，国防机密的场景做零用和深耕。在涉密行业目前我们的资质是最为完整的，而且这一个种类目前是国家保密局唯一的场景。

这是我们这些年做过的一些比较典型的案例，涉及到国之重器的很多军工单位，这些国之重器的单位基本上整个研发、办公和生产体系的所有计算机平台，都是架设在我们的系统之上运行。还有一些部队，当然也有一些大型的企业。但是我们的系统跟别人不太一样，我们基本上会运作在一些比较重型的研发场景，复杂的应用场景，跟国内外的很多知名厂家或者集中管控的厂家都不太一样。

到目前为止，国内有70多万台电脑是运行在我们的平台之上。从2017年开始，积极投入到国家自主可控的 适配单综 ，目前我们也是国内三个总集成单位中电科事务所、中电6所以及航天科工706所的战略合作伙伴，基本完成了针对所有国产化平台，从芯片到操作系统的适配，这一块相关的工信和国家保密局的标准，也在参与到制定过程当中。

微创主要是集中在最难解决的前端的电脑安全问题、管理问题和运维问题。通过这么多年的观察，我们认为，因为集中在后端的机房，包括存储和服务器，相对来说比较容易管控，因为接触的管道有限。但是在前端的计算机，每个用户都可能代表一个可能的数据出口。

经过统计，大概会有75%-80%的信息安全事件，包括运维故障、业务连续性，其实都是有份前端用户导致的。当然后端也有问题，后端可能因为管理员的权限过大或者经常会缺乏一些静态数据的安全管控手段。

大家都知道，现在对于数据安全或者安全工具的运行都依托于操作系统之上运行。一旦计算机处于静态、不运行的时候，你之前做的所有安全管控方法或者方法是无效的，很容易被绕开也容易被破解，从而导致数据的丢失。这一块相对是整个安全体系的短板，一个是静态数据安全。

第二个是目前的操作系统大部分的还是用国外的，也不知道里面有多少后门或者有多少安全隐患，现在的安全体系漏洞比较多。我们做了一个跟别人不太一样的方式方法，后面会跟大家做一个介绍。在相当长的一段时间，自主可控包括国产化都是比较大的趋势，所以我们公司在这几年也是积极的配合国家大战略的发展，对国产化进行适配。

我们也跟很多制造业的客户交流，发现很多工控的设备目前处于管控乏力的状态。前端时间工信部做过一个调研统计，基本上100%的公共设备目前是带毒运行的状态，它的漏洞率是100%，有40%都存在难以弥补的安全漏洞和运维的风险。问题远远超过大家的想象。

目前，关系到国际民生的，电厂、自来水厂、地铁、高铁基本上都离不开工控设备。像乌克兰攻击事件发生那是不可想象的，不仅是安全的问题，还有业务连续性的问题，在国内，几乎所有的用户都没有一个及时灾备的机制，从数据到系统运行，一旦被攻击了之后，基本上都会瞬间瘫痪。

因为我们国产化的体系目前都还处于一个初始阶段，它的体系也比较多，比较杂一点，相比较X86的体系，它的问题会更为突出。目前国产化的体系，第一个芯片的平台、操作系统的平台以及上层应用的平台，相对来说还不是处于一个非常标准的状态，所以它面临的各种业务连续性的问题和信息安全的问题是更为突出的。我们也缺乏相应的人，相应的专家知识和知识库来支撑我们的集成单位，包括用户去解决这些问题。

微创这些年做一个架构，它把原来固化在前端的文件系统、操作系统以及数据，从电脑上剥离开来，把它放到后端的平台上，这个平台是跨平台的。我们把所有的资源都看成我们的数据源，通过底层格式转化成可受控的源数据，然后把它转化成资源。通过我们自己开发的协议，根据前端的运算需求回到前端，利用前端的计算机自身性能，自身的CPU、GPU来进行运算，从而让前端误以为它目前在运行的整个系统。

包括对数据的处理，对各种硬件资源的调度，还是跟传统方式一模一样的，还是以为依托本地进行运算的。事实上这些东西都是由后端提供和受控的，它所有的边界都是由后端来控制的。通过这种方式，我们把前端的计算机变成了一个类似于缓存载体的设备，根据它的需求，从后端来及时的调用。

比如说它今天可能需要一个Windows的系统，你只要赋权给它，那它开机的时候通过自己的权限可以随时获得这样的系统。这样的系统不需要安装，它开机直接就运行了，但是它本地化的运算方式。第二个它需要一个异构的环境，它也可以随时的切换。我们在做任何资源投送的时候，比如说今天的应用软件或者说安全工具需要做更新的话，都可以在后端的资源池里面直接进行更新。只要你赋权给到前端，前端都会以增量的方式，随时的获得。

从这个角度来讲，我们其实有点像是用存储虚拟化的方式实现了类似于桌面虚拟化的功能，但我们跟目前的桌面虚拟化又不太一样。传统意义上的桌面虚拟化，它的运算包括它的东西都在后端，后端用虚拟机的方式来模拟，或者后端采用对应用进行虚拟化的方式。

而我们保留了前端完整的预算架构，事实上它所获得的资源对它的管理都是基于后端的，从而达到了我们认为一个比较好的平衡点。既不需要后端进行建立庞大的机房，从运算资源到所有东西都不需要做大的投入，同时又具备了集中的安全、管控、运维，发生的所有问题在后端都可以处理。前端对于用户，对于系统运行的架构来说，它也是无缝兼容现有主流的X86的本地化预算架构，所以现有的所有系统和应用从理论上来讲可以无缝支持，不需要做任何的二次开发。

对于用户来说，它的兼容性和风险是最低的，甚至必要的时候我们还支持它以离线的方式，可以脱离服务器来运行。做到这样的架构之后，把原来固化或者直接写入硬件之上的操作系统和应用，都通过我们架的类似中间层一样的，通过这个中间层跟硬件打交道，做了一层转换。

通过底层平台的建设，我们就可以在底层控制很多漏洞。比如说静态数据的安全，在我们这个系统架构里面就可以很轻松的实现。如果没有通过正确的运行方式和访问方式，没有拿到身份验证，前端数据的组合方式肯定是不对的。前端硬盘里面的数据也就没有办法组成，你可以被系统或者被用户正常认知的系统格式化。

第二个，我们可以在底层对各种端口进行管控，这种管控的方式可能比传统的，依赖与操作系统提供给你的接口权限会更为的安全，而且不依赖于国外的操作系统来赋权，相对来说它的漏洞也没有那么多。

第三，因为我们在底层对所有的读写进行了控制，所以任何突发灾难，哪怕是系统级的，我们也可以在后端根据后端定义的数据状态帮它瞬间的恢复到没有问题的运行状态，对于业务延续性的保障也可以做的非常好。

总体来说，我们既实现了底层的准入控制，整个后期，系统在整个运行的过程当中，从启动、运行到后期访问用户的使用，都可以做到可信。我们会不停的校验，在系统运行过程当中如果你不合规，通过我们后台的定义的策略，就可以把你的系统运行停止掉。

包括数据的反泄露，数据的流向。因为我们工作在比系统预计还要在低的底层，所以对数据流向就可以很轻易的做控制。让数据去存储或者调用是经过合法的路径，存储的位置，数据的流向，任何非法的管道都可以去屏蔽掉。

包括你在静态的环境下，因为前端的数据它脱离了服务器的管控范围，它拿不到任何的校验认证方式，所以前端的数据是由我们自有自定的文件格式存放的，它缺乏了后台的表和指针，也就没有办法组成一个现有的、大家可以认知的数据表现方式，所以数据也是安全的。

在应急容灾这一块，我们通过底层的平台很轻易的实现疏通，以及对产生用户工作数据做各种安全、增量、拆分的备份，在需要的时候可以及时的恢复。运维也是同样如此，因为前端的系统是由你来提供的，后端的服务器统一提供。在比较的时候，可以对前端进行复原、清空、从新下发以及做系统级增量更新，都可以在后端完成，前端是完全受控的。

这样的结构，我们在各个行业的应用做了一个对比。跟传统意义上的云桌面的方式做对比，我们解决方案的复杂性是最低的。对于用户来说，在后端加了一台服务器，就可以很轻易实现集中的管控。前端的网络、硬件所有东西都不需要去做改造，它投入是最小的，退出风险也很低。

假使你认为这套系统不好用，只需把服务器网线拔了，前端的运行方式跟现有是一致的。没有任何退出的机制，没有任何退出的风险。可能传统的云方式推翻了现有的结构，我们在跟用户沟通的过程当中，发现很多用户，上了国外云的解决方案或者国内的云解决方案。在两三年以后，当它的业务系统进行更新了以后，业务模式有了转换以后，会发现云不行了。

比如说它的软件不兼容或者它的外设不兼容，它的生产设备不支持，导致它整个业务系统停摆，这种例子我们可以最少举出几十家。但因为你整个已经推翻原有的结构，你没有办法回到最初始的状态，所以就很痛苦，导致整个IT的投入需要推倒从来，给企业的研发和生产造成了巨大的风险。特别是研发和生产类的用户群体，它整个的应用体系包括周边支持体系，目前来讲还是围绕X86的本地化运算的机制，还没有考虑在虚拟化、在云的架构上，我的生产机器人怎么做，我们的工控、机床怎么支持？

甚至我们在做研发的时候，可能这个研发软件，对于图形、图像的处理能力的调度，都没有考虑过在虚拟化的背景下怎么做的应用软件，这一点岂是很多时候会给用户带来很巨大的后期可持续运行的风险。

看到了用户这样的问题，我们提供这种解决方案，仍旧让它的整个系统运行模式恢复到前端，但是它所获取的软件行资源都是通过后端集中化的提供和管理，它的安全策略，所有内容都依托于后端。我们提供的是即时性的传统的云桌面想要做到的集中化安全管控以及资源的可重复利用，也规避了传统云桌面的风险，帮助用户实现了他想要做到的管理目标、成本降低目标和安全目标，同时又不需要承担相应的风险。

到目前为止，我们几乎是唯一一个可以覆盖各种复杂应用场景的解决方案。前面很多客户的案例可以看到，我们的所有客户都是重型用户，从它的三维仿真设计、图形图像处理以及到传统最简单的办公，还有包括最复杂的生产应用环境，我们都是唯一可以支持的。

国产化的计算机，从国产化的芯片到上层的运行系统，我们也都是可以无缝的兼容。到目前为止，在国内我们也是唯一一家可以支持解决方案的厂家。通过我们这么多年跟用户沟通和交流，我们总结下来，这也是用户的反馈。我们可以帮助很多对安全有需求的企业或者用户的安全合规化提高90%，整体的运维成本（针对前端计算机）可以降低90%。除非是硬件问题或者网络问题，基本上前端是免维护的。

因为我们相当于在后端构建了一个可重复利用的软件仓库，所以整个软件使用成本和利用率也得到了比较大的提升，软件成本也可以降低70%左右。包括我们帮助用户建立了前端静态数据的安全极限和边界。如果前端脱离了控制范围或者没有遵循正常的开机使用流程，经过正常的身份校验数据是不会外泄的。

一旦它脱离了管控范围，数据就不可见。我们可以开放所有的接口，跟现有的安全工具做接口的联动和对接，从而真正意义上做到底层的安全管控的边界，做了一个体系安全、联动安全，从而仅以帮助用户提供它的整体安全体系，以及面向突发灾难或者突发攻击的及时恢复的能力。

我的分享就到这里，谢谢大家。