一、信创产品
- 定义
信创产品是指单个的、具体的,基于国产化核心技术路线(如CPU、操作系统、数据库等)研制开发的硬件、软件或服务。它是构成信息系统的基本元素和单元。
2. 核心特征
独立性: 可以作为一个独立的商品进行研发、生产、销售和采购。
专业性: 通常专注于解决某一特定领域的技术问题,如CPU负责计算、数据库负责数据管理、中间件负责应用集成。
标准化: 有明确的规格、接口和性能指标,以便与其他产品进行集成。
3. 主要类别
IT基础设施: 国产CPU(如鲲鹏、飞腾、龙芯)、服务器、PC整机、网络设备、存储设备等。
基础软件: 国产操作系统(如麒麟、统信UOS、中科方德等)、数据库(如达梦、电科金仓、海量数据库)、中间件(如宝兰德、东方通、金蝶天燕)等。
应用软件: 办公软件(如WPS、永中Office)、OA、ERP、行业专用软件等。
信息安全: 防火墙、入侵检测、密码产品、安全审计软件等。
4. 举例
一台搭载麒麟操作系统的长城服务器。
一套达梦数据库管理系统软件。
一个永中Office办公软件许可证。
二、信创信息系统
1. 定义
信创信息系统是指基于信创产品和技术体系,通过系统集成、应用开发和部署实施,构建而成的、能够为最终用户提供特定业务功能或服务的综合性、整体性的解决方案。它是一个有机的整体。
2. 核心特征
集成性: 是多个信创产品(硬件、软件、网络)的有机组合和深度融合。
业务导向性: 以实现特定的业务目标为核心,如政务办公、金融服务、电力调度等。
整体性: 强调各组成部分之间的协同工作,最终输出的是服务或业务能力,而不仅仅是产品本身。
定制化: 通常需要根据用户的具体业务需求进行规划设计、开发、测试和部署,具有很强的项目属性。
3. 主要类别
政务信创系统: 如某市“一网通办”政务服务平台、某部委的协同办公系统。
金融信创系统: 如某银行的核心交易系统、信贷管理系统。
工业信创系统: 如某制造企业的生产制造执行系统(MES)、能源行业的调度控制系统。
企业信创云平台: 基于全栈信创产品构建的私有云或行业云平台。
4. 举例
某市智慧政务系统: 它集成了国产服务器、国产网络交换机、国产操作系统、国产数据库、国产中间件,并在此基础上开发了政务服务应用软件,最终为市民提供在线办事服务。这个“服务能力”就是信息系统。
某银行信创核心业务系统: 它采购了上百台信创服务器、多套信创数据库和中间件,并经过大量的适配、迁移、开发和测试工作,最终确保银行的存款、贷款、支付等核心业务能安全稳定地运行。
三、核心区别对比表
| 维度 | 信创产品 | 信创信息系统 |
|---|---|---|
| 本质 | 零部件/工具 | 集成后的解决方案/能力 |
| 形态 | 单一的硬件、软件或服务 | 复杂的、软硬件结合的综合体 |
| 目标 | 解决特定技术问题(如计算、存储、连接) | 解决特定业务问题(如办公、生产、服务) |
| 关系 | 是信息系统的组成部分和基石 | 是产品的最终应用和价值体现 |
| 交付物 | 产品本身(如软件光盘、硬件设备) | 业务功能和服务(如一个可用的办公平台) |
| 价值 | 技术性能、功能、兼容性、稳定性 | 业务连续性、安全性、效率提升、合规性 |
| 主导方 | 产品厂商(如操作系统公司、数据库公司) | 系统集成商、解决方案提供商、最终用户单位 |
四、两者的关系
产品是基础: 没有成熟、可靠、高性能的信创产品,就不可能构建出稳定高效的信创信息系统。产品的技术突破是产业发展的前提。
系统是目标: 信创产品的价值最终需要通过集成到信息系统中,解决实际业务问题来体现。系统的成功应用反过来会拉动产品的迭代升级和市场扩大。
生态是关键: 产品和系统之间需要通过严格的兼容性适配认证(例如,确保A公司的数据库能在B公司的服务器和C公司的操作系统上稳定运行)来形成强大的信创生态。
五.信创评估可供参考的指标
对于国产化核心技术(如CPU、操作系统、数据库)等已经有安全可靠测评目录。但是一些其他类型的产品或者信息系统,可用于业主方、产品厂商或者测评方等参考。
一、 技术自主可控与知识产权
1.核心代码自主率
指标含义:产品中自研代码(尤其是核心模块代码)所占的比例。
评估内容:评估代码来源,区分自研、开源、外购(商业许可)等,并要求对非自研部分有清晰的掌控和替代能力。
2.知识产权完整性
指标含义:企业对产品所涉及的技术、代码、商标等拥有完整、无争议的知识产权。
评估内容:是否拥有核心技术的专利、软件著作权;是否存在知识产权侵权风险(如使用了存在法律纠纷的开源协议或商业代码)。
3.技术路线与架构可控性
指标含义:产品所依赖的底层技术架构(如CPU指令集、操作系统内核)是否可持续获得并自主发展。
评估内容:是否基于国家推荐的技术路线(如ARM, MIPS, Alpha, x86授权等);是否对架构有深度理解和二次开发能力。
二、 供应链安全
该维度评估产品从原材料到交付整个链条的安全、可靠和可控性。
1.供应链透明度
指标含义:对供应链中所有关键环节和供应商的可见性。
评估内容:能否清晰追溯关键元器件(如芯片、存储颗粒)、基础软件(如编译器、库文件)的来源、以及引用的第三方开源组件库来源是否安全。
2.供应商风险管控
指标含义:对供应商,尤其是境外供应商的依赖度和风险应对能力。
评估内容:核心组件是否有多源供应商策略;对单一供应商的依赖程度;供应商的政治、地缘、贸易风险评估。
3.研发与生产环境安全
指标含义:产品设计、开发、编译、构建、生产的全过程环境安全可控。
评估内容:是否使用国产或受控的研发工具链(如IDE、编译器);构建环境是否隔离、安全;生产线是否自主可控。
三.产品软硬件升级与更新可控性
该维度评估产品或系统在整个生命周期内,进行迭代、修复、升级的能力是否自主可控,过程是否安全可靠。
1.升级通道与机制可控
指标含义:产品和系统的更新升级渠道(如更新服务器、推送机制)是否自主可控,而非依赖境外服务。
评估内容:
升级服务器的部署位置(是否境内?是否自主管理?)。
升级协议的自主性与安全性(是否采用国产加密协议?)。
能否在完全离网的隔离环境中完成内部升级(如通过内部镜像源)。
2. 升级内容可信与可验证
指标含义:发布的升级包(固件、补丁、版本)是否来源可信,且未被篡改。
评估内容:
升级包是否经过数字签名,且签名密钥由厂商安全管控。
用户端是否具备验证签名有效性的能力。
升级过程是否支持断点续传和完整性校验,防止升级失败导致系统“变砖”。
3. 更新策略与兼容性管理
指标含义:厂商提供的更新策略是否清晰,更新内容是否会引入新的兼容性问题和安全风险。
评估内容:
厂商是否有明确的长期支持(LTS)计划和版本生命周期政策。
安全补丁的响应和发布速度(能否及时响应漏洞?)。
升级前是否提供充分的兼容性测试报告和回滚方案。
4. 加密体系合规性
指标含义:升级过程本身以及产品内部使用的加密技术必须全面合规。
评估内容:
传输加密:升级包下载、传输过程是否采用国密算法(如SM2/SM3/SM4)或经过审查的合规算法进行加密和认证。
静态加密:产品内部存储的敏感数据(如配置、用户信息)是否使用了合规的加密技术进行保护。
密钥管理:整个加密体系的密钥生成、存储、分发、轮换、销毁是否符合国家密码管理局的要求,确保密钥本身的安全。
四、 安全可靠与质量
该维度评估产品本身的安全性和可靠性,是应用的前提。
1.安全漏洞与后门
指标含义:产品中是否存在已知高危漏洞、未公开漏洞或恶意后门。
评估内容:通过代码审计、渗透测试、二进制分析等手段进行检测;是否建立漏洞应急响应机制。
2.密码应用合规性
指标含义:产品的加密算法、密码协议、密钥管理是否符合国家密码管理局(GMTC)的要求。
评估内容:是否采用国密算法(SM2, SM3, SM4等);密钥生命周期管理是否安全。
3.可靠性、可用性与性能
指标含义:产品在长时间、高负荷下的稳定运行能力及性能表现。
评估内容:平均无故障时间(MTBF)、故障恢复时间、在高并发场景下的性能衰减程度等。需要通过大量测试验证。
4.开源软件治理(开源率与合规性)
指标含义:对产品中使用的开源软件组件的管理和控制能力。
评估内容:
开源组件清单:是否准确识别所有开源软件及其版本。
开源协议合规性:是否遵守了所有开源协议的义务(如GPL, Apache, MIT等),避免法律风险。
开源漏洞管理:是否及时跟踪和修复开源组件已知的安全漏洞。
“开源率”管控:虽然不完全排斥开源,但会评估对关键开源组件的替代能力和控制力,避免过度依赖。
五、 生态兼容性
硬件兼容性:
指标含义:与主流信创芯片(鲲鹏、飞腾、龙芯、海光等)、整机、外设的适配程度。
评估内容:拥有多少份有效的硬件兼容性认证。
软件兼容性:
指标含义:与主流操作系统(统信UOS、麒麟OS)、数据库、中间件、浏览器等的适配程度。
评估内容:拥有多少份有效的软件互认证;对主流应用和业务的支撑能力。
标准符合度:
指标含义:符合国家、行业相关技术标准。
评估内容:遵循指定的接口规范、数据格式、开发协议等。
六、 可持续性与服务能力
评估企业能否提供长期、高质量的技术支持,保障产品的持续迭代。
1.厂商可持续性:
指标含义:产品供应商的研发投入、团队稳定性、财务状况和长期发展能力。
评估内容:研发投入占收入比重;核心团队背景;公司盈利状况。
2.技术支持与服务能力:
指标含义:提供本地化、及时有效技术支持和售后服务的能力。
评估内容:服务团队规模、响应时间(SLA)、故障解决能力、版本更新和补丁发布计划。
