随着信创改造时间表的日益临近,很多企业都正在或计划进行信创改造工作。近期在多个场合都看到了关于信创数据库的争论,核心焦点在于“什么是信创数据库”。延伸而来的问题还包括:使用 MySQL 能做信创替换吗?基于开源二开的数据库算信创库吗?有很多信创名录,哪个才是靠谱等?等等。想来这个问题还是有点复杂的,好像确实还没有对信创数据库有个明确定义。我们先来看看chatGPT是如何说的(如下图),从中可以看到几个关键词(信息安全、自主可控、技术创新...),谈到了一些关键点。下面就结合我了解到的信息,谈谈我对信创数据库的理解。
1. 信创:一场自上而下技术变革
在开始讨论信创数据库之前,先来谈谈什么是信创。信创工作最早起步于2016年,当时由24家从事软硬件关键技术研究及应用的单位,共同发起成立了一个非营利性社会组织,命名为“信息技术应用创新工作委员会”,简称“信创工委会”,这也是“信创”一词的来源。其核心目的,是为了实现信息技术产业的完全自主可控,因此在早期也被称为“安可(安全可控)”。
(1)信创背景
信创背景,最早可追溯到 1986 年,四位两弹一星元勋致信国家领导人,提出全面追踪世界高科技的发展并制定中国发展高科技计划的建议和设想。同年 3 月,领导人亲自批准启动,这就是著名的“863项目”,标着这中国自主创新开始起步。1997 年,国家科技领导小组决定实施“973计划”,解决国家经济与社会发展中的重大科学问题。2006 年,国家启动了“核高基”实现,核高基就是“核心电子器件、高端通用芯片及基础软件产品”的简称。近些年来,周边环境日益复杂、安全事件频出。从 1999 年科索沃战争爆发,中国大使馆遭到轰炸,到 2008 年的微软“黑屏”事件、2013 年的美国“棱镜门”事件、2018年美国制裁中兴华为事件等等。上述安全事件核心是限制中国科技发展、延阻中国崛起步伐,这也逼迫中国科技产业需要从应用层面发展到核心层面,激励加速了中国自主可控进程。总书记在党的二十大报告中强调:“推进国家安全体系和能力现代化,坚决维护国家安全和社会稳定。”
(2)信创概念
通过上述背景描述,我们延伸出信创的概念。“信创”,即信息技术应用创新,旨在针对硬件及云等基础设施、基础软件、应用软件、网络安全等IT产业链核心技术产品进行自主研发,为我国经济发展、社会运转构建安全可控的信息技术支撑,避免核心技术受制于人。
(3)信创范围
信创建设包含基础设施、基础软件、应用软件以及信息安全四大核心领域。基础设施包括芯片、存储、服务器、云计算等;基础软件包括操作系统、数据库、中间件等;应用软件包括基础办公软件、企业管理软件等;信息安全包括安全软件、安全硬件、安全服务等。我们可用下面这张图简单了解下。
(4)信创产业
从上面的信创范围可见,信创工作范围非常广泛,其背后是需要一个庞大的产业来支撑。这里引用来自艾瑞咨询的2023年信创报告中的一张图,描绘下信创产业的全景。这其中我们可以看到非常多的厂商(包括数据库厂商),那这些数据库都算信创数据库吗?这点我们后面展开来谈
(5)信创推进
信创工作的推进中大致按照先预研、后推广;先局部、后全面;先外围、后核心的整体原则。下图也是摘自艾瑞咨询的信创报告中整理的信创发展历程。
特别是近十年来,信创工作进入深化阶段,国家也出台了一系列政策加速推进。特别是在2018年,国家提出的“2+8+N”发展体系,将信创工作纳入到国家发展战略中。这里谈到的2+8+N,是信创提付覆盖的应用领域,即党、政与金融、电力、电信、石油、交通、教育、医疗、航空航天8个关于国计民生的重要行业,以及N个消费市场。信创最初在党政领域试点应用,八大重点行业加速推进,N个行业中的办公OA、编辑类的国产软件已普遍被应用。
当然各领域的推进节奏有所差异,党政信创起步最早,渗透面最广;金融、电信等对国计民生有重要影响的关基行业自2020年起也开始大力投入信创建设,对基础硬件、外围系统进行较高比例的信创产品升级。随着信创产品的日益成熟,信创的建设将逐步在更多行业领域展开,由局部采买转为全行业推广、常态化采购。不同行业都制定了响应的时间表。例如在2022年9月份,国资委下发的79号文,就全面指导国资信创产业的发展和进度,要求所有央企+地方国企落实信创替代,并针对不同系统制定相应策略(全面替换、应替就替、能替就替),并要求在2027年完成100%信创替换工作。
2. 信创数据库:“又红又专”的数据库
在如火如荼开展的信创替换工作中,数据库无疑扮演着非常重要的角色。首先,它是实现数据自主可控的重要手段,有助于规避因依赖国外技术而可能带来的安全风险。其次,它推动了国产数据库技术的进步和创新,加速了国内信息技术产业的发展。再者,信创数据库的出现,为国内外企业提供了更多选择,促进了市场竞争,推动了产业升级。最后,它在维护国家信息安全、构建自主可控的信息技术体系方面起着不可或缺的作用。那回到之前的疑问,什么才算是信创数据库呢?
(1)信创数据库概念
让我们先看看信创数据库的概念。信创数据库,即信息技术应用创新数据库,是在国家大力发展信息技术应用创新(简称“信创”)的大背景下应运而生的一种数据库产品。其核心概念在于,它必须符合国家信息安全和数据自主可控的要求,支持国内自主研发和技术创新,能够在关键信息基础设施中替代国外产品,保障国家信息安全。具体而言,信创数据库是指遵循国内标准规范,与国产化硬件平台适配良好,通过自主研发和创新,具有自主知识产权的数据库管理系统。包括关系型数据库、非关系型数据库,以及其他适应特定场景需求的新型数据库产品。
(2)信创数据库核心要求
从上面的概念描述中,我们可以对信创数据库的核心能力有个整体了解。这里可以抽象为若干核心要求:
❖ 技术先进
使用信创数据库,不应是技术倒退,而应是在成熟技术基础上有所创新。近些年来,随着分布式、云原生、HTAP、软硬一体、AI、多模等技术在数据库领域的大规模应用,也给了国内厂商实现弯道超车的机遇。一大批采用新架构、新理念设计的产品涌现出来,并开始在实际生产环境取得了不错的效果。
❖ 数据安全
关于数据安全可以分为两个层面,狭义与广义。狭义上的安全,是指在数据在生产、传输、存储、使用、销毁等生命周期阶段的安全。这其中涉及一系列安全技术能力建设,如数据存储就需考虑加密问题,特别是与国密算法结合,实现数据加密。广义上的安全,则是从国家信息安全角度来看,应可做到替代国外产品,实现真正的供应链安全。
❖ 成熟稳定
数据库,作为三大基础软件之一,数据的主要载体,其安全稳定运行尤为重要。信创数据库应是成熟产品,能够满足在关键领域、核心场景的严苛要求。当然数据库也是比较复杂的,是稳定成熟时需要长期时间积累。这需要对信创数据库严格要求之余,抱有一份宽容,尽快加速信创数据库成熟。在具体推进工作上,也应秉持着先外围、后核心;先试点、后推广的策略。
❖ 产业完整
数据库不是孤立产品,是否能在很顺利的推广使用,是需要上下游及周边产品的配合。而产业完整的构建,是需要一个较为长期的过程,不能一蹴而就。一方面我们看到很多信创数据库采取了“兼容”策略,借力构建产业生态;一方面也都纷纷加大生态建设力度。相信随着信创工作的推广深化,会加速产业的成熟完善。
❖ 自主可控
自主可控,可以说是对信创数据库的最基本的要求,也是做信创工作的核心出发点。从上文中信创的来源来看,正是为了解决“卡脖子”的问题。当然如何评判自主可控能力,下文会详细说明。
(3)信创数据库发展
近年,随着信创战略的驱动和数字经济大潮的到来,国产数据库应用空间广阔,其中不仅包括存量系统的国产化替代,而且包含大量日益增长的新数据库使用需求。本土数据库产品已经越来越广泛地被使用到关键行业和企业核心系统中替换其他存量数据库,在分布式、云原生、 HTAP 等增量数据库市场,本土数据库品牌的优势也愈发明显。目前国外品牌在数据库总体市场中仍具有一定份额,但是逐年下降并被国产超越。根据亿欧智库,2017年国外数据库厂商占比中国数据库份额64.8%%,2020年在国家信创政策支持下国产数据库飞速发展,占比国内市场份额达47.4%。最近二十年国内诞生了一大批数据库厂商,各家也都纷纷将信创作为重要发展方向。那么如何从众多产品中进行选择?如何判断是否符合信创标准?,这些都成为困扰用户推进信创工作的难点。
3. 信创判断标准:“形神兼备”是关键
(1)当前现状,百花齐放
在信创数据库选择判断上,尚没有特别通用的标准。这其中有诸多原因,其一是之前的确存在一个“信创名录”,但始终没有对外正式披露,更多限于内部流传。虽然在去年年底,中国信息安全测评中心正式公开发布了“安全可靠测评结果”公告,可以将其视为一种名单,但仍然存在一些不足。一是名单仅限于集中式数据库,还没有覆盖分布式数据库(有预测今年5、6月份会发布);二是评测更多侧重自主可控能力,对于数据库自身成熟稳定、技术先进性等验证不足。下图就是发布的这份名单
图片
其二,很多行业都有着对于信创数据库的不同判定机制,有的是通过监管机构认可来判定,有的是通过行业内部标准、案例来规范,有的则是跟随头部企业选择或主要开发商的选择等,不一而足。如下图就是金融行业发布的一系列数据库相关的行业标准和团队标准。
其三,还有些半官方或者民间机构,也会开展数据库的各类评测工作。这些机构具备一定的公信力,很多企业在选择时也会给予参考。比较典型的如信通院、工信部四所、赛迪等。如信通院的“可信数据库”评测就是由中国信通院大数据产品能力评测数据库系列评测升级而来。自2014年起,该体系每年开展两批测试工作,已有一大批国内产品通过产品能力或服务能力的评估。为广大用户筛选出优秀的产品和优质的服务商。下图就是2023年底最新一批通过评测的厂商及产品(节选)
此外,还有一些媒体机构,也会发布一些“排行榜”、“白皮书”、“象限图”等。这些内容可能运营的成分偏多,但也会对用户的决策产生一些影响。如下图是“Internet Deep”发布了2023年度信创产业分类排行(节选)。
(2)打造“形神兼备”的自有标准
既然行业内尚无统一的评判标准,各企业又面临信创替换压力,那么如何进行选择呢?这里建议可以打造一套“形神兼备”的自有标准。其中所谓的“形”,是指符合满足数据库产品技术能力的一些标准;所谓的“神”,是指满足信创工作核心出发点的一些标准。我们可以将信创数据库的核心要求:技术先进、数据安全、成熟稳定、产业完整、自主可控,为出发点形成自有标准。下表从众多的评测机构/协会/用户出发,按信创产品的核心要求分类,供参考:
(3)几个常见的问题
有了上面的判断标准后,针对业内常见的一些疑问,就可以自行判断了。
❖ 使用 MySQL 符合信创吗?
如使用标准的 MySQL 开源产品,在上面的技术成熟、产业完整,特别是自主可控、数据安全上是存在明显不足的。但如果产品是基于开源产品的二次开发而成,并通过相关信创认证、评测等是可以归为信创的。进一步展开这一问题,就是使用开源产品是否算信创的问题。从上面可知,开源是存在明显的缺陷不足,无法符合要求。
❖ 完全自研,才算信创吗?
很多国内数据库产品(甚至说是大部分),都是来自于开源二次化改造、少部分有购买商业授权的方式,真正纯自研的产品并不多。是否算信创,其核心问题还在于数据安全和自主可控能力上,而不是代码都要自研;只不过后者的自主可控能力不需要验证了。当然使用开源二开,这里还存在一个开源协议问题,从近期披露的案例来看,只要遵从协议并取得相关软件著作权是没有问题的。
❖ 信创和国产化是一回事吗?
国产化是在产品或服务中采用国内自主研发的技术和标准,以替代过去依赖的进口产品和技术的过程。而信创是国产化的升级,其更注重于信息技术自主可控和技术应用创新,更具有前瞻性和战略性的意义。简单说就是国产化不一定是信创,但信创是国产化。