CPU安可评级背后的真相揭秘

尽管《安全可靠测评结果公告》已经更新到第三期，但还是阻挡不了某些厂商钻研规则漏洞的热情。从CPU安可测评结果的排名争议，再到最近突然传出的安全等级歧视，大厂销售确实擅于整活，以至于为了业绩竟然一再歪曲政策性内容，着实让人眼界大开。

从排名到等级，谁在“引领”安全标准？

事情要从去年底的第一份《安全可靠测评结果公告》说起。当时业内首次公布符合安可标准的18款处理器产品，并且标注了安全可靠等级统一为一级。

然而产品名单上并未说明排序方式，外界也看不出明显的排列逻辑，一些厂商开始混肴视听，通过销售团队对外传播“名单中的序号就是安全性排名”。在客户宣传话术上，更是把排序靠后的产品打入了“不可信任”之列。

在有心人推波助澜下，这种荒谬言论还真误导了不少用户，并在市场上广泛流传。而始作俑者也浮出水面，根据市场反馈，安全排名“第一”的鲲鹏在这轮风波中受益不小，并且菊厂销售团队正是鼓吹这一说法的主力。

直到今年5月，官方也注意到了这一问题，特意在公告中注明了产品排名不分先后。至此，菊厂销售谎言戳破，安全排名争议才算告一段落。

但让人猝不及防的是，上一轮风波刚刚平息没几天，最近市场上竟然又出现了等级“歧视”。有人指出，第三期安可测评名单中，菊厂与其他路线都有产品评测到二级标准。为此，前端菊厂销售快速制定了新一套说辞，误导公众一级标准产品不可选，存在严重的安全性问题，以屏蔽一些一级产品的竞争。

该说法这次也引起了业内警惕，本来一级和二级产品都完全符合安全测评标准，只是在应用领域上有差异。客户真正应该关注的是对应用分类分级，用最合适的产品满足最需要的安全等级要求，而不是一刀切的用高成本去追求最高等级，以免付出不必要的采购成本。按照菊厂的说法，一级产品都不可信任，用户选型就剩下高价购买二级产品这个单选项，这显然不符合众多行业客户自身信创发展的需求。

“退一万步讲，安全标准不是出自一家之言。”有相关从业者对此颇为愤慨，“就算都完成了二级标准测试，也没有必要歧视一级产品。不能为了自己的销售业绩，让客户花高价来买单。”

论自研谈国密，如何正确理解芯片安全？

伴随着菊厂销售在用户端的引导，关于CPU安全等级的争议声再起，信创产品选型更显得扑朔迷离。那么，到底什么样的芯片才算安全？

“如果只看等级的话，难道HW的产品比龙芯、申威还要安全？”某信创圈内人士认为，从自研角度来看，龙芯这类厂商的自主化程度显然更高，芯片路线安全水平绝对领先。“鲲鹏CPU到现在还受到ARM授权的限制，起码5年以上没有更新了，何谈芯片安全？”

当前，菊厂ARM芯片路线的迭代能力被业内广泛看衰。由于ARM公司此前已宣布不再提供相关授权，菊厂获得的授权版本严重落后于主流水平，且受到授权协议制约，无法在原版架构基础上大幅度自研创新迭代，逐渐被视为可持续发展乏力。

也有人认为，芯片路线安全和产品安全维度不同，后者更侧重安全技术水平，包括对一些国密标准的支持能力。现在实现国密算法支持的主流路线是安全技术内置。

相对来看，鲲鹏CPU在安全技术领域采用的仍然是传统插卡方案，需要通过外置专用设备以及改造主板等，实现客户对国密算力和可信计算的需求。上述人士指出，这种方案一般只能满足基础级要求，想达到增强级造价更加高昂。较之海光、龙芯、飞腾等产品，安全性、成本都不具备优势。

显然，无论是路线安全抑或产品安全水平，菊厂产品在现实中都谈不上遥遥领先。只有在前端销售宣贯的特定标准下，才能塑造成为信创用户的首选、甚至单选。

先设卡再串标，菊厂销售的胃口有多大？

这种私设标准门槛的销售方式，俨然已成为劣币驱逐良币的杀手锏。尤其菊厂更擅于先在销售端设卡，再通过串标、抬价等手段实现利益最大化。

前段时间，业内曝出一条废标新闻，标题为《中标产品不是HW，导致废标重招》。文章指出，在“贵州省自然灾害应急能力提升工程预警指挥项目”中，原本是中通服建设有限公司中标。但后续收到莫名投诉，竟直接导致该中标结果无效，并重新展开招标。

然而新一轮招标公告显示，多项产品细则要求存在唯一指向性，且能实现相关需求的只有菊厂产品。这相当于明明白白的向投标者宣告：除了菊厂，其他厂商参与投标必败。

本应公开透明的招标项目，竟然变成了一家的猎场。这引起了业内的强烈不满，有人直言，一些企业滥用市场地位，甚至对招标方施加影响，某些销售手段已经严重越界。

非常之手段自然代表着非常之利益。随着一系列带有明显串标迹象的项目相继曝出，外界进一步发现，菊厂的某些中标项目报价，竟然与招标预算丝毫不差。

在《西安市政务云服务租赁项目（2024）》中，菊厂云以112,554,200.00 元报价拿下了该项目最大的标包一。事后有媒体才察觉，该项目三个标包中，只有菊厂以预算总价全额中标，竟然丝毫折扣都没有，仿若笃定该项目不会出现其它竞争者。

而从其它两个标包情况来看，标包三只是百万级别小标，某公司以近9成的折扣中标。标包二预算也高达48,512,400.00元，但显示符合性审查合格的服务商不足三家，所以导致废标了...仿佛除了菊厂云，阿里、腾讯这些云厂商都不够入围资格。

从引导市场舆论、划定行业标准，再到串标、抬价甚至于垄断市场，菊厂的产品销售模式已近乎无敌，更俨然凌驾于整个行业市场竞争格局。

悲观来看，这一现状若不能从根本上得到改善，探讨所谓的安全排名和安全等级都没有意义。还不如判断一下菊厂的胃口有多大，跟在后边享用一点残羹唾余。