近年来,信创国产化替代驶入了快车道,作为我国推动科技自立自强的重要举措,信创国产化替代不仅为数字经济高质量发展打牢了安全基石,还解决了“卡脖子”问题。2022年,《国资委79号文》明确要求所有国央企在2027年前完成信息化系统的信创国产化改造,实现100%的信创替代,并设定“全面替换”、“应替就替”、“能替就替”的策略。2023年,财政部、工业和信息化部印发七项基础软硬件政府采购需求,对操作系统、一体式计算机、台式计算机等列出采购标准。2024年,在相关补贴政策的推动下,信创替代开始大规模下沉至市区乡镇市场。信创国产化替代,已经在党政、金融、能源、通信等“2+8+N”行业全面展开。 某部委作为国务院直属的正部级机构,经过长期信息化建设,已成功打造了包括征税、保税、物流、检验检疫和监管等在内的多个业务系统。目前,该部委已拥有近100个系统平台,为全国范围内超过十万名系统用户提供优质服务。 依据该部委的整体信息化建设蓝图,近两年来,应用系统和用户终端的信创替代改造工作一直在有序推进。2022年,该部委着手升级相关系统来增强业务处理能力和提升工作效率。然而,在升级过程中,遇到了一些挑战,主要表现在: 混合终端与新旧业务系统并行,影响业务访问稳定性 由于业务系统多、用户体量大,在一定时间内存在X86终端环境、国产终端(国产CPU+国产操作系统,以下统称国产终端)环境与新旧业务系统并行的情况。一方面,要保障国产终端替代工作稳步推进应替尽替,能替尽替,另一方面要确保在替代过程中,原有X86终端正常访问新替代系统,同时国产终端也能顺利访问原有系统,实现替代工作与正常办公开展有序进行。 业务系统跨平台开发效率低,缺少统一业务承载平台 目前国内信创操作系统、软硬件厂商众多,缺乏统一标准和规范,导致市场上存在多种不同的技术和产品,缺乏互操作性和兼容性。由此造成业务应用跨平台开发适配工作量大、成本高,应用系统开发效率低。因此,需要统一的、标准化、易维护的浏览器作为整个信创应用生态的纽带,这个浏览器能够在不同的信创平台上运行,提供一致的用户体验和开发接口,从而实现业务应用跨平台的统一适配、统一部署、统一管理。(根据信创政策要求,业务系统需要按照分类分级进行信创改造工作。而业务系统多数为B/S架构,其中客户端主要通过浏览器来访问服务器上的应用。在B/S架构中,浏览器充当了用户与业务系统之间的桥梁。) 早在2020年,奇安信就率先发布了可信浏览器,面向国产化全生态,全面兼容国产CPU硬件平台和操作系统,已应用于司法部、国务院国资委、工业和信息化部等国家部委。在与奇安信安全专家的深入交流过程中,该部委信创国产化替代项目负责人表达了自己的关切:短期内,如何在信创终端上无缝兼容现有业务系统,确保业务不中断,同时保障过渡期的业务连续性和稳定性,让用户业务办理畅通无阻?长远来看,如何整合业务系统的访问入口,提升系统的易用性和管理效率?后续应选择何种技术路线以保障业务系统的可持续发展与高效运行? 针对该部委信创替换进展和挑战,奇安信提供了量身定制的可信浏览器解决方案。 信创环境下的远程浏览策略:业务系统访问无障碍 由于该部委信息化建设起步较早,许多业务系统都是基于IE浏览器的Trident内核和ActiveX控件开发的。这些系统通常需要在IE浏览器中配置特定选项才能正常访问。然而,信创平台不支持IE内核和Windows平台的插件,也没有对应的信创版本插件。因此,该部委在替换信创平台后出现无法正常访问原有业务应用系统的情况。 为了保障改造过程中新旧业务系统正常使用,奇安信可信浏览器提供了远程浏览解决方案,通过远程虚拟化的方式,依照管控中心配置和调用规则,实现用户在国产化终端访问原基于IE内核开发的业务系统。 具体来说,奇安信在远程浏览器管理平台创建了支持IE内核及ActiveX控件的远程浏览器。这使得用户能够通过远程浏览器无缝访问基于IE的业务系统,而无需对现有系统或网络做出任何改动。用户在无感的情况下,便实现了在信创环境中对原业务应用系统的准确访问。 此方案不仅保证了业务连续性,还解决了因终端信创替换导致的兼容性问题,如未迁移系统的使用障碍、插件不兼容、外设无法工作、UKEY调用等,实现信创的真替真用。 延续支持老接口、老平台,延长业务系统生命周期 在微软停止支持IE并强制将IE引导至Edge浏览器,Edge和Chrome逐步停止支持NPAPI、Flash等插件,新版互联网浏览器停止支持XP、Win7等操作系统相关事件背景下,奇安信可信浏览器能够全面兼容各种操作系统和插件,持续支持各款Windows操作系统(Windows XP-Windows11)和各类插件技术(ActiveX、PPAPI、NPAPI、NaCL、PNaCL、Native Messaging)。 同时,延续支持老旧接口、老平台,延长应用生命周期,通过定制化的原生接口能力、简化代码、减少插件等措施,提升开发效率,减少维护成本,保障业务访问的连续性和稳定性。 实现总部统一管控,兼顾各层级单位个性化需求 根据该部委统一规划、统一部署的施行策略,各类型系统后续将通过统一的服务工作登录入口进行业务访问。总部需要对X86终端、国产化终端实行同台管理模式,运维管理人员利用管控平台对员工访问业务系统时使用的不同内核做设定,满足不同业务系统的访问需求,实现对全国系统内部终端浏览器的统一管控。 奇安信可信浏览器即可满足全平台统一管控需求,具备统一升级部署、统一策略配置、统一安全管控能力。通过浏览器管理平台,运维人员可以对客户端进行统一升级管理,解决个人版浏览器不受控升级导致的业务访问中断风险;也可实现浏览器证书下发、插件下发、可信网站设置等统一管理功能,满足终端用户免配置、即开即用、流畅访问办公系统的办公体验。 同时,奇安信可信浏览器实现了分级管理,可兼顾部委各直属单位及地方隶属单位的个性化需求,如定制浏览器界面和功能、配置不同安全需求的安全策略、集成特定业务系统或应用程序、设定不同用户访问权限等。在确保整体策略的一致性和安全性的同时,实现了高效管理和灵活应用。这种管理模式保证各层级单位的业务需求得到充分满足,提升了整体信息化水平和用户体验。 应用性能数据分析,促进业务系统的深化完善 奇安信可信浏览器可以对业务系统服务质量进行实时监测与分析,直观呈现从终端到业务系统完整访问数据的质量,协助提高部委应用系统国产化替代的有效性和可用性。 奇安信可信浏览器数据分析软件,支持对产生的访问数据进行多层面的访问数据汇集分析和可视化管理,在浏览器客户端发起业务系统访问的同时,对访问质量进行实时检测与分析,将应用访问异常、应用性能、全链路性能等关键治标进行可视化管理,助力运维部门理清当前网内业务系统数量、访问热度、以及访问的质量,清晰掌握多地域、多业务系统之间访问服务质量,助力运维人员进行业务系统成熟度和稳定性评估,进一步促进业务系统的深化完善。 本次项目奇安信可信浏览器覆盖了该部委总部及40多个直属单位,部署包含终端总数超18万点,在保障原有X86终端及国产化终端安全访问的基础上,既完成对基于IE设计的系统做平滑过渡,又贯彻落实了关键基础设施国产化政策,明确工作主体目标和替代路线,不断完善综合办公系统(OA、党群、门户等)的替代工作。 经过几个月的投入使用,信创国产化替代项目负责人表示:“奇安信可信浏览器作为我们的办公基础软件,完美契合了信创国产化替代中对业务系统承载与安全管控的需求。无需改造现有业务系统就能快速实现信创支持,显著缩短了信创替代实施周期,降低迁移成本。同时,该浏览器保持了原有用户习惯,确保办公效率,完全消除了我们对信创改造与业务系统升级同时开展可能带来负面影响的顾虑。” 目前,奇安信可信浏览器已连续4年位居国产化浏览器市场占有率榜首,装机量近千万套,市场占比超过55%,产品已经广泛应用于党政、金融、电力、运营商、交通、公安、医疗等行业,以及司法部、国务院国资委、自然资源部、工业和信息化部等26个国家部委,成为千万终端的业务访问入口,赢得了广大用户的高度认可与积极评价。 IDC认为,企业浏览器的根本优势在于提升和统一了对各种以前未受管控或监管不足的浏览器使用场景的可见性和控制。Gartner在《2024年终端和工作空间安全成熟度曲线》中指出,企业浏览器是轻量级安全服务(如安全远程访问、网络安全、数据安全和身份保护)的交付工具,可减少对公司终端监控和维护的依赖。可以预见的是,随着时间的推移,在数字化办公中,企业浏览器除了作为统一业务承载平台之外,在安全方面越来越受到客户重视,逐渐成为业务访问安全的“第一道防线”。
