中國IT行業正在飛入“云”時代,但云大廈的根基卻出現了一道巨大的裂縫。
統計數據顯示,目前,我國云計算依托的虛擬化系統90%為外資品牌,這些品牌實行接口不完全開放政策,使得云計算安全風險急劇上升。
而國有虛擬化軟件的替代難,再加上開放接口國家標準的缺失,正使得云計算系統性風險常態化,猶如一顆炸彈,只等有人拔下它的保險栓。
云計算系統90%以上為外資
如果將處理數據的計算能力比作電力來看待,云計算就是未來的火力發電站。隨著網絡的普及,終端設備小型、便捷化,以及智慧城市、大數據等概念的提出,云計算因其高效和實用性,正成為新的IT產業趨勢。
根據市場調研機構IDC公司的數據,2015年全球云計算基礎設施支出將增長26.4%,達334億美元,約占IT總支出的三分之一。
在中國也不例外。據中國信息通信研究院調查,自2008年第一個云計算中心運營以來產業發展迅猛,2014年我國公共云服務市場規模已達70億元,同比增加47.5%。
世界正進入云的時代,但中國的云計算市場目前要依靠外資品牌才能運轉。
一個常規的云計算架構包括硬件平臺、云計算操作系統以及應用軟件,中國信息安全研究院副院長左曉棟表示,“很多國內云服務商從硬件平臺、云計算操作系統、應用軟件等都是用的國外產品。”
賽迪智庫信息安全研究所所長劉權介紹,以認證用戶及確保通信安全的服務器數字證書技術為例,雖然地方以及金融部門自身都有數字認證機構,但市場主要掌握在國外廠商手里,“目前大型金融機構、電商企業99%的服務器證書,都來自國外廠商。”。
更為嚴重的是,云計算操作系統所依托的核心軟件——虛擬化軟件,同樣是外資的天下。中國科學院計算技術研究所研究員何青告訴《財經國家周刊》記者,在云計算所依托的虛擬化軟件領域,VMware、微軟、甲骨、IBM等外資廠商在全球市場占比接近99%,在我國也超過90%。
雖然聯想、華為等國產虛擬化系統廠商已推出自己的產品,但就現階段而言,云計算的國產化替代難度極大。
從事數據中心安全工作多年的王磊(化名)告訴記者,國產虛擬化系統的穩定性不及外資產品,而且更換系統影響正常運營,企業多有顧慮。
這使得大型國企和事業單位,只會購買少量國產服務器和虛擬化軟件裝樣子,應付國產化要求。而實際業務仍運行在外資系統上,不要說產業發展,連最基本的信息安全都難以保障。
確保安全需細化標準
王磊表示,目前保障中國云計算安全的困難主要在兩方面。第一是系統架構本身的問題。由于云計算采用虛擬化技術,使得用戶業務系統不再明確地運行在物理的服務器上,而是動態的虛擬機。這就使得多個數據源之間沒有物理界限,一旦被侵入將難以設置隔離區。
由此帶來的結果是,原先一臺服務器感染病毒,最多影響其所在公司設備,而云計算服務器一旦感染病毒,將影響大量企業甚至公共系統。
第二個困難也是最為核心的困難,來自虛擬化系統廠商。由于占市場絕大比例的虛擬化軟件供應商,如VMware、微軟等,都是外資廠商,它們提供云計算操作系統最底層的安全接口,但這個接口并沒對國內信息安全廠商完全開放。
這帶來的直接后果是,中國的云計算中心進行信息安全監管,需安裝國外的第三方產品。王磊認為,對于如金融、交通、通信、能源等保障國家正常運轉的要害部門,依靠國外監管軟件保證本國的信息安全,顯然是天方夜譚。
在云計算中心實現完全國產化替代前,實現自主可控的安全監管,是最有效的安全保障之一。而要監管云計算中心,必須要有虛擬化軟件廠商開放的底層接口才能實現。
但對于虛擬化接口開放與否問題,國家并沒有強制標準。
目前我國現有的云計算安全標準,主要是2015年4月1日發布的《信息安全技術云計算服務安全指南》和《信息安全技術云計算服務安全能力要求》(以下簡稱“《要求》”)兩大標準,分別對云計算采購部門以及服務供應商提出了安全管理要求。
其中《要求》規定:“系統開發商需提供所使用的安全措施的設計和實現信息,根據實際情況可包括:與安全相關的外部系統接口”、“確保獨立第三方,可以驗證開發商實施安全評估計劃的正確性以及在安全測試和評估過程中產生的證據”。
但王磊告訴記者,雖然《要求》提到了“系統接口”、“第三方監管”,卻沒明確要求虛擬化廠商提供底層接口給第三方。“虛擬化系統之上的接口可以有成千上萬個,但底部接口就一個。底層接口不管,可以說就是死穴,對方要點就出問題。”
專家認為,在虛擬化軟件底層接口問題上,需國家層面細化相應標準,確保其能完全開放給第三方以及用戶,只有這樣才能保證虛擬化軟件運行在陽光下。
不過外資開放底層接口只是權宜之計,要徹底解決云計算安全問題,還是要實現虛擬化系統的國產化替代。盡管目前而言,國產虛擬化系統短時間突破并不容易。
京公網安備 11010502049343號