中國(guó)IT行業(yè)正在飛入“云”時(shí)代,但云大廈的根基卻出現(xiàn)了一道巨大的裂縫,。
統(tǒng)計(jì)數(shù)據(jù)顯示,目前,,我國(guó)云計(jì)算依托的虛擬化系統(tǒng)90%為外資品牌,這些品牌實(shí)行接口不完全開放政策,,使得云計(jì)算安全風(fēng)險(xiǎn)急劇上升,。
而國(guó)有虛擬化軟件的替代難,再加上開放接口國(guó)家標(biāo)準(zhǔn)的缺失,,正使得云計(jì)算系統(tǒng)性風(fēng)險(xiǎn)常態(tài)化,,猶如一顆炸彈,只等有人拔下它的保險(xiǎn)栓,。
云計(jì)算系統(tǒng)90%以上為外資
如果將處理數(shù)據(jù)的計(jì)算能力比作電力來看待,,云計(jì)算就是未來的火力發(fā)電站。隨著網(wǎng)絡(luò)的普及,終端設(shè)備小型,、便捷化,,以及智慧城市、大數(shù)據(jù)等概念的提出,,云計(jì)算因其高效和實(shí)用性,,正成為新的IT產(chǎn)業(yè)趨勢(shì)。
根據(jù)市場(chǎng)調(diào)研機(jī)構(gòu)IDC公司的數(shù)據(jù),,2015年全球云計(jì)算基礎(chǔ)設(shè)施支出將增長(zhǎng)26.4%,,達(dá)334億美元,約占IT總支出的三分之一,。
在中國(guó)也不例外,。據(jù)中國(guó)信息通信研究院調(diào)查,自2008年第一個(gè)云計(jì)算中心運(yùn)營(yíng)以來產(chǎn)業(yè)發(fā)展迅猛,,2014年我國(guó)公共云服務(wù)市場(chǎng)規(guī)模已達(dá)70億元,,同比增加47.5%。
世界正進(jìn)入云的時(shí)代,,但中國(guó)的云計(jì)算市場(chǎng)目前要依靠外資品牌才能運(yùn)轉(zhuǎn)。
一個(gè)常規(guī)的云計(jì)算架構(gòu)包括硬件平臺(tái),、云計(jì)算操作系統(tǒng)以及應(yīng)用軟件,,中國(guó)信息安全研究院副院長(zhǎng)左曉棟表示,“很多國(guó)內(nèi)云服務(wù)商從硬件平臺(tái),、云計(jì)算操作系統(tǒng),、應(yīng)用軟件等都是用的國(guó)外產(chǎn)品?!?/p>
賽迪智庫(kù)信息安全研究所所長(zhǎng)劉權(quán)介紹,,以認(rèn)證用戶及確保通信安全的服務(wù)器數(shù)字證書技術(shù)為例,雖然地方以及金融部門自身都有數(shù)字認(rèn)證機(jī)構(gòu),,但市場(chǎng)主要掌握在國(guó)外廠商手里,,“目前大型金融機(jī)構(gòu)、電商企業(yè)99%的服務(wù)器證書,,都來自國(guó)外廠商,。”,。
更為嚴(yán)重的是,,云計(jì)算操作系統(tǒng)所依托的核心軟件——虛擬化軟件,同樣是外資的天下,。中國(guó)科學(xué)院計(jì)算技術(shù)研究所研究員何青告訴記者,,在云計(jì)算所依托的虛擬化軟件領(lǐng)域,VMware、微軟,、甲骨,、IBM等外資廠商在全球市場(chǎng)占比接近99%,在我國(guó)也超過90%,。
雖然聯(lián)想,、華為等國(guó)產(chǎn)虛擬化系統(tǒng)廠商已推出自己的產(chǎn)品,但就現(xiàn)階段而言,,云計(jì)算的國(guó)產(chǎn)化替代難度極大,。
從事數(shù)據(jù)中心安全工作多年的王磊(化名)告訴記者,國(guó)產(chǎn)虛擬化系統(tǒng)的穩(wěn)定性不及外資產(chǎn)品,,而且更換系統(tǒng)影響正常運(yùn)營(yíng),,企業(yè)多有顧慮。
這使得大型國(guó)企和事業(yè)單位,,只會(huì)購(gòu)買少量國(guó)產(chǎn)服務(wù)器和虛擬化軟件裝樣子,,應(yīng)付國(guó)產(chǎn)化要求。而實(shí)際業(yè)務(wù)仍運(yùn)行在外資系統(tǒng)上,,不要說產(chǎn)業(yè)發(fā)展,,連最基本的信息安全都難以保障。
確保安全需細(xì)化標(biāo)準(zhǔn)
王磊表示,,目前保障中國(guó)云計(jì)算安全的困難主要在兩方面,。第一是系統(tǒng)架構(gòu)本身的問題。由于云計(jì)算采用虛擬化技術(shù),,使得用戶業(yè)務(wù)系統(tǒng)不再明確地運(yùn)行在物理的服務(wù)器上,,而是動(dòng)態(tài)的虛擬機(jī)。這就使得多個(gè)數(shù)據(jù)源之間沒有物理界限,,一旦被侵入將難以設(shè)置隔離區(qū),。
由此帶來的結(jié)果是,原先一臺(tái)服務(wù)器感染病毒,,最多影響其所在公司設(shè)備,,而云計(jì)算服務(wù)器一旦感染病毒,將影響大量企業(yè)甚至公共系統(tǒng),。
第二個(gè)困難也是最為核心的困難,,來自虛擬化系統(tǒng)廠商。由于占市場(chǎng)絕大比例的虛擬化軟件供應(yīng)商,,如VMware,、微軟等,都是外資廠商,,它們提供云計(jì)算操作系統(tǒng)最底層的安全接口,,但這個(gè)接口并沒對(duì)國(guó)內(nèi)信息安全廠商完全開放,。
這帶來的直接后果是,中國(guó)的云計(jì)算中心進(jìn)行信息安全監(jiān)管,,需安裝國(guó)外的第三方產(chǎn)品,。王磊認(rèn)為,對(duì)于如金融,、交通,、通信、能源等保障國(guó)家正常運(yùn)轉(zhuǎn)的要害部門,,依靠國(guó)外監(jiān)管軟件保證本國(guó)的信息安全,,顯然是天方夜譚。
在云計(jì)算中心實(shí)現(xiàn)完全國(guó)產(chǎn)化替代前,,實(shí)現(xiàn)自主可控的安全監(jiān)管,,是最有效的安全保障之一。而要監(jiān)管云計(jì)算中心,,必須要有虛擬化軟件廠商開放的底層接口才能實(shí)現(xiàn),。
但對(duì)于虛擬化接口開放與否問題,國(guó)家并沒有強(qiáng)制標(biāo)準(zhǔn),。
目前我國(guó)現(xiàn)有的云計(jì)算安全標(biāo)準(zhǔn),,主要是2015年4月1日發(fā)布的《信息安全技術(shù)云計(jì)算服務(wù)安全指南》和《信息安全技術(shù)云計(jì)算服務(wù)安全能力要求》(以下簡(jiǎn)稱“《要求》”)兩大標(biāo)準(zhǔn),分別對(duì)云計(jì)算采購(gòu)部門以及服務(wù)供應(yīng)商提出了安全管理要求,。
其中《要求》規(guī)定:“系統(tǒng)開發(fā)商需提供所使用的安全措施的設(shè)計(jì)和實(shí)現(xiàn)信息,,根據(jù)實(shí)際情況可包括:與安全相關(guān)的外部系統(tǒng)接口”、“確保獨(dú)立第三方,,可以驗(yàn)證開發(fā)商實(shí)施安全評(píng)估計(jì)劃的正確性以及在安全測(cè)試和評(píng)估過程中產(chǎn)生的證據(jù)”。
但王磊告訴記者,,雖然《要求》提到了“系統(tǒng)接口”,、“第三方監(jiān)管”,卻沒明確要求虛擬化廠商提供底層接口給第三方,?!疤摂M化系統(tǒng)之上的接口可以有成千上萬個(gè),但底部接口就一個(gè),。底層接口不管,,可以說就是死穴,對(duì)方要點(diǎn)就出問題,?!?/p>
專家認(rèn)為,在虛擬化軟件底層接口問題上,,需國(guó)家層面細(xì)化相應(yīng)標(biāo)準(zhǔn),,確保其能完全開放給第三方以及用戶,,只有這樣才能保證虛擬化軟件運(yùn)行在陽(yáng)光下。
不過外資開放底層接口只是權(quán)宜之計(jì),,要徹底解決云計(jì)算安全問題,,還是要實(shí)現(xiàn)虛擬化系統(tǒng)的國(guó)產(chǎn)化替代。盡管目前而言,,國(guó)產(chǎn)虛擬化系統(tǒng)短時(shí)間突破并不容易,。