中国IT行业正在飞入“云”时代,但云大厦的根基却出现了一道巨大的裂缝。
统计数据显示,目前,我国云计算依托的虚拟化系统90%为外资品牌,这些品牌实行接口不完全开放政策,使得云安全风险急剧上升。
而国有虚拟化软件的替代难,再加上开放接口国家标准的缺失,正使得云计算系统性风险常态化,犹如一颗炸弹,只等有人拔下它的保险栓。
云计算系统90%以上为外资
如果将处理数据的计算能力比作电力来看待,云计算就是未来的火力发电站。随着网络的普及,终端设备小型、便捷化,以及智慧城市、大数据等概念的提出,云计算因其高效和实用性,正成为新的IT产业趋势。
根据市场调研机构IDC公司的数据,2015年全球云计算基础设施支出将增长26.4%,达334亿美元,约占IT总支出的三分之一。
在中国也不例外。据中国信息通信研究院调查,自2008年第一个云计算中心运营以来产业发展迅猛,2014年我国公共云服务市场规模已达70亿元,同比增加47.5%。
世界正进入云的时代,但中国的云计算市场目前要依靠外资品牌才能运转。
一个常规的云计算架构包括硬件平台、云计算操作系统以及应用软件,中国信息安全研究院副院长左晓栋表示,“很多国内云服务商从硬件平台、云计算操作系统、应用软件等都是用的国外产品。”
赛迪智库信息安全研究所所长刘权介绍,以认证用户及确保通信安全的服务器数字证书技术为例,虽然地方以及金融部门自身都有数字认证机构,但市场主要掌握在国外厂商手里,“目前大型金融机构、电商企业99%的服务器证书,都来自国外厂商。”。
更为严重的是,云计算操作系统所依托的核心软件——虚拟化软件,同样是外资的天下。中国科学院计算技术研究所研究员 何青告诉《财经国家周刊》记者,在云计算所依托的虚拟化软件领域,VMware、微软、甲骨、IBM等外资厂商在全球市场占比接近99%,在我国也超过90%。
虽然联想、华为等国产虚拟化系统厂商已推出自己的产品,但就现阶段而言,云计算的国产化替代难度极大。
从事数据中心安全工作多年的王磊(化名)告诉记者,国产虚拟化系统的稳定性不及外资产品,而且更换系统影响正常运营,企业多有顾虑。
这使得大型国企和事业单位,只会购买少量国产服务器和虚拟化软件装样子,应付国产化要求。而实际业务仍运行在外资系统上,不要说产业发展,连最基本的信息安全都难以保障。
确保安全需细化标准
王磊表示,目前保障中国云计算安全的困难主要在两方面。第一是系统架构本身的问题。由于云计算采用虚拟化技术,使得用户业务系统不再明确地运行在物理的服务器上,而是动态的虚拟机。这就使得多个数据源之间没有物理界限,一旦被侵入将难以设置隔离区。
由此带来的结果是,原先一台服务器感染病毒,最多影响其所在公司设备,而云计算服务器一旦感染病毒,将影响大量企业甚至公共系统。
第二个困难也是最为核心的困难,来自虚拟化系统厂商。由于占市场绝大比例的虚拟化软件供应商,如VMware、微软等,都是外资厂商,它们提供云计算操作系统最底层的安全接口,但这个接口并没对国内信息安全厂商完全开放。
这带来的直接后果是,中国的云计算中心进行信息安全监管,需安装国外的第三方产品。王磊认为,对于如金融、交通、通信、能源等保障国家正常运转的要害部门,依靠国外监管软件保证本国的信息安全,显然是天方夜谭。
在云计算中心实现完全国产化替代前,实现自主可控的安全监管,是最有效的安全保障之一。而要监管云计算中心,必须要有虚拟化软件厂商开放的底层接口才能实现。
但对于虚拟化接口开放与否问题,国家并没有强制标准。
目前我国现有的云计算安全标准,主要是2015年4月1日发布的《信息安全技术云计算服务安全指南》和《信息安全技术云计算服务安全能力要求》(以下简称“《要求》”)两大标准,分别对云计算采购部门以及服务供应商提出了安全管理要求。
其中《要求》规定:“系统开发商需提供所使用的安全措施的设计和实现信息,根据实际情况可包括:与安全相关的外部系统接口”、“确保独立第三方,可以验证开发商实施安全评估计划的正确性以及在安全测试和评估过程中产生的证据”。
但王磊告诉记者,虽然《要求》提到了“系统接口”、“第三方监管”,却没明确要求虚拟化厂商提供底层接口给第三方。“虚拟化系统之上的接口可以有成千上万个,但底部接口就一个。底层接口不管,可以说就是死穴,对方要点就出问题。”
专家认为,在虚拟化软件底层接口问题上,需国家层面细化相应标准,确保其能完全开放给第三方以及用户,只有这样才能保证虚拟化软件运行在阳光下。
不过外资开放底层接口只是权宜之计,要彻底解决云计算安全问题,还是要实现虚拟化系统的国产化替代。尽管目前而言,国产虚拟化系统短时间突破并不容易。