中國云計算面臨外資扼喉戰困境

　　中國IT行業(yè)正在飛入“云”時(shí)代，但云大廈的根基卻出現了一道巨大的裂縫。

　　云計算系統90%以上為外資

　　如果將處理數據的計算能力比作電力來(lái)看待，云計算就是未來(lái)的火力發(fā)電站。隨著(zhù)網(wǎng)絡(luò )的普及，終端設備小型、便捷化，以及智慧城市、大數據等概念的提出，云計算因其高效和實(shí)用性，正成為新的IT產(chǎn)業(yè)趨勢。

　　根據市場(chǎng)調研機構IDC公司的數據，2015年全球云計算基礎設施支出將增長(cháng)26.4%，達334億美元，約占IT總支出的三分之一。

　　在中國也不例外。據中國信息通信研究院調查，自2008年第一個(gè)云計算中心運營(yíng)以來(lái)產(chǎn)業(yè)發(fā)展迅猛，2014年我國公共云服務(wù)市場(chǎng)規模已達70億元，同比增加47.5%。

　　世界正進(jìn)入云的時(shí)代，但中國的云計算市場(chǎng)目前要依靠外資品牌才能運轉。

　　一個(gè)常規的云計算架構包括硬件平臺、云計算操作系統以及應用軟件，中國信息安全研究院副院長(cháng)左曉棟表示，“很多國內云服務(wù)商從硬件平臺、云計算操作系統、應用軟件等都是用的國外產(chǎn)品?！?/p>

　　賽迪智庫信息安全研究所所長(cháng)劉權介紹，以認證用戶(hù)及確保通信安全的服務(wù)器數字證書(shū)技術(shù)為例，雖然地方以及金融部門(mén)自身都有數字認證機構，但市場(chǎng)主要掌握在國外廠(chǎng)商手里，“目前大型金融機構、電商企業(yè)99%的服務(wù)器證書(shū)，都來(lái)自國外廠(chǎng)商?！?。

　　更為嚴重的是，云計算操作系統所依托的核心軟件——虛擬化軟件，同樣是外資的天下。中國科學(xué)院計算技術(shù)研究所研究員何青告訴記者，在云計算所依托的虛擬化軟件領(lǐng)域，VMware、微軟、甲骨、IBM等外資廠(chǎng)商在全球市場(chǎng)占比接近99%，在我國也超過(guò)90%。

　　雖然聯(lián)想、華為等國產(chǎn)虛擬化系統廠(chǎng)商已推出自己的產(chǎn)品，但就現階段而言，云計算的國產(chǎn)化替代難度極大。

　　從事數據中心安全工作多年的王磊(化名)告訴記者，國產(chǎn)虛擬化系統的穩定性不及外資產(chǎn)品，而且更換系統影響正常運營(yíng)，企業(yè)多有顧慮。

　　這使得大型國企和事業(yè)單位，只會(huì )購買(mǎi)少量國產(chǎn)服務(wù)器和虛擬化軟件裝樣子，應付國產(chǎn)化要求。而實(shí)際業(yè)務(wù)仍運行在外資系統上，不要說(shuō)產(chǎn)業(yè)發(fā)展，連最基本的信息安全都難以保障。

　　確保安全需細化標準

　　王磊表示，目前保障中國云計算安全的困難主要在兩方面。第一是系統架構本身的問(wèn)題。由于云計算采用虛擬化技術(shù)，使得用戶(hù)業(yè)務(wù)系統不再明確地運行在物理的服務(wù)器上，而是動(dòng)態(tài)的虛擬機。這就使得多個(gè)數據源之間沒(méi)有物理界限，一旦被侵入將難以設置隔離區。

　　由此帶來(lái)的結果是，原先一臺服務(wù)器感染病毒，最多影響其所在公司設備，而云計算服務(wù)器一旦感染病毒，將影響大量企業(yè)甚至公共系統。

　　第二個(gè)困難也是最為核心的困難，來(lái)自虛擬化系統廠(chǎng)商。由于占市場(chǎng)絕大比例的虛擬化軟件供應商，如VMware、微軟等，都是外資廠(chǎng)商，它們提供云計算操作系統最底層的安全接口，但這個(gè)接口并沒(méi)對國內信息安全廠(chǎng)商完全開(kāi)放。

　　這帶來(lái)的直接后果是，中國的云計算中心進(jìn)行信息安全監管，需安裝國外的第三方產(chǎn)品。王磊認為，對于如金融、交通、通信、能源等保障國家正常運轉的要害部門(mén)，依靠國外監管軟件保證本國的信息安全，顯然是天方夜譚。

　　在云計算中心實(shí)現完全國產(chǎn)化替代前，實(shí)現自主可控的安全監管，是最有效的安全保障之一。而要監管云計算中心，必須要有虛擬化軟件廠(chǎng)商開(kāi)放的底層接口才能實(shí)現。

　　但對于虛擬化接口開(kāi)放與否問(wèn)題，國家并沒(méi)有強制標準。

　　目前我國現有的云計算安全標準，主要是2015年4月1日發(fā)布的《信息安全技術(shù)云計算服務(wù)安全指南》和《信息安全技術(shù)云計算服務(wù)安全能力要求》(以下簡(jiǎn)稱(chēng)“《要求》”)兩大標準，分別對云計算采購部門(mén)以及服務(wù)供應商提出了安全管理要求。

　　其中《要求》規定：“系統開(kāi)發(fā)商需提供所使用的安全措施的設計和實(shí)現信息，根據實(shí)際情況可包括：與安全相關(guān)的外部系統接口”、“確保獨立第三方，可以驗證開(kāi)發(fā)商實(shí)施安全評估計劃的正確性以及在安全測試和評估過(guò)程中產(chǎn)生的證據”。

　　但王磊告訴記者，雖然《要求》提到了“系統接口”、“第三方監管”，卻沒(méi)明確要求虛擬化廠(chǎng)商提供底層接口給第三方?！疤摂M化系統之上的接口可以有成千上萬(wàn)個(gè)，但底部接口就一個(gè)。底層接口不管，可以說(shuō)就是死穴，對方要點(diǎn)就出問(wèn)題?！?/p>

　　專(zhuān)家認為，在虛擬化軟件底層接口問(wèn)題上，需國家層面細化相應標準，確保其能完全開(kāi)放給第三方以及用戶(hù)，只有這樣才能保證虛擬化軟件運行在陽(yáng)光下。

　　不過(guò)外資開(kāi)放底層接口只是權宜之計，要徹底解決云計算安全問(wèn)題，還是要實(shí)現虛擬化系統的國產(chǎn)化替代。盡管目前而言，國產(chǎn)虛擬化系統短時(shí)間突破并不容易。