中(zhōng)國IT行業正在飛入“雲”時代，但雲大(dà)廈的根基卻出現了信答一(yī)道巨大(dà)的裂縫。

雲計算系統90%以上為外(wài)資(zī)

如果将處理數據的計算能力比作電(diàn)力來看待，雲計算就是未來嗎西的火(huǒ)力發電(diàn)站。随着網絡的普及山好，終端設備小(xiǎo)型、便捷化，以及智慧城市、大動場(dà)數據等概念的提出，雲計算因其高效和實用性，正成為南請新的IT産業趨勢。

根據市場調研機構IDC公司的數據，2015年全球雲計算基礎費爸設施支出将增長26.4%，達334億美元，約占IT總支出的三劇老分(fēn)之一(yī)。

在中(zhōng)國也不例外(wài)。據中(zhōng)國哥兵信息通信研究院調查，自2008年第一(yī)個雲計資答算中(zhōng)心運營以來産業發展迅猛，討很2014年我(wǒ)(wǒ)國公共雲服務市場規模已達70億元，同比增慢樹加47.5%。

世界正進入雲的時代，但中(zhōng)國的雲計算市場目前要依靠外路來(wài)資(zī)品牌才能運轉。

一(yī)個常規的雲計算架構包括硬件平台、雲計算友關操作系統以及應用軟件，中(zhōng)國信息安全研究院副著得院長左曉棟表示，“很多國内雲服務商(shāng)從硬件平台、雲計算操作系統、筆購應用軟件等都是用的國外(wài)産品。”

賽迪智庫信息安全研究所所長劉權介紹，以認證用戶及确保通信安全的服務器數路間字證書(shū)技術為例，雖然地方以及金融部門自身都有數綠說字認證機構，但市場主要掌握在國外(wài)廠商(shāng)手裡，“目前大車到(dà)型金融機構、電(diàn)商(shāng)企業99%的草西服務器證書(shū)，都來自國外(wài)廠商(shāng金子)。”。

更為嚴重的是，雲計算操作系統所依托的核心軟件——電厭虛拟化軟件，同樣是外(wài)資(zī)的天下(xià)。中(zhōng)國科離村學院計算技術研究所研究員(yuán)何青告訴記者讀通，在雲計算所依托的虛拟化軟件領域，VMware、微軟、甲骨、房務IBM等外(wài)資(zī)廠商(shāng)在全球市場大照占比接近99%，在我(wǒ)(wǒ)國也超過90%文歌。

雖然聯想、華為等國産虛拟化系統廠商(shāng)已推出自己的産品，但這數就現階段而言，雲計算的國産化替代難度極大(dà)。

從事數據中(zhōng)心安全工(gōn輛匠g)作多年的王磊(化名)告訴記者，國産虛拟化系統的穩定性不及外(w鐘謝ài)資(zī)産品，而且更換系統影響正常運營，企業多有顧慮。

這使得大(dà)型國企和事業單位，隻會購買少量國産服務器和虛拟化銀如軟件裝樣子，應付國産化要求。而實際業務仍運行在外(wài)資(zī)系統上，間制不要說産業發展，連最基本的信息安全都難以保障。

确保安全需細化标準

王磊表示，目前保障中(zhōng)國雲計算安全的困難主要在兩讀術方面。第一(yī)是系統架構本身的問題。由于雲計算采用虛拟化技術，使得用銀子戶業務系統不再明确地運行在物(wù)理的服務器上，而是動态近南的虛拟機。這就使得多個數據源之間沒有物(wù)理界限，一(yī)旦被侵入将難以民匠設置隔離(lí)區。

由此帶來的結果是，原先一(yī)台服務器感染病毒，最多影響其所在公司外司設備，而雲計算服務器一(yī)旦感染病毒的的，将影響大(dà)量企業甚至公共系統。

第二個困難也是最為核心的困難，來自虛拟化系統廠商(shā村玩ng)。由于占市場絕大(dà)比例的虛拟化軟件街鐵供應商(shāng)，如VMware、微軟等，都是外(wài)資(zī)廠話多商(shāng)，它們提供雲計算操作系統最底層的安全接口，但物資這個接口并沒對國内信息安全廠商(shāng)完全開(kāi內我)放(fàng)。

這帶來的直接後果是，中(zhōng)國的雲計算中(zhō物線ng)心進行信息安全監管，需安裝國外(wài)的第三方産品。王磊認為，對于如金門錯融、交通、通信、能源等保障國家正常運轉的要害部件們門，依靠國外(wài)監管軟件保證本國的信息安全，顯然是天方子窗夜譚。

在雲計算中(zhōng)心實現完全國産化替代電哥前，實現自主可控的安全監管，是最有效的安全保障計視之一(yī)。而要監管雲計算中(zhōng)心，必須要有虛拟化軟離厭件廠商(shāng)開(kāi)放(fàng)對音的底層接口才能實現。

但對于虛拟化接口開(kāi)放(fàng)與否問題，國家并沒有強制标準。不國

目前我(wǒ)(wǒ)國現有的雲計算安全标準，主要是201謝拿5年4月1日發布的《信息安全技術雲計算服務安全指南(nán房店)》和《信息安全技術雲計算服務安全能力要求》(以下(xià)簡稱“《要求見錯》”)兩大(dà)标準，分(fēn)别對雲計算采購部門以及服務供秒喝應商(shāng)提出了安全管理要求。

其中(zhōng)《要求》規定：“系統開(kāi)發商(shāng醫微)需提供所使用的安全措施的設計和實現信息，根據實際情況可包括：與安全相關的外(刀黃wài)部系統接口”、“确保獨立第三方，可以驗證開(kāi)發商(頻電shāng)實施安全評估計劃的正确性以及在安全測試和評估過程中(zhō音科ng)産生(shēng)的證據”。

但王磊告訴記者，雖然《要求》提到了“系統接口”、“照什第三方監管”，卻沒明确要求虛拟化廠商(shāng)提供底層接口給第三方。黑有“虛拟化系統之上的接口可以有成千上萬個，但底部接但鐘口就一(yī)個。底層接口不管，可以說就是死穴，對方妹內要點就出問題。”

專家認為，在虛拟化軟件底層接口問題上，需國家層面細鐘音化相應标準，确保其能完全開(kāi)放(fàng章短)給第三方以及用戶，隻有這樣才能保證虛拟化軟件運行在陽光下(xià)。

不過外(wài)資(zī)開(kāi)放(fàng)底層接口隻是權宜之計，要徹南制底解決雲計算安全問題，還是要實現虛拟化系統的國産化替代。盡管目厭道前而言，國産虛拟化系統短時間突破并不容易。