数字经济的开源隐忧:中国数据如何“存得下、守得住”?
通信产业网|2023-03-16 18:24:59
作者:通文来源:通信产业网

近日,2023年全国两会正式落下帷幕。作为复盘过去,布局未来的关键会议,每年围绕科技领域的专家学者以及企业家的提议都成为科技产业发展的风向标。

其中,第三次当选全国人大代表的冯丹,十年来一直围绕信息存储产业提出各种议案和建议,同时,相比往年,不少代表也将目光聚焦在了存力建设。数据安全是信息存储领域的第一要义,也是产品应用落地的根基,在数字经济强国建设的诉求下,围绕存储产业的“强链补链”已迫在眉睫。

开源下的“隐忧”

存力建设对国家数字经济发展、数字中国建设至关重要,信息存储不仅关乎企业数据的安全存放,也关乎数字经济产业安全、国家安全。

当前,信息存储技术在我国仍是薄弱环节,存储产品几乎都被国外垄断,被称为“国产”的存储软件中,也有一半是基于如Ceph、Lustre等国外开源技术而来。基于Ceph或者基于Ceph二次开发的产品占据分布式存储市场50%以上的份额,多数产品厂商对代码掌握程度有限,没有掌握自主核心技术。

究其原因,则是伴随着国外软件平台在中国市场大行其道,不少企业利用开源软件开放免费与安全等特性,将开源通过简单地修改、封装,就以商业软件的名义对外出售。

然而,随着数字化转型的持续深入,业界普遍发现开源存在诸多挑战,更不因代码开放而更安全。

据新思科技发布的《2023开源安全和风险分析报告》显示,“84%的代码库包含至少一个已知开源漏洞”,相较2022年增长近4%,其中“有48%包含高风险漏洞”。并且,因其开源的特性导致了原本开源软件具备的安全漏洞经过企业封装后更难被发现,给各行业的安全团队带来较大的挑战,尤其是在实际业务相关的基础设施平台上,更需要进一步实现架构代码层面的安全可控。

更为重要的是,开源软件虽然是公开的,但近年来的诸多事件也印证了开源软件也是有“立场”的。

正如去年360创始人周鸿祎发布微博点评“开源软件卷入俄乌冲突中”一事指出,“当开源软件有了立场,我们将直面“平时被控、战时被瘫”的现实风险。尤其,目前我国银行、能源、国防、医疗、电力等重要行业运行的系统,大量使用的是国际开源软件,一旦面临极端情况,也会存在‘受制于人’的困境。”

2022年5月,美国商务部工业和安全局(BIS)正式发布了针对网络安全领域的最新的出口管制规定,表示未经商务部审批禁止向中国分享安全漏洞。这也意味着即便使用的是开源软件,中国用户也难以实现透明的管理,更可能因为没有第一时间发现安全漏洞而面临业务损失。

目前,Ceph的漏洞信息披露正是被BIS管控。首先,Ceph属于Linux社区的特例,受到美国出口的管控,Ceph软件本身就存在断供和卡脖子的风险;同时,结合历史分析,Ceph本身存在大量的漏洞,仅在2020-2021年两年内便先后发布了15个中高危漏洞,漏洞批露被管控,国内使用Ceph的厂商根本无法第一时间获得漏洞信息并修复漏洞。

可见,国内关键基础设施的存储系统若继续使用非自主可控的开源软件平台来构建,无法及时修复漏洞的存储系统,就会像数字基础设施的“护城墙”缺失了重要一块,核心数据资产暴露在外,任何恶意组织都可能利用这个缺口的薄弱点进行攻击,对核心数据资产带来致命风险。

“存得下、守得住”的数据安全之道

存储系统软件作为关键基础软件,是国家关键信息基础设施安全的基础保障。近年来,如何解决开源存储软件面临的问题和风险,保障信息存储系统软件供应的自主可持续性、提升安全漏洞治理能力,使数据“存得下、守得住”是业界关注的重点。

结合今年两会诸多代表的意见汇总,在笔者看来,夯实关键信息基础设施的底座安全,确保国家关键信息基础设施的安全稳定运行,亟需国家、企业、用户层面的多方互促,通过政产学研用多方合力,破解“卡脖子”问题。

“拥有国芯国魂的产品,是筑牢我国信息安全的重要防线。”正如第十四届全国人大代表、华中科技大学计算机科学与技术学院院长冯丹建议,“我国要有独立的存储产业‘强链补链’规划,构建存储产业生态体系和产业链,并加速自主创新能力提升、国芯国魂产品应用,实现真正自主可控,同时,构建存储标准体系,制定存储系列标准,牵引国产存储产业高质量发展”。

聚焦“国芯国魂”主线:共建牢固数据“仓库”

科技兴则民族兴,科技强则国家强。第十四届全国人民代表大会第一次会议对今年政府工作提出建议,促进传统产业改造升级,培育壮大战略性新兴产业,着力补强产业链薄弱环节。科技政策要聚焦自立自强。完善新型举国体制,发挥好政府在关键核心技术攻关中的组织作用,突出企业科技创新主体地位。

此前,我国已发布《GB/T 36637-2018 ICT 供应链安全风险管理指南》,并且正在制定软件和IT产品供应链安全要求的国家标准,顶层规范正在不断完善。其中,在新标准制定方面,推进软件安全开发、软件供应链安全工具能力评估、开源软件安全使用、软件代码安全测试、SBOM “(Software Bill of Materials,软件物料清单)”数据格式、软件安全标识等方向实践指南的研究和编制,明确详细技术要求和流程规范等,正式对开源软件进行了规划与监管。

不可否认,开源对技术进步和产业发展仍具有重要意义,然而,唯有鼓励第三方市场力量参与国内开源生态建设,推进开源自主,尽快掌控开源软件资源应用的主动权,从源头强化供给,才能切实推动我国产业的整体发展。

当前,中国数字经济规模位列全球第二,伴随全社会数字化进程加速以及政策指引,我国存储产业正处于良性高速发展新阶段。

随着数字技术的迅猛发展,存储产业未来必将向更多的地方拓展,对于全产业链来说,时刻树立“自主”意识,确保存储安全性的保障,是整个信息系统的安全性保障基座,唯有大力发展从器件、设备到系统的整体存储产业链,夯实牢固的数据“仓库”,才能真正保障企业民生的信息和数据安全。

责任编辑:党博文

【欢迎关注通信产业网官方微信(微信号:通信产业网)】

版权声明:凡来源标注有“通信产业报”或“通信产业网”字样的文章,凡标注有“通信产业网”或者“www.ccidcom.com”字样的图片版权均属通信产业报社,未经书面授权,任何人不得复制、摘编等用于商业用途。如需转载,请注明出处“通信产业网”。

评论More+
×