主持人:
非常感謝朱總的演講和演示,之前我們所做的云計算市場調研中發(fā)現(xiàn),客戶對于云安全的信任和認可將直接決定客戶的接受度。接下來工信部電信研究院主任何寶宏將和我們分享云無信不立。掌聲有請!
工信部電信研究院主任何寶宏
何寶宏:
大家好!大家可能談了很多云計算的問題,云計算面臨一個很重要的問題就是關于信任的問題。我們可以想上一代人三十年前我們的父輩會想把錢存在哪里?象我們今天一樣存在銀行嗎?今天我們這一代人遇到同樣的問題,我該不該把我們的數(shù)據(jù)把我們的計算存儲托給云服務商,面臨很大的挑戰(zhàn)。
今天介紹的幾個方面的內(nèi)容,根據(jù)工信部研究院做的一個最新的調查木,對于云的信任問題還是除了很多問題的,包括數(shù)據(jù)安全與隱私、系統(tǒng)可靠性等等,總結一舉公眾的信任是不可隨便托付的,總結一句話就是信任。
希望打造一個象銀行一樣信任云服務商。我們可以看到銀行的發(fā)展和我們的云計算發(fā)展是非常類似的,當年富人為了經(jīng)濟的安全起見,把經(jīng)濟托給國王,大家可以想像國王也可能耍賴,后來覺得不可靠托給金匠。經(jīng)過幾百年的發(fā)展,建立了完整的管控系統(tǒng),對比銀行業(yè)發(fā)展會聚各種各樣小的資金形成大貨幣,今天云計算需要各種各樣的數(shù)據(jù),形成大數(shù)據(jù)。 我們可以理解為大數(shù)據(jù)似乎就是云計算的利息,可以看到很多云服務商提供很多免費的云服務,獲得利息就是大數(shù)據(jù)。銀行業(yè)會聚大貨幣,云服務匯聚大數(shù)據(jù)??偨Y起來就是信任的問題。
為此,隔行都遇到同樣的問題,我們可以看到,這個問題就是雞和蛋的問題。日本建立云服務信息披露認證,希望回答他們的回答,獲得更多的信任。韓國也是類似的想法,具體內(nèi)容不一樣。要求服務商去披露他的業(yè)務質量,數(shù)據(jù)的安全、基礎設施等問題,回答一系列的問題,使得讓你覺得和想象贏得另外一個人的信任,肯定是必須回答他無數(shù)的問題,才覺得靠譜。
大家可以想像即使我云服務商把這些問題告訴你了答案,很多時候你是聽不懂,因為有很多專業(yè)問題,所以需要委托專業(yè)機構。象歐洲經(jīng)濟受云計算授權來做這項工作。 除了之外,這是面向公眾的,面向大眾新的認證體系,大家可以想像,政府要采購云服務的話,怎么相信是可靠的呢?為此美國政府采取政府采購中的一種聯(lián)邦政府的認證體系,建立管控機制,包括服務商、內(nèi)容等認證,出具第三方的認證。目前有七家認證通過,還有90家,亞馬遜是最早獲得認證的。英國政府也一樣,要通過政府采購,必須通過我的認證,只是做法不一樣。
看一下我們國內(nèi)正在做的事情,目前的大家都看到了,主要目標是培育市場,鼓勵創(chuàng)新開始。不希望受到更高的一些限制和門檻,從用戶最關心的問題入手,協(xié)助用戶弄清專業(yè)性問題,減少不必要的重復性回答,70%是重復回答的,所以為了避免不必要的重復。
主要的認證方面,三個方面,企業(yè)資質合法性,要贏得用戶的信任,云服務商本身是合法的運營商。如果犯了記錄,肯定是不行的,包括企業(yè)的信息、業(yè)務的信息等等基本信息。
第二,云服務承諾的完備性和規(guī)范性,向用戶承諾的信息是否是完備的,有沒有缺項的,是否是規(guī)范的,按照規(guī)范的語言表達的,還是想怎么說就怎么說。 第三,針對你的承諾做出真實性的認證。大概包括這三個方面的內(nèi)容。 目前是針對云服務,而非服務商。是對所有云服務的通用要求。
大家可以看一下目前最核心的指標是16項,包括數(shù)據(jù)安全方面,業(yè)務質量方面,權益保障方面。 數(shù)據(jù)存儲的持久性,數(shù)據(jù)可銷毀性,數(shù)據(jù)可遷移性,數(shù)據(jù)保密性,數(shù)據(jù)知情權,數(shù)據(jù)可審查性,尤其涉及數(shù)據(jù)放在那里可以做大數(shù)據(jù)分析,但是是有條件的,必須向用戶公示做了那些方面的分析。
業(yè)務的質量方面的描述,發(fā)現(xiàn)很多企業(yè)對云服務的功能,比如我能做這個,干那個,我們的認證就發(fā)現(xiàn)和他的描述是不一致的。他說的能做的做不到。業(yè)務科用性,業(yè)務資源調配,故障恢復性,接入網(wǎng)絡性能,服務計量準確性。包括服務的變更、終止條款、服務賠償條款、約束條款、服務商免責條款等等。我們看到了各家云服務商千奇百怪的,各有各的招數(shù)。 最新進展,其實針對這個,我們是去年五月份開始相關的標準制訂的,實際上服務商參加這方面的工作,第一論十家企業(yè)報名參加了這方面的評估工作。最主要是標準業(yè)所做服務的評估,包括阿里云,中國電信的遷移云,包括百度、京東等等。
目前第一輪主要是三類的業(yè)務做的評估,云主機,有7+1,云存儲有6家,云數(shù)據(jù)庫有六家,主要選擇這三類業(yè)務做評估。 大概評估的情況是這樣的,去年10月至12月進行了材料審查,看到的材料很多是不完整的,持續(xù)了三個月時間,對材料的完備性,對六個指標進行實際測試,出具完整測試報告。去年底組織了相應的專家進行了同行的評議。今年年初組織技術專家組復審,今年1月16日做了初步情況通報。
這里簡單的做一些材料的介紹,比如說企業(yè)的一些評估情況,舉幾個例子,IDC牌照是租用的,還是自建的,一定要有牌照。企業(yè)規(guī)模經(jīng)營組織結構,還有其他的資質或其他的認證等等,對于業(yè)務幾項,業(yè)務的名稱,起始時間,以及業(yè)務所實現(xiàn)采用的軟硬件的方式,這是向專家公開的,不是向社會公開的。
大概是對280分材料進行了審查,10家企業(yè)進行了披露,披露的基本真實可靠。IDC牌照,五家自有IDC牌照,5家租用有牌照的IDC機房。企業(yè)法人營業(yè)執(zhí)照是合法的。員工規(guī)模,對比企業(yè)社保信息,50人—1000人規(guī)模不等。資金情況,比對驗資報告,皆屬實。
評估效果,披露企業(yè)的各項合法資質,披露業(yè)務的運行時間要求六個月以上。 云服務承諾的完備性和規(guī)范性,具體指標,數(shù)據(jù)存儲的持久性,數(shù)據(jù)可銷毀性,要求統(tǒng)一規(guī)整為一塊,向用戶做這方面的承諾。參考框架,舉一個例子,比如可用性的指標,可用性概率數(shù)值,以自然月為統(tǒng)計周期,不滿一個月按月季,應按單個用戶的單個業(yè)務單元計算,數(shù)據(jù)不可用時間定義。 最終結果,6家企業(yè)沒有SLA,服務協(xié)議和SLA的關系不清。補充SLA后,10家企業(yè)的服務協(xié)議都發(fā)生了明顯的變化,都統(tǒng)一了這方面的要求上來。
主要目標,有一個橫向的可比性,以前調研是沒有辦法橫向比較的,對于服務商也是前怕狼后怕虎,擔心競爭對手承諾過過多或過少?,F(xiàn)在大家有了統(tǒng)一要求,就承諾,剩下的看著辦。
選一兩個指標,比如可遷移性是大家關心的,承諾額用戶能夠控制數(shù)據(jù)或主機鏡箱的遷移,保證起用或棄用該云服務時,數(shù)據(jù)能遷入和遷出。 評估方法,材料審查,云服務商應提供與承諾相符的數(shù)據(jù)或許你機遷出、遷入的操作說明文檔或手冊,支持的工具,數(shù)據(jù)格式等材料。
最終結果,云主機,7家都能實現(xiàn)云主機鏡象的遷入遷出。云存儲,6家中5家都能實現(xiàn)頁面、客戶端及API三種方式的數(shù)據(jù)導入導出,1家必須用第三方軟件。云數(shù)據(jù)庫,MySQL:5家都能實現(xiàn)頁面,MySQL開源工具機主機訪問,且1家實現(xiàn)了自有數(shù)據(jù)庫在線導入。Nosqi,提供自有格式工具遷移。 評估中已整改的問題,云主機,1家商業(yè)策略不支持遷移,1家操作系統(tǒng)版本問題未能實現(xiàn)遷移,1家遷移后無法登陸,需要做一致性清除,1家密碼檢驗策略不完善及網(wǎng)絡配置有問題。 云數(shù)據(jù)庫,1家遷入數(shù)據(jù)庫名稱限制過于嚴格,1家承諾遷移方式和事實不符,增加了遷移工具。 評估效果,促進開放,避免鎖定。
總結遷移的最佳實踐,云主機遷移建議采用OVF容器。 司馬性,也是類似的問題,要求承諾用戶有加密或隔離等手段保證同一性。方法也差不多。最終結果,七家都能實現(xiàn)不同帳號下的云主機內(nèi)網(wǎng)不可互網(wǎng),三家可實現(xiàn)統(tǒng)一帳號下不同云主機內(nèi)網(wǎng)隔離。私密性策略,7家都具有網(wǎng)絡隔離策略,2家還采用了安全組隔離策略,1家可實現(xiàn)自助創(chuàng)建虛擬網(wǎng)絡。 評估中已整改的問題,云主機,2家承諾與事實不符,1家有法律風險不清楚,1家安全組策略不合理,1家密碼是明文。 云存儲,1家法律風險說明不清楚,1家承諾與事實不符。
業(yè)務可用性,承諾用戶業(yè)務可用性為合同期內(nèi)每月單個用戶云服務業(yè)務科用時間的概率,即每月實際可用時間/每月,其中不可用時間的定義需告知。 評估方法,理論值:提供存儲機制等材料證明服務協(xié)議中承諾的概率是如何推算出來的,計算方法應包括電力、機房、網(wǎng)絡、系統(tǒng)、軟件和運維時間等因素。實際值,提供近六個月的運行報告等材料證明云業(yè)務。
評估中整改的問題,云主機,4家計算方法不合理,1家實際運行情況支撐材料不足。云存儲,5家計算方法不合理,2家實際運行情況支撐材料不足。云數(shù)據(jù)庫:三家計算方法不合理。 這是640個統(tǒng)計的指標,整改了107個,占17%。 評估效果,確實達到了規(guī)范化的數(shù),存儲的持久性、可用性、帶寬測量方法統(tǒng)一,指標可更比和可信。故障報告、數(shù)據(jù)銷毀等指標的運營管理更完善。相互交流和取長補短,遷移性,最佳鏡象模板,最佳用戶體驗,1家改變了商業(yè)不允許遷移的策略等。網(wǎng)絡接入性能,根據(jù)最佳網(wǎng)絡補償策略,2家改變網(wǎng)絡策略等。私密性,根據(jù)最佳安全策略,1家整改安全策略等。資源配置能力,服務計量準確性,根據(jù)最佳計費顆粒度,2家計劃改變計費策略等。
下一步計劃,評估標準進一步細化,拓展適用范圍。正在進一部細化指標,對更多的云服務評估,云分發(fā)等。 持續(xù)監(jiān)測參評云服務的服務,即將推出更詳細的報告,目前國內(nèi)在云主機方面某個指標方面做得最好的,怎么做的,公司名字當然不能做宣傳,供大家做參考。目前大家最先進和最好的做法是什么,我們很快會向社會進行公布。
后續(xù)正在研究政府采購云方面的,并且已經(jīng)提上議事日程了,根據(jù)可信的結果,本質上來說,信息披露,可能會有一些門檻要求,我們會推出,這些事情今年六月份將開一個發(fā)布會,關于政府采購云服務的一些合同、流程等具體的要求。
我的介紹就這么多,大家可以把我們的網(wǎng)站記一下,謝謝大家!