工信部电信研究院:云无信不立
主持人:
非常感谢朱总的演讲和演示,之前我们所做的云计算市场调研中发现,客户对于云安全的信任和认可将直接决定客户的接受度。接下来工信部电信研究院主任何宝宏将和我们分享云无信不立。掌声有请!
何宝宏:
大家好!大家可能谈了很多云计算的问题,云计算面临一个很重要的问题就是关于信任的问题。我们可以想上一代人三十年前我们的父辈会想把钱存在哪里?象我们今天一样存在银行吗?今天我们这一代人遇到同样的问题,我该不该把我们的数据把我们的计算存储托给云服务商,面临很大的挑战。
今天介绍的几个方面的内容,根据工信部研究院做的一个最新的调查木,对于云的信任问题还是除了很多问题的,包括数据安全与隐私、系统可靠性等等,总结一举公众的信任是不可随便托付的,总结一句话就是信任。
希望打造一个象银行一样信任云服务商。我们可以看到银行的发展和我们的云计算发展是非常类似的,当年富人为了经济的安全起见,把经济托给国王,大家可以想像国王也可能耍赖,后来觉得不可靠托给金匠。经过几百年的发展,建立了完整的管控系统,对比银行业发展会聚各种各样小的资金形成大货币,今天云计算需要各种各样的数据,形成大数据。 我们可以理解为大数据似乎就是云计算的利息,可以看到很多云服务商提供很多免费的云服务,获得利息就是大数据。银行业会聚大货币,云服务汇聚大数据。总结起来就是信任的问题。
为此,隔行都遇到同样的问题,我们可以看到,这个问题就是鸡和蛋的问题。日本建立云服务信息披露认证,希望回答他们的回答,获得更多的信任。韩国也是类似的想法,具体内容不一样。要求服务商去披露他的业务质量,数据的安全、基础设施等问题,回答一系列的问题,使得让你觉得和想象赢得另外一个人的信任,肯定是必须回答他无数的问题,才觉得靠谱。
大家可以想像即使我云服务商把这些问题告诉你了答案,很多时候你是听不懂,因为有很多专业问题,所以需要委托专业机构。象欧洲经济受云计算授权来做这项工作。 除了之外,这是面向公众的,面向大众新的认证体系,大家可以想像,政府要采购云服务的话,怎么相信是可靠的呢?为此美国政府采取政府采购中的一种联邦政府的认证体系,建立管控机制,包括服务商、内容等认证,出具第三方的认证。目前有七家认证通过,还有90家,亚马逊是最早获得认证的。英国政府也一样,要通过政府采购,必须通过我的认证,只是做法不一样。
看一下我们国内正在做的事情,目前的大家都看到了,主要目标是培育市场,鼓励创新开始。不希望受到更高的一些限制和门槛,从用户最关心的问题入手,协助用户弄清专业性问题,减少不必要的重复性回答,70%是重复回答的,所以为了避免不必要的重复。
主要的认证方面,三个方面,企业资质合法性,要赢得用户的信任,云服务商本身是合法的运营商。如果犯了记录,肯定是不行的,包括企业的信息、业务的信息等等基本信息。
第二,云服务承诺的完备性和规范性,向用户承诺的信息是否是完备的,有没有缺项的,是否是规范的,按照规范的语言表达的,还是想怎么说就怎么说。 第三,针对你的承诺做出真实性的认证。大概包括这三个方面的内容。 目前是针对云服务,而非服务商。是对所有云服务的通用要求。
大家可以看一下目前最核心的指标是16项,包括数据安全方面,业务质量方面,权益保障方面。 数据存储的持久性,数据可销毁性,数据可迁移性,数据保密性,数据知情权,数据可审查性,尤其涉及数据放在那里可以做大数据分析,但是是有条件的,必须向用户公示做了那些方面的分析。
业务的质量方面的描述,发现很多企业对云服务的功能,比如我能做这个,干那个,我们的认证就发现和他的描述是不一致的。他说的能做的做不到。业务科用性,业务资源调配,故障恢复性,接入网络性能,服务计量准确性。包括服务的变更、终止条款、服务赔偿条款、约束条款、服务商免责条款等等。我们看到了各家云服务商千奇百怪的,各有各的招数。 最新进展,其实针对这个,我们是去年五月份开始相关的标准制订的,实际上服务商参加这方面的工作,第一论十家企业报名参加了这方面的评估工作。最主要是标准业所做服务的评估,包括阿里云,中国电信的迁移云,包括百度、京东等等。
目前第一轮主要是三类的业务做的评估,云主机,有7+1,云存储有6家,云数据库有六家,主要选择这三类业务做评估。 大概评估的情况是这样的,去年10月至12月进行了材料审查,看到的材料很多是不完整的,持续了三个月时间,对材料的完备性,对六个指标进行实际测试,出具完整测试报告。去年底组织了相应的专家进行了同行的评议。今年年初组织技术专家组复审,今年1月16日做了初步情况通报。
这里简单的做一些材料的介绍,比如说企业的一些评估情况,举几个例子,IDC牌照是租用的,还是自建的,一定要有牌照。企业规模经营组织结构,还有其他的资质或其他的认证等等,对于业务几项,业务的名称,起始时间,以及业务所实现采用的软硬件的方式,这是向专家公开的,不是向社会公开的。
大概是对280分材料进行了审查,10家企业进行了披露,披露的基本真实可靠。IDC牌照,五家自有IDC牌照,5家租用有牌照的IDC机房。企业法人营业执照是合法的。员工规模,对比企业社保信息,50人—1000人规模不等。资金情况,比对验资报告,皆属实。
评估效果,披露企业的各项合法资质,披露业务的运行时间要求六个月以上。 云服务承诺的完备性和规范性,具体指标,数据存储的持久性,数据可销毁性,要求统一规整为一块,向用户做这方面的承诺。参考框架,举一个例子,比如可用性的指标,可用性概率数值,以自然月为统计周期,不满一个月按月季,应按单个用户的单个业务单元计算,数据不可用时间定义。 最终结果,6家企业没有SLA,服务协议和SLA的关系不清。补充SLA后,10家企业的服务协议都发生了明显的变化,都统一了这方面的要求上来。
主要目标,有一个横向的可比性,以前调研是没有办法横向比较的,对于服务商也是前怕狼后怕虎,担心竞争对手承诺过过多或过少。现在大家有了统一要求,就承诺,剩下的看着办。
选一两个指标,比如可迁移性是大家关心的,承诺额用户能够控制数据或主机镜箱的迁移,保证起用或弃用该云服务时,数据能迁入和迁出。 评估方法,材料审查,云服务商应提供与承诺相符的数据或许你机迁出、迁入的操作说明文档或手册,支持的工具,数据格式等材料。
最终结果,云主机,7家都能实现云主机镜象的迁入迁出。云存储,6家中5家都能实现页面、客户端及API三种方式的数据导入导出,1家必须用第三方软件。云数据库,MySQL:5家都能实现页面,MySQL开源工具机主机访问,且1家实现了自有数据库在线导入。Nosqi,提供自有格式工具迁移。 评估中已整改的问题,云主机,1家商业策略不支持迁移,1家操作系统版本问题未能实现迁移,1家迁移后无法登陆,需要做一致性清除,1家密码检验策略不完善及网络配置有问题。 云数据库,1家迁入数据库名称限制过于严格,1家承诺迁移方式和事实不符,增加了迁移工具。 评估效果,促进开放,避免锁定。
总结迁移的最佳实践,云主机迁移建议采用OVF容器。 司马性,也是类似的问题,要求承诺用户有加密或隔离等手段保证同一性。方法也差不多。最终结果,七家都能实现不同帐号下的云主机内网不可互网,三家可实现统一帐号下不同云主机内网隔离。私密性策略,7家都具有网络隔离策略,2家还采用了安全组隔离策略,1家可实现自助创建虚拟网络。 评估中已整改的问题,云主机,2家承诺与事实不符,1家有法律风险不清楚,1家安全组策略不合理,1家密码是明文。 云存储,1家法律风险说明不清楚,1家承诺与事实不符。
业务可用性,承诺用户业务可用性为合同期内每月单个用户云服务业务科用时间的概率,即每月实际可用时间/每月,其中不可用时间的定义需告知。 评估方法,理论值:提供存储机制等材料证明服务协议中承诺的概率是如何推算出来的,计算方法应包括电力、机房、网络、系统、软件和运维时间等因素。实际值,提供近六个月的运行报告等材料证明云业务。
评估中整改的问题,云主机,4家计算方法不合理,1家实际运行情况支撑材料不足。云存储,5家计算方法不合理,2家实际运行情况支撑材料不足。云数据库:三家计算方法不合理。 这是640个统计的指标,整改了107个,占17%。 评估效果,确实达到了规范化的数,存储的持久性、可用性、带宽测量方法统一,指标可更比和可信。故障报告、数据销毁等指标的运营管理更完善。相互交流和取长补短,迁移性,最佳镜象模板,最佳用户体验,1家改变了商业不允许迁移的策略等。网络接入性能,根据最佳网络补偿策略,2家改变网络策略等。私密性,根据最佳安全策略,1家整改安全策略等。资源配置能力,服务计量准确性,根据最佳计费颗粒度,2家计划改变计费策略等。
下一步计划,评估标准进一步细化,拓展适用范围。正在进一部细化指标,对更多的云服务评估,云分发等。 持续监测参评云服务的服务,即将推出更详细的报告,目前国内在云主机方面某个指标方面做得最好的,怎么做的,公司名字当然不能做宣传,供大家做参考。目前大家最先进和最好的做法是什么,我们很快会向社会进行公布。
后续正在研究政府采购云方面的,并且已经提上议事日程了,根据可信的结果,本质上来说,信息披露,可能会有一些门槛要求,我们会推出,这些事情今年六月份将开一个发布会,关于政府采购云服务的一些合同、流程等具体的要求。
我的介绍就这么多,大家可以把我们的网站记一下,谢谢大家!