07-中国电信股份有限公司云计算分公司副总经理徐守峰:大数据时代的云安全和安全云

07-中国电信股份有限公司云计算分公司副总经理徐守峰:大数据时代的云安全和安全云

00:00
18:30

  各位领导,各位来宾,各位媒体界的朋友们,大家上午好!很高兴再次来到可信云大会的现场。

  可信云大会从2014年到今天已经举办了第四届,看到可信云这几年的一些成就,从一开始我们就参与了可信云相关的工作,是非常欣慰的一件事情。今天有机会和大家在一起交流一下关于大数据时代的云安全和安全云,也想和大家在一起聊一聊天翼云,从2009年开始中国电信发布我们的云计算战略以后,这几年我们安全方面相关的一些情况。

  20年前,互联网进入中国,当时我们大家都在说互联网是一个虚拟化的世界,在这世界里每个人都不知道对方是谁。当时诞生一句名言,互联网上没有人知道你是一条狗。20年后的今天,随着越来越多的数据被记载,随着数据的一些技术包括我们大数据的一些相关技术,机器学习,包括数据处理和分析相关的技术发展,我们说今天大数据比你更了解你自己。我们每一个人都是一个互联网时代的达人,我现在有时候在网上看一些信息的时候,首先想到的事情是对我产生安全影响吗?

  我们现在进入了一个大数据的时代,各行各业,无论是从企业还是从国家、从社会,大数据是一个非常有价值有意义的事情。现在大数据是宝藏,是一个企业或者社会宝贵的资产。云计算就是挖掘和利用宝藏的利器。我们无论是从万物感知的传感器的时代,还是从万物互联的物联网的时代,都给我们大数据提供了源源不断的数据的来源。如果我们从万物智能来看,我们大数据的未来充满着无穷无尽的想象空间。这之间,云扮演着一个非常关键的角色,无论是数据的采集、传输、分析、加工,都是需要使用到云计算庞大的一些计算处理和存储的能力。所以在大数据的时代,云是挖掘和利用宝藏的利器,云的安全就会决定大数据的安全,大数据安全会产生非常大的影响。我们说安全问题带来的损失,不仅仅是今天。有一句笑话说,能用钱解决的问题也许都不是问题。安全问题可能带来的是企业的安全、人身的安全甚至是国家的安全,我举三个例子,这三个例子都是属于2016年发生的事情。关于DNC电子邮件数据泄露的事情,信息的泄露直接导致了美国民主党主席的辞职。当然外面关于这些话题讨论的事情是非常多的,至于它是不是影响了美国总统的选举,我们每个人都有自己的看法。在2016年的时候,领英的数据泄露,事实上对品牌形象造成很大很坏的影响。去年有个事件发生在中国,可能很多人都关注了这个话题,山东一位大学生因为学费被骗,最后因为抢救不及时不幸离开人世。每一年高考,尤其是在录取通知书发放的一段时间内,也是属于诈骗比较高发的一段时间。这些事件都已经充分反映安全问题对一个企业对一个社会对一个国家重要的意义和作用。

  和传统IT的架构相比,在云的时代有哪些新的关注点或者用户在云时代更关心哪些安全问题。有三个方面,一是云本身会带来一些安全问题。和传统的IT技术架构相比,虚拟化、多租户包括云管的一些平台、相应的操作系统,它本身技术的成熟度包括云本身的基因,它可能会带来一些安全的风险和问题。第二方面,从用户的视角来看,会带来服务部可信的风险,我们已经传统的IT的技术架构,很多是用户自己去建设、自己去运营、自己去管理自己的IT系统,包括计算能力、存储能力。在云时代里,我们用户更多的是去选择云服务商,去租用云服务商的计算能力、存储能力,我的东西放在别人的地方,我怎么去相信他,带来信任上的风险。第三个是行业缺乏监管,在一项新的技术发展过程当中,监管或相应的规范制度存在滞后问题。正常的业务在使用过程中,可能这个问题或者矛盾不是很突出,一旦发生一些纠纷,问题可能就会暴露出来,包括责任如何去界定,最后如何去赔偿,这些事情可能都会影响我们客户对云服务的使用感知。

  中国电信从2009年开始发布天翼云战略以来,如何去打造安全的天翼云,事实上我们这几年一直在努力实践和建设,目前我们提出来构建5S安全体系,打造安全放心的天翼云。这个5S主要包括系统、保密、持久、标准、服务。

  首先我们看第一个S,系统。系统同样是核心,是一个云可以稳定持续可靠运营的最基础的东西,我们重点在打造三个系统,包括云操作系统、云堤系统和云调系统。基本上的思路,在开源的基础上坚持自主研发,相对业务透明。自主研发意味着你具不具备持续运营能力的提升,虽然我们中国电信在2016年就加入了OpenStack的黄金会员。第二个系统是云堤系统,提供骨干网TB级防护,号称是属于DDoS攻击的终结者。因为中国电信是以网络起家,云网融合是我们其中一个非常重要的因素,所以我们在云堤系统上也形成了有中国电信特色的一些相关的能力,包括我们提的层层的防护、云网两级防护,包括在攻击检测、近源清洗、分方向压制。第三个系统是云调系统,对全国所有的云资源池的调度用统一平台进行管理。我们提出来2+31+X,除了内蒙和贵州两大核心,我们会在31个省建立一些省的节点,这些一些节点都是一套调度系统,去进行一些业务工单的相关工作和管控。

  第二个S是持久,持久是用户在选择云服务商的过程中比较关注的话题,选择的业务能不能保证可持续的使用和可信云的运行。今天上午可信云大会也公布了很多相应的评测结果,某些方面都是反映了这个云服务能不能持久的去开展。主要包括基础设施冗余保障、网络多路由保障、数据冗余保障和容灾备份保障。我们在云资源池的设计上都采用了高可用的设计方式。在网络多路由方面,中国电信有两张网,一张是ChinaNet,一张是CN2,我们现在也在构建第三张网,就是DCI,我们提的一个口号是挖断光缆,挖不断业务。

  第三个S是保密。我们现在在整个的云平台上统一推行了4A统一安全管理平,所有账号统一认证、授权并审计,审计是一个非常关键的环节。第二点,提供数据全生命周期的保密方案,从数据采集到数据传输、存储、分析以及到数据的销毁,可能很多容易忽视的事情就是在数据的销毁环节,是不是用户真的能够把数据进行处理。第三个我们提供专属云方案,有的用户可能对保密要求非常高怎么办,我不想采取公有云的模式,我们可以为大家提供专属云的方案。

  第四个S是标准。可信云就是一个标准,标准是系统化的能力,也是企业运营能力的一个外在的展现,虽然这几年来我们一直积极的去参与相应的一些国际标准组织的认证,通过在认证过程当中去提升我们运营的能力。目前我们已经通过了ISO 27001:2013的认证。在可信云云服务认证,目前我们已经有七个产品通过了可信云认证,并且去年通过了金牌运维的专项评估。云可能在初期的时候更多的关注的是技术,到了一定的阶段,运维运营的水平可能就会成为比较重要和凸显的事情,包括刚才宣布了我们也通过了云主机的安全评估。我们还通过了中国信息安全评测的EAL3的认证,我们所有的资源池都支持等保三级的测评。在前不久我们深圳的一个机房的云平台获得了等保4级的评测,目前我们还正在做网信办一些认证的工作。

  第五个S是服务。服务是属于客户在使用过程当中能不能做到一些安心放心或者贴心的比较重要的因素之一。我们除了为普通的公有云服务提供7x24小时的人工服务之外,还有IP专属服务,另外还有一站式咨询服务。我们现在的云运维和整个中国电信集团SOC体系是融为一体,在整个中国电信有1000多间相关的SOC专业团队人员参与到云运维当中来,保证我们的云服务是安全的。

  今年6月1号《网络安全法》已经正式实施,中国电信作为老牌的企业,我们也郑重承诺,坚定捍卫用户数据安全,严格执行《网络安全法》的相关要求。保证用户的数据安全,是我们每个云服务商共同的责任,也是我们每个云服务商共同追求的事情。所以我们今天在这个地方也和大家做一个郑重的承诺,我们会坚定捍卫用户的数据安全。

  这是我们做过的一些相关的案例。最后想让大家记住六个字,天翼云,安全云!谢谢大家!

以上内容来自专辑
用户评论

    还没有评论,快来发表第一个评论!