精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

2017 CIOC全國CIO大會7月20日在青海·西寧盛大舉辦，來自全國的300余位CIO共聚一堂，最接地氣的觀點、最實用的實戰(zhàn)經(jīng)驗、最前沿的技術(shù)、最新的產(chǎn)品在此匯聚，碰撞出屬于CIO的精彩火花。

以下為現(xiàn)場速記。

主持人：感謝龔總的精彩演講!接下來是今天的壓軸環(huán)節(jié)，從勒索病毒說起，企業(yè)信息安全怎么搞?相信這是各位CIO頭疼的問題，接下來我們有請：

華為消費者BG CIO何園媛

蘇寧IT總部執(zhí)行副總裁喬新亮

三花股份CIO葉根平

餓了么安全風(fēng)控主管王彬

聯(lián)想云副總裁張躍華

深信服副總裁張開翼

這個環(huán)節(jié)的主持人由企業(yè)網(wǎng)D1Net的CEO范脡先生來主持!

范脡：請大家上臺。有兩個問題，第一是對于勒索病毒怎么辦，第二是剛才葉老師提到的非?，F(xiàn)實的問題，云計算的供應(yīng)商尤其是私有云的供應(yīng)商怎么做，尤其是在SaaS方面的選擇。這里基本上大家都認(rèn)識了，前面都是發(fā)言的嘉賓，除了華為消費者BG CIO的何總，何總跟大家認(rèn)識一下。

何園媛：很高興認(rèn)識這么多業(yè)界同行，這是我第一次參加全國CIO大會，但是作為IT從業(yè)者來說，我已經(jīng)是一個老兵，伴隨華為的全球化崛起走過了很長的路。明天有一個專題演講，會結(jié)合華為消費者BG最近在數(shù)字化轉(zhuǎn)型方面的思考，跟大家進行進一步的溝通。

范脡：一會我們再聽一下何總的高見。第一個話題，勒索病毒大家有什么建議給我們在座的CIO，事先有沒有防控的方式?有什么辦法?要不從張總這邊開始?

張開翼：勒索病毒這個事情在我們內(nèi)部有從發(fā)現(xiàn)到應(yīng)急響應(yīng)的過程，當(dāng)時正好是周末，我們的團隊忙活了兩天。我們首先看有什么方法免疫，最后看有沒有傳播路徑，再最后是怎么解決這些潛在的風(fēng)險。我明天有一個話題，也會專門講到這個方面。我們會發(fā)現(xiàn)，勒索病毒它所利用的一些傳播路徑，實際上很多是公開的，利用的是一些已知漏洞。比如說這次的在4月份漏洞就暴出來了，微軟是打了補丁的，但是補釘?shù)母侣史浅５?。這個作為CIO來說也是一個警示，我們很多運維團隊日常關(guān)注的工作重點有沒有包含最基本的工作。我認(rèn)為對于企業(yè)安全來說，補丁是基礎(chǔ)工作，從這次的事件來看，還是有很多該打的補丁沒有打上。

第二，你認(rèn)為安全的地方，其實通常來說都是不安全的。我們接到客戶的問詢的時候，他說我的網(wǎng)絡(luò)都是隔離的，沒有上互聯(lián)網(wǎng)，為什么還會中毒。其實很多傳播路徑并不是像我們想象一樣的，你一定要跟互聯(lián)網(wǎng)打通，一定是來自外網(wǎng)的攻擊讓你中了這個病毒。所以這個事情我們要改變觀念，就像剛才王總說的，首先你要解決安全的建設(shè)，你才可能去控制風(fēng)險。當(dāng)然我說的控制風(fēng)險跟你說的風(fēng)控是不同概念，但是對于病毒事件來說就是這樣的。我先講這兩點。

范脡：何總。

何園媛：我不是安全方面的專業(yè)人士，但是我們公司的IT團隊里面專門有一個安全的團隊，我會看他們的例行報告，我會把一些實際案例做一些分享。2017年1月到4月份，我們整個華為集團的IT受到1472次的網(wǎng)絡(luò)攻擊和入侵，主要的攻擊手段是利用Windows的漏洞以及我們的一些服務(wù)器的默認(rèn)密碼來進行攻擊的。

我舉兩個實際的案例，第一個案例在3月14日微軟發(fā)布了一個SMB的遠程執(zhí)行代碼的漏洞以及補丁，在3月16日的晚上9點一個黑客組織就給華為的188個員工發(fā)送了釣魚郵件。這個員工的分布非常分散，基本上全球各個國家、各個部門的員工都有。從9：16分郵件發(fā)送之后，9：19分開始陸續(xù)有16個員工點擊了釣魚郵件。到了第二天早上，我們的安全部門就確定這個郵件是釣魚郵件，剩下的沒有點擊郵件的全部做了刪除處理，對于點擊過郵件的員工的機器進行安全隔離、斷網(wǎng)、關(guān)機。

但是50個員工點擊之后，在中午12：18分通過點擊釣魚郵件之后控制了我們的一個預(yù)控服務(wù)器，通過這個服務(wù)器獲取了我們100多個系統(tǒng)的賬號和密碼。這個時間是在中午的12：18分，在中午2點我們的安全部門就鎖定這臺服務(wù)器已經(jīng)被攻破了，同時通過它找到100多個疑似被泄漏的賬號和密碼，我們就啟動應(yīng)急方案。在3：18分的時候，這臺預(yù)控服務(wù)器就已經(jīng)實現(xiàn)隔離，所有疑似密碼進行漏洞彌補。這個沒有給華為造成任何損失，這是第一個案例。

第二個案例在4月22日的時候，我們收到一個自稱是國際特別著名的黑客組織叫蜥蜴部隊，給華為發(fā)送郵件，要求我們支付比特幣。號稱從4月27日開始對華為進行攻擊，如果不支付每天會增加10個比特幣。我們收到這個勒索郵件之后，我們不會支付比特幣，不會助長他們。怎么辦呢?我們通過intel的訪問的35個應(yīng)用做了梳理，對這35個應(yīng)用可能會遭遇的12種攻擊場景，包括像IP地址的攻擊、應(yīng)用層的攻擊、CDN的攻擊所有的攻擊路徑全部做了梳理，針對每個攻擊路徑做了應(yīng)急的措施和方案。同時跟電信購買了清洗服務(wù)，把所有的應(yīng)急預(yù)案全部做好了。做好之后，在4月27日開始，就形成一個作戰(zhàn)團隊實時監(jiān)控整個流量的變化情況。通過4月27日到5月2日的實時監(jiān)控，沒有發(fā)現(xiàn)流量有異常，我們基本上可以認(rèn)定是虛驚一場或者這個勒索已經(jīng)過去了。

通過這兩個案例，我想講的是，第一面對這種勒索的攻擊和網(wǎng)絡(luò)攻擊，這是一個常態(tài)，首先不要害怕。第二在企業(yè)內(nèi)部要有專門的組織來應(yīng)對整個企業(yè)的安全風(fēng)險和管控。第三提前有一些應(yīng)急措施和預(yù)案是需要的，這些應(yīng)急措施和預(yù)案在沒有發(fā)生之前要經(jīng)過反復(fù)演練，像第一個案例從發(fā)生到第二天不超過24小時就已經(jīng)處理完畢了。第四需要有自動化的檢測控制，實時發(fā)現(xiàn)網(wǎng)絡(luò)異常。第五建立生態(tài)或同盟，幫助企業(yè)獲取這方面的情報或資訊。

葉根平：華為前面講到發(fā)現(xiàn)是主動發(fā)現(xiàn)的，沒有危害之前就發(fā)現(xiàn)了?

何園媛：對，有兩個關(guān)鍵點，第一釣魚郵件是上午11點，第二是確定預(yù)控服務(wù)器已經(jīng)被攻破是在下午2點，這兩個關(guān)鍵點的發(fā)現(xiàn)很重要。第一個是確定了釣魚郵件把它進行刪除和網(wǎng)路隔離，第二是確定預(yù)控服務(wù)器，馬上把預(yù)控服務(wù)器的密碼進行重置。

葉根平：這個檢測的方案我覺得可以分享給更多企業(yè)。

何園媛：這是華為自己的。

葉根平：我們現(xiàn)在的勒索病毒是發(fā)現(xiàn)了才知道的，當(dāng)然從內(nèi)部管理上，我們傳統(tǒng)制造業(yè)主動巡檢是不夠的，我們需要有自動化的手段，哪怕是設(shè)備、軟件或者自動偵聽，我們需要供應(yīng)商給我們提供這樣的方案。

張躍華：實際上我們聯(lián)想企業(yè)網(wǎng)盤對勒索病毒關(guān)注了很長時間，最近也是大量處理用戶的案例。比如說我前兩天去富士康，他中了病毒以后，排查完以后，整個IT大概用了將近3周到一個月的時間，統(tǒng)一來排查，基本上其它活不干了，就在排查數(shù)據(jù)。中毒以后就立刻買了一個網(wǎng)盤，當(dāng)天12點上線到晚上12點，并發(fā)持續(xù)保持在5千左右，數(shù)據(jù)達到5個T。勒索病毒對大家的危害以及大家對數(shù)據(jù)安全的意識還是有很大的幫助和提高。

最近我們也根據(jù)安全廠商和約了一些CIO一起來討論，病毒怎么去辦。跟大家匯報一下，我們當(dāng)時討論得出三個結(jié)論。第一個結(jié)論，主動防御，要加上完整的保證體系。其實大家做IT的都知道，我數(shù)據(jù)庫的數(shù)據(jù)要做備份，我核心的ERP數(shù)據(jù)要做備份，但是為什么員工的非結(jié)構(gòu)化數(shù)據(jù)不做備份，其實很少企業(yè)能做到，你做存儲和備份相對來說員工數(shù)據(jù)是比較難的。但是不管怎么樣，我們肯定是兩方面的，一個是主動防御。

第二，如何把員工非結(jié)構(gòu)化的數(shù)據(jù)進行統(tǒng)一管理。我們在4月份發(fā)現(xiàn)的時候，我們提醒很多廠商，但是很多廠商不以為然就中招了，以后還是會發(fā)生這樣的問題，發(fā)生這樣的問題怎么恢復(fù)是一個體系建設(shè)。第三，必須要從生態(tài)的問題考慮問題，比如說我們現(xiàn)在主動防御的時候，數(shù)據(jù)都是散落在員工的數(shù)據(jù)上的，但是未來非結(jié)構(gòu)化的數(shù)據(jù)必然是做集中的管理，因為這樣的何處有很多。做完集中管理以后，它會有大數(shù)據(jù)分析、企業(yè)數(shù)據(jù)分析管理，它會一系列的走下去。所以在這種非結(jié)構(gòu)化數(shù)據(jù)做集中管理的時候，就需要跟安全廠商做深度的整合。比如說前端防御怎么防御，數(shù)據(jù)進來以后我怎么去進行防御，這是一個方面。

其實還需要業(yè)態(tài)，就是我們跟安全廠商，當(dāng)然深信服我們下來也可以好好聊一聊，進行深度的整合。包括剛才跟喬總也在聊，對企業(yè)用戶其實企業(yè)很重要，我們必須以互聯(lián)網(wǎng)的心態(tài)來解決一個問題。剛才講到我們企業(yè)里面很多方式應(yīng)用是自動化的，第二可能要靠員工的責(zé)任心。但是我們仔細(xì)來看，其實企業(yè)的用戶也是分類的，數(shù)據(jù)安全我們把用戶分成三類，第一類用戶有主動意識，自己愿意去備份，第二類有備份的意愿，但是決心不夠，偶爾去備份，還有一部分是沒有意識，我也不去備份。

總體上來說，我們要對三類的員工、三類的客戶，根據(jù)他們來設(shè)置不同的方案。比如說我們對不愿意備份的，我們可能要求強制備份，強制你備份所有的文檔。對于我有心我想備但是主動性不夠的，可以給IT管理員一個完整的信息列表，告訴他經(jīng)常工作的文檔有哪些，其實這是可以統(tǒng)計出來的，但是他沒有備份。這個時候我們就可以做到追溯，做到追溯才會有約束力，光喊口號是沒有任何意義的。所以我覺得針對于勒索病毒這件事，包括后續(xù)的企業(yè)核心數(shù)據(jù)資產(chǎn)的管理，應(yīng)該從三方面來解決這樣的問題。謝謝!

范脡：喬總!

喬新亮：我先從大的方面來說數(shù)據(jù)安全，安全是攻和防，這是沒有捷徑的。首先我們要意識到，這是沒有捷徑的，要找到一個適合的度，公司對于安全評估它的風(fēng)險要做一個決策。因為它是一個攻防，所以你要知道現(xiàn)在誰在攻你，要了解，要了解需要有人，所以需要有一個團隊。在蘇寧我們有三個團隊，第一個是安全管理中心，他是負(fù)責(zé)整個安全體系的，首先你要知道一下，到底今天這個安全體系是什么樣的。在公司里面什么是不安全的，比如說我們分成業(yè)務(wù)安全、數(shù)據(jù)安全、系統(tǒng)安全，每部分去做，這是一個很復(fù)雜的體系。我想說的是，這部分廠商是替代不了的。因為這個是你要了解你的業(yè)務(wù)，你要知道你的價值。同樣一個系統(tǒng)、同樣一個數(shù)據(jù)，在安全廠商那里可能肯定是一樣的，但是在你這里完全不一樣。剛才說安全要平衡，你要去花錢，所以要有一個組織，這是一個規(guī)劃，你要知道這個體系的一個組織。

第二個，在蘇寧里面有一個安全研發(fā)中心。我們?yōu)槭裁匆幸粋€安全研發(fā)中心?為什么這部分我們不去選一個廠家?有些東西你就是要高于同行的，你去選一個廠家，你在哪里搞?我們把一些不是在這個領(lǐng)域的交給安全廠商，但是如果是很核心的，你就要去完善，最后要自主掌控。我們有一個大概80人的安全團隊，去研發(fā)這個東西，因為太重要了。這是一個投入。

第三個，要有日常的安全運維，要做安全審計。安全不要認(rèn)為都是高科技，安全有的時候很簡單，你要有安全意識，如果你不遵守這個規(guī)定，你是要擔(dān)責(zé)任的。很簡單的事情要天天做，要日常都去做，讓大家有安全意識。比如說駕駛汽車，我要選一個很好的汽車，很安全，還不如你開得慢一點、穩(wěn)一點，要把基礎(chǔ)的工作做扎實。別搞高大上的，把一些基礎(chǔ)工作做好，如果不知道什么是結(jié)構(gòu)化的數(shù)據(jù)、非結(jié)構(gòu)化的數(shù)據(jù)，你說資產(chǎn)很重要，但是都在他個人的電腦上，這不是空談嗎?今天會有勒索病毒，明天不知道會有什么樣的病毒，而且你永遠防不住。安全要有一個觀點，你永遠防不住，你防不住的情況下怎么能夠安全。我更多的是想強調(diào)更多工作在日常當(dāng)中，安全永遠是不安全，哪天安全事件被集團處理了，我認(rèn)為都很正常，心里要有這個意識，你永遠做不到絕對安全，但是你要去做。

另外一個，我覺得今天的安全態(tài)勢已經(jīng)由很多已知的轉(zhuǎn)向未知，很多都是未知的，但是你有沒有能力去發(fā)現(xiàn)它。剛才葉總也很關(guān)心這個問題，我覺得這個也是一個無窮盡的工作，你要知道哪些是你非常關(guān)注的。比如說在蘇寧，你的訂單信息，假設(shè)你前面的一切防控手段都失效了，有人在動你的訂單信息，你知不知道。我今天可以告訴大家，我知道，這是需要設(shè)計的，你要知道這是一種違規(guī)的訪問行為，你要去設(shè)計，這個里面就開始說安全不僅防，安全要有陷阱，所謂要有密管，要能夠去知道，甚至我還要攻出去。打戰(zhàn)不是防的，一味防可能會有問題，有些東西不僅要設(shè)陷阱，還要攻出去。這個東西很難，今天蘇寧也沒有做到這一步，但是你要去做，你要去想這個事情。因前提就是永遠不安全，永遠要知道自己的系統(tǒng)其實是不安全的，因為這是一個攻防戰(zhàn)，再堅固的城堡歷史上都有被攻破的，你要知道你是不安全的。

有的時候被攻破很簡單，我可以問各位一個問題，假如你的員工接一個電話，說把你的信息賣給我，我給你100萬。這里面有很多要去做的，要有安全意識，要去教育，要有技術(shù)手段，不要把技術(shù)當(dāng)成唯一的手段，技術(shù)只是手段之一。我覺得安全是一個體系工程，任何的都是不安全的，所有假設(shè)都是不安全的、都是有風(fēng)險的，然后說我要做什么，這個時候就來了，預(yù)算是多少，把錢花在刀刃上。就像人是活在細(xì)菌中的，人身體有很多細(xì)菌，但是還是健康的，我們的安全就是要做到這樣，取得一個平衡之道，但是是健康的。

范脡：喬總說得非常實在，也非常有意思。剛才講的這個觀點，就是防中帶攻，很像我聽到的以色列安全公司的一個產(chǎn)品，不僅是防，防完了要攻，這個很有意思。而且在合理的代價下取得合理的平衡，這個確實是很實在的一個觀點。王總!

王彬：各位說了很多，表達了我們做安全的人的心聲。我補充一下，你可以認(rèn)為勒索病毒它是降維攻擊，今天沒拿出去就不知道，黑客拿出來攻擊你、勒索你，但是數(shù)據(jù)更值錢。剛才喬總說到一點，企業(yè)數(shù)據(jù)的保護是我們未來的重中之重，為什么這么說?各位可能聽過商業(yè)間諜，現(xiàn)在不叫商業(yè)間諜，叫商業(yè)數(shù)據(jù)分析公司。我們在業(yè)界碰到非常多的企業(yè)，他可以把通訊錄拿出去一個個打，你今天給我20萬，給不給。蘇寧的數(shù)據(jù)幾個億都有可能。大家可以這么試試看，怎么證明自己安全不安全，你可以在網(wǎng)上查有沒有人賣我的數(shù)據(jù)。

比如說物流行業(yè)順豐是做得最好的，整個行業(yè)當(dāng)中信息賣出去非常多，它是有價的。我今天的快遞叫熱單，一單8元到10單，我打電話給你是不是下了單，搞銀行詐騙得比較多，第二天的數(shù)據(jù)是歷史數(shù)據(jù)，可能幾毛錢，它都是有價的。大家手上有幾千萬的數(shù)據(jù)，一單1元，至少幾千萬，花100萬攻破你絕對是賺的。

還有一種，我們覺得做安全的意識真的很重要。比如說勒索病毒，或者說我們有沒有想過自己做一些病毒，不說病毒，比如說釣魚郵件。我們怎么做?我們釣魚，我們自己釣自己人，我們仿造一些郵件讓你點，看多少人點。意識是一點點培養(yǎng)的，但是意識一定要跟行政手段相結(jié)合。你說我這個東西今天只教育你，其實是沒有效果的，最后你要跟行政手段結(jié)合在一起。比如說這個人誰點了我的釣魚，或者通過網(wǎng)絡(luò)監(jiān)控，這個人有問題就進行處罰，該罰的就罰、該開的就開。

其實最累的是IT，我們企業(yè)當(dāng)中的IT已經(jīng)2、3個月沒有休過了，最近出現(xiàn)了很多漏洞，大概5、6個都是高危等級，你是必須要修的，這些人非常累。4月份出來，補丁打掉了，可能后面就沒有這方面的問題，意識很重要。

范脡：在座的都是安全高手，我們一會兒會給臺下的觀眾留兩個提問的時間，大家可以抓緊這個機會。

喬新亮：我想補充一下，其實今天安全在黑色產(chǎn)業(yè)鏈就是一個生態(tài)，它本身就是一個生態(tài)。對于很多公司來說，形成一個聯(lián)盟和生態(tài)也很重要。其實今天很多壞人、壞蛋，各自的公司都有這樣的積累，有很多這樣的信息。黑色是一個產(chǎn)業(yè)鏈，紅色是不是也應(yīng)該是一個產(chǎn)業(yè)鏈?

張開翼：也是有的。

喬新亮：這部分大家都在做，要能夠做的好一點，在安全方面大家合作共贏非常重要。

張開翼：叫安全情報的共享機制，這個我們都是有參與的。

范脡：我想到白色產(chǎn)業(yè)鏈，可能是敏感話題，我們不方便說，實際上它對企業(yè)的幫助是非常大的。我們談一下比較現(xiàn)實的，在座的CIO經(jīng)常碰到的問題，就是云計算、云主機和SaaS，云這個東西從美國發(fā)展起來，美國有非常完整的信用體系，所以對于信息泄漏方面的懲罰成本是非常高的，但是在中國實際上我覺得大家除了技術(shù)，剛才談到的很多是技術(shù)問題，這些技術(shù)問題也是很重要的因素。大家可能面臨很多很現(xiàn)實的問題，比方說剛才葉老師講的，葉老師是在馬云的故鄉(xiāng)，在浙江省政府積極上云的呼吁下，還喊出我們該不該相信公有云提供商。實際上我們現(xiàn)在有很多公有云的廠商，有大型的，像AWS、亞馬遜、微軟、阿里，還有很多新型的創(chuàng)業(yè)公司。

我們以前有一個做CIM和呼叫中心的，當(dāng)時我們做過一個市場調(diào)研，就是你能不能把你的呼叫的數(shù)據(jù)放在上面，其實他們做得很不錯，聯(lián)通的一些Saas都是他們提供的。我們調(diào)研過很多企業(yè)第一個反映，以這樣的程度，他是不可能把關(guān)鍵數(shù)據(jù)放上去的。我們現(xiàn)在看到的現(xiàn)狀，大型企業(yè)把核心應(yīng)用放在云上的能力非常弱，有一些像災(zāi)備、測試、電商目前非核心的應(yīng)用上線云，中小企業(yè)也怕，一個小老板核心數(shù)據(jù)就那些，你放上去賣給我的競爭對手，晚上睡不著覺。大家很痛苦，該不該上云，大家都說上云好，但是真正上云，晚上是否睡得著覺。各位給一些建議，要不從王彬開始。

王彬：這一塊可能我不是特別專業(yè)，我從信息安全方面講一下。云分兩種，所謂的公有云和私有云。公有云當(dāng)中可能也有劃一片私有云給你的情況，對于大企業(yè)我們看到更多的是自建私有云或者有一部分公有云。我們公司有自己自有的機房再加云，云對于一些風(fēng)險控制也是比較好的，本身的帶寬也比較好。我覺得這是一種趨勢，肯定會轉(zhuǎn)的。中小企業(yè)上云還比較簡單一點，到一定時候轉(zhuǎn)型就要考慮一下。更好的辦法是或許我自己做一部分云，一些核心業(yè)務(wù)或者我認(rèn)為不是非常敏感的先放著，等這個云成熟再慢慢遷過去。

云有自己的好處，比如我舉個例子，病毒攻擊你，擋得最好的是云，它是更簡單更有效的解決方案。一個小企業(yè)如果別人攻擊你，你是沒有防御能力的，你買電信的高防是沒有錢的，解決不了問題。比如說一些企業(yè)的競爭對手打你的時候，你沒有辦法，這種企業(yè)上云是非常好的，從安全角度來說，這是他的優(yōu)勢。反過來，企業(yè)遷云的時候有一定代價和成本，我們是不是一步步遷，這是我的一些辦法。

喬新亮：我覺得這個就像跟安全一樣，是一個平衡，到底要拿什么好處。這里有一個比喻，今天的云就像大電廠，大的企業(yè)就像大電廠。比如我們今天用電是享受方便的，但是其實大家有沒有想過，假設(shè)自己在一個小的城鎮(zhèn)，我也很容易發(fā)電，我也很容易做。你覺得你是想要大電廠，還是自己發(fā)電?但是今天假設(shè)你一個企業(yè)沒有發(fā)電的能力，這個時候你就要想了，我到底是用大的發(fā)電廠得好處失去不掌控的能力，還是說我去犧牲方便，我的效率可能低一點，但是自主掌控。

所以今天的問題是變成二選一，但是我認(rèn)為未來應(yīng)該是大電廠+小電廠，前提是你會很容易的獲得一個電廠。今天的IaaS和PaaS，假設(shè)你很容易獲得，這是你的選擇。談一個稍微政治性的問題，比如說在今天中國國家電網(wǎng)供電，但是在美國你發(fā)現(xiàn)供電一堆公司，很多公司，為什么?除了政治上的壟斷和管理之外，它就是很方便的去發(fā)電。未來我認(rèn)為是大電廠+小電廠模式，很多企業(yè)應(yīng)該是有自己的云的，云是不可阻擋的趨勢，但是這也不一定是公有云。這是我的一個觀點，未來的趨勢應(yīng)該是大家共享，比如說我去發(fā)電，就是我自己用云的能力。如果我多了，我可以分享出來，有一個生態(tài)可以做分享。比如今天大家說我需要計算資源，我可以一鍵擴容和縮容，我有沒有這個能力。我覺得這是一個平衡的地方。

至于說安全的問題，我覺得這是一個偽命題，技術(shù)上永遠解決不了，這個只有通過建立信任和法律手段解決這個問題。如果說你的數(shù)據(jù)都是你要命的資產(chǎn)，我覺得你今天不會放在一個你競爭對手的公有云上，這是100%的，這個是不會有的。但是如果是一個聯(lián)盟，那就是基于信任、基于法律手段。在你今天選擇的情況下，你可能選擇了效率，犧牲了一定的對數(shù)據(jù)的掌控。當(dāng)然我說的是假設(shè)你信任別人提供給你的公有云，每個企業(yè)都有這種能力。有的企業(yè)是幫助你建電廠，大家都掌握這種能力，大家也愿意在自愿的情況下把數(shù)據(jù)進行共享，是我企業(yè)的數(shù)據(jù)，我愿意共享出來，和你通過一種利益或者什么交換去做數(shù)據(jù)的交換或者共享，我覺得這才是符合的。但是在今天這個問題是二選一的時候，你選什么，就像安全一樣，要問自己到底想要什么。

范脡：我們請公有云的提供商發(fā)言。

張躍華：首先我們就是做數(shù)據(jù)服務(wù)的，是做SaaS服務(wù)的，而且是專門做數(shù)據(jù)的。其實聯(lián)想企業(yè)網(wǎng)盤公有云和私有云從整個業(yè)務(wù)規(guī)模上是一半對一半的，所以我基本上見一些大客戶的時候，天天都在問安全的問題。還有一些廠商是聯(lián)想的競爭對手，比如說OPPO、VIVO，還有一些做互聯(lián)網(wǎng)風(fēng)投的。有一次我見客戶，他說怎么保證不看這些數(shù)據(jù)。我特別理解大家提這個問題，首先我們聯(lián)想企業(yè)網(wǎng)盤做了10年，我只能說分享一下心得。

其實公有云服務(wù)，我們最之前見到的客戶是什么客戶呢?的確是中小客戶，大的企業(yè)不會往上放。但是這些中小企業(yè)一推動都是通過業(yè)務(wù)推動的，就是我們的SaaS基本上IT不會接入。公有云基本上很少，都是業(yè)務(wù)部門推動。也就是說，現(xiàn)在在數(shù)據(jù)領(lǐng)域上，的確是有一些在公司業(yè)務(wù)發(fā)展上面臨非常大的困難，必須要通過公有云的服務(wù)來解決。有的企業(yè)是這樣的，比如說大的企業(yè)買我的一套私有云，有的部門還買一套公有云。現(xiàn)在基本上所有的房地產(chǎn)建設(shè)方式全是公有云，不管是專有云也好、還是公有云也好，他的數(shù)據(jù)全都是往云端放的。

所以一方面是說，大家對產(chǎn)品的信任越來越高了，因為從聯(lián)想本身在做安全這件事的時候，我們整個安全的管控是美國人管控的，不是國內(nèi)的人，我們跟他打交道是非常難打交道的，我們基本上要做源代碼級別的掃描。大家可能都知道，源代碼一掃描可能上千個風(fēng)險，但是有些風(fēng)險可能真的不是風(fēng)險，就是一個語句格式的問題，真的要跟美國人一個字一個字的去敲，這是一方面。另外一方面，我們也會去掃描。還有一方面，我們本身就受公司內(nèi)部審計部門的審計，比如說他會去審計你到底有多少人登錄了，這些方面規(guī)范的體系讓用戶獲得信任。當(dāng)然技術(shù)上我就不說了。

我非常同意剛才說的，我們在官網(wǎng)上有一句話，我們對安全的追求是無止境的。大家談的全是安全，那都是顯性安全，我們對雙機隱性認(rèn)證，在手機上就不需要，在外網(wǎng)的時候就需要，還是要做顯性的安全功能，讓用戶放心。第一，你還是要不斷追求安全體系，本身你作為企業(yè)就要受到其他安全方的監(jiān)督和監(jiān)控，每次白帽掃描我們都有。第二，用戶會慢慢接受公有云的服務(wù)。最終我們認(rèn)為數(shù)據(jù)未來必然是融合的，現(xiàn)在很多企業(yè)在合規(guī)性的要求上是過不去的。比如說我們見了一些企業(yè)沒法上云，很簡單的要求，就是要對每個數(shù)據(jù)進行審計。但是這個從云服務(wù)廠商來說是很難提供每個數(shù)據(jù)審計的，就導(dǎo)致你的數(shù)據(jù)不可能放在公有云上，這個規(guī)矩和規(guī)定不是一天能打破的。所以未來我覺得必然是核心的數(shù)據(jù)肯定還是在內(nèi)部，而有一些需要快速交換的數(shù)據(jù)可以放在云端，所以未來數(shù)據(jù)類的必然是一個融合的架構(gòu)。這是我作為一個從業(yè)者的判斷，謝謝!

葉根平：講到云的計算，很容易被道德綁架。我在跟云提供商交流的時候，他們一直說服我說，葉老師，云是趨勢，好像我認(rèn)識不到這個云是趨勢。作為我一個個體企業(yè)來說，我考慮的問題，肯定不關(guān)心國家趨勢如何、世界趨勢如何，我考慮的是我現(xiàn)在的舒適性以及我現(xiàn)在IT管理的低風(fēng)險，我是考慮這個問題。我相信很多企業(yè)具體IT部門考慮的是這個事，肯定不考慮云是趨勢，考慮的肯定是可靠性。不能因為國家考慮趨勢，老板說你的錯誤是可以理解的，你的數(shù)據(jù)丟了，你說因為國家有這個趨勢、時代有這個趨勢，所以是可以理解的，不能這樣。

這一點我要呼吁大的提供商，不能一下子被綁架到這個道德上去。首先這種認(rèn)識我們IT部門肯定認(rèn)識到，我們也在嘗試，我很同意這個觀點，我們實際上也嘗試非主流業(yè)務(wù)、邊緣業(yè)務(wù)先上去。但是在這個過程中，我們確實感到了不舒適，這個跟趨勢和發(fā)展一點關(guān)系都沒有。我們接受到這種業(yè)務(wù)，它讓我們不舒服。像電廠一樣，設(shè)備上有電，但是我考慮在家里，我自己沒有發(fā)電機，你老是給我三天兩頭停電，而且還有火災(zāi)，線路又不保障，我當(dāng)然要考慮這個問題，我知道這個公有電是未來的趨勢，但是我要考慮這個問題。這一點我一定要澄清一下，你們做社會推進、事業(yè)推進的乙方以后要避免出現(xiàn)這種情況，因為你們乙方肯定要通過甲方的落實。

第二個我想說的是，我們現(xiàn)在最擔(dān)心的，現(xiàn)在很多云提供商到關(guān)鍵點上，我們是一個很大的責(zé)任主體，他不愿意承擔(dān)責(zé)任，這是我最擔(dān)心的。你要是稍微承擔(dān)責(zé)任，責(zé)任出來了，我們真的上到法庭的機會還是少。但是體現(xiàn)出來的是很多服務(wù)提供商連基本的責(zé)任都沒有，比如說Down機了，你告訴我Down機是什么原因，打400電話，當(dāng)然我們沒有碰到過，我們選擇稍微好一點的供應(yīng)商，我們對供應(yīng)商的選擇還是比較慎重的，哪怕小一點，但是服務(wù)一定要好，保障我的個體跟你的國家發(fā)展戰(zhàn)略要相吻合。那天政府官員也在，我說10萬企業(yè)上云干什么，10萬企業(yè)上云是趨勢，他們也沒有去思考。比如我現(xiàn)在上物流，我想上全國的物流，物流沒有上去沒關(guān)系，東西發(fā)過去就可以了，我是考慮這些業(yè)務(wù)可以上。我檢驗一下提供商公有云的設(shè)施，包括公有云和私有云的配合，這種配合我在嘗試。

我自己評估了一下，我走得還算比較前面，從行動上來說，我們是推進時代戰(zhàn)略的前列。但是我經(jīng)常被批評的是，葉老師，你落伍了，云肯定是大趨勢，好像我不能同意。所以我在這里強調(diào)一點，我是支持云這個趨勢的，我也在實踐，我有很多朋友也在實踐。但是這些問題我們國內(nèi)關(guān)于云方案的落地或者具體的一些細(xì)節(jié)方面的方案，實際上是需要改進的。我知道基礎(chǔ)設(shè)施沒有問題，現(xiàn)在三大運營商也在搞，但是問到具體細(xì)節(jié)的解決的時候，誰都沒有方案。比如說這個數(shù)據(jù)被誰動過，我要知道，比如臨時工動了，我知道就行了，我倒不是為了什么，我就是為了數(shù)據(jù)的去向會不會去到我不愿意看的地方去，至于丟了、拷了我都可以接受，畢竟我還有很多核心的技術(shù)。對于你們來說可能不care，但是我是很care的，所以我想強調(diào)這一點，請理解乙方某一個企業(yè)的苦心。謝謝!

何園媛：公有云這個問題對于我來說特別敏感，也比較復(fù)雜，因為華為剛剛開始成立了一個云BU，我們在國內(nèi)也做公有云的服務(wù)提供商。第二個，華為又在幫助運營商建公有云，比如說跟移動、在海外跟德國電信、法國電信、沃達豐這些大型運營商也在幫助他們建立或者說合營公有云。但是另外一方面，作為我們一個發(fā)展了30多年的企業(yè)IT，我們?nèi)A為的業(yè)務(wù)遍布了全球170多個國家，支撐過去30年的發(fā)展，其實我們的內(nèi)部IT在全球也建立了很多數(shù)據(jù)中心，現(xiàn)在是EDC企業(yè)級的DC加上IDC再加上50多個CDC，這個網(wǎng)絡(luò)其實已經(jīng)建立得非常完備了。從去年開始，其實我們內(nèi)部IT也在做DC的私有云，就是云化的轉(zhuǎn)型，現(xiàn)在基本上已經(jīng)完成了70%左右的資產(chǎn)云化的轉(zhuǎn)型。

所以我們?nèi)A為現(xiàn)在面臨的情況是，我們自己在做對外提供公有云，但同時內(nèi)部我們也建立了一張覆蓋全球的私有云的網(wǎng)絡(luò)。對于我們內(nèi)部IT來說，我們怎么考慮公有云和私有云這個問題，我覺得有幾個核心的要點。其實云化要想清楚的是，你希望從云上得到什么，公有云也好、私有云也好，你希望得到的是什么。從一個CIO的角度來說，你要考慮公有云的成本和公有云能夠給你提供的服務(wù)，以及私有云的成本和服務(wù)。那么內(nèi)外都是云化都是敏捷性和彈性，可以快速響應(yīng)業(yè)務(wù)，成本和服務(wù)的對比是比較核心的。

我舉個例子，比如說MateBook(音譯)，我們在做MateBook的部署架構(gòu)的時候，我們是這樣考慮的，我們認(rèn)為電商的三層架構(gòu)：前臺、中臺、后臺會面臨高并發(fā)，在這種情況下，肯定要優(yōu)先選擇公有云。電商的中臺是做整個訂單倉儲物流的這一套平臺，我肯定優(yōu)先使用私有云，因為私有云滿足了我在這個應(yīng)用上的所有要求，同時它的整個安全防護體系我是可以直接利用的，它的成本已經(jīng)被企業(yè)過去的建設(shè)分?jǐn)偭?。這樣我的電商整個部署架構(gòu)上面的選擇，前臺放到公有云，中臺放在私有云。在CIO做云化選擇的第一點，你要想清楚從公有云和私有云以及傳統(tǒng)的部署架構(gòu)里面，你分別能夠得到什么差異化的服務(wù)，這是需要去作判斷的。

第二個，關(guān)于我們對安全的擔(dān)心，其實是對于數(shù)據(jù)泄漏的擔(dān)心，但是你的企業(yè)里面不是所有數(shù)據(jù)的密級都是一樣的，這個時候企業(yè)需要對數(shù)據(jù)進行分層分級的管理。我們?nèi)A為是把整個辦公網(wǎng)絡(luò)分成紅黃藍綠四個區(qū)域，紅區(qū)黃的是華為最核心的戰(zhàn)略性的資產(chǎn)，這個資產(chǎn)絕對不能被拿走，如果拿走對企業(yè)的整個經(jīng)營風(fēng)險非常大，放在紅區(qū)里面。紅區(qū)的管理非常嚴(yán)格，我犧牲效率保證數(shù)據(jù)的安全性，我愿意在紅區(qū)的所有操作里面的人員管理是很復(fù)雜的，數(shù)據(jù)獲取是很復(fù)雜的，安全性是最高的。我們整個研發(fā)是在黃區(qū)，研發(fā)的同事是沒有編輯機的，研發(fā)全部用桌面云進行登錄。第三個我們面向研發(fā)的7朵云，包括編譯云、測試云等等，全部都是為了提升研發(fā)的效率，所有數(shù)據(jù)在云端，他拿不走。在黃區(qū)的數(shù)據(jù)，你要獲取都要走相應(yīng)的申請流程，什么人什么時間段進行使用。

葉根平：我插一句，你覺得我們這些CIO，你的第一個問題，我們會不會評估什么東西適合在公有云上，你覺得我們的CIO會不會評估這件事情?

何園媛：我覺得應(yīng)該要去評估。

葉根平：所以你前面的擔(dān)憂是多余的，是你們提供商設(shè)想出你們這些CIO都不會去評估，我們都會評估。第二，對于數(shù)據(jù)分析，你覺得我們會不會去評估?

何園媛：如果管理規(guī)范的企業(yè)，對于數(shù)據(jù)的分層分級都回去做。

葉根平：我也認(rèn)為絕大多數(shù)的企業(yè)現(xiàn)在都在做這個工作，包括安全隊伍、安全專員、安全部門我們都有。其實很多時候是可能乙方根本不知道現(xiàn)在甲方在想什么、在做什么，什么都是你們在想，實際上你剛才講到的兩個命題，我們都已經(jīng)做了，比如說數(shù)據(jù)分級我們有了，你說什么東西應(yīng)該放上去，我們也很慎重的評估，哪些放在公有云、哪些放在私有云。甚至我們內(nèi)外網(wǎng)隔離早就做了，我們都在做，所以我想跟你說的是稍微多了解一下現(xiàn)在的甲方。

范脡：何總是乙方中的甲方。

何園媛：我剛才是站在企業(yè)內(nèi)部IT，我沒有站在乙方的角度談這個問題。剛才我講到紅黃藍綠，你要評估前面的投入成本以及可以從公有云上獲得什么。

第三個，選擇公有云的時候，我覺得企業(yè)的IT對公有云廠商的能力是要進行評估的。比如說AWS、阿里、微軟、華為，他的各個廠商在安全上的能力是不完全一樣的，他在安全上到底能為你做到什么以及你需要什么，這個時候需要專業(yè)評估，評估完以后決策應(yīng)該選擇AWS還是選擇微軟。

第四個，選擇了公有云之后，整個應(yīng)用在公有云上的安全責(zé)任還是在企業(yè)CIO，那么廠商他能夠提供一部分的服務(wù)，他不能夠提供的服務(wù)怎么辦，還是要企業(yè)CIO自己來構(gòu)建整個安全防護的能力。

通過這幾點去思考哪些東西應(yīng)該上私有云、哪些上公有云，當(dāng)我們選擇Iaas的時候，越來越多廠商在細(xì)分領(lǐng)域去提供SaaS的套件。這個時候其實是很大的一個陷阱，未來你可能會面臨你要管理很多的云，而每個云的能力是很差異的，云和云之間的集成、共享和管理的難度也會增加。所以在選擇SaaS的時候，一定要考慮清楚，盡量選擇一個大的平臺級的SaaS來作為企業(yè)核心的SaaS。我們在云的發(fā)展過程中也在不斷思考，有的思考可能不一定對，作為參考吧。

張開翼：范總的話題和剛才幾位嘉賓的分享，我分成兩個層面來看。對于云的供應(yīng)商，我這邊主要是指公有云，信不信任的問題、怎么信任的問題，這是第一個問題。第二個是我們云上的業(yè)務(wù)怎么保證安全的問題，我認(rèn)為這兩個問題是不一樣的。

第一個問題來說，其實你選擇你的業(yè)務(wù)，哪些業(yè)務(wù)我敢上云、哪些業(yè)務(wù)不敢上云，我上云的時候選擇上哪家云。這是建立在你對公有云供應(yīng)商的選擇和信任的問題，所以我的看法是很多企業(yè)尤其是大型企業(yè)，他會選擇我的核心業(yè)務(wù)，我是不可能上云的。我建立在對現(xiàn)有的中國整個信任體系的不信任基礎(chǔ)上，我是不可能把業(yè)務(wù)上云的。我還發(fā)現(xiàn)有一部分的客戶在他的業(yè)務(wù)規(guī)模大到一定程度以后，開始回遷到私有云來，我就問他為什么要回遷。他說第一我的業(yè)務(wù)大于管理訴求了，跟不上就是要命的，叫天天不應(yīng)叫地地不靈，如果有萬一我怎么辦。這是他們選擇把業(yè)務(wù)回遷的很重要的原因，當(dāng)然還有成本七七八八的考慮。

對于云的業(yè)務(wù)的選擇或者說平臺業(yè)務(wù)的選擇，其實是建立在多個維度的因素綜合評定成本、安全等等一系列的考慮。所以這個不能一概而論，對于中小企業(yè)來說，當(dāng)然最重要的是你的業(yè)務(wù)，你最重要的是發(fā)展，還沒有考慮到信息是否安全的問題、平臺是否可靠的問題，這個時候你就選擇一個你覺得可以的就好了。對于大企業(yè)來說，我需要有一個全面的平衡考慮。

但是我認(rèn)為，對于所有的客戶來說，都要回答第二個問題，我怎么保證我云上的業(yè)務(wù)安全。因為業(yè)務(wù)上云以后有一個非常明顯的特點，云是虛擬化的，我原來非常清晰的邊界已經(jīng)消失了，公有云上的業(yè)務(wù)已經(jīng)看不到或者沒有辦法管控它的邊界。在公有云上有很多業(yè)務(wù)是有大量風(fēng)險的，很多客戶存在誤解，覺得公有云廠商號稱提供各種安全，你的云是安全的。但是公有云的安全跟平臺安全是兩回事，就算選擇一個安全的平臺，你在這個平臺上的業(yè)務(wù)也不一定是安全的，你要搞公有云上的安全，這就是為什么在公有云平臺上還會有非常多的問題。我們幫助用戶做安全檢測的時候，發(fā)現(xiàn)很多公有云業(yè)務(wù)是裸奔的。這種理解可能中小企業(yè)會多一點，大型企業(yè)大部分還是知道的。

比如說我還是要租一個PC，或者在上面該有的整套機制都要建，跟我在內(nèi)網(wǎng)沒有什么區(qū)別。但是我們看到還有很多行業(yè)云在里面也是裸奔的，因為這個很簡單，我買一些防火墻或者防御設(shè)備放上去就安全了，實際上不是這樣的。這次的勒索病毒事件，其實我們平時認(rèn)為他們的安全建設(shè)做的比較好的很多行業(yè)客戶中招就是有這樣的背景因素。這個一個是業(yè)務(wù)上的選擇，一個是安全建設(shè)上的選擇，這樣來看可能會有助于大家更好的理解這個話題。

范脡：謝謝各位嘉賓的精彩分享，我們可能沒有時間給大家提問了。當(dāng)然安全不是一個新的話題，但是這幾個月安全給了大家一些新的壓力，我們之所以在這次大會上抽出一個時間來討論安全，也是滿足大家平時有的一些討論。但是一個小時只能點到為止，如果大家有什么其它的問題，我想可以下了場以后，比如說今晚晚飯的時候跟各位專家做一個交流。我們再次感謝臺上的嘉賓和臺下的嘉賓，謝謝大家!

主持人：最后一個環(huán)節(jié)就是一個抽獎環(huán)節(jié)，這是一個激動人心的時刻，請范總留步。我們今天的獎品是三名，我們通過搖一搖，大家去掃二維碼或者掃日程后面的二維碼，加入到這個游戲當(dāng)中。我們今天的獎品是美的智能掃地機器人，所以前三名將得到這個掃地機器人。

(抽獎)

范脡：恭喜這三位觀眾，請這三位觀眾上臺。

主持人：海之艦、緣來如此、胡立軍三位上臺。

范脡：稍微自我介紹一下。請問海之艦?zāi)愕氖质侨绾螣挸傻?

海之艦：非常高興來到這兒，這是意外的驚喜，我是王健(音譯)。謝謝!

獲獎?wù)撸何沂莵碜院幽螩IO聯(lián)盟的一名成員，這一次也帶隊過來參加這個會議，在此借此機會也感謝企業(yè)網(wǎng)范總，包括他們的團隊，給我們大家提供這么好的一個平臺，非常感謝!我來自思念食品集團的，我叫于德洪(音譯)，目前在企業(yè)負(fù)責(zé)運營和信息化工作，在快銷行業(yè)干了20多年了，前期也在雙匯干了很多年，希望在快銷領(lǐng)域當(dāng)中涉及到管理和信息化方面多交流。謝謝!

胡立軍：大家好，我叫胡立軍，在場的各位都是真才子，我們公司有一句話叫“真才子，穿才子，深才子，才子贏天下”(音譯)。希望未來在場的各位都能一身才氣，深才子、真才子、才子贏天下。謝謝組委會，謝謝大家!

范脡：謝謝三位嘉賓!