以下為現場速記。
圓桌討論
主持人:接下來是我們上午的圓桌環節,重點討論當今的企業安全架構,大家可以準備一些問題詢問。今天圓桌的主持人是聯合汽車電子CIO趙超,請主持人上臺,同時請以下參與的嘉賓上臺:
國藥集團信息部主任 雷萬云先生
前途汽車CIO 邢紅波先生
李寧集團IT系統總監 朱遠剛先生
Palo Alto Networks (派拓網絡)中國南區銷售總監 殷成剛先生
深信服科技企業事業部運營總監 許承先生
趙超:這個環節我想代組委會行使一下時間管控權,剛才跟幾位大咖商量了一下,我們要把它從一個小時縮短成半個小時,不知道范總是不是同意我們的臨時決定?我這邊就計時了。
大家可能已經發現了,在這次會議上我們的主辦方留出了相當的篇幅給到信息安全這個話題,我剛才也提到了包括網絡安全、數據安全和傳統的信息安全。針對這個熱點話題,其實它不亞于我們昨天中臺的討論,為此我們也有幸邀請到行業內的幾位大咖,請他們就這幾個問題發表一下他們個人的觀點。
我們先請他們簡短地介紹一下,因為都做過演講,所以姓名和抬頭都知道了。所以我們換一種方式,我們請各位嘉賓介紹一下你左邊的嘉賓,每人一分鐘。不用介紹姓名,隨便用什么形容詞都可以,比如神采飛揚或者怎么樣,這個不算為難,是幫大家提提神。我們從雷總開始。
雷萬云:邢總剛才的演講非常精彩。
邢紅波:抱歉,昨天在忙晚宴的事情,我錯過很多精彩的演講,但是雷總的開場演講我記憶深刻,非常有高度。左邊這位絕對是帥哥。
朱遠剛:我的左邊像是一個前輩,是一個專業的前輩,也是一個專家的形象。
殷成剛:小許許承,也是昨天有機會在會場認識的,大家是同行,也有這樣的一個機會參加討論會。謝謝!
許承:我的右邊是昨天認識的派拓的殷總,很高興有機會認識到業界的前輩。這位是趙總,昨天也認識了一下,希望后續有合作的機會。
趙超:幾位嘉賓可不可以講一下你們是怎么認識的,背后的根本原因在哪里,為什么突然一夜之間這個就變成非常火爆的命題,請雷總先介紹一下。
雷萬云:我覺得信息安全確實確實非常重要,大家都非常清楚,至少華為使美國進入緊急狀態,充分說明美國政府對信息安全從另一個角度的重視,根本沒有的事情但是他可以這樣做,說明他們是非常重視的。包括我們昨天的討論和今天的討論,剛才趙總講到由內到外企業、行業、國家所有的資產、所有的安全、所有的業務管理、Nohow都在網上,所以一旦有問題,你的業務性、你的安全所有的都會出問題,這是有目共睹的一件事情。當時我2011年、2012年、2013年國家網絡安全法還沒有頒布的時候,我2012年、2013年寫了一本《信息安全保衛戰》,由體系的架構專門闡述了信息安全怎么由策略到剛才大家講的過程,這本書也在引領很多企業怎么做信息安全的策略。
邢紅波:為什么最近尤其是從前年,如果大家比較敏感的話,信息安全沉浸了很長的一段時間忽然成為越來越熱的話題,我個人預測今年下半年或者明年可能會和中臺一樣。原因有以下幾點:
第一個,由于AI的應用,我們信息安全的邊界從企業的內部擴展到外部,原來企業的信息安全更注重To B端,現在已經往To C端延伸了。企業對外的服務原來是B2B的,現在汽車行業到了B2B2C的過程。這是一個原因。
第二個原因,從我個人的觀察上看,我非常認同安全已經上升到國家層面上了。但是由于我們的技術發展,技術發展帶來的不僅是好東西,還有壞東西,技術沒有好壞,看放在誰手里用。由于我們的技術發展,我們面臨的安全威脅就比較多,比如說工業互聯網、自動化,我們現在做數字化的轉型,我們很多實物資產已經變成虛擬數字資產,這個時候對我們IT提出的要求就越來越高了。
第三個層面,是我的演講中特別關注的可能大家不太研究的一個點,現在黑客獲取信息安全的驅動。我上次參加成都的安全峰會的時候拿到一本書叫《黑客心理學》,《黑客心理學》前言第一句話就說“信息安全問題是人的問題”,它首先是人的問題,我們在整個信息安全建設里有三方面的原因,有三個角色,第一是信息安全的建設者、第二是信息安全的保護者、第三是信息安全的破壞者,這三者的關系現在是有經濟利益在里面的。由于黑客能用低于他的成本拿到高的收益,他現在就愿意干這件事情。其實背后還有更重要的原因,類似于比特幣交易模式的存在給了黑客空間。
這是我的看法。謝謝!
朱遠剛:對于信息安全這個事情我覺得確實對于IT、對于公司的業務發展來說一直都是非常關鍵的事情,對于公司業務、對于IT是一個紅線的問題,也是一個基礎的事情。但是確實信息安全不同階段的重視程度是不一樣的,大家都會感覺到,不出事的時候感覺不到它的存在,出事的時候才想起來安全的問題。大家經常在沒有一些話題或者沒有一些事件的時候也關注不到,最近因為各種事件的發生,包括隨著互聯網化的進程和數字化轉型的進程,大家信息安全的意識越來越高、重視程度也越來越高。所以我也認為,不管是內部的管理要求、還是對于整個社會大家對于信息安全的重視程度來說,對于信息安全的要求會越來越高,投入也會越來越大,包括對消費者個人隱私保護各個方面的需求,都會促進我們在這方面的持續投入和提升。
趙超:殷總和許總是來自于乙方的,介紹一下這個大的形勢到底怎么樣變化,導致現在有點人人自危的狀態。
殷成剛:我叫殷成剛,來自于派拓網絡,我們是一家硅谷的明星公司,最近幾年大家比較關注,今天上午聽到幾位嘉賓講到信息安全。作為乙方來說,內部的變化使網絡環境發生了很大的變化,我們原來傳統的數據比較多的是儲存在傳統數據中心里面,當出現了云化的場景之后,我們再用傳統手段來保護它。
主要是有兩個原因:第一個,攻擊手段更多樣性、更隱密性,守方變得更加難。第二個,原來的攻擊方法是破壞或者獲取數據資產,今天變得更加赤裸裸,比如去年或前年的勒索病毒發生,直接獲取利益回報,這種挑戰對于我們今天的威脅更加直接或者做信息安全的同事甚至讓老板都感覺到網絡安全和信息安全我都感覺到了,以前是聽同事在講,今天是實實在在的發生在變化。
這兩個原因導致信息安全變得越來越重要,面對這樣的挑戰的時候,我們既要考慮用戶使用環境和業務形態的變化,也要考慮外部攻擊環境和攻擊形態的變化。
許承:大家好,我是來自深信服的許承。我對于安全這一塊的理解,引用前美國國家安全局說過的一句話,這個世界上只有兩種人,一種是知道自己已經被黑的人,另外一種人是不知道自己已經被黑的。這個說簡單一點,其實黑客攻擊安全事件這個事情,早在十幾二十年前大家覺得這個事情離我們很遠,比如熊貓燒香病毒我也接觸過,之前的黑客行為確實是為了達到一種炫技或者呈現自己技能的表現形式,但是大家看到最近發生的一些安全事件是跟我們的業務包括信息資產息息相關的,包括剛才殷總也提到勒索事件、數據泄密,大家平時在網上會有這種感受,感覺信息安全事件離我們越來越近,以前我們感覺信息安全離我們很遠,但是現在我們每個人都是信息安全的參與者。
我們深信服也一直在強調,網絡安全是整個企業IT基礎架構的一部分,除了計算、網絡、存儲之外,安全也是信息基礎架構的一部分,所以信息安全建設對于企業來說現在是一個非常重要的環節。包括國家層面習主席發表4·19講話,把信息安全提高到國家戰略的高度,沒有信息安全就沒有網絡安全。包括等保2.0和2017年發布的網絡安全法都說明了信息安全落實到我們的行動當中,現在也有一些護網行動、禁網行動等等,在信息大爆炸時代信息安全與我們每個人都是息息相關的,不僅僅是企業IT信息化考慮的問題,更應該是每個企業員工要關注的問題。信息安全是我們每個人都要關注的一個問題。這是我的看法。
趙超:現在不是杞人憂天的時候,確實是山雨欲來風滿樓。在這種情況下,我們甲方能不能評估一下,到底是敵人太強大了,還是我們自身缺少意識,哪一個方面在我們自己的企業里更加突出一些?
朱遠剛:信息安全工作人確實是最關鍵的,現在對于一些所謂的攻擊也好、或者我們做的一些防范也好,肯定是我們自我意識是最關鍵的。我有沒有建好自己內部的體系,包括有沒有去做一些應對的應急措施等等,當然必要的手段也是必須的。回顧我自己經歷的安全事件,我可以跟大家分享一下,我今天是抱著一個學習態度來的,今天上午聽邢總的分享,我對標了一下我們的進展,可能我們現在估計頂多處在1.5的的水平。在這么多年的業務運用過程當中,倒是沒有出現過大的信息安全事故,可能還是有些人的經驗或者快速應對,靠人的東西會多一些。另外一個可能還是運氣好,可能還沒有被一些頂級的黑客盯上。
我記得曾經有一次域名被攻擊,當時我們的域名解析是放在內網的,被攻擊之后我們的防火墻就全部被堵住了,整個內網都不能提供服務了,我們就緊急把域名解析遷到外頭,搞癱了好幾個外面做域名服務的公司,最后找了一個比較大的公司終于扛住了攻擊。但是他沒有攻擊我們內部的核心系統,我估計是運氣好,他沒有想深入的去攻擊到我們更深入的防火墻,進入到我們的內部系統,而是想做一些嘗試性的對我們官網域名的攻擊動作。但是我想未來信息安全工作不能靠運氣,我們必須要扎扎實實的把一些防病的工作做好。
邢紅波:這件事我覺得要內部和外部兩方面的因素都是有的,內部是對信息安全的重視程度,很多企業都建立了信息安全委員會,比如說趙總是最直接的體現,從IT總監轉成信息安全總監。組織保障和安全意識是我們最根本的,還是那句話,信息安全管理是核心,技術是手段,沒有管理,再好的技術也會起不到它應該起到的作用。人還是我們整個信息安全的核心,這是在內部來講的。
對外部來講,剛才兩位乙方同行在分享的時候也說到,現在在信息安全的攻防戰上,大家還是面臨的整個情形還是比較險惡的。剛才朱總說到雖然以前沒有碰到這個問題,是靠運氣或者怎么樣,但是也涉及到一個方面,信息安全是有效的,但是沒有被人惦記而已,不怕賊偷,就怕被賊惦記。我們要跟進技術的發展,多和廠商進行交流,畢竟他們比我們更專業,我們要根據有影響力的信息安全事件評估一下自身,和廠商做一些好的交流。比如說勒索病毒出來的時候,很多企業沒有辦法,中招了,只能拿錢買平安。包括現在廠商經常講態勢感知,我認為態勢感知這件事大家可以去研究,但是真正做到杜絕是很難的事情。
趙超:雷總,在數字化轉型的大背景下,我們面臨比較突出的問題,您認為是在哪一方面?
雷萬云:我認為整體來講現在對企業來說信息安全合適為好,這個非常重要。企業要評估合適,外界的壓力確實一直有,但是我一直講合適,你要保住最基本的要求,就是合適。確實信息安全花錢各方面要合適為止,我們是一個信息安全保衛戰,我的那本書就叫《信息安全保衛戰》,保衛到什么程度。這是一個理念。
第二個,你要在這里面深入,要跟你的老板、老總交流。我覺得重要的是保證我們是為企業服務的,主要是企業的角度和業務的連續性。最大的集團企業我提出來了,但是現在談的人很少,我認為也是比較悲哀的,就是基于云、基于大的集團企業、基于大的復雜場景,又是由內、又是由外,單一的局部的是不行的。我在2012年、2013年提出來,包括和IBM有交流,我覺得要提出來一個信息安全的框架或者架構,有體系性的東西,是一個體系建設,而不是局部的。我曾經在一本書里面提出來,體系是由三部分組成的,第一是安全管理、第二是安全技術、第三是安全運維,當然這三塊中間還是有交叉融合的部分形成一個安全的核心部分。
我原來輔導了很多安全的公司,我說你必須基于這三部分的框架,基于安全云來把這三部分做好,尤其和安全管理、安全策略、安全責任打交道的最終是人。當然我們用了很多技術,硬件的、軟件的技術,最終要通過管理和技術的融合形成一個運維,自動化的運維、團隊的運維、外包的運維等等,它又是把這兩部分融合成一個部分。如果我們能夠部署到一個云上,或者企業做的PaaS、私有云或者什么云上,我們在云上把安全設置出來。再加上由內到外的做法,對黑客態勢的感知、內部的調整、再加上一些AI,我們的攻防就可以達到動態的平衡,這是一種比較理想的融合性的體系,而不是按下葫蘆又起瓢,必須要系統性的考慮安全的問題,才能達到一個比較好的良性循環。
趙超:也就是說,這件事情的起點,我們一定要對自身有一個認識,不然的話就算有神醫在手也救不了。剛才邢總已經接近了兩位乙方說的,我們還是希望在技術上得到乙方的幫助。下面一個題目我想請教一下二位,目前的安全技術和進攻的技術相比較,魔道兩界,畢竟安全技術是跟隨技術,往往是在發生以后我們才想到應對,二位是不是可以分析一下,到底我們現在有什么樣的落差?或者我們的安全技術非常強大,所有的問題我們都能hold住了,還是說現在實在是敵人太狡猾,我們只能應對到個7、8分,請二位闡述一下自己的見解。
許承:我分享一下我的見解,剛才趙總說安全能不能做到完全防御,我們說沒有100%的安全,誰也不敢做這種保障,確實是沒有哪個廠商或者技術公司敢做這種承諾。但是從我們以往的安全模型來看,比如說PDCA,就是我們說的防御、檢測和響應,這是一個閉環。這個閉環最后雖然也發展出PD2、ATF所謂縱深的安全防御系統,當然這個對我來說,我們感覺它還是比較靜態的防御系統。剛才雷博也提到了,整個安全需要做到合適,就是動態的閉環。
所以說,我們廠商在這一塊的思考其實也是說過去PD2的防御模式相對來說是比較被動的,黑客想到攻擊我的時候,我要想到怎么去防,如果防不住的時候,他進來的時候,我要做一些檢測和響應,這是目前大多數企業能夠想到或者做到的階段。但是不知道各位有沒有想過,PDR循環玩了一圈以后就停滯了,如果下一次還有一個攻擊進來怎么辦,我的動態循環能不能適應新的威脅攻擊。我們知道現在的威脅攻擊行為是越來越低成本化的,很多攻擊工具已經工具化了,一個沒有什么專業知識的黑客都可以利用打包好的工具迅速對你發起攻擊。現在很多黑市上也出售一些黑客工具,我買過來就可以用,不需要有專業的知識。
以前的靜態相對于比較過時的閉環體系應對現在的新型威脅是非常吃力的,所以我們現在在安全里面開始大量加入一些人工智能和機器學習的技術,來保障人工智能這一塊的東西能夠進行防御和響應,幫助我識別一些安全威脅,不再靠人工分析做一些應對。這個是事前安全防御能力的加強。
在檢測和響應階段,因為我們企業都知道,管信息化的人往往是比較少的,可能就幾個人甚至沒有人負責這方面的工作。整個企業對于安全運維的工作怎么把握,怎么有專業的人員時刻守護企業的安全,其實這也是企業一個比較明顯的痛點,我的安全運維該怎么做、該由誰來做。其實這一塊也是我們在考慮的一個問題,在企業的安全運維方面怎么幫助企業減輕壓力。通過人工智能加上智慧的智能運維,能夠幫助把我們前面提到的PDR循環就是防御、檢測、響應的閉環持續滾動起來,通過我們說的“雙輪”也好、或者驅動力也好,通過智能化的檢測技術加上智能化運維的方式,使這個閉環迅速形成動態的防御體系。就像剛才趙總提到的,道高一尺,魔高一丈,我們需要不斷的有一些新的技術和手段應對威脅的變化。但是安全做到100%還是比較困難的,我們只能盡量的降低企業的安全風險,但是完全避免還是比較難的。這是我的一些見解,謝謝!
殷成剛:舉一個很典型的例子,今天大家討論網絡安全,我們經常反思很像踢足球的是攻方和守方,守方守了99次,守住了就不會進,攻方只需要進一次就行了,這不太公平,特別是對于防守一方。我需要防的點不是一個點,而是多個點,它就是網絡安全的保衛戰,如果是陸軍還好,今天是海陸空要協同作戰。我們在不同的應用場景和不同的技術場景上,可能根據歷史原因或者技術原因選擇了不同的技術手段,我很難通過海陸空進行協同作戰。今天有大量的場景,每個技術類型都不同,我要想應對的時候,我原來的防守模式幾乎都是單點應對。
我怎么一開始的時候就能想到一個框架,這個框架可以基于未來的發展方向、基于業務的拓展,同時把安全能夠放進去,它能夠支撐業務發展。這個是安全廠商思考的問題,他看到了今天的用戶需求,我們需要7、8種安全技術,需要7、8種不同類型的人防御,這個對于用戶來講不現實。在尋求外部支援手段的時候,首先考慮的不是某個技術,這個安全技術怎么解決企業多樣化的需求,解決了多樣化的需求就會帶來另外一個挑戰,就是我們今天談的人的問題,特別是做安全管理的人的問題,這是目前無論是在中國市場還是全球市場最大的一個挑戰。我們有技術,我們可以花錢買產品,但是誰來運營這個產品,誰來自動化的應對外部的攻擊,每次進攻不用我每次去應對,能夠自動的實現防御手段。所以今天在安全業界里面也存在安全廠商能不能幫助用戶降低人為的參與,更多的實現業務防御的自動化,幫助用戶主動去應對,而不是后面的亡羊補牢。這個也是廠商應盡的一個責任,無論是國內的廠商也好、還是國外的廠商也好,幾乎都在朝著安全云平臺、安全自動化運維的方向在發展,希望幫助用戶在這方面有所提升。
趙超:根據我們剛才約定的時間,我們有一點超時,但是我相信是所有環節里面最守時的一個,這個話題不再繼續下去。后面還有一天多的時間,如果大家有什么問題想跟幾位專家探討都還是有機會的。最后我想借用這個平臺,感謝一下范總和組委會,能夠搭了天山論劍的平臺,希望后面還有華山論劍或者武岡論劍,希望各位企業在練就了數字化屠龍寶劍的同時,也希望練就一身絕世武功。謝謝大家!
主持人:大家有沒有問題要請教各位的?
觀眾:我是來自中國一汽的,我是負責一汽下面最大的子公司的信息化工作的。未來5年有可能利益驅動的信息化安全事件,是我們企業要注意的很重要的事,現在在我們集團已經發生了,這些問題我們已經驚動了公安部門,就是這么嚴重的一個問題。剛才邢總的演講非常精彩,我受益匪淺,有一個問題想請教一下邢總。您在PPT分享的時候說到信息安全選擇的原則就是平衡之道,這是非常重要的,實際上也是一個老的問題。您說信息安全優先和效率優先兩者的平衡,我想問一下您是怎么處理的?
邢紅波:平衡這件事歸根到底是人的問題,我們公司的設計人員特別追求自由,我到這家公司來的時候,我們設計公司有兩個人是做運維的,根本沒有構建那個東西,我們是一步一步的梳理,從員工的意識上開始著手,不要試圖一步到位,我們逐步的推動員工意識。因為剛才講人是根本的,從組織保障和制度完善入手,我們還可以在內網上搞一些安全測試、知識競賽。還有很重要的是,我們有了組織保障之后,相關制度要落實,在我們公司KPI是管理人一票否決的。業務部門會強烈反對,他會找各種理由告訴你這個東西打不開。但是因為前幾年技術上確實有了問題,有一些加密軟件尤其是我們的數模有打不開的情況,你不能怪人家,怪我們的技術不成熟。從我的從業經驗上來看,這些技術現在是比較成熟的,這些借口是不成立的。如果有這些借口,可以和業務部門做一些溝通。比如我們之前從外面一個分公司招來一個總經理,他非常不適應我們各種加密的。我可以告訴你,由于我這次來得比較匆忙,我們所有的U盤口是被封掉的,我在電腦上做的都拷的出來,我也不行。所以說特權不濫用,包括我自己,包括總經理、董事長都不行,沒有用,沒有得到流程的授權就不能干這件事,這個非常重要。回過頭來說,信息化建設我們說是一把手工程,大家講了很多年了,信息安全建設也是一把手工程,如果你得不到最高層的支持和授權就很難推動這件事。但是我的經驗看,技術上現在業務部門來挑戰我們應該沒有問題,我們應該對我們的廠商有信心。對不對?
觀眾:謝謝邢總!
觀眾:臺上幾位專家好,我是來自一個餐飲連鎖企業的,好客來。我們也是碰到一些安全問題,我們在使用會員系統的時候,響應速度很高,所以我們把數據放在云端。我一直很擔心,把數據放在云端會不會不安全。因為我的東西放在阿里云,我就問了阿里云的專家,他們說很安全。但是我問了一些別的專家,他們說不要放云端。我想問一下深信服的許總,我也是你們的客戶,也用了你們的產品,我想了解一下,從你的角度看,數據放在云端是不是安全的?
許承:我覺得數據特別是餐飲客戶的數據放在云端肯定是不安全的,雖然說阿里上面有一些相應的安全產品保障你的數據,他可能會有各種的方法。這也是為什么現在很多的企業對于公有云,包括前面趙總也提到了,她很排斥混合云的架構。其實混合云是可以用的,但是最好是一些關鍵的業務,我們建議是不存在混合云上面。但是這里也要做一個考量和平衡,你要考慮一下自己IT部門的技術能力,有沒有辦法做好數據的保障,如果說缺乏這一塊的能力,其實退而求其次是可以作為一個臨時過渡的方法放在阿里公有云上面存儲的。
因為我們之前在上海也有一個同類型的客戶,是頂新集團旗下的公司,他們也有一個會員系統,但是不敢把敏感數據放在云上面,他們自建了一個數據中心,按照等保三級進行了安全建設。因為數據放在公有云上面還是會存在一些風險,我不知道阿里里面不同的客戶業務的分區是怎么做保障的,但是一旦存在這個風險,客戶的網絡被突破,有可能會發生一些橫向轉移的風險。這是我個人的一些看法,重要的敏感的數據還是建議保存在本地,但是你要衡量一下你當前的技術匹配能力,可能公有云可以作為一個臨時過渡的手段,可以作為一個使用方法,但是不是長久之計。這個東西一旦突破之后,你覺得是好客來的責任,還是阿里的責任?
觀眾:我們現在碰到一個問題,客戶在買單的時候,可能要2、3秒之內就要打開,而且我們的行業特點是在高峰期,比如說中午12點到1點的時候用戶非常多。
許承:還有一種解決方案,可以利用云端可擴展的能力,數據和請求是可以分離的,我們有一些客戶是這么做的,他的業務請求是可以放到公有云上面去請求的,但是他的數據是回到本地來讀取的。
觀眾:比如我們的會員積分、電子券,它要立即計算出用戶有什么優惠,可以打幾折,5秒就算卡頓。
許承:我之前有遇到這種類型的客戶,如果你對實時性要求比較高,還有一種解決,云端上面也有很多的生態廠商的組件,也可以選擇一些安全組件進行安全加固,包括符合等保的要求,如果在延遲方面有要求,這個也是可以的。放在云端不是長久之計,現在也有很多解決方案,阿里有很多生態,包括深信服的云化產品也在阿里云上面有合作,包括其他的安全廠商都有一些產品可以選擇,做一些安全加固是可以的。但是建議還是不要太依賴阿里,敏感的數據建議能自建還是自建。
朱遠剛:對我們這種零售、偏零售、餐飲相關的消費品行業都有這種特點,我們有波峰、波谷,這個行業很多客戶都在大量的用云服務。所以從我們的角度來說,我覺得云服務是我們未來必不可少的一個選項。其實我有一個想法,希望我們做安全服務的廠商能夠跟云廠商合作,在云端也能夠提供一個更加安全的使用環境,而不是必須選擇一個自建或者怎么樣的方式。
邢紅波:這位兄弟,我特別想說兩句。我個人覺得,你剛才討論了很長時間,我有一個建議給你,一定要跳出技術,用更高的格局和思維方式來考慮這些問題。你們現在是放到公有云上了,肯定是做過評估了,你平衡完以后沒有辦法,只能這樣選擇。我們剛才說過,沒有絕對的安全,只有相對的安全,雷總說得非常清楚,這個框架目前是適合你的。你可能有你的擔心,等到公司到了某一個層級的時候,可以不用這個云,自己有能力的時候可以建自身的數據中心。你現在糾結的問題非常難搞,無解。
觀眾:其實黑客的損失我們可以控得住,但是還有政府的,黑客一天讓我損失多少,我后臺數據是可以監控的,第二天就會找到另外一個方法應對,但是有一些其它的,比如說其他部門像國家的權力機關介入云平臺,有沒有這種情況?
邢紅波:這種政策的因素不是我們考慮的范圍,最大的風險是政策風險。再提醒各位一句,我沒有對云服務廠商有任何歧視,所有現在在用國外云服務的廠商一定要關注一下中美貿易戰,很有可能出現最極限的情況,我們目前在國內能提供服務的廠商,大家在用的,有可能不給我們提供服務了。抱歉,不知道今天有沒有亞馬遜的同事在,他剛才講到這個事,我要提醒一下大家,你說的問題我們解決不了,也是無解。
趙超:我行使一下主持人的權利,想吃飯的可以走,不想吃飯的可以留下來。我接著邢總的話,你現在是一個擔憂,你不能根據擔憂問人家怎么解決擔憂。你可以把這些資產拿出來,你要做一個評估,到底風險在哪兒,我能不能承受,還是要相對理性一些。真的是一個擔憂,我覺得現在很多的甲方IT一聽到云的時候都是一種擔憂,把云當成一個籠統的詞來講,這樣無助于解決問題。
殷成剛:公有云市場在國外還是蠻成熟的,而且有一些客戶采用上云的方式,說明對公有云的方式是認可的。在整個公有云計算的責權劃分上有明確的規定,公有云負責基礎架構安全,數據和應用安全由用戶負責。現在安全廠商也在應對這個趨勢,在公有云平臺上提供基于SaaS服務的模型,而不是買軟件的模型。其實大部分的主流硬件廠商在阿里都能夠提供在云上的防護保護,以前我們傳統數據中心有大量的測試手段可以驗證我們的短板在哪里,今天比較難的是在公有云的環境驗證到底漏洞和短板在哪里。我相信有相應的技術手段進行檢測,當然這是成本問題。從業務需求來講,其實公有云安全還是可信的,但是用戶一定要分清責任,公有云負責基礎架構安全,數據和應用安全由用戶負責。
京公網安備 11010502049343號