主持人：

非常感謝朱總的演講和演示，之前我們所做的云計算市場調研中發現，客戶對于云安全的信任和認可將直接決定客戶的接受度。接下來工信部電信研究院主任何寶宏將和我們分享云無信不立。掌聲有請！

工信部電信研究院主任何寶宏

何寶宏：

大家好！大家可能談了很多云計算的問題，云計算面臨一個很重要的問題就是關于信任的問題。我們可以想上一代人三十年前我們的父輩會想把錢存在哪里？象我們今天一樣存在銀行嗎？今天我們這一代人遇到同樣的問題，我該不該把我們的數據把我們的計算存儲托給云服務商，面臨很大的挑戰。

今天介紹的幾個方面的內容，根據工信部研究院做的一個最新的調查木，對于云的信任問題還是除了很多問題的，包括數據安全與隱私、系統可靠性等等，總結一舉公眾的信任是不可隨便托付的，總結一句話就是信任。

希望打造一個象銀行一樣信任云服務商。我們可以看到銀行的發展和我們的云計算發展是非常類似的，當年富人為了經濟的安全起見，把經濟托給國王，大家可以想像國王也可能耍賴，后來覺得不可靠托給金匠。經過幾百年的發展，建立了完整的管控系統，對比銀行業發展會聚各種各樣小的資金形成大貨幣，今天云計算需要各種各樣的數據，形成大數據。 我們可以理解為大數據似乎就是云計算的利息，可以看到很多云服務商提供很多免費的云服務，獲得利息就是大數據。銀行業會聚大貨幣，云服務匯聚大數據。總結起來就是信任的問題。

為此，隔行都遇到同樣的問題，我們可以看到，這個問題就是雞和蛋的問題。日本建立云服務信息披露認證，希望回答他們的回答，獲得更多的信任。韓國也是類似的想法，具體內容不一樣。要求服務商去披露他的業務質量，數據的安全、基礎設施等問題，回答一系列的問題，使得讓你覺得和想象贏得另外一個人的信任，肯定是必須回答他無數的問題，才覺得靠譜。

大家可以想像即使我云服務商把這些問題告訴你了答案，很多時候你是聽不懂，因為有很多專業問題，所以需要委托專業機構。象歐洲經濟受云計算授權來做這項工作。 除了之外，這是面向公眾的，面向大眾新的認證體系，大家可以想像，政府要采購云服務的話，怎么相信是可靠的呢？為此美國政府采取政府采購中的一種聯邦政府的認證體系，建立管控機制，包括服務商、內容等認證，出具第三方的認證。目前有七家認證通過，還有90家，亞馬遜是最早獲得認證的。英國政府也一樣，要通過政府采購，必須通過我的認證，只是做法不一樣。

看一下我們國內正在做的事情，目前的大家都看到了，主要目標是培育市場，鼓勵創新開始。不希望受到更高的一些限制和門檻，從用戶最關心的問題入手，協助用戶弄清專業性問題，減少不必要的重復性回答，70%是重復回答的，所以為了避免不必要的重復。

主要的認證方面，三個方面，企業資質合法性，要贏得用戶的信任，云服務商本身是合法的運營商。如果犯了記錄，肯定是不行的，包括企業的信息、業務的信息等等基本信息。

第二，云服務承諾的完備性和規范性，向用戶承諾的信息是否是完備的，有沒有缺項的，是否是規范的，按照規范的語言表達的，還是想怎么說就怎么說。 第三，針對你的承諾做出真實性的認證。大概包括這三個方面的內容。 目前是針對云服務，而非服務商。是對所有云服務的通用要求。

大家可以看一下目前最核心的指標是16項，包括數據安全方面，業務質量方面，權益保障方面。 數據存儲的持久性，數據可銷毀性，數據可遷移性，數據保密性，數據知情權，數據可審查性，尤其涉及數據放在那里可以做大數據分析，但是是有條件的，必須向用戶公示做了那些方面的分析。

業務的質量方面的描述，發現很多企業對云服務的功能，比如我能做這個，干那個，我們的認證就發現和他的描述是不一致的。他說的能做的做不到。業務科用性，業務資源調配，故障恢復性，接入網絡性能，服務計量準確性。包括服務的變更、終止條款、服務賠償條款、約束條款、服務商免責條款等等。我們看到了各家云服務商千奇百怪的，各有各的招數。 最新進展，其實針對這個，我們是去年五月份開始相關的標準制訂的，實際上服務商參加這方面的工作，第一論十家企業報名參加了這方面的評估工作。最主要是標準業所做服務的評估，包括阿里云，中國電信的遷移云，包括百度、京東等等。

目前第一輪主要是三類的業務做的評估，云主機，有7+1，云存儲有6家，云數據庫有六家，主要選擇這三類業務做評估。 大概評估的情況是這樣的，去年10月至12月進行了材料審查，看到的材料很多是不完整的，持續了三個月時間，對材料的完備性，對六個指標進行實際測試，出具完整測試報告。去年底組織了相應的專家進行了同行的評議。今年年初組織技術專家組復審，今年1月16日做了初步情況通報。

這里簡單的做一些材料的介紹，比如說企業的一些評估情況，舉幾個例子，IDC牌照是租用的，還是自建的，一定要有牌照。企業規模經營組織結構，還有其他的資質或其他的認證等等，對于業務幾項，業務的名稱，起始時間，以及業務所實現采用的軟硬件的方式，這是向專家公開的，不是向社會公開的。

大概是對280分材料進行了審查，10家企業進行了披露，披露的基本真實可靠。IDC牌照，五家自有IDC牌照，5家租用有牌照的IDC機房。企業法人營業執照是合法的。員工規模，對比企業社保信息，50人—1000人規模不等。資金情況，比對驗資報告，皆屬實。

評估效果，披露企業的各項合法資質，披露業務的運行時間要求六個月以上。 云服務承諾的完備性和規范性，具體指標，數據存儲的持久性，數據可銷毀性，要求統一規整為一塊，向用戶做這方面的承諾。參考框架，舉一個例子，比如可用性的指標，可用性概率數值，以自然月為統計周期，不滿一個月按月季，應按單個用戶的單個業務單元計算，數據不可用時間定義。 最終結果，6家企業沒有SLA，服務協議和SLA的關系不清。補充SLA后，10家企業的服務協議都發生了明顯的變化，都統一了這方面的要求上來。

主要目標，有一個橫向的可比性，以前調研是沒有辦法橫向比較的，對于服務商也是前怕狼后怕虎，擔心競爭對手承諾過過多或過少。現在大家有了統一要求，就承諾，剩下的看著辦。

選一兩個指標，比如可遷移性是大家關心的，承諾額用戶能夠控制數據或主機鏡箱的遷移，保證起用或棄用該云服務時，數據能遷入和遷出。 評估方法，材料審查，云服務商應提供與承諾相符的數據或許你機遷出、遷入的操作說明文檔或手冊，支持的工具，數據格式等材料。

最終結果，云主機，7家都能實現云主機鏡象的遷入遷出。云存儲，6家中5家都能實現頁面、客戶端及API三種方式的數據導入導出，1家必須用第三方軟件。云數據庫，MySQL：5家都能實現頁面，MySQL開源工具機主機訪問，且1家實現了自有數據庫在線導入。Nosqi，提供自有格式工具遷移。 評估中已整改的問題，云主機，1家商業策略不支持遷移，1家操作系統版本問題未能實現遷移，1家遷移后無法登陸，需要做一致性清除，1家密碼檢驗策略不完善及網絡配置有問題。 云數據庫，1家遷入數據庫名稱限制過于嚴格，1家承諾遷移方式和事實不符，增加了遷移工具。 評估效果，促進開放，避免鎖定。

總結遷移的最佳實踐，云主機遷移建議采用OVF容器。 司馬性，也是類似的問題，要求承諾用戶有加密或隔離等手段保證同一性。方法也差不多。最終結果，七家都能實現不同帳號下的云主機內網不可互網，三家可實現統一帳號下不同云主機內網隔離。私密性策略，7家都具有網絡隔離策略，2家還采用了安全組隔離策略，1家可實現自助創建虛擬網絡。 評估中已整改的問題，云主機，2家承諾與事實不符，1家有法律風險不清楚，1家安全組策略不合理，1家密碼是明文。 云存儲，1家法律風險說明不清楚，1家承諾與事實不符。

業務可用性，承諾用戶業務可用性為合同期內每月單個用戶云服務業務科用時間的概率，即每月實際可用時間/每月，其中不可用時間的定義需告知。 評估方法，理論值：提供存儲機制等材料證明服務協議中承諾的概率是如何推算出來的，計算方法應包括電力、機房、網絡、系統、軟件和運維時間等因素。實際值，提供近六個月的運行報告等材料證明云業務。

評估中整改的問題，云主機，4家計算方法不合理，1家實際運行情況支撐材料不足。云存儲，5家計算方法不合理，2家實際運行情況支撐材料不足。云數據庫：三家計算方法不合理。 這是640個統計的指標，整改了107個，占17%。 評估效果，確實達到了規范化的數，存儲的持久性、可用性、帶寬測量方法統一，指標可更比和可信。故障報告、數據銷毀等指標的運營管理更完善。相互交流和取長補短，遷移性，最佳鏡象模板，最佳用戶體驗，1家改變了商業不允許遷移的策略等。網絡接入性能，根據最佳網絡補償策略，2家改變網絡策略等。私密性，根據最佳安全策略，1家整改安全策略等。資源配置能力，服務計量準確性，根據最佳計費顆粒度，2家計劃改變計費策略等。

下一步計劃，評估標準進一步細化，拓展適用范圍。正在進一部細化指標，對更多的云服務評估，云分發等。 持續監測參評云服務的服務，即將推出更詳細的報告，目前國內在云主機方面某個指標方面做得最好的，怎么做的，公司名字當然不能做宣傳，供大家做參考。目前大家最先進和最好的做法是什么，我們很快會向社會進行公布。

后續正在研究政府采購云方面的，并且已經提上議事日程了，根據可信的結果，本質上來說，信息披露，可能會有一些門檻要求，我們會推出，這些事情今年六月份將開一個發布會，關于政府采購云服務的一些合同、流程等具體的要求。

我的介紹就這么多，大家可以把我們的網站記一下，謝謝大家！