你好,游客 登录
背景:
阅读新闻

徐守峰:大数据时代的云安全和安全云

[日期:2017-07-26] 来源:  作者: [字体: ]

 

  开幕式上各位领导、各位专家鼓励云服务的发展,大声喝彩。我演讲的内容会涉及一些管理要求、念“紧箍咒”的地方,我首先声明一下,即便在个别细节上念了“紧箍咒”,也是为了行业长期持续前发展夯实基础。

  今天按照大会的安排,我受局领导的委托,从政府的视角、政策层面,跟大家做一个简单的政策交流。希望通过交流能从政策层面、政府视角回答三个问题,第一,什么是云服务,第二,云服务的经营资质到底有哪些方面的要求,第三,在云服务领域政府对其事中事后监管的要求是什么。

  首先进入第一个话题,我们想从两方面来看大家所从事的云服务,从行业中来说,我认为云服务更多是一个行业的概念,网络上对云服务的定义,云计算是一种商业计算模型,它的计算任务分布在网络上的大量计算机构建的资源池上,使各种应用系统能够根据需要授权获得计算力、存储空间和信息服务。大家更多了解的是IaaS、PaaS和SaaS,IaaS更多是基于一种基础设施的,PaaS是平台类业务,SaaS主要提供各种各样的在线软件服务。这是从业内普通的视角。而从政策的视角来看,在2015年年底,工业和信息化部出台新版的《电信业务分类目录》,其中定义了B11之互联网数据中心业务,互联网数据中心业务是指利用相应的机房设施,以外包出租的方式为用户的服务器等互联网或其他网络相关设备提供放置、代理维护、系统配置及管理服务,以及提供数据库系统或服务器等设备的出租及存储空间的出租、通信线路和出口带宽的代理租用和其他应用服务。互联网数据中心业务经营者应提供机房和相应的配套措施,并提供安全保障措施。其实这之前的总体定义跟2003版的分类目录描述差距不大,然而在2015版的新版本《电信业务分类目录》里增加了一个互联网资源协作服务业务的描述,互联网资源协作服务业务属于互联网数据中心业务的一种具体业务形态,资源协作服务业务是指利用假设在数据中心之上的设备和资源,通过互联网或其他网络以随时获取、按需使用、随时扩展、协作共享等方式,为用户提供数据存储、互联网应用开发环境、互联网应用部署和运行管理等服务。根据此定义,互联网资源协作服务业务实质上是要拿互联网数据中心的牌照。

  这两种理解如何对应,通常而言,我们认为IaaS服务更多描述的是与网元设施有关的IDC业务,因此都属于传统的IDC业务的范畴,也就是IaaS基本上更多是拿传统的IDC业务许可,也就是说如果只做IaaS不做PaaS的企业,拿的业务经营许可里面,会有IDC(不含资源协作服务业务)的许可。第二类服务类型,PaaS服务更多的是平台型,这种平台型的服务要求拿到的IDC业务中的资源协作服务业务的形态,如果要做PaaS这种业务的话,需要拿到含有互联网资源协作服务业务的IDC业务经营许可。而对于SaaS服务而言,业界统称的SaaS业态目前尚无权威的定义,因此对SaaS这种业务是否属于《电信业务分类目录》中描述的电信业务,或者是属于其他类型,要按照具体业务形态来看,如果有一些业务形态用的纯粹是软件服务,不属于电信业务经营许可和管理的范畴,只需要按照相应的软件的业务的经营相关管理要求办理即可。但如果其中有一些SaaS的业务形态,可能还属于《电信业务分类目录》中其他的增值电信业务,因此需按照其他的业务形态管理的要求进行许可准入,以及事中事后管理。

  第二是云服务准入政策,也就是资质要求。按照《中华人民共和国电信条例》的规定,国家对电信业务经营者按照电信业务分类,实行许可制度;未取得电信业务经营许可证,任何组织或者个人不得从事电信业务经营活动。在我国从事相关的电信业务,包括增值类的电信业务,均需要有特许经营权,要获得相应的特许经营权。按照最新修订发布的《电信业务经营许可管理办法》,此前是5号令,现在是工业和信息化部第42号令的相关规定,经营电信业务应该依法取得电信管理机构颁发的经营许可证,到目前为止,我国的电信管理体制来说,主要是部省两级电信管理机构,因此这个审批机关审批机构是由部省两级电信管理机构实施的。

  云服务企业的经营者需要获得增值电信业务经营许可证,经营形态应该是IDC业务形态。因此我们从管理上要求从IaaS和PaaS这种业务形态在进行许可,后续管理要求也是针对IaaS和PaaS这两种业务形态推出的。这两种业务如果要申请增值电信业务许可证,所谓的跨地区就是两个以上的自治区、直辖市增值电信业务的需要到工业和信息化部审批。如果只在当地,也就是说一个省内从事相应业务的,可以由当地的通信管理局直接进行审批。通常而言,好像在座的绝大多数云服务类的企业更多的是跨区的多,这项业务的许可有个特点,目前的统计数据而言,部发证量应该是大于各省的发证量。

  从许可的具体要求来讲,按照2012年《关于进一步规范因特网数据中心业务和因特网接入服务业务市场准入工作的通告》里,明确了几项要求,一个是市场准入的流程,并且细化了《电信业务经营许可管理办法》,也就是原5号令现42号令中间说的,有关资金、人员、场地、设施及技术方案的要求。从《电信业务经营许可管理办法》要求从事电信业务经营许可的经营者需要有相应的资金、人员、场地、设施和技术方案,因此在2012年的通告里,要求如何来对IDC、ISP业务关于资金、人员、场地的要求,因此增加了四项技术评测的要求。这四项评测包括四个方面,一是机房运行安全测评,另外是三个接入管理的系统测评,包括接入资源系统测评、网站备案系统测评和信息安全管理系统的测评,这四项测评的要求实质上是在当初IDC经历过一段粗放发展的时期,因此也带来了一些网络和信息安全问题。在中间有一段时间,根据国家相关部门共同达成一致的管理要求,IDC、ISP的经营许可中间暂停过几年,暂停过后,按照相应的市场发展情况和管理的情况来看,IDC、ISP的许可又放开了,但是放开的同时仍然是审慎准入的态度,这四个方面的评测有更重要的目的,一方面为企业运营能力的进行评估考虑,更多的是作为国家信息安全和国家产业管理的需求的出发。比如说机房运行安全测评,更多的是从安全生产的角度来出发的,接入资源网站备案系统和信息安全管理系统更多的是关注技术管控能力,是从国家有关部门对这一项业务技术管控能力和相应的业务经营者的经营义务的角度来考虑的。目前这四项测评面临的外部的政策环境实质上有所变化,当初把这四项测评推出有审慎准入的原则,而当前整个政策环境是趋向于简政放权,包括云计算领域、信息通信领域,也是要促进大众创业、万众创新,因此我们正在评估和做相关方案,这四项测评是否可以简化,各测评项目是否可以删减。如果要经营云服务,从整个申请资质的流程,简单来说就是两块,一是评测,在网上在线提交经营许可的申请,申请之前会有线上相关的执行部门给到相应的第三方评测机构进行四项能力的评测。如果评测通过,按照正常的电信业务经营许可资质的申请流程,直接申请电信业务经营许可。跟大家通报一下,现在从市场准入来说,是否有经营主体的限制,对IDC包括云在内的IDC、ISP以及CDN这几项业务,目前是只要符合要求的都是许可的,没有市场容量的限制。

  回答几个各企业、各通信管理局咨询比较多的问题,第一个是关于云企业是否要持证经营,关于公共云和私有云,哪一些企业可以不持证的咨询。正常来讲,公有云是对公众提供服务的云,它一定是具有经营性的性质和属性,因此通常公有云的经营者一定要持证。私有云要分两种情况看,有一种情况即便是利用了《电信业务分类目录》中相应的技术提供服务,有一种情况叫“使用通信技术”,自建自用的,是利用这个信息通信技术来提供相应的服务,而不是经营。这里面有两个概念,一个是公有和私有,第二个是经营和自用的概念,有几个维度,最后总结为,如果企业自建自用的IaaS,我们的理解是,它是利用了云技术,它是云技术和云服务的使用者,因此这种私有云不需要拿证。而另外一种,某一家企业为多个第三方提供私有云服务,这家企业实质上在经营云服务,因此它需要持证经营。

  回答两个关于政策的遗留问题,今年年初工信部发布了《关于清理规范互联网网络接入服务市场的通知》,其中涉及三个方面的重点要求,第一是资质管理,打击各类非法和无证经营、超范围经营。第二是资源管理,打击资源来源不合法、资源去向不合法、资源使用不合法。第三是加强基础管理,所谓的基础管理就是四项评测有没有按照要求完成。要解决两个政策遗留问题,解决新旧《电信业务分类目录》的遗留问题,旧的目录里有IDC这项业务,新的目录在2016年3月正式实施,对CDN这种业务形态作为一项独立的B12的业务进行许可,而云服务作为IDC新的服务形态进行许可。要求的是在2016年3月1号新目录实施之前,持有原IDC许可证的企业,而事实上已经从事了云服务或CDN服务的,要求书面承诺的形式承诺在年底之前达到相应的经营许可要求,并获得相应的经营许可证。如果未按期承诺的,从2017年4月1号起,不得经营相应的业务。如果已承诺,按照承诺期限,年底之前未持证的企业,2018年1月1日起,不得经营相应的业务。从我们掌握的数据情况看,目前整个全国的IDC企业有1272家,获得了云许可资质的目前有12家,已经有267家相应的企业承诺年底前要持证,在此我提醒在座的云服务企业,如果已承诺年底前持证,请抓紧时间。第二个是政策遗留问题,在2012年之前获得了IDC、ISP许可证的企业,也就是说当时四项测评的管理要求没有推出之前获得了IDC、ISP经营的企业,当时这批企业是没有经过评测的,也没有接入相应的管理系统,我们为了解决这个政策遗留问题,也要求相应的企业在今年3月31号之前,向发证机关书面承诺年底前达到相应的要求,通过评测并完成系统对接工作。如果没有完成的,我们也会督促通信管理局切实督促相应的企业停止经营相应的业务。从我们掌握的情况看,2012年12月1日前获得IDC、ISP许可证的企业1359家,未完成技术评测及系统对接工作的企业382家,382家里面已经提交承诺的企业有180家,最后还有接近200家左右的企业既没完成评测也没有提交承诺,我们已经梳理相应的清单发到各省通信管理局,由各省通信管理局督促相应的企业整改,未按要求进行整改的将组织有关的基础企业停止继续经营资源的接入。

  大家通常会问外资企业可否在境内经营云服务业务?有个标准的口径,依据《电信业务分类目录》2015版,互联网资源协作服务业务属互联网数据中心业务的一种具体业务形态,按照我国法律法规规定,加入WTO的相关承诺和CEPA协议等政策规定,港澳地区的电信业务经营者可依据相关的规定和程序,在境内设立合资企业,申请经营IDC业务的电信业务经营许可证。同时我们欢迎外资企业在遵守我国法律法规的前提下,与国内持证企业开展技术合作,为中国企业和用户带来更好的云服务技术和产品,共同繁荣我国云服务市场。这里面只提到了港澳地区电信业务经营者可设立合资企业申请电信业务经营许可,目前IDC业务,按照WTO承诺,不属于WTO承诺简章表中的业务类型,因此IDC业务原则上是未对外资开放的,因此云服务业务原则上是未对外资开放的。CEPA协议中港澳的企业可以在境内设立合资公司,不超过50%港澳的股份。我们欢迎各外资的云服务巨头与国内的持证企业在遵守我国法律法规的前提下开展以技术合作的方式参与我国的云服务市场。

  第三方面跟大家交流一下云服务事中事后的监管要求。按照2015年国发5号文,促进云计算创新发展,培育信息产业新业态的国务院的意见,为了落实好此意见,工信部正在研究相关文件《关于规范云服务市场,促进产业健康发展的通知》,结合这个通知以及刚才已经提到的32号文的要求,除了资质管理之外,主要包括五个方面,企业合作、资源使用、服务规范、安全保障、企业责任。在企业合作方面,云服务经营者与有关单位开展合作不得存在以下行为。实质上就是杜绝无证经营,反对许可资质转让出结,或者各类变相转让出借行为。我们在查处的过程中一个评判标准包括但不限于以下这些,谁签协议,谁开发票,用谁的品牌,资产是谁所有,以及数据平台掌握在谁手等。在资源使用方面,要做到资源来源合法、资源去向合法、资源使用合法。这种资源更多的是指线路管道带宽资源,资源来源合法更多的是说目前能够提供带宽的管道的线路的企业,就是基础电信运营企业。我们现在这项工作推进掌握了一些信息,也逐渐到了收网阶段,也有一些云服务企业自建设施的,有下水道黑带宽的,另外有一些把自己从运营商租来的带宽搞转租的。如果在座的有少数企业存在此情况,希望大家自觉规范。第三,服务规范,我们要求云服务企业建立健全服务质量保障体系,规范业务宣传和经营服务行为,严格履行服务协议和公开承诺,确保云服务质量。应建立用户投诉处理机制,妥善处理用户投诉,维护用户合法权益。实质上这也是迎合了这次云服务大会的一个主题,要求用户满意。第三方面,安全保障的责任,包括有安全生产的责任,有网络和信息安全保障的责任,有数据和个人信息保护的责任。还有其他的企业的管理责任,也就是说云服务企业不止要做到自己守法合规经营,同时还要求在自己接入的网站和客户,配合做到网站的备案,如果下游有些企业未按照他的经营范围涉及到非法经营的,云服务企业不应该再为他们提供相应的资源和云服务设施。违规处罚,有一些处罚的要求,还是比较严厉,电信条例里69条规定,如果擅自经营电信业务或者超范围经营电信业务的,处罚要求是没收违法所得,并处违法所得3倍以上5倍以下的罚款。在2015年时,某一家企业是被罚了1000多万的。还有其他相应的最低处罚的要求。

  最后给大家简单提一点建议和希望,也是我们正在研究规范性文件里的一个组成部分,我们希望第三方组织积极组织开展云服务经营者服务能力、服务质量、可信度、网络与信息安全等评测认证工作,定期向社会公布相关的结果,引导云服务经营者加强内部管理,提升服务质量和诚信水平。实质上我们是按照政府监管、行业自律、社会监督这种思路在推进相应的工作,这也是我们鼓励和引入第三方社会组织更多的开展一些活动,来引导整个行业自律和规范。希望下一步可可信云测评的情况和结果与许可资质挂钩,与未来的企业政府官方的信用评价挂钩,并且我们正在推相应的测评评测的结果纳入国家信用管理体系。

  对云服务经营者,原则上按惯例提示四点建议和希望。一是诚实守信,合法经营。这里面包括按照持证许可的资质开展经营活动,对用户言必行,行必果。第二,希望云服务企业不断创新,优化服务,真正做到用户满意。第三是希望云服务企业之间能够更多的互利互惠,合作共赢,少一些竞争摩擦,少一些饮鸩止渴,多一些合作共赢发展,共同维护良好的产业生态。最后也希望云服务企业能更多的承担与自己的企业规模实力相匹配的社会责任。

 

  祝愿我国云服务产业能够蓬勃健康发展,也祝愿各云服务企业相应的事业兴旺发达,谢谢大家!

推荐 打印 | 录入: | 阅读:
相关新闻      
本文评论   
评论声明
  • 尊重网上道德,遵守中华人民共和国的各项有关法律法规
  • 承担一切因您的行为而直接或间接导致的民事或刑事法律责任
  • 本站管理人员有权保留或删除其管辖留言中的任意内容
  • 本站有权在网站内转载或引用您的评论
  • 参与本评论即表明您已经阅读并接受上述条款