吴正宏：云计算安全问题关乎企业自身安全

比特网1月11日消息 今**午，由中国计算机用户协会、中国电子学会节能工作推进委员会指导，比特网、IT**网和互联网协会网络营销工作委员会主办的以“落地之云启航应用”为主题的第二届数据中心经理年会召开，比特网将现场直播。

中石化信息系统管理部副总工程师吴正宏在演讲中表示，云计算是一个快速发展的领域，对于云计算使用者，安全问题是关键。但安全问题，不仅仅是信息问题，也反映了企业对业务安全，甚至对企业本身的安全，甚至更高层面安全的一个担忧。

以下是文字实录：

吴正宏：大家下午好。感谢天极传媒集团比特网给我这么一个机会就云计算的问题和大家进行交流。

大家知道这两年云计算炒的很热，大家议论很多。我们可以看到，云计算是一个快速发展的领域，不管这些数据说的是什么，是不是预测的很准确，我们知道云计算发展很快速。同时对于云计算使用者，对计算有很多想法，就是讲的安全问题。但是我想这个安全问题，恐怕不仅仅是信息问题，恐怕也反映了我们企业对业务安全，甚至对企业本身的安全，甚至更高层面安全的一个担忧。

云计算这样一个事物出来以后，可能大家从不同角度看有不同的理解和认识，对于我们企业IT工作者来讲，可能更关心的并不是说云计算的定义是什么？它是一个革命性的创新还是旧瓶装新酒或者是其他一些不同的说法，这个理念可能在我们的厂商，我们的媒体，甚至我们的学术界，大家都有不同的说法。对于企业来说，对于大型的企业来说，我们更关心云计算对我们企业发展有什么样的影响。

云计算这个东西出来以后，我们怎么看的？由于我们自己本身这种工作经历和知识的这种局限性，更多的可能是从一些大型的计算企业角度来看的，可能这里面有很多片面的或者是不正确的东西。但是云计算它也是一个新事物，大家对它的认识和理解需要有一个过程，这个过程中有一些东西理解不确切，甚至理解错误了，这也是一个正常的现象。

*先看云计算它是怎么出来的。为什么要看它怎么出来的呢？因为我们要用它。它是在什么条件下产生的，它产生大基础是什么，这样便于我们更好的对它进行理解。我们理解它了，了解它了，知道用它的好处是什么，用它的坏处是什么，它给我们带来什么样的机会，又给我们带来什么样的问题和挑战，这样的话，我们就更能准确的把握它。*先云计算，它是技术进步和应用的深化跟需求发展，同时云计算应该说它也是一个创新。它是计算模式的创新，也是架构的创新，我们IT架构的创新，也是我们IT服务模式的创新和商业模式的创新。这里面可能就是说厂商它**的方式和收*的方式跟以前不一样。同时对于我们用户来说，我们付*的方式也不一样了，这是新的东西。正因为它是新的，所以才给我们带来这些变化。如果**不是新的东西，那么就不会有这样的变化了。

但是说这个创新是一个渐进性的，还是一个革命性的，这个不是我们来评价的事情。*先看这些年的经历，我们看云计算它有拥有很多技术，前面有的**讲到并行计算、分布式计算、集群技术，这些技术都是我们这些年用的东西，大家知道虚拟化，出的很早，它是用在大型机上做虚拟化，这么大一个机器，用户拿去用的时候，如果只跑一两个应用，在某一个操作系统下跑应用，这个计算机的利用率就不是很高，所以就做了虚拟化，把它变成几个虚拟机，然后装上不同的系统跑不同的应用，提高了机器的利用效率。这些技术，都是我们用的，当然虚拟化也在发展，然后它发展到一些小型机上。现在我们用的是X86的技术。我们在80年代以前，基本上都用主机终端模式，后来又有了小型机，我们*早用小型机的时候，小型机用的也是主机终端模式。随着技术发展，又出现了网络和个人电脑。这个时候，它也是在原先技术上发展的，除了网络和个人电脑以后，网络就是计算机，但是我们并没有因为有网络出来以后，我们就不用大型机了，我们实际上还是用它，它在网络上变成了服务器，在前端和终端智能化程度更高了，我们不是用傻终端了，我们用的是智能化的个人电脑。

在这些基础上又有发展，就出现了互联网和客户端。实际上互联网也是网络，以前我们的网络是专有的网络，是为一家企业建的，我把我的这些专用网络，可以挂到公共网络上去，取得更多资源和更广泛的联系，取得更有利的工作环境。我们这种进步都是渐进式的进步，一直到现在，IBM大型机还在用，但是它发挥的作用比原来主机终端方式要大的多了。

然后看这些服务模式和架构，这些年也在不断变化，前些年*早的时候一些厂商提出来在互联网上提供大量的服务，然后这些服务封装起来，可以在网上直接用。在我们企业内网上也在用这些技术，包括像网格技术、SOA等等。基础设施就是服务，它就是以网格为基础，我们也做这些方面的应用，而且也取得了很好的效果。

国外大型的石化企业，在90年代末期建成了大的板块的ERP系统，我们知道很多这种IT企业，像IBM，他们在这些年也在做大的系统的整合，也包括基础设施的整合和应用系统的整合。这个都为我们云计算发展奠定了基础。云计算并不是忽然从天上掉下一块云，没有前因，不是这样的。至于是不是叫云？我觉得也可能在不同的条件下会产生不同的名称，在不同的环境下也有不同的内涵，但是它是一个发展的必然过程和必然趋势。

另外像云计算推出来以后，一个重要的想法，就是把我的IT服务社会化，给我们企业IT部门带来什么？让我们更多的不是关注这些系统怎么去建设， 也不是说更多关注怎么样去运行它、维护它，而是更多关注我怎么样把信息技术和企业本身的业务更紧密的结合起来，让它法更好的作用，为企业带来更多的利益， 去提高企业的竞争力，提高企业的能力。

我们知道云计算要用的话，会有什么样的问题？*先，云计算它需要有一个很有力的、复杂的庞大的支撑体系。比如说建ERP，建企业级的ERP系统，起码web服务器、数据服务器， 起码要六台机器，但是这六提机器不够的。另外，为了让我的业务人员用好这套系统，因为业务人员是不断更新的，用户在不断变化，软件本身也在不断变化，我还 需要一套培训系统，这样的话，就需要三套系统。如果我是一个云的话，如果它支撑的不是一个企业，支撑的不是一个应用的话，它的复杂程度就可想而知了，没有 这样一个复杂体系支撑它，我很难放心把这个体系交给他。还有一个社会环境的问题，还有商务环境的问题。

当企业用云计算的时候，它需要一定的内外部的基础条件的，并不是说我这个看好就拿出来用。我自己的条件具备不具备，我的外部条件具备不具备，才 能决定我用不用它。所以企业在这个方面，需要做很多工作，特别是自己队伍的管理，还有经验的准备，还有就是我们对这些新的事物的理解和认识。但是这个可能 会形成一个悖论，你不用它你怎么了解它？你不了解它你就不敢用它。那不就死在这儿了嘛。其实我们在这个方面，按照以前的经验，我们用一些比较小的项目采取 这些项目，这个项目这么小，这么简单，犯不着用这么一个复杂的***，但是我们用的目的，是希望通过这样做能够积累经验，能够培养我们的队伍，锻炼我们的 队伍，能够为后面大规模应用打下一个比较好的基础。

我们看公有云，我们用的时候，*先用的时候，看公共的IT基础设施是不是有保障。这个互联网能不能保证我的可用性？我是不是随时都能够用它？还 有就是看商务环境，前面有**讲到银行，*先看多少*，如果几十块*零*，我觉得放兜里比较方便，当然*要多了，我觉得还是放银行比较放心。另外看银行是 不是可靠的银行，这个银行后面有没有一个强有力的监管体系，一个健全的法规制度来约束它，如果有的话，我就放心的存进去，如果没有的话，我就不敢放。

所以我们要用这个公有云的话，对于企业来说，我们要看商务环境是不是有保障。我们的法律法规是不是健全的，有没有有效监管，包括这些提供云服务 的企业，它的准入，它的运营，甚至它的退出，有没有相关的约束，不能说我把这个东西放在一个服务提供商那里，第二早上这个厂商没有了，我找谁去？他想退出 就退出，这是不行的。

我们用公有云，我们IT业务部门的工作重心就转移了，变成要求不是对项目建设，而是对项目运维做工作，关键是怎么把业务要求转化成IT要求。这 个以前对于我们来说可能不是*重要的。对于私有云的应用同样也有很多问题，*先用私有云，这个集团必须有很好的管理基础，如果这个企业本身管理就很松散， 你想集中起来做不可能。比如说做资金集中，现在石化做资金集中系统，国资委对我们评价很高，把整个石化集团的*集中起来管，进都进在一个帐户，但是为什么 10年前做不到？因为10年前我们的管理基础不够，没有这样好的管理基础，所以我们做不到。我们把大量的IT集中起来管理，也要看你的企业有没有这样好的 管理能力和基础。私有云，它是把你的IT技术和IT服务整合起来，你以前有没有这个经验，这是对我们的考验。还有就是服务基础设施，我的运维和管理能力怎 么样。不光是技术和产品的支持，更需要咨询和实施方面的支持。

我们看云计算在企业应用前景怎么样。从长远看，集团企业IT服务的社会化和专业化，应该是一个必然的趋势。为什么？因为咱们看看IT在集团企业 里面做的，以前我们说IT，*早的时候，像80年代做的很多系统，那是锦上添花的，做出来以后，双轨运行，现在不是这样的，现在没有IT就转不了。我们以 前有一些业务，像生产调度，我们有一个企业生产调度做的很好，*后一个招就是，如果这些系统出问题的话，调度人员就用手工来干，后来真出了点问题，要停几 个小时，就让业务人员用手工做，业务人员说我已经不会用手工做了。现在已经变成是不可或缺的问题了。我们现在IT业务，承载的是什么？是企业的关键业务， 像ERP也好，它都在生产层面，在生产指挥层面，都起了很关键的作用，这些东西不能停，也不能没有，也不能出问题。我们IT部门和业务部门之间的关系也在 发生变化，业务部门说以前有业务，但是运行效率低，后来说开展新业务，就问IT部门，能不能支持我开展新业务。现在企业里对IT部门提要求，你要告诉我在 IT环境下，我的管理应该怎么做。

还有就是IT部门经过这么多年建设，我们积累了大量的资产，形成了一个非常复杂的体系。有人问我，说石油石化行业信息化都做什么？很复杂这个体 系。这样一个复杂的体系，面临的是一个对它的需求在不断变化的环境，我们管理在变化，我们技术在发展，对于这样一个变化的环境，靠原来的体系架构来支撑 它，大家已经看到力不从心了。但是能不能把一下移到一个新的体系架构下？这个很难。我们有很多积累，软件的积累，硬件的积累，队伍的积累。我们觉得云计算 和传统的IT服务的基础设施架构，会长期共存的，在很长时间是共存的，不是替代的关系，是共存的关系，但是总的趋势来讲，这种社会化的IT服务占的比重会 越来越多，所以我觉得云计算的前景是光明的。谢谢大家。