专访中国信息安全测评中心李斌
被访问人:中国信息安全测评中心主任助理李斌
记者:李主任,我们今天也听到很多关于数据分析方面的讲解,发现这两年大家对在贝和数据中心的认识度比较高。所以我想问问今天咱们有关于评测或者审核以及标准方面的东西,您从现在咱们国家整体看,出台这些标准对整个产业来说有什么作用?因为一旦它发展到一定规模的时候,特别是企业自己也在建,第三方也在建的时候,互相之间要整体协调的话,特别是上个月提到选址这些问题的时候,咱们在做评测或者标准方面的东西,作用在哪?
李斌:非常大的一个问题,也是非常好的一个问题,作为现在我们国家在用户接受外包的在贝是有一个过程的,最开始的时候很多用户偏向于自建,自建有自建的好处,反正自己的东西,觉得心里看到了踏实,但是它的问题和不足的地方也很多,一个是建一个在贝中心相当于代价是很高的,这方面一个是本身要建在贝中心所花的资金的人力甚至包括运营的成本。第二是从国家的角度来说,我们也撑不起这么多自建中心的代价,举一个例子,拿耗电来说,用电方面,美国能源局有一个数据,他们2006年统计的数据中心和在贝中心所用的电量占全国电量的1.5%,超过了家庭用电,而且它的增长速度还非常快,当时在07年预计的时候大概在五年后的11年底可能会翻一番,但实际上用的耗电量比他们预计的增长还要快,因为在贝在各行业各用户的信息化的需求越来越大。今年7月份英国有一家公司专门搞了在贝数据统计,调查以后得出这样一个结论,全球的数据中心和在贝中心现在目前的预估的耗电量达到3.1GW,这里面就相当于数据中心增长速度方面,中国在全世界增长速度是最快的,第二是巴西,也是新兴国家,这里面我们的耗电就成为了问题,这只是一个问题,还没说其他的代价。我们国家今年又出现了电荒,在可以预见的短时期内,电力包括水资源的消耗都是偏谨慎用常态,几年之内不可能完全解决的问题,所以光从能源节约和环境保护、占地借用方面,能够适度地共享,不能说全部地共享,也要看情况,适度地共建共享的模式也是我们提倡的一种模式,因为毕竟有限资源也要尽量节约。
从这个角度来看,目前对用户来说,如果他想委托专业的在贝公司提供服务的话,他需要有信心,也就是说这个企业提供的服务到底是不是能满足他的要求,好还是不好,他提供的服务是不是规范的,作为用户应该有一个第三方的测评结果或者评估结果,这是从用户角度。从国家角度来说,在贝这种事情关系到我们现在最后一道防线,它的所有的数据包括用户的业务敏感数据和业务的关键数据都存在在贝中心和数据中心里面,特别是一些重要的数据,在贝质量怎么样,服务怎么样关系到我们大量的数据最后的安全程度怎么样,作为国家来说也应该有一个方法、标准和客观的评估结果,这是国家角度需要有专门的机构做这个事情。从厂家而言,他做得好不好,特别是在同业这一块做的是属于什么水平,也需要有一个标准,按照一种方法评估一个结果,好做比较,同时在评估过程当中找出他的不足,来改进他的质量或者说服务,这也是它所关心的事情。所以从这三方面来讲也是比较客观的标准,操作性比较强的方法,还有一个专门的机构,大家都觉得中间没有什么利益,在一个客观公正的机构做这个事情,这也是我们服务资质评估产生的原因。
测评中心是专门从事生产权测评领域的,包括我们的新兴的产品测评,包括这种信息系统的评估,包括服务厂商的服务能力的评价,就像我们的服务资质,包括人员的认证这几项主要任务,主要是围绕测评方向做的。关于服务资质,我们从02年开始做,到现在已经是第十年了,这方面我们主要还是聚焦于新产品的服务,目前已经评估了全国大概300家新兴从事服务的企业,在贝是我们专门的一个领域,叫做新兴企业在贝服务。
记者:我看到您刚才提到的资质这几年也在不断发展,前几年比如说达到一个标准发了几家,今年达到另外一个标准又发了几家。这个资质是不是也在不断地发展之中?
李斌:对。
记者:跟企业自身做到什么程度有关系的吗?
李斌:对,我们拿在贝举例子,它服务是分能力等级的,我们一个是根据我们国家整体状况,现在我们不同的阶段,随着企业能力的提升,随着它服务的范围的扩展,随着它更多用户更长时间的质量和结果,出来以后我们还是定了相应的级别。原来我们只是做一级在贝的,一级在贝只为用户提供必要的在贝服务,今年我们提出了二级,它跟一级有什么区别呢?一个是从能力方面,包括它的规模、技术实力、管理的规范性;还有它为用户提供战略服务的水平;还有最后一点是它的队伍的专业能力的五个角度来评估的。今年我们刚刚评估了三家企业,二级的,这是目前我们国家最高级别的,第一家是万国数据,他们是第一家通过我们通信测评的,第二家是中兴数据,第三个是中国电信,目前通过二级的只有这三家。
记者:未来可能还会有三级、四级?
李斌:对。
记者:那个现在还没有确定吗?
李斌:几级是定好了,但是在贝是一个新兴的行业,在贝的服务本身在我们国内也没有多少年,所以每次要再往上评的话,要经过时间的考验,要有规模,还要有足够的服务案例,我们来评估它的服务结果,所以目前来说最高级是二级,但是最终我们按照能力承受度来说最高是五级。
记者:将来的评价标准也可能会进一步完善是吗?
李斌:对,这一方面是根据技术方面,一方面是根据我们在贝服务的内容,在贝原来网上数据,做到现在涉及到业务的连续性,这个要求比以前增加了,所以要根据业务的发展来完善我们的评估方法。一是不能拔苗助长。第二要及时根据企业的能力和发展及时地评级,所以为什么原来只有一级,因为四五年以前这些在贝都是处在用户正在对服务的需求刚刚兴起,然后我们在贝企业可以提供服务,这时候是一级,但是经过这几年,其中能力比较强、各方面比较突出的企业已经具备了二级,我们开始颁布了二级。
记者:目前的资质认证有国外的企业吗?
李斌:有申请的,但是目前从我们国情出发,更多还是做国内的,在其他服务资质里边有外国企业,比如说工程的,在做集成服务的有,例如IBM还有一些其他的企业。
记者:在贝方面国内企业基本上是占用得比较高?
李斌:在贝一个是从我们国内的用户来说,有些数据比较复杂的话,可能更倾向于选择国内的企业,这是从用户的角度来说,从我们角度来说,能力或者建在贝中心,目前国内企业做了的话,下的决心大,国外企业把它当做一个市场,但是不一定花很大力气把在贝中心以及技术全部放到国内,这一皮来说并不多,在贝基本上是国外的。其他服务有国外的。但是我们国内外的企业从能力评价的方法和水平上讲是一视同仁的。
记者:好像用户对资质方面的了解,今天还有人问对业务连续性不太明白。
李斌:业务连续性属于从业务的角度来看在贝的作用,也就是说它考虑的是任何一个安全事件对它的业务的影响,比如说有一个停电事件,如果时间长的话,很可能自己业务停顿,但是也可能是一个误操作,会造成某一台机器受影响,但是对整个关键业务影响不大。所以从不同的安全事件对于整个业务的大小要BIA,(英)这种业务能力,它就根据对业务影响最关键,成果最严重的事件采取不同的措施来保证发生这些事件的话也不至于把业务全国停用下来。比如说数据丢失的话,很可能是灾难性监管,肆意在贝保存数据,很可能是我业
责任编辑:黎阳锦
-
发电电力辅助服务营销决策模型
2019-06-24电力辅助服务营销 -
绕过安卓SSL验证证书的四种方式
-
网络何以可能
2017-02-24网络