|
|
新浪财经 > 会议讲座 > 第五届中国-东盟博览会 > 正文
叶益东:业务永远在线
第五届中国—东盟博览会于2008年10月22日—25日在中国广西南宁举行。新浪财经作为独家门户网络合作伙伴,全程报道本次盛会。中国—东盟信息通信工商论坛于23日召开,图为上海贝尔海外方案部高级经理叶益东在中国—东盟信息通信工商论坛上的讲话。
叶益东:尊敬的各位嘉宾:下午好,我是来自上海贝尔的叶益东,很高兴在这里和大家探讨安全网络的问题,我下面简短地用英文介绍一下。各位嘉宾下午好!我是来自上海贝尔的公司,上海贝尔是亚太地区非常重要的业务提供商,我今天的演讲主题是:业务永远在线。大家都知道网络的作用对于很多国家来说不仅是一个技术问题,也是一个社会问题,尤其是国际合作的一个重要领域。今天我要给大家讲讲美国和欧盟在这方面的经验,希望对于中国的网络运营商和政府机关、监管机关都有一些启迪。
首先我和各位讨论一下怎么样使业务永远在线,这也是我的演讲题目。实际上业务永远在线,百分之百地线实际上是不可能的,那么我们怎么样避免这个网络出现问题,尽量避免它出现问题,而最大限度地减少对企业和社会造成的伤害。我主要想介绍一下美国和欧盟的一些成功做法和经验,如果这些经验能够帮助到我们中国和东盟这么大的一个地理区域,通信基础网络的可靠安全,我也将感到非常荣幸。实际上这个经验也非常凑巧,一个是美国,一个是欧盟,正好和我们有点象,我们这边一个是中国,一个东盟,有点对比性。
首先看一下通信网络尤其是一个国家或者国际地理区域网络的安全可靠性,实际上并不是一个完全的技术问题,它更高层面上是一个社会管理流程问题,或者说是如何建立一个有效的合作机制的问题。所以说我下面要进行的也不是技术讲座,希望大家能够听懂,有问题可以随时向我提出来,谢谢!
对通信运营商来讲,自己的产品在竞争日趋激烈的情况下,网络是否安全可靠直接关系到企业的产品竞争力,这就决定了企业的市场地位和竞争力,只有你的网络安全可靠,才能保障你的客户的业务永远在线,才能保证你自己的企业持续长远发展,这是对通信运营商来讲的。对于网络最终用户来讲,它可能是一个企业,可能是社会企业,或者说是其它的社会部门,他们的业务或者说他们向自己的用户所提供的服务,像物流、交通、电力、医疗、公安等服务部门,甚至普通民众的日常生活,这些和网络的安全可靠信息相关。大家设想一下,如果交通、电力等社会要害部门的通信网络发生中断,这个结果将不堪设想。特别是进入现代社会,和50年或者100年前相比,人类社会的发展愈发离不开网络,通信网络如同一个人的中枢神经系统,必须保证安全可靠,只有这样才能保证客户的业务永远在线,服务和日常生活永远联系在一起,这样才能保证整个社会的持续健康发展。
下面我从公司、国家和区域的这三个层面看一下怎么样保证业务永远在线。首先我们来看一下当前这个世界,地球变得越来越小,为什么变得越来越小?而且我们的生活也越来越便利,正是因为各种网络发达的结果,比如我们的通讯网络、交通网络、物流网络,甚至供应链的快速发展,都是功不可没。但是灾害和突发事件也随着网络传播得更快,影响面更大,大家觉得现在在世界其它地方发生一个事情,对我们产生非常大的影响。如果要是发生了一些突发事件,我们对网络在三年前做了一个统计,一个突发事件的发生,特别是对于一个企业来讲,80%的企业会在5年内基本上退出这个市场。其中这里面有一半在两年内会退出市场,为什么这么快?因为这一半的企业没有预防措施,这是对安全可靠性的要求。对于网络的袭击来讲,20%的袭击是有益的,并不是无益的,有将近四分之一的打击是有益的,在遭受到袭击以后,其中一半企业的网络要中断,这也是比较大的事故。对于通讯行业来讲,做了一个统计分析,如果说通信行业的网络中断或者断网一小时,损失是200万美元,相对其它行业来讲,其它行业中止服务的话,平均损失一小时是100万美元,这个损失也相当大,所以有时候一个公共网络发生问题,好比说中断服务,中断服务直接造成了你生意上的损失。这就是各个比例,80%是在5年内遭受灾害后退出,50%的企业在2年内退出,还有四分之一的袭击是有益的,遭受袭击以后有一半的企业要中断网络服务。
下面我们从一个公司层面来看怎么样使通信企业保证它的网络安全可靠。通信企业现在面临的一个比较大的问题是,目前通信行业的技术发展非常快速,网络也日趋开放,大家都讲OPEN,整个行业也在不断地变化,我们通信行业的日子也变得没有以前舒服了。以前一个供应商或者一个运营商,这时候可能网络相对可靠一点,现在是多运营商、多网络,在这种情况下更加剧了网络的脆弱性,这是从国家角度来看的,而不是从某一个运营说的角度来看的。对于运营商来讲也一样,在这种情况下不少的企业和管理在网络安全方面层都是普遍缺乏风险意识。
最终用户对网络的需求,他们希望能够随时随地做他们的业务,使他们的业务不停地运转,第二个要求是保证他的信息的私密性,第三个是需要得到一个便宜的服务,或者说一个合理价格的服务,这实际上是对我们通信企业的价格压力,第四个要求是如果有新的特性,希望能够加到他订购的业务中去。这4个要求对我们的通信企业会产生什么影响?会要求我们不断地提高我们的可靠性,降低我们的支出,我们企业的网络要不断面临未来,不断满足客户提出的新需求。
怎么样来保证网络的安全可靠?上海贝尔阿尔卡特朗讯在这方面做了一些工作,现在整个业界都在提出为运营商提供安全可靠的方案,而不仅仅是提供某一个设备,更加关注企业运转的流程,怎么样关注风险,怎么样防治风险,从能够提供顾问、提供咨询到提供设计,最终能够进行集成、进行部署,最后售后的维护,比如安全的咨询,比如使你的业务永远持续,还有一个是万一发生灾难,怎么样进行恢复。这里的工作包括了风险分析,同时还要进行安全战略规划,包括你的策略和要尊崇的标准,安全和可靠性方面,国际上有很多的组织都定义了一些操作规范。在这种情况下,我们还可以做整个安全架构的搭建,从企业的角度来讲,还有对整个危机和威胁的管理。
有一些公司已经开始提供这种咨询以及整套流程,对于一个国家来讲,怎么样保证整个通信行业,或者说如果有什么问题的话,区域的网络部发生故障和不发生问题,在这个领域,美国在这方面走得比较靠前,我们以美国作为一个案例分析,美国从政府到企业,整个行业成立了很多的协会,就像我们国内一样,有各种各样的协会,比如恩瑞克,网络可靠和操作性委员会,还有一个NISC,也是一个网络可靠性管理委员会,另外总统办公室也有一个安全顾问委员会,ISAC是一个比较有意思的部门,它的工作是在国内安全遇到紧急事情的时候,它能够使国内的各种通信资源进行共享,这是它的工作,这个工作在美国“911”事件当中发挥了重大的作用,当时美国“911”时期有两个大的运营商,这两个运营商在纽约的网络呼叫中心瘫痪掉了,当时发生这么大的事情,肯定很多人使用这个网络,如果打不通这个电话的话,会发生意想不到的一些事情。实际上还有很多电话打通了,因为它和贝尔公司签订了协议,在他们自己的网络发生故障的时候,可以把他们自己的呼叫中心马上切换到对方的网络上去,这是一个比较好的做法,我们国内或者东盟还没有这种机制,现在是多个运营商时出现在一个国家,多数运行商能把他的用户马上切换到另外一个运营商去,这应该是大家考虑的问题。如果这时候让国家领导协调这个事情,往往耽误了应急响应的时间,如果事先建立了这种机制,而且都已经操作过、演习过,肯定就很快,不会出现这么大的延迟。我在想,为什么美国、日本这些国家发生了一些灾害,比如说它的震级可能和中国的震级差不多,但是死亡的人数远远少于中国,当然这可能中国的人口密度大,但有一点是他们的防害灾备体系做得非常好。在这些委员会当中,贝尔实验室的角色还是比较突出,美国政府还是比较依赖这个部门,贝尔实验室做了一些领导性的工作,首先它对通信比较了解,其次在这个行业做得比较久了,因此在整个协会中参与了领导、协调、专家的角色。
在上个世纪80年代末的时候,美国发生了一些事情,1988年,美国洛邑州有一个交换中心级发生大火,可能是周围发生大火,把整个中心级烧掉了。因为它的影响比较大,当时涉及当地居民有几百万,通信中断了好几周,整个过程影响非常大,企业的生意也做不了,损失非常大。通过这件事情,他们后来就形成了一个补救措施,定了一个标准,怎么样防止火灾对通讯设施的标准,并得到了应用。1989年加州地震,当时的网络已经考虑到安全可靠性,他们也做了一些应急准备,把一些来自地震地区的呼叫电话进行优先的接通,我不知道我们国内是不是也能出现这个问题,比如说汶川大地震的时候,我当时待在上海,我们的楼也比较高,有二三十层,摇晃非常大,我们当时打电话也是打不通,比如说这个楼发生了爆炸或者火灾,是不是这个楼里面的人打电话,能否优先接通或者怎么样,这是一种定点定期的机制,这个问题是我们可以考虑的。1990年的时候,SS7发生了一个长途软件出现故障,70%的网络瘫痪,这也是一个比较大的事故。针对这个情况,美国的联邦通信委员会从国家角度考虑,这个通信网络要求安全,因为通信网络不仅是通信网络企业自己的事情,而是事关各行各业,在这种情况下,他们把行业里面的一些运营商、厂商叫到一起,在上世纪90年代初的时候,大家一起讨论从国家公共网络的角度考虑的网络可靠性。做这些讨论大家肯定会遇到一些问题,各个厂商提供的设备不一样,各个运营商自己的网络也有自己的问题,谁来谈自己的问题呢?肯定是谈问题的,那么这就有一个问题,我要谈自己的问题,就等于自我批评,很容易给对方在竞合市场上造成优势,比如他知道我这个问题,今后可能在某个领域侵占我的市场,这很有可能,于是就需要建立一种互信机制,因为这种多运营商、多厂商需要建立互信机制。在这种情况下,他们制订了一些协定,比如公共数据上可以进行共享。对于这种个别性好比个别企业自己的资料,两个企业之间进行讨论,又不想让其它的企业知道,这时候就要制订一些保密协定。通过多年以后,大家经过磨合,整个互信机制也达成建立起来,这个活动的各个参与者也普遍意识到我能够从这种活动中学到不少东西,实际上大家都在谈自己的问题和缺点,我这个问题是怎么样解决的,这些东西都很有建设意义,自己谈问题的过程当中,也把网络安全的可靠性提上来了,这也是一个比较好的做法。当然,各个企业都要派出人员,要求各个企业派出的人员首先懂这个问题的专家,其次要有一定的责任,你有这样的权力签协定,因此要求一定级别的人物来参加这个活动。
1992年,FCC颁布了一个法律条文,成立恩瑞客委员会,总共有55个会员加入到协会当中,而且主席是由各个会员的CEO轮值,这50个会员不仅仅来自网络运营商,还包括业务运营商,还有设备运营商,还包括政府相关机构,还包括行业的相关协会,比如我们国内的研究院等等,也参与到这个组织中来。目的是什么呢?它是来认定或者说来发现一些比较好的做法或者成功经验,在会员中间大家通过互相的交流,来使整个公共通信网络达到更高的可靠性、安全和互操作。恩瑞克这样做就让企业交流各自的做法,最大的好处是避免了FCC监管的负担,,因为FCC是一个监管机构,实际上企业操作不规范的话,或者企业网络很乱的话,监管的任务是相当重的。这是整个组织的相关机构,而且是各行各业的机构,包括协会、供应商、运营商等各方面的专家聚在一起。从1992年开始,恩瑞克的主题也在不断地更换,基本上两年就要更新一次章程,基本上他们的工作任务也要进行调整,从最初的网络可靠到互操作,到2000年的2000问题,到国土安全、应急服务等问题,都是他们所谈论的,在这些话题当中产生了一些比较好的成功经验和做法互相进行分享。
恩瑞克的大致操作情况是这样的,等于是一个经验分享的过程,而且是确定是不是一个好的经验。首先各个参与方好比在讨论一个问题,要提供怎么样解决这个问题的方法,当然他也没必要说这些方法是怎么形成的,或者背后更深层的原因,因为考虑到一些私密性的东西。各个会员都可以进行讨论,而且是比较认真地进行讨论,最终会进一步形成一个解决问题的比较好的方法,形成方法以后就形成了一个建议,并形成一个正规的文件,而且这个文件的形成要求充分考虑到各个参与方的利益关切,这样才能够达成一种共识。这个过程是相当复杂,耗费也非常大,有时候的讨论经常是一两个小时,然后把这个东西拿到网络上去试,试完以后要把人叫回来,所以对于企业来讲要花相当大的代价去讨论出一个结果,可以说是花了很多的功夫。
至少这些成功的经验能够被确定,必须经过企业的实际运行过是成功可靠的,这是前提条件,而且一旦成功经验和做法形成,或者建议形成以后,会马上发布,而不是两年发布一次,马上就可以得到各个会员的借鉴,或者是得到社会其它行业的借鉴,运用到企业的实际运营当中去。这是恩瑞克一个比较复杂的流程,是某一个小组的流程,有输入,有输出,上面是监管,下面是得到的支持,等于各个利益关系方在这里需要做什么,整个流程当中都已经涉及,他们平时的操作也是按照这个来操作的。恩瑞克最大的特色是能够定期或者不定期地发布一些成功经验给整个行业,这些成功经验他们大概发布了803条,其中347个是运用在供货商里面,122个是在系统方面,90个是在NACA的部署方面。实际上他们发布的这些成功经验并不是自己来认可,而且还要得到第三方的认可,比如要得到美国网络可靠性委员会的认可,要有第三方独立机构来证实。这些成功经验目前为止经过调查,有88%的成功经验已经得到了企业的贯彻执行。为什么接收率这么高?还是这些成功经验的适用性非常高,切实有效,而且能够见到投资效应。
我们举一个例子,他们统计出来有50%的网络瘫痪是由于流程问题造成的,可能不一定是机器或者断电的问题,可能是流程的问题,在电信行业里面流程有多种解释,一种是协议,一种是人员做事的方法,他们发现有50%的失误是因为这个问题,这几百条的成功经验运用到企业以后,解决了70%的问题。另外,对于无线网络来讲,有三分之二的网络中断是由于软件和流程的故障造成,同样他们也使用这种成功经验到企业当中,解决了70%的问题。大家看到这种成功经验运用起来是非常快的,而且能够马上见效。
我们为什么要在这里谈成功经验?实际上成功经验是和电信行业监管部门制订的规则相关,一些比较领先的厂商和机构制订标准,大家都知道,就这两点标准来讲,就是一种利益的分配和平衡,如果大家参与到标准讨论的话,都会比较清楚这一点,真正运用到你的工作,运用到企业的生产,中间的过程比较慢。一个行业的规则制订出来,如果真正能够发挥作用就更慢,实际很多事情可能发生了大家才想起最后是不是要制订一个规则,这个规则还要得到认可,认可以后才能得到运用,这个规则运用的场合和环境可能已经发生了变化,相比而言,成功经验是最有效的,比如我们两个人坐在一起,讨论这个经验,可能另一个人也有这样的问题,我觉得挺好,我就可以拿去用。美国在这方面是比较领先的,各个方面的利益方包括供货商、运营商、服务商、协会能够坐在一起,某种程度上大家开诚布公地讨论这些问题。
在这里面,贝尔实验室也参与了不少的工作,其中有一个专家叫卡鲁斯,在成功经验方面也有心得,他认为成功经验的形成过程中,成功经验相当于你做某件事的成功做法,怎么样认定一个成功经验,而且得到大家的广为接受,有一些问题我把这个分析列了出来,大家经过讨论以后,收益远远高于自己在家里搞研发、故障监测,这一点大家都有体会,如果集体当中大家经常分享经验,比自己闷头自学或者闷头解决问题,速度是很不一样的。恩瑞克实际上是一个大的平台,为大家提供了互相交流经验的平台,而且它不仅仅在通信行业涉及到其它利益关切方,恩瑞克做事的方法也得到了很多其他政府机构,政府毕竟是行业的管理部门,它的做法要得到其它政府机构的认可,为什么?因为到现在为止,实际上没有类似的大家能够坐在一起认真讨论做事经验的开发流程或者机构,而恩瑞克现在就做到这一点。在其它行业大家可能也知道,比如电力、交通等高技术行业,大家也会遇到一些问题,大家能不能坐在一起开诚布公地讨论自己遇到的问题,怎么样解决这些问题,这个机制我想可以运用到其它的行业中,而不仅仅是通信行业。如果能做到这一点,我觉得对一个国家来讲,在技术领域和社会领域都是一个很好的推动。
基于此,欧盟也是看中恩瑞克的这个经验,自己也定了一个ARECI机构,也开始讨论整个行业的成功经验。整个行业自发组织起来,或者在FCC的邀请下,他们把自己行业的整个服务水平提高,达到更高的层次,这就可能使我们的业务永不中断。这个机制对于一个国家来讲是很好的机制,不同行业可以分享这种经验,一个行业里面各种竞争者或者咨询方大家一起坐在一起讨论这个事情,对于行业的发展是非常快速的。如果你能够把行业的各种利益关切方聚在一起,大家互相交流,特别是技术私密性的东西,起到的效果还是非常大的。我们来看一下贝尔实验室所做的领导协调工作,有很多专家在里面工作,特别在达成业界共识的过程当中,对某个成功经验的认可,他要带领做这个事情,创造一个共识。大家都知道,达成一个大家都认可的共识,认为是一个成功的经验,很不容易,要经过很多的实践,对于通信行业来讲,要做实验投入也很大。
下面我们看一下国家集团或者世界域当中涉及多个国家的情况,看一下欧盟,欧盟现在已经有20多个国家,欧盟当中很多国家是小国,而且他们之间互相业务联系非常密切,我想不少人可能都有到欧洲旅游或者出差,大家感觉在欧洲旅游出差的时候,从一个国家到另一个国家就像我们穿省而过一样,非常方便,不同国家之间人们互相开玩笑,就像我们不同省之间的人开玩笑一样,所以欧盟某种程度上更像一个国家,但它毕竟还是有国别的区别。这里就存在着一个问题,和美国一样,存在着多厂商的问题,而且是跨境的网络,在这种情况下怎么样保证这种网络的安全可靠,这也是欧盟所遇到的问题。而且他也认识到目前网络的安全可靠不仅仅是通信行业,对整个社会都有很大的影响。他们发现通信网络发生中断的话,对其它行业比如交通、电力、公安、个人到底会发生多大的危险,这个危险要量化,只有把危险量化了你才知道我该不该投入资源,或者该投入多少资源才能预防这个危险,这个工作是需要做的。在这种情况下,欧盟就发起这样一个恩瑞克的研究,要使整个欧盟区域的网络更加可靠、更加强壮。欧盟也没有自己闷头自己干,实际上03年9月份欧盟的相关管制机构、协会、相关管理部门开始互动,在互动的过程中发现了恩瑞克这样一个分享成功经验的做法,而且他们也注意到恩瑞克确实能带来一种价值,如果把这种方法引入到欧盟的话,也会给欧盟带来相当大的利益。同时他们还认为美国在系统性地分析网络可靠性和安全性方面走在世界最前端,为什么?实际上“911”以后美国不仅在海外大量地调兵遣将,在国内也做了大量的通信安全保障工作,在研发各方面都做了非常多的工作,因此这个领域可能比其他国家就走得更靠前。欧洲业面临着多厂商、多运营商、多国家的情况,他们也希望通过恩瑞克这种方式能够形成成功经验的共享,所以在06年的时候,他就成立了ARECI来做这个事情,对外界的因素进行了分类,分得比较细,比如供电、环境、地震、飓风、软件硬件故障、负载、人员问题、企业策略问题、运营规则等等,之前已经做了非常详细认真的工作,对整个研发网络的脆弱性和不可靠进行分析。恩瑞克把网络基础设施按照各种影响因素分类,这种系统分析风险、分析网络安全可靠的方法普遍运用在许多领域,其它机构也在运用。他们致力于把欧洲的网络打造得安全可靠,他们认为业务不仅仅面向普遍老百姓,也会面向很多企业,比如警察也用这个东西,现在通信渠道非常地广泛,怎么样把通信渠道保证它的安全可靠,就尤为重要。ARECI也进入了很多的成员,包括欧洲的供货商、运营商都参与进来,进行研究。对应我们前面提到了造成网络安全问题的8个因素,他们新发现了以前没有发现的问题,在环境方面有18个问题,网络方面有65个问题,都有不同的新发现。最后还形成了10个建议,涉及多个领域,在第三个建议方面是相互帮助的机制,像美国“911”这样的情况,他们有一种机制,所以欧盟也要做到这一点,能够达到互相协助的机制。这10个建议分工明确,到底谁来挑头做这个事情,谁来配合,职责都分得非常清楚。最终会形成一个报告,10个建议、100个问题,通过ARECI的工作,如果继续再实践下去的话,可以使整个欧盟区域的网络达到更高的安全可靠程度。
网络的安全可靠不仅仅是通信运营商的问题,而且是我们供货方、通信方案提供方的责任,是我们自己的DNA,实际上它已经流在我们的血液当中,我们只有做到这一点我们才能够生存下去,不仅是同通信的运营商是这样,对我们的方案供应方也是这样。贝尔实验室愿意继续在这方面发挥创新和领导作用,为大家继续做出贡献。
我的演讲到此结束,谢谢大家!