施悦：云计算是云服务提供商和客户共担责任

微软（中国）有限公司公共及法律事务部资深律师 施悦

　　新浪财经讯 “第十三届中国国际金融论坛”于2016年12月15-16日在上海举行，微软（中国）有限公司公共及法律事务部资深律师施悦出席并发言。其表示云计算是云服务提供商和广大客户共担责任，传统本地数据中心都是由客户自己负责从基础设施到数据，从头到尾到设备安全问题，但在云环境中，云服务提供商承担的责任越来越大。

　　以下为发言实录：

　　施悦：谢谢各位来宾，今天很容幸代表微软公司和大家分享。刚才也说了我准备的东西要尽量简化一些，为后面的嘉宾留出时间。今天早上我们公司李总给大家介绍微软科技能够给金融企业、广大客户带来什么样的前瞻性的未来。我今天要从另外一个角度来给大家消除一些疑虑。我们现在想的新技术，尤其云计算技术怎么样才能安全、可靠，让这个企业转型过程中成为不可替代的一部分，可以让大家觉得它确实是能够为我们所用，并且能够解决安全问题带来的隐患。

　　那我来看一下。好，首先一个问题就是大家觉得云计算为什么要用云？其实这个问题有很多的专家给了我们一些答案，我们觉得无非是这几点，其中规模效应带来成本下降，肯定是最吸引企业的，那同时因为云服务是有弹性的，可以深层，你可以根据你业务情况，根据你的企业网站的一些建设需求，来配置你想用多少，将来想扩展到多少，这是充分展现它的灵活性、可伸缩性。另外云服务其实都会在异地，一般情况下会有多重备份，你的数据存在不同的地方，增加了数据的安全性。出于这些优点大家说我想用云，但是我们发现了一些触目惊心的数字，这些数字说明什么，网络攻击防御成本近年来大大增加，一些知名分析机构报告显示，大家可以看，我不一一详述了，你看互联网所创造的价值有那么大，但是百分之十五到二十是网络犯罪造成的是消耗掉的，这是非常可惜的一件事。可能近期大家有注意到，可能还记忆犹新，网上流传说京东的个人信息泄密事件，还有今年十月份美国基本上网络瘫了一半，因为物联网被黑客攻击，导致了美国东部服务器造成破坏。这些事例都说明什么，网络安全现在越来越成为大家需要特别关注的问题。

　　是不是因为这样就不用云了吗？我们的答案是否定的。因为正是因为有这些攻击的存在，这些危险的存在，那我们的广大客户尤其是我们金融客户需要一些更专业的一些服务商来提供更专业的防御措施，能够防范和抵御甚至至少缓解风险存在，我们想做的事就在这方面要更多作出努力。

　　我们公司因为从比尔盖茨开始提出可信赖计算的理念，这是我们现任CEO的原话，只有值得信赖的技术才被企业公司接纳。这个我不想多展开，我想给大家看一组数据，这组数据说明微软云技术全世界范围内有很多人相信我们，我们有200多项云服务，超过两千万家的服务，超过十亿用户，遍布140个国家和地区的数据中心，我们的投资超过150亿美元的数据中心投资，这个体量在全世界是最大的。那给大家说这个数百万台服务器是保守估计，中型的数据中心就有七八十万台，我们有一百多处云中心，上千万台也是有的。我想跟大家再分享一点，这是我们的数据中心分布图，其实我们的数据中心说分布的地方已经超过了亚马逊、谷歌的综合，云计算需要异地备份，一个地区我们有两到三个数据中心，会34个区域。

　　在中国也是为了得到广大用户信任，最关键我们要符合中国法律法规的要求，我们是与一家本地的云服务的提供商，世纪互联有限公司跟他们强强联合，他们是基于微软技术再把我们的windows Azuer和Office 365，我们想中文叫什么名字比较好，这个世纪互联是一个传统的服务商，我们所做了事提升它的能力，现在它可以提供全方位的解决方案，有两个数据中心，分别在北京、上海，一个数据中心至少提供三份数据备份，两个数据中心提供六个异地数据备份。

　　云计算中，责任共担问题。这个问题我想解释一下，传统本地数据中心都是由客户自己负责从基础设施到数据，从头到尾到设备安全问题，在云环境中就会变得相对比较复杂一点。基本上云服务提供商和广大客户共担的。云服务提供商承担的责任越来越大，一开始我们定义清楚。

　　其实我们刚才提到云计算蓬勃发展带来很多的挑战。很多的客户就在云上存放业务，尤其数据存在一些担心。这个尤其是我们的金融客户，有一些客户担心说一些供应商缺乏一些比较有效的隐私的策略，可能会数据进行挖掘、分析，甚至威胁到用户业务安全、知识产权，有些客户说网络攻击把云作为对象，是不是足够安全，下面我花一点时间跟大家讲一下由世纪互联运营的两个服务怎么恪守安全性、隐私保护、合规性，透明性的市场准则的。

　　这是我刚才讲的四项原则。本来我先做一个大概的介绍，为了节省时间我直接详细介绍每项内容。这个安全其实是更多技术层面的东西，微软的技术刚才讲了我们其实是可以证明自己是世界第一流的技术。我们通过技术、流程、认证构建出强大的安全壁垒，使得黑客很难攻击到微软的客户。我们非常谨慎，未经授权的访问屏蔽在外。这个技术性比较强，有一个是微软独有的，始创的产品的安全开发生命周期，这是一个标准流程要求。这条要求列入国际标准，微软始创，产品经过系统的安全认证才能上市。研发人员KPI也是根据这个来的。刚才说到运营商我们对世纪互联的要求提供和微软同样高标准的服务，至少99.99%甚至有些服务得到99.999%的安全性，有些来宾知道，这是服务级别协议，云服务中，你保证这个服务在99.99%时间内是可用的，我们提供什么呢？提供了如果我要是有一段时间不可用了，超过了我承诺的东西我就赔钱，我们有一个保证，有财力在后面支撑的客户赔偿责任。

　　刚才说了有两个异地数据中心，六个数据备份。微软每隔一段时间会做全球的危险演习。自己模拟入侵，自己网络强到什么程度，平台可以有多大程度的入侵，发现弱点后就会补救，补救完之后会适用到全球各个平台。世纪互联平台也是受益于微软对威胁策略的所有的这种我们得到的一些经验和支持，都会承接世纪互联云平台中。

　　然后我们说隐私。有的客户曾经问过我们你们是外资公司，你们和世纪互联怎么保证我们的隐私。我们首先最重要的保证数据不会出境，微软不会触及。我们跟世纪互联关系是技术许可帮助关系，世纪互联角度除了说提供服务的时候可能需要接触一部分数据以外，他也不会触碰客户数据。另外用户是完全可以管理自己的内容权限，离开服务可以百分之百删除数据，最重要在我们的服务条款中明确承诺我们不会挖掘客户信息，不会用做任何商业目的，包括营销广告宣传，任何其他商业目的，这个微软非常严格，和一些国家云平台提供者对数据、隐私要求有一定的区别。

　　关于合规性。主要是两个方面，刚才我讲采用本土运营，借鉴微软在全球的技术本来就合规体现，符合中国法略法规要求，我们获得很多第三方验证，我们非常清楚一点，我们会区分哪些是微软云在全国、全球获得的认证，那些是世纪互联在本地获得的认证，那其他的全球认证也是充分证明微软提供的云技术上可靠性。

　　因为大多数标准还是没落实到中国，没有翻译到中国。我们是非常清楚把这个区分开来。绝对不会世纪互联你看云服务认证都获得了。这些是更多的详细信息，我们获得了0到3级，两个服务都有0到3级别，还有ISO认证。

　　现在说透明度的问题，透明度说什么？我们保证给我们的客户做了以下的保证，你所有的数据访问活动都会进行日志，可以看到自己数据访问日志，第三方请求，不是国家法律法规你今天要数据给我，我们会先告诉有这样的人有要求，甚至有时候会有一些包括执法机构我们会问的非常清楚，他们完全配合。有时候觉得微软在这方面特别强势，包括现在世纪互联我们对客户数据的保护，向来都是至上的。另外我们有一个业界独创的，你在公开仪表盘上可以看得清楚到底我这个服务怎么样，中间有没有中断过，中断多长时间，什么问题，什么时候恢复的，这个仪表盘刚才我讲的SLA的问题，仪表盘用来计算世纪互联应该赔我多少钱，就靠仪表盘了。

　　刚才说的所有四项东西都可以在系统中心网站可以找到，我们特意注册了信任中心网站，专门来放这些内容，也是我们对这个服务的无比重视，对信任的无比重视。

　　基本上我的分享结束了，有点神奇，怎么做到的，我们自己也在问。谢谢大家！

　　新浪声明：所有会议实录均为现场速记整理，未经演讲者审阅，新浪网登载此文出于传递更多信息之目的，并不意味着赞同其观点或证实其描述。