>>返回主页
云服务经营自律委员会标准规范组组长罗欧:利用技术手段和信用机制提升云服务事中事后管理能力

2019-12-26 09:41

罗欧.jpg

大家下午好!我是罗欧。接下来15分钟,我为大家带来利用技术手段和信用机制提升云服务事中事后管理能力的分享!我们目前关于云服务市场管理方面有非常多的政策,我们有很多软性的措施在做,我接下来从4个方面为大家带来一个分享。

第一,各方面关于云服务市场的简单分析。从2000年9月开始,电信条例将国内所有的电信业务做了准入的管理,是实名许可的制度,相关的电信业务提前申请许可证才能开展业务。2015年12月更新以后,云服务具体地描述加入了新版的目录里,依据目录的描述,这个具体的定义是把ISS和PASS做了描述,是将目录将云纳入,之后相关云服务企业也需要有合理的依据拿相应的牌照。

2017年3月,42号令发布,规定的年报的相关政策,具体云服务企业需要完整、真实、准确、及时的报送相关的年报,完成了事中事后监控的相关手段。我们要求电信业务经营企业根据日常的经营行为中出现违规行为,需要根据相关的情况进如两单,两单制度的出现也是为事后信用评价机制建立了基础标准。两单文件相干的手段,也是我们自律委员会在做信用管理工作中很大的一块依据。

第二,看看我们自律委员会如何构建信用评价体系。首先,在2017年9月,中国信通院为了行业自律工作很好的开展,牵头成立了云服务经营自律委员会,2018年初跟已经加入委员会的相关成员企业联合研究,正式发布了云服务经营自律行为规范,我们开展信用评估中也是一个关注的重点方面。

2019年3月,随着自律委员会相关工作的开展,我们也把相关的工作范围从云服务,陆续扩展到了内容方案的网络业务,目前相关的评估工作也从云服务企业的评估扩展到其他内容的评估。我们特赦了云网融合的工作组,把热点议题纳入到我们自律委员会的相关工作中来。

我们自律委员会日常是怎么开展工作的呢?我们组织开展过三次自律合规的主题研讨会,对各个成员企业代表比较关注的一些问题,形成了7个课题进行相关的研讨,有的成熟有的不成熟,有很多课题是大家在会上新提出来的比较感兴趣的,咱们就加入研究的范围,有的因为前期我们已经有成熟的经验,我们把相关的课题成果放在自律委员会成员内部,成熟的话对外公开,作为我们的公开成果。我简单列了几个自律委员会相关的工作课题的内容,有这么几个方面,一个是关于也定云服务合规课程,这是咱们自律委员会关注的重点之一,关于云服务经营相关工作中有很多涉及到技术合作方面的问题,在技术合作中什么是合规的,什么是违规的,这是我们自律委员会研讨的一个重点,也是咱们相关成员企业非常关心的一个点,每次研讨过程中开展了非常多的研究。

第二块是融合CDN的项目,这也是我们最近提出的议题,处在相关的研讨中。还有PaaS许可等等的问题。

关于合作合规研究课题,我们研究的方式,研究的内容,包括几个方面,包括技术合作类,目前来看云服务相关的企业经营合作中,可能涉及到合作方的技术,包括人员和设施,包括运营机制和保障措施,还有包括与监管对接的要求,通过我们前期的几轮研讨,对这方面已经形成了一定的统一的意见,我们也认为在这种技术合作模式中,实际的经营云服务的企业需要申请相关的云服务牌照,提供底层的软硬件技术方案和相关技术的合作方,实际上无需申请云服务相关的牌照。其实在具体合作中有很多合规领域是需要我们考虑的,如果能做到没有问题的话,其实是比较合规的合作方式,是不需要有相关的疑问,或者担心自己是否有违规经营的情况。主要是我们自律委员会考虑的几点,关于机房、关于硬件设备、相关的IT、宽带和IP资源,相关的具体经营方,都必须由自己自有或租用有相关经营方的相关资源,而且具体的机房和硬件控制权必须由实际经营方掌握。

关于运维方面,在运维层面,日常巡检监控的处理,需要有相应的经营方承担,涉及到和系统、底层技术相关,如果是由第三方,由合作方提供三年运维支持,这也是我们认为是合规的一种合作方式。

运营层面,涉及到客户信息的工作,必须由实际运营分来进行,不涉及客户信息的,包括客户的扩展,包括技术的培训,营销推广,如果由相关的合作方提供,也是不违规的。

关于最后一点技术平台的对接方,需要由实际经营方为系统做对接,并且要完成评测申报,如果存在相关的机房租用合同,和方需要做配合。关于合作模式还有另外一种,是关于销售代理的合规模式,这也是大家比较关注的一个点,在我们课题中研讨也是非常热的,目前也没有形成一个比较成熟的意见。如果大家比较感兴趣,对这方面希望提供自己的意见也可以之后参加自律委员会的相关工作,一起对技术合规相关的课题做一定的探讨。

通过相关市场非常热点的问题,包括五个方面,一个和融合CDN的问题,伴随市场技术的相应发展,现在出现融合CDA的业务,是解决成本高,质量不行,资源利用率低的问题,对于大的CDN厂商来说这都不算问题,但是对于小的CDN厂商来说,如果想要拉到更多的客户,如果自身的资源不足以支持来自全国客户支持的时候,融合CDA已经是市场上非常常见的。我们研讨中发现,由于业务的特殊性,多个CDN厂商提供服务的时候,在我们日常的监管中是有一定的风险存在的,也跟技术合作相同,包括跟客户相关的销售,还有自身系统的运营、运维等等都会存在一定的合作方分离的情况。这些方面的问题都在咱们日常监管中带来一定的挑战。

下一个点关于PaaS的业务申请许可,目前我们看到目录中对于一个互联网业务中,对应的是ISS和PaaS业务,我们后续评测业务,是需要底层的机器物理级的情况做相关的系统对接。对于只经营PaaS业务来说,也种对接工作不是特别的友好,他可能会面临到出现了相关的监管系统没有地方可以上的情况。关于PaaS业务许可牌照的申请是否可以简化,这也是最新提出的课题,目前处于研究过程中。

下一个点是咱们研究比较成熟的点,关于目录的对应关系,目前可以看到市场中有非常多的种类的云计算场景,各个产品对应目录中的介绍,关于B11互联网资源协作服务业务的介绍是非常客户的,我们云服务经营产品的时候,产品是否属于管理的部分,是存在疑问的,需要有一个第三方组织,或者一个权威方来为咱们做一定的界定,具体产品对应什么目录,这也是在自律委员会研究比较成熟的一个点。我们目前看到的市场中比较成熟的产品,包括ISS个PaaS,从云主机、物理云主机等等,我们看这些产品其实提供的都是顶层的基础计算存储和网络等资源,大部分都是和B11的互联网资源协作业务比较高的,我们云服务开展相关业务的过程中需要拿B11的牌照的。

但是在市场中还有一类非常大的业务品种是关于SaaS,有些业务是需要持相应的牌照。跟电信业务分类强相关的,我们能看到的一些市面上的产品,主要包括像类似于企业网盘提供底层的资源,我们建议提前获取B11的牌照,关于视频会议是国内多方通讯业务,需要提前申请B22的业务牌照。关于邮件服务、安全类,更偏向于信息服务业务,在相关的云服务开展相关业务时,需要B25的许可。

还有一块业务是云网融合,接下来我们也会有专门的议题做介绍,我就不花时间了。我们还在推广相应的信用评估工作,咱们在大会的第一个环节做相应的评估结果公布这么一块工作,其实就是咱们自律委员会指导下制定了云服务企业信用评价办法,对企业的评估主要考察的点是第一是不良信用行为,主要是考察两单的情况,虽然前期会有一些不良的行为进入了两单,但是在近年来最近时间表现比较良好的企业,我们在进行不良信用考虑中,也会把具体的记录情况和记录处罚时间做一个考量,以半年为一个时间节点。最终开展的情况,也是遵照自律委员会相关的规定,我们会评估企业相关资质的合规,也包括经营范围具体的底层资源的情况。也会通过企业自行上报和舆论舆情的艰苦,技术合作方式也会有一定的审查。是否存在虚假宣传,也是我们考虑的。

关于信用评估的工作最重要一点,我们需要考量云服务企业相关服务能力的可信情况。我们综合了多方的因素,一方面需要考量企业对用户承诺的SLA值。我们也会参考可信云评估的产品,对云服务企业实际可用性进行评估。关于CDN服务的考量指标,主要是关于可用性,包括CDN服务覆盖的节点范围,包括服务性能,从相应时间、下载速度方面,看CDN厂商是否为咱们有内容加速服务需求的用户,提供更好的服务。包括产品力方面,我们考虑的点包括远端回传的能力,是否可以在很短的时间内回传所有的日志,是否有安全加速,整个CDN厂商带换资源,都是我们考量CDN的指标。

第三,我们目前建立了相关的技术手段,实行我们对工信部的整体支撑能力。在传统模式下,咱们做相关的技术监督的时候,会存在发现难、举证难的情况,需要被动的接受一些举报,或者监管部门手动的搜索,去主动的发现一些违规行为,然后再通过一些目前的几套系统的手动查询,然后才会具体的把违规的行为做相应的后续处理。目前我们已经建立的相关的技术平台,第一方面通过跟两种业务相关信息系统进行对接,第二在前期跟相关的云服务的试点企业进行对接,对相关企业进行数据图谱的掌握。我们也通过一些互联网爬虫的技术,主动探测发现互联网经营行为,对照指定的数据主动判断,是否存在无证的企业违规经营相关的情况。同时我们也会在发现违规经营情况中,第一时间留取证据。

其实在我们第一阶段建设平台中,我们已经和试点企业进行了数据对接,这也是在咱们国家相关政策的指导下有一些政策指导背景,国务院都会发相应的文件,要求运用大数据逐步加强对市场主体的监管,或者建立新型的监管机制,这也是咱们催生了信管局建立相关的信息通讯行业数据监测机制这个工作的一个因素,相关的工作可以深入的推进互联网+监管工作的开展。

目前我们做云计算大数据监管机制中考量数据几个方面,第一是监测对象,包括电信业务经营中重点的领域,云计算、CDN服务的企业,我们对企业做分级,通过企业规模、主营业务收入、上市情况做分级,在不同分级中对数据的方式和周期会有不同的要求。我们也进一步明确了云服务和CDN服务企业相关数据需要做大数据监管,数据上报的范围,我们在运营数据中会针对云服务和CDN服务的业务,明确了核心的数据范围,包括跟提供服务最相关的底层机房信息,机房相关的具体资源,机架资源情况,机房相关的链路IP的信息,机房是否做到IPV6的改造。针对链路情况,包括链路的贷款峰值,以及资源的频谱使用率,都是企业需要上报给监管部门需要注意的数据方面。

同时我们也关注云服务和CDN服务的主营业务情况,包括具体经营业务是属于一款产品还是解决方案,相关的主营业务具体的收入情况,每一个业务的用户规模情况,偏于咱们监管部门在日常兼官重,可以更好的分析各类市场情况,以及各类用户规模,可以更好的为相应的地方上的管局,或者为日常做科学决策做底层的数据支撑。

关于云服务和CDN服务,主要是云和CDN日常运营的信息,包括云服务区对应的城市,以及云主机,包括CPU内存的使用情况,CDN方面更关注的是CDN相关的一些子网运营,备案信息、CDN节点信息,具体加速运营的情况。

自律工作中很重要一块是技术合作信息,我们需要企业关注的点在于合作方的类型、当前的合作状态等等。

最后就是相关技术工作开展的情况介绍,企业评估情况,我们开展了四批云服务企业综合信用水平评估,我们日常经营中做到了自律合规经营,需要受到正向的表彰。技术手段建设,我们已经完成的相干技术平台的建设,支撑了很多部里相关的工作,根据大数据监管以及互联网+监管相关的政策法规,我们已经在前期跟相关的重点企业做了一定的交流,开过研讨会,目前形成了关于未来数据监管对接的相关监管规范,希望自律委员会的成员可以积极参与后续相关的标准的调研,或者更细化标准的优化和标准进一步研讨的工作,为未来相关的技术建设贡献自己的力量。谢谢大家!欢迎大家积极参与自律委员会的工作,诚信经营!

0