AI 重构全球数字基建:多云统一数字化底座与出海的安全合规建设
如果无法正常显示,请先停止浏览器的去广告插件。
1. 演讲人:刘向阳
1
2. 2
3. 智能家居
新能源及工业技术
在绿色能源与工业核心部件领域,为全球泛工业
客户提供绿色、高效、智慧的产品和技术解决方案
智能建筑科技
健康医疗
打造国际一流医疗设备
供应商和服务商
智慧物流
提供最佳体验的全屋智能家居及服务
端到端、数智化供应链
解决方案提供商
为楼宇建筑提供整体解决方案和服务
机器人与自动化
自主业务
智能制造的基石
基于机器人的自动化解决方案
3
4. ▪
▪
─
▪
─
─
4
5. ▪
─
●
●
▪
─
●
●
●
─
●
●
5
6. ▪
中立云
公有云1
公有云2
公有云3
客户A
数据中心1
客户A
数据中心2
客户A
数据中心3
▪
─
─
─
─
▪
6
7. 数字化
业务
应用
生产
研发
供应链
研发效能平台
敏捷项目
管理平台
研发管
理平台
自动化测
试平台
基于AI
全流程
研发效
能平台
中
度量平台
立
中立云基础底座
云
数 ▪ 实机例 应用管理平台
容器平台
服务治理
API网关
字
流量防护
任务调度
配置中心
化
网络(虚拟) AI算力平台
存储
底 VMware 通用计算
私有网络
云服务器
对象存储
GPU虚池化
VPC
座
RedHat
跨云物
理资源
操作系统
块存储
SAN存储
自有IDC 1
自有IDC 2
负载均衡
LB
售后
营销
中立云
运维平台
▪
自
动
化
运
维
平
台
实
机
例
全
栈
监
控
平
台
Dynatrace
云下云上
统一调度
中立云
大数据平台
▪
…
金融
实机
大数据
例
研发
平台
DataBricks
中立云
数据库平台
▪
实机
例
数据库
管理
平台
中立云
安全平台
▪ 机密管理平台
实机例
攻击模拟平台
终端安全平台
Fortinet VPN
零信任
Splunk
大数据
引擎
平台
大数据业务
Forescout
准入
数据库
引擎
平台
Cloudera CDP
McAfee DLP
DLP
联软桌管
桌管
统一认证平台
账号 认证
授权 审计
F5
……
自有IDC n
公有云1
公有云2
……
公有云n
7
8. ▪
─
─
→
●
●
●
●
●
●
●
●
▪
─
─
─
─
●
─
8
9. 9
10. ⚫
⚫
⚫
GPU1
⚫
1
⚫
白天 GPU1
90
晚上 GPU1
0
10
11. 场景
研发
生产
供应链
销售
售后
金融
…
多集群统一API
AI加速
AI
算力
平台
白屏化运维
调度增强
运营能力
数据加速 数据编排 拓扑感知 负载感知 故障恢复 故障管理 成本分析 费率优化
计算加速 镜像加速 设备均衡 节点均衡 故障发现 掉卡重训 用量推荐 资源可视化
算力调度
算力池化
统一资源管理
AI中间件能力
异构支持 资源混部 资源预留 弹性调度 模型与数据 计量计费 AI网关 modelmesh
虚拟显存 动态调整 层级队列 节点均衡 多租体系 资源管理 调用链追踪 零信任安全
算力切分 显存切分 优先级调度 GPU指定 集群管理 队列管理 插件管理 OpenAPI
虚拟化引擎
厂商1 GPU虚拟化
基础
设施
厂商2 GPU虚拟化
硬件基础设施(本地多个IDC)
计算(异构CPU/异构GPU)
存储
公有云
网络
公有云1
公有云2
……
公有云n
11
12. vGPU1
vGPU vGPU
算力:50%
显存:24G
⚫
vGPU2
vGPU vGPU
⚫
⚫
算力:25%
显存:24G
vGPU3
算力:25%
显存:24G
⚫
vgpu vgpu
vgpu vgpu
vgpu vgpu
vgpu vgpu vgpu vgpu
⚫
⚫
⚫
⚫
GPU虚拟化
12
13. 快速发现:5分钟内发现并报警故障事件
多重视角:全面展示指标/故障
根因分析:全链路的故障根因分析
13
14. ⚫
⚫
⚫
⚫
14
15. ⚫
⚫
⚫
3
1
按部门/系统查询资源用量
4
2
查询统计报表
GPU资源大盘
业务GPU大盘
5
算力纳管大盘
15
16. ⚫
⚫
⚫
16
17. ⚫
⚫
⚫
17
18. 18
19. 19
20. 20
21. ① 外部系统对账:支持与资产采购等外部系统对账
② 异常IP(CMDB无记录)通过SNMP、NMAP自动发现
③ 异常IP(CMDB无记录)可视化
21
22. 全栈监控平台
MonitorSpace
22
23. • •
• •
•
•
•
•
23
24. 24
25. 25
26. 前后端调用拓扑自动发现
26
27. 27
28. 28
29. 大数据开发平台
DataMax
29
30. •
•
•
•
•
•
•
•
30
31. 31
32. 32
33. 数据开发模块:支持丰富的大数据开发技术栈
离线作业
• 支持6种粒度的调度(分钟、小时、天、周、月、年)
• 支持自定义函数开发,便于实现特殊的数据处理逻辑
• 支持分支节点、虚拟节点、赋值节点,便于开发复杂的作业链路
• 支持事件开发,便于在作业执行前后,做特殊处理
• 支持作业模版,便于代码复用
Hive-SQL
Impala-SQL
离线
作业
离线
作业开发
Spark-SQL
离线SQL作业
调度配置
离线
SQL作业
Spark-Jar
作业
类型
实时作业
• 支持 Flink-SQL & Flink-Jar 两种开发模式
• 支持 Flink 多版本
• 支持 Flink-SQL 虚拟表的元数据复用,避免重复开发
• 支持 6 种 Flink-SQL 的 Connector
Shell
Python
Flink-SQL
实时
作业
Flink-Jar
数据开发技术栈
实时
作业开发
实时
Flink-SQL作业
实时
Flink-Jar作业
脚本作业
33
34. 34
35. 35
36. 36
37. 37
38. 38
39. 39
40. 40
41. 41
42. 直连数据库,没有白屏化在线查询和变更工具会带来以下3类问题
•
•
42
43. 43
44. 44
45. 方案:提供白屏化数据库在线数据传输能力,支持数据同步、数据归档、数据订阅
1. 任务配置:一站式白屏化进行同步任务配置
2. 同步任务:支持表结构、全量数据和增量数据的同步
3. 任务管理:提供任务监控报警、任务启停等管理能力
45
46. 46
47. 47
48. 48
49. 49
50. 50
51. 51
52. 52
53. 53
54. 54
55. 55
56. •
•
•
•
56
57. •
•
•
•
•
•
•
•
57
58. •
•
•
•
58
59. •
•
•
•
•
•
59
60. •
•
•
•
•
•
60
61. •
•
•
•
61
62. •
•
•
•
•
•
62
63. 63
64. 64
65. 65
66. ⚫ ⚫
⚫ ⚫
⚫ ⚫
66
67. 团队协作:痛点
⚫
⚫
团队协作:方案
⚫ 弱密码
⚫ 多平台使用同一密码
⚫ ⚫ 强密码
⚫ ⚫ 各平台使用不同密码
67
68. 68
69. 69
70. • •
• •
• •
•
70
71. 71
72. 72
73. •
•
•
•
•
73
74. 零信任一体化终端产品架构图
用户
普通办公人员
远程办公人员
红区员工
系统运维人员
安全审计人员
终端应用程序(SSH/浏览器/IM)
数据防泄漏
终端
能力
数字化
业务
应用
零信任控制中心
桌面管理
终端准入
远程安全访问
IM文件外发 浏览器上传 流量特征拦截 软件仓库 风险软件拦截 终端设备管理 安全基线检查 网络隔离 终端风险评估 加密通道
红区管控 自动锁屏 上网行为管理 收费软件授权 软件使用审计 终端控制通道 流量分析 设备识别 应用管理 自动授权
WIFI管控 USB管控 外发审计 软件推送 设备标准化 威胁检测 网络资产管理 设备分类 动态鉴权 应用分级
身份认证&数据分析
后端
能力
IT经理
零信任网关
安全决策中心
外部情报中心 4A系统 统一身份认证 实时风险评估 终端设备管理 应用风险识别 安全基线管理 权限管理 权限管控 风险数据采集
日志分析平台 大数据平台 内部威胁情报 决策中心 密钥管理 终端安全控制 策略配置中心 风险事件管理 代理网关 应用管理
研发
生产
供应链
营销
售后
金融
…
大数据业务
74
75. 数据防泄漏:整体解决方案(只进不出,全面审计)
1. 基于API行为和流量特征检测的双重
防护机制,精准识别文件外发行为
应用软件
2. 只进不出,单向拦截,允许文件下载,拦截上
传,支持所有主流IM/网盘类软件的上传拦截
3. 详细的审计记录:包括外发渠道、外发时间、
外发设备、外发人、原始文件、截图取证等
外发时弹窗拦截
1. 应用程序调用系统
API进行文件外发
操作系统应用API层
2. 第一层:DLP客户端
HOOK所有相关事件,进行
行为检测
操作系统网络层
3. 第二层:基于应用流量特
征的检测机制,防止绕过系
统API
正常接收文件
物理网络
互联网
75
76. 76
77. 海外信息安全建设总体架构
▪ 信息安全八板斧体系:进不来、能发现、防泄露、保合规、重运营、常治理、勤攻防、育人才
─ 责任原则:集团统一制定信息安全方案,全球各分支各子公司负责落地执行
─ 办公安全:SASE方案(客户端+边缘设备+接入节点)-实现设备准入、访问控制、安全防护等功能
─ 终端安全:要与海外分支CIO和法务联合制定双方都接受的安全方案
▪ 全球两级运营中心:区域+总部,构建全球纵深安全防御体系
全球安全运营中心-云安全能力中心
( 7X24安全值守、威胁研判、风险处置、应急响应)
二级运营中心-亚太 二级运营中心-欧洲 二级运营中心-美洲
亚太区域的公有云、工厂(终端
、IDC)部署的安全系统,如防
火墙/HIDS/工控探针/全流量等 欧洲区域公有云、 工厂(终端
、IDC) 部署的安全系统,如防
火墙/HIDS/工控探针/全流量等 美洲区域公有云、 工厂(终端
、IDC) 部署的安全系统,如防
火墙/HIDS/工控探针/全流量等
77
78. 跨境数据合规:风险
▪ 各国对跨境数据传输与访问日益重视
─
─
─
─
─
─
欧盟:通用数据保护条例(GDPR)
美国:加州消费者隐私法(CPRA)
日本:个人信息保护法
中国:数据安全法、个人信息保护法、 数据出境安全评估办法
俄罗斯:联邦个人数据法
亚太:越南个人数据保护法案、印度数字个人数据保护法、韩国个人信息保护法
▪ GDPR罚单已累计近60亿欧元
─
─
─
─
─
─
─
2025.5:TikTok 5.3亿欧元
2024.12:Meta 2.51亿欧元
2024.10:LinkedIn 3.1亿欧元
2024.8:Uber 2.9亿欧元
2023.5:Meta 12亿欧元
2022.9:Meta/Instagram 4.05亿欧元
2021.7: Amazon 7.46亿欧元
78
79. 跨境数据合规:方案
▪ 技术维度
─
─
─
─
─
─
─
─
─
确保数据安全:防拖库,监控数据泄漏风险
数据本地存储:原则上数据当地存储
数据分类分级:扫描全域数据,识别重要数据、核心数据、个人信息数据、敏感个人信息数据等
数据加密存储:确保运维人员看不到个人隐私数据
严控跨境传输:原则上非必需不跨境
严查数据流转:严控数据导出、API监控、全流量监控
严控远程访问:运维人数最小化,运维权限最小化
数据脱敏展示:即时有权限也不能看到个人隐私数据
用户隐私政策:透明清晰-数据清单、存储地点、保护措施、访问权限、主体权利、联系方式等
▪ 管理维度
─
─
─
─
─
隐私组织保障:建立各业务单位DPR,负责个人信息清单定期盘点、现状梳理、隐私方案落实
双方签署合同:跨欧盟数据传输标准合同SCC
定期梳理评估:数据保护影响评估(DPIA)、个人隐私信息梳理等
完善合规体系:公司法务+信息安全紧密协作
外部事件复盘:对外部处罚事件即使复盘、借鉴、整改
79
80. 80
81. 81