歐洲科學(xué)院院士劉向陽(yáng)：許多企業(yè)的數(shù)字化底座，配不上今天的AI發(fā)展 | GAIR 2025

2025年12月12-13日，第八屆GAIR全球人工智能與機(jī)器人大會(huì)在深圳·博林天瑞喜來(lái)登酒店正式啟幕。

作為AI 產(chǎn)學(xué)研投界的標(biāo)桿盛會(huì)，GAIR自2016年創(chuàng)辦以來(lái)，始終堅(jiān)守“傳承+創(chuàng)新”內(nèi)核，始終致力于連接技術(shù)前沿與產(chǎn)業(yè)實(shí)踐。

在人工智能逐步成為國(guó)家競(jìng)爭(zhēng)核心變量的當(dāng)下，算力正以前所未有的速度重塑技術(shù)路徑與產(chǎn)業(yè)結(jié)構(gòu)。13日舉辦的“AI 算力新十年”專(zhuān)場(chǎng)聚焦智能體系的底層核心——算力，從架構(gòu)演進(jìn)、生態(tài)構(gòu)建到產(chǎn)業(yè)化落地展開(kāi)系統(tǒng)討論，試圖為未來(lái)十年的中國(guó)AI產(chǎn)業(yè)，厘清關(guān)鍵變量與發(fā)展方向。

會(huì)上，歐洲科學(xué)院院士、美的首席信息安全官兼軟件工程院院長(zhǎng)、IEEE Fellow、IET  Fellow、ACM杰出科學(xué)家劉向陽(yáng)，在大會(huì)上帶來(lái)題為《中立云：賦能AI與AI賦能的多云統(tǒng)一數(shù)字化底座》的主題演講，分享了美的在企業(yè)級(jí)數(shù)字化與AI實(shí)踐中的真實(shí)路徑。

 

深耕數(shù)字化與信息安全領(lǐng)域的劉向陽(yáng)，曾任職螞蟻集團(tuán)首席科學(xué)家、美國(guó)高校教授，如今在美的集團(tuán)主導(dǎo)數(shù)字化底座與信息安全建設(shè)。他敏銳指出，當(dāng)前多數(shù)企業(yè)在 AI 落地中面臨 “數(shù)字化底座薄弱” 的核心問(wèn)題——若將數(shù)字化比作建筑，底座如同地基，直接決定 AI 價(jià)值的上限。

圍繞“地基”該怎么打，他直指企業(yè)常見(jiàn)的兩條路徑：自建數(shù)據(jù)中心，或全面上公有云。前者看似成本低，但現(xiàn)實(shí)往往事與愿違，“如果一個(gè)CIO真能把數(shù)字化底座建得非常好，那他其實(shí)已經(jīng)可以去開(kāi)一家公有云了。”在他看來(lái)，多數(shù)企業(yè)的自建底座仍停留在上世紀(jì)90年代的虛擬化技術(shù)，存在技術(shù)老舊、產(chǎn)品雜亂、穩(wěn)定性和安全性難以保障的問(wèn)題。

而公有云看似先進(jìn)，卻又帶來(lái)了另一組難題：多云幾乎是大型企業(yè)的必然選擇，美的目前使用的云超過(guò)8朵，但彼此之間互不兼容，且遷移難、聯(lián)動(dòng)難，最終形成云孤島、數(shù)據(jù)孤島。在業(yè)內(nèi)，一個(gè)數(shù)字化應(yīng)用的跨云遷移通常需要至少半年以上。

正是這樣的背景下，劉向陽(yáng)帶領(lǐng)美的選擇了一條“自建云能力”的路徑。他詳細(xì)拆解了美的如何構(gòu)建一體化云架構(gòu)，打通數(shù)據(jù)中心與多公有云資源，同時(shí)落地全棧監(jiān)控、自動(dòng)化運(yùn)維、安全防護(hù)等核心能力，為企業(yè)數(shù)字化轉(zhuǎn)型提供可復(fù)用的實(shí)踐方案。

以下是劉向陽(yáng)演講的精彩內(nèi)容，雷峰網(wǎng)(公眾號(hào)：雷峰網(wǎng))作了不改變?cè)獾恼砼c編輯：

一、規(guī)模≠能力，底座技術(shù)代差侵蝕企業(yè)數(shù)字化ROI

感謝大會(huì)的邀請(qǐng)，非常高興有這個(gè)機(jī)會(huì)跟大家做技術(shù)交流。我來(lái)自美的集團(tuán)，在美的集團(tuán)負(fù)責(zé)兩塊業(yè)務(wù)，一是集團(tuán)的數(shù)字化底座，二是集團(tuán)的信息安全。在加入美的之前，在螞蟻集團(tuán)做首席科學(xué)家，再之前在美國(guó)德州大學(xué)奧斯汀分校計(jì)算機(jī)系博士畢業(yè)，又在美國(guó)高校做了十多年教授。

首先簡(jiǎn)單介紹一下美的集團(tuán)，大家熟悉的是它的To C業(yè)務(wù)，它現(xiàn)在每年有3000多億的To C業(yè)務(wù)，實(shí)際它還有1000多億的To B業(yè)務(wù)，包括樓宇科技、數(shù)據(jù)中心制冷，還包括工業(yè)技術(shù)、機(jī)器人與自動(dòng)化、醫(yī)療、物流等等。例如，華為最大的貴陽(yáng)數(shù)據(jù)中心，機(jī)房制冷就是美的樓宇科技提供的，根據(jù)美國(guó)商業(yè)專(zhuān)利數(shù)據(jù)庫(kù)的數(shù)據(jù)，美的專(zhuān)利在中國(guó)企業(yè)中排行第一，在世界排行第四，連續(xù)十幾年是世界500強(qiáng)，也被評(píng)為全球最有價(jià)值科技品牌Top100。

本次大會(huì)的主題跟AI相關(guān)，但實(shí)際上AI在很多企業(yè)并沒(méi)有起到大家所預(yù)期的價(jià)值。AI的基本功是數(shù)字化，數(shù)字化的基本功是數(shù)字化底座。如果把數(shù)字化比作一棟樓的話，數(shù)字化底座就像地基，地基決定著你的樓能蓋多高。

數(shù)字化底座的建設(shè)一共有兩個(gè)選項(xiàng)，一個(gè)是在自己的數(shù)據(jù)中心建設(shè)，另一個(gè)是在公有云上建設(shè)。

在自己的數(shù)據(jù)中心中建設(shè)，好處是什么？成本低。跟公有云相比，公有云是你在數(shù)據(jù)中心建設(shè)成本的6~10倍。在自己數(shù)據(jù)中心建設(shè)數(shù)字化底座的缺點(diǎn)是很難搞好，它有很多原因：

首先，技術(shù)非常老舊，很多底座都是誕生于90年代的技術(shù)，跟現(xiàn)在公有云的基于云原生的技術(shù)體系相比有代際差距。

其次是產(chǎn)品雜，大家買(mǎi)的軟件有商用的、有開(kāi)源的，互相之間無(wú)法聯(lián)動(dòng)，很多想實(shí)現(xiàn)的功能都實(shí)現(xiàn)不了。需要注意的是，所有開(kāi)源都不是直接給企業(yè)用的，都不是企業(yè)版。大多數(shù)企業(yè)駕馭不了開(kāi)源，因?yàn)樗械能浖加衎ug，包括開(kāi)源，當(dāng)系統(tǒng)出現(xiàn)故障的時(shí)候，絕大多數(shù)企業(yè)無(wú)法定位bug、更沒(méi)有修復(fù)開(kāi)源軟件bug的能力。

技術(shù)差、產(chǎn)品雜給企業(yè)帶來(lái)的是整個(gè)數(shù)字化底座的穩(wěn)定性和安全性很差。大的故障都是架構(gòu)和體系的問(wèn)題。信息安全不是一個(gè)信息安全團(tuán)隊(duì)就能搞好的，需要整個(gè)團(tuán)隊(duì)和公司的配合，尤其是基礎(chǔ)設(shè)施的配合。舉個(gè)例子，絕大多數(shù)企業(yè)的數(shù)據(jù)中心只有物理網(wǎng)絡(luò)，沒(méi)有虛擬網(wǎng)絡(luò)，這會(huì)導(dǎo)致一個(gè)很?chē)?yán)重的問(wèn)題是，你的業(yè)務(wù)之間隔離不開(kāi)。在一個(gè)數(shù)據(jù)中心里，用防火墻只能做大區(qū)域的隔離，比如做DMZ和內(nèi)網(wǎng)的隔離、或者數(shù)據(jù)中心與數(shù)據(jù)中心之間的隔離，但一個(gè)數(shù)據(jù)中心里業(yè)務(wù)系統(tǒng)可能有幾十上百個(gè)，這些業(yè)務(wù)系統(tǒng)之間無(wú)法隔離，一個(gè)系統(tǒng)被攻破，就全軍覆沒(méi)了。

另外，技術(shù)差，產(chǎn)品雜還給企業(yè)帶來(lái)效率低下，例如每個(gè)團(tuán)隊(duì)都要搭建運(yùn)維，比如中間件、數(shù)據(jù)庫(kù)等。

用公有云，不僅成本高，還會(huì)涉及多云的問(wèn)題，像美的，我們用了8朵云。為什么會(huì)用多個(gè)云？有很多原因，不同部門(mén)可能選了不同的云，包括公司在不同的歷史階段也可能選擇了不同的云，還有企業(yè)出海，你公司去海外開(kāi)展業(yè)務(wù)的地方，很可能你之前用的公有云在當(dāng)?shù)貨](méi)有開(kāi)服，那你只能用另外一朵公有云，大家要知道，沒(méi)有任何一個(gè)公有云在全世界任何地方都開(kāi)服。

但多云帶來(lái)的問(wèn)題，一是適配很難：每個(gè)公有云都是不兼容的，從一朵公有云遷移到另一朵公有云，需要做大量的業(yè)務(wù)改造，業(yè)界普遍情況是至少需要半年的改造時(shí)間，如果你半年內(nèi)能改造完，就已經(jīng)非常好了。其次，聯(lián)動(dòng)很難，會(huì)出現(xiàn)云孤島問(wèn)題、數(shù)據(jù)孤島的問(wèn)題。另外，多云也給運(yùn)維帶來(lái)高復(fù)雜度，因?yàn)槊慷涔性贫疾灰粯樱愕倪\(yùn)維團(tuán)隊(duì)需要一個(gè)一個(gè)去熟悉。

 二、GPU利用率翻五倍、運(yùn)維工單九成自動(dòng)化，美的做了什么？

我們以自己的數(shù)據(jù)中心為主，也用很多公有云，所以以上這些問(wèn)題和挑戰(zhàn)，美的都有。那美的怎么解決這些問(wèn)題呢？我們建設(shè)了一整套的云計(jì)算能力，這套云計(jì)算能力既可以部署在一個(gè)企業(yè)自己的數(shù)據(jù)中心，也可以部署在這個(gè)企業(yè)所使用的公有云上。本地的數(shù)據(jù)中心，企業(yè)直接買(mǎi)裸金屬服務(wù)器就可以；在公有云上，企業(yè)買(mǎi)虛擬機(jī)即可。也就是說(shuō)，數(shù)據(jù)中心的裸金屬之上、公有云的虛擬機(jī)以上，都是我們的整套云計(jì)算軟件。

這一架構(gòu)對(duì)企業(yè)來(lái)說(shuō)有什么好處？

首先，自有的數(shù)據(jù)中心擺脫了傳統(tǒng)計(jì)算虛擬化的陳舊模式，升級(jí)為云原生技術(shù)體系，跟主流公有云是一樣的技術(shù)體系。

其次，云下數(shù)據(jù)中心和云上公有云之間、以及不同公有云之間，就完全是一套技術(shù)體系了，應(yīng)用軟件從自有數(shù)據(jù)中心遷移到公有云、或從一朵公有云遷移到另一朵云上，不需要任何遷移改造。

第三，對(duì)一個(gè)企業(yè)所擁有的全部公有云上的資源及全部數(shù)據(jù)中心上的資源，我們是操作系統(tǒng)級(jí)別的統(tǒng)一納管統(tǒng)一調(diào)度。上層業(yè)務(wù)系統(tǒng)不需要感知底層部署環(huán)境，無(wú)論是 AWS、阿里云，還是其他硬件設(shè)施，體驗(yàn)完全一致，真正實(shí)現(xiàn)了“全球一張網(wǎng)，全球一朵云，一個(gè)企業(yè)一朵云”。

 

 

在統(tǒng)一的云底座之上，我們構(gòu)建了多層級(jí)的技術(shù)平臺(tái)矩陣：包括計(jì)算存儲(chǔ)和網(wǎng)絡(luò)的IaaS平臺(tái)、容器平臺(tái)、服務(wù)治理、API網(wǎng)關(guān)等的應(yīng)用管理PaaS平臺(tái)、AI算力平臺(tái)。包括自動(dòng)化運(yùn)維平臺(tái)和全棧監(jiān)控平臺(tái)的運(yùn)維平臺(tái)；大數(shù)據(jù)引擎平臺(tái)與大數(shù)據(jù)研發(fā)平臺(tái)；數(shù)據(jù)庫(kù)管理平臺(tái)、數(shù)據(jù)庫(kù)引擎平臺(tái)。此外，還自研了一套研發(fā)效能平臺(tái)，和集統(tǒng)一身份安全平臺(tái)、四合一終端安全平臺(tái)（包括零信任、準(zhǔn)入、 數(shù)據(jù)防止泄漏DLP、桌面管理）、自動(dòng)化攻擊模擬平臺(tái)、機(jī)密管理平臺(tái)于一體的安全平臺(tái)。

四年前，我剛加入美的時(shí)候，我們的底座技術(shù)架構(gòu)還處于一堆商用產(chǎn)品的“混搭”狀態(tài)，之后逐步進(jìn)行自研替換，例如我們自研的企業(yè)版Linux操作系統(tǒng)替換了RedHat，自研的軟件負(fù)載均衡替換了F5設(shè)備，自研的全棧監(jiān)控平臺(tái)替換Dynatrace，自研的大數(shù)據(jù)研發(fā)平臺(tái)替換Databricks，自研的大數(shù)據(jù)引擎平臺(tái)替換了Cloudera CDP，自研的零信任替換了Fortinet VPN，自研的DLP替換了McAfee DLP，自研的準(zhǔn)入替換了Forescout準(zhǔn)入，自研的桌管替換了聯(lián)軟的桌管。對(duì)業(yè)務(wù)來(lái)講，這一系列升級(jí)可以實(shí)現(xiàn)最快速的響應(yīng)——無(wú)論部署在公有云還是本地?cái)?shù)據(jù)中心，都可以做到一鍵部署、全球統(tǒng)一、無(wú)縫遷移。

接下來(lái)，我對(duì)各個(gè)部分稍微展開(kāi)進(jìn)行介紹。

對(duì)AI算力平臺(tái)，如果大家買(mǎi)了GPU的卡，沒(méi)有這個(gè)算力平臺(tái)，GPU利用率可能就只有10%；有了這個(gè)算力平臺(tái)，至少可以提升4~5倍，相當(dāng)于降本4~5倍。這套軟件下面，支持異構(gòu)的卡，國(guó)內(nèi)外的卡都支持。而且，我們的AI算力平臺(tái)既可以部署在本地的數(shù)據(jù)中心，也可以部署在公有云上。當(dāng)本地?cái)?shù)據(jù)中心的資源不夠時(shí)，任務(wù)會(huì)自動(dòng)彈到云上，不需要任何人的介入。

同時(shí)，我們還搭建了一套AI網(wǎng)關(guān)。在美的，AIGC能力已經(jīng)內(nèi)嵌在每個(gè)應(yīng)用系統(tǒng)里，而且很多應(yīng)用系統(tǒng)都允許終端用戶(hù)選擇用哪一個(gè)大模型。試想，用n代表應(yīng)用系統(tǒng)數(shù)量，用m代表大模型個(gè)數(shù)，我們就有n乘以m個(gè)大模型對(duì)接。這些模型對(duì)接有很多像安全審計(jì)、額度控制、計(jì)量計(jì)費(fèi)等共性能力。我們把這些共性的能力全部集成到我們的AI網(wǎng)關(guān)中，大幅降低重復(fù)開(kāi)發(fā)。

我們打造的自動(dòng)化運(yùn)維平臺(tái)，讓美的的系統(tǒng)與網(wǎng)絡(luò)運(yùn)維工作實(shí)現(xiàn)了95%的自動(dòng)化運(yùn)維率 —— 即95%的運(yùn)維工單無(wú)需人工介入，審批流程結(jié)束后即可自動(dòng)完成全流程操作，覆蓋物理機(jī)管理、網(wǎng)絡(luò)配置、防火墻管控、數(shù)據(jù)備份、腳本執(zhí)行、作業(yè)調(diào)度及CMDB同步等全場(chǎng)景。

以防火墻規(guī)則管理為例：一條新的防火墻規(guī)則經(jīng)審批通過(guò)后，會(huì)自動(dòng)下發(fā)至對(duì)應(yīng)設(shè)備。美的目前管理著500多臺(tái)防火墻，傳統(tǒng)模式下如需拉黑某個(gè)IP，運(yùn)維人員需逐臺(tái)登錄設(shè)備操作；但在這個(gè)平臺(tái)上，只需完成審批流程，指令就能瞬間同步到所有目標(biāo)防火墻。

再比如CMDB，數(shù)據(jù)不準(zhǔn)確是業(yè)界公認(rèn)的最大痛點(diǎn)，對(duì)此，我們做了大量自動(dòng)校準(zhǔn)的工作。一方面，在主機(jī)部署Agent，由Agent采集硬件信息與CMDB中的數(shù)據(jù)做對(duì)比，一旦發(fā)現(xiàn)不一致就會(huì)自動(dòng)報(bào)警；另一方面，我們會(huì)抓取網(wǎng)絡(luò)流量進(jìn)行校驗(yàn)，若某個(gè)IP地址在網(wǎng)絡(luò)流量中存在，但未錄入CMDB，即可判定為CMDB數(shù)據(jù)遺漏。要知道，CMDB是所有基礎(chǔ)設(shè)施數(shù)據(jù)的源頭。CMDB數(shù)據(jù)不準(zhǔn)的話，穩(wěn)定性不可能做好；舉個(gè)例子，如果一臺(tái)機(jī)器你都不知道它的存在，你當(dāng)然不會(huì)在這臺(tái)機(jī)器上部署監(jiān)控，而監(jiān)控不全肯定影響穩(wěn)定性。CMDB數(shù)據(jù)不準(zhǔn)的話，安全性不可能做好；舉個(gè)例子，如果一臺(tái)機(jī)器你都不知道它的存在，你當(dāng)然不會(huì)在這臺(tái)機(jī)器上部署主機(jī)防護(hù)，而防護(hù)不全肯定影響安全性。

我們的全棧監(jiān)控平臺(tái)，覆蓋從底層硬件到上層應(yīng)用的全鏈路。多數(shù)企業(yè)的監(jiān)控系統(tǒng)呈碎片化狀態(tài) —— 不同系統(tǒng)分別負(fù)責(zé)硬件、系統(tǒng)等單一維度的監(jiān)控，數(shù)據(jù)分散在各個(gè)平臺(tái)，故障發(fā)生時(shí)無(wú)法自動(dòng)做關(guān)聯(lián)分析，全靠手工，所以難以快速定位故障的位置。

對(duì)此，我們把所有數(shù)據(jù)收集聚合做綜合分析，包括物理機(jī)、存儲(chǔ)、網(wǎng)絡(luò)性能、端側(cè)等全維度監(jiān)控?cái)?shù)據(jù)。例如，我們的一個(gè)度量標(biāo)準(zhǔn)是用戶(hù)端到端體驗(yàn)。當(dāng)業(yè)務(wù)反饋系統(tǒng)卡頓，但技術(shù)側(cè)感知不明顯時(shí)，平臺(tái)就能一鍵生成完整調(diào)用鏈路，每個(gè)調(diào)用所消耗的時(shí)間都一目了然。另外，平臺(tái)會(huì)自動(dòng)監(jiān)控所有慢SQL語(yǔ)句，這類(lèi)語(yǔ)句在流量高峰時(shí)極易引發(fā)故障。

我們的大數(shù)據(jù)體系由兩大核心平臺(tái)構(gòu)成：引擎平臺(tái)負(fù)責(zé)底層數(shù)據(jù)計(jì)算，開(kāi)發(fā)平臺(tái)則承載代碼編寫(xiě)與數(shù)據(jù)治理功能，是一站式的大數(shù)據(jù)研發(fā)運(yùn)維平臺(tái)。開(kāi)發(fā)平臺(tái)整合了多源數(shù)據(jù)同步能力，支持離線與在線代碼分析，并內(nèi)置運(yùn)維、數(shù)據(jù)治理等能力。

我們的大數(shù)據(jù)平臺(tái)做了很多降本增效的能力，而這些能力是公有云上的大數(shù)據(jù)平臺(tái)所不具備的。對(duì)于公有云來(lái)說(shuō)，沒(méi)必要花很大的精力為了讓自己減少營(yíng)收。舉個(gè)例子，大多數(shù)企業(yè)的大數(shù)據(jù)集群都很大，而且有兩套集群：一套是生產(chǎn)集群、一套是開(kāi)發(fā)測(cè)試集群。一般來(lái)說(shuō)，生產(chǎn)數(shù)據(jù)要同步到開(kāi)發(fā)測(cè)試集群、在這個(gè)開(kāi)發(fā)測(cè)試集群進(jìn)行開(kāi)發(fā)測(cè)試，調(diào)試好之后才放到生產(chǎn)集群上跑。對(duì)我們的大數(shù)據(jù)平臺(tái)，只有一套數(shù)據(jù)，只有一套集群，就是生產(chǎn)集群，大數(shù)據(jù)開(kāi)發(fā)人員就在生產(chǎn)集群上做開(kāi)發(fā)。給開(kāi)發(fā)人員的感受是他可以在生產(chǎn)數(shù)據(jù)上進(jìn)行開(kāi)發(fā)、增刪查改，但這些動(dòng)作并不會(huì)真正污染生產(chǎn)數(shù)據(jù)。并且，開(kāi)發(fā)在白天、跑數(shù)在晚上，完美錯(cuò)峰，最大化提升集群資源利用率。

在數(shù)據(jù)治理方面，美的集團(tuán)的數(shù)據(jù)治理都在我們這個(gè)大數(shù)據(jù)平臺(tái)。我們數(shù)據(jù)治理能力很多，我這里以全自動(dòng)數(shù)據(jù)血緣分析為例講一下。可以圖形化展示表與表之間的血緣關(guān)聯(lián)關(guān)系，一旦某張表數(shù)據(jù)異常，就能快速定位受影響的下游數(shù)據(jù)鏈路。此外，AI 問(wèn)數(shù)功能已全面投入使用，已經(jīng)為美的業(yè)務(wù)部門(mén)落地了200多個(gè)應(yīng)用場(chǎng)景，讓業(yè)務(wù)人員通過(guò)自然語(yǔ)言就能完成數(shù)據(jù)分析。

大數(shù)據(jù)引擎平臺(tái)則與開(kāi)源生態(tài)全面兼容。我們聯(lián)合Intel開(kāi)展性能優(yōu)化，目前引擎運(yùn)行效率比開(kāi)源引擎高40%~60%。

我們還構(gòu)建了數(shù)據(jù)庫(kù)管理平臺(tái)，能對(duì)MySQL、Oracle等各類(lèi)開(kāi)源或商用數(shù)據(jù)庫(kù)的增刪查改等操作進(jìn)行統(tǒng)一管控。大多數(shù)企業(yè)的數(shù)據(jù)庫(kù)管理員、研發(fā)、測(cè)試等人都直連數(shù)據(jù)庫(kù)進(jìn)行操作，這樣做的問(wèn)題是無(wú)法進(jìn)行細(xì)粒度權(quán)限管控，而且看了什么、改了什么、刪了什么、增了什么都無(wú)法進(jìn)行審計(jì)。

在美的，我們禁止任何人直連數(shù)據(jù)庫(kù)，員工需要用個(gè)人賬戶(hù)登錄到這個(gè)平臺(tái)，對(duì)數(shù)據(jù)庫(kù)進(jìn)行操作，寫(xiě)各種SQL語(yǔ)句。我們會(huì)解析員工的SQL語(yǔ)句，判斷是否有權(quán)限，有則通過(guò)、無(wú)則要申請(qǐng)。

其次，數(shù)據(jù)庫(kù)管理員DBA需要很多工具，但是在很多企業(yè)這些工具都是缺失的。我們的數(shù)據(jù)庫(kù)管理平臺(tái)提供了幾乎全部DBA所需工具，包括數(shù)據(jù)歸檔、校驗(yàn)、優(yōu)化診斷等等。另外，我們的監(jiān)控平臺(tái)所監(jiān)控到的所有慢SQL，會(huì)自動(dòng)同步在這個(gè)數(shù)據(jù)庫(kù)管理平臺(tái)平臺(tái)上，然后這個(gè)平臺(tái)會(huì)利用AI大模型技術(shù)自動(dòng)生成慢SQL的修改建議。

在數(shù)據(jù)庫(kù)引擎平臺(tái)層面，我們認(rèn)為大多數(shù)企業(yè)用開(kāi)源數(shù)據(jù)庫(kù)的性能就夠了，尤其是制造業(yè)。但開(kāi)源數(shù)據(jù)庫(kù)能直接用嗎？所有的開(kāi)源軟件都不專(zhuān)業(yè)、都不是企業(yè)版，拿過(guò)來(lái)直接用的話，沒(méi)有高可用、高可靠或動(dòng)態(tài)擴(kuò)縮容這些企業(yè)級(jí)能力，數(shù)據(jù)庫(kù)會(huì)非常容易宕機(jī)。我們的數(shù)據(jù)庫(kù)引擎平臺(tái)就是對(duì)這些開(kāi)源數(shù)據(jù)庫(kù)進(jìn)行企業(yè)級(jí)能力增強(qiáng)，并且全部數(shù)據(jù)庫(kù)實(shí)現(xiàn)了服務(wù)化（即SaaS化）與容器化，業(yè)務(wù)部門(mén)根據(jù)需要申請(qǐng)數(shù)據(jù)庫(kù)實(shí)例就可以使用了，不需要自己搭建和運(yùn)維數(shù)據(jù)庫(kù)。

我們還打造了一整套的研發(fā)效能平臺(tái)，涵蓋項(xiàng)目管理、研發(fā)管理、自動(dòng)化測(cè)試、電控軟件開(kāi)發(fā)、全流程 AI 代碼生成及度量平臺(tái)等模塊。所有研發(fā)數(shù)據(jù)均沉淀到度量平臺(tái)，用于量化分析業(yè)務(wù)指標(biāo)與研發(fā)效率指標(biāo)。

在美的，AI代碼生成功能已經(jīng)進(jìn)入規(guī)模化實(shí)用階段了：

目前美的入庫(kù)代碼中，每四行代碼就有一行是AI寫(xiě)的，即AI代碼入庫(kù)率達(dá)25%。現(xiàn)在業(yè)界大多數(shù)度量不了AI代碼入庫(kù)率，只能度量采納率——原因在于大多數(shù)企業(yè)軟件開(kāi)發(fā)人員使用的是本地集成開(kāi)發(fā)環(huán)境IDE，無(wú)法采集到的開(kāi)發(fā)者的行為和代碼入庫(kù)情況，只能使用采納率來(lái)衡量，但是采納的的代碼未必最終入庫(kù)的代碼，采納的代碼有很多都是垃圾，需要修改或扔掉。所以其實(shí)采納率這個(gè)統(tǒng)計(jì)數(shù)據(jù)實(shí)際意義不大。而我們采用的是Cloud IDE，只有Cloud IDE 才能度量到入庫(kù)率。美的現(xiàn)在98%的軟件研發(fā)人員每天都在使用這個(gè)工具開(kāi)展編程工作。

 三、安全演練代價(jià)高？美的四年打磨終端安全平臺(tái)

密碼是信息安全的基石，但很多企業(yè)的密碼管理存在嚴(yán)重漏洞：應(yīng)用系統(tǒng)訪問(wèn)數(shù)據(jù)庫(kù)的密碼多直接寫(xiě)死在代碼中，一套密碼往往被多個(gè)業(yè)務(wù)系統(tǒng)所使用，導(dǎo)致密碼難以定期輪換，存在很大的脫庫(kù)風(fēng)險(xiǎn)；此外，運(yùn)維人員習(xí)慣用 “密碼本” 記錄各類(lèi)密碼，而這類(lèi)密碼本非常容易通過(guò)釣魚(yú)攻擊被竊取。

 

對(duì)此，我們搭建的機(jī)密管理平臺(tái)，采用認(rèn)證Token機(jī)制：業(yè)務(wù)系統(tǒng)通過(guò)臨時(shí)Token從平臺(tái)獲取數(shù)據(jù)庫(kù)密碼，平臺(tái)與數(shù)據(jù)庫(kù)實(shí)時(shí)打通，可自動(dòng)定期更換密碼，且業(yè)務(wù)側(cè)無(wú)需做任何改造。

第二，是自動(dòng)化攻擊模擬平臺(tái)。如何判斷一個(gè)企業(yè)信息安全的建設(shè)水平？這就需要實(shí)戰(zhàn)演練。但請(qǐng)攻擊隊(duì)的成本很高，每次幾十萬(wàn)。我們自研的攻擊模擬平臺(tái)可以讓企業(yè)7×24小時(shí)的自己攻擊自己，每天早上信息安全團(tuán)隊(duì)會(huì)收到報(bào)告，然后就可以根據(jù)這份報(bào)告整改。

對(duì)美的的終端安全，我們建設(shè)了一個(gè)四合一的終端安全平臺(tái)，包括零信任、DLP（數(shù)據(jù)防泄漏）、終端準(zhǔn)入、設(shè)備管控能力。

傳統(tǒng) VPN 只能提供四層網(wǎng)絡(luò)的防護(hù)，無(wú)法實(shí)現(xiàn)業(yè)務(wù)級(jí)精準(zhǔn)訪問(wèn)的控制——用戶(hù)登錄VPN后，可以訪問(wèn)內(nèi)網(wǎng)所有業(yè)務(wù)系統(tǒng)，且公司也無(wú)法限制訪問(wèn)時(shí)段，如夜間2點(diǎn)到6點(diǎn)禁止訪問(wèn)核心系統(tǒng)。零信任架構(gòu)則可以實(shí)現(xiàn)細(xì)粒度的業(yè)務(wù)權(quán)限與時(shí)間管控。

對(duì)DLP，我們調(diào)研了市面上所有的DLP產(chǎn)品，發(fā)現(xiàn)幾乎都是基于關(guān)鍵詞檢測(cè)技術(shù)的。基于這種老舊技術(shù)的DLP有很多問(wèn)題。第一，誤報(bào)率太高，信息安全的人完全查不過(guò)來(lái)。第二，即使能查得過(guò)來(lái)，信息安全人員也無(wú)法判斷一個(gè)外發(fā)文檔是不是機(jī)密，因?yàn)樾畔踩藛T的定位也不是精通公司技術(shù)。第三，這樣的DLP很容易被員工繞過(guò)，文件加個(gè)密就繞過(guò)了。我們的DLP采用 “只進(jìn)不出”的核心原則：公司配發(fā)的終端默認(rèn)禁止任何數(shù)據(jù)外發(fā)，所有外發(fā)都是基于白名單的機(jī)制。

對(duì)終端準(zhǔn)入，很多企業(yè)依然采用802.1x協(xié)議做準(zhǔn)入控制，這就需要逐臺(tái)配置路由器節(jié)點(diǎn)，工作量巨大。我們將準(zhǔn)入功能直接內(nèi)置在終端側(cè)，無(wú)需進(jìn)行網(wǎng)絡(luò)設(shè)備配置，大幅降低部署成本，提升部署和運(yùn)營(yíng)的效率。

以上是我們站在甲方視角打造的一整套數(shù)字化底座，實(shí)現(xiàn)了公有云與自有數(shù)據(jù)中心資源的全面整合，真正實(shí)現(xiàn)全球一張網(wǎng)，全球一朵云，一個(gè)企業(yè)一朵云。現(xiàn)在我們也做對(duì)外輸出，讓這個(gè)平臺(tái)賦能更多企業(yè)。感興趣的企業(yè)可以聯(lián)系我（郵箱：alexliu360@qq.com，請(qǐng)務(wù)必注明：公司-職務(wù)-姓名。）。謝謝大家。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。