從云服務(wù)商的角度來說，無論是全球最大的云服務(wù)商亞馬遜AWS，還是堪稱全球技術(shù)KOL的谷歌App Engine、蘋果iCloud以及支付寶、攜程等國內(nèi)互聯(lián)網(wǎng)企業(yè)，云服務(wù)宕機(jī)事故都不同程度發(fā)生。

在云計(jì)算這樣一個牽一發(fā)而動全身的領(lǐng)域，防患于未然顯得尤為重要。在保險的范疇中，保險人對自身所經(jīng)營風(fēng)險的正確和全面的認(rèn)識是保障穩(wěn)健經(jīng)營的前提。與之相對應(yīng)的，在云計(jì)算環(huán)境中，服務(wù)商對自身云服務(wù)經(jīng)營風(fēng)險的全面準(zhǔn)確的認(rèn)識，也是保障其服務(wù)持續(xù)性、安全性的重要前提。

為了保障這一過程的公正性與準(zhǔn)確性，由權(quán)威機(jī)構(gòu)進(jìn)行云服務(wù)測試與風(fēng)險評估必不可少。由中國信通院牽頭的可信云在2016年正式寫入ITU-T Y.3501標(biāo)準(zhǔn)中，代表了我國云計(jì)算產(chǎn)業(yè)在國際標(biāo)準(zhǔn)上擁有了更多的話語權(quán)。

在這一成熟的可信云服務(wù)認(rèn)證基礎(chǔ)之上，網(wǎng)絡(luò)風(fēng)險與保險實(shí)驗(yàn)室在國內(nèi)首次提出：要以“事前風(fēng)險評估+事后風(fēng)險事故保險”雙重保障的創(chuàng)新模式，來引導(dǎo)網(wǎng)絡(luò)風(fēng)險管理變革。

云服務(wù)風(fēng)險評估管理閉環(huán)先行完成

基于中國信通院可信云評測工作積累以及云服務(wù)商對風(fēng)險管理的迫切需求，網(wǎng)絡(luò)風(fēng)險與保險實(shí)驗(yàn)室對風(fēng)險評估工作的探索在云計(jì)算廠商中最先開展。

由于云服務(wù)已經(jīng)大規(guī)模替代傳統(tǒng)IT承載了與眾多行業(yè)企業(yè)生存發(fā)展息息相關(guān)的業(yè)務(wù)，不同發(fā)展程度的用戶對看不見、摸不著的虛擬化層面疑云叢生。當(dāng)以往常見的IT管理硬件、安全防護(hù)系統(tǒng)，特別是“硬件盒子”等，從企業(yè)IT采購名單上逐漸消失，云計(jì)算環(huán)境的風(fēng)險該如何有效識別并加以管控？

為了解答這一問題，可信云團(tuán)隊(duì)基于云保險風(fēng)險評估經(jīng)驗(yàn)積累重新梳理云計(jì)算服務(wù)風(fēng)險管控框架，從用戶角度評估云服務(wù)抵御數(shù)據(jù)丟失、信息泄露、服務(wù)不可用等風(fēng)險事故的能力，起草《云計(jì)算風(fēng)險管理框架》標(biāo)準(zhǔn)，以風(fēng)險評估、風(fēng)險處置、風(fēng)險接受、風(fēng)險溝通與風(fēng)險監(jiān)測為五大主要環(huán)節(jié)，探索出了云服務(wù)風(fēng)險評估的全流程閉環(huán)。

風(fēng)險評估——找準(zhǔn)靶心

為了確定云計(jì)算環(huán)境中潛在風(fēng)險與可能帶來的損失，《云計(jì)算風(fēng)險管理框架》首先對云計(jì)算服務(wù)的關(guān)鍵點(diǎn)、威脅、脆弱性和現(xiàn)有風(fēng)險管控措施進(jìn)行充分的識別。

第一，對云計(jì)算服務(wù)基礎(chǔ)設(shè)施、網(wǎng)絡(luò)、計(jì)算資源、存儲、應(yīng)用、業(yè)務(wù)、數(shù)據(jù)、人員、管理規(guī)范、運(yùn)維運(yùn)營、風(fēng)險整合劃分等關(guān)鍵環(huán)節(jié)進(jìn)行劃分，并依據(jù)其在業(yè)務(wù)價值和可用性上的影響程度進(jìn)行賦值。

第二，對可能構(gòu)成潛在破壞的可能性因素進(jìn)行定義和挖掘，包括環(huán)境因素、技術(shù)故障和認(rèn)為因素等，對其明確進(jìn)行分類，并對威脅出現(xiàn)的頻率定義三級標(biāo)準(zhǔn)，以確定其對云計(jì)算服務(wù)關(guān)鍵點(diǎn)的影響程度。

第三，對云計(jì)算服務(wù)所依托的一個或多個系統(tǒng)、管理流程的弱點(diǎn)進(jìn)行分析。試想一下，如果云計(jì)算服務(wù)足夠健壯，那么再嚴(yán)重的威脅也不能造成損失，識別脆弱性成為有效加強(qiáng)風(fēng)險管控的重要步驟，具體方法包括問卷調(diào)查、人工檢測、人工核查、文檔查閱以及滲透性測試等。

第四，與云計(jì)算服務(wù)關(guān)鍵點(diǎn)一一對應(yīng)，識別云服務(wù)商已采取的風(fēng)險管控措施，對其控制能力進(jìn)行分級評估。

在完成了云計(jì)算服務(wù)風(fēng)險識別之后，結(jié)合云計(jì)算服務(wù)的應(yīng)用價值，《云計(jì)算風(fēng)險管理框架》依據(jù)風(fēng)險事件發(fā)生的可能性，結(jié)合關(guān)鍵點(diǎn)權(quán)重、威脅評級、管控能力評級等，提出云計(jì)算服務(wù)風(fēng)險值指數(shù)計(jì)算標(biāo)準(zhǔn)。

1.風(fēng)險處置——有效規(guī)避：基于云計(jì)算服務(wù)風(fēng)險評估結(jié)果，可信云、云服務(wù)商、第三方共同通過風(fēng)險降低、風(fēng)險保持、風(fēng)險回避和風(fēng)險轉(zhuǎn)移等方式對風(fēng)險進(jìn)行處置，來有效降低服務(wù)風(fēng)險，尋求最具針對性的風(fēng)險管控流程。

2.風(fēng)險接受——實(shí)現(xiàn)可行：當(dāng)風(fēng)險評估值較低，僅存在造成損失較小、重復(fù)性較高的風(fēng)險時，就可采取風(fēng)險接受。

3.風(fēng)險溝通——達(dá)成一致：云服務(wù)商內(nèi)部以及云服務(wù)商和客戶交換和共享風(fēng)險存在、形式、可能性、嚴(yán)重性、處置和可接受性等信息，來達(dá)成協(xié)議。

4.風(fēng)險監(jiān)測——持續(xù)優(yōu)化：通過定期重復(fù)對云計(jì)算可用性、網(wǎng)絡(luò)連通性、網(wǎng)絡(luò)流量、云計(jì)算軟件漏洞、信息安全事件持續(xù)監(jiān)測，及時發(fā)現(xiàn)新威脅和脆弱點(diǎn)，評審風(fēng)險處置手段。

“IT風(fēng)險好管家”可獲云保險升級保障

經(jīng)過如此完整的全過程評估、反饋與管理，不僅云服務(wù)商風(fēng)險管控能力得到有效、合理的提升，更能為用戶的云服務(wù)選擇提供權(quán)威參考，為企業(yè)上云之路搭起安全可靠的保護(hù)。

據(jù)了解，網(wǎng)絡(luò)風(fēng)險與保險實(shí)驗(yàn)室的第一批可信云服務(wù)風(fēng)險評估已經(jīng)開展，完成評估的企業(yè)將被授予中國信息通信研究院與網(wǎng)絡(luò)風(fēng)險與保險創(chuàng)新實(shí)驗(yàn)室共同頒發(fā)的“IT風(fēng)險好管家”證書。

復(fù)雜的云計(jì)算系統(tǒng)意味著越來越多的不可預(yù)測和不可控制，出現(xiàn)問題的風(fēng)險都是始終存在的。因此，除了增強(qiáng)防患外，網(wǎng)絡(luò)風(fēng)險與保險實(shí)驗(yàn)室提出了一套切實(shí)可行的云保險方案。通過中國信通院、中國保險學(xué)會與人保財(cái)險、中國平安、渤海財(cái)險、云保久久等公司共同合作，分別面向云服務(wù)商與云計(jì)算用戶的云保險1.0和云保險2.0產(chǎn)品在2016年起陸續(xù)推出，為業(yè)界提供專業(yè)的風(fēng)險管理服務(wù)和網(wǎng)絡(luò)保險的部署方案，保險公司的加入，為一定范圍內(nèi)的安全事故提供賠付，讓云服務(wù)商與用戶的權(quán)益得到了更加快速和實(shí)際的保障。

從云保險1.0到云保險2.0，云保險產(chǎn)品的保障范圍正進(jìn)一步延伸，服務(wù)方式日益靈活，未來將成為每個云服務(wù)廠商的服務(wù)“標(biāo)配”，引領(lǐng)未來云計(jì)算服務(wù)變革。

“云計(jì)算服務(wù)風(fēng)險評估”報(bào)名咨詢：010-62300557；郵箱guoxue@ritt.cn；“云計(jì)算保險”服務(wù)咨詢：18810651593 ；郵箱miaoshujun@yunbao99.com

xiesc

<big id="jk9j0"></big>