從云服務商的角度來說�����,無論是全球最大的云服務商亞馬遜AWS���,還是堪稱全球技術KOL的谷歌App Engine、蘋果iCloud以及支付寶����、攜程等國內(nèi)互聯(lián)網(wǎng)企業(yè),云服務宕機事故都不同程度發(fā)生�。
在云計算這樣一個牽一發(fā)而動全身的領域,防患于未然顯得尤為重要�。在保險的范疇中,保險人對自身所經(jīng)營風險的正確和全面的認識是保障穩(wěn)健經(jīng)營的前提�����。與之相對應的�����,在云計算環(huán)境中�����,服務商對自身云服務經(jīng)營風險的全面準確的認識,也是保障其服務持續(xù)性����、安全性的重要前提。
為了保障這一過程的公正性與準確性����,由權威機構進行云服務測試與風險評估必不可少。由中國信通院牽頭的可信云在2016年正式寫入ITU-T Y.3501標準中���,代表了我國云計算產(chǎn)業(yè)在國際標準上擁有了更多的話語權���。
在這一成熟的可信云服務認證基礎之上,網(wǎng)絡風險與保險實驗室在國內(nèi)首次提出:要以“事前風險評估+事后風險事故保險”雙重保障的創(chuàng)新模式�,來引導網(wǎng)絡風險管理變革。
云服務風險評估管理閉環(huán)先行完成
基于中國信通院可信云評測工作積累以及云服務商對風險管理的迫切需求����,網(wǎng)絡風險與保險實驗室對風險評估工作的探索在云計算廠商中最先開展。
由于云服務已經(jīng)大規(guī)模替代傳統(tǒng)IT承載了與眾多行業(yè)企業(yè)生存發(fā)展息息相關的業(yè)務���,不同發(fā)展程度的用戶對看不見�、摸不著的虛擬化層面疑云叢生。當以往常見的IT管理硬件�、安全防護系統(tǒng)���,特別是“硬件盒子”等����,從企業(yè)IT采購名單上逐漸消失�����,云計算環(huán)境的風險該如何有效識別并加以管控���?
為了解答這一問題���,可信云團隊基于云保險風險評估經(jīng)驗積累重新梳理云計算服務風險管控框架,從用戶角度評估云服務抵御數(shù)據(jù)丟失����、信息泄露、服務不可用等風險事故的能力����,起草《云計算風險管理框架》標準,以風險評估、風險處置�����、風險接受����、風險溝通與風險監(jiān)測為五大主要環(huán)節(jié),探索出了云服務風險評估的全流程閉環(huán)����。
風險評估——找準靶心
為了確定云計算環(huán)境中潛在風險與可能帶來的損失,《云計算風險管理框架》首先對云計算服務的關鍵點�����、威脅�����、脆弱性和現(xiàn)有風險管控措施進行充分的識別�����。
第一����,對云計算服務基礎設施�、網(wǎng)絡��、計算資源��、存儲���、應用、業(yè)務��、數(shù)據(jù)�����、人員���、管理規(guī)范�、運維運營�、風險整合劃分等關鍵環(huán)節(jié)進行劃分,并依據(jù)其在業(yè)務價值和可用性上的影響程度進行賦值��。
第二�,對可能構成潛在破壞的可能性因素進行定義和挖掘,包括環(huán)境因素、技術故障和認為因素等�,對其明確進行分類,并對威脅出現(xiàn)的頻率定義三級標準�,以確定其對云計算服務關鍵點的影響程度。
第三����,對云計算服務所依托的一個或多個系統(tǒng)、管理流程的弱點進行分析����。試想一下,如果云計算服務足夠健壯����,那么再嚴重的威脅也不能造成損失,識別脆弱性成為有效加強風險管控的重要步驟����,具體方法包括問卷調查、人工檢測��、人工核查���、文檔查閱以及滲透性測試等���。
第四��,與云計算服務關鍵點一一對應�����,識別云服務商已采取的風險管控措施���,對其控制能力進行分級評估��。
在完成了云計算服務風險識別之后��,結合云計算服務的應用價值�����,《云計算風險管理框架》依據(jù)風險事件發(fā)生的可能性��,結合關鍵點權重�、威脅評級、管控能力評級等�����,提出云計算服務風險值指數(shù)計算標準。
1.風險處置——有效規(guī)避:基于云計算服務風險評估結果�,可信云、云服務商��、第三方共同通過風險降低��、風險保持�、風險回避和風險轉移等方式對風險進行處置,來有效降低服務風險����,尋求最具針對性的風險管控流程。
2.風險接受——實現(xiàn)可行:當風險評估值較低�,僅存在造成損失較小、重復性較高的風險時����,就可采取風險接受。
3.風險溝通——達成一致:云服務商內(nèi)部以及云服務商和客戶交換和共享風險存在��、形式�、可能性、嚴重性�、處置和可接受性等信息,來達成協(xié)議����。
4.風險監(jiān)測——持續(xù)優(yōu)化:通過定期重復對云計算可用性���、網(wǎng)絡連通性、網(wǎng)絡流量�����、云計算軟件漏洞��、信息安全事件持續(xù)監(jiān)測�����,及時發(fā)現(xiàn)新威脅和脆弱點�����,評審風險處置手段���。
“IT風險好管家”可獲云保險升級保障
經(jīng)過如此完整的全過程評估、反饋與管理���,不僅云服務商風險管控能力得到有效����、合理的提升,更能為用戶的云服務選擇提供權威參考�,為企業(yè)上云之路搭起安全可靠的保護。
據(jù)了解�,網(wǎng)絡風險與保險實驗室的第一批可信云服務風險評估已經(jīng)開展,完成評估的企業(yè)將被授予中國信息通信研究院與網(wǎng)絡風險與保險創(chuàng)新實驗室共同頒發(fā)的“IT風險好管家”證書��。
復雜的云計算系統(tǒng)意味著越來越多的不可預測和不可控制��,出現(xiàn)問題的風險都是始終存在的����。因此,除了增強防患外�,網(wǎng)絡風險與保險實驗室提出了一套切實可行的云保險方案。通過中國信通院�、中國保險學會與人保財險、中國平安���、渤海財險��、云保久久等公司共同合作��,分別面向云服務商與云計算用戶的云保險1.0和云保險2.0產(chǎn)品在2016年起陸續(xù)推出�,為業(yè)界提供專業(yè)的風險管理服務和網(wǎng)絡保險的部署方案,保險公司的加入�,為一定范圍內(nèi)的安全事故提供賠付,讓云服務商與用戶的權益得到了更加快速和實際的保障����。
從云保險1.0到云保險2.0,云保險產(chǎn)品的保障范圍正進一步延伸��,服務方式日益靈活�����,未來將成為每個云服務廠商的服務“標配”�,引領未來云計算服務變革。
“云計算服務風險評估”報名咨詢:010-62300557�����;郵箱guoxue@ritt.cn�;“云計算保險”服務咨詢:18810651593 �;郵箱miaoshujun@yunbao99.com
