從云服務(wù)商的角度來(lái)說(shuō),無(wú)論是全球最大的云服務(wù)商亞馬遜AWS����,還是堪稱全球技術(shù)KOL的谷歌App Engine、蘋果iCloud以及支付寶���、攜程等國(guó)內(nèi)互聯(lián)網(wǎng)企業(yè)����,云服務(wù)宕機(jī)事故都不同程度發(fā)生����。
在云計(jì)算這樣一個(gè)牽一發(fā)而動(dòng)全身的領(lǐng)域,防患于未然顯得尤為重要�����。在保險(xiǎn)的范疇中����,保險(xiǎn)人對(duì)自身所經(jīng)營(yíng)風(fēng)險(xiǎn)的正確和全面的認(rèn)識(shí)是保障穩(wěn)健經(jīng)營(yíng)的前提。與之相對(duì)應(yīng)的�,在云計(jì)算環(huán)境中,服務(wù)商對(duì)自身云服務(wù)經(jīng)營(yíng)風(fēng)險(xiǎn)的全面準(zhǔn)確的認(rèn)識(shí)��,也是保障其服務(wù)持續(xù)性、安全性的重要前提���。
為了保障這一過(guò)程的公正性與準(zhǔn)確性�,由權(quán)威機(jī)構(gòu)進(jìn)行云服務(wù)測(cè)試與風(fēng)險(xiǎn)評(píng)估必不可少���。由中國(guó)信通院牽頭的可信云在2016年正式寫入ITU-T Y.3501標(biāo)準(zhǔn)中�����,代表了我國(guó)云計(jì)算產(chǎn)業(yè)在國(guó)際標(biāo)準(zhǔn)上擁有了更多的話語(yǔ)權(quán)�����。
在這一成熟的可信云服務(wù)認(rèn)證基礎(chǔ)之上�,網(wǎng)絡(luò)風(fēng)險(xiǎn)與保險(xiǎn)實(shí)驗(yàn)室在國(guó)內(nèi)首次提出:要以“事前風(fēng)險(xiǎn)評(píng)估+事后風(fēng)險(xiǎn)事故保險(xiǎn)”雙重保障的創(chuàng)新模式����,來(lái)引導(dǎo)網(wǎng)絡(luò)風(fēng)險(xiǎn)管理變革。
云服務(wù)風(fēng)險(xiǎn)評(píng)估管理閉環(huán)先行完成
基于中國(guó)信通院可信云評(píng)測(cè)工作積累以及云服務(wù)商對(duì)風(fēng)險(xiǎn)管理的迫切需求�,網(wǎng)絡(luò)風(fēng)險(xiǎn)與保險(xiǎn)實(shí)驗(yàn)室對(duì)風(fēng)險(xiǎn)評(píng)估工作的探索在云計(jì)算廠商中最先開(kāi)展����。
由于云服務(wù)已經(jīng)大規(guī)模替代傳統(tǒng)IT承載了與眾多行業(yè)企業(yè)生存發(fā)展息息相關(guān)的業(yè)務(wù)����,不同發(fā)展程度的用戶對(duì)看不見(jiàn)����、摸不著的虛擬化層面疑云叢生。當(dāng)以往常見(jiàn)的IT管理硬件�、安全防護(hù)系統(tǒng),特別是“硬件盒子”等�����,從企業(yè)IT采購(gòu)名單上逐漸消失�����,云計(jì)算環(huán)境的風(fēng)險(xiǎn)該如何有效識(shí)別并加以管控�?
為了解答這一問(wèn)題,可信云團(tuán)隊(duì)基于云保險(xiǎn)風(fēng)險(xiǎn)評(píng)估經(jīng)驗(yàn)積累重新梳理云計(jì)算服務(wù)風(fēng)險(xiǎn)管控框架���,從用戶角度評(píng)估云服務(wù)抵御數(shù)據(jù)丟失�、信息泄露�、服務(wù)不可用等風(fēng)險(xiǎn)事故的能力,起草《云計(jì)算風(fēng)險(xiǎn)管理框架》標(biāo)準(zhǔn),以風(fēng)險(xiǎn)評(píng)估����、風(fēng)險(xiǎn)處置、風(fēng)險(xiǎn)接受�、風(fēng)險(xiǎn)溝通與風(fēng)險(xiǎn)監(jiān)測(cè)為五大主要環(huán)節(jié),探索出了云服務(wù)風(fēng)險(xiǎn)評(píng)估的全流程閉環(huán)�����。
風(fēng)險(xiǎn)評(píng)估——找準(zhǔn)靶心
為了確定云計(jì)算環(huán)境中潛在風(fēng)險(xiǎn)與可能帶來(lái)的損失���,《云計(jì)算風(fēng)險(xiǎn)管理框架》首先對(duì)云計(jì)算服務(wù)的關(guān)鍵點(diǎn)���、威脅、脆弱性和現(xiàn)有風(fēng)險(xiǎn)管控措施進(jìn)行充分的識(shí)別��。
第一����,對(duì)云計(jì)算服務(wù)基礎(chǔ)設(shè)施、網(wǎng)絡(luò)����、計(jì)算資源、存儲(chǔ)�����、應(yīng)用�����、業(yè)務(wù)���、數(shù)據(jù)��、人員���、管理規(guī)范、運(yùn)維運(yùn)營(yíng)���、風(fēng)險(xiǎn)整合劃分等關(guān)鍵環(huán)節(jié)進(jìn)行劃分���,并依據(jù)其在業(yè)務(wù)價(jià)值和可用性上的影響程度進(jìn)行賦值。
第二�����,對(duì)可能構(gòu)成潛在破壞的可能性因素進(jìn)行定義和挖掘,包括環(huán)境因素��、技術(shù)故障和認(rèn)為因素等�,對(duì)其明確進(jìn)行分類,并對(duì)威脅出現(xiàn)的頻率定義三級(jí)標(biāo)準(zhǔn)��,以確定其對(duì)云計(jì)算服務(wù)關(guān)鍵點(diǎn)的影響程度�����。
第三�����,對(duì)云計(jì)算服務(wù)所依托的一個(gè)或多個(gè)系統(tǒng)��、管理流程的弱點(diǎn)進(jìn)行分析�����。試想一下����,如果云計(jì)算服務(wù)足夠健壯,那么再嚴(yán)重的威脅也不能造成損失����,識(shí)別脆弱性成為有效加強(qiáng)風(fēng)險(xiǎn)管控的重要步驟�����,具體方法包括問(wèn)卷調(diào)查、人工檢測(cè)�����、人工核查�、文檔查閱以及滲透性測(cè)試等。
第四�,與云計(jì)算服務(wù)關(guān)鍵點(diǎn)一一對(duì)應(yīng),識(shí)別云服務(wù)商已采取的風(fēng)險(xiǎn)管控措施�,對(duì)其控制能力進(jìn)行分級(jí)評(píng)估。
在完成了云計(jì)算服務(wù)風(fēng)險(xiǎn)識(shí)別之后����,結(jié)合云計(jì)算服務(wù)的應(yīng)用價(jià)值,《云計(jì)算風(fēng)險(xiǎn)管理框架》依據(jù)風(fēng)險(xiǎn)事件發(fā)生的可能性�����,結(jié)合關(guān)鍵點(diǎn)權(quán)重��、威脅評(píng)級(jí)、管控能力評(píng)級(jí)等���,提出云計(jì)算服務(wù)風(fēng)險(xiǎn)值指數(shù)計(jì)算標(biāo)準(zhǔn)�。
1.風(fēng)險(xiǎn)處置——有效規(guī)避:基于云計(jì)算服務(wù)風(fēng)險(xiǎn)評(píng)估結(jié)果�,可信云、云服務(wù)商�����、第三方共同通過(guò)風(fēng)險(xiǎn)降低�、風(fēng)險(xiǎn)保持、風(fēng)險(xiǎn)回避和風(fēng)險(xiǎn)轉(zhuǎn)移等方式對(duì)風(fēng)險(xiǎn)進(jìn)行處置��,來(lái)有效降低服務(wù)風(fēng)險(xiǎn)��,尋求最具針對(duì)性的風(fēng)險(xiǎn)管控流程����。
2.風(fēng)險(xiǎn)接受——實(shí)現(xiàn)可行:當(dāng)風(fēng)險(xiǎn)評(píng)估值較低,僅存在造成損失較小���、重復(fù)性較高的風(fēng)險(xiǎn)時(shí)�,就可采取風(fēng)險(xiǎn)接受����。
3.風(fēng)險(xiǎn)溝通——達(dá)成一致:云服務(wù)商內(nèi)部以及云服務(wù)商和客戶交換和共享風(fēng)險(xiǎn)存在��、形式��、可能性�、嚴(yán)重性��、處置和可接受性等信息���,來(lái)達(dá)成協(xié)議。
4.風(fēng)險(xiǎn)監(jiān)測(cè)——持續(xù)優(yōu)化:通過(guò)定期重復(fù)對(duì)云計(jì)算可用性�、網(wǎng)絡(luò)連通性、網(wǎng)絡(luò)流量�����、云計(jì)算軟件漏洞����、信息安全事件持續(xù)監(jiān)測(cè),及時(shí)發(fā)現(xiàn)新威脅和脆弱點(diǎn)�,評(píng)審風(fēng)險(xiǎn)處置手段。
“IT風(fēng)險(xiǎn)好管家”可獲云保險(xiǎn)升級(jí)保障
經(jīng)過(guò)如此完整的全過(guò)程評(píng)估�����、反饋與管理,不僅云服務(wù)商風(fēng)險(xiǎn)管控能力得到有效��、合理的提升�����,更能為用戶的云服務(wù)選擇提供權(quán)威參考��,為企業(yè)上云之路搭起安全可靠的保護(hù)�。
據(jù)了解,網(wǎng)絡(luò)風(fēng)險(xiǎn)與保險(xiǎn)實(shí)驗(yàn)室的第一批可信云服務(wù)風(fēng)險(xiǎn)評(píng)估已經(jīng)開(kāi)展�����,完成評(píng)估的企業(yè)將被授予中國(guó)信息通信研究院與網(wǎng)絡(luò)風(fēng)險(xiǎn)與保險(xiǎn)創(chuàng)新實(shí)驗(yàn)室共同頒發(fā)的“IT風(fēng)險(xiǎn)好管家”證書(shū)���。
復(fù)雜的云計(jì)算系統(tǒng)意味著越來(lái)越多的不可預(yù)測(cè)和不可控制�,出現(xiàn)問(wèn)題的風(fēng)險(xiǎn)都是始終存在的��。因此����,除了增強(qiáng)防患外����,網(wǎng)絡(luò)風(fēng)險(xiǎn)與保險(xiǎn)實(shí)驗(yàn)室提出了一套切實(shí)可行的云保險(xiǎn)方案����。通過(guò)中國(guó)信通院、中國(guó)保險(xiǎn)學(xué)會(huì)與人保財(cái)險(xiǎn)�、中國(guó)平安、渤海財(cái)險(xiǎn)�����、云保久久等公司共同合作��,分別面向云服務(wù)商與云計(jì)算用戶的云保險(xiǎn)1.0和云保險(xiǎn)2.0產(chǎn)品在2016年起陸續(xù)推出�����,為業(yè)界提供專業(yè)的風(fēng)險(xiǎn)管理服務(wù)和網(wǎng)絡(luò)保險(xiǎn)的部署方案����,保險(xiǎn)公司的加入�����,為一定范圍內(nèi)的安全事故提供賠付,讓云服務(wù)商與用戶的權(quán)益得到了更加快速和實(shí)際的保障����。
從云保險(xiǎn)1.0到云保險(xiǎn)2.0,云保險(xiǎn)產(chǎn)品的保障范圍正進(jìn)一步延伸�����,服務(wù)方式日益靈活����,未來(lái)將成為每個(gè)云服務(wù)廠商的服務(wù)“標(biāo)配”,引領(lǐng)未來(lái)云計(jì)算服務(wù)變革�����。
“云計(jì)算服務(wù)風(fēng)險(xiǎn)評(píng)估”報(bào)名咨詢:010-62300557��;郵箱guoxue@ritt.cn���;“云計(jì)算保險(xiǎn)”服務(wù)咨詢:18810651593 ����;郵箱miaoshujun@yunbao99.com
果-1.jpg)
