“评估+保险”构建双重保障 云服务评估管理闭环先行完成

信息技术正悄然改变着世界,与之相伴的是风险在变异中演进。

以信息技术变革为中心的新技术的发展引发了人们对科技未来无限的畅想,特别是在AlphaGo战胜人类围棋冠军后,大数据、区块链、人工智能等技术引领的科技产业似乎正以不可逆转的姿态改变甚至颠覆经济社会。

前不久,中国保险监督管理委员会旗下保险智库提出,新技术发展正使社会进入风险高维化时代,云计算、物联网、人工智能等技术使得当今世界可供决策的维度急速提升,更加带来了风险的高维化。北京保险研究院首席研究员李晓林博士对此表示,“在科技颠覆传统世界运转规律之时,构建新的风险管理逻辑,成为新技术时代社会治理的首要逻辑。”

跨界创新双重保障模式

2017年7月,中国信息通信研究院与中国保险学会共同成立网络风险与保险实验室。作为网络风险管理与保险的前沿思考者,中国信息通信研究院与中国保险学会从发展与规范的角度,对网络保险管控的多维化、复杂化趋势展开跨界思考与实践研究。

从云服务商的角度来说,无论是全球最大的云服务商亚马逊AWS,还是堪称全球技术KOL的谷歌App Engine、苹果iCloud以及支付宝、携程等国内互联网企业,云服务宕机事故都不同程度发生。

在云计算这样一个牵一发而动全身的领域,防患于未然显得尤为重要。在保险的范畴中,保险人对自身所经营风险的正确和全面的认识是保障稳健经营的前提。与之相对应的,在云计算环境中,服务商对自身云服务经营风险的全面准确的认识,也是保障其服务持续性、安全性的重要前提。

为了保障这一过程的公正性与准确性,由权威机构进行云服务测试与风险评估必不可少。由中国信通院牵头的可信云在2016年正式写入ITU-T Y.3501标准中,代表了我国云计算产业在国际标准上拥有了更多的话语权。

在这一成熟的可信云服务认证基础之上,网络风险与保险实验室在国内首次提出:要以“事前风险评估+事后风险事故保险”双重保障的创新模式,来引导网络风险管理变革。

云服务风险评估管理闭环先行完成

基于中国信通院可信云评测工作积累以及云服务商对风险管理的迫切需求,网络风险与保险实验室对风险评估工作的探索在云计算厂商中最先开展。

由于云服务已经大规模替代传统IT承载了与众多行业企业生存发展息息相关的业务,不同发展程度的用户对看不见、摸不着的虚拟化层面疑云丛生。当以往常见的IT管理硬件、安全防护系统,特别是“硬件盒子”等,从企业IT采购名单上逐渐消失,云计算环境的风险该如何有效识别并加以管控?

为了解答这一问题,可信云团队基于云保险风险评估经验积累重新梳理云计算服务风险管控框架,从用户角度评估云服务抵御数据丢失、信息泄露、服务不可用等风险事故的能力,起草《云计算风险管理框架》标准,以风险评估、风险处置、风险接受、风险沟通与风险监测为五大主要环节,探索出了云服务风险评估的全流程闭环。

风险评估——找准靶心

为了确定云计算环境中潜在风险与可能带来的损失,《云计算风险管理框架》首先对云计算服务的关键点、威胁、脆弱性和现有风险管控措施进行充分的识别。

第一,对云计算服务基础设施、网络、计算资源、存储、应用、业务、数据、人员、管理规范、运维运营、风险整合划分等关键环节进行划分,并依据其在业务价值和可用性上的影响程度进行赋值。

第二,对可能构成潜在破坏的可能性因素进行定义和挖掘,包括环境因素、技术故障和认为因素等,对其明确进行分类,并对威胁出现的频率定义三级标准,以确定其对云计算服务关键点的影响程度。

第三,对云计算服务所依托的一个或多个系统、管理流程的弱点进行分析。试想一下,如果云计算服务足够健壮,那么再严重的威胁也不能造成损失,识别脆弱性成为有效加强风险管控的重要步骤,具体方法包括问卷调查、人工检测、人工核查、文档查阅以及渗透性测试等。

第四,与云计算服务关键点一一对应,识别云服务商已采取的风险管控措施,对其控制能力进行分级评估。

在完成了云计算服务风险识别之后,结合云计算服务的应用价值,《云计算风险管理框架》依据风险事件发生的可能性,结合关键点权重、威胁评级、管控能力评级等,提出云计算服务风险值指数计算标准。

1.风险处置——有效规避:基于云计算服务风险评估结果,可信云、云服务商、第三方共同通过风险降低、风险保持、风险回避和风险转移等方式对风险进行处置,来有效降低服务风险,寻求最具针对性的风险管控流程。

2.风险接受——实现可行:当风险评估值较低,仅存在造成损失较小、重复性较高的风险时,就可采取风险接受。

3.风险沟通——达成一致:云服务商内部以及云服务商和客户交换和共享风险存在、形式、可能性、严重性、处置和可接受性等信息,来达成协议。

4.风险监测——持续优化:通过定期重复对云计算可用性、网络连通性、网络流量、云计算软件漏洞、信息安全事件持续监测,及时发现新威胁和脆弱点,评审风险处置手段。

“IT风险好管家”可获云保险升级保障

经过如此完整的全过程评估、反馈与管理,不仅云服务商风险管控能力得到有效、合理的提升,更能为用户的云服务选择提供权威参考,为企业上云之路搭起安全可靠的保护。

据了解,网络风险与保险实验室的第一批可信云服务风险评估已经开展,完成评估的企业将被授予中国信息通信研究院与网络风险与保险创新实验室共同颁发的“IT风险好管家”证书。

复杂的云计算系统意味着越来越多的不可预测和不可控制,出现问题的风险都是始终存在的。因此,除了增强防患外,网络风险与保险实验室提出了一套切实可行的云保险方案。通过中国信通院、中国保险学会与人保财险、中国平安、渤海财险、云保久久等公司共同合作,分别面向云服务商与云计算用户的云保险1.0和云保险2.0产品在2016年起陆续推出,为业界提供专业的风险管理服务和网络保险的部署方案,保险公司的加入,为一定范围内的安全事故提供赔付,让云服务商与用户的权益得到了更加快速和实际的保障。

从云保险1.0到云保险2.0,云保险产品的保障范围正进一步延伸,服务方式日益灵活,未来将成为每个云服务厂商的服务“标配”,引领未来云计算服务变革。

“云计算服务风险评估”报名咨询:010-62300557;邮箱guoxue@ritt.cn;“云计算保险”服务咨询:18810651593 ;邮箱miaoshujun@yunbao99.com