風起云涌的2017年，云計算、大數據、人工智能和物聯網等領域的快速發展，帶動了數據存儲、計算和網絡流量需求的增加。技術創新驅動了IDC和云計算市場規模快速增長，產業前景極為看好。

10年積累的成都做網站、成都網站建設經驗，可以快速應對客戶對網站的新想法和需求。提供各種問題對應的解決方案。讓選擇我們的客戶得到更好、更有力的網絡服務。我雖然不認識你，你也不認識我。但先網站設計后付款的網站建設流程，更有烏蘭察布免費網站建設讓你可以放心的選擇與我們合作。

中國IDC產業年度大典，作為國內規模大、導向性最強、覆蓋面最廣的行業會議。第十二屆中國IDC產業年度大典（IDCC2017）于12月20-22日在北京國家會議中心隆重召開。

12月22日，《IDC及云計算國際合作論壇》作為IDCC2017的分議程之一，中國信息通信研究院云計算與大數據研究所 郭雪出席此次會議，并作《網絡安全法下的云計算和IDC風險管理新趨勢》主題演講。

演講實錄如下：

郭雪：“大家好！我是信通院的郭雪。今天想跟大家分享的就是這個題目，網絡安全法下云計算風險管理的新趨勢。我相信，可能很多同學，包括對我們單位也不是特別了解，我先簡單的介紹一下自己。我是中國信息通信研究院的，信通院是工信部下屬的國家級事業單位，我是云計算、大數據研究所云計算部的，也就是當前比較火的可信云團隊的一個成員之一，也是憑借著可信云多年的評測標準經驗，所以在這兒跟大家分享的也是我們對云計算，包括對數據中心的一些理解，包括尤其今年《網絡安全法》實施以來對云計算風險的管理會造成什么樣的影響。今天主要想跟大家探討這樣一個問題。

首先，先跟大家回顧一下《網絡安全法》，大家已經有了仔細的通讀和研究，也是帶大家一起回顧一下。《網絡安全法》今年6月1號正式實施，實施之后我發現對業界的影響還是非常大的，發現業界更多的去關注了安全問題，風險問題。這個全文一共七章79條，我也是逐條去研究，主要說什么事呢？但是回顧一下，第一章和最后章不說了，總則和目標。第二章講政府要予以一些相關支持。第三章，運行安全，講網絡需要保證一定的運行安全，其中特別提到關鍵信息基礎設施，什么是關鍵信息基礎設施，一會兒我有一個簡單的介紹。第四章說的就是信息安全要去保障用戶數據。第五章主要講需要有一個整個過程中的監測，以及事后的應急處置，這是整個《網絡安全法》一個大體的脈絡。我們可以發現它的關注重點，我剛才說的兩點就是運行安全和信息安全。

然后我們把其中跟風險相關的條拿出來給大家看一看，其中全文多次提到風險的問題，包括風險評估，要求相關單位要去進行事先的一個風險評估。同時，他提到風險處置，出現問題之后，要有一些應急響應的預案，快速進行風險事故的處置，這是整個可以說對安全，對風險問題提的比較多。

然后，特別我剛才說了，針對關鍵信息基礎設施，它提出了一個更高的要求。針對關鍵信息基礎設施，要求每年進行一次檢測評估，要求有相關的部門進行抽查。這里其實針對《關鍵信息基礎設施保護條例》今年也是7月份的時候發了征求意見稿，我們單位也是作為網信辦關于信息基礎設施保護處的一個支撐單位，對這個范圍做了界定。但是，目前這個條例還在征求意見中。什么是關鍵信息基礎設施，其實就是八大行業，金融、教育等八大行業，關系到國民生計，國家安危的這些信息系統，目前還沒有一個準確的定論，有些定義說是關鍵行業，傳統行業的多個比較關鍵的信息系統，也有說是三級以上的信息系統，目前網信辦還沒有給出一個明確的定義，因為條例還在征求意見中。不管怎么樣，所以我們是要對關鍵信息基礎設施提出一個更高的要求，每年進行風險評估。所以，整個《網絡安全法》環境下面，我發現對風險管理提出了一個非常高的要求，這是第一個大背景，《網絡安全法》今年提出。因為本身我自己是做云計算出身的，所以簡單跟大家說說云計算這兩年的發展。

這是我們院今年的白皮書的一個結果，大家可以看到云計算前兩年，確實是快速發展。然后，這兩年可能進入了一個平穩期，就是發展沒有那么迅速，相對來說更平穩一些。然后，這個給出了一個數據，2017年預計整個市場規模會達到600多億，2/3會是私有云的比例。然后，1/3是公有云的比例。當然，因為云計算到現在來說，應該說市場也比較成熟了，這個定位逐漸成為基礎設施了，云計算跟數據中心一樣作為基礎設施提供給用戶了。然后我們發現云計算逐漸進行行業化的運營，也可以說逐漸應用到關鍵信息基礎設施，逐漸應用到傳統行業的用戶中，也是我們給了四個行業。像政務云也是我們重點研究的領域，2016年市場規模已經達到90多億。包括全國2/3的省份都提出要上政務云平臺。包括工業也是比較火，尤其一些制造云，也是提出要與一些云計算企業開展合作，建移動云平臺。比如金融，像銀行、保險、證券都有一些云計算應用，尤其銀行像建行在建自己的私有云，一些保險可能會使用一些行業云，類似這樣的案例非常多。像醫療，一些遠程診療，病理信息，在應用云計算。云計算在傳統行業的應用也更加深入，剛才兩張片子就是說，在當前這個形勢下，一方面云計算快速發展，另一方面《網絡安全法》對安全提出了一個非常高的要求。那么，針對云計算的風險管理，應該是逐漸的引起了大家的重視。包括今天我們大家探討的也是針對云計算我們怎么進行風險管理。

首先，我給出的例子，針對云計算、數據中心每年發生的事故還是非常多的，我給出了一些今年可能有一些比較大的案例，包括去年。我們發現有些事故是由電力原因造成的，包括斷電，有些是由于網絡原因造成的。包括網絡原因造成的對數據中心，對數據中心上層的云計算用用戶都有非常大的影響，還有DDoS攻擊，這個基本上每天都會發生。所以，數據中心面臨的事故還是非常多的。

這里我們也是對風險種類進行了一個總結，也就是對云計算，對數據中心來說，可能面臨的風險有哪些。在我們看來，一方面是外部風險，外部風險怎么理解？就是天災人禍，就是火災，包括天津的事件，當時也是對當地的很多數據中心也是造成影響了。包括第三方的風險，包括網絡攻擊，DDoS攻擊也是非常頻繁的，第一方面是外部風險。

第二方面，針對運營系統本身的風險，可能包括軟件風險、硬件風險、接入風險。那么，云計算做云化之后會帶來一些新的風險點，包括共享技術風險，包括一些牽引的風險，除此之外還有運營主體的風險，包括一些內部員工的惡劣行為，同時還有一些商業風險。

風險這里再給出大家另外一個調研結構，這是其中一份研究報告，這個是給數據中心面臨的一個數據中心風險因素的統計，發現20%多是設備造成，20%多是DDoS攻擊，發現網絡、設備、人員都是導致數據中心風險的主要因素，這里也是對整個風險做了一個分類，以及主要的因素做了這樣一個調研。

所以說，在這樣一個背景之下，我們發現云計算的風險管理應該說是迫在眉睫。到底應該怎么做呢？各個國家也在探索方法，其實怎么解決降低風險，各個國家也在探索，我們已經對各個國家做了一個調研，發現美國以市場引導為主，去開展也是有相關的標準，NIST已經推了一些信息技術風險管理的相關標準，同時引入商業的風險專業，2010年建立了商業的保險公司，歐盟也是以政府監管為主，專門的信息安全局去做云計算的風險評估，也會定期出研究報告，同時也有公司提供保險的這個服務。

所以，借鑒全球目前大家的思路，我們也在想，我國能做哪些事情呢？就是我們國家針對云計算的風險能做哪些事情？這是個人考慮，我們發現對于我國的云計算風險管理我們也是在思考能做哪些事情。一方面，我們發現風險肯定是在所難免的，大家都極力的提高的可用性，99.99%，還是99.999%，無論怎么提高，風險是在所難免的。我是可信云團隊的，可信云評估過程中大家發現每年云計算出現事故的問題真是五花八門，什么樣都有，可能超乎自己的想象，尤其一些人為操作的行為。所以，不管怎么樣，風險事件是在所難免的。另一方面，有沒有可能建立一個公共安全的平臺，就是說我們希望能建立一套動態的這樣一個威脅情報，或者風險信息的共享機制。

所以，針對我國可能有三個方面的事情去做。一方面是政府引導，國家已經出了相應的文，我們發現今年的政策環境，不管是開展安全相關的工作，還是風險管理相關的工作都是非常有利的。另外一塊，針對風險評估，我們也在想針對云計算的風險評估跟傳統的風險評估是不是應該一樣，可能有一些變化，本身做了虛擬化之后肯定要有一些變化。

除此之外，因為我們看到美國和歐盟都有一些保險公司，我們國內是不是也可以開展用經濟方法保證風險的方法。我們院也是開展了云計算風險管理相關標準的研究，目前標準基本上已經開始報批了，已經送審完畢。針對云計算的風險評估我們梳理它的一些評估的方法，包括要對它的基礎設施、網絡、計算資源、存儲資源應用、業務、數據、人員、管理規范、運營運維、風險整合劃分等等多個方面，多個點進行風險評估。

第一個角度，我們覺得要梳理基礎風險。基礎風險相當于從云計算的架構出發，逐層梳理它的技術風險。其實相當于評估它的容災能力，防御能力，還有修復能力，我們會從基礎設施，包括他是不是具備一些冗余，這是數據中心層的，包括建筑結構，是不是具備一些冗余，包括消防安全。網絡層，一方面關心它的外網網絡質量，另一方面關心他的網絡架構，怎么進行防護控制，怎么防入侵。計算資源我們會看怎么做冗余，這種情況下怎么做高可用，怎么避免單點故障。存儲資源也是要看它的冗余，包括存儲設備冗余，以及數據的備份策略，應用層也是要看外部保護。數據層，也是大家比較關心的，也是重點我們要去考察的，包括我們要去考察數據的持久性、可用性和私密性。

另一方面，除了技術風險之外，我們還要考慮它的管理風險，這就是以管理制度為突破口，然后我們去考察相當于云服務商的管理風險，包括考察它是否具備問題管理等等一些流程，通過流程性的文件、文檔，考察管理風險。

還有一方面是評估人員和運維，評估它的操作風險。因為在我們評估過程中發現誤操作占到40%左右，在我們可信云這邊，占到40%左右的事故原因，所以對預案的一些行為審計，包括背景調查是非常重要的，所以我們也要進行人員和運維的評估，評估它的操作風險。與此同時，包括監控能力，我們要進行一個考核，包括監控告警、權限管理、日志管理、資產管理、計量計費等等。

還有一個風險是我們重點考核的，就是合規風險。308也是我們主辦的有一個云計算政策的培訓，也在講這個問題，講合規性的問題，也是我們重點考察的一個內容。一個是云服務商數據本身的合規，是不是具備本身的牌照。整個風險管理一方面要進行風險評估，另一方面要探索有沒有可能用經濟手段降低整個風險的損失，也就是說有沒有保險的機制去完善整個風險管理的鏈條，這個工作我們也是這兩年才開始探索，這也是2014年我們探索云計算保險，當時也是跟云保等20多家服務商共同探索保險機制，2016年在保監會備案了整個保險。我們在其中相當于是定損，由我們院去做，包括事前的風險評估，一是剛才的標準，我們做事先的風險評估，出具給保險公司。

可以說整個保險除了是一種經濟手段，降低風險損失之外，更多是一種保險機制，整個去帶動風險轉移。我們發現投保之后，因為這個服務商要事先的進行風險評估，所以他的風險點可以事先的預保。因為我們要定責定損，所以我們要定期進行抽查，包括我們有一些風險監測的工具。除此之外，也是降低了事故的損失，因為有經濟的賠償。那么，對用戶來說，可以選擇風險可控的保險，風險可控的服務商。除此之外，事故也可以得到有效的追償。通過這種保險機制，建立服務商，不管是云服務商，還是IDC提供說與用戶這樣一個信賴的關系。

另一方面，保險也是2014年開始研究，目前也是三年的時間。發現整個產品的方案，包括保障范圍應該是逐漸的成熟，這里是給出了我們整個保險的變化，就是目前的這個保險可以針對云計算提供商，云計算用戶，數據中心提供商，數據中心用戶都會購買保險。也就是說，購買保險的主體可以是甲方，可以是乙方，都OK.我們發現保險保障范圍，這個可能是比較重點，保就是服務部可用、數據丟失和信息泄露，《網絡安全法》重點關注兩塊問題，一個是運行安全，還有一個是信息安全，也是重點在這個保障范圍里邊，一個是相當于保障部可用，出現宕機的事件。另外，出現數據丟失，信息泄露也是在這個賠償范圍里的。

這是另外一塊工作，出現事故之后，由信通院做第三方的排查，出定損報告給保險公司。我為什么要提這塊工作？我們在推的時候有一些關心基礎設施的用戶，比如有些用戶說，我們不差錢，保險我們不想要賠償，我說沒有問題，因為保險除了經濟賠償之外，更多是一種保險機制。你也許不需要經濟賠償，但是需要有一個第三方的定損定責，需要劃清責任界限，這是對我們業界來說，大家比較看中的一個點。相當于出了事故之后，我們作為第三方去劃清責任界限，包括定量的做損失的分析。然后，我們也是有一套工具去做相關的工作。

再說這個保險，在風險管理里的一個重要意義。左邊這一片是在講什么？就是講云計算，云計算之后他的風險其實發生非常大的變化。原來傳統架構可能更多的承擔一個自身的風險，而對云計算來說，他可能要去考慮自己的上下游，考慮他的合作伙伴，可能風險的范圍更大。另一方面，因為傳統架構來說，風險點變化是非常慢的，對云計算來說，更多的使用開源，尤其是云計算，開源的軟件非常多。這樣面臨的問題就是開源的一些漏洞，包括一些漏洞能力，風險變化是非常你的，包括一些DDoS攻擊也是比傳統的范圍要廣。原來大家可能要花更高的成本做容災，所以可以犧牲金錢換穩定性。

那么，對于云計算來說，因為平臺本身的覆蓋面非常廣，而且很多現在處于創業階段，所以可能很難做這么高成本，投入高金錢做這樣一個容災。所以，針對目前這樣一個情況，保險就可以有效解決這些問題，去用這種經濟手段，去做一些事后的補償，同時開展一些風險評估，針對云計算的這樣一個風險評估。

這個是在說什么？我剛才說，因為我們更多提的是一個保險機制，除了賠償之外，想建的是一個保險的共同體，相當于作為投保企業要建一個跟小聯盟一樣，就是信息共享的平臺。目前所有的投保企業應該有幾十家，我們會做定期的信息共享，包括安全漏洞，網絡攻擊信息共享，包括危險信息的共享，我們想做的是把這些共享信息及時發布給我們的用戶，把事后的風險做到一個事前的預防。然后，這個聯盟引進這種機制也已經運轉起來了。

我今天大概的分享就是這些，可能是我們這邊針對云計算，針對保險機制的這樣一個研究，大家有什么問題也可以會后跟我聯系，這是我的二維碼。分享就這樣，謝謝大家！”

網站欄目：郭雪：網絡安全法下的云計算和IDC風險管理新趨勢
網站路徑：http://vcdvsql.cn/article44/sshhe.html

成都網站建設公司_創新互聯，為您提供網站維護、微信公眾號、用戶體驗、關鍵詞優化、移動網站建設、外貿建站

廣告

聲明：本網站發布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網站立場，如需處理請聯系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經允許不得轉載，或轉載時需注明來源： 創新互聯