C114 12月22日消息(林想)在日前召开的“IDC及云计算国际合作论坛”上,中国信息通信研究院云计算与大数据研究所郭雪表示,云计算的风险管理应该说是迫在眉睫。她透露,“云计算风险管理相关标准的研究目前标准基本上已经开始报批了,并已经送审完毕。”
中国信息通信研究院云计算与大数据研究所郭雪
云计算发展进入平稳期,2017年预计整云计算市场规模会达到600多亿,其中2/3会是私有云,1/3是公有云。在当前形势下,一方面云计算快速发展,另一方面《网络安全法》对安全提出了非常高的要求。 郭雪认为,针对云计算的风险管理应该逐渐得到重视。“云计算的风险管理应该说是迫在眉睫。”
郭雪指出,各个国家也在探索方法降低云计算的风险,美国以市场引导为主,去开展也是有相关的标准,NIST已经推了一些信息技术风险管理的相关标准,同时引入商业的风险专业,2010年建立了商业的保险公司,欧盟也是以政府监管为主,专门的信息安全局去做云计算的风险评估,也会定期出研究报告,同时也有公司提供保险的这个服务。
借鉴全球目前的思路,我国家针对云计算的风险能做哪些事情?
对此,郭雪认为,云计算风险肯定是在所难免的,大家虽然都极力的提高的可用性,99.99%,还是99.999%,无论怎么提高,风险是在所难免的。另一方面,我们一直在思考有没有可能建立一个公共安全的平台,建立一套动态的威胁情报或者风险信息的共享机制。
“实际上,针对上述问题,我国已经开展了三方面工作。”郭雪指出,“一方面是政府引导,国家已经出了相应的文,今年的政策环境对于云计算风险管理非常有利。另一方面,针对云计算的风险评估跟传统的风险评估是不是应该一样,可能有一些变化。除此之外,因为美国和欧盟都有一些保险公司,我国是不是也可以开展用经济方法保证风险的方法。”
郭雪透露,中国信息通信研究院已经开展了云计算风险管理相关标准的研究,目前标准基本上已经开始报批了,并已经送审完毕。“针对云计算的风险评估我们梳理它的一些评估的方法,包括要对它的基础设施、网络、计算资源、存储资源应用、业务、数据、人员、管理规范、运营运维、风险整合划分等多个方面,多个点进行风险评估。”
“整个风险管理一方面要进行风险评估,另一方面要探索有没有可能用经济手段降低整个风险的损失,也就是说有没有保险的机制去完善整个风险管理的链条。”郭雪指出,“2014年10月,中国信息通信研究院组织多家云服务厂商和人保、平安、渤海等三家保险公司共同启动云保险工作。经过多次会议的讨论,2015年5月确定云保险(云服务商版),即由云服务商为云平台购买保险,将服务中断和数据安全纳入保险保障范围。2015年7月30日,中国电信、中国联通、UCloud等企业首批签约。随后制定云保险(客户版)方案,即客户为自己使用的云服务购买保险,2016年8月云保险自助投保平台上线。”
据了解,以云服务商和用户签订的合同责任为基础,云保险主要针对云平台的服务中断、数据丢失和信息泄露等有关损失提供保障方案。保险责任人可以是云服务商也可以是云服务的用户,保险公司为云服商或第三方责任导致的云平台风险和损失进行赔偿,相关险种均已在保监会备案。
“云保险”的推出不仅能够改变现有云用户在发生事故后,无法获得足额赔付的问题,而且有助于云计算服务体系的健康可持续发展与升级,化解云服务商与云用户的经济纠纷,最大程度保障各方权益。可以说,这个保险对风险管理里具有很重要的意义。
郭雪指出,“除了赔偿之外,我们想建的是一个保险的共同体,相当于作为投保企业要建一个小联盟,类似信息共享的平台。目前所有的投保企业有几十家,我们会做定期的信息共享,把事后的风险做到一个事前的预防。” 
