安全問題頻現 云計算風險管理迫在眉睫
《網絡安全信息與動態周報》顯示,僅在5月28日-6月3日一周時間內,境內就有約29萬個主機感染網絡病毒,新增了309個信息安全漏洞,數據泄露問題嚴重,信息安全形勢嚴峻。
此外,近年來全球因云服務造成的數據泄露事件屢見不鮮。今年年初,就曾有CPU芯片被爆出在底層硬件設計上存在嚴重缺陷,并將直接影響到Windows、Linux、MacOS等操作系統,這對包括亞馬遜、微軟、谷歌在內的所有云計算廠商都構成了致命打擊。通過這個漏洞,攻擊者可以通過一個虛擬用戶,攻擊在同一物理空間的其他虛擬用戶,而這幾大云服務廠商的服務器排列緊密,只要遭到攻擊,理論上所有的數據都將遭到破壞。
盡管面臨安全風險和挑戰,但布局“云”成為絕大多數企業的共識。如今,整個市場正進入爆發階段,爭論的焦點已經變成選擇何種技術架構、采購哪家云廠商的服務。與此同時,如何避免數據泄露,如何管控風險也成為企業關心的話題之一。
中國信息通信研究院基于大量的研究認為,網絡問題和運維人員誤操作是造成云計算風險的主要因素。既然風險不可避免,除了技術手段之外,還有其他降低風險的方式嗎?中國信息通信研究院給出了答案。為了進一步完善我國的網絡風險管理體系,中國信息通信研究院于2014年10月聯合多家科技公司以及保險公司,成立網絡風險與保險創新實驗室,探索云計算保險。
而為了進一步增強云計算企業風險防御能力,有效提升云計算產業整體運營水平,中國信息通信研究院和“網絡風險與保險”創新實驗室聯合組織設立“云計算風險管理能力”評估,評估工作由“可信云”工作組開展執行。
“風險評估”屢見不鮮,但若將其同云計算結合起來,則并不多見。當用戶把大量數據和文件存儲到云端時,當企業將信息系統部署在云平臺時,常會面臨一些意想不到的風險,這些風險所導致的后果很有可能是難以估量的,只有云計算企業具有較強的風險管理能力,才能為用戶提供保障。因此,通過評估發現云計算企業風險管理能力薄弱點,對提升企業風險管理水平至關重要。除了關注數據、信息安全外,“云計算風險管理能力”評估也將云計算合規性問題劃為重點,系統性地梳理了企業合規中的風險點,填補企業法規漏洞。
八大評估環節把關 構建云計算保護傘
此次可信云工作組展開的《云計算風險管理能力》評估工作,將嚴格依據《云計算風險管理框架》中對各項指標的要求,通過材料審查、現場審查和技術測試等評估方式來展開。
評估主要針對云計算關鍵環節八大風險點進行,分別是:
風險管理組織架構、云計算外部環境風險管理能力、云計算平臺風險管理能力、云計算人員風險管理能力、云計算管理流程風險管理能力、云計算合規風險管理能力、風險告知與監測、風險處置
根據八項評估指標,基于評估分數,“云計算風險管理能力評估”將企業風險管理能力劃分為基礎級、增強級和先進級,并由中國信息通信研究院和“網絡風險與保險”創新實驗室聯合為通過評估的企業頒發“云計算風險管理能力”評估(基礎級/增強級/先進級)證書,證書有效期一年。最新一批評估結果將在2018可信云大會發布!
京公網安備 11010502049343號