91亚洲自偷手机在线观看,国产一区二区三区免费大片天美,国产福利不卡一区二区三区

“評估+保險”構建雙重保障云服務評估管理閉環先行完成

責任編輯：editor005

2017-11-14 14:13:34

摘自：通信世界網

與云計算服務關鍵點一一對應，識別云服務商已采取的風險管控措施，對其控制能力進行分級評估。在完成了云計算服務風險識別之后

信息技術正悄然改變著世界，與之相伴的是風險在變異中演進。

以信息技術變革為中心的新技術的發展引發了人們對科技未來無限的暢想，特別是在AlphaGo戰勝人類圍棋冠軍后，大數據、區塊鏈、人工智能等技術引領的科技產業似乎正以不可逆轉的姿態改變甚至顛覆經濟社會。

前不久，中國保險監督管理委員會旗下保險智庫提出，新技術發展正使社會進入風險高維化時代，云計算、物聯網、人工智能等技術使得當今世界可供決策的維度急速提升，更加帶來了風險的高維化。北京保險研究院首席研究員李曉林博士對此表示，“在科技顛覆傳統世界運轉規律之時，構建新的風險管理邏輯，成為新技術時代社會治理的首要邏輯。”

跨界創新雙重保障模式

2017年7月，中國信息通信研究院與中國保險學會共同成立網絡風險與保險實驗室。作為網絡風險管理與保險的前沿思考者，中國信息通信研究院與中國保險學會從發展與規范的角度，對網絡保險管控的多維化、復雜化趨勢展開跨界思考與實踐研究。

從云服務商的角度來說，無論是全球最大的云服務商亞馬遜AWS，還是堪稱全球技術KOL的谷歌App Engine、蘋果iCloud以及支付寶、攜程等國內互聯網企業，云服務宕機事故都不同程度發生。

在云計算這樣一個牽一發而動全身的領域，防患于未然顯得尤為重要。在保險的范疇中，保險人對自身所經營風險的正確和全面的認識是保障穩健經營的前提。與之相對應的，在云計算環境中，服務商對自身云服務經營風險的全面準確的認識，也是保障其服務持續性、安全性的重要前提。

為了保障這一過程的公正性與準確性，由權威機構進行云服務測試與風險評估必不可少。由中國信通院牽頭的可信云在2016年正式寫入ITU-T Y.3501標準中，代表了我國云計算產業在國際標準上擁有了更多的話語權。

在這一成熟的可信云服務認證基礎之上，網絡風險與保險實驗室在國內首次提出：要以“事前風險評估+事后風險事故保險”雙重保障的創新模式，來引導網絡風險管理變革。

云服務風險評估管理閉環先行完成

基于中國信通院可信云評測工作積累以及云服務商對風險管理的迫切需求，網絡風險與保險實驗室對風險評估工作的探索在云計算廠商中最先開展。

由于云服務已經大規模替代傳統IT承載了與眾多行業企業生存發展息息相關的業務，不同發展程度的用戶對看不見、摸不著的虛擬化層面疑云叢生。當以往常見的IT管理硬件、安全防護系統，特別是“硬件盒子”等，從企業IT采購名單上逐漸消失，云計算環境的風險該如何有效識別并加以管控？

為了解答這一問題，可信云團隊基于云保險風險評估經驗積累重新梳理云計算服務風險管控框架，從用戶角度評估云服務抵御數據丟失、信息泄露、服務不可用等風險事故的能力，起草《云計算風險管理框架》標準，以風險評估、風險處置、風險接受、風險溝通與風險監測為五大主要環節，探索出了云服務風險評估的全流程閉環。

l　風險評估——找準靶心

為了確定云計算環境中潛在風險與可能帶來的損失，《云計算風險管理框架》首先對云計算服務的關鍵點、威脅、脆弱性和現有風險管控措施進行充分的識別。

第一，對云計算服務基礎設施、網絡、計算資源、存儲、應用、業務、數據、人員、管理規范、運維運營、風險整合劃分等關鍵環節進行劃分，并依據其在業務價值和可用性上的影響程度進行賦值。

第二，對可能構成潛在破壞的可能性因素進行定義和挖掘，包括環境因素、技術故障和認為因素等，對其明確進行分類，并對威脅出現的頻率定義三級標準，以確定其對云計算服務關鍵點的影響程度。

第三，對云計算服務所依托的一個或多個系統、管理流程的弱點進行分析。試想一下，如果云計算服務足夠健壯，那么再嚴重的威脅也不能造成損失，識別脆弱性成為有效加強風險管控的重要步驟，具體方法包括問卷調查、人工檢測、人工核查、文檔查閱以及滲透性測試等。

第四，與云計算服務關鍵點一一對應，識別云服務商已采取的風險管控措施，對其控制能力進行分級評估。

在完成了云計算服務風險識別之后，結合云計算服務的應用價值，《云計算風險管理框架》依據風險事件發生的可能性，結合關鍵點權重、威脅評級、管控能力評級等，提出云計算服務風險值指數計算標準。

l　風險處置——有效規避

基于云計算服務風險評估結果，可信云、云服務商、第三方共同通過風險降低、風險保持、風險回避和風險轉移等方式對風險進行處置，來有效降低服務風險，尋求最具針對性的風險管控流程。

l　風險接受——實現可行

當風險評估值較低，僅存在造成損失較小、重復性較高的風險時，就可采取風險接受。

l　風險溝通——達成一致

云服務商內部以及云服務商和客戶交換和共享風險存在、形式、可能性、嚴重性、處置和可接受性等信息，來達成協議。

l　風險監測——持續優化

通過定期重復對云計算可用性、網絡連通性、網絡流量、云計算軟件漏洞、信息安全事件持續監測，及時發現新威脅和脆弱點，評審風險處置手段。

“IT風險好管家”可獲云保險升級保障

經過如此完整的全過程評估、反饋與管理，不僅云服務商風險管控能力得到有效、合理的提升，更能為用戶的云服務選擇提供權威參考，為企業上云之路搭起安全可靠的保護。

據了解，網絡風險與保險實驗室的第一批可信云服務風險評估已經開展，完成評估的企業將被授予中國信息通信研究院與網絡風險與保險創新實驗室共同頒發的“IT風險好管家”證書。

復雜的云計算系統意味著越來越多的不可預測和不可控制，出現問題的風險都是始終存在的。因此，除了增強防患外，網絡風險與保險實驗室提出了一套切實可行的云保險方案。通過中國信通院、中國保險學會與人保財險、中國平安、渤海財險、云保久久等公司共同合作，分別面向云服務商與云計算用戶的云保險1.0和云保險2.0產品在2016年起陸續推出，為業界提供專業的風險管理服務和網絡保險的部署方案，保險公司的加入，為一定范圍內的安全事故提供賠付，讓云服務商與用戶的權益得到了更加快速和實際的保障。

從云保險1.0到云保險2.0，云保險產品的保障范圍正進一步延伸，服務方式日益靈活，未來將成為每個云服務廠商的服務“標配”，引領未來云計算服務變革。

人保財險支付寶 KOL