孔松：首先感謝大家還能堅持到現(xiàn)在，剛剛幾位專家都從云服務(wù)商或者廠商的角度，講了一些安全方面的技術(shù)問題。我主要是從信通院這樣一個第三方的角度，梳理對于我國云計算領(lǐng)域的風(fēng)險管理趨勢，以及我們做的一些工作。

 

隨著近一二十年我國云計算的發(fā)展，規(guī)模日益擴大，而云計算廠商的技術(shù)其實也已經(jīng)發(fā)展的比較成熟了，整個風(fēng)險和安全的問題其實是成為了廠商更加關(guān)注的一個焦點，也是影響廠商發(fā)展的一個比較關(guān)鍵的因素。最近這一段時間，其實也可以說云計算行業(yè)一波未平，一波又起，不管國際國內(nèi)的廠商都發(fā)生了多多少少的風(fēng)險事故，其中包括數(shù)據(jù)丟失、網(wǎng)絡(luò)中斷、運維故障等等。這里我也是歸納了幾個認(rèn)為比較重要的在云計算的平臺運營過程中會涉及到的一些風(fēng)險，主要包括人為誤操作、刪除一些數(shù)據(jù)等等，以及軟件風(fēng)險，主要是因為云計算會涉及到很多開源軟件，這些軟件可能本身就有一些固有的軟件漏洞，同時由于一些企業(yè)在使用開源過程中不是很關(guān)注開源軟件的核心和底層問題，也會有一些未知風(fēng)險隱藏在其中。對于運營風(fēng)險，一個是由于人員的問題，第二個是即使現(xiàn)在像Ddos比較火，但其實自動化也會引入其他一些問題。最后一個是網(wǎng)絡(luò)風(fēng)險，這個相比其他三個可能更加不可控，原因主要是一些像一些云服務(wù)商，即使是自建數(shù)據(jù)中心，但也是涉及到向一些第三方運營商購買服務(wù)，同時還有很多云服務(wù)商現(xiàn)在是租賃其他廠商的數(shù)據(jù)中心，所以對于網(wǎng)絡(luò)來說這個責(zé)任可能很難去界定。

云在發(fā)展過程中，一直都是既便捷，風(fēng)險和優(yōu)勢并存的。這些年我們的技術(shù)飛速發(fā)展，隨著云計算的發(fā)展，IAAS變成主流，而最近像一些容器又很火，為云計算注入了新鮮血液。同時近兩年有一些很火的技術(shù)，隨著技術(shù)的發(fā)展，我們的系統(tǒng)架構(gòu)從原來的單體變成了現(xiàn)在的分布式架構(gòu)，整個業(yè)務(wù)邏輯變的更加簡單便捷，部署開發(fā)整個流程都是低成本、快速的。因此在我們這個架構(gòu)帶來優(yōu)勢的同時，也讓我們的風(fēng)險變的更加復(fù)雜。

我們歸納出來大概四類，包括技術(shù)風(fēng)險、運營風(fēng)險、合規(guī)風(fēng)險、開源風(fēng)險。對于技術(shù)風(fēng)險來說，大概我畫了這樣一個框圖，藍色部分是傳統(tǒng)的一些系統(tǒng)也需要考慮到的一些安全問題，而偏紅色的這部分是云計算新技術(shù)引入的一些新的安全風(fēng)險。比如說對于這些藍色的物理安全、主機安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全等等，其實剛剛各位專家也說的比較多了，隨著人工智能、云計算、大數(shù)據(jù)這些新技術(shù)的發(fā)展，其實在傳統(tǒng)安全風(fēng)險過程中，我們也會引入一些新的安全手段來去防止這些安全問題的發(fā)生。比如剛剛上一位專家也說到一些智能巡檢機器人，可以避免一些物理機房建設(shè)過程中出現(xiàn)的很多問題。

對于云計算來說，可能傳統(tǒng)的就是比較關(guān)注像虛擬主機、虛擬設(shè)備資源池、網(wǎng)絡(luò)的安全，隨著引入容器，容器在比虛擬化更快速辯解的同時，也會帶來一些新的問題，比如說逃逸、容器間的通信等等。這兩年其實微服務(wù)也是比較火的一個技術(shù)，像各個行業(yè)，一些傳統(tǒng)行業(yè)都紛紛把自己的架構(gòu)拆成微服務(wù)的形式，在微服務(wù)的過程中主要是涉及到一些像分布式事物的一致性，服務(wù)之間的依賴和管理，以及服務(wù)到底如何拆分才能夠更高效的利用服務(wù)的特點，這些都是我們需要考慮的風(fēng)險和安全隱患。

針對上述的安全風(fēng)險，其實各國和各個專業(yè)的人士也在研究相關(guān)的一些安全技術(shù)，從Gartner的云安全技術(shù)成熟曲線可以看出，仍需5年左右成熟的云安全技術(shù)，這塊需要相應(yīng)的安全人員加深它的研究和探索。第二部分主要是運營風(fēng)險，這塊主要分成三部分，一部分是云平臺外部的風(fēng)險，第二部分是云平臺本身的風(fēng)險，第二部分是云平臺主體風(fēng)險。對于第一部分和第三部分來說，對于云服務(wù)商來說是更加不可控的，比如外部風(fēng)險中像自然環(huán)境風(fēng)險，一旦發(fā)生地震火災(zāi)等自然災(zāi)害，可能對數(shù)據(jù)中心是毀滅性的打擊，對云服務(wù)商對有多活、容災(zāi)的要求。第三方廠商的服務(wù)能力也影響著我的云服務(wù)商的服務(wù)能力，同時對于網(wǎng)絡(luò)攻擊來說主要是因為我們的云其實物理鏈接消失，也會導(dǎo)致一些黑客更容易攻入這個環(huán)境。

對于業(yè)務(wù)主體來說，其實最大的我們歸結(jié)為三類，第一類是商業(yè)風(fēng)險，我們在構(gòu)建云平臺過程，雖然大家都在說云是相比于傳統(tǒng)的那些建機房的方式省錢省力，但是對于搭建一個云平臺初期來說，其實它的投資成本還是非常大的，包括建機房、買一些物理設(shè)備、聘用相關(guān)人員，以及掌握相關(guān)的技術(shù)等。這些都是需要很大成本的，我們云最后建設(shè)的成效是否達到預(yù)期，以及是否能夠營收，這些都是需要考慮的問題。

第二部分是法律法規(guī)的風(fēng)險，這在后面我們也會作為合規(guī)風(fēng)險進一步說。對于操作風(fēng)險來說，這也是基于之前信通院的調(diào)查。在各個廠商覺得云平臺最容易發(fā)生的一些風(fēng)險是什么，主要是大家都認(rèn)為操作風(fēng)險是很重要的一個環(huán)節(jié)，包括一個是運維人員的誤操作，另外一個是內(nèi)部員工的一些惡意破壞，這是在運營過程中可能涉及到的風(fēng)險。

對于第三部分來說合規(guī)風(fēng)險，隨著信息技術(shù)的發(fā)展，各大運營商最近也都是在積極擴展海外業(yè)務(wù)，海外像歐盟、新加坡、日本這些國家都是很注重網(wǎng)絡(luò)數(shù)據(jù)和信息的保護的，如果云服務(wù)商想要出海，就必須要滿足當(dāng)?shù)氐姆�律，因此監(jiān)管要求對于云服務(wù)商出海來說是非常重要的。我們舉了幾個認(rèn)為比較重要的例子，對于新加坡來說，我們也是經(jīng)過了一定的調(diào)研，各大云服務(wù)商出海新加坡算是一個必經(jīng)之地，如果在新加坡當(dāng)?shù)卦O(shè)立一個節(jié)點，勢必就會產(chǎn)生一些新加坡和國內(nèi)數(shù)據(jù)跨境傳輸?shù)那闆r，新加坡個人數(shù)據(jù)保護法也是明確，屬于涉及到數(shù)據(jù)跨境傳輸數(shù)據(jù)接收方應(yīng)該是有不低于PDPA的數(shù)據(jù)保護水平，因此這對于服務(wù)商來說也提出了比較高的要求。

第二個美國，美國跟歐洲這些其實是完全不一樣的風(fēng)格，主要是采用一些松散立法的方式，不像歐盟和新加坡立法那么嚴(yán)格，但是它的數(shù)據(jù)保護是采取長臂管轄的原則，所以這是一個非常大的風(fēng)險。

我們院也在GDPR方面做了不少工作和調(diào)研，在之前的數(shù)據(jù)保護法律法規(guī)中，主要是涉及到一些對數(shù)據(jù)控制者的要求，而GDPR也是首次對數(shù)據(jù)處理者進行了嚴(yán)格要求。同時由于GDPR適用場景對于云服務(wù)商來說太多了，大概有幾十條是云服務(wù)商都需要符合的。GDPR來說，即使你只是在國內(nèi)有這樣一些節(jié)點，即使你的客戶是中國的，但比如說你的客戶的客戶是歐盟的，它也是要求符合的，所以符合GDPR的場景對于云服務(wù)商來少特別特別多，所以這也是一個非常大的合規(guī)風(fēng)險。

對于我國來說，這兩年也在加強網(wǎng)絡(luò)和信息安全的法律建設(shè)，網(wǎng)絡(luò)安全法已經(jīng)發(fā)布了，同樣的數(shù)據(jù)保護法國家也正在制定當(dāng)中。對于網(wǎng)絡(luò)安全法、云計算發(fā)展三年行動計劃其實都是比較著重的強調(diào)了網(wǎng)絡(luò)安全、數(shù)據(jù)安全這些。所以云服務(wù)商在日常的運營中，是要符合這種基礎(chǔ)的法律法規(guī)的要求的。同時其實行業(yè)云兩年也是一個比較火的點，像政務(wù)云的發(fā)展可能比較成熟，而金融云這兩年也是正在建設(shè)過程中，像很多云服務(wù)商都是服務(wù)于政府機構(gòu)、銀行保險等等。為了服務(wù)相應(yīng)的行業(yè)客戶，我們勢必會在搭建云平臺的時候，既要滿足相應(yīng)的行業(yè)特性的要求，也要幫助我們的客戶去滿足這樣的合規(guī)要求。因此這種一個是通用的法律法規(guī)，一個是行業(yè)特性的合規(guī)，都是云服務(wù)商在運營過程中需要考慮的這樣一些問題。

第四個部分就是面臨的開源風(fēng)險，這其實也是我們今年3月份剛剛發(fā)布的中國云計算開源發(fā)展調(diào)查報告，我們調(diào)研了全國各行各業(yè)的大概800家企業(yè)，在調(diào)查報告中顯示只有3.3%的企業(yè)是沒有計劃應(yīng)用開源軟件的，也就是說我們90%多的企業(yè)都已經(jīng)使用或者馬上就要使用開源軟件。因此可以看出，只要談到云計算就離不開開源，那么在開源過程中也是涉及到各種各樣的開源軟件，開源軟件其實也涉及到很多風(fēng)險，比如說違約風(fēng)險，使用它是不是我的軟件也需要開源等等，是有很多風(fēng)險需要考慮進來的。

針對上述風(fēng)險應(yīng)該怎么做?剛剛各位專家提到的可能都是云服務(wù)商自己的角度來說，我們這個是從第三方角度來說我們信通院對于云計算能做一些什么?我們主要采取了三個事前、事中、事后。事前，我們會進行相應(yīng)的評估，來去挖掘企業(yè)存在的一些風(fēng)險隱患，幫助企業(yè)去解決掉這些風(fēng)險。對于事中來說，我們也是會建立這樣一個平臺，去積極發(fā)現(xiàn)企業(yè)運營過程中出現(xiàn)的風(fēng)險，讓它及時的能夠解決掉。對于事后來說，因為采取再萬全的措施也是會發(fā)生風(fēng)險的，最后我們是采取保險的措施，來減少客戶和云服務(wù)商的損失，實現(xiàn)責(zé)任分擔(dān)。

事前我們有幾項評估，第一個是對云服務(wù)商進行風(fēng)險評估，主要包括四個方面，技術(shù)風(fēng)險、運營風(fēng)險、人員風(fēng)險、合規(guī)風(fēng)險。對于云平臺本身來說，我們既是考量它的外部風(fēng)險，也考量它云平臺的風(fēng)險，外部風(fēng)險比較重要的一個是物理基礎(chǔ)設(shè)施的建設(shè)，另外一個是我們的網(wǎng)絡(luò)，因為這也是涉及到第三方的。對于云平臺來說，主要包括開發(fā)測試環(huán)節(jié)的一些風(fēng)險，運營的風(fēng)險等等。同時對于管理流程方面，主要是管理體系，可能是包括一些開發(fā)運維測試的管理體系，同時應(yīng)該也具備像事件管理、問題管理、配置管理、發(fā)布管理這些比較典型的管理能力。對于企業(yè)來說，一個是對于企業(yè)自身的審計，這些審計包括方方面面的，同時也要進行相應(yīng)合規(guī)的問題。對于我們的云上客戶，你是否能夠知道他的合規(guī)情況，以及對于他違規(guī)的封堵、截堵的要求，這是基于前面的風(fēng)險評估。

緊接著對于云計算是需要有一定的溝通監(jiān)測能力，風(fēng)險告知主要是指在云平臺運營過程中，如果預(yù)測到平臺會有什么問題，要及時告知到用戶。責(zé)任劃分，要知道哪些責(zé)任是用戶的，哪些責(zé)任是云服務(wù)商上的。最后是如果發(fā)現(xiàn)了風(fēng)險點，是否采取了一定的措施進行風(fēng)險處置。

這是我們整個風(fēng)險評估的框架流程。這個框架流程我們今年也是在中國保險協(xié)會成功立項，用于指導(dǎo)對云平臺進行有效的風(fēng)險管理。上年上半年我們評了12家云服務(wù)商，上面是已經(jīng)通過的企業(yè)，經(jīng)過我們的評估也是得出了一些結(jié)論。像右邊標(biāo)出來的一些，其實就是云服務(wù)商在評估過程中一些比較薄弱的點，主要可能是涉及到一些像機房的建設(shè)，這是物理層面的，包括機房、電力、空調(diào)、線路保護這種，其實這塊一個是因為很多云服務(wù)商現(xiàn)在還是采取購買第三方數(shù)據(jù)中心這種運營的情況，所以可能對數(shù)據(jù)中心具體的建設(shè)掌握程度不夠，因此這其實就是一個潛在的風(fēng)險。第二個是像一些大的集團，可能使用的是集團建設(shè)的數(shù)據(jù)中心，因此對數(shù)據(jù)中心的情況了解的也確實是不夠，所以這其實是我覺得在云服務(wù)商在運營過程中比較關(guān)注的點。

除了風(fēng)險管理，我們還進行了運營方面的風(fēng)險評估，這是我們上半年發(fā)布的一系列DevOps的標(biāo)準(zhǔn)，其中主要是DevOps的風(fēng)險評估，風(fēng)險評估項目主要是下面這些，這個標(biāo)準(zhǔn)我們之前也是評估了幾家。

同時還有第三項，包括開源的評估，像前面的開源軟件是我們之前已經(jīng)梳理過的，使用社區(qū)版開源軟件使用之前有哪些檢查項，都有哪些檢查指標(biāo)，這面是我們后續(xù)回去做的工作。

事中來說，我們也是有兩個機制，最右邊這個網(wǎng)絡(luò)風(fēng)險與保險創(chuàng)新實驗室，剛才高總也講了，信通院和中國保險協(xié)會聯(lián)合成立了這樣一個實驗室，這個實驗室發(fā)起了一個云計算風(fēng)險保護傘的行動。這個保護傘下面的成員，主要包括一些云計算廠商、云計算用戶還有一些安全廠商，這些成員都是我們風(fēng)險管理共享平臺的一個構(gòu)建者，這個風(fēng)險管理共享平臺也是信通院組織，對于某一些廠商發(fā)現(xiàn)了一些什么隱藏的風(fēng)險，會通過這個風(fēng)險平臺來共享告訴大家，或者是發(fā)生了一些什么風(fēng)險，這些企業(yè)已經(jīng)率先把風(fēng)險解決了，也會在這個平臺上共享他們的解決方案。我們通過搭建這樣一個保護傘，在這個平臺上共享這些風(fēng)險和解決信息，來提高云廠商的安全防護水平和減少他們的重復(fù)工作量，這是我們事中的保護傘行動。對于在這個平臺上積極分享的企業(yè)地我們也有一定的投保情況的優(yōu)惠，所以也是歡迎各個企業(yè)加入到我們這個平臺中，一個是可以獲取其他廠商的一些信息，也是可以共享自己的一些經(jīng)驗。

對于事后來說，剛才人保的高總對產(chǎn)品也講的很細，我大概說一下信通院在云保險過程中是處于什么樣的角色?可以投保的用戶主要是像云服務(wù)商、軟件廠商等等，他們選擇向保險企業(yè)投保，保險企業(yè)對他們承保。在投保承過程中，信通院作為一個中立的第三方，將會對相應(yīng)的廠商進行風(fēng)險評估，衡量這個的廠商的風(fēng)險管理水平。你的風(fēng)險管理能力越強，你的保險系數(shù)就越低，你所需要繳納的保費也就越低。如果發(fā)生事故怎么辦?信通院作為一個定損機構(gòu)，用戶上報出現(xiàn)了故障，我們會派專門的人員進行定損定責(zé)，輸出一個報告給到保險企業(yè)，保險企業(yè)根據(jù)我們的定損定責(zé)報告來決定是否對用戶進行一定的賠償，以及賠償金額也是我們輸出的，這是云保險的情況。

對于整個定損的流程大概是這樣子，如果發(fā)生故障，用戶先是可以向我們申報這個故障，我們開啟定損流程，同時相關(guān)的運維日志等等，我們?nèi)シ治鲞@個責(zé)任到底是云客戶的還是云服務(wù)商的，或者是一些第三方承包商的。最后確定了這個定責(zé)之后，如果是云服務(wù)商的責(zé)任，我們可能會根據(jù)像比如說一些采購合同，或者是在我們整個事故中涉及到的服務(wù)中斷的時間、中斷的次數(shù)，受影響的虛機等等這些，來去定量，確定這次受損應(yīng)該要賠償多少金額。確定了定責(zé)定量之后，我們會輸出這樣一個報告給到保險公司，讓保險公司根據(jù)我們的報告對投保的客戶進行理賠。

在不久的將來，云計算一定會徹底走入我們的生活，有興趣入行未來前沿產(chǎn)業(yè)的朋友，可以收藏云計算，及時獲取人工智能、大數(shù)據(jù)、云計算和物聯(lián)網(wǎng)的前沿資訊和基礎(chǔ)知識，讓我們一起攜手，引領(lǐng)人工智能的未來！

標(biāo)簽： ddos 安全 大數(shù)據(jù) 服務(wù)商 機房 機房建設(shè) 金融 漏洞 通信 網(wǎng)絡(luò) 網(wǎng)絡(luò)安全 網(wǎng)絡(luò)安全法 信息安全 信息技術(shù) 虛擬主機 優(yōu)惠 云服務(wù) 云計算 云計算的發(fā)展 

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。