風起云涌的2017年，云計算、大數(shù)據(jù)、人工智能和物聯(lián)網(wǎng)等領域的快速發(fā)展，帶動了數(shù)據(jù)存儲、計算和網(wǎng)絡流量需求的增加。技術(shù)創(chuàng)新驅(qū)動了IDC和云計算市場規(guī)模快速增長，產(chǎn)業(yè)前景極為看好。

中國IDC產(chǎn)業(yè)年度大典，作為國內(nèi)規(guī)模最大、導向性最強、覆蓋面最廣的行業(yè)會議。第十二屆中國IDC產(chǎn)業(yè)年度大典（IDCC2017）于12月20-22日在北京國家會議中心隆重召開。

12月22日，《IDC及云計算國際合作論壇》作為IDCC2017的分議程之一，中國信息通信研究院云計算與大數(shù)據(jù)研究所 郭雪出席此次會議，并作《網(wǎng)絡安全法下的云計算和IDC風險管理新趨勢》主題演講。

演講實錄如下：

郭雪：大家好！我是信通院的郭雪。今天想跟大家分享的就是這個題目，網(wǎng)絡安全法下云計算風險管理的新趨勢。我相信，可能很多同學，包括對我們單位也不是特別了解，我先簡單的介紹一下自己。我是中國信息通信研究院的，信通院是工信部下屬的國家級事業(yè)單位，我是云計算、大數(shù)據(jù)研究所云計算部的，也就是當前比較火的可信云團隊的一個成員之一，也是憑借著可信云多年的評測標準經(jīng)驗，所以在這兒跟大家分享的也是我們對云計算，包括對數(shù)據(jù)中心的一些理解，包括尤其今年《網(wǎng)絡安全法》實施以來對云計算風險的管理會造成什么樣的影響。今天主要想跟大家探討這樣一個問題。

首先，先跟大家回顧一下《網(wǎng)絡安全法》，大家已經(jīng)有了仔細的通讀和研究，也是帶大家一起回顧一下?！毒W(wǎng)絡安全法》今年6月1號正式實施，實施之后我發(fā)現(xiàn)對業(yè)界的影響還是非常大的，發(fā)現(xiàn)業(yè)界更多的去關(guān)注了安全問題，風險問題。這個全文一共七章79條，我也是逐條去研究，主要說什么事呢？但是回顧一下，第一章和最后章不說了，總則和目標。第二章講????府要予以一些相關(guān)支持。第三章，運行安全，講網(wǎng)絡需要保證一定的運行安全，其中特別提到關(guān)鍵信息基礎設施，什么是關(guān)鍵信息基礎設施，一會兒我有一個簡單的介紹。第四章說的就是信息安全要去保障用戶數(shù)據(jù)。第五章主要講需要有一個整個過程中的監(jiān)測，以及事后的應急處置，這是整個《網(wǎng)絡安全法》一個大體的脈絡。我們可以發(fā)現(xiàn)它的關(guān)注重點，我剛才說的兩點就是運行安全和信息安全。

然后我們把其中跟風險相關(guān)的條拿出來給大家看一看，其中全文多次提到風險的問題，包括風險評估，要求相關(guān)單位要去進行事先的一個風險評估。同時，他提到風險處置，出現(xiàn)問題之后，要有一些應急響應的預案，快速進行風險事故的處置，這是整個可以說對安全，對風險問題提的比較多。

然后，特別我剛才說了，針對關(guān)鍵信息基礎設施，它提出了一個更高的要求。針對關(guān)鍵信息基礎設施，要求每年進行一次檢測評估，要求有相關(guān)的部門進行抽查。這里其實針對《關(guān)鍵信息基礎設施保護條例》今年也是7月份的時候發(fā)了征求意見稿，我們單位也是作為網(wǎng)信辦關(guān)于信息基礎設施保護處的一個支撐單位，對這個范圍做了界定。但是，目前這個條例還在????求意見中。什么是關(guān)鍵信息基礎設施，其實就是八大行業(yè)，金融、教育等八大行業(yè)，關(guān)系到國民生計，國家安危的這些信息系統(tǒng)，目前還沒有一個準確的定論，有些定義說是關(guān)鍵行業(yè)，傳統(tǒng)行業(yè)的多個比較關(guān)鍵的信息系統(tǒng)，也有說是三級以上的信息系統(tǒng)，目前網(wǎng)信辦還沒有給出一個明確的定義，因為條例還在征求意見中。不管怎么樣，所以我們是要對關(guān)鍵信息基礎設施提出一個更高的要求，每年進行風險評估。所以，整個《網(wǎng)絡安全法》環(huán)境下面，我發(fā)現(xiàn)對風險管理提出了一個非常高的要求，這是第一個大背景，《網(wǎng)絡安全法》今年提出。因為本身我自己是做云計算出身的，所以簡單跟大家說說云計算這兩年的發(fā)展。

這是我們院今年的白皮書的一個結(jié)果，大家可以看到云計算前兩年，確實是快速發(fā)展。然后，這兩年可能進入了一個平穩(wěn)期，就是發(fā)展沒有那么迅速，相對來說更平穩(wěn)一些。然后，這個給出了一個數(shù)據(jù)，2017年預計整個市場規(guī)模會達到600多億，2/3會是私有云的比例。然后，1/3是公有云的比例。當然，因為云計算到現(xiàn)在來說，應該說市場也比較成熟了，這個定位逐????成為基礎設施了，云計算跟數(shù)據(jù)中心一樣作為基礎設施提供給用戶了。然后我們發(fā)現(xiàn)云計算逐漸進行行業(yè)化的運營，也可以說逐漸應用到關(guān)鍵信息基礎設施，逐漸應用到傳統(tǒng)行業(yè)的用戶中，也是我們給了四個行業(yè)。像政務云也是我們重點研究的領域，2016年市場規(guī)模已經(jīng)達到90多億。包括全國2/3的省份都提出要上政務云平臺。包括工業(yè)也是比較火，尤其一些制造云，也是提出要與一些云計算企業(yè)開展合作，建移動云平臺。比如金融，像銀行、保險、證券都有一些云計算應用，尤其銀行像建行在建自己的私有云，一些保險可能會使用一些行業(yè)云，類似這樣的案例非常多。像醫(yī)療，一些遠程診療，病理信息，在應用云計算。云計算在傳統(tǒng)行業(yè)的應用也更加深入，剛才兩張片子就是說，在當前這個形勢下，一方面云計算快速發(fā)展，另一方面《網(wǎng)絡安全法》對安全提出?????????非常高的要求。那么，針對云計算的風險管理，應該是逐漸的引起了大家的重視。包括今天我們大家探討的也是針對云計算我們怎么進行風險管理。

首先，我給出的例子，針對云計算、數(shù)據(jù)中心每年發(fā)生的事故還是非常多的，我給出了一些今年可能有一些比較大的案例，包括去年。我們發(fā)現(xiàn)有些事故是由電力原因造成的，包括斷電，有些是由于網(wǎng)絡原因造成的。包括網(wǎng)絡原因造成的對數(shù)據(jù)中心，對數(shù)據(jù)中心上層的云計算用用戶都有非常大的影響，還有DDoS攻擊，這個基本上每天都會發(fā)生。所以，數(shù)據(jù)中心面????的事故還是非常多的。

這里我們也是對風險種類進行了一個總結(jié)，也就是對云計算，對數(shù)據(jù)中心來說，可能面臨的風險有哪些。在我們看來，一方面是外部風險，外部風險怎么理解？就是天災人禍，就是火災，包括天津的事件，當時也是對當?shù)氐暮芏鄶?shù)據(jù)中心也是造成影響了。包括第三方的風險，包括網(wǎng)絡攻擊，DDoS攻擊也是非常頻繁的，第一方面是外部風險。

第二方面，針對運營系統(tǒng)本身的風險，可能包括軟件風險、硬件風險、接入風險。那么，云計算做云化之后會帶來一些新的風險點，包括共享技術(shù)風險，包括一些牽引的風險，除此之外還有運營主體的風險，包括一些內(nèi)部員工的惡劣行為，同時還有一些商業(yè)風險。

風險這里再給出大家另外一個調(diào)研結(jié)構(gòu)，這是其中一份研究報告，這個是給數(shù)據(jù)中心面臨的一個數(shù)據(jù)中心風險因素的統(tǒng)計，發(fā)現(xiàn)20%多是設備造成，20%多是DDoS攻擊，發(fā)現(xiàn)網(wǎng)絡、設備、人員都是導致數(shù)據(jù)中心風險的主要因素，這里也是對整個風險做了一個分類，以及主要的因素做了這樣一個調(diào)研。

所以說，在這樣一個背景之下，我們發(fā)現(xiàn)云計算的風險管理應該說是迫在眉睫。到底應該怎么做呢？各個國家也在探索方法，其實怎么解決降低風險，各個國家也在探索，我們已經(jīng)對各個國家做了一個調(diào)研，發(fā)現(xiàn)美國以市場引導為主，去開展也是有相關(guān)的標準，NIST已經(jīng)推了一些信息技術(shù)風險管理的相關(guān)標準，同時引入商業(yè)的風險專業(yè)，2010年建立了商業(yè)的保險公???????，歐盟也是以政府監(jiān)管為主，專門的信息安全局去做云計算的風險評估，也會定期出研究報告，同時也有公司提供保險的這個服務。

所以，借鑒全球目前大家的思路，我們也在想，我國能做哪些事情呢？就是我們國家針對云計算的風險能做哪些事情？這是個人考慮，我們發(fā)現(xiàn)對于我國的云計算風險管理我們也是在思考能做哪些事情。一方面，我們發(fā)現(xiàn)風險肯定是在所難免的，大家都極力的提高的可用性，99.99%，還是99.999%，無論怎么提高，風險是在所難免的。我是可信云團隊的，可信云評估????程中大家發(fā)現(xiàn)每年云計算出現(xiàn)事故的問題真是五花八門，什么樣都有，可能超乎自己的想象，尤其一些人為操作的行為。所以，不管怎么樣，風險事件是在所難免的。另一方面，有沒有可能建立一個公共安全的平臺，就是說我們希望能建立一套動態(tài)的這樣一個威脅情報，或者風險信息的共享機制。

所以，針對我國可能有三個方面的事情去做。一方面是政府引導，國家已經(jīng)出了相應的文，我們發(fā)現(xiàn)今年的政策環(huán)境，不管是開展安全相關(guān)的工作，還是風險管理相關(guān)的工作都是非常有利的。另外一塊，針對風險評估，我們也在想針對云計算的風險評估跟傳統(tǒng)的風險評估是不是應該一樣，可能有一些變化，本身做了虛擬化之后肯定要有一些變化。

除此之外，因為我們看到美國和歐盟都有一些保險公司，我們國內(nèi)是不是也可以開展用經(jīng)濟方法保證風險的方法。我們院也是開展了云計算風險管理相關(guān)標準的研究，目前標準基本上已經(jīng)開始報批了，已經(jīng)送審完畢。針對云計算的風險評估我們梳理它的一些評估的方法，包括要對它的基礎設施、網(wǎng)絡、計算資源、存儲資源應用、業(yè)務、數(shù)據(jù)、人員、管理規(guī)范、運營運維、風險整合劃分等等多個方面，多個點進行風險評估。

第一個角度，我們覺得要梳理基礎風險。基礎風險相當于從云計算的架構(gòu)出發(fā)，逐層梳理它的技術(shù)風險。其實相當于評估它的容災能力，防御能力，還有修復能力，我們會從基礎設施，包括他是不是具備一些冗余，這是數(shù)據(jù)中心層的，包括建筑結(jié)構(gòu)，是不是具備一些冗余，包括消防安全。網(wǎng)絡層，一方面關(guān)心它的外網(wǎng)網(wǎng)絡質(zhì)量，另一方面關(guān)心他的網(wǎng)絡架構(gòu)，怎么進行防護控制，怎么防入侵。計算資源我們會看怎么做冗余，這種情況下怎么做高可用，怎么避免單點故障。存儲資源也是要看它的冗余，包括存儲設備冗余，以及數(shù)據(jù)的備份策略，應用層也是要看外部保護。數(shù)據(jù)層，也是大家比較關(guān)心的，也是重點我們要去考察的，包括我們要去考察數(shù)據(jù)的持久性、可用性和私密性。

另一方面，除了技術(shù)風險之外，我們還要考慮它的管理風險，這就是以管理制度為突破口，然后我們?nèi)タ疾煜喈斢谠品丈痰墓芾盹L險，包括考察它是否具備問題管理等等一些流程，通過流程性的文件、文檔，考察管理風險。

還有一方面是評估人員和運維，評估它的操作風險。因為在我們評估過程中發(fā)現(xiàn)誤操作占到40%左右，在我們可信云這邊，占到40%左右的事故原因，所以對預案的一些行為審計，包括背景調(diào)查是非常重要的，所以我們也要進行人員和運維的評估，評估它的操作風險。與此同時，包括監(jiān)控能力，我們要進行一個考核，包括監(jiān)控告警、權(quán)限管理、日志管理、資產(chǎn)管理、計量計費等等。

還有一個風險是我們重點考核的，就是合規(guī)風險。308也是我們主辦的有一個云計算政策的培訓，也在講這個問題，講合規(guī)性的問題，也是我們重點考察的一個內(nèi)容。一個是云服務商數(shù)據(jù)本身的合規(guī)，是不是具備本身的牌照。整個風險管理一方面要進行風險評估，另一方面要探索有沒有可能用經(jīng)濟手段降低整個風險的損失，也就是說有沒有保險的機制去完善整個風險管理的鏈條，這個工作我們也是這兩年才開始探索，這也是2014年我們探索云計算保險，當時也是跟云保等20多家服務商共同探索保險機制，2016年在保監(jiān)會備案了整個保險。我們在其中相當于是定損，由我們院去做，包括事前的風險評估，一是剛才的標準，我們做事先的風險評估，出具給保險公司。

可以說整個保險除了是一種經(jīng)濟手段，降低風險損失之外，更多是一種保險機制，整個去帶動風險轉(zhuǎn)移。我們發(fā)現(xiàn)投保之后，因為這個服務商要事先的進行風險評估，所以他的風險點可以事先的預保。因為我們要定責定損，所以我們要定期進行抽查，包括我們有一些風險監(jiān)測的工具。除此之外，也是降低了事故的損失，因為有經(jīng)濟的賠償。那么，對用戶來說，可以選擇風險可控的保險，風險可控的服務商。除此之外，事故也可以得到有效的追償。通過這種保險機制，建立服務商，不管是云服務商，還是IDC提供說與用戶這樣一個信賴的關(guān)系。

另一方面，保險也是2014年開始研究，目前也是三年的時間。發(fā)現(xiàn)整個產(chǎn)品的方案，包括保障范圍應該是逐漸的成熟，這里是給出了我們整個保險的變化，就是目前的這個保險可以針對云計算提供商，云計算用戶，數(shù)據(jù)中心提供商，數(shù)據(jù)中心用戶都會購買保險。也就是說，購買保險的主體可以是甲方，可以是乙方，都OK.我們發(fā)現(xiàn)保險保障范圍，這個可能是比較重????，保就是服務部可用、數(shù)據(jù)丟失和信息泄露，《網(wǎng)絡安全法》重點關(guān)注兩塊問題，一個是運行安全，還有一個是信息安全，也是重點在這個保障范圍里邊，一個是相當于保障部可用，出現(xiàn)宕機的事件。另外，出現(xiàn)數(shù)據(jù)丟失，信息泄露也是在這個賠償范圍里的。

這是另外一塊工作，出現(xiàn)事故之后，由信通院做第三方的排查，出定損報告給保險公司。我為什么要提這塊工作？我們在推的時候有一些關(guān)心基礎設施的用戶，比如有些用戶說，我們不差錢，保險我們不想要賠償，我說沒有問題，因為保險除了經(jīng)濟賠償之外，更多是一種保險機制。你也許不需要經(jīng)濟賠償，但是需要有一個第三方的定損定責，需要劃清責任界限，這是對我們業(yè)界來說，大家比較看中的一個點。相當于出了事故之后，我們作為第三方去劃清責任界限，包括定量的做損失的分析。然后，我們也是有一套工具去做相關(guān)的工作。

再說這個保險，在風險管理里的一個重要意義。左邊這一片是在講什么？就是講云計算，云計算之后他的風險其實發(fā)生非常大的變化。原來傳統(tǒng)架構(gòu)可能更多的承擔一個自身的風險，而對云計算來說，他可能要去考慮自己的上下游，考慮他的合作伙伴，可能風險的范圍更大。另一方面，因為傳統(tǒng)架構(gòu)來說，風險點變化是非常慢的，對云計算來說，更多的使用開源，尤其是云計算，開源的軟件非常多。這樣面臨的問題就是開源的一些漏洞，包括一些漏洞能力，風險變化是非常你的，包括一些DDoS攻擊也是比傳統(tǒng)的范圍要廣。原來大家可能要花更高的成本做容災，所以可以犧牲金錢換穩(wěn)定性。

那么，對于云計算來說，因為平臺本身的覆蓋面非常廣，而且很多現(xiàn)在處于創(chuàng)業(yè)階段，所以可能很難做這么高成本，投入高金錢做這樣一個容災。所以，針對目前這樣一個情況，保險就可以有效解決這些問題，去用這種經(jīng)濟手段，去做一些事后的補償，同時開展一些風險評估，針對云計算的這樣一個風險評估。

這個是在說什么？我剛才說，因為我們更多提的是一個保險機制，除了賠償之外，想建的是一個保險的共同體，相當于作為投保企業(yè)要建一個跟小聯(lián)盟一樣，就是信息共享的平臺。目前所有的投保企業(yè)應該有幾十家，我們會做定期的信息共享，包括安全漏洞，網(wǎng)絡攻擊信息共享，包括危險信息的共享，我們想做的是把這些共享信息及時發(fā)布給我們的用戶，把事后的風險做到一個事前的預防。然后，這個聯(lián)盟引進這種機制也已經(jīng)運轉(zhuǎn)起來了。

今天大概的分享就是這些，可能是我們這邊針對云計算，針對保險機制的這樣一個研究，大家有什么問題也可以會后跟我聯(lián)系，這是我的二維碼。分享就這樣，謝謝大家！