郭雪:网络安全法下云计算和IDC风险管理的新趋势

本篇文章5804字，读完约15分钟

郭雪:网络安全法下云计算和IDC风险管理的新趋势 对于云计算和数据中心来说，一方面，可能的风险是外部风险。也就是说，天灾人祸包括第三方风险，包括网络攻击，DDoS攻击也非常频繁；其次，操作系统本身的风险可能包括软件风险、硬件风险和访问风险。 云计算将带来一些新的风险，包括共享技术风险、牵引风险，此外还有运营实体的风险，包括一些内部员工的不良行为，以及一些商业风险。在这样的背景下，云计算的风险管理迫在眉睫。 在汹涌澎湃的2017年，人工智能和物联网等领域的快速发展推动了对数据存储、计算和网络流量的需求增加。技术创新推动了IDC和云计算市场的快速增长，产业前景非常看好。

中国国际数据中心行业年会是中国规模最大、定位最强、覆盖面最广的行业会议。12月20日至22日，第十二届中国国际数据中心行业年会在北京国家会议中心隆重举行。

12月22日，国际数据中心和云计算国际合作论坛作为IDCC2017的子议程之一，中国信息通信研究院云计算与大数据研究所郭雪分会出席会议，并发表了题为《网络安全法下云计算与国际数据中心风险管理新趋势》的主旨演讲。

演讲的真实记录如下:

郭雪:大家好！我是信息与通信研究所的郭雪。今天我想和大家分享的是这个话题，网络安全法下云计算风险管理的新趋势。我相信很多学生，包括那些不太了解我们单位的学生，让我先简单介绍一下我自己。我来自中国信息与通信研究所，这是工业和信息化部下属的一个国家级机构。我来自云计算和大数据研究所的云计算部门，它是当前流行团队的成员之一。我还依赖多年的可信云评估标准经验。因此，我与大家分享我们对云计算的理解，包括今年《网络安全法》实施以来对云计算风险管理的影响。今天我想和你讨论这样一个问题。

首先，我想和你一起复习一下网络安全法。我们已经仔细阅读和研究过了，我也想带你一起复习一下。《网络安全法》于今年6月1日正式实施。实施后，我发现对行业的影响仍然很大。我发现业界更加关注安全问题和风险。全文由七章79篇文章组成。我也会一个一个地研究它们。要点是什么？然而，回顾过去，第一章和最后一章没有提到一般原则和目标。第二章讨论政府的支持。第三章，运营安全，谈到需要确保一定水平的网络运营安全，特别是关键信息基础设施，什么是关键信息基础设施，我稍后将简要介绍。第四章是关于保护用户数据的信息安全。第五章主要论述了全程监控和事后应急处理的必要性，这是整个《网络安全法》的一条主线。我们可以找到它的焦点。我刚才提到的两点是操作安全和信息安全。

然后我们拿出与风险相关的文章给大家看。全文提到了许多风险，包括风险评估，并要求相关单位事先进行风险评估。同时，他提到了风险处置。问题发生后，应该有一些应急反应计划，以迅速处理风险事故。这是整体上可以说是安全的，而风险问题则提到得更多。

然后，特别是正如我刚才所说的，它对关键的信息基础设施提出了更高的要求。对于关键信息基础设施，要求每年进行一次检查和评估，并要求相关部门进行抽查。事实上，《重点信息基础设施保护条例》草案已于今年7月发布。作为互联网信息办公室信息基础设施保护办公室的支持单位，我们的单位已经确定了这一范围。然而，这一规定仍在磋商过程中。关键的信息基础设施实际上是八大产业，即金融、教育等八大产业，关系到国计民生。目前，还没有关于这些信息系统的准确结论。一些定义称它们是关键产业。传统行业中一些更重要的信息系统也说它们是3级以上的信息系统。目前，互联网信息办公室还没有给出一个明确的定义，因为这些规定仍在磋商之中。无论如何，我们将对关键信息基础架构提出更高的要求，并每年进行风险评估。因此，在整个《网络安全法》环境下，我发现对风险管理有很高的要求。这是第一个大背景。《网络安全法》是今年提出的。自从我出生在云计算，我将简要地告诉你云计算在过去两年的发展。

这是我们研究所今年白皮书的成果。我们可以看到，云计算在前两年发展迅速。那么，过去的两年可能已经进入了一个稳定的时期，也就是说，发展不是那么迅速，而是相对比较稳定。然后，这给出了一个数字。2017年，市场规模预计将超过600亿，其中三分之二将是私有云。然后，1/3是公共云的比例。当然，因为现在是云计算，应该说市场相对成熟，这种定位已经逐渐成为一种基础设施。云计算和数据中心一样，是作为基础设施提供给用户的。然后我们发现云计算正逐步以工业方式运行，这可以说是逐渐应用于关键的信息基础设施，并逐渐应用于传统行业的用户。我们也给了四个行业。例如，政府云也是我们的主要研究领域之一，2016年市场规模超过90亿。包括全国在内的三分之二的省份已经提出要去政务云平台。包括行业也相对流行，尤其是一些云制造，但也提出要与一些云计算企业合作构建移动云平台。例如，金融，如银行、保险和证券，都有一些云计算应用。特别是，建行等银行正在构建自己的私有云。一些保险公司可能会使用一些行业云。这种情况有很多。像医疗、一些远程诊疗、病理信息，在云计算中的应用。云计算在传统行业的应用也更加深入。刚才的两部电影意味着，在目前的形势下，一方面，云计算正在迅速发展；另一方面，《网络安全法》对安全性提出了很高的要求。那么，云计算的风险管理应该逐渐引起人们的关注。包括今天，我们都在讨论如何管理云计算的风险。

首先，我举了一些例子。云计算和数据中心每年仍有许多事故。今年，包括去年，我已经举了一些大例子。我们发现一些事故是由电力引起的，包括停电，还有一些是由网络原因引起的。包括对数据中心和数据中心上层的云计算用户有很大影响的网络原因，以及基本上每天都在发生的DDoS攻击。因此，数据中心仍然面临许多事故。

这里我们还总结了风险的类型，即云计算和数据中心可能面临的风险。在我们看来，一方面是外部风险。你如何理解外部风险？即使是自然和人为的灾难和火灾，包括天津事件，也影响了当时的许多本地数据中心。包括网络攻击在内的第三方风险，DDoS攻击也非常频繁。第一个方面是外部风险。

其次，操作系统本身的风险可能包括软件风险、硬件风险和访问风险。然后，云计算将带来一些新的风险，包括共享技术风险，包括一些牵引风险，此外还有运营实体的风险，包括一些内部员工的不良行为，以及一些商业风险。

风险这里给出了另一个研究结构。这是研究报告之一。这是数据中心面临的数据中心风险因素的统计数据。发现20%以上是由设备引起的，20%以上是由DDoS攻击引起的。发现网络、设备和人员是导致数据中心风险的主要因素。这也是对整个风险的分类，并对主要因素进行研究。

因此，在这样的背景下，我们发现云计算的风险管理应该说是迫在眉睫。我们做什么呢各国也在探索降低风险的方法。事实上，各国也在探索降低风险的方法。我们对不同的国家进行了调查。我们发现美国以市场导向为主，有相关的风险管理标准。NIST推出了一些信息技术风险管理的相关标准，并引入了商业风险专业。2010年，商业保险公司成立。欧洲联盟也优先考虑政府监督。专门的信息安全局对云计算进行风险评估，并将定期发布研究报告。同时，公司也提供保险服务。

因此，借鉴目前世界上每个人的想法，我们也在想，我们的国家能做些什么？对于云计算的风险，我们的国家能做些什么？这是个人考虑。我们发现我们也在思考我们能为我们国家的云计算风险管理做些什么。一方面，我们发现风险肯定是不可避免的。每个人都努力提高可用性，99.99%或99.999%。无论如何改进，风险都是不可避免的。我是一个值得信赖的云团队。在可信云评估过程中，我们发现云计算每年都有很多事故发生。有各种各样的问题，可能超出我们自己的想象，尤其是一些人类的行为。因此，无论如何，风险事件是不可避免的。另一方面，是否有可能建立一个公共安全平台，也就是说，我们希望建立一个动态的威胁信息或风险信息共享机制。

因此，可能有三件事要为我们的国家做。一方面，这是政府的指导，而国家也发布了相应的文件。我们发现，今年的政策环境非常有利于开展安全相关工作和风险管理相关工作。此外，关于风险评估，我们也在思考云计算的风险评估是否应该与传统的风险评估相同。可能会有一些变化。虚拟化之后，一定会有一些变化。

此外，既然我们已经在美国和欧盟看到了一些保险公司，我们能否也采用经济的方法来确保我国的风险？我院还开展了云计算风险管理相关标准的研究。目前，标准已基本开始报批，并已提交审批。对于云计算的风险评估，我们梳理了其一些评估方法，包括对其基础设施、网络、计算资源、存储资源应用、业务、数据、人员、管理规范、运维、风险集成部门等的风险评估。在多个点上。

对于第一个角度，我们认为我们应该理清基本的风险。基本风险相当于从云计算架构开始层层梳理其技术风险。实际上，它相当于评估其容灾能力、防御能力和修复能力。我们将看看基础设施，包括它是否有一些冗余。这是数据中心层，包括建筑结构，它是否有一些冗余，包括消防安全。网络层一方面关心其外部网络的质量，另一方面关心其网络结构、如何进行保护控制以及如何防止入侵。我们将研究如何制造冗余计算资源，如何使它们在这种情况下高度可用，以及如何避免单点故障。存储资源还取决于其冗余性，包括存储设备冗余和数据备份策略。应用层也依赖于外部保护。数据层也是每个人都非常关心的问题，也是我们调查的重点，包括数据的持久性、可用性和隐私性。

另一方面，除了技术风险，我们还需要考虑其管理风险，即以管理体系为切入点。然后我们将检查等同于云服务提供商的管理风险，包括它是否有一些流程，如问题管理等。通过程序文件和文件，我们将检查管理风险。

另一方面，是对人员和运行维护进行评估，并对其运行风险进行评估。由于误操作在我们的评估流程中约占40%，在我们的可信云端约占40%，因此对计划进行一些行为审计非常重要，包括背景调查，因此我们还需要进行人员和操作维护评估，以评估其操作风险。同时，包括监控能力，我们将进行评估，包括监控报警、权限管理、日志管理、资产管理、计量和计费等。

我们将关注的另一个风险是合规风险。308也是我们主办的云计算政策培训课程。我们还在讨论这个问题和合规性，这也是我们的关键问题之一。一个是云服务提供商是否有自己的许可证。一方面，整个风险管理需要风险评估；另一方面，我们需要探索是否有可能通过经济手段减少整个风险的损失，也就是说，是否有一种保险机制来改善整个风险管理链。我们在过去两年才开始探索这项工作。今年也是我们探索云计算保险的2014年。当时，我们还与云保险等20多家服务提供商探讨了保险机制，并于2016年向中国保监会提交了全部保险。其中我们相当于一个固定的损失，我们将由我们的医院来做，包括事先的风险评估。首先，我们将进行事先风险评估，并将其发给保险公司。

可以说，整体保险不仅是降低风险损失的经济手段，也是推动风险转移的保险机制。我们发现保险投保后，服务提供商必须提前进行风险评估，这样他的风险点就可以提前投保。因为我们必须确定责任并修复损坏，所以我们必须定期进行抽查，包括一些风险监控工具。此外，它还减少了因经济赔偿而造成的事故损失。然后，对于用户，他们可以选择风险可控的保险和风险可控的服务提供商。此外，事故也可以有效地恢复。通过这种保险机制，服务提供商，无论是云服务提供商还是IDC提供商，都可以与用户建立这种信任关系。

另一方面，保险研究始于2014年，目前已有三年历史。寻找整个产品的计划，包括覆盖范围，应该逐渐成熟。这是我们整个保险的变化，也就是说，目前的保险可以适用于云计算提供商、云计算用户、数据中心提供商和数据中心用户。也就是说，购买保险的主体可以是甲方、乙方或OK。我们发现保险范围可能更重要。覆盖范围包括服务部门的可用性、数据丢失和信息披露。《网络安全法》关注两个问题，一个是运营安全，另一个是信息安全，这也在覆盖范围之内，另一个是相当于服务部门可用性和停机时间的事件。此外，数据丢失和信息披露也包含在该补偿中。

这是另一份工作。事故发生后，信息与通信研究所进行第三方调查，并向保险公司发布固定损失报告。我为什么要提到这份工作？当我们推进时，有些用户关心基础设施。例如，一些用户说我们不缺钱，我们不需要保险赔偿。我说没有问题，因为保险与其说是经济补偿，不如说是一种保险机制。你可能不需要经济补偿，但是你需要一个第三方来确定损害和责任，并且你需要划清责任界限。这是我们行业的每个人都喜欢的一点。这相当于在事故发生后，为第三方划定明确的责任界限，包括定量损失分析。然后，我们还有一套工具来做相关的工作。

此外，该保险在风险管理中具有重要意义。左边的这个是什么意思？换句话说，云计算，在这之后它的风险已经发生了很大的变化。事实证明，传统架构可能会承担更多自身风险，而对于云计算，它可能不得不考虑自身的上游和下游，并考虑其合作伙伴，后者可能会有更大范围的风险。另一方面，由于传统架构的原因，风险点的变化非常缓慢，对于云计算来说，更多的使用开源，尤其是云计算，开源软件非常多。我们以这种方式面临的问题是，开源的一些漏洞，包括一些漏洞的能力，以及风险的变化都是你自己的，包括一些DDoS攻击，它们也超出了传统的范围。事实证明，人们可能不得不在灾难恢复上花更多的钱，这样他们就可以为了稳定而牺牲金钱。

然后，对于云计算来说，因为平台本身覆盖面非常广，而且许多平台现在都处于启动阶段，所以可能很难进行如此高的成本和投入如此高的资金来进行这样的灾难恢复。因此，针对目前的情况，保险公司可以有效地解决这些问题，利用这种经济手段进行事后补偿，同时进行一些风险评估，这样的风险评估适合云计算。

这句话是什么意思？我刚才说了，因为我们谈论的更多的是保险机制。除了赔偿，我们还想建立一个保险社区，这相当于建立一个信息共享平台，就像一个保险企业的小联盟。目前，应该有几十家保险公司。我们将定期进行信息共享，包括安全漏洞，网络攻击信息共享，包括危险信息共享。我们想做的是及时向我们的用户发布这些共享信息，以防止以后的风险。然后，联盟已经开始引入这一机制。

这就是我今天要分享的。这可能是我们对云计算和保险机制的研究。如果你有任何问题，请联系我。这是我的二维码。分享就是一切，谢谢！

[中国国际数据中心圈禁止原创未经授权的复制]