风起云涌的2017年,云计算、大数据、人工智能和物联网等领域的快速发展,带动了数据存储、计算和网络流量需求的增加。技术创新驱动了IDC和云计算市场规模快速增长,产业前景极为看好。
中国IDC产业年度大典,作为国内规模最大、导向性最强、覆盖面最广的行业会议。第十二届中国IDC产业年度大典(IDCC2017)于12月20-22日在北京国家会议中心隆重召开。
12月22日,《IDC及云计算国际合作论坛》作为IDCC2017的分议程之一,中国信息通信研究院云计算与大数据研究所 郭雪出席此次会议,并作《网络安全法下的云计算和IDC风险管理新趋势》主题演讲。
演讲实录如下:
郭雪:“大家好!我是信通院的郭雪。今天想跟大家分享的就是这个题目,网络安全法下云计算风险管理的新趋势。我相信,可能很多同学,包括对我们单位也不是特别了解,我先简单的介绍一下自己。我是中国信息通信研究院的,信通院是工信部下属的国家级事业单位,我是云计算、大数据研究所云计算部的,也就是当前比较火的可信云团队的一个成员之一,也是凭借着可信云多年的评测标准经验,所以在这儿跟大家分享的也是我们对云计算,包括对数据中心的一些理解,包括尤其今年《网络安全法》实施以来对云计算风险的管理会造成什么样的影响。今天主要想跟大家探讨这样一个问题。
首先,先跟大家回顾一下《网络安全法》,大家已经有了仔细的通读和研究,也是带大家一起回顾一下。《网络安全法》今年6月1号正式实施,实施之后我发现对业界的影响还是非常大的,发现业界更多的去关注了安全问题,风险问题。这个全文一共七章79条,我也是逐条去研究,主要说什么事呢?但是回顾一下,第一章和最后章不说了,总则和目标。第二章讲政府要予以一些相关支持。第三章,运行安全,讲网络需要保证一定的运行安全,其中特别提到关键信息基础设施,什么是关键信息基础设施,一会儿我有一个简单的介绍。第四章说的就是信息安全要去保障用户数据。第五章主要讲需要有一个整个过程中的监测,以及事后的应急处置,这是整个《网络安全法》一个大体的脉络。我们可以发现它的关注重点,我刚才说的两点就是运行安全和信息安全。
然后我们把其中跟风险相关的条拿出来给大家看一看,其中全文多次提到风险的问题,包括风险评估,要求相关单位要去进行事先的一个风险评估。同时,他提到风险处置,出现问题之后,要有一些应急响应的预案,快速进行风险事故的处置,这是整个可以说对安全,对风险问题提的比较多。
然后,特别我刚才说了,针对关键信息基础设施,它提出了一个更高的要求。针对关键信息基础设施,要求每年进行一次检测评估,要求有相关的部门进行抽查。这里其实针对《关键信息基础设施保护条例》今年也是7月份的时候发了征求意见稿,我们单位也是作为网信办关于信息基础设施保护处的一个支撑单位,对这个范围做了界定。但是,目前这个条例还在征求意见中。什么是关键信息基础设施,其实就是八大行业,金融、教育等八大行业,关系到国民生计,国家安危的这些信息系统,目前还没有一个准确的定论,有些定义说是关键行业,传统行业的多个比较关键的信息系统,也有说是三级以上的信息系统,目前网信办还没有给出一个明确的定义,因为条例还在征求意见中。不管怎么样,所以我们是要对关键信息基础设施提出一个更高的要求,每年进行风险评估。所以,整个《网络安全法》环境下面,我发现对风险管理提出了一个非常高的要求,这是第一个大背景,《网络安全法》今年提出。因为本身我自己是做云计算出身的,所以简单跟大家说说云计算这两年的发展。
这是我们院今年的白皮书的一个结果,大家可以看到云计算前两年,确实是快速发展。然后,这两年可能进入了一个平稳期,就是发展没有那么迅速,相对来说更平稳一些。然后,这个给出了一个数据,2017年预计整个市场规模会达到600多亿,2/3会是私有云的比例。然后,1/3是公有云的比例。当然,因为云计算到现在来说,应该说市场也比较成熟了,这个定位逐渐成为基础设施了,云计算跟数据中心一样作为基础设施提供给用户了。然后我们发现云计算逐渐进行行业化的运营,也可以说逐渐应用到关键信息基础设施,逐渐应用到传统行业的用户中,也是我们给了四个行业。像政务云也是我们重点研究的领域,2016年市场规模已经达到90多亿。包括全国2/3的省份都提出要上政务云平台。包括工业也是比较火,尤其一些制造云,也是提出要与一些云计算企业开展合作,建移动云平台。比如金融,像银行、保险、证券都有一些云计算应用,尤其银行像建行在建自己的私有云,一些保险可能会使用一些行业云,类似这样的案例非常多。像医疗,一些远程诊疗,病理信息,在应用云计算。云计算在传统行业的应用也更加深入,刚才两张片子就是说,在当前这个形势下,一方面云计算快速发展,另一方面《网络安全法》对安全提出了一个非常高的要求。那么,针对云计算的风险管理,应该是逐渐的引起了大家的重视。包括今天我们大家探讨的也是针对云计算我们怎么进行风险管理。
首先,我给出的例子,针对云计算、数据中心每年发生的事故还是非常多的,我给出了一些今年可能有一些比较大的案例,包括去年。我们发现有些事故是由电力原因造成的,包括断电,有些是由于网络原因造成的。包括网络原因造成的对数据中心,对数据中心上层的云计算用用户都有非常大的影响,还有DDoS攻击,这个基本上每天都会发生。所以,数据中心面临的事故还是非常多的。
这里我们也是对风险种类进行了一个总结,也就是对云计算,对数据中心来说,可能面临的风险有哪些。在我们看来,一方面是外部风险,外部风险怎么理解?就是天灾人祸,就是火灾,包括天津的事件,当时也是对当地的很多数据中心也是造成影响了。包括第三方的风险,包括网络攻击,DDoS攻击也是非常频繁的,第一方面是外部风险。
第二方面,针对运营系统本身的风险,可能包括软件风险、硬件风险、接入风险。那么,云计算做云化之后会带来一些新的风险点,包括共享技术风险,包括一些牵引的风险,除此之外还有运营主体的风险,包括一些内部员工的恶劣行为,同时还有一些商业风险。
风险这里再给出大家另外一个调研结构,这是其中一份研究报告,这个是给数据中心面临的一个数据中心风险因素的统计,发现20%多是设备造成,20%多是DDoS攻击,发现网络、设备、人员都是导致数据中心风险的主要因素,这里也是对整个风险做了一个分类,以及主要的因素做了这样一个调研。
所以说,在这样一个背景之下,我们发现云计算的风险管理应该说是迫在眉睫。到底应该怎么做呢?各个国家也在探索方法,其实怎么解决降低风险,各个国家也在探索,我们已经对各个国家做了一个调研,发现美国以市场引导为主,去开展也是有相关的标准,NIST已经推了一些信息技术风险管理的相关标准,同时引入商业的风险专业,2010年建立了商业的保险公司,欧盟也是以政府监管为主,专门的信息安全局去做云计算的风险评估,也会定期出研究报告,同时也有公司提供保险的这个服务。
所以,借鉴全球目前大家的思路,我们也在想,我国能做哪些事情呢?就是我们国家针对云计算的风险能做哪些事情?这是个人考虑,我们发现对于我国的云计算风险管理我们也是在思考能做哪些事情。一方面,我们发现风险肯定是在所难免的,大家都极力的提高的可用性,99.99%,还是99.999%,无论怎么提高,风险是在所难免的。我是可信云团队的,可信云评估过程中大家发现每年云计算出现事故的问题真是五花八门,什么样都有,可能超乎自己的想象,尤其一些人为操作的行为。所以,不管怎么样,风险事件是在所难免的。另一方面,有没有可能建立一个公共安全的平台,就是说我们希望能建立一套动态的这样一个威胁情报,或者风险信息的共享机制。
所以,针对我国可能有三个方面的事情去做。一方面是政府引导,国家已经出了相应的文,我们发现今年的政策环境,不管是开展安全相关的工作,还是风险管理相关的工作都是非常有利的。另外一块,针对风险评估,我们也在想针对云计算的风险评估跟传统的风险评估是不是应该一样,可能有一些变化,本身做了虚拟化之后肯定要有一些变化。
除此之外,因为我们看到美国和欧盟都有一些保险公司,我们国内是不是也可以开展用经济方法保证风险的方法。我们院也是开展了云计算风险管理相关标准的研究,目前标准基本上已经开始报批了,已经送审完毕。针对云计算的风险评估我们梳理它的一些评估的方法,包括要对它的基础设施、网络、计算资源、存储资源应用、业务、数据、人员、管理规范、运营运维、风险整合划分等等多个方面,多个点进行风险评估。
第一个角度,我们觉得要梳理基础风险。基础风险相当于从云计算的架构出发,逐层梳理它的技术风险。其实相当于评估它的容灾能力,防御能力,还有修复能力,我们会从基础设施,包括他是不是具备一些冗余,这是数据中心层的,包括建筑结构,是不是具备一些冗余,包括消防安全。网络层,一方面关心它的外网网络质量,另一方面关心他的网络架构,怎么进行防护控制,怎么防入侵。计算资源我们会看怎么做冗余,这种情况下怎么做高可用,怎么避免单点故障。存储资源也是要看它的冗余,包括存储设备冗余,以及数据的备份策略,应用层也是要看外部保护。数据层,也是大家比较关心的,也是重点我们要去考察的,包括我们要去考察数据的持久性、可用性和私密性。
另一方面,除了技术风险之外,我们还要考虑它的管理风险,这就是以管理制度为突破口,然后我们去考察相当于云服务商的管理风险,包括考察它是否具备问题管理等等一些流程,通过流程性的文件、文档,考察管理风险。
还有一方面是评估人员和运维,评估它的操作风险。因为在我们评估过程中发现误操作占到40%左右,在我们可信云这边,占到40%左右的事故原因,所以对预案的一些行为审计,包括背景调查是非常重要的,所以我们也要进行人员和运维的评估,评估它的操作风险。与此同时,包括监控能力,我们要进行一个考核,包括监控告警、权限管理、日志管理、资产管理、计量计费等等。
还有一个风险是我们重点考核的,就是合规风险。308也是我们主办的有一个云计算政策的培训,也在讲这个问题,讲合规性的问题,也是我们重点考察的一个内容。一个是云服务商数据本身的合规,是不是具备本身的牌照。整个风险管理一方面要进行风险评估,另一方面要探索有没有可能用经济手段降低整个风险的损失,也就是说有没有保险的机制去完善整个风险管理的链条,这个工作我们也是这两年才开始探索,这也是2014年我们探索云计算保险,当时也是跟云保等20多家服务商共同探索保险机制,2016年在保监会备案了整个保险。我们在其中相当于是定损,由我们院去做,包括事前的风险评估,一是刚才的标准,我们做事先的风险评估,出具给保险公司。
可以说整个保险除了是一种经济手段,降低风险损失之外,更多是一种保险机制,整个去带动风险转移。我们发现投保之后,因为这个服务商要事先的进行风险评估,所以他的风险点可以事先的预保。因为我们要定责定损,所以我们要定期进行抽查,包括我们有一些风险监测的工具。除此之外,也是降低了事故的损失,因为有经济的赔偿。那么,对用户来说,可以选择风险可控的保险,风险可控的服务商。除此之外,事故也可以得到有效的追偿。通过这种保险机制,建立服务商,不管是云服务商,还是IDC提供说与用户这样一个信赖的关系。
另一方面,保险也是2014年开始研究,目前也是三年的时间。发现整个产品的方案,包括保障范围应该是逐渐的成熟,这里是给出了我们整个保险的变化,就是目前的这个保险可以针对云计算提供商,云计算用户,数据中心提供商,数据中心用户都会购买保险。也就是说,购买保险的主体可以是甲方,可以是乙方,都OK.我们发现保险保障范围,这个可能是比较重点,保就是服务部可用、数据丢失和信息泄露,《网络安全法》重点关注两块问题,一个是运行安全,还有一个是信息安全,也是重点在这个保障范围里边,一个是相当于保障部可用,出现宕机的事件。另外,出现数据丢失,信息泄露也是在这个赔偿范围里的。
这是另外一块工作,出现事故之后,由信通院做第三方的排查,出定损报告给保险公司。我为什么要提这块工作?我们在推的时候有一些关心基础设施的用户,比如有些用户说,我们不差钱,保险我们不想要赔偿,我说没有问题,因为保险除了经济赔偿之外,更多是一种保险机制。你也许不需要经济赔偿,但是需要有一个第三方的定损定责,需要划清责任界限,这是对我们业界来说,大家比较看中的一个点。相当于出了事故之后,我们作为第三方去划清责任界限,包括定量的做损失的分析。然后,我们也是有一套工具去做相关的工作。
再说这个保险,在风险管理里的一个重要意义。左边这一片是在讲什么?就是讲云计算,云计算之后他的风险其实发生非常大的变化。原来传统架构可能更多的承担一个自身的风险,而对云计算来说,他可能要去考虑自己的上下游,考虑他的合作伙伴,可能风险的范围更大。另一方面,因为传统架构来说,风险点变化是非常慢的,对云计算来说,更多的使用开源,尤其是云计算,开源的软件非常多。这样面临的问题就是开源的一些漏洞,包括一些漏洞能力,风险变化是非常你的,包括一些DDoS攻击也是比传统的范围要广。原来大家可能要花更高的成本做容灾,所以可以牺牲金钱换稳定性。
那么,对于云计算来说,因为平台本身的覆盖面非常广,而且很多现在处于创业阶段,所以可能很难做这么高成本,投入高金钱做这样一个容灾。所以,针对目前这样一个情况,保险就可以有效解决这些问题,去用这种经济手段,去做一些事后的补偿,同时开展一些风险评估,针对云计算的这样一个风险评估。
这个是在说什么?我刚才说,因为我们更多提的是一个保险机制,除了赔偿之外,想建的是一个保险的共同体,相当于作为投保企业要建一个跟小联盟一样,就是信息共享的平台。目前所有的投保企业应该有几十家,我们会做定期的信息共享,包括安全漏洞,网络攻击信息共享,包括危险信息的共享,我们想做的是把这些共享信息及时发布给我们的用户,把事后的风险做到一个事前的预防。然后,这个联盟引进这种机制也已经运转起来了。
我今天大概的分享就是这些,可能是我们这边针对云计算,针对保险机制的这样一个研究,大家有什么问题也可以会后跟我联系,这是我的二维码。分享就这样,谢谢大家!”