“评估+保险”构建双重保障 云服务评估管理闭环先行完成

本篇文章2410字，读完约6分钟

信息技术正悄悄地改变着世界，伴随着变化中的风险的演变。

以信息技术革命为核心的新技术的发展唤起了人们对科学技术未来的无限想象。尤其是在阿尔法戈击败人类围棋冠军后，由大数据、区块链和人工智能引领的技术产业似乎正在以不可逆转的方式改变甚至颠覆经济和社会。

不久前，中国保监会下属的保险智库指出，新技术的发展正把社会带入一个高风险的时代。云计算、物联网、人工智能等技术使得当今世界可用于决策的维度迅速上升，并带来更多的高维风险。北京保险研究院首席研究员李晓林博士表示，当科技颠覆传统世界的运行规则时，构建新的风险管理逻辑已成为新技术时代社会治理的首要逻辑。

跨境创新的双重保障模式

2017年7月，中国信息通信研究院和中国保险研究院联合成立了网络风险与保险实验室。作为网络风险管理和保险的前沿思想家，中国信息通信研究院和中国保险研究院从发展和标准化的角度对网络保险管控的多维复杂趋势进行了跨境思考和实践研究。

从云服务提供商的角度来看，无论是亚马逊aws、全球最大的云服务提供商谷歌应用引擎、苹果icloud、支付宝、携程网等国内互联网公司，云服务宕机事故都不同程度地发生了。

在云计算领域，防患于未然尤为重要。在保险范畴中，正确而全面地理解保险人所管理的风险是确保稳健经营的前提。相应地，在云计算环境下，全面准确地了解服务提供商自身的云服务业务风险也是确保其服务连续性和安全性的重要前提。

为了确保这一过程的公平性和准确性，权威机构有必要进行云服务测试和风险评估。2016年，由中国信息通信技术研究院牵头的可信云正式写入itu-t y.3501标准，这标志着中国云计算产业在国际标准中拥有了更多话语权。

基于这一成熟可信的云服务认证，网络风险与保险实验室在国内首次提出以事前风险评估和事后风险事故保险双重保障的创新模式来指导网络风险管理改革。

云服务风险评估管理闭环首先完成

基于中国信息通信技术研究院可信云评估工作的积累和云服务提供商对风险管理的迫切需求，网络风险与保险实验室率先探索云计算厂商的风险评估工作。

由于云服务已经大规模取代了传统it，承载了与许多行业和企业的生存和发展密切相关的业务，不同发展水平的用户对无形和无形的虚拟化水平有所怀疑。当常见的it管理硬件和安全防护系统，尤其是硬件箱，逐渐从企业it采购清单中消失时，如何有效识别和控制云计算环境的风险？

为解决这一问题，可信云团队在积累云保险风险评估经验的基础上，重组了云服务的风险管理框架，从用户的角度评估了云服务抵御数据丢失、信息泄露、服务不可用等风险的能力，起草了云计算风险管理框架标准，探索了云服务风险评估的全过程闭环，包括风险评估、风险处置、风险接受、风险沟通和风险监控五个主要环节。

进行风险评估以找到目标

为了确定云计算环境中的潜在风险和可能损失，云计算风险管理框架首先充分识别云计算服务的关键点、威胁、漏洞和现有风险管理措施。

一是云计算服务基础设施、网络、计算资源、存储、应用、业务、数据、人员、管理规范、运维、风险集成等关键环节的划分。根据对业务价值和可用性的影响进行划分和分配。

其次，对可能构成潜在损害的因素进行了定义和挖掘，包括环境因素、技术故障和感知因素，并对其进行了明确分类，通过三级标准定义了威胁的频率，以确定威胁对云计算服务关键点的影响程度。

第三，分析了云计算服务所依赖的一个或多个系统和管理流程的弱点。想象一下，如果云计算服务足够强大，不管威胁有多严重，它都不会造成损失。识别漏洞已成为有效加强风险管理和控制的重要一步。具体方法包括问卷调查、人工检查、人工验证、文件查阅和渗透试验等。

第四，逐一对应云计算服务的关键点，识别云服务提供商所采取的风险管理和控制措施，并对其控制能力进行不同层次的评估。

云计算风险管理框架在完成云计算服务的风险识别后，结合云计算服务的应用价值，根据风险事件发生的可能性、关键点权重、威胁等级、管控能力等级等，提出了云计算服务风险价值指数的计算标准。

有效避免了风险处置

基于云计算服务风险评估的结果，可信云、云服务提供商和第三方通过风险降低、风险维护、风险规避和风险转移共同应对风险，从而有效降低服务风险，寻求最有针对性的风险管控流程。

风险接受是可行的

当风险评估值较低，且只有造成较小损失和较高重复性的风险时，可以采用风险接受。

同意风险沟通

云服务提供商和云服务提供商及客户交换和共享关于风险的存在、形式、可能性、严重性、处置和可接受性的信息，以达成协议。

风险监控的持续优化

通过对云计算可用性、网络连通性、网络流量、云计算软件漏洞和信息安全事件的定期和重复连续监控，及时发现新的威胁和漏洞，并对风险处置手段进行审查。

好的it风险管家可以获得云保险升级保障

经过这样一个完整的评估、反馈和管理的全过程，不仅可以有效合理地提高云服务提供商的风险管理和控制能力，还可以为用户选择云服务提供权威参考，为企业走向云端建立安全可靠的保障。

据了解，第一批可信云服务风险评估已由网络风险与保险实验室进行，完成评估的企业将获得中国信息通信研究院和网络风险与保险创新实验室联合颁发的It风险好管家证书。

复杂的云计算系统意味着越来越不可预测和不可控制，问题的风险始终存在。因此，除了加强防范，网络风险与保险实验室还提出了一套可行的云保险方案。通过中国ICT、中国保险学会、PICC P&C保险、平安保险(601318)、渤海P&C保险、鲍云久久等公司的合作，面向云服务提供商和云计算用户的云保险1.0和云保险2.0产品自2016年以来陆续推出，为行业提供专业的风险管理服务和网络保险部署计划。在保险公司的参与下，它将为一定范围内的安全事件提供赔偿，让云服务提供商和用户都能受益。

从云保险1.0到云保险2.0，云保险产品的覆盖范围进一步扩大，服务方式日益灵活。未来，云保险产品将成为每个云服务提供商的服务标准，引领未来云计算服务改革。