如今,雲計算已經發展了10餘個年頭,並逐漸形成龐大的產業規模,企業“上”雲也並非難事。但不斷出現的信息數據洩露事件給火爆的雲計算界敲響了警鐘,企業開始逐漸意識到雲計算的風險性,明白部署哪一種雲都有可能受到黑客攻擊。雖然雲計算可帶來顯著的優勢,但潛在風險也不容忽視。
1
安全問題頻現 雲計算風險管理迫在眉睫
《網絡安全信息與動態週報》顯示,僅在5月28日-6月3日一週時間內,境內就有約29萬個主機感染網絡病毒,新增了309個信息安全漏洞,數據洩露問題嚴重,信息安全形勢嚴峻。
此外,近年來全球因雲服務造成的數據洩露事件屢見不鮮。今年年初,就曾有CPU芯片被爆出在底層硬件設計上存在嚴重缺陷,並將直接影響到Windows、Linux、MacOS等操作系統,這對包括亞馬遜、微軟、谷歌在內的所有云計算廠商都構成了致命打擊。通過這個漏洞,攻擊者可以通過一個虛擬用戶,攻擊在同一物理空間的其他虛擬用戶,而這幾大雲服務廠商的服務器排列緊密,只要遭到攻擊,理論上所有的數據都將遭到破壞。
儘管面臨安全風險和挑戰,但佈局“雲”成為絕大多數企業的共識。如今,整個市場正進入爆發階段,爭論的焦點已經變成選擇何種技術架構、採購哪家雲廠商的服務。與此同時,如何避免數據洩露,如何管控風險也成為企業關心的話題之一。
中國信息通信研究院基於大量的研究認為,網絡問題和運維人員誤操作是造成雲計算風險的主要因素。既然風險不可避免,除了技術手段之外,還有其他降低風險的方式嗎?中國信息通信研究院給出了答案。為了進一步完善我國的網絡風險管理體系,中國信息通信研究院於2014年10月聯合多家科技公司以及保險公司,成立網絡風險與保險創新實驗室,探索雲計算保險。
而為了進一步增強雲計算企業風險防禦能力,有效提升雲計算產業整體運營水平,中國信息通信研究院和“網絡風險與保險”創新實驗室聯合組織設立“雲計算風險管理能力”評估,評估工作由“可信雲”工作組開展執行。
“風險評估”屢見不鮮,但若將其同雲計算結合起來,則並不多見。當用戶把大量數據和文件存儲到雲端時,當企業將信息系統部署在雲平臺時,常會面臨一些意想不到的風險,這些風險所導致的後果很有可能是難以估量的,只有雲計算企業具有較強的風險管理能力,才能為用戶提供保障。因此,通過評估發現雲計算企業風險管理能力薄弱點,對提升企業風險管理水平至關重要。除了關注數據、信息安全外,“雲計算風險管理能力”評估也將雲計算合規性問題劃為重點,系統性地梳理了企業合規中的風險點,填補企業法規漏洞。
2
八大評估環節把關 構建雲計算保護傘
此次可信雲工作組展開的《雲計算風險管理能力》評估工作,將嚴格依據《雲計算風險管理框架》中對各項指標的要求,通過材料審查、現場審查和技術測試等評估方式來展開。
評估主要針對雲計算關鍵環節八大風險點進行,分別是:
風險管理組織架構、雲計算外部環境風險管理能力、雲計算平臺風險管理能力、雲計算人員風險管理能力、雲計算管理流程風險管理能力、雲計算合規風險管理能力、風險告知與監測、風險處置
根據八項評估指標,基於評估分數,“雲計算風險管理能力評估”將企業風險管理能力劃分為基礎級、增強級和先進級,並由中國信息通信研究院和“網絡風險與保險”創新實驗室聯合為通過評估的企業頒發“雲計算風險管理能力”評估(基礎級/增強級/先進級)證書,證書有效期一年。最新一批評估結果將在2018可信雲大會發布!
參評、諮詢請聯繫:孔松[email protected]
欲瞭解雲計算領域更多前沿資訊,敬請關注2018即將起航的可信雲大會。
8月14日-15日,北京國際會議中心,2018可信雲大會即將盛大開幕,敬請期待!
閱讀更多 中國IDC圈 的文章
