郭（guō）雪：雲計算風險管理（lǐ）迫在（zài）眉睫

中國信息通信（xìn）研究（jiū）院雲計算與大數據研究所郭雪（xuě）

雲計算發展進入平穩期，2017年預（yù）計整雲計算市場規模會達到600多億，其中2/3會是私（sī）有雲，1/3是公有雲。在當（dāng）前形勢下，一方（fāng）麵雲計算快速發展，另一方麵《網絡安全法》對安全提出了非常高的要求。 郭雪認為，針對雲計算的風險管理（lǐ）應該逐漸得到（dào）重視。“雲計算的風險管理應（yīng）該說是迫在眉睫。”

郭雪指出，各個國家也在探索方法降低雲計算的風險，美國以市場引導為主，去開展也是有相（xiàng）關的標準，NIST已經推了一些信息技（jì）術風險管理的相關標（biāo）準（zhǔn），同時引入商業的風險專業（yè），2010年建立了商業的保險公（gōng）司，歐盟也（yě）是以政府監管為主（zhǔ），專門（mén）的信息（xī）安全局去做雲計算的風險評估，也會定期出研究（jiū）報告，同時也有（yǒu）公司提供保險的這個服務。

借鑒全球目前的思路，我國家針對雲計算（suàn）的風險能（néng）做哪些事情？

對此，郭（guō）雪認為，雲計算（suàn）風險肯定是在所難免的（de），大家雖然（rán）都（dōu）極力的提高的可用性，99.99%，還是99.999%，無論怎麽提高，風險是在所難免的。另一方麵（miàn），我們一直在思考有沒有可能建立一（yī）個公共安全的平台，建立一（yī）套動態的威脅（xié）情報或者風險信息的共享機製。

“實際上，針對上（shàng）述問題，我國已經開展了（le）三方麵工作。”郭雪指出，“一方麵是政府引導，國家已（yǐ）經出了相應的文，今（jīn）年的政策環境對於雲計算風（fēng）險管（guǎn）理非常有利。另一方麵，針對雲計算的風險評估跟傳統的風險評估是不是應該一樣，可能有一些變化。除此之外，因為（wéi）美國和歐盟都有一些保險公司，我國是不是也可以開展用經濟方法保證風險的方法。”

郭雪透露，中國信息通信研究院已經開展了（le）雲（yún）計算風險管（guǎn）理相關標（biāo）準的研究，目前標（biāo）準基本（běn）上已經開始報批了，並（bìng）已經送審完畢。“針對雲計算的風險評估我們梳理它的（de）一（yī）些（xiē）評估的方法，包括要對它的基礎設施、網（wǎng）絡、計算資源、存儲資源應用、業務、數據、人員、管理規範、運營（yíng）運維、風險整（zhěng）合劃分等多個方麵，多（duō）個點進行風險評估。”

“整個風險管理一方麵要（yào）進行風險評估，另一方麵要探索有沒（méi）有可能用經濟手段降低（dī）整個風險的損失，也就是（shì）說有（yǒu）沒有保險（xiǎn）的機製去完善整（zhěng）個風險管理的鏈條。”郭雪指出，“2014年10月，中（zhōng）國（guó）信息通信研究院組織多家雲服務廠商（shāng）和人保、平安、渤（bó）海（hǎi）等三家保（bǎo）險公司共同啟動雲保險工作。經過多次會議的討（tǎo）論，2015年（nián）5月確定雲保險（雲服務商版），即由雲服務商為雲（yún）平台購買保險，將服務中斷（duàn）和數（shù）據安全納（nà）入保險保障（zhàng）範圍。2015年7月30日（rì），中國（guó）電信、中國聯通、UCloud等企業首批（pī）簽約。隨後製定雲保（bǎo）險（客戶版（bǎn））方案，即客（kè）戶為自己使用的雲服務購買保險，2016年8月雲保險（xiǎn）自助投保平（píng）台上線。”

據了（le）解，以雲服務商和用戶簽訂的合同責（zé）任為基礎，雲保（bǎo）險主要針對雲平台（tái）的（de）服務中斷、數據丟失和（hé）信息泄露等有關損失提供保障方案。保險責（zé）任（rèn）人可以是雲服務商也可以是（shì）雲服務的用戶，保險公司為雲服（fú）商或第三方責任導致的（de）雲平台風險和損失進行（háng）賠償，相關險種（zhǒng）均（jun1）已在保監會備案。

“雲保險”的推出不僅能夠改變現有雲用戶在發生事故後，無法獲得足額賠付的問題，而且有助於雲計算服務體係的健康可持續（xù）發展與（yǔ）升級，化解雲服務商與雲用戶的經濟糾（jiū）紛，最大程度保障各（gè）方（fāng）權益。可以說，這個保險對風險管理（lǐ）裏具有（yǒu）很重要的意義。

郭雪指出，“除了賠（péi）償之外，我們想建的是一個保險的共同體，相當於作為投保企業要建一個小聯盟，類似信息共享的平台。目前所有的投保企（qǐ）業有幾十家，我們會做（zuò）定期（qī）的信息共享，把（bǎ）事後（hòu）的風（fēng）險（xiǎn）做到（dào）一個事前的預防。”