首页 云计算 服务器 大数据 存储 IT 安全 物联网 软件 商品

云计算

云安全频道旗下栏目: 云资讯 云安全 云开发 云趋势

2019可信云大会丨高晓鹏:保险机制保障企业上云安全

7月2日上午, 2019可信云大会在北京国际会议中心隆重开幕。2019可信云大会以“智能云网边,可信创未来”为主题,由中国信息通信研究院主办。在下午举行的云安全及风险管理论坛上,人保财险责任保险事业部高端业务处处长助理高晓鹏出席并发表了“云计算及网络安全保险介绍”为主题的演讲。

人保财险责任保险事业部高端业务处处长助理高晓鹏

大家好,我是人保财险的高晓鹏,我们每年都在参加这个论坛,今天在这里做一个简单的分享,介绍一下云计算和网络安全。

人保财险是亚洲最大的财险公司,从技术能力来讲车险占到三分之一,非车的市场占比,特别是责任险的市场占比大概占到将近40%,比第二名平安、第三名太平洋保险加起来都要多,能力是非常强的。

今天分享内容包括三个部分,第一部分是信息安全的现状;第二风险防范;第三人保财险的现状。移动互联的时代能够感受到的是信息交互越来越多,越来越方便,交互越来越多导致个人信息频繁在不同的场合里出现,这样信息交互的频次越高,个人信息被泄露的风险越大,网络安全面临新的挑战,包括新的问题和旧的问题。

对于新的问题,网络安全事件通常是运维人员的过失和系统的问题,运维圈有一个说法,70%的故障来自于内部人员的操作,内部人员的操作可能是找不到原因的时候运维人员去背这个黑锅,出现不可控的因素,包括网络配置的变更,包括软件开发的小的BUG,包括运维的故障导致网络的小问题,引发连锁反应,导致系统的不可用或者软件数据丢了。

不仅仅是小公司,大公司也经常出现这样的问题,包括亚马逊、Facebook、谷歌、腾讯、阿里,都会出现各种各样小的问题。对于国外最新的波音公司的事件,他们把锅甩给了外包人员。不管从哪个角度来看,通过自己的数据来看,发现系统故障或者过失操作时发生案件更多一点。

对于信息风险来说信息泄露已经成为主要的威胁,数据时代企业通过个人信息数据来获取很多商业的机遇,我们可以了解到个人的消费习惯,个人的隐私状况,可能面临的问题会收到一些广告,营销推荐的骚扰电话,甚至一些诈骗电话。对于企业而言数据安全威胁到企业的生存,Facebook爆出了一个很大的问题,数据泄露了五千多名的客户信息,泄露之后在政府的压力下,他的股价蒸发了500亿,对于他们的首席执行官做了很多的澄清和道歉来扭转大家对网络安全、个人信息的意识。包括万豪酒店,酒店的消费信息和个人信息造成了泄露,也引起了消费者的困扰。

新的风险还来自于系统漏洞、网络勒索,我们也接到很多客户的需求,咨询相应的保险产品,可以了解到风险,企业在网络安全里遇到的风险越来越高。还有波音公司WannaCry的病毒,造成很大的损失。还有一个损失来自于云平台,因为越来越多的企业用到云的技术,云技术有网络规模化和数据集成化,效率非常高,成本非常低,更多企业通过云技术节约成本,大量企业上云之后造成的后果,个人的信息包括企业的关键信息普遍都到云上,不法份子发现云的漏洞进行攻击以及被勒索。对于云来说不光是被攻击的对象,也是发起攻击的源泉,操作起来更方便,隐秘性更强。

有没有法律法规改善网络环境呢,2017年6月1日《网络安全法》实施,虽然国家的网络安全环境没有像欧洲一般数据保护条例给予那么严格的规范、要求,但是我们国家的法律环境通过《网络安全法》和相关的《电子商务法》相关的法律不断的完善,我们的法律环境也在不断的提升老百姓的安全意识,包括风险防范的意识,包括隐私保护的意识。《电子商务法》保护用户信息安全和网络安全,2018年《网络安全等保条例》要求更多的企业满足等保要求,做相应的等级保护、用户的保护,关键网信系统发布的关键信息基础设施的安全保护条例要求有相应的机构,包括像云和金融系统做相应的保护。对于数据安全金融,5月29日发布了《数据安全管理条例》做了征求意见,这个征求意见对数据安全、数据收集、数据处理、数据持有都做了相应的监督和要求。

对于企业来讲,为了降低网络风险,企业越来越重视网络安全,投入越来越大,每年都发布相应的数据,这些数据增速远低于云计算的发展速度和网络发展速度,从云的安全投入和信息化应用投入来讲,不是非常匹配的。保险作为风险管理的备选方案,虽然保险不能抵御网络的攻击,保险可以转移风险,可以减少风险的概率,减少损失之后,维护企业的正常经营,特别对中小企业来讲都是非常有利的。

我们公司和信通院在2014年进行了很多的探索,积累了很多的经验,在不断的探索中,之前做云计算保险的时候更多是提出了,从保险原理来讲,我们和企业作为风险共担的角色,但是合作中摸索了网络风险检验管理的办法,我们和合作伙伴通过信通院,用他们专业的技术减少运行中的相对风险,优化网络,对风险隐患进行排查,对风险进行评估,事中、事后进行风险防控,事后做风险的转移,通过这几年的探索跟我们的合作伙伴进行了非常好的合作,减少了企业发生网络安全的风险,风险事故发生的减少,企业损失就减少,虽然我们在前期通过保险、通过合作伙伴风险安全的防控这种手段,前端花的很多的成本,总体上来看,如果减少了风险事件发生之后,对客户来讲还是利益最大化。

通过合作也探索出一套合作服务的方式,包括评估、法律服务、咨询、公共服务、数据安全服务,我们在事前做了风险减量的服务,通过信通院做了一些在云计算风险上的框架,梳理企业风险点,尽可能指出企业IT系统中的问题,包括管理风险、人员风险、技术风险、合规风险等,从风险当中发现问题帮助企业解决问题,信通院协助我们做了很多的工作,包括我们很多客户也很认可。

事后,出了问题,信通院协助我们做定责的工作,包括事故的出险报告,有没有问题,通过堡垒机和数据,为我们提供事故发生报告,协助我们做一些准备工作,第一时间非常快速的把违约款送到客户的手里。通过多年的探索,保险产品不断积累、不断完善,从合作开始2014年不断研究外部的风险、运营风险,逐渐形成了一套产品体系,包括企业自身发生风险的时候相应费用损失的补偿,包括企业发生责任事故之后的损失,形成了一套产品体系。虽然保险产品需要到监管部门报备,但是产品可以拼接组合,有些产品不断迭代的过程,形成既保证自身,又能保证第三者的损失,除了专利的侵权罚金,为什么罚金不赔,罚金在保险法里面也是不赔,鉴定起来非常困难,设备损坏发生更换的费用,这一块有些通过维保去做,现在后续也在探索新的保护,把保险的保障内容,用保险代替维保,也能做一些代替,但是大产品暂时不包含这些内容。

下面详细介绍一下产品:

第一是云计算服务责任保险,这个产品是在2015年发布的,时间比较长了,很多服务商一起讨论出来的成果,成果属于大家。以服务商与客户签订的服务协议为基础,代服务提供商承担相应赔偿责任。