本報記者 冷翠華
在金融企業(yè)深入推進(jìn)數(shù)字化轉(zhuǎn)型的背景下����,不少新興金融企業(yè)從成立之初就實行輕資產(chǎn)運(yùn)營模式�,數(shù)據(jù)資源存儲在云端,傳統(tǒng)金融企業(yè)資產(chǎn)也在加快上云步伐���。今年,蔓延全球的新冠肺炎疫情��,更倒逼企業(yè)數(shù)字化轉(zhuǎn)型�,遠(yuǎn)程辦公、云端儲存可能成為常態(tài)�����。在此背景下��,網(wǎng)絡(luò)數(shù)據(jù)安全、云服務(wù)的安全成為企業(yè)數(shù)字化進(jìn)程中最受關(guān)注的問題��。
如何提升企業(yè)數(shù)字化運(yùn)營的安全性�?《證券日報》記者采訪了IBM大中華區(qū)云計算與認(rèn)知軟件業(yè)務(wù)信息安全技術(shù)總監(jiān)高爽,以及IBM大中華區(qū)安全事業(yè)部服務(wù)經(jīng)理王巍��。在他們看來���,提升企業(yè)數(shù)字化運(yùn)營的安全性�,需要資產(chǎn)上云的企業(yè)和云端服務(wù)供應(yīng)商建立風(fēng)險共擔(dān)機(jī)制���,同時����,通過多種手段對用戶身份和應(yīng)用進(jìn)行合法性驗證���,通過“零信任”機(jī)制來提升云安全程度���。
IBM在今年早些時候發(fā)布的《X-Force威脅情報指數(shù)報告》中指出,過去幾年��,云服務(wù)器遭受的安全威脅��,包括金融、銀行等安全事件從未停止過����,且該威脅指數(shù)目前還處于上升態(tài)勢。
王巍表示��,受新冠肺炎疫情影響����,很多人今年很長一段時間都在家工作,同時����,包括現(xiàn)在和今后也會有很多人在家工作。在疫情的倒逼下�����,很多企業(yè)深入推進(jìn)數(shù)字化轉(zhuǎn)型�����,完善遠(yuǎn)程辦公體系����,同時,加速推進(jìn)資產(chǎn)上云�����。目前���,盡管國內(nèi)新冠肺炎疫情形勢得到很好的控制��,但風(fēng)險仍存�����,同時���,其他疫情也可能出現(xiàn)。在此背景下���,對企業(yè)來說�����,尤其是企業(yè)的CIO或首席安全官�����,首先要考慮的是����,如何在緊急情況下,保持業(yè)務(wù)的正常運(yùn)轉(zhuǎn)����,盡量減少安全威脅。
調(diào)查顯示�����,企業(yè)CIO最關(guān)心的安全問題是勒索軟件以及黑客利用漏洞進(jìn)行定向攻擊���。對此�����,王巍表示�����,要從對外和對內(nèi)兩方面考慮,從外部來看��,黑客的攻擊來自全球,要有相應(yīng)技術(shù)能偵測到這些攻擊�,尤其是海外攻擊,要有足夠的安全情報�;從內(nèi)部來看,必須有內(nèi)部監(jiān)測����,進(jìn)行用戶行為分析,這主要是防止員工身份被黑客盜用以登錄網(wǎng)絡(luò)����。
從企業(yè)現(xiàn)狀來看,部分金融企業(yè)尤其是新成立的金融企業(yè)���,青睞采用輕資產(chǎn)運(yùn)營模式�����,資產(chǎn)全面上云�,其客戶資料���、運(yùn)營的數(shù)據(jù)等都儲存在云端��。高爽表示��,目前不少金融企業(yè)已經(jīng)構(gòu)建了自己的私有云環(huán)境�����,并在一定程度上使用公有云服務(wù)��。在這樣的環(huán)境下����,做好安全保障,至少要從兩個層面入手���,第一是做好基礎(chǔ)安全�����,保證開發(fā)出來的新的微服務(wù)�、新的App自身的安全性�����。第二個層面涉及數(shù)據(jù)的安全性��,“確保身份與訪問的安全性是很重要的基石,這決定了訪問客體的合法����、有效性�。”高爽強(qiáng)調(diào),企業(yè)需要通過不同的方式�,去驗證當(dāng)前的訪問者,包括用戶和應(yīng)用的合法性����,即“零信任”機(jī)制。
在王巍看來�����,對于金融行業(yè)來說����,在資產(chǎn)上云過程中,如果使用公有云����,僅使用公有云上的安全云原生安全管控是不夠的,“必須有一個更完整的視角來評判自身的安全形態(tài)����。”他表示���。據(jù)他介紹,國外一家金融企業(yè)���,使用公有云之后����,由于配置安全管控上的問題����,造成數(shù)據(jù)丟失,帶來較大損失���。“企業(yè)必須清楚����,自己的數(shù)據(jù)放在哪里��,自己對數(shù)據(jù)的管控處于什么狀態(tài)���,對其進(jìn)行了怎樣的權(quán)限設(shè)置��。”他指出���,企業(yè)可能由于只是共享了一個錯誤的配置�����,就被黑客強(qiáng)力攻陷。對此����,他建議,企業(yè)最好能找第三方對自身配置進(jìn)行分析和評判���。
高爽指出���,云安全其實是一個共擔(dān)責(zé)任的模式,并非企業(yè)將其應(yīng)用資產(chǎn)和數(shù)據(jù)資產(chǎn)全部放到云上����,云端就理所應(yīng)當(dāng)保證其完整的安全性。對于云服務(wù)供應(yīng)商來說�����,他們要提供基礎(chǔ)安全,包括物理安全���、訪問控制����、加密等�����,但承載企業(yè)業(yè)務(wù)的IT資產(chǎn)��,每個企業(yè)都有自身特點�����,是動態(tài)化的���,因此�,云服務(wù)提供商難以保證完整的安全性�,企業(yè)必須主動采取措施增強(qiáng)安全性,例如���,對自身資產(chǎn)進(jìn)行安全評估�,是否存在盲點需要改進(jìn),以及對高階威脅的分析等�����。“不能只是把數(shù)據(jù)存儲在云端�����,相信供應(yīng)商可以完全幫你保護(hù)它��。要建立風(fēng)險共擔(dān)意識���,做好管控。”王巍也如此強(qiáng)調(diào)�����。
(編輯 上官夢露)
京公網(wǎng)安備 11010202007567號京ICP備17054264號
