網安企業呼籲政企警惕數據上雲安全風險:絕不只有黑客攻擊
經濟觀察網 記者 沈怡然 7月23日,奇安信集團董事長齊向東在媒體交流會上表示,公有云的安全漏洞、私有云的供應鏈、難於監管的API接口和漏洞百出的雲端應用程序是當前數據上雲的四大難題。
數字經濟時代,數據正在成爲生產要素、生產資料,大量的政企機構正在上雲,將業務相關的數據上傳到雲端,或者從私有云遷移到公有云,並運用人工智能、區塊鏈等技術進行分析處理。
而更多網絡安全企業正公開發表這樣一個觀點:機構應警惕上雲過程的安全風險,並且應該意識到,需要提防的不僅僅是黑客攻擊,更多隱性風險也值得關注。
奇安信專注網絡安全技術解決方案,服務政企行業。齊向東表示,數據被盜絕不僅僅因爲黑客攻擊,政府和企業還需要從更多維度上防止數據盜竊,第一,有85%的數據盜竊事件都和內部人員相關,也就是內外勾結。企業或政府首先要做到防“三員”,技術員、管理員和操作員,他們通常在企業或政府內部對數據擁有特殊權力,擁有特權賬號,企業首先要把他們手上的特權賬號管理好。
第二,雲服務的供應鏈也存在安全隱患。通常來說,政企的數字化系統、信息化系統,大數據中心、雲產品是通過公開招投標的方式採購第三方服務,第三方的軟件中又採用了更多第三方產品,比如開源組件,產品往往是被被層層轉包的。如果這些軟件中有“後門”,甲方是很難完全檢測到的,“後門”也是數據防盜竊的一個大問題。
第三,數字技術中大量的API接口缺乏監督。API即應用接口,一般App需要使用多種API接口,而云設施中有大量App,App要開放給第三方,需要對方在本地使用相冊、通訊錄和定位,接入不同的功能需要不同接口。比如兩個程序員模塊互相之間的調用,就定義了一個接口,這個接口只有這兩人知道,很難設計安全約定並被保護。
IBM發佈的《2021 X-Force雲安全威脅形勢報告》顯示,雲環境中的安全問題有三分之二都是由於API配置不當。在過去五年中,部署在雲端的應用程序中公開的漏洞數量激增了150%。齊向東稱,接口數量非常龐大,如果一個機構的數字化處於中等以上水平,其內部系統之間的API接口數量通常是總人數的10倍以上。
安恆信息董事長範淵表示,目前大量政府部門和國家機構正在部署上雲。政府部門開始將掌握的數據進行採集、保存和梳理,並嘗試運用更多技術發揮數據的價值,幫助其治理城市。
安恆信息成立於2007年,致力於數字安全技術,客戶覆蓋政府、教育、醫療、工業、金融等多個領域。範淵表示,一些基層政務部門存在技術條件薄弱、安全人員不足的情況,其掌握的工商、社保、金融、醫療等數據又非常敏感,所以,做好上雲過程的數據安全保障,有利於政府更好地處理、運用大數據。數據盜竊和數據泄漏的風險不僅在企業身上,也成爲更多政府機構要面臨的問題。
範淵表示,例如銀行運用金融模型和企業經營數據,形成對中小企業的信用評價機制,可以讓放貸給中小企業這件事情更有保障,這是一個典型運用數據要素的例子。本質上,這是將原先龐大的、孤立的、無法發揮生產力的數據,以綠色的、非高能耗的方式產生新的價值。這件事情對政府機構的價值也是非常大的。
版權聲明:以上內容爲《經濟觀察報》社原創作品,版權歸《經濟觀察報》社所有。未經《經濟觀察報》社授權,嚴禁轉載或鏡像,否則將依法追究相關行爲主體的法律責任。版權合作請致電:【010-60910566-1260】。
沈怡然經濟觀察報記者
大科創新聞部記者關注硬科技領域,包括機器人及人工智能、無人機、虛擬現實(VR/AR)、智能穿戴,以及新材料領域。擅長企業深度報道及上市公司分析報道。發現前沿技術、發展趨勢投資價值。