網安企業呼籲政企警惕數據上雲安全風險：絕不只有黑客攻擊

經濟觀察網 記者 沈怡然 7月23日，奇安信集團董事長齊向東在媒體交流會上表示，公有云的安全漏洞、私有云的供應鏈、難於監管的API接口和漏洞百出的雲端應用程序是當前數據上雲的四大難題。

數字經濟時代，數據正在成爲生產要素、生產資料，大量的政企機構正在上雲，將業務相關的數據上傳到雲端，或者從私有云遷移到公有云，並運用人工智能、區塊鏈等技術進行分析處理。

而更多網絡安全企業正公開發表這樣一個觀點：機構應警惕上雲過程的安全風險，並且應該意識到，需要提防的不僅僅是黑客攻擊，更多隱性風險也值得關注。

奇安信專注網絡安全技術解決方案，服務政企行業。齊向東表示，數據被盜絕不僅僅因爲黑客攻擊，政府和企業還需要從更多維度上防止數據盜竊，第一，有85%的數據盜竊事件都和內部人員相關，也就是內外勾結。企業或政府首先要做到防“三員”，技術員、管理員和操作員，他們通常在企業或政府內部對數據擁有特殊權力，擁有特權賬號，企業首先要把他們手上的特權賬號管理好。

第二，雲服務的供應鏈也存在安全隱患。通常來說，政企的數字化系統、信息化系統，大數據中心、雲產品是通過公開招投標的方式採購第三方服務，第三方的軟件中又採用了更多第三方產品，比如開源組件，產品往往是被被層層轉包的。如果這些軟件中有“後門”，甲方是很難完全檢測到的，“後門”也是數據防盜竊的一個大問題。

第三，數字技術中大量的API接口缺乏監督。API即應用接口，一般App需要使用多種API接口，而云設施中有大量App，App要開放給第三方，需要對方在本地使用相冊、通訊錄和定位，接入不同的功能需要不同接口。比如兩個程序員模塊互相之間的調用，就定義了一個接口，這個接口只有這兩人知道，很難設計安全約定並被保護。

IBM發佈的《2021 X-Force雲安全威脅形勢報告》顯示，雲環境中的安全問題有三分之二都是由於API配置不當。在過去五年中，部署在雲端的應用程序中公開的漏洞數量激增了150%。齊向東稱，接口數量非常龐大，如果一個機構的數字化處於中等以上水平，其內部系統之間的API接口數量通常是總人數的10倍以上。

安恆信息董事長範淵表示，目前大量政府部門和國家機構正在部署上雲。政府部門開始將掌握的數據進行採集、保存和梳理，並嘗試運用更多技術發揮數據的價值，幫助其治理城市。

安恆信息成立於2007年，致力於數字安全技術，客戶覆蓋政府、教育、醫療、工業、金融等多個領域。範淵表示，一些基層政務部門存在技術條件薄弱、安全人員不足的情況，其掌握的工商、社保、金融、醫療等數據又非常敏感，所以，做好上雲過程的數據安全保障，有利於政府更好地處理、運用大數據。數據盜竊和數據泄漏的風險不僅在企業身上，也成爲更多政府機構要面臨的問題。

範淵表示，例如銀行運用金融模型和企業經營數據，形成對中小企業的信用評價機制，可以讓放貸給中小企業這件事情更有保障，這是一個典型運用數據要素的例子。本質上，這是將原先龐大的、孤立的、無法發揮生產力的數據，以綠色的、非高能耗的方式產生新的價值。這件事情對政府機構的價值也是非常大的。

版權聲明：以上內容爲《經濟觀察報》社原創作品，版權歸《經濟觀察報》社所有。未經《經濟觀察報》社授權，嚴禁轉載或鏡像，否則將依法追究相關行爲主體的法律責任。版權合作請致電：【010-60910566-1260】。

沈怡然經濟觀察報記者

大科創新聞部記者關注硬科技領域，包括機器人及人工智能、無人機、虛擬現實（VR/AR）、智能穿戴，以及新材料領域。擅長企業深度報道及上市公司分析報道。發現前沿技術、發展趨勢投資價值。