本報記者 冷翠華

    在金融企業(yè)深入推進數(shù)字化轉型的背景下，不少新興金融企業(yè)從成立之初就實行輕資產運營模式，數(shù)據(jù)資源存儲在云端，傳統(tǒng)金融企業(yè)資產也在加快上云步伐。今年，蔓延全球的新冠肺炎疫情，更倒逼企業(yè)數(shù)字化轉型，遠程辦公、云端儲存可能成為常態(tài)。在此背景下，網絡數(shù)據(jù)安全、云服務的安全成為企業(yè)數(shù)字化進程中最受關注的問題。

    如何提升企業(yè)數(shù)字化運營的安全性？《證券日報》記者采訪了IBM大中華區(qū)云計算與認知軟件業(yè)務信息安全技術總監(jiān)高爽，以及IBM大中華區(qū)安全事業(yè)部服務經理王巍。在他們看來，提升企業(yè)數(shù)字化運營的安全性，需要資產上云的企業(yè)和云端服務供應商建立風險共擔機制，同時，通過多種手段對用戶身份和應用進行合法性驗證，通過“零信任”機制來提升云安全程度。

    IBM在今年早些時候發(fā)布的《X-Force威脅情報指數(shù)報告》中指出，過去幾年，云服務器遭受的安全威脅，包括金融、銀行等安全事件從未停止過，且該威脅指數(shù)目前還處于上升態(tài)勢。

    王巍表示，受新冠肺炎疫情影響，很多人今年很長一段時間都在家工作，同時，包括現(xiàn)在和今后也會有很多人在家工作。在疫情的倒逼下，很多企業(yè)深入推進數(shù)字化轉型，完善遠程辦公體系，同時，加速推進資產上云。目前，盡管國內新冠肺炎疫情形勢得到很好的控制，但風險仍存，同時，其他疫情也可能出現(xiàn)。在此背景下，對企業(yè)來說，尤其是企業(yè)的CIO或首席安全官，首先要考慮的是，如何在緊急情況下，保持業(yè)務的正常運轉，盡量減少安全威脅。

    調查顯示，企業(yè)CIO最關心的安全問題是勒索軟件以及黑客利用漏洞進行定向攻擊。對此，王巍表示，要從對外和對內兩方面考慮，從外部來看，黑客的攻擊來自全球，要有相應技術能偵測到這些攻擊，尤其是海外攻擊，要有足夠的安全情報；從內部來看，必須有內部監(jiān)測，進行用戶行為分析，這主要是防止員工身份被黑客盜用以登錄網絡。

    從企業(yè)現(xiàn)狀來看，部分金融企業(yè)尤其是新成立的金融企業(yè)，青睞采用輕資產運營模式，資產全面上云，其客戶資料、運營的數(shù)據(jù)等都儲存在云端。高爽表示，目前不少金融企業(yè)已經構建了自己的私有云環(huán)境，并在一定程度上使用公有云服務。在這樣的環(huán)境下，做好安全保障，至少要從兩個層面入手，第一是做好基礎安全，保證開發(fā)出來的新的微服務、新的App自身的安全性。第二個層面涉及數(shù)據(jù)的安全性，“確保身份與訪問的安全性是很重要的基石，這決定了訪問客體的合法、有效性。”高爽強調，企業(yè)需要通過不同的方式，去驗證當前的訪問者，包括用戶和應用的合法性，即“零信任”機制。

    在王巍看來，對于金融行業(yè)來說，在資產上云過程中，如果使用公有云，僅使用公有云上的安全云原生安全管控是不夠的，“必須有一個更完整的視角來評判自身的安全形態(tài)。”他表示。據(jù)他介紹，國外一家金融企業(yè)，使用公有云之后，由于配置安全管控上的問題，造成數(shù)據(jù)丟失，帶來較大損失。“企業(yè)必須清楚，自己的數(shù)據(jù)放在哪里，自己對數(shù)據(jù)的管控處于什么狀態(tài)，對其進行了怎樣的權限設置。”他指出，企業(yè)可能由于只是共享了一個錯誤的配置，就被黑客強力攻陷。對此，他建議，企業(yè)最好能找第三方對自身配置進行分析和評判。

    高爽指出，云安全其實是一個共擔責任的模式，并非企業(yè)將其應用資產和數(shù)據(jù)資產全部放到云上，云端就理所應當保證其完整的安全性。對于云服務供應商來說，他們要提供基礎安全，包括物理安全、訪問控制、加密等，但承載企業(yè)業(yè)務的IT資產，每個企業(yè)都有自身特點，是動態(tài)化的，因此，云服務提供商難以保證完整的安全性，企業(yè)必須主動采取措施增強安全性，例如，對自身資產進行安全評估，是否存在盲點需要改進，以及對高階威脅的分析等。“不能只是把數(shù)據(jù)存儲在云端，相信供應商可以完全幫你保護它。要建立風險共擔意識，做好管控。”王巍也如此強調。

（編輯 上官夢露）