本报记者 冷翠华
在金融企业深入推进数字化转型的背景下,不少新兴金融企业从成立之初就实行轻资产运营模式,数据资源存储在云端,传统金融企业资产也在加快上云步伐。今年,蔓延全球的新冠肺炎疫情,更倒逼企业数字化转型,远程办公、云端储存可能成为常态。在此背景下,网络数据安全、云服务的安全成为企业数字化进程中最受关注的问题。
如何提升企业数字化运营的安全性?《证券日报》记者采访了IBM大中华区云计算与认知软件业务信息安全技术总监高爽,以及IBM大中华区安全事业部服务经理王巍。在他们看来,提升企业数字化运营的安全性,需要资产上云的企业和云端服务供应商建立风险共担机制,同时,通过多种手段对用户身份和应用进行合法性验证,通过“零信任”机制来提升云安全程度。
IBM在今年早些时候发布的《X-Force威胁情报指数报告》中指出,过去几年,云服务器遭受的安全威胁,包括金融、银行等安全事件从未停止过,且该威胁指数目前还处于上升态势。
王巍表示,受新冠肺炎疫情影响,很多人今年很长一段时间都在家工作,同时,包括现在和今后也会有很多人在家工作。在疫情的倒逼下,很多企业深入推进数字化转型,完善远程办公体系,同时,加速推进资产上云。目前,尽管国内新冠肺炎疫情形势得到很好的控制,但风险仍存,同时,其他疫情也可能出现。在此背景下,对企业来说,尤其是企业的CIO或首席安全官,首先要考虑的是,如何在紧急情况下,保持业务的正常运转,尽量减少安全威胁。
调查显示,企业CIO最关心的安全问题是勒索软件以及黑客利用漏洞进行定向攻击。对此,王巍表示,要从对外和对内两方面考虑,从外部来看,黑客的攻击来自全球,要有相应技术能侦测到这些攻击,尤其是海外攻击,要有足够的安全情报;从内部来看,必须有内部监测,进行用户行为分析,这主要是防止员工身份被黑客盗用以登录网络。
从企业现状来看,部分金融企业尤其是新成立的金融企业,青睐采用轻资产运营模式,资产全面上云,其客户资料、运营的数据等都储存在云端。高爽表示,目前不少金融企业已经构建了自己的私有云环境,并在一定程度上使用公有云服务。在这样的环境下,做好安全保障,至少要从两个层面入手,第一是做好基础安全,保证开发出来的新的微服务、新的App自身的安全性。第二个层面涉及数据的安全性,“确保身份与访问的安全性是很重要的基石,这决定了访问客体的合法、有效性。”高爽强调,企业需要通过不同的方式,去验证当前的访问者,包括用户和应用的合法性,即“零信任”机制。
在王巍看来,对于金融行业来说,在资产上云过程中,如果使用公有云,仅使用公有云上的安全云原生安全管控是不够的,“必须有一个更完整的视角来评判自身的安全形态。”他表示。据他介绍,国外一家金融企业,使用公有云之后,由于配置安全管控上的问题,造成数据丢失,带来较大损失。“企业必须清楚,自己的数据放在哪里,自己对数据的管控处于什么状态,对其进行了怎样的权限设置。”他指出,企业可能由于只是共享了一个错误的配置,就被黑客强力攻陷。对此,他建议,企业最好能找第三方对自身配置进行分析和评判。
高爽指出,云安全其实是一个共担责任的模式,并非企业将其应用资产和数据资产全部放到云上,云端就理所应当保证其完整的安全性。对于云服务供应商来说,他们要提供基础安全,包括物理安全、访问控制、加密等,但承载企业业务的IT资产,每个企业都有自身特点,是动态化的,因此,云服务提供商难以保证完整的安全性,企业必须主动采取措施增强安全性,例如,对自身资产进行安全评估,是否存在盲点需要改进,以及对高阶威胁的分析等。“不能只是把数据存储在云端,相信供应商可以完全帮你保护它。要建立风险共担意识,做好管控。”王巍也如此强调。
(编辑 上官梦露)