本報記者 冷翠華

    在金融企業深入推進數字化轉型的背景下，不少新興金融企業從成立之初就實行輕資產運營模式，數據資源存儲在云端，傳統金融企業資產也在加快上云步伐。今年，蔓延全球的新冠肺炎疫情，更倒逼企業數字化轉型，遠程辦公、云端儲存可能成為常態。在此背景下，網絡數據安全、云服務的安全成為企業數字化進程中最受關注的問題。

    如何提升企業數字化運營的安全性？《證券日報》記者采訪了IBM大中華區云計算與認知軟件業務信息安全技術總監高爽，以及IBM大中華區安全事業部服務經理王巍。在他們看來，提升企業數字化運營的安全性，需要資產上云的企業和云端服務供應商建立風險共擔機制，同時，通過多種手段對用戶身份和應用進行合法性驗證，通過“零信任”機制來提升云安全程度。

    IBM在今年早些時候發布的《X-Force威脅情報指數報告》中指出，過去幾年，云服務器遭受的安全威脅，包括金融、銀行等安全事件從未停止過，且該威脅指數目前還處于上升態勢。

    王巍表示，受新冠肺炎疫情影響，很多人今年很長一段時間都在家工作，同時，包括現在和今后也會有很多人在家工作。在疫情的倒逼下，很多企業深入推進數字化轉型，完善遠程辦公體系，同時，加速推進資產上云。目前，盡管國內新冠肺炎疫情形勢得到很好的控制，但風險仍存，同時，其他疫情也可能出現。在此背景下，對企業來說，尤其是企業的CIO或首席安全官，首先要考慮的是，如何在緊急情況下，保持業務的正常運轉，盡量減少安全威脅。

    調查顯示，企業CIO最關心的安全問題是勒索軟件以及黑客利用漏洞進行定向攻擊。對此，王巍表示，要從對外和對內兩方面考慮，從外部來看，黑客的攻擊來自全球，要有相應技術能偵測到這些攻擊，尤其是海外攻擊，要有足夠的安全情報；從內部來看，必須有內部監測，進行用戶行為分析，這主要是防止員工身份被黑客盜用以登錄網絡。

    從企業現狀來看，部分金融企業尤其是新成立的金融企業，青睞采用輕資產運營模式，資產全面上云，其客戶資料、運營的數據等都儲存在云端。高爽表示，目前不少金融企業已經構建了自己的私有云環境，并在一定程度上使用公有云服務。在這樣的環境下，做好安全保障，至少要從兩個層面入手，第一是做好基礎安全，保證開發出來的新的微服務、新的App自身的安全性。第二個層面涉及數據的安全性，“確保身份與訪問的安全性是很重要的基石，這決定了訪問客體的合法、有效性。”高爽強調，企業需要通過不同的方式，去驗證當前的訪問者，包括用戶和應用的合法性，即“零信任”機制。

    在王巍看來，對于金融行業來說，在資產上云過程中，如果使用公有云，僅使用公有云上的安全云原生安全管控是不夠的，“必須有一個更完整的視角來評判自身的安全形態。”他表示。據他介紹，國外一家金融企業，使用公有云之后，由于配置安全管控上的問題，造成數據丟失，帶來較大損失。“企業必須清楚，自己的數據放在哪里，自己對數據的管控處于什么狀態，對其進行了怎樣的權限設置。”他指出，企業可能由于只是共享了一個錯誤的配置，就被黑客強力攻陷。對此，他建議，企業最好能找第三方對自身配置進行分析和評判。

    高爽指出，云安全其實是一個共擔責任的模式，并非企業將其應用資產和數據資產全部放到云上，云端就理所應當保證其完整的安全性。對于云服務供應商來說，他們要提供基礎安全，包括物理安全、訪問控制、加密等，但承載企業業務的IT資產，每個企業都有自身特點，是動態化的，因此，云服務提供商難以保證完整的安全性，企業必須主動采取措施增強安全性，例如，對自身資產進行安全評估，是否存在盲點需要改進，以及對高階威脅的分析等。“不能只是把數據存儲在云端，相信供應商可以完全幫你保護它。要建立風險共擔意識，做好管控。”王巍也如此強調。

（編輯 上官夢露）