网安企业呼吁政企警惕数据上云安全风险:绝不只有黑客攻击
经济观察网 记者 沈怡然7月23日,奇安信集团董事长齐向东在媒体交流会上表示,公有云的安全漏洞、私有云的供应链、难于监管的API接口和漏洞百出的云端应用程序是当前数据上云的四大难题。
数字经济时代,数据正在成为生产要素、生产资料,大量的政企机构正在上云,将业务相关的数据上传到云端,或者从私有云迁移到公有云,并运用人工智能、区块链等技术进行分析处理。
而更多网络安全企业正公开发表这样一个观点:机构应警惕上云过程的安全风险,并且应该意识到,需要提防的不仅仅是黑客攻击,更多隐性风险也值得关注。
奇安信专注网络安全技术解决方案,服务政企行业。齐向东表示,数据被盗绝不仅仅因为黑客攻击,政府和企业还需要从更多维度上防止数据盗窃,第一,有85%的数据盗窃事件都和内部人员相关,也就是内外勾结。企业或政府首先要做到防三员,技术员、管理员和操作员,他们通常在企业或政府内部对数据拥有特殊权力,拥有特权账号,企业首先要把他们手上的特权账号管理好。
第二,云服务的供应链也存在安全隐患。通常来说,政企的数字化系统、信息化系统,大数据中心、云产品是通过公开招投标的方式采购第三方服务,第三方的软件中又采用了更多第三方产品,比如开源组件,产品往往是被被层层转包的。如果这些软件中有后门,甲方是很难完全检测到的,后门也是数据防盗窃的一个大问题。
第三,数字技术中大量的API接口缺乏监督。API即应用接口,一般App需要使用多种API接口,而云设施中有大量App,App要开放给第三方,需要对方在本地使用相册、通讯录和定位,接入不同的功能需要不同接口。比如两个程序员模块互相之间的调用,就定义了一个接口,这个接口只有这两人知道,很难设计安全约定并被保护。
IBM发布的《2021 X-Force云安全威胁形势报告》显示,云环境中的安全问题有三分之二都是由于API配置不当。在过去五年中,部署在云端的应用程序中公开的漏洞数量激增了150%。齐向东称,接口数量非常庞大,如果一个机构的数字化处于中等以上水平,其内部系统之间的API接口数量通常是总人数的10倍以上。
安恒信息董事长范渊表示,目前大量政府部门和国家机构正在部署上云。政府部门开始将掌握的数据进行采集、保存和梳理,并尝试运用更多技术发挥数据的价值,帮助其治理城市。
安恒信息成立于2007年,致力于数字安全技术,客户覆盖政府、教育、医疗、工业、金融等多个领域。范渊表示,一些基层政务部门存在技术条件薄弱、安全人员不足的情况,其掌握的工商、社保、金融、医疗等数据又非常敏感,所以,做好上云过程的数据安全保障,有利于政府更好地处理、运用大数据。数据盗窃和数据泄漏的风险不仅在企业身上,也成为更多政府机构要面临的问题。
范渊表示,例如银行运用金融模型和企业经营数据,形成对中小企业的信用评价机制,可以让放贷给中小企业这件事情更有保障,这是一个典型运用数据要素的例子。本质上,这是将原先庞大的、孤立的、无法发挥生产力的数据,以绿色的、非高能耗的方式产生新的价值。这件事情对政府机构的价值也是非常大的。