企業(yè)“上云” 防護先行

商榷

在數(shù)字化浪潮中，云計算應(yīng)用不斷普及和深化，持續(xù)賦能產(chǎn)業(yè)發(fā)展。能夠提高資源配置效率、降低信息化建設(shè)成本、促進共享經(jīng)濟發(fā)展的“云化”，已成為企業(yè)數(shù)字化轉(zhuǎn)型中的前沿和焦點?！霸苹碧N含著新機遇，也帶來了新挑戰(zhàn)——在沒有硝煙的“云端戰(zhàn)場”，攻防戰(zhàn)似乎從未停止。企業(yè)“上云”，不僅關(guān)乎自身的信息安全，也關(guān)乎網(wǎng)絡(luò)空間整體的安全。

入“云”深處

早在2017年，國務(wù)院就印發(fā)了《關(guān)于深化“互聯(lián)網(wǎng)+先進制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的指導(dǎo)意見》（以下簡稱《意見》），明確“鼓勵中小企業(yè)業(yè)務(wù)系統(tǒng)向云端遷移”。此后，工業(yè)和信息化部（簡稱“工信部”）先后發(fā)布了《云計算發(fā)展三年行動計劃》《推動企業(yè)上云實施指南》等系列政策措施，鼓勵企業(yè)加快“上云、用云”的步伐。

工信部數(shù)據(jù)顯示，2022年中國云計算產(chǎn)業(yè)規(guī)模超過3000億元，全球市場占比達14.6%，年均增幅超過30%。

記者梳理發(fā)現(xiàn)，企業(yè)“上云”后，“云端”商業(yè)信息可能面臨的風(fēng)險主要有內(nèi)部風(fēng)險與外部風(fēng)險、技術(shù)風(fēng)險與管理風(fēng)險。

內(nèi)部風(fēng)險是指企業(yè)內(nèi)部現(xiàn)任或前任員工，云服務(wù)提供商、承包商或業(yè)務(wù)合作伙伴等，在無須突破公司防御的情況下即可訪問其系統(tǒng)，所造成的風(fēng)險。例如內(nèi)部具有訪問權(quán)限的人造成數(shù)據(jù)泄露，員工惡意使用云服務(wù)等。

外部風(fēng)險是指外部攻擊所導(dǎo)致的風(fēng)險。如賬戶劫持、DDoS攻擊等，最終會導(dǎo)致企業(yè)信息被泄露、破壞、控制等。

技術(shù)風(fēng)險是指基于云服務(wù)技術(shù)的不完善所導(dǎo)致的一系列風(fēng)險，例如龐大的數(shù)據(jù)和系統(tǒng)寫入“云端”時，效率通常優(yōu)先于安全性，缺乏云安全架構(gòu)可能導(dǎo)致風(fēng)險，或是云服務(wù)器存在不安全的接口及漏洞，又或是應(yīng)用程序發(fā)生“故障”。

管理風(fēng)險指管理過程中因信息不對稱、判斷失誤等造成的風(fēng)險。例如身份、憑證、訪問權(quán)限及密鑰管理不力，對數(shù)據(jù)、系統(tǒng)以及物理資源的控制不力等，或是員工自身網(wǎng)絡(luò)安全意識薄弱。

如何破局

權(quán)利人將商業(yè)信息“上云”，將管理權(quán)的一部分讓渡給了云服務(wù)提供商。權(quán)利人往往只能通過網(wǎng)絡(luò)接口對商業(yè)信息進行管理，商業(yè)信息的安全主要依賴于云服務(wù)提供商。云服務(wù)提供商負(fù)有嚴(yán)格的安全保障義務(wù)和隱私保密義務(wù)。記者了解到，在云服務(wù)的安全方面，某知名云科技公司曾提出過三個理念，值得業(yè)內(nèi)參考借鑒。

一是利用“云端事件驅(qū)動型架構(gòu)”形成自動化防護欄，而非設(shè)立關(guān)卡?；谑录?qū)動的架構(gòu)，建立起從威脅檢測到事件反應(yīng)、原因分析、數(shù)據(jù)恢復(fù)的自動化防護體系，讓企業(yè)的開發(fā)團隊把更多的時間放在業(yè)務(wù)創(chuàng)新上。

二是“云端”安全是主動設(shè)計出來的，而不是被動去響應(yīng)的。安全合規(guī)應(yīng)與企業(yè)業(yè)務(wù)充分結(jié)合，作為業(yè)務(wù)開展的首要條件。安全建設(shè)應(yīng)未雨綢繆，根據(jù)業(yè)務(wù)情況和系統(tǒng)特點，主動從技術(shù)和管理的層面去落實。

三是“云端”安全系統(tǒng)必須是“洋蔥型”多層防護系統(tǒng)。第一層是威脅檢測與事件響應(yīng)，對安全威脅做到精準(zhǔn)定位、快速反應(yīng)、時刻監(jiān)控，并且能夠分析原因；第二層是身份認(rèn)證與訪問控制，對一個組織的多個賬號進行集中管理和治理，建立權(quán)限防護機制和數(shù)據(jù)邊界；第三層是網(wǎng)絡(luò)與基礎(chǔ)設(shè)施安全，尤其是DDoS防御，應(yīng)全流程防控，而不能像“掛急診”；第四層是數(shù)據(jù)保護與隱私，提供數(shù)據(jù)全生命周期的加密服務(wù)，對數(shù)據(jù)的保護涵蓋了存儲、傳輸及使用等各個環(huán)節(jié)；第五層是風(fēng)險管控及合規(guī)，即確保云服務(wù)本身的合規(guī)性，促進合規(guī)方案落地，實現(xiàn)自動化審計。

上海政法學(xué)院講師、法學(xué)博士梁春程表示，對于“上云、用云”的企業(yè)，鑒于云環(huán)境下的信息存儲處理方式、特點以及不可預(yù)知的風(fēng)險，應(yīng)當(dāng)將關(guān)注點放在保護商業(yè)信息的技術(shù)措施和流程，以及系統(tǒng)性的風(fēng)險評估及防控措施，而不是傳統(tǒng)物理設(shè)施的保密措施。對此，有專家提出了一系列建議。

一是要區(qū)分商業(yè)信息的等級并進行區(qū)別管理。企業(yè)在將信息“上云”前，應(yīng)當(dāng)對相關(guān)商業(yè)信息進行區(qū)分界定，在企業(yè)指定的商業(yè)信息管理政策中實行差別化對待，采取差別化保護措施，對外與云服務(wù)提供商落實對信息的差異管理和對應(yīng)的保密義務(wù)，合理配置保密資源。例如對信息內(nèi)容進行涉密等級的標(biāo)注，對涉密信息進行歸類存放、限制接觸、加密隔離存儲等。

二是要選擇與自身實力及產(chǎn)業(yè)特性匹配的云服務(wù)。在云服務(wù)商的選擇上，企業(yè)應(yīng)當(dāng)考量所需要采取的保護措施與自身相適配。例如大型企業(yè)與中小型企業(yè)在保密方面的投入必然有差別；技術(shù)密集型產(chǎn)業(yè)對于關(guān)鍵技術(shù)信息的保護配置，相較于其他類型產(chǎn)業(yè)的技術(shù)信息而言規(guī)格更高。

三是要根據(jù)不同商業(yè)信息特點配置保護機制。商業(yè)信息類型多樣，只有適配的保護機制才能發(fā)揮效能。根據(jù)商業(yè)信息使用范圍、頻次等，設(shè)定員工訪問權(quán)限，并對身份認(rèn)證的密鑰進行管理；限制訪問范圍及使用方式，設(shè)定員工訪問規(guī)范；對商業(yè)信息本身根據(jù)涉密等級進行偽飾，對有必要保密的內(nèi)容設(shè)置陷阱，或?qū)⒓傩畔诫s其中。

四是要對相關(guān)商業(yè)信息安全措施進行風(fēng)險防控及合規(guī)審查。一方面，當(dāng)前信息技術(shù)飛速發(fā)展，有必要對企業(yè)建立的相關(guān)信息保護機制是否合法依規(guī)進行風(fēng)險審查；另一方面，也要對商業(yè)信息安全風(fēng)險定期進行評估，動態(tài)調(diào)整保護措施。可在企業(yè)內(nèi)部設(shè)立專職部門，并對企業(yè)員工進行宣教。

以“法”之名

網(wǎng)絡(luò)技術(shù)飛速發(fā)展，網(wǎng)絡(luò)安全形勢也日益嚴(yán)峻。云計算是現(xiàn)代信息社會的基礎(chǔ)設(shè)施，“云”安全至關(guān)重要。我國建立了云計算服務(wù)安全評估制度，發(fā)布實施了相關(guān)國家標(biāo)準(zhǔn)。在通信、金融及公共安全領(lǐng)域，也有涉及云計算服務(wù)的行業(yè)標(biāo)準(zhǔn)。

《信息安全技術(shù) 云計算服務(wù)安全指南》和《信息安全技術(shù) 云計算服務(wù)安全能力要求》，是我國首批云計算標(biāo)準(zhǔn)，從技術(shù)和管理兩個方面分別闡述了云計算服務(wù)的安全要求，是支撐云計算服務(wù)安全審查制度的重要標(biāo)準(zhǔn)。除此之外，《信息安全技術(shù) 云計算服務(wù)安全能力評估方法》《信息安全技術(shù) 云計算安全參考架構(gòu)》《信息技術(shù) 云計算云服務(wù)采購指南》等，均體現(xiàn)出我國在云計算安全方面的標(biāo)準(zhǔn)制定工作取得了較大進展。

隨著云計算、移動互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制和大數(shù)據(jù)等新技術(shù)、新應(yīng)用的發(fā)展，我國不斷強化網(wǎng)絡(luò)安全保障，持續(xù)推進網(wǎng)絡(luò)安全等級保護工作，加快標(biāo)準(zhǔn)體系建設(shè)，研究制定了一系列指南標(biāo)準(zhǔn)。

在企業(yè)“上云”“云端”商業(yè)信息安全等方面，我國的法律保護體系正逐漸完善。梁春程告訴記者，2021年9月起正式施行的《數(shù)據(jù)安全法》是一部相當(dāng)重要的法律，適用于在中國境內(nèi)開展數(shù)據(jù)活動的組織及個人，對于數(shù)據(jù)安全的分類分級、風(fēng)險評估、應(yīng)急處置、安全審查及出口管制均作出相應(yīng)規(guī)定；2017年6月起正式施行的《網(wǎng)絡(luò)安全法》，對網(wǎng)絡(luò)運營者、網(wǎng)絡(luò)產(chǎn)品或服務(wù)提供者、關(guān)鍵信息基礎(chǔ)設(shè)施運營者等眾多責(zé)任主體的處罰懲治標(biāo)準(zhǔn)，作了詳細(xì)規(guī)定。

盡管我國在網(wǎng)絡(luò)信息安全、數(shù)據(jù)安全領(lǐng)域有了突破性立法，但主要仍是針對公民個人信息的保護。

在刑事司法領(lǐng)域，就目的行為而言，具有侵犯商業(yè)秘密行為，達到一定標(biāo)準(zhǔn)的，將構(gòu)成侵犯商業(yè)秘密罪；就侵犯云端信息的手段行為而言，非法侵入計算機信息系統(tǒng)罪、非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪、非法控制計算機信息系統(tǒng)罪、破壞計算機信息系統(tǒng)罪等網(wǎng)絡(luò)犯罪罪名，均被納入妨害社會管理秩序的范圍。破壞、攻擊云端服務(wù)器，侵犯商業(yè)信息，達到擾亂公共秩序的程度時，將以上述罪名予以定罪處罰。