企業“上云” 防護先行

商榷

在數字化浪潮中，云計算應用不斷普及和深化，持續賦能產業發展。能夠提高資源配置效率、降低信息化建設成本、促進共享經濟發展的“云化”，已成為企業數字化轉型中的前沿和焦點。“云化”蘊含著新機遇，也帶來了新挑戰——在沒有硝煙的“云端戰場”，攻防戰似乎從未停止。企業“上云”，不僅關乎自身的信息安全，也關乎網絡空間整體的安全。

入“云”深處

早在2017年，國務院就印發了《關于深化“互聯網+先進制造業”發展工業互聯網的指導意見》（以下簡稱《意見》），明確“鼓勵中小企業業務系統向云端遷移”。此后，工業和信息化部（簡稱“工信部”）先后發布了《云計算發展三年行動計劃》《推動企業上云實施指南》等系列政策措施，鼓勵企業加快“上云、用云”的步伐。

工信部數據顯示，2022年中國云計算產業規模超過3000億元，全球市場占比達14.6%，年均增幅超過30%。

記者梳理發現，企業“上云”后，“云端”商業信息可能面臨的風險主要有內部風險與外部風險、技術風險與管理風險。

內部風險是指企業內部現任或前任員工，云服務提供商、承包商或業務合作伙伴等，在無須突破公司防御的情況下即可訪問其系統，所造成的風險。例如內部具有訪問權限的人造成數據泄露，員工惡意使用云服務等。

外部風險是指外部攻擊所導致的風險。如賬戶劫持、DDoS攻擊等，最終會導致企業信息被泄露、破壞、控制等。

技術風險是指基于云服務技術的不完善所導致的一系列風險，例如龐大的數據和系統寫入“云端”時，效率通常優先于安全性，缺乏云安全架構可能導致風險，或是云服務器存在不安全的接口及漏洞，又或是應用程序發生“故障”。

管理風險指管理過程中因信息不對稱、判斷失誤等造成的風險。例如身份、憑證、訪問權限及密鑰管理不力，對數據、系統以及物理資源的控制不力等，或是員工自身網絡安全意識薄弱。

如何破局

權利人將商業信息“上云”，將管理權的一部分讓渡給了云服務提供商。權利人往往只能通過網絡接口對商業信息進行管理，商業信息的安全主要依賴于云服務提供商。云服務提供商負有嚴格的安全保障義務和隱私保密義務。記者了解到，在云服務的安全方面，某知名云科技公司曾提出過三個理念，值得業內參考借鑒。

一是利用“云端事件驅動型架構”形成自動化防護欄，而非設立關卡。基于事件驅動的架構，建立起從威脅檢測到事件反應、原因分析、數據恢復的自動化防護體系，讓企業的開發團隊把更多的時間放在業務創新上。

二是“云端”安全是主動設計出來的，而不是被動去響應的。安全合規應與企業業務充分結合，作為業務開展的首要條件。安全建設應未雨綢繆，根據業務情況和系統特點，主動從技術和管理的層面去落實。

三是“云端”安全系統必須是“洋蔥型”多層防護系統。第一層是威脅檢測與事件響應，對安全威脅做到精準定位、快速反應、時刻監控，并且能夠分析原因；第二層是身份認證與訪問控制，對一個組織的多個賬號進行集中管理和治理，建立權限防護機制和數據邊界；第三層是網絡與基礎設施安全，尤其是DDoS防御，應全流程防控，而不能像“掛急診”；第四層是數據保護與隱私，提供數據全生命周期的加密服務，對數據的保護涵蓋了存儲、傳輸及使用等各個環節；第五層是風險管控及合規，即確保云服務本身的合規性，促進合規方案落地，實現自動化審計。

上海政法學院講師、法學博士梁春程表示，對于“上云、用云”的企業，鑒于云環境下的信息存儲處理方式、特點以及不可預知的風險，應當將關注點放在保護商業信息的技術措施和流程，以及系統性的風險評估及防控措施，而不是傳統物理設施的保密措施。對此，有專家提出了一系列建議。

一是要區分商業信息的等級并進行區別管理。企業在將信息“上云”前，應當對相關商業信息進行區分界定，在企業指定的商業信息管理政策中實行差別化對待，采取差別化保護措施，對外與云服務提供商落實對信息的差異管理和對應的保密義務，合理配置保密資源。例如對信息內容進行涉密等級的標注，對涉密信息進行歸類存放、限制接觸、加密隔離存儲等。

二是要選擇與自身實力及產業特性匹配的云服務。在云服務商的選擇上，企業應當考量所需要采取的保護措施與自身相適配。例如大型企業與中小型企業在保密方面的投入必然有差別；技術密集型產業對于關鍵技術信息的保護配置，相較于其他類型產業的技術信息而言規格更高。

三是要根據不同商業信息特點配置保護機制。商業信息類型多樣，只有適配的保護機制才能發揮效能。根據商業信息使用范圍、頻次等，設定員工訪問權限，并對身份認證的密鑰進行管理；限制訪問范圍及使用方式，設定員工訪問規范；對商業信息本身根據涉密等級進行偽飾，對有必要保密的內容設置陷阱，或將假信息摻雜其中。

四是要對相關商業信息安全措施進行風險防控及合規審查。一方面，當前信息技術飛速發展，有必要對企業建立的相關信息保護機制是否合法依規進行風險審查；另一方面，也要對商業信息安全風險定期進行評估，動態調整保護措施。可在企業內部設立專職部門，并對企業員工進行宣教。

以“法”之名

網絡技術飛速發展，網絡安全形勢也日益嚴峻。云計算是現代信息社會的基礎設施，“云”安全至關重要。我國建立了云計算服務安全評估制度，發布實施了相關國家標準。在通信、金融及公共安全領域，也有涉及云計算服務的行業標準。

《信息安全技術 云計算服務安全指南》和《信息安全技術 云計算服務安全能力要求》，是我國首批云計算標準，從技術和管理兩個方面分別闡述了云計算服務的安全要求，是支撐云計算服務安全審查制度的重要標準。除此之外，《信息安全技術 云計算服務安全能力評估方法》《信息安全技術 云計算安全參考架構》《信息技術 云計算云服務采購指南》等，均體現出我國在云計算安全方面的標準制定工作取得了較大進展。

隨著云計算、移動互聯、物聯網、工業控制和大數據等新技術、新應用的發展，我國不斷強化網絡安全保障，持續推進網絡安全等級保護工作，加快標準體系建設，研究制定了一系列指南標準。

在企業“上云”“云端”商業信息安全等方面，我國的法律保護體系正逐漸完善。梁春程告訴記者，2021年9月起正式施行的《數據安全法》是一部相當重要的法律，適用于在中國境內開展數據活動的組織及個人，對于數據安全的分類分級、風險評估、應急處置、安全審查及出口管制均作出相應規定；2017年6月起正式施行的《網絡安全法》，對網絡運營者、網絡產品或服務提供者、關鍵信息基礎設施運營者等眾多責任主體的處罰懲治標準，作了詳細規定。

盡管我國在網絡信息安全、數據安全領域有了突破性立法，但主要仍是針對公民個人信息的保護。

在刑事司法領域，就目的行為而言，具有侵犯商業秘密行為，達到一定標準的，將構成侵犯商業秘密罪；就侵犯云端信息的手段行為而言，非法侵入計算機信息系統罪、非法獲取計算機信息系統數據罪、非法控制計算機信息系統罪、破壞計算機信息系統罪等網絡犯罪罪名，均被納入妨害社會管理秩序的范圍。破壞、攻擊云端服務器，侵犯商業信息，達到擾亂公共秩序的程度時，將以上述罪名予以定罪處罰。