山石网科：数字化转型一定不能先建设后安全

对于企业上云的安全问题说，山石网科市场资深总监荣钰认为企业上云与企业建设好的网络安全体系思路是相同的。第一步是要明确企业现在和未来的数据资产。明确数据资产之后，才能设定合理的云计算战略。企业要从网络安全的角度，依据这些数据的特性，制定不同的保护策略，其中大家熟悉的就是等级保护的思路。

制定安全策略后，还要视应用和数据的特点来进行考虑。比如一些周期性或突发性强的应用比较适合云，特别是在公有云中使用，可以提高响应速度，降低成本。而对于一些需要普遍访问，便利性要求高的应用，公有云的SaaS服务则更合适，比如很多企业的CRM应用等。对于对延迟要求高的控制类应用，可以在企业内部的私有云中使用，或者等未来5G到来之后，可以使用运营商的5G网络切片和分布式的云计算服务。

不同的企业可以使用的云计算思路不一样，比如公有云更适宜零售型企业。因此企业可以基于不同的数据资产的特性，制定相关的云计算策略。“就像等保，根据不同的信息系统的定级，提供不一樣的服务。” 荣钰说。

关于上云和数字化，荣钰认为，很多人容易忽视的一点是企业的IT团队，或者整个企业团队的数字化。过去企业的IT人员需要从电力、布线开始全面掌握IT系统的部署。未来的云计算时代，IT人员要进入脚本时代，人人要会编程序，写脚本，甚至一些应用使用者也要进入脚本时代和编程时代。在技术准备的同时，企业要着眼未来，做好数字化转型的人才匹配战略。

安全一直是企业在数字化转型中一个不可忽视的重要环节。企业在上云和数字化转型过程中，荣钰建议企业一定不能有先建设后安全的侥幸心理。而是应该将安全融入网络建设当中。

“今年的RSA会议上，很多人在谈零信任安全模型，这是被包括Google等公司证明过的科学的行之有效的安全体系。从零信任安全模型的思路看，是希望网络安全不再是网络的附属，而是融入网络建设的DNA当中。从上云和数字化转型角度上，用户更应该做到重视安全，在制定数字化转型战略的同时制定安全战略。” 荣钰说，“最后，我们国家已经发布的两个标准GB/ T31167/68，虽然是针对政府机关上云的技术标准，但对企业来说是非常值得借鉴的方法学，建议读者能够阅读参考。”