商榷
在数字化浪潮中,云计算应用不断普及和深化,持续赋能产业发展。能够提高资源配置效率、降低信息化建设成本、促进共享经济发展的“云化”,已成为企业数字化转型中的前沿和焦点。“云化”蕴含着新机遇,也带来了新挑战——在没有硝烟的“云端战场”,攻防战似乎从未停止。企业“上云”,不仅关乎自身的信息安全,也关乎网络空间整体的安全。
早在2017年,国务院就印发了《关于深化“互联网+先进制造业”发展工业互联网的指导意见》(以下简称《意见》),明确“鼓励中小企业业务系统向云端迁移”。此后,工业和信息化部(简称“工信部”)先后发布了《云计算发展三年行动计划》《推动企业上云实施指南》等系列政策措施,鼓励企业加快“上云、用云”的步伐。
工信部数据显示,2022年中国云计算产业规模超过3000亿元,全球市场占比达14.6%,年均增幅超过30%。
记者梳理发现,企业“上云”后,“云端”商业信息可能面临的风险主要有内部风险与外部风险、技术风险与管理风险。
内部风险是指企业内部现任或前任员工,云服务提供商、承包商或业务合作伙伴等,在无须突破公司防御的情况下即可访问其系统,所造成的风险。例如内部具有访问权限的人造成数据泄露,员工恶意使用云服务等。
外部风险是指外部攻击所导致的风险。如账户劫持、DDoS攻击等,最终会导致企业信息被泄露、破坏、控制等。
技术风险是指基于云服务技术的不完善所导致的一系列风险,例如庞大的数据和系统写入“云端”时,效率通常优先于安全性,缺乏云安全架构可能导致风险,或是云服务器存在不安全的接口及漏洞,又或是应用程序发生“故障”。
管理风险指管理过程中因信息不对称、判断失误等造成的风险。例如身份、凭证、访问权限及密钥管理不力,对数据、系统以及物理资源的控制不力等,或是员工自身网络安全意识薄弱。
权利人将商业信息“上云”,将管理权的一部分让渡给了云服务提供商。权利人往往只能通过网络接口对商业信息进行管理,商业信息的安全主要依赖于云服务提供商。云服务提供商负有严格的安全保障义务和隐私保密义务。记者了解到,在云服务的安全方面,某知名云科技公司曾提出过三个理念,值得业内参考借鉴。
一是利用“云端事件驱动型架构”形成自动化防护栏,而非设立关卡。基于事件驱动的架构,建立起从威胁检测到事件反应、原因分析、数据恢复的自动化防护体系,让企业的开发团队把更多的时间放在业务创新上。
二是“云端”安全是主动设计出来的,而不是被动去响应的。安全合规应与企业业务充分结合,作为业务开展的首要条件。安全建设应未雨绸缪,根据业务情况和系统特点,主动从技术和管理的层面去落实。
三是“云端”安全系统必须是“洋葱型”多层防护系统。第一层是威胁检测与事件响应,对安全威胁做到精准定位、快速反应、时刻监控,并且能够分析原因;第二层是身份认证与访问控制,对一个组织的多个账号进行集中管理和治理,建立权限防护机制和数据边界;第三层是网络与基础设施安全,尤其是DDoS防御,应全流程防控,而不能像“挂急诊”;第四层是数据保护与隐私,提供数据全生命周期的加密服务,对数据的保护涵盖了存储、传输及使用等各个环节;第五层是风险管控及合规,即确保云服务本身的合规性,促进合规方案落地,实现自动化审计。
上海政法学院讲师、法学博士梁春程表示,对于“上云、用云”的企业,鉴于云环境下的信息存储处理方式、特点以及不可预知的风险,应当将关注点放在保护商业信息的技术措施和流程,以及系统性的风险评估及防控措施,而不是传统物理设施的保密措施。对此,有专家提出了一系列建议。
一是要区分商业信息的等级并进行区别管理。企业在将信息“上云”前,应当对相关商业信息进行区分界定,在企业指定的商业信息管理政策中实行差别化对待,采取差别化保护措施,对外与云服务提供商落实对信息的差异管理和对应的保密义务,合理配置保密资源。例如对信息内容进行涉密等级的标注,对涉密信息进行归类存放、限制接触、加密隔离存储等。
二是要选择与自身实力及产业特性匹配的云服务。在云服务商的选择上,企业应当考量所需要采取的保护措施与自身相适配。例如大型企业与中小型企业在保密方面的投入必然有差别;技术密集型产业对于关键技术信息的保护配置,相较于其他类型产业的技术信息而言规格更高。
三是要根据不同商业信息特点配置保护机制。商业信息类型多样,只有适配的保护机制才能发挥效能。根据商业信息使用范围、频次等,设定员工访问权限,并对身份认证的密钥进行管理;限制访问范围及使用方式,设定员工访问规范;对商业信息本身根据涉密等级进行伪饰,对有必要保密的内容设置陷阱,或将假信息掺杂其中。
四是要对相关商业信息安全措施进行风险防控及合规审查。一方面,当前信息技术飞速发展,有必要对企业建立的相关信息保护机制是否合法依规进行风险审查;另一方面,也要對商业信息安全风险定期进行评估,动态调整保护措施。可在企业内部设立专职部门,并对企业员工进行宣教。
网络技术飞速发展,网络安全形势也日益严峻。云计算是现代信息社会的基础设施,“云”安全至关重要。我国建立了云计算服务安全评估制度,发布实施了相关国家标准。在通信、金融及公共安全领域,也有涉及云计算服务的行业标准。
《信息安全技术 云计算服务安全指南》和《信息安全技术 云计算服务安全能力要求》,是我国首批云计算标准,从技术和管理两个方面分别阐述了云计算服务的安全要求,是支撑云计算服务安全审查制度的重要标准。除此之外,《信息安全技术 云计算服务安全能力评估方法》《信息安全技术 云计算安全参考架构》《信息技术 云计算云服务采购指南》等,均体现出我国在云计算安全方面的标准制定工作取得了较大进展。
随着云计算、移动互联、物联网、工业控制和大数据等新技术、新应用的发展,我国不断强化网络安全保障,持续推进网络安全等级保护工作,加快标准体系建设,研究制定了一系列指南标准。
在企业“上云”“云端”商业信息安全等方面,我国的法律保护体系正逐渐完善。梁春程告诉记者,2021年9月起正式施行的《数据安全法》是一部相当重要的法律,适用于在中国境内开展数据活动的组织及个人,对于数据安全的分类分级、风险评估、应急处置、安全审查及出口管制均作出相应规定;2017年6月起正式施行的《网络安全法》,对网络运营者、网络产品或服务提供者、关键信息基础设施运营者等众多责任主体的处罚惩治标准,作了详细规定。
尽管我国在网络信息安全、数据安全领域有了突破性立法,但主要仍是针对公民个人信息的保护。
在刑事司法领域,就目的行为而言,具有侵犯商业秘密行为,达到一定标准的,将构成侵犯商业秘密罪;就侵犯云端信息的手段行为而言,非法侵入计算机信息系统罪、非法获取计算机信息系统数据罪、非法控制计算机信息系统罪、破坏计算机信息系统罪等网络犯罪罪名,均被纳入妨害社会管理秩序的范围。破坏、攻击云端服务器,侵犯商业信息,达到扰乱公共秩序的程度时,将以上述罪名予以定罪处罚。