齊向東:云服務“零事故”是可實現的目標
中新網福州7月24日電 (記者 龍敏)23日,在第五屆數字中國建設峰會上,奇安信集團董事長齊向東在主題演講中表示,要以“零事故”為目標保護云上數據。通過建立“三方制衡”機制、聯合作戰、精準防護、深度運營、應急響應五大措施,做到云業務不中斷、數據不出事、合規不踩線。
齊向東表示,冬奧保障結果證明,云服務乃至整個網絡安全保障的“零事故”是可以實現的目標。“零事故”不是零攻破,當個別的終端、服務器或者其他的網絡資產被破壞,但只要快速采取措施,保證辦公和對內對外的業務平穩運行,就達到了“零事故”效果。
云服務“零事故”是可以實現的目標
他指出,實現云服務“零事故”,應達成以下三項標準:第一,業務不中斷。數字時代,越來越多業務在云上進行,在開放互聯的同時,一旦中斷就可能產生重大事故。
第二,數據不出事。確保數據不被丟失、篡改、勒索是實現云上“零事故”的重要標準之一。
第三,合規不踩線。歐盟GDPR實施近四年以來,共開罰單超1200張,罰款總額約合人民幣110億元。就在前幾日,網信辦通報對滴滴公司罰處80.26億元,成為我國歷史上首單頂格處罰案例,也體現了“合規不踩線”是企業經營的基石之一。
云服務要實現“零事故”存在四個難題
“數據放在公有云上,安全由云服務廠商說了算,數據丟沒丟不知道,安全防護改沒改也不知道。”齊向東認為,公有云的安全漏洞、私有云的供應鏈、難于監管的API接口和漏洞百出的云端應用程序是當前數據上云的四大難題。
私有云方面,多數企業使用了大量第三方組件導致其存在嚴重的“供應鏈隱患”。研究顯示,2/3的違規行為由供應商或第三方漏洞造成。
無論是公有云還是私有云,所使用的API接口都存在難于監管的難題。API接口是數字系統的神經元,具有聯絡和整合、輸入信息并傳出信息的作用。云API的應用場景廣泛,統計顯示,企業使用的 API數量正在快速增長,一個中型數字化企業的API接口數量可能多達10萬個。
報告顯示,過去五年,在云端應用程序中公開的漏洞數量激增150%。
五個措施全方位守護云服務“零事故”
針對云服務零事故的四大難題,齊向東提出了五個措施。
在服務模式上,建立“三方制衡”機制。乙方云服務商從自身利益出發,會隱瞞安全事故;丙方安全公司為履行職責,會全力以赴發現并推進解決安全問題;甲方用戶就可以利用制衡機制,確保自身業務和數據安全。
在安全防護上,需要聯合作戰。“一個完整的安全體系里,應該有很多執行不同任務的安全產品,它們聯合作戰,在功能上互相彌補,才能實現保衛網絡安全的目標。”
針對企業的安全運營目標,要做好精準防護。“應做到防違法、防盜竊、防勒索”。齊向東解釋:防違法,可通過建立自證清白的數據安全體系,以確保企業數據能審查、能告警、能自證清白;防盜竊,不能只靠管理員、技術員、操作員,更需要通過技術,管理好特權賬號;防勒索,當務之急是做好基礎防護、提高整體防護水平。
有了防護目標和安全產品,還要做好深度運營。通過深度運營,找到防御的薄弱點,找到資產的漏洞,以及攻擊者。在北京冬奧網絡安全保障工作中,攻擊者研判系統就通過“去噪音、找異常、補數據、做研判、下指令”的方式,研判IP地址超過5000個,調查攻擊者組織近千,100%覆蓋了冬奧期間所有發起過攻擊的攻擊者。
據悉,本屆峰會由國家互聯網信息辦公室、國家發展和改革委員會、科技部、工業和信息化部、國務院國有資產監督管理委員會、福建省人民政府共同舉辦。有百位院士專家、百位數字產業領軍人參會演講,中央企業、民營企業、外資企業、跨國企業等千余家國內外企業現場參會參展,千余家國內外數字專業機構現場參加活動。(完)
- 專題:第五屆數字中國建設峰會
經濟新聞精選:
- 2024年10月22日 11:19:45
- 2024年10月21日 15:49:41
- 2024年10月21日 14:26:22
- 2024年10月20日 08:20:14
- 2024年10月18日 19:02:01
- 2024年10月18日 15:49:17
- 2024年10月18日 14:50:11
- 2024年10月18日 14:49:05
- 2024年10月18日 14:41:40
- 2024年10月18日 14:18:23