经济观察网 记者 沈怡然 7月23日，奇安信集团董事长齐向东在媒体交流会上表示，公有云的安全漏洞、私有云的供应链、难于监管的API接口和漏洞百出的云端应用程序是当前数据上云的四大难题。

数字经济时代，数据正在成为生产要素、生产资料，大量的政企机构正在上云，将业务相关的数据上传到云端，或者从私有云迁移到公有云，并运用人工智能、区块链等技术进行分析处理。

而更多网络安全企业正公开发表这样一个观点：机构应警惕上云过程的安全风险，并且应该意识到，需要提防的不仅仅是黑客攻击，更多隐性风险也值得关注。

奇安信专注网络安全技术解决方案，服务政企行业。齐向东表示，数据被盗绝不仅仅因为黑客攻击，政府和企业还需要从更多维度上防止数据盗窃，第一，有85%的数据盗窃事件都和内部人员相关，也就是内外勾结。企业或政府首先要做到防“三员”，技术员、管理员和操作员，他们通常在企业或政府内部对数据拥有特殊权力，拥有特权账号，企业首先要把他们手上的特权账号管理好。

第二，云服务的供应链也存在安全隐患。通常来说，政企的数字化系统、信息化系统，大数据中心、云产品是通过公开招投标的方式采购第三方服务，第三方的软件中又采用了更多第三方产品，比如开源组件，产品往往是被被层层转包的。如果这些软件中有“后门”，甲方是很难完全检测到的，“后门”也是数据防盗窃的一个大问题。

第三，数字技术中大量的API接口缺乏监督。API即应用接口，一般App需要使用多种API接口，而云设施中有大量App，App要开放给第三方，需要对方在本地使用相册、通讯录和定位，接入不同的功能需要不同接口。比如两个程序员模块互相之间的调用，就定义了一个接口，这个接口只有这两人知道，很难设计安全约定并被保护。

IBM发布的《2021 X-Force云安全威胁形势报告》显示，云环境中的安全问题有三分之二都是由于API配置不当。在过去五年中，部署在云端的应用程序中公开的漏洞数量激增了150%。齐向东称，接口数量非常庞大，如果一个机构的数字化处于中等以上水平，其内部系统之间的API接口数量通常是总人数的10倍以上。

安恒信息董事长范渊表示，目前大量政府部门和国家机构正在部署上云。政府部门开始将掌握的数据进行采集、保存和梳理，并尝试运用更多技术发挥数据的价值，帮助其治理城市。

安恒信息成立于2007年，致力于数字安全技术，客户覆盖政府、教育、医疗、工业、金融等多个领域。范渊表示，一些基层政务部门存在技术条件薄弱、安全人员不足的情况，其掌握的工商、社保、金融、医疗等数据又非常敏感，所以，做好上云过程的数据安全保障，有利于政府更好地处理、运用大数据。数据盗窃和数据泄漏的风险不仅在企业身上，也成为更多政府机构要面临的问题。

范渊表示，例如银行运用金融模型和企业经营数据，形成对中小企业的信用评价机制，可以让放贷给中小企业这件事情更有保障，这是一个典型运用数据要素的例子。本质上，这是将原先庞大的、孤立的、无法发挥生产力的数据，以绿色的、非高能耗的方式产生新的价值。这件事情对政府机构的价值也是非常大的。