商榷

在数字化浪潮中，云计算应用不断普及和深化，持续赋能产业发展。能够提高资源配置效率、降低信息化建设成本、促进共享经济发展的“云化”，已成为企业数字化转型中的前沿和焦点。“云化”蕴含着新机遇，也带来了新挑战——在没有硝烟的“云端战场”，攻防战似乎从未停止。企业“上云”，不仅关乎自身的信息安全，也关乎网络空间整体的安全。

入“云”深处

早在2017年，国务院就印发了《关于深化“互联网+先进制造业”发展工业互联网的指导意见》（以下简称《意见》），明确“鼓励中小企业业务系统向云端迁移”。此后，工业和信息化部（简称“工信部”）先后发布了《云计算发展三年行动计划》《推动企业上云实施指南》等系列政策措施，鼓励企业加快“上云、用云”的步伐。

工信部数据显示，2022年中国云计算产业规模超过3000亿元，全球市场占比达14.6%，年均增幅超过30%。

记者梳理发现，企业“上云”后，“云端”商业信息可能面临的风险主要有内部风险与外部风险、技术风险与管理风险。

内部风险是指企业内部现任或前任员工，云服务提供商、承包商或业务合作伙伴等，在无须突破公司防御的情况下即可访问其系统，所造成的风险。例如内部具有访问权限的人造成数据泄露，员工恶意使用云服务等。

外部风险是指外部攻击所导致的风险。如账户劫持、DDoS攻击等，最终会导致企业信息被泄露、破坏、控制等。

技术风险是指基于云服务技术的不完善所导致的一系列风险，例如庞大的数据和系统写入“云端”时，效率通常优先于安全性，缺乏云安全架构可能导致风险，或是云服务器存在不安全的接口及漏洞，又或是应用程序发生“故障”。

管理风险指管理过程中因信息不对称、判断失误等造成的风险。例如身份、凭证、访问权限及密钥管理不力，对数据、系统以及物理资源的控制不力等，或是员工自身网络安全意识薄弱。

如何破局

权利人将商业信息“上云”，将管理权的一部分让渡给了云服务提供商。权利人往往只能通过网络接口对商业信息进行管理，商业信息的安全主要依赖于云服务提供商。云服务提供商负有严格的安全保障义务和隐私保密义务。记者了解到，在云服务的安全方面，某知名云科技公司曾提出过三个理念，值得业内参考借鉴。

一是利用“云端事件驱动型架构”形成自动化防护栏，而非设立关卡。基于事件驱动的架构，建立起从威胁检测到事件反应、原因分析、数据恢复的自动化防护体系，让企业的开发团队把更多的时间放在业务创新上。

二是“云端”安全是主动设计出来的，而不是被动去响应的。安全合规应与企业业务充分结合，作为业务开展的首要条件。安全建设应未雨绸缪，根据业务情况和系统特点，主动从技术和管理的层面去落实。

三是“云端”安全系统必须是“洋葱型”多层防护系统。第一层是威胁检测与事件响应，对安全威胁做到精准定位、快速反应、时刻监控，并且能够分析原因；第二层是身份认证与访问控制，对一个组织的多个账号进行集中管理和治理，建立权限防护机制和数据边界；第三层是网络与基础设施安全，尤其是DDoS防御，应全流程防控，而不能像“挂急诊”；第四层是数据保护与隐私，提供数据全生命周期的加密服务，对数据的保护涵盖了存储、传输及使用等各个环节；第五层是风险管控及合规，即确保云服务本身的合规性，促进合规方案落地，实现自动化审计。

上海政法学院讲师、法学博士梁春程表示，对于“上云、用云”的企业，鉴于云环境下的信息存储处理方式、特点以及不可预知的风险，应当将关注点放在保护商业信息的技术措施和流程，以及系统性的风险评估及防控措施，而不是传统物理设施的保密措施。对此，有专家提出了一系列建议。

一是要区分商业信息的等级并进行区别管理。企业在将信息“上云”前，应当对相关商业信息进行区分界定，在企业指定的商业信息管理政策中实行差别化对待，采取差别化保护措施，对外与云服务提供商落实对信息的差异管理和对应的保密义务，合理配置保密资源。例如对信息内容进行涉密等级的标注，对涉密信息进行归类存放、限制接触、加密隔离存储等。

二是要选择与自身实力及产业特性匹配的云服务。在云服务商的选择上，企业应当考量所需要采取的保护措施与自身相适配。例如大型企业与中小型企业在保密方面的投入必然有差别；技术密集型产业对于关键技术信息的保护配置，相较于其他类型产业的技术信息而言规格更高。

三是要根据不同商业信息特点配置保护机制。商业信息类型多样，只有适配的保护机制才能发挥效能。根据商业信息使用范围、频次等，设定员工访问权限，并对身份认证的密钥进行管理；限制访问范围及使用方式，设定员工访问规范；对商业信息本身根据涉密等级进行伪饰，对有必要保密的内容设置陷阱，或将假信息掺杂其中。

四是要对相关商业信息安全措施进行风险防控及合规审查。一方面，当前信息技术飞速发展，有必要对企业建立的相关信息保护机制是否合法依规进行风险审查；另一方面，也要對商业信息安全风险定期进行评估，动态调整保护措施。可在企业内部设立专职部门，并对企业员工进行宣教。

以“法”之名

网络技术飞速发展，网络安全形势也日益严峻。云计算是现代信息社会的基础设施，“云”安全至关重要。我国建立了云计算服务安全评估制度，发布实施了相关国家标准。在通信、金融及公共安全领域，也有涉及云计算服务的行业标准。

《信息安全技术 云计算服务安全指南》和《信息安全技术 云计算服务安全能力要求》，是我国首批云计算标准，从技术和管理两个方面分别阐述了云计算服务的安全要求，是支撑云计算服务安全审查制度的重要标准。除此之外，《信息安全技术 云计算服务安全能力评估方法》《信息安全技术 云计算安全参考架构》《信息技术 云计算云服务采购指南》等，均体现出我国在云计算安全方面的标准制定工作取得了较大进展。

随着云计算、移动互联、物联网、工业控制和大数据等新技术、新应用的发展，我国不断强化网络安全保障，持续推进网络安全等级保护工作，加快标准体系建设，研究制定了一系列指南标准。

在企业“上云”“云端”商业信息安全等方面，我国的法律保护体系正逐渐完善。梁春程告诉记者，2021年9月起正式施行的《数据安全法》是一部相当重要的法律，适用于在中国境内开展数据活动的组织及个人，对于数据安全的分类分级、风险评估、应急处置、安全审查及出口管制均作出相应规定；2017年6月起正式施行的《网络安全法》，对网络运营者、网络产品或服务提供者、关键信息基础设施运营者等众多责任主体的处罚惩治标准，作了详细规定。

尽管我国在网络信息安全、数据安全领域有了突破性立法，但主要仍是针对公民个人信息的保护。

在刑事司法领域，就目的行为而言，具有侵犯商业秘密行为，达到一定标准的，将构成侵犯商业秘密罪；就侵犯云端信息的手段行为而言，非法侵入计算机信息系统罪、非法获取计算机信息系统数据罪、非法控制计算机信息系统罪、破坏计算机信息系统罪等网络犯罪罪名，均被纳入妨害社会管理秩序的范围。破坏、攻击云端服务器，侵犯商业信息，达到扰乱公共秩序的程度时，将以上述罪名予以定罪处罚。