云计算高速发展到今天，公有云、私有云、混合云百花齐放，越来越多的企业和个人开始将业务、数据迁移到云上。云计算的应用和普及，给企业带来了重大变革，加速了企业“云转型”。然而，数据的安全边际也变得越来越模糊，如何保证“云安全”已成为产业互联网时代必须直面的挑战。“云安全”有多大产业需求和空间？相关产业链上的众多企业能否在“云安全”赛道上冲出重围？

为探讨这一局势，国内深具影响力的财经全媒体——《第一财经》围绕“云安全”和“云原生”等热门话题对金蝶中国执行副总裁、研发平台总经理赵燕锡进行了视频采访。我们将分两篇对该访谈进行报道。

1虚拟化技术高速发展云计算面临更多新威胁

传统的安全威胁在云计算下同样存在，赵燕锡在接受《第一财经》记者采访时指出，针对应用层的各种攻击（跨站脚本等）仍然是云安全最大的威胁。此外，病毒、蠕虫也会破坏文件和数据，而恶意用户也会利用漏洞和配置错误来获取额外权限，针对网络层的攻击（如拒绝服务等）也时有发生。

虚拟化技术的不断发展也带来了新的安全隐患，例如，虚拟机逃逸在获取宿主机控制权后，会获取同一宿主机下的其他虚拟机的敏感信息。如果未对租户进行有效隔离，会导致业务无法正常运行。再如，拥有超高特权的运营商，可以访问租户信息，这些都有可能导致信息泄露。

赵燕锡介绍道：“数据上云之后，尽管中国个保法、欧盟GDPR等法规日趋严格，但数据安全和隐私保护依旧面临着新的挑战。例如，敏感信息泄露、不安全的API（应用程序接口）、身份认证及访问控制不足等威胁，都会导致系统被破坏、业务无法正常运行、数据丢失或敏感信息泄露等，给企业带来严重损失。”

据安全调研机构Risk Based Security（RBS）的数据泄露报告显示，2021年度全球公开披露的数据泄露事件有4145起，共导致大约227亿条数据泄露。数据丢失或泄露会给企业乃至社会造成巨大影响。例如，某行业头部公有云企业曾发生用户注册信息泄露事件，通管局进行公开通报，责令改正，公司股价受到舆论影响应声下跌。这些新的安全威胁对精细化权限控制和安全防控提出了更高要求。

2企业需多层次、多维度保障云平台安全

通常情况下，企业在保障云平台安全时会涉及到多个方面，包括云基础设施、技术架构、业务、数据、产品、研发运营及合规审计等安全。

作为安全可信的企业管理云领导厂商，赵燕锡介绍道：“金蝶云可以提供基于云原生的PaaS+SaaS服务。它采用了业界主流的、具备高安全及可用性标准的IaaS服务商，在强大的安全防护能力基础上，通过主机防护软件、WAF（Web应用防护系统）、防火墙等安全设备确保金蝶云可以对网络层和应用层攻击进行防护。”

其次，金蝶云通过安全的技术架构、精确的业务安全逻辑、完整的数据安全生命周期管理、完善的生态及开放API治理体系等，确保云产品自身具备良好的安全防御能力，并在此基础上建立了安全的产品研发过程，确保产品在发布上线前都经过安全测试，此外通过对系统运行情况进行实时安全监控和应急响应，保障产品安全稳定运行。在安全合规方面，金蝶云平台将安全合规要求融入公司治理过程及产品的研发过程当中，确保产品安全合规，满足安全及隐私法规。

值得一提的是，金蝶的安全合规体系已获得国内外多项安全合规认证，例如等保三级、ISO认证等，还获得国际独立会计师事务所的SOC鉴证报告。

当前，已有多家跨国企业客户使用了金蝶云的技术及解决方案在全球开展业务。“例如，基于苍穹平台开发的金蝶云•星瀚HR成为首个通过华为IT ICSL送检的国产软件包应用，金蝶也成为国内首个获得依据美国注册会计师协会（AICPA）准则出具SOC2 Type Ⅱ审计鉴证报告的ERP云厂商，”赵燕锡曾在苍穹峰会中介绍道。

3攻击手段更隐蔽 企业亟需开发新技术和解决方案

数据上云意味着企业面临的挑战也在不断升级，随着攻击手段越来越多样化和隐蔽化，防控难度也随之加大，企业需要持续研究新技术和解决方案。

尽管如此，应对也要不遗余力。赵燕锡表示：“应该说目前我们在企业级SaaS应用中能提供非常全面的相关认证。尽管我们保障措施在不断升级，但是攻击技术也在不断演进，比方说APT，这是一种高级的持续攻击技术，这些攻击技术的演进，也是我们在未来安全预防和安全防控中需要重点关注的。”

为了加强云安全，企业需要需要解决云基础设施的安全问题，在高安全基础架构服务商的基础上，通过主机防护软件、防火墙等加强防护，同时通过安全的技术架构等体系，确保云产品的防御能力。在此基础上，企业还需要在研发与运营过程中，进行实时监控，保障云产品的安稳运行。最后，云平台也要提高安全合规意识，满足安全及隐私法规。

------------------------------------------

（市场有风险，投资交易需谨慎。所涉标的不做任何推荐，据此投资交易，风险自负。）