本期高朋：何宝宏 中国信息通信研究院云打算与大数据研究所所长

李新友 国家信息中央研究员

申文博 浙江大学百人操持研究员、博士生导师

胡 俊 青藤云安全联合创始人兼产品副总裁

圆桌主持：李政葳 光明网要闻采访部主任、网络安全频道卖力人

为护航家当数字化发展持续深化，构筑新技能运用安全防护樊篱，光明网网络安全频道携手中国信息通信研究院云打算与大数据研究所、《信息安全研究》杂志社，在浙江大学网络空间安全学院、《中国金融电脑》杂志社、青藤云安全等单位支持下，联合推出《安全洞察·大咖说》系列访谈活动。

主持人：今年迎来了中国全功能接入国际互联网30周年，随着互联网技能的不断发展，云打算逐渐成为新型数字根本举动步伐的核心驱动力，大家作为云打算家当发展的推动者和培植者，请谈一下云时期背景下面临的安全风险发生了哪些变革？有哪些新的寻衅？

何宝宏：云打算经由10多年的发展，已经成为数字经济发展的底座。
总的来说，个人体会大概有三个方面的安全威胁值得特殊关注：一是云的资源类型丰富、异构性种类变多、运行周期变革带来的新安全寻衅；二是云的多租户以及共享资源模式，衍生出的不同租户之间南北向安全威胁；三是云原生环境下，IT架构变革带来的运用安全风险。

申文博：在我看来，企业上云面临的两个寻衅：一个是如何在云环境中，如何构建有效的访问掌握；另一个是云共享模式下，如何戒备敏感数据透露的问题。
为此，企业在迁移到云平台时，需重视构建健全的访问掌握和数据保护策略。
通过细致的方案和技能履行，企业可以在云环境中得到更高的安全性和数据管理效率，从而顺利应对云打算带来的寻衅和风险。

李新友：从实践角度来讲，企业上云、政府上云带来的安全变革：一个是系统上云后，随着安全边界变得模糊，对系统的安全、系统的连续性带来的新寻衅；二是云上数据资产的安全保障问题。
为了应对这些寻衅，企业和政府机构须要通过加强内部的安全意识培训、建立完善的安全管理流程和履行安全审计，来有效应对云上数据资产的安全风险，从而确保数据的机密性、完全性和可用性得到有效保障。

胡俊：我认为有以下三个方面：从风险角度来讲，企业上云之后风险、暴露面发生变革；从攻击者角度来讲，是云打算、人工智能、大数据等新技能组成的新型数字根本举动步伐，衍生出的新技能运用安全风险；从系统的全体生命周期角度来看，要经历开拓、测试、上线、运行等过程，这个过程中潜在的软件供应链安全问题。

主持人：人工智能与云打算之间存在着深刻的共生关系。
AI驱动云打算进一步发展，云打算助力AI算力提升。
随着AI与云打算深度领悟，可能会伴生出哪些安全风险？

何宝宏：近年来，随着云打算的发展，给人工智能的演习推动供应了强大的算力，而云上大数据的发展供应了强大的数据演习，这两个确实越来越走向领悟模式。
对付这方面的安全问题，我以为目前紧张分两类：一个是AI for Cloud阶段，算法优化等带来的新安全寻衅；另一个是Cloud for AI阶段，智能云或者说打算云衍生出的新寻衅。
但到目前为止，由于云打算和人工智能的领悟还不足深入，以是显现还是各自的安全问题，深度领悟之后会产生什么新的安全风险，还有待进一步不雅观察。

李新友：云和人工智能结合，风险可以从云和人工智能各自的上风剖析出来。
当前来看，我认为最大的风险点是通过AI技能给用户画像，导致的诱骗问题。
用户画像，作为AI技能的一大运用，通过剖析用户的行为、偏好、交易记录等多维度数据，能够为企业供应精准的营销和用户做事策略。
然而，这一技能的运用若缺少适当的监管和道德约束，就可能成为诱骗行为的温床。

申文博：我们现在做的两项研究，也是能揭示云和人工智能结合会带来什么样的安全威胁。
第一个是从异构架构方面考虑，我们有一个研究结果显示，用GPU上面跑的恶意代码跟CPU的漏洞结合，能很随意马虎绕过现有的保护，做到系统提权，以是我以为这是一种新的威胁；第二个威胁是AI模型自身的安全风险，我们有一项正在进行的事情，便是把TensorFlow里面API给它滥用，让它能够在远真个电脑上弹出一个反弹Shell，就这么一个明显的恶意利用，现在的Hugging Face险些所有网站都检讨不出来。

胡俊：云打算和人工智能两者之间实在是在相互影响促进的。
领悟过程中的安全风险我以为有三点：一个是从攻击者角度看，AI降落了天生漏洞的门槛；第二个是AI运用过程中自身的风险暴露面以及数据安全风险；第三个AI模型是供需双方共同演习出来的，那么被演习过后的AI模型“代价不雅观”以及康健度如何判断，这些都须要我们深入思考。

主持人：随着新兴技能的不断演进，网络威胁愈演愈烈，企业在构建云安全整体防御体系过程中，须要重点关注及考虑哪些方面？

何宝宏：当前，云安全问题大概有三个方面值得我们进一步探索。
一是强化云与安全的深度领悟，把安全内嵌到云里去，从设计阶段就把安全考虑进去，实现原生化的安全培植；二是随着节点越来越多，越来越智能化，安全必须走向工具化，整合云安全工具，培植智能化的安全运营平台；三是一体化，云端不仅有数据，还有各种各样的运用，以是必须要构建一体化的原平生安防护体系，实现各种技能相互联动，相互协同，而不仅仅是单点防护。

李新友：安全无小事，任何风险都不能回避，无论哪个环节拖了都可能造玉成部防护体系的安全隐患，但企业培植整体自身安全防护体系的话，核心要把控好安全和发展并步走的平衡点。
企业培植整体自身安全防护体系，须要在保障安全的同时，确保业务的持续发展和创新。
这须要全员参与、全面管理、合理配置资源，并持续关注温柔应不断变革的安全威胁和技能寻衅，以达到安全与发展并行的最佳状态。

申文博：提升云原平生安整体防御体系，我以为紧张有两个要素：一是强化系统的全生命周期防护闭环；二是提升纵深防御能力。
通过这两方面的综合履行，可以全面提升云原平生安的整体防御体系，有效保障云原生运用和数据的安全性和稳定性，确保企业信息系统在面对日益繁芜的安全威胁时能够保持高效运行和可靠性。

胡俊：从全体云安全体系架构方面来讲，一是理念上要改变，把原来防堵为主的思路调度为关注运用的全生命周期；二是随着新型数字根本举动步伐培植的持续深化，要强化新型数字根本举动步伐内平生安能力；三是要把安全关口前移，在系统需求设计阶段就要把安全考虑进去，这样可以极大降落安全风险，提高安全运营效率。

监制：张宁统筹：李政葳拍摄：陆野制作：刘昊、曾震宇撰文：辛华

干系阅读：

“安全洞察·大咖说”系列访谈活动启动仪式在京举行

邬江兴：云时期面临安全新风险，构建内平生安体系是关键

谷红勋：践行安全型企业计策，持续夯实新型数字根本举动步伐

苗守野：加强网络安全当代家当链培植，助力家当数字化转型升级

点击进入栏目专题页面

来源： 光明网