IBM毛新生说云安全没那么糟，别总往坏处想，要更积极面对未来风险管理

毛新生在一次关于云计算未来发展的访谈中，专门谈到了他对云安全的看法，他开宗明义地指出，很多人一提到“云”，首先冒出来的念头就是安全风险，觉得数据放在别人那里不放心，担心失控，这种担忧他非常理解，但他认为“云安全其实没那么糟，大家别总往坏处想。”（来源：毛新生接受媒体专访时的开场白）

他进一步解释说，这种普遍的焦虑感，很大程度上源于人们对“未知”和“失去直接控制”的天然恐惧，在过去几十年里，企业的IT系统都运行在自己机房里的服务器上，钥匙在自己手里，看得见摸得着，感觉上很踏实，但当业务迁移到云上，基础设施的管理权交给了云服务商，这种“控制感”似乎消失了，从而引发了安全焦虑。（来源：毛新生在IBM技术峰会上的演讲内容）但他强调，这种感觉上的“失控”并不等同于实际安全水平的下降，他打了个比方：“就像我们把钱存银行，而不是全部藏在家里的床底下，银行有专业的金库、安保系统和严格的流程，其安全性远高于个人保管，云服务商在安全上的投入和专业能力，同样是绝大多数单一企业无法比拟的。”（来源：毛新生用比喻解释云安全优势）

毛新生列举了云服务商在安全方面的几个核心优势，是规模效应带来的安全投入优势，他表示，“像IBM Cloud这样的全球性云平台，每年在安全技术研发、威胁情报收集、安全团队建设上的投入是巨额的，这种投入水平，是绝大多数中小企业，甚至很多大型企业都难以独自承担的。”（来源：毛新生分析云平台规模安全效益）云服务商能够组建顶尖的安全专家团队，7x24小时监控全球网络威胁，及时响应和处置安全事件，这种专业能力和资源覆盖广度,是传统企业IT部门很难做到的。

他谈到技术的前沿性和自动化，云平台普遍采用了更先进的安全技术和架构，比如加密技术、身份与访问管理、微隔离等，更重要的是，云环境更易于实现安全管理的自动化和智能化。“在云上，你可以通过策略和工具，自动实现安全规则的部署、合规性的检查、漏洞的扫描和修复，这改变了传统安全中依赖人工、响应迟缓的被动局面，能够实现更主动、更持续的风险管理。”（来源：毛新生阐述云安全技术特性）

针对数据隐私和合规的担忧，毛新生承认这确实是企业上云时考量的重点，但他认为云服务商在这方面提供了更多的工具和可能性。“成熟的云服务商通常会遵循全球各地严格的数据保护法规（如GDPR），并提供一系列工具帮助客户实现数据加密、密钥管理、以及满足特定行业的合规要求，利用云服务商提供的合规框架和工具，企业往往能更系统、更高效地达到监管要求，而不是自己从头开始摸索。”（来源：毛新生回应数据隐私与合规性质疑）

这是否意味着企业可以把安全责任完全甩给云服务商呢？毛新生明确否定了这种想法，他提出了“责任共担模型”的概念。“安全永远是双方共同的责任，云服务商负责保障云平台底层基础设施（如计算、存储、网络）的安全，这被称作‘云的安全’，而客户则需要负责自己在云上部署的应用、数据、操作系统、网络配置等的安全，这被称为‘在云中的安全’。”（来源：毛新生强调云安全责任共担模型）他比喻说，云服务商提供了坚固的房子和安保系统（云的安全），但住在里面的客户需要管好自己的门窗和贵重物品（在云中的安全），如果客户自己的应用程序存在漏洞或者密码设置过于简单,那么再安全的云平台也无法避免损失。

毛新生呼吁企业要以更积极的心态面对未来的风险管理，他认为，上云不是简单地逃避安全责任，而是将安全管理的重点进行了转移和升级。“企业不应该再把大量精力耗费在维护底层基础设施的物理安全和基础防护上，而是应该将宝贵的资源聚焦在更高层次的风险管理，比如业务逻辑安全、数据安全治理、身份生命周期管理、以及应对新型网络攻击策略上。”（来源：毛新生提出积极风险管理新思路）这意味着企业安全团队的角色需要转型，从传统的“运维保障”向更战略性的“风险管控和业务赋能”转变。

他总结道，云计算带来的不仅是技术的变革，更是思维模式的革新，面对云安全，一味地恐惧和排斥是徒劳的，关键在于正确认识风险共担的原则，善用云平台提供的强大安全能力，同时提升自身在应用层和数据层的安全管理水平。“我们要更积极、更主动地去理解和驾驭云环境下的风险，将安全内嵌到业务开发的每一个环节（DevSecOps），构建与云时代相匹配的、更具韧性的安全体系，未来已来，风险管理的方式也必须与时俱进。”（来源：毛新生总结陈词,呼吁积极拥抱变化）