近年來，我國金融行業(yè)信息化建設(shè)快速發(fā)展，為提升業(yè)務(wù)效率、實(shí)時(shí)分析數(shù)據(jù)信息、降低運(yùn)營成本，“金融云”的概念應(yīng)運(yùn)而生。金融機(jī)構(gòu)可以利用云計(jì)算技術(shù)和服務(wù)提升運(yùn)算能力和價(jià)值，為客戶提供更高水平的金融服務(wù)。但在如今復(fù)雜的網(wǎng)絡(luò)安全環(huán)境中，金融云服務(wù)的安全需要得到重視，需要云服務(wù)提供者和使用者共同實(shí)現(xiàn)安全保障。

　　近日，中國信息通信研究院泰爾終端實(shí)驗(yàn)室聯(lián)合華為云計(jì)算技術(shù)有限公司共同發(fā)布《金融云安全體系建設(shè)與實(shí)踐研究報(bào)告（2022年）》，詳細(xì)闡述了金融云安全變化趨勢，聚焦金融云安全發(fā)展現(xiàn)狀提出了相應(yīng)措施，并展望了金融云安全的未來發(fā)展。

　　報(bào)告指出，金融云的發(fā)展演進(jìn)主要分為虛擬化/超融合階段“即以提供IaaS層面服務(wù)為主、”數(shù)據(jù)中心云化階段“即以提供如容器服務(wù)、數(shù)據(jù)庫服務(wù)為代表的PaaS層面服務(wù)為主以及”多云統(tǒng)一管理階段“即以提供軟件為代表的SaaS層面服務(wù)為主。隨著金融云的發(fā)展，針對(duì)金融信息系統(tǒng)的安全威脅持續(xù)升級(jí)，主要包含三個(gè)維度的安全挑戰(zhàn)。

　　● 關(guān)鍵信息基礎(chǔ)設(shè)施：攻擊金融行業(yè)特別是國有大行的部分系統(tǒng)作為關(guān)鍵信息基礎(chǔ)設(shè)施，承載個(gè)人對(duì)公的賬戶和賬戶處理等功能，涉及民生保障和國家穩(wěn)定。

　　● 個(gè)人信息和數(shù)據(jù)泄露：金融行業(yè)保存了大量客戶數(shù)據(jù)，近來國內(nèi)外均發(fā)生多起數(shù)據(jù)泄露事件，不僅為金融廠商和客戶帶來最直接的經(jīng)濟(jì)損失，最終導(dǎo)致金融廠商的聲譽(yù)、信譽(yù)的降低，喪失行業(yè)競爭力。

　　● 軟件供應(yīng)鏈安全威脅：軟件供應(yīng)鏈攻擊具有危害大、攻擊隱蔽、難以發(fā)現(xiàn)等特點(diǎn)。金融行業(yè)的業(yè)務(wù)系統(tǒng)往往涉及很多上下游應(yīng)用，也使用大量外購、免費(fèi)和開源軟件，存在供應(yīng)鏈攻擊風(fēng)險(xiǎn)。

　　針對(duì)以上攻擊和威脅，報(bào)告從以下兩個(gè)方面提出了解決辦法。

　　宏觀調(diào)控與政策發(fā)布

　　保障金融基礎(chǔ)設(shè)施安全。自2021年以來中央及相關(guān)部門不斷出臺(tái)相關(guān)規(guī)劃和政策，為金融基礎(chǔ)建設(shè)和安全性保障指明方向。

　　重視個(gè)人金融信息保護(hù)。金融機(jī)構(gòu)在選擇云計(jì)算服務(wù)商時(shí)應(yīng)預(yù)先了解云計(jì)算服務(wù)商機(jī)房和信息基礎(chǔ)設(shè)施的設(shè)置地點(diǎn)，評(píng)估其保護(hù)個(gè)人金融信息的能力。此外，央行發(fā)布的《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》也對(duì)金融機(jī)構(gòu)在個(gè)人信息的收集、傳輸、儲(chǔ)存、使用、刪除、銷毀等環(huán)節(jié)提出了防護(hù)要求。

　　提升金融軟件供應(yīng)鏈安全。近年來，我國行業(yè)監(jiān)管單位和標(biāo)準(zhǔn)制定單位在多項(xiàng)法律法規(guī)及標(biāo)準(zhǔn)規(guī)范中，對(duì)供應(yīng)鏈安全提出管控要求。

　　安全責(zé)任的劃分需明確。目前，我國金融云安全的責(zé)任劃分仍未形成共識(shí)，云計(jì)算將資源和數(shù)據(jù)的所有權(quán)、管理權(quán)和使用權(quán)分離，亟需建立金融云安全責(zé)任共擔(dān)模型，明確劃分雙方責(zé)任。

　　金融廠商的安全實(shí)踐

　　建設(shè)分布式金融云基礎(chǔ)設(shè)施。金融生態(tài)云采用多種安全記機(jī)制和手段保障基礎(chǔ)設(shè)施安全：一是采用租戶隔離機(jī)制，保障租戶數(shù)據(jù)的安全隔離。二是支持個(gè)性化定制，滿足不同租戶的差異化需求；三是全方位的云安全體系，從身份認(rèn)證、訪問控制、數(shù)據(jù)安全、安全檢測和處置多方面實(shí)現(xiàn)安全加固。

　　建立云原生數(shù)控湖風(fēng)控支撐。采用存算分離架構(gòu)，將數(shù)據(jù)和環(huán)境變量解耦，根據(jù)運(yùn)行環(huán)境自動(dòng)關(guān)聯(lián)所需的數(shù)據(jù)和環(huán)境變量。通過隔離敏感數(shù)據(jù)，在云網(wǎng)絡(luò)層面判斷訪問的客戶端IP、訪問協(xié)議、訪問端口是否有訪問權(quán)限；對(duì)于高敏感度數(shù)據(jù)，采用子網(wǎng)絡(luò)再次進(jìn)行隔離，多方面多層級(jí)保障個(gè)人信息和數(shù)據(jù)安全。

　　監(jiān)控公有云安全風(fēng)險(xiǎn)。在部署公有云過程中，根據(jù)安全策略、流程及操作指導(dǎo)，對(duì)產(chǎn)品和服務(wù)進(jìn)行安全管理以確保安全性。此外，要建立一般環(huán)境以及云環(huán)境下的安全監(jiān)測、處置能力，持續(xù)監(jiān)控安全風(fēng)險(xiǎn)，及時(shí)發(fā)現(xiàn)并處置突發(fā)事件。

　　報(bào)告還提及，疫情常態(tài)化導(dǎo)致金融行業(yè)出現(xiàn)新的不確定性，新生問題頻發(fā)。云服務(wù)提供商作為承載業(yè)務(wù)的基礎(chǔ)平臺(tái)，在注重自身安全的同時(shí)也需要關(guān)注云上業(yè)務(wù)安全。當(dāng)前，金融詐騙手法不斷更新，虛擬貨幣活動(dòng)變得更加隱蔽，報(bào)告對(duì)此提出相關(guān)應(yīng)對(duì)舉措。

　　自建或?qū)僭苹A(chǔ)設(shè)施

　　在網(wǎng)絡(luò)安全方面，云服務(wù)商可提供虛擬私有云、虛擬專用網(wǎng)絡(luò)、漏洞掃描服務(wù)、應(yīng)用防火墻、DDos流量清洗等服務(wù)以滿足金融機(jī)構(gòu)在網(wǎng)絡(luò)隔離、混合云部署、流量安全等要求；

　　在運(yùn)營安全方面，云服務(wù)商需提供云監(jiān)控服務(wù)、應(yīng)用運(yùn)維管理服務(wù)、云審計(jì)服務(wù)、態(tài)勢感知等服務(wù)以滿足金融機(jī)構(gòu)在監(jiān)控、運(yùn)維、審計(jì)、威脅告警等方面要求；

　　在數(shù)據(jù)安全方面，云服務(wù)商需提供數(shù)據(jù)儲(chǔ)存加密、數(shù)據(jù)加密、云備份、對(duì)象儲(chǔ)存遷移、主機(jī)遷移等服務(wù)，以滿足金融機(jī)構(gòu)在數(shù)據(jù)生命周期中的各項(xiàng)安全要求；

　　在容災(zāi)備份方面，云服務(wù)商需提供存儲(chǔ)容災(zāi)服務(wù)（SDRS），幫助金融機(jī)構(gòu)在容災(zāi)站點(diǎn)迅速恢復(fù)業(yè)務(wù)，縮短業(yè)務(wù)中斷時(shí)間。

　　軟硬件安全全棧提升

　　在辦公管理層面，金融機(jī)構(gòu)逐需步從公文管理、郵件管理、事件管理方面著手準(zhǔn)備，通過云應(yīng)用解決升級(jí)適配難題，以保證后續(xù)在應(yīng)用實(shí)現(xiàn)升級(jí)后平穩(wěn)過度；

　　在一般業(yè)務(wù)系統(tǒng)層面，金融機(jī)構(gòu)逐需逐步從渠道服務(wù)、數(shù)字化營銷、數(shù)字化業(yè)務(wù)、風(fēng)控合規(guī)、內(nèi)部運(yùn)營與管理支持等方面著手建設(shè)；

　　在關(guān)鍵業(yè)務(wù)系統(tǒng)層面，金融機(jī)構(gòu)需逐步構(gòu)建芯片、網(wǎng)絡(luò)、存儲(chǔ)、服務(wù)器的硬件底座。同時(shí)，在IaaS層，將計(jì)算服務(wù)、存儲(chǔ)服務(wù)、網(wǎng)絡(luò)服務(wù)、安全服務(wù)、災(zāi)備服務(wù)等方面逐步替換；在Paas層，逐步實(shí)現(xiàn)分布式數(shù)據(jù)庫、微服務(wù)框架、數(shù)據(jù)倉庫、AI等底層能力升級(jí)。

　　云網(wǎng)絡(luò)融合協(xié)同安全

　　金融機(jī)構(gòu)需要通過云網(wǎng)絡(luò)融合協(xié)同，打通原先云、網(wǎng)各自獨(dú)立的安全架構(gòu)，建立具備防御、檢測、響應(yīng)、預(yù)測能力的一體化安全體系，維護(hù)金融等關(guān)鍵是領(lǐng)域的信息安全。同時(shí)，還需要進(jìn)一步實(shí)現(xiàn)基于業(yè)務(wù)、權(quán)限、敏感等級(jí)、風(fēng)險(xiǎn)情況等對(duì)數(shù)據(jù)細(xì)粒度的動(dòng)態(tài)防護(hù)，以及安全能力的靈活部署及按需服務(wù)等需求。

　　金融業(yè)的數(shù)字化建設(shè)已成為重要應(yīng)用領(lǐng)域之一，金融機(jī)構(gòu)應(yīng)高度重視在網(wǎng)絡(luò)安全和云安全技術(shù)能力、合規(guī)及生態(tài)上的投入，積極探索安全新技術(shù)、新體系、新理念，持續(xù)聯(lián)合業(yè)內(nèi)云服務(wù)廠商、安全廠商伙伴等攜手一道構(gòu)建開放、協(xié)作、共贏的安全生態(tài)體系。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<