近年來，我國金融行業(yè)信息化建設快速發(fā)展，為提升業(yè)務效率、實時分析數(shù)據(jù)信息、降低運營成本，“金融云”的概念應運而生。金融機構可以利用云計算技術和服務提升運算能力和價值，為客戶提供更高水平的金融服務。但在如今復雜的網(wǎng)絡安全環(huán)境中，金融云服務的安全需要得到重視，需要云服務提供者和使用者共同實現(xiàn)安全保障。

　　近日，中國信息通信研究院泰爾終端實驗室聯(lián)合華為云計算技術有限公司共同發(fā)布《金融云安全體系建設與實踐研究報告（2022年）》，詳細闡述了金融云安全變化趨勢，聚焦金融云安全發(fā)展現(xiàn)狀提出了相應措施，并展望了金融云安全的未來發(fā)展。

　　報告指出，金融云的發(fā)展演進主要分為虛擬化/超融合階段“即以提供IaaS層面服務為主、”數(shù)據(jù)中心云化階段“即以提供如容器服務、數(shù)據(jù)庫服務為代表的PaaS層面服務為主以及”多云統(tǒng)一管理階段“即以提供軟件為代表的SaaS層面服務為主。隨著金融云的發(fā)展，針對金融信息系統(tǒng)的安全威脅持續(xù)升級，主要包含三個維度的安全挑戰(zhàn)。

　　● 關鍵信息基礎設施：攻擊金融行業(yè)特別是國有大行的部分系統(tǒng)作為關鍵信息基礎設施，承載個人對公的賬戶和賬戶處理等功能，涉及民生保障和國家穩(wěn)定。

　　● 個人信息和數(shù)據(jù)泄露：金融行業(yè)保存了大量客戶數(shù)據(jù)，近來國內(nèi)外均發(fā)生多起數(shù)據(jù)泄露事件，不僅為金融廠商和客戶帶來最直接的經(jīng)濟損失，最終導致金融廠商的聲譽、信譽的降低，喪失行業(yè)競爭力。

　　● 軟件供應鏈安全威脅：軟件供應鏈攻擊具有危害大、攻擊隱蔽、難以發(fā)現(xiàn)等特點。金融行業(yè)的業(yè)務系統(tǒng)往往涉及很多上下游應用，也使用大量外購、免費和開源軟件，存在供應鏈攻擊風險。

　　針對以上攻擊和威脅，報告從以下兩個方面提出了解決辦法。

　　宏觀調控與政策發(fā)布

　　保障金融基礎設施安全。自2021年以來中央及相關部門不斷出臺相關規(guī)劃和政策，為金融基礎建設和安全性保障指明方向。

　　重視個人金融信息保護。金融機構在選擇云計算服務商時應預先了解云計算服務商機房和信息基礎設施的設置地點，評估其保護個人金融信息的能力。此外，央行發(fā)布的《個人金融信息保護技術規(guī)范》也對金融機構在個人信息的收集、傳輸、儲存、使用、刪除、銷毀等環(huán)節(jié)提出了防護要求。

　　提升金融軟件供應鏈安全。近年來，我國行業(yè)監(jiān)管單位和標準制定單位在多項法律法規(guī)及標準規(guī)范中，對供應鏈安全提出管控要求。

　　安全責任的劃分需明確。目前，我國金融云安全的責任劃分仍未形成共識，云計算將資源和數(shù)據(jù)的所有權、管理權和使用權分離，亟需建立金融云安全責任共擔模型，明確劃分雙方責任。

　　金融廠商的安全實踐

　　建設分布式金融云基礎設施。金融生態(tài)云采用多種安全記機制和手段保障基礎設施安全：一是采用租戶隔離機制，保障租戶數(shù)據(jù)的安全隔離。二是支持個性化定制，滿足不同租戶的差異化需求；三是全方位的云安全體系，從身份認證、訪問控制、數(shù)據(jù)安全、安全檢測和處置多方面實現(xiàn)安全加固。

　　建立云原生數(shù)控湖風控支撐。采用存算分離架構，將數(shù)據(jù)和環(huán)境變量解耦，根據(jù)運行環(huán)境自動關聯(lián)所需的數(shù)據(jù)和環(huán)境變量。通過隔離敏感數(shù)據(jù)，在云網(wǎng)絡層面判斷訪問的客戶端IP、訪問協(xié)議、訪問端口是否有訪問權限；對于高敏感度數(shù)據(jù)，采用子網(wǎng)絡再次進行隔離，多方面多層級保障個人信息和數(shù)據(jù)安全。

　　監(jiān)控公有云安全風險。在部署公有云過程中，根據(jù)安全策略、流程及操作指導，對產(chǎn)品和服務進行安全管理以確保安全性。此外，要建立一般環(huán)境以及云環(huán)境下的安全監(jiān)測、處置能力，持續(xù)監(jiān)控安全風險，及時發(fā)現(xiàn)并處置突發(fā)事件。

　　報告還提及，疫情常態(tài)化導致金融行業(yè)出現(xiàn)新的不確定性，新生問題頻發(fā)。云服務提供商作為承載業(yè)務的基礎平臺，在注重自身安全的同時也需要關注云上業(yè)務安全。當前，金融詐騙手法不斷更新，虛擬貨幣活動變得更加隱蔽，報告對此提出相關應對舉措。

　　自建或專屬云基礎設施

　　在網(wǎng)絡安全方面，云服務商可提供虛擬私有云、虛擬專用網(wǎng)絡、漏洞掃描服務、應用防火墻、DDos流量清洗等服務以滿足金融機構在網(wǎng)絡隔離、混合云部署、流量安全等要求；

　　在運營安全方面，云服務商需提供云監(jiān)控服務、應用運維管理服務、云審計服務、態(tài)勢感知等服務以滿足金融機構在監(jiān)控、運維、審計、威脅告警等方面要求；

　　在數(shù)據(jù)安全方面，云服務商需提供數(shù)據(jù)儲存加密、數(shù)據(jù)加密、云備份、對象儲存遷移、主機遷移等服務，以滿足金融機構在數(shù)據(jù)生命周期中的各項安全要求；

　　在容災備份方面，云服務商需提供存儲容災服務（SDRS），幫助金融機構在容災站點迅速恢復業(yè)務，縮短業(yè)務中斷時間。

　　軟硬件安全全棧提升

　　在辦公管理層面，金融機構逐需步從公文管理、郵件管理、事件管理方面著手準備，通過云應用解決升級適配難題，以保證后續(xù)在應用實現(xiàn)升級后平穩(wěn)過度；

　　在一般業(yè)務系統(tǒng)層面，金融機構逐需逐步從渠道服務、數(shù)字化營銷、數(shù)字化業(yè)務、風控合規(guī)、內(nèi)部運營與管理支持等方面著手建設；

　　在關鍵業(yè)務系統(tǒng)層面，金融機構需逐步構建芯片、網(wǎng)絡、存儲、服務器的硬件底座。同時，在IaaS層，將計算服務、存儲服務、網(wǎng)絡服務、安全服務、災備服務等方面逐步替換；在Paas層，逐步實現(xiàn)分布式數(shù)據(jù)庫、微服務框架、數(shù)據(jù)倉庫、AI等底層能力升級。

　　云網(wǎng)絡融合協(xié)同安全

　　金融機構需要通過云網(wǎng)絡融合協(xié)同，打通原先云、網(wǎng)各自獨立的安全架構，建立具備防御、檢測、響應、預測能力的一體化安全體系，維護金融等關鍵是領域的信息安全。同時，還需要進一步實現(xiàn)基于業(yè)務、權限、敏感等級、風險情況等對數(shù)據(jù)細粒度的動態(tài)防護，以及安全能力的靈活部署及按需服務等需求。

　　金融業(yè)的數(shù)字化建設已成為重要應用領域之一，金融機構應高度重視在網(wǎng)絡安全和云安全技術能力、合規(guī)及生態(tài)上的投入，積極探索安全新技術、新體系、新理念，持續(xù)聯(lián)合業(yè)內(nèi)云服務廠商、安全廠商伙伴等攜手一道構建開放、協(xié)作、共贏的安全生態(tài)體系。

更多信息可以來這里獲取==>>電子技術應用-AET<<