近年來,我國金融行業(yè)信息化建設(shè)快速發(fā)展,,為提升業(yè)務(wù)效率,、實(shí)時(shí)分析數(shù)據(jù)信息、降低運(yùn)營成本,,“金融云”的概念應(yīng)運(yùn)而生,。金融機(jī)構(gòu)可以利用云計(jì)算技術(shù)和服務(wù)提升運(yùn)算能力和價(jià)值,為客戶提供更高水平的金融服務(wù),。但在如今復(fù)雜的網(wǎng)絡(luò)安全環(huán)境中,,金融云服務(wù)的安全需要得到重視,需要云服務(wù)提供者和使用者共同實(shí)現(xiàn)安全保障,。
近日,,中國信息通信研究院泰爾終端實(shí)驗(yàn)室聯(lián)合華為云計(jì)算技術(shù)有限公司共同發(fā)布《金融云安全體系建設(shè)與實(shí)踐研究報(bào)告(2022年)》,詳細(xì)闡述了金融云安全變化趨勢,,聚焦金融云安全發(fā)展現(xiàn)狀提出了相應(yīng)措施,,并展望了金融云安全的未來發(fā)展。
報(bào)告指出,,金融云的發(fā)展演進(jìn)主要分為虛擬化/超融合階段“即以提供IaaS層面服務(wù)為主,、”數(shù)據(jù)中心云化階段“即以提供如容器服務(wù)、數(shù)據(jù)庫服務(wù)為代表的PaaS層面服務(wù)為主以及”多云統(tǒng)一管理階段“即以提供軟件為代表的SaaS層面服務(wù)為主,。隨著金融云的發(fā)展,,針對金融信息系統(tǒng)的安全威脅持續(xù)升級,主要包含三個(gè)維度的安全挑戰(zhàn),。
● 關(guān)鍵信息基礎(chǔ)設(shè)施:攻擊金融行業(yè)特別是國有大行的部分系統(tǒng)作為關(guān)鍵信息基礎(chǔ)設(shè)施,,承載個(gè)人對公的賬戶和賬戶處理等功能,涉及民生保障和國家穩(wěn)定,。
● 個(gè)人信息和數(shù)據(jù)泄露:金融行業(yè)保存了大量客戶數(shù)據(jù),,近來國內(nèi)外均發(fā)生多起數(shù)據(jù)泄露事件,不僅為金融廠商和客戶帶來最直接的經(jīng)濟(jì)損失,,最終導(dǎo)致金融廠商的聲譽(yù),、信譽(yù)的降低,喪失行業(yè)競爭力,。
● 軟件供應(yīng)鏈安全威脅:軟件供應(yīng)鏈攻擊具有危害大,、攻擊隱蔽、難以發(fā)現(xiàn)等特點(diǎn),。金融行業(yè)的業(yè)務(wù)系統(tǒng)往往涉及很多上下游應(yīng)用,,也使用大量外購、免費(fèi)和開源軟件,,存在供應(yīng)鏈攻擊風(fēng)險(xiǎn),。
針對以上攻擊和威脅,,報(bào)告從以下兩個(gè)方面提出了解決辦法。
宏觀調(diào)控與政策發(fā)布
保障金融基礎(chǔ)設(shè)施安全,。自2021年以來中央及相關(guān)部門不斷出臺(tái)相關(guān)規(guī)劃和政策,,為金融基礎(chǔ)建設(shè)和安全性保障指明方向。
重視個(gè)人金融信息保護(hù),。金融機(jī)構(gòu)在選擇云計(jì)算服務(wù)商時(shí)應(yīng)預(yù)先了解云計(jì)算服務(wù)商機(jī)房和信息基礎(chǔ)設(shè)施的設(shè)置地點(diǎn),,評估其保護(hù)個(gè)人金融信息的能力。此外,,央行發(fā)布的《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》也對金融機(jī)構(gòu)在個(gè)人信息的收集,、傳輸、儲(chǔ)存,、使用,、刪除、銷毀等環(huán)節(jié)提出了防護(hù)要求,。
提升金融軟件供應(yīng)鏈安全,。近年來,我國行業(yè)監(jiān)管單位和標(biāo)準(zhǔn)制定單位在多項(xiàng)法律法規(guī)及標(biāo)準(zhǔn)規(guī)范中,,對供應(yīng)鏈安全提出管控要求,。
安全責(zé)任的劃分需明確。目前,,我國金融云安全的責(zé)任劃分仍未形成共識,,云計(jì)算將資源和數(shù)據(jù)的所有權(quán)、管理權(quán)和使用權(quán)分離,,亟需建立金融云安全責(zé)任共擔(dān)模型,,明確劃分雙方責(zé)任。
金融廠商的安全實(shí)踐
建設(shè)分布式金融云基礎(chǔ)設(shè)施,。金融生態(tài)云采用多種安全記機(jī)制和手段保障基礎(chǔ)設(shè)施安全:一是采用租戶隔離機(jī)制,,保障租戶數(shù)據(jù)的安全隔離。二是支持個(gè)性化定制,,滿足不同租戶的差異化需求,;三是全方位的云安全體系,從身份認(rèn)證,、訪問控制,、數(shù)據(jù)安全、安全檢測和處置多方面實(shí)現(xiàn)安全加固,。
建立云原生數(shù)控湖風(fēng)控支撐,。采用存算分離架構(gòu),將數(shù)據(jù)和環(huán)境變量解耦,,根據(jù)運(yùn)行環(huán)境自動(dòng)關(guān)聯(lián)所需的數(shù)據(jù)和環(huán)境變量,。通過隔離敏感數(shù)據(jù),,在云網(wǎng)絡(luò)層面判斷訪問的客戶端IP,、訪問協(xié)議,、訪問端口是否有訪問權(quán)限;對于高敏感度數(shù)據(jù),,采用子網(wǎng)絡(luò)再次進(jìn)行隔離,,多方面多層級保障個(gè)人信息和數(shù)據(jù)安全。
監(jiān)控公有云安全風(fēng)險(xiǎn),。在部署公有云過程中,,根據(jù)安全策略、流程及操作指導(dǎo),,對產(chǎn)品和服務(wù)進(jìn)行安全管理以確保安全性,。此外,要建立一般環(huán)境以及云環(huán)境下的安全監(jiān)測,、處置能力,,持續(xù)監(jiān)控安全風(fēng)險(xiǎn),及時(shí)發(fā)現(xiàn)并處置突發(fā)事件,。
報(bào)告還提及,,疫情常態(tài)化導(dǎo)致金融行業(yè)出現(xiàn)新的不確定性,新生問題頻發(fā),。云服務(wù)提供商作為承載業(yè)務(wù)的基礎(chǔ)平臺(tái),,在注重自身安全的同時(shí)也需要關(guān)注云上業(yè)務(wù)安全。當(dāng)前,,金融詐騙手法不斷更新,,虛擬貨幣活動(dòng)變得更加隱蔽,報(bào)告對此提出相關(guān)應(yīng)對舉措,。
自建或?qū)僭苹A(chǔ)設(shè)施
在網(wǎng)絡(luò)安全方面,,云服務(wù)商可提供虛擬私有云、虛擬專用網(wǎng)絡(luò),、漏洞掃描服務(wù),、應(yīng)用防火墻、DDos流量清洗等服務(wù)以滿足金融機(jī)構(gòu)在網(wǎng)絡(luò)隔離,、混合云部署,、流量安全等要求;
在運(yùn)營安全方面,,云服務(wù)商需提供云監(jiān)控服務(wù),、應(yīng)用運(yùn)維管理服務(wù)、云審計(jì)服務(wù),、態(tài)勢感知等服務(wù)以滿足金融機(jī)構(gòu)在監(jiān)控,、運(yùn)維,、審計(jì)、威脅告警等方面要求,;
在數(shù)據(jù)安全方面,,云服務(wù)商需提供數(shù)據(jù)儲(chǔ)存加密、數(shù)據(jù)加密,、云備份,、對象儲(chǔ)存遷移、主機(jī)遷移等服務(wù),,以滿足金融機(jī)構(gòu)在數(shù)據(jù)生命周期中的各項(xiàng)安全要求,;
在容災(zāi)備份方面,云服務(wù)商需提供存儲(chǔ)容災(zāi)服務(wù)(SDRS),,幫助金融機(jī)構(gòu)在容災(zāi)站點(diǎn)迅速恢復(fù)業(yè)務(wù),,縮短業(yè)務(wù)中斷時(shí)間。
軟硬件安全全棧提升
在辦公管理層面,,金融機(jī)構(gòu)逐需步從公文管理,、郵件管理、事件管理方面著手準(zhǔn)備,,通過云應(yīng)用解決升級適配難題,,以保證后續(xù)在應(yīng)用實(shí)現(xiàn)升級后平穩(wěn)過度;
在一般業(yè)務(wù)系統(tǒng)層面,,金融機(jī)構(gòu)逐需逐步從渠道服務(wù),、數(shù)字化營銷、數(shù)字化業(yè)務(wù),、風(fēng)控合規(guī),、內(nèi)部運(yùn)營與管理支持等方面著手建設(shè);
在關(guān)鍵業(yè)務(wù)系統(tǒng)層面,,金融機(jī)構(gòu)需逐步構(gòu)建芯片,、網(wǎng)絡(luò)、存儲(chǔ),、服務(wù)器的硬件底座,。同時(shí),在IaaS層,,將計(jì)算服務(wù),、存儲(chǔ)服務(wù)、網(wǎng)絡(luò)服務(wù),、安全服務(wù),、災(zāi)備服務(wù)等方面逐步替換;在Paas層,逐步實(shí)現(xiàn)分布式數(shù)據(jù)庫,、微服務(wù)框架,、數(shù)據(jù)倉庫、AI等底層能力升級,。
云網(wǎng)絡(luò)融合協(xié)同安全
金融機(jī)構(gòu)需要通過云網(wǎng)絡(luò)融合協(xié)同,,打通原先云、網(wǎng)各自獨(dú)立的安全架構(gòu),,建立具備防御,、檢測,、響應(yīng),、預(yù)測能力的一體化安全體系,維護(hù)金融等關(guān)鍵是領(lǐng)域的信息安全,。同時(shí),,還需要進(jìn)一步實(shí)現(xiàn)基于業(yè)務(wù)、權(quán)限,、敏感等級,、風(fēng)險(xiǎn)情況等對數(shù)據(jù)細(xì)粒度的動(dòng)態(tài)防護(hù),以及安全能力的靈活部署及按需服務(wù)等需求,。
金融業(yè)的數(shù)字化建設(shè)已成為重要應(yīng)用領(lǐng)域之一,,金融機(jī)構(gòu)應(yīng)高度重視在網(wǎng)絡(luò)安全和云安全技術(shù)能力、合規(guī)及生態(tài)上的投入,,積極探索安全新技術(shù),、新體系、新理念,,持續(xù)聯(lián)合業(yè)內(nèi)云服務(wù)廠商,、安全廠商伙伴等攜手一道構(gòu)建開放、協(xié)作,、共贏的安全生態(tài)體系,。
更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<