近年來,我國金融行業(yè)信息化建設(shè)快速發(fā)展,,為提升業(yè)務(wù)效率,、實時分析數(shù)據(jù)信息、降低運營成本,,“金融云”的概念應(yīng)運而生,。金融機構(gòu)可以利用云計算技術(shù)和服務(wù)提升運算能力和價值,為客戶提供更高水平的金融服務(wù),。但在如今復(fù)雜的網(wǎng)絡(luò)安全環(huán)境中,,金融云服務(wù)的安全需要得到重視,,需要云服務(wù)提供者和使用者共同實現(xiàn)安全保障,。
近日,,中國信息通信研究院泰爾終端實驗室聯(lián)合華為云計算技術(shù)有限公司共同發(fā)布《金融云安全體系建設(shè)與實踐研究報告(2022年)》,,詳細(xì)闡述了金融云安全變化趨勢,聚焦金融云安全發(fā)展現(xiàn)狀提出了相應(yīng)措施,,并展望了金融云安全的未來發(fā)展,。
報告指出,,金融云的發(fā)展演進主要分為虛擬化/超融合階段“即以提供IaaS層面服務(wù)為主,、”數(shù)據(jù)中心云化階段“即以提供如容器服務(wù)、數(shù)據(jù)庫服務(wù)為代表的PaaS層面服務(wù)為主以及”多云統(tǒng)一管理階段“即以提供軟件為代表的SaaS層面服務(wù)為主,。隨著金融云的發(fā)展,,針對金融信息系統(tǒng)的安全威脅持續(xù)升級,主要包含三個維度的安全挑戰(zhàn),。
● 關(guān)鍵信息基礎(chǔ)設(shè)施:攻擊金融行業(yè)特別是國有大行的部分系統(tǒng)作為關(guān)鍵信息基礎(chǔ)設(shè)施,,承載個人對公的賬戶和賬戶處理等功能,涉及民生保障和國家穩(wěn)定,。
● 個人信息和數(shù)據(jù)泄露:金融行業(yè)保存了大量客戶數(shù)據(jù),,近來國內(nèi)外均發(fā)生多起數(shù)據(jù)泄露事件,不僅為金融廠商和客戶帶來最直接的經(jīng)濟損失,,最終導(dǎo)致金融廠商的聲譽,、信譽的降低,喪失行業(yè)競爭力,。
● 軟件供應(yīng)鏈安全威脅:軟件供應(yīng)鏈攻擊具有危害大,、攻擊隱蔽、難以發(fā)現(xiàn)等特點,。金融行業(yè)的業(yè)務(wù)系統(tǒng)往往涉及很多上下游應(yīng)用,,也使用大量外購、免費和開源軟件,,存在供應(yīng)鏈攻擊風(fēng)險,。
針對以上攻擊和威脅,報告從以下兩個方面提出了解決辦法,。
宏觀調(diào)控與政策發(fā)布
保障金融基礎(chǔ)設(shè)施安全,。自2021年以來中央及相關(guān)部門不斷出臺相關(guān)規(guī)劃和政策,為金融基礎(chǔ)建設(shè)和安全性保障指明方向,。
重視個人金融信息保護,。金融機構(gòu)在選擇云計算服務(wù)商時應(yīng)預(yù)先了解云計算服務(wù)商機房和信息基礎(chǔ)設(shè)施的設(shè)置地點,評估其保護個人金融信息的能力,。此外,,央行發(fā)布的《個人金融信息保護技術(shù)規(guī)范》也對金融機構(gòu)在個人信息的收集、傳輸,、儲存,、使用,、刪除、銷毀等環(huán)節(jié)提出了防護要求,。
提升金融軟件供應(yīng)鏈安全,。近年來,我國行業(yè)監(jiān)管單位和標(biāo)準(zhǔn)制定單位在多項法律法規(guī)及標(biāo)準(zhǔn)規(guī)范中,,對供應(yīng)鏈安全提出管控要求,。
安全責(zé)任的劃分需明確。目前,,我國金融云安全的責(zé)任劃分仍未形成共識,,云計算將資源和數(shù)據(jù)的所有權(quán)、管理權(quán)和使用權(quán)分離,,亟需建立金融云安全責(zé)任共擔(dān)模型,,明確劃分雙方責(zé)任。
金融廠商的安全實踐
建設(shè)分布式金融云基礎(chǔ)設(shè)施,。金融生態(tài)云采用多種安全記機制和手段保障基礎(chǔ)設(shè)施安全:一是采用租戶隔離機制,,保障租戶數(shù)據(jù)的安全隔離。二是支持個性化定制,,滿足不同租戶的差異化需求,;三是全方位的云安全體系,從身份認(rèn)證,、訪問控制,、數(shù)據(jù)安全、安全檢測和處置多方面實現(xiàn)安全加固,。
建立云原生數(shù)控湖風(fēng)控支撐,。采用存算分離架構(gòu),將數(shù)據(jù)和環(huán)境變量解耦,,根據(jù)運行環(huán)境自動關(guān)聯(lián)所需的數(shù)據(jù)和環(huán)境變量,。通過隔離敏感數(shù)據(jù),在云網(wǎng)絡(luò)層面判斷訪問的客戶端IP,、訪問協(xié)議,、訪問端口是否有訪問權(quán)限;對于高敏感度數(shù)據(jù),,采用子網(wǎng)絡(luò)再次進行隔離,,多方面多層級保障個人信息和數(shù)據(jù)安全。
監(jiān)控公有云安全風(fēng)險,。在部署公有云過程中,,根據(jù)安全策略、流程及操作指導(dǎo),,對產(chǎn)品和服務(wù)進行安全管理以確保安全性,。此外,,要建立一般環(huán)境以及云環(huán)境下的安全監(jiān)測、處置能力,,持續(xù)監(jiān)控安全風(fēng)險,,及時發(fā)現(xiàn)并處置突發(fā)事件。
報告還提及,,疫情常態(tài)化導(dǎo)致金融行業(yè)出現(xiàn)新的不確定性,,新生問題頻發(fā)。云服務(wù)提供商作為承載業(yè)務(wù)的基礎(chǔ)平臺,,在注重自身安全的同時也需要關(guān)注云上業(yè)務(wù)安全,。當(dāng)前,金融詐騙手法不斷更新,,虛擬貨幣活動變得更加隱蔽,報告對此提出相關(guān)應(yīng)對舉措,。
自建或?qū)僭苹A(chǔ)設(shè)施
在網(wǎng)絡(luò)安全方面,,云服務(wù)商可提供虛擬私有云、虛擬專用網(wǎng)絡(luò),、漏洞掃描服務(wù),、應(yīng)用防火墻、DDos流量清洗等服務(wù)以滿足金融機構(gòu)在網(wǎng)絡(luò)隔離,、混合云部署,、流量安全等要求;
在運營安全方面,,云服務(wù)商需提供云監(jiān)控服務(wù),、應(yīng)用運維管理服務(wù)、云審計服務(wù),、態(tài)勢感知等服務(wù)以滿足金融機構(gòu)在監(jiān)控,、運維、審計,、威脅告警等方面要求,;
在數(shù)據(jù)安全方面,云服務(wù)商需提供數(shù)據(jù)儲存加密,、數(shù)據(jù)加密,、云備份、對象儲存遷移,、主機遷移等服務(wù),,以滿足金融機構(gòu)在數(shù)據(jù)生命周期中的各項安全要求;
在容災(zāi)備份方面,,云服務(wù)商需提供存儲容災(zāi)服務(wù)(SDRS),,幫助金融機構(gòu)在容災(zāi)站點迅速恢復(fù)業(yè)務(wù),,縮短業(yè)務(wù)中斷時間。
軟硬件安全全棧提升
在辦公管理層面,,金融機構(gòu)逐需步從公文管理,、郵件管理、事件管理方面著手準(zhǔn)備,,通過云應(yīng)用解決升級適配難題,,以保證后續(xù)在應(yīng)用實現(xiàn)升級后平穩(wěn)過度;
在一般業(yè)務(wù)系統(tǒng)層面,,金融機構(gòu)逐需逐步從渠道服務(wù),、數(shù)字化營銷、數(shù)字化業(yè)務(wù),、風(fēng)控合規(guī),、內(nèi)部運營與管理支持等方面著手建設(shè);
在關(guān)鍵業(yè)務(wù)系統(tǒng)層面,,金融機構(gòu)需逐步構(gòu)建芯片,、網(wǎng)絡(luò)、存儲,、服務(wù)器的硬件底座,。同時,在IaaS層,,將計算服務(wù),、存儲服務(wù)、網(wǎng)絡(luò)服務(wù),、安全服務(wù),、災(zāi)備服務(wù)等方面逐步替換;在Paas層,,逐步實現(xiàn)分布式數(shù)據(jù)庫,、微服務(wù)框架、數(shù)據(jù)倉庫,、AI等底層能力升級,。
云網(wǎng)絡(luò)融合協(xié)同安全
金融機構(gòu)需要通過云網(wǎng)絡(luò)融合協(xié)同,打通原先云,、網(wǎng)各自獨立的安全架構(gòu),,建立具備防御、檢測,、響應(yīng),、預(yù)測能力的一體化安全體系,維護金融等關(guān)鍵是領(lǐng)域的信息安全,。同時,,還需要進一步實現(xiàn)基于業(yè)務(wù),、權(quán)限、敏感等級,、風(fēng)險情況等對數(shù)據(jù)細(xì)粒度的動態(tài)防護,,以及安全能力的靈活部署及按需服務(wù)等需求。
金融業(yè)的數(shù)字化建設(shè)已成為重要應(yīng)用領(lǐng)域之一,,金融機構(gòu)應(yīng)高度重視在網(wǎng)絡(luò)安全和云安全技術(shù)能力,、合規(guī)及生態(tài)上的投入,積極探索安全新技術(shù),、新體系,、新理念,持續(xù)聯(lián)合業(yè)內(nèi)云服務(wù)廠商,、安全廠商伙伴等攜手一道構(gòu)建開放,、協(xié)作、共贏的安全生態(tài)體系,。
更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<
