近年來,我國金融行業信息化建設快速發展,為提升業務效率、實時分析數據信息、降低運營成本,“金融云”的概念應運而生。金融機構可以利用云計算技術和服務提升運算能力和價值,為客戶提供更高水平的金融服務。但在如今復雜的網絡安全環境中,金融云服務的安全需要得到重視,需要云服務提供者和使用者共同實現安全保障。
近日,中國信息通信研究院泰爾終端實驗室聯合華為云計算技術有限公司共同發布《金融云安全體系建設與實踐研究報告(2022年)》,詳細闡述了金融云安全變化趨勢,聚焦金融云安全發展現狀提出了相應措施,并展望了金融云安全的未來發展。
報告指出,金融云的發展演進主要分為虛擬化/超融合階段“即以提供IaaS層面服務為主、”數據中心云化階段“即以提供如容器服務、數據庫服務為代表的PaaS層面服務為主以及”多云統一管理階段“即以提供軟件為代表的SaaS層面服務為主。隨著金融云的發展,針對金融信息系統的安全威脅持續升級,主要包含三個維度的安全挑戰。
● 關鍵信息基礎設施:攻擊金融行業特別是國有大行的部分系統作為關鍵信息基礎設施,承載個人對公的賬戶和賬戶處理等功能,涉及民生保障和國家穩定。
● 個人信息和數據泄露:金融行業保存了大量客戶數據,近來國內外均發生多起數據泄露事件,不僅為金融廠商和客戶帶來最直接的經濟損失,最終導致金融廠商的聲譽、信譽的降低,喪失行業競爭力。
● 軟件供應鏈安全威脅:軟件供應鏈攻擊具有危害大、攻擊隱蔽、難以發現等特點。金融行業的業務系統往往涉及很多上下游應用,也使用大量外購、免費和開源軟件,存在供應鏈攻擊風險。
針對以上攻擊和威脅,報告從以下兩個方面提出了解決辦法。
宏觀調控與政策發布
保障金融基礎設施安全。自2021年以來中央及相關部門不斷出臺相關規劃和政策,為金融基礎建設和安全性保障指明方向。
重視個人金融信息保護。金融機構在選擇云計算服務商時應預先了解云計算服務商機房和信息基礎設施的設置地點,評估其保護個人金融信息的能力。此外,央行發布的《個人金融信息保護技術規范》也對金融機構在個人信息的收集、傳輸、儲存、使用、刪除、銷毀等環節提出了防護要求。
提升金融軟件供應鏈安全。近年來,我國行業監管單位和標準制定單位在多項法律法規及標準規范中,對供應鏈安全提出管控要求。
安全責任的劃分需明確。目前,我國金融云安全的責任劃分仍未形成共識,云計算將資源和數據的所有權、管理權和使用權分離,亟需建立金融云安全責任共擔模型,明確劃分雙方責任。
金融廠商的安全實踐
建設分布式金融云基礎設施。金融生態云采用多種安全記機制和手段保障基礎設施安全:一是采用租戶隔離機制,保障租戶數據的安全隔離。二是支持個性化定制,滿足不同租戶的差異化需求;三是全方位的云安全體系,從身份認證、訪問控制、數據安全、安全檢測和處置多方面實現安全加固。
建立云原生數控湖風控支撐。采用存算分離架構,將數據和環境變量解耦,根據運行環境自動關聯所需的數據和環境變量。通過隔離敏感數據,在云網絡層面判斷訪問的客戶端IP、訪問協議、訪問端口是否有訪問權限;對于高敏感度數據,采用子網絡再次進行隔離,多方面多層級保障個人信息和數據安全。
監控公有云安全風險。在部署公有云過程中,根據安全策略、流程及操作指導,對產品和服務進行安全管理以確保安全性。此外,要建立一般環境以及云環境下的安全監測、處置能力,持續監控安全風險,及時發現并處置突發事件。
報告還提及,疫情常態化導致金融行業出現新的不確定性,新生問題頻發。云服務提供商作為承載業務的基礎平臺,在注重自身安全的同時也需要關注云上業務安全。當前,金融詐騙手法不斷更新,虛擬貨幣活動變得更加隱蔽,報告對此提出相關應對舉措。
自建或專屬云基礎設施
在網絡安全方面,云服務商可提供虛擬私有云、虛擬專用網絡、漏洞掃描服務、應用防火墻、DDos流量清洗等服務以滿足金融機構在網絡隔離、混合云部署、流量安全等要求;
在運營安全方面,云服務商需提供云監控服務、應用運維管理服務、云審計服務、態勢感知等服務以滿足金融機構在監控、運維、審計、威脅告警等方面要求;
在數據安全方面,云服務商需提供數據儲存加密、數據加密、云備份、對象儲存遷移、主機遷移等服務,以滿足金融機構在數據生命周期中的各項安全要求;
在容災備份方面,云服務商需提供存儲容災服務(SDRS),幫助金融機構在容災站點迅速恢復業務,縮短業務中斷時間。
軟硬件安全全棧提升
在辦公管理層面,金融機構逐需步從公文管理、郵件管理、事件管理方面著手準備,通過云應用解決升級適配難題,以保證后續在應用實現升級后平穩過度;
在一般業務系統層面,金融機構逐需逐步從渠道服務、數字化營銷、數字化業務、風控合規、內部運營與管理支持等方面著手建設;
在關鍵業務系統層面,金融機構需逐步構建芯片、網絡、存儲、服務器的硬件底座。同時,在IaaS層,將計算服務、存儲服務、網絡服務、安全服務、災備服務等方面逐步替換;在Paas層,逐步實現分布式數據庫、微服務框架、數據倉庫、AI等底層能力升級。
云網絡融合協同安全
金融機構需要通過云網絡融合協同,打通原先云、網各自獨立的安全架構,建立具備防御、檢測、響應、預測能力的一體化安全體系,維護金融等關鍵是領域的信息安全。同時,還需要進一步實現基于業務、權限、敏感等級、風險情況等對數據細粒度的動態防護,以及安全能力的靈活部署及按需服務等需求。
金融業的數字化建設已成為重要應用領域之一,金融機構應高度重視在網絡安全和云安全技術能力、合規及生態上的投入,積極探索安全新技術、新體系、新理念,持續聯合業內云服務廠商、安全廠商伙伴等攜手一道構建開放、協作、共贏的安全生態體系。
更多信息可以來這里獲取==>>電子技術應用-AET<<
