金融云計算安全標準的解析

張旭剛 謝宗曉

1 金融云計算的發(fā)展

近幾年云計算產(chǎn)業(yè)快速發(fā)展，云計算逐步向以金融行業(yè)為代表的傳統(tǒng)行業(yè)加速滲透。同時隨著金融行業(yè)“數(shù)字化”轉(zhuǎn)型戰(zhàn)略的實施，對其業(yè)務的靈活多變和運維的敏捷開發(fā)提出了新的挑戰(zhàn)，傳統(tǒng)的集中式金融技術架構已無法滿足新的業(yè)務需求，金融機構迫切的需要通過新的技術滿足業(yè)務需求，而目前的云計算技術就是最佳選擇，它能更好地支撐上層業(yè)務的靈活多變，實現(xiàn)業(yè)務系統(tǒng)的高效敏捷開發(fā)以及自動化運維等需求，從而對“數(shù)字化金融”業(yè)務能更好地服務。

同時國家層面高度重視金融行業(yè)云計算的發(fā)展，國務院和人民銀行頒布了相關的指導意見和工作目標。具體見表1。

政策指導方面，積極推動金融行業(yè)探索互聯(lián)網(wǎng)金融云服務平臺的建設，加強金融行業(yè)云計算應用政策研究;標準推進方面，發(fā)布了金融行業(yè)云計算技術金融應用規(guī)范標準;發(fā)展規(guī)劃方面，統(tǒng)籌規(guī)劃云計算在金融領域的應用，搭建安全可控的金融行業(yè)云服務平臺。從政策指導、標準推進、發(fā)展規(guī)劃3個方面，國家和監(jiān)管單位為云計算在金融行業(yè)的推進和應用保駕護航。

2 金融云計算安全標準的介紹

《中國人民銀行關于發(fā)布實施金融行業(yè)標準規(guī)范云計算技術金融應用的通知》（銀發(fā)〔2018〕195號）提到了云計算的3個標準，分別是JR/T 0166—2018《云計算技術金融應用規(guī)范 技術架構》、JR/T? 0167—2018《云計算技術金融應用規(guī)范 安全技術要求》和JR/T? 0168—2018《云計算技術金融應用規(guī)范 容災》，也是目前金融行業(yè)云計算安全僅有的3個標準，以下對這3個標準進行介紹。

2.1 JR/T 0166—2018《云計算技術金融應用規(guī)范 技術架構》

JR/T 0166—2018是金融行業(yè)云計算三個標準中的基礎，主要介紹了云計算中常見的術語和定義，明確了云計算的服務模式、部署方式以及云服務使用者、云服務提供者和云服務合作者三者之間的關系，規(guī)定了云計算平臺的5種架構特性，最后詳細的介紹了架構體系的內(nèi)容。

金融云計算的服務模式與普通云計算一樣，也分為提供基礎設施的服務（IaaS）、提供平臺的服務（PaaS）和提供軟件的服務（SaaS）。部署方式方面，金融云根據(jù)自己業(yè)務的特殊性，主要以私有云（Private cloud）和團體云（Community cloud）1）為主。私有云是銀行集團內(nèi)部建設的面向本銀行分支機構的金融云服務;而團體云是其他銀行或云服務商建設的金融云服務。金融云計算參與方主要分為云服務使用者、云服務提供者和云服務合作者;而國家標準GB/T 35279—2017《信息安全技術 云計算安全參考架構》中將云計算的參與角色劃分成5類，分別是云服務商、云服務客戶、云審計者、云代理者和云基礎網(wǎng)絡運營者，但仔細分析會發(fā)現(xiàn)云審計者、云代理者和云基礎網(wǎng)絡運營者都屬于云服務合作者的范疇。架構特性方面，金融云計算與普通云計算沒什么區(qū)別，云計算平臺都需要具備。架構體系是該標準的核心內(nèi)容，其架構體系見圖1。

云計算平臺的架構體系與普通云計算的架構體系沒太大區(qū)別，筆者認為只是有的云計算平臺架構細化而已，大體都遵循“三層架構+縱向管理”，在圖1架構體系中，“三層架構”主要包括基礎硬件設施與設備層、資源抽象與控制層以及云服務層;“縱向管理”主要指運維運營管理，包括日常管理、資源監(jiān)控、運維管理、自助服務及服務管理等內(nèi)容。

2.2 JR/T 0168—2018《云計算技術金融應用規(guī)范 容災》

該標準介紹了金融行業(yè)云計算平臺的容災要求，共包括10章。第1～5章說明了范圍、規(guī)范性應用文件、術語和定義、縮略語和概述。第6章分別從風險與業(yè)務影響分析、容災能力級別劃分、關鍵指標和技術要求四方面介紹了云計算平臺如何進行容災能力分級。第7～8章明確了云計算平臺的預案與演練、組織管理。第9～10章從監(jiān)控和審計方面對云服務提供者和使用者提出了要求。其中第6章容災能力分級是所有的應急預案和管理措施的基礎，下面介紹容災能力分級。

金融行業(yè)云計算平臺容災能力分級根據(jù)上層業(yè)務系統(tǒng)發(fā)生故障的影響范圍和危害程度進行劃分，具體見表2。

標準中明確規(guī)定了應用于金融領域云計算平臺至少應達到容災能力3 級要求，那么怎樣才能達到3級呢？金融機構可從以下兩個方面考慮建設。

（1） 關鍵指標

關鍵指標主要包括恢復時間目標（RTO）、恢復點目標（RPO）和可用性。RTO和RPO需要不大于24小時，也就是說信息系統(tǒng)或業(yè)務功能從停止到恢復的時間必須在24小時內(nèi)，同時信息系統(tǒng)所能容忍的最大數(shù)據(jù)損失量是24小時?？捎眯砸竺磕攴怯媱澐罩袛鄷r間不超過4 天，系統(tǒng)可用性至少達到99%。

（2） 技術要求

技術要求主要包括數(shù)據(jù)備份、數(shù)據(jù)處理、網(wǎng)絡能力和運維能力。數(shù)據(jù)備份方面，關鍵數(shù)據(jù)文件應在同城或異地災備中心可用區(qū)至少存放一個數(shù)據(jù)副本，其次數(shù)據(jù)備份策略方面應每天進行一次完全數(shù)據(jù)備份且處于同城或異地災備中心;數(shù)據(jù)處理方面，需要具備備用數(shù)據(jù)處理系統(tǒng)，同時備用數(shù)據(jù)處理系統(tǒng)需要具備部分備用數(shù)據(jù)的處理能力;網(wǎng)絡能力方面，同城或異地災備中心可用區(qū)的關鍵網(wǎng)絡設備應處于就緒狀態(tài)，可在數(shù)小時內(nèi)達到與生產(chǎn)系統(tǒng)的網(wǎng)絡能力相同;運維能力方面，生產(chǎn)中心要與災備中心的設備進行統(tǒng)一管理，靈活切換，切換后災備中心的云計算平臺仍能實現(xiàn)對災備數(shù)據(jù)中心資源的統(tǒng)一管理調(diào)度。

2.3 JR/T 0167—2018《云計算技術金融應用規(guī)范 安全技術要求》

云計算技術金融應用規(guī)范的3個標準中，該標準是核心，它在《云計算技術金融應用規(guī)范? ? 技術架構》的基礎上規(guī)定了云計算的安全框架和安全技術要求分級，同時又規(guī)定了安全管理要求，是技術和管理融合的云計算安全標準。該標準共包括11章和二個附錄。第1～5章說明了范圍、規(guī)范性應用文件、術語和定義、縮略語和概述。第6～7章介紹了承載云計算平臺的基礎硬件安全和虛擬化資源安全。第8～9章明確了IaaS、PaaS、SaaS不同服務模式下的業(yè)務應用安全和數(shù)據(jù)安全。第10～11章從安全管理功能和安全技術管理要求方面對云計算平臺的功能安全和管理安全提出了要求。附錄A對云計算平臺的可選組件安全提出了要求，主要包括容器安全、中間件安全和數(shù)據(jù)庫安全。如果云服務提供者提供了可選組件供云服務使用者選擇使用，則所提供的組件應滿足該標準規(guī)范的要求。附錄B介紹了6種云計算的安全風險，包括安全責任風險、數(shù)據(jù)所有權風險、服務濫用風險、資源共享風險、服務集中的風險和不安全接口的風險。

以下分別對云計算安全技術要求分級、云計算的安全框架和云計算安全技術管理要求進行介紹。

（1） 云計算安全技術要求分級

為進一步增強標準的適用性和前瞻性，《云計算技術金融應用規(guī)范? ?安全技術要求》按照分級管理思路將云計算安全架構中每一塊內(nèi)容的具體條款根據(jù)其建設和實施的難易程度分為基本要求，擴展要求以及增強要求?；疽笫腔€，也就是安全中常說的“BASE LINE”，所有金融行業(yè)的云計算平臺都應滿足;擴展要求是提升，在基本要求的基礎上，對金融行業(yè)的團體云提出了進一步要求;增加要求是引領，在基本要求和擴展要求的基礎上，從云計算安全技術的發(fā)展趨勢提出的超前性安全要求。

下面以設備安全2）為例，對基本要求、擴展要求和增強要求進行解讀。

基本要求：

a） 應保證關鍵設備冗余部署，保證系統(tǒng)可用性;

b） 應對設備運行狀態(tài)、資源使用等進行監(jiān)控，能夠在發(fā)生異常情況時發(fā)出告警;

c） 應保證設備和存儲介質(zhì)在重用、報廢或更換時，能夠?qū)ζ涑休d的數(shù)據(jù)完全清除。

擴展要求：

對于團體云部署模式，應保證用于金融業(yè)的物理設備不與其他行業(yè)共享。

增強要求：

a） 應保證設備安全啟動，即啟動時的版本和預期一致，完整性沒有受到破壞;

b） 應對設備重要配置文件進行完整性保護。

基本要求提出了關鍵設備要冗余部署，所謂的關鍵設備是指如果設備宕機后影響到了正常的業(yè)務，都屬于關鍵設備;其次要對所有設備的運行狀態(tài)、資源使用進行監(jiān)控，并在設備發(fā)生異常時進行告警，可通過設備資源監(jiān)控軟件實現(xiàn);最后要求設備或介質(zhì)在重用、報廢或更換時，要對數(shù)據(jù)進行完全清除，可采取消磁、物理損壞等方式。

擴展要求提出了對于團體云，要保證金融行業(yè)的物理設備不與其他行業(yè)共享，也就是承載金融行業(yè)云計算平臺的基礎設施，如路由器、交換機、防火墻以及其他安全設備要只被金融行業(yè)的業(yè)務所使用。

增強要求提出了要保證設備安全啟動和對重要配置文件進行完整性保護。設備的安全啟動要求設備要有基準庫，如服務器系統(tǒng)版本、證書、散列函數(shù)值等，在設備啟動時采用基準庫比對或其他驗證機制對設備固件或系統(tǒng)軟件進行執(zhí)行驗證;重要配置文件進行完整性保護可采用MD5、SHA256以及SM3等哈希算法對重要配置文件進行加密。

由此可見，從基本要求到擴展要求再到增強要求，安全控制措施層層加深，尤其是增強要求目前云計算服務提供方大多都不能滿足。

（2） 云計算安全框架

云計算安全框架由四部分組成，處于底層的硬件資源安全，位于中間的虛擬化資源安全，置于頂層的數(shù)據(jù)安全、應用安全和可選組件安全3）等，以及貫穿于整個過程的管理功能安全，其中硬件資源安全是基礎，虛擬化資源安全是核心，數(shù)據(jù)安全、應用安全、可選組件安全等是關鍵，管理功能安全則是輔助其他過程安全的有效支撐。云服務提供者和使用者根據(jù)不同服務類別（IaaS、PaaS、SaaS）所承擔的安全責任有所區(qū)別，但是作為給客戶提供最終服務的金融機構，自身的安全責任不會因為使用云服務而減輕或免責。云計算安全框架如圖2所示。

在IaaS模式中，IaaS服務提供者控制了底層的物理和虛擬資源;客戶控制了訪問和使用IaaS服務的用戶憑據(jù)（如：用戶證書、賬號口令等）、工具（如：Web瀏覽器、客戶端軟件等）或系統(tǒng)（如：運行客戶業(yè)務處理、中間件、應用系統(tǒng)和數(shù)據(jù)等），客戶同時控制了使用物理和虛擬資源的操作系統(tǒng)、存儲，以及部署的應用。

在PaaS模式中，PaaS服務提供者控制了底層的物理、虛擬資源和PaaS服務的軟件平臺;客戶控制了訪問和使用PaaS服務的用戶憑據(jù)、工具或系統(tǒng)，客戶同時控制了部署在PaaS軟件平臺的應用和數(shù)據(jù)。

在SaaS模式中，SaaS服務提供者控制了底層的物理、虛擬資源和SaaS服務的軟件平臺及應用;客戶控制了使用SaaS應用服務的用戶憑據(jù)、工具、系統(tǒng)及數(shù)據(jù)。

（3） 云計算安全技術管理要求

云計算安全技術管理要求主要包括安全策略和管理制度、安全管理機構和人員、安全建設管理和安全運維管理，其中安全策略和管理制度包括管理制度、制定和發(fā)布、評審和修訂;安全管理機構和人員包括崗位設置、人員配備、授權和審批、審核和檢查;安全建設管理包括安全方案設計、測試驗收、供應鏈管理、安全資源管理和服務關閉;安全運維管理包括風險管理、變更管理、監(jiān)控管理、業(yè)務連續(xù)性管理、應急管理和審計管理。

云計算安全技術管理要求覆蓋了管理制度、組織架構、系統(tǒng)建設和系統(tǒng)運維，比較全面，為云計算安全的管理提供了有力的支撐和保障。

此外，金融行業(yè)云計算安全相關標準《金融行業(yè)網(wǎng)絡安全等級保護實施指引》的研制工作也正在進行中，該標準對金融行業(yè)在云計算、物聯(lián)網(wǎng)、移動互聯(lián)和大數(shù)據(jù)方面提出了更高的要求。

3 小結(jié)

隨著云計算技術的發(fā)展和在金融行業(yè)的深入應用，越來越多的金融機構逐步將自己的業(yè)務系統(tǒng)部署到云平臺，金融機構在上云之前應全面審視自己的業(yè)務系統(tǒng)，參照國家政策要求以及國家和行業(yè)的云計算標準，規(guī)范服務商準入、風險評估、業(yè)務連續(xù)性管理等標準，明確云平臺和用戶之間的責任分擔，制定數(shù)據(jù)隔離和保護機制等云計算安全框架，認真評估其IT資產(chǎn)，仔細設計業(yè)務系統(tǒng)上云路線圖，將適合云部署且準備充分的業(yè)務系統(tǒng)放在首位，以使上云帶來收益最大化、成本最小化。

（注：本文僅做學術探討，與作者所在單位觀點無關）