金融云安全体系建设与实践研究报告（2022年）

金融云安全体系建设与实践研究报告 (2022年) 中国信息通信研究院泰尔终端实验室华为云计算技术有限公司 2022年11月 版权声明 本报告版权属于中国信息通信研究院和华为云计算技术有限公司，并受法律保护。转载、摘编或利用其它方式使用本报告文字或者观点的，应注明“来源：中国信息通信研究院和华为云计算技术有限公司”。违反上述声明者，编者将追究其相关法律责任。 前言 随着金融科技的发展，云服务市场的产品不断更新迭代，公有云、私有云、混合云等多种云服务架构逐渐进入金融厂商的选择视野，越来越多的金融厂商逐渐将业务系统迁移上云，实现更便捷的系统管理和升级迭代。与传统IT技术相比，云计算架构具有迭代创新方面的独有优势，有力推动了产业金融、供应链金融、数字货币、智能投研等创新应用的发展。 金融上云已成行业大势，安全是对金融云的基础要求。金融云作为金融科技重要的基础设施之一，其支撑的金融业务多关系到国计民生，所以金融云安全是整个信息领域的安全高地。近期，央行发布的 《金融科技发展规划（2022-2025年）》重点围绕数字化转型建设，再次强调了金融上云、数据基础建设以及数据安全的重要性。 本研究报告通过回溯金融云安全体系的历史变迁，详细阐述了金融云安全变化趋势、金融安全事件类型、国内宏观调控政策、头部金融厂商的安全实践等；通过聚焦金融云安全发展现状，详细阐述了宏观环境、金融安全新生问题的挑战，金融厂商应对措施；通过展望金融云安全未来发展，详细阐述了新科技与安全伦理、新监管与业务发展的相互作用；最后，面对金融云安全的不断发展变化，提出了产业界应主动预判、拥抱、谋求变化的倡议。本研究报告主要面向以下几类读者： 金融企业相关人员：金融企业或组织内信息安全相关的决策人员、方案规划和实施人员、安全管理人员、技术培训人员。帮助其更加深 入全面地了解在企业或组织的数字化转型过程中正在和将要面对的金融云安全威胁、风险和合规性要求以及行业内场景化治理实践，从而更积极主动地筹划和开展系统化的金融云安全评估，确保企业或组织能够有效应对新形势下的安全挑战。 金融云服务提供商相关人员：金融云安全行业的方案及产品策划人员、安全咨询服务人员及项目实施人员。通过研究报告中对安全体系框架、技术应用与实践案例等内容的介绍，使其更好的为产品开展方案编制、为实施服务工作提供启迪参考。 金融云安全领域其他相关读者：此外，本研究报告也适用于关注金融云安全领域的政府机构、研究机构、媒体等。 一、回溯过去——变迁1 (一)金融云安全体系的历史沿袭1 (二)金融安全事件频发7 (三)宏观调控与政策发布9 (四)金融厂商的安全实践15 (五)总结18 二、聚焦现在——变化19 (一)宏观环境的挑战19 (二)安全态势的挑战25 (三)新生问题的挑战28 (四)金融厂商应对举措29 三、展望未来——变局33 (一)新科技与安全伦理相互交织33 (二)新监管与业务发展互相适应35 四、总结——不变的是变化35 (一)主动创新预判变化35 (二)全栈自主拥抱变化36 (三)开放共赢谋求变化36 图1金融云的发展演进路径2 图2金融云风险特征发展趋势3 图32020年金融云行业安全标准架构7 图4金融公有云安全责任共担模型参考14 图5分布式金融云基础设施16 图6云原生数据湖风控支撑17 图7基于公有云的行情资讯业务建设18 图8金融机构多措并举发展新业态21 图9全新形势下的安全要求22 图10金融云领域新型数字业务25 图11现有安全体系面临的痛点问题27 图12自建或专属云基础设施30 图13软硬件全栈能力提升31 表目录 表1金融云通用安全规范与合规3 表2金融云行业安全体系5 表32020年金融云行业安全标准要点变化7 表4推动金融基础设施安全相关政策10 表5个人金融信息保护相关法规和标准11 表6提升金融供应链安全相关政策和标准12 一、回溯过去——变迁 近年来，我国金融行业信息化建设快速发展，助力金融机构不断提升业务效率、降低运营成本，已成为数字化建设的重要应用领域之一。金融信息系统需要实时处理、分析海量的信息数据，云计算因具备强大数据运算与同步调度能力，在提供弹性的信息基础资源方面具备天然优势，“金融云”的概念应运而生。 金融云是指面向银行、券商、保险等金融机构的业务需求，集互联网、行业解决方案、弹性IT资源为一体的云计算服务。具体而言，是指金融机构通过利用云计算技术与服务，提升运算能力、重组数据价值，为客户提供更高水平的金融服务。本章节对金融云安全体系分别从技术发展演进、国内外通用云安全合规、国内金融行业云安全要求三个角度进行了梳理和阐述，并介绍了当前金融安全事件类型、国内宏观调控政策、头部金融厂商的安全实践等。 (一)金融云安全体系的历史沿袭 1.金融云安全趋势 从金融云的发展演进路径来看可以分为三个主要阶段。 虚拟化/超融合阶段：该阶段金融云通过虚拟化/超融合架构实现承载部分金融业务系统，主要用于提高资源利用率，并实现统一管理和动态维护。在此阶段，金融云作为IT支撑中心以提供IaaS层面服务为主，有效帮助金融厂商降低运行和维护成本。 数据中心云化阶段：该阶段金融云提供了对金融业务应用完整生命周期的支撑，逐步实现了完整的数据中心云化，并将中间件能力深 入融合云平台，保证业务的高可靠和智能化。在此阶段，金融云作为IT服务中心以提供如容器服务、数据库服务为代表的PaaS层面服务为主，有效提升了金融业务的运转效率。 多云统一管理阶段：该阶段金融云通过混合云或多云架构的统一管理，直接面向金融客户提供业务支撑。在此阶段，金融云作为IT创新中心以提供软件为代表的SaaS层面服务为主，向金融业务提供轻量化、服务化的创新驱动。 来源：中国信息通信研究院整理 图1金融云的发展演进路径 随着金融云的发展演进，金融云安全风险也随之发生变化。传统金融信息系统环境中更多的是已部署的应用层数据存在风险，随着金融业务云化的不断深入，虚拟化层面的漏洞攻击、海量数据安全风险、云服务权责分离、多云安全、云原生安全等都成为新形势下金融云安全的重点关注点。金融云安全风险的变化也促进了金融云安全技术的不断发展，金融云安全技术发展路径包括安全能力的虚拟化、云化、 云原生等，衍生了如多云管理平台、云上安全开发平台、多云安全管理、云原生安全等安全产品和防护能力。 来源：中国信息通信研究院整理 图2金融云风险特征发展趋势 2.金融云通用安全合规 在2018年金融云行业标准发布之前，金融云主要需符合通用的国际、国内云安全规范要求。其中，国内的云安全审查、网络安全等保2.0体系目前仍然是金融云必须满足的合规要求。 表1金融云通用安全规范与合规 时间 发布部门 发布文件 安全要求 提供了通用的信息技术产品和系统 1999年 国际标准化组织ISO 《ISO15408信息技术安全技术-IT安全评估准则》 安全功能要求和安全保证要求，并在保证要求的基础上提供衡量IT安全性的尺度（即评估保证级EAL），使得独立的安全评估结果可以互相比较。 2014年 原国家质 《GB/T31167-2014 规定了云服务商征信、经营基本情 量监督检验检疫总局、国家标准化管理委员会 信息安全技术云计算服务安全指南》、《GB/T31168-2014信息安全技术云计算服务安全能力要求》 况、平台稳定性、技术供应链安全、安全管理能力、云平台的整体防护能力等。金融云作为关键信息基础设施需依据该要求通过云安全审查。 2014年 国际标准化组织ISO 《ISO27018:2014信息技术—安全技术—在充当PII处理器的公共云中保护个人身份信息(PII)的行为准则》 该准则规定了公有云服务中个人数据保护的安全要求。 2017年 国际标准化组织ISO 《ISO29151:2017个人可识别信息保护管理体系》 该体系为国际通用的个人身份信息保护实践指南，聚焦于个人数据处理的全生命周期的管理措施。 2017年 英国标准协会BSI 《BS10012:2017个人信息安全管理体系》 BS10012是BSI发布的个人信息数据管理体系标准，规定了个人数据保护的体系要求。 2017年 支付卡行业安全标准委员会（PCISSC） PCI3DS安全核心标准 PCI3DS标准旨在保护执行特定3DS功能或者存储3DS数据的环境和实施安全，具体对3D协议执行环境的过程、流程、人员管理等方面进行了规定。 2017年 原国家质量监督检验检疫总局、国家标准化管理委员会 《GB/T35279-2017信息安全技术云计算安全参考架构》 规定了云服务中的角色安全职责、安全功能组件以及它们之间的关系。这个架构适用于指导所有云计算参与者在进行云计算系统规划时对安全的评估与设计。 2019年 国际标准化组织ISO 《ISO27701:2019隐私管理体系标 规定了建立、实施、维护和持续改进隐私、个人数据保护相关所特定 准》 的管理体系的要求。《定级指南》明确了云环境下的定 2019、2020年 原国家质量监督检验检疫总局、国家标准化管理委员会 “网络安全等级保护”2.0核心标准 级对象，即云计算平台及云上的业务应用系统；《基本要求》明确了云计算环境的安全要求；《安全设计技术要求》明确了云计算的设计与建设问题；《测评要求》明确了第三方机构对云计算的安全测评要求。 来源：中国信息通信研究院整理 3.金融云行业安全要求 在遵循云服务通用规范的同时，金融云还需要符合金融行业专属的安全技术标准。2020年10月16日，中国人民银行正式发布三项金融行业标准，从基本能力、网络安全、数据保护、运行环境安全、业务连续性保障等方面提出了有针对性的技术要求，确保金融云在安全性、稳定性、适配性等满足监管要求和行业需要，防范因云服务缺陷引发的风险向金融领域传导。 表2金融云行业安全体系 时间 发布部门 发布文件 安全要求 基于云计算技术特征，结合金融业云计算平台的主要实现方式，将云 2018、2020年 中国人民银行 《JR/T0166云计算技术金融应用规范技术架构》 计算技术架构自下而上划分为基础硬件资源层、资源抽象控制层、云服务层，以及贯穿各层的运维运营管理层，并分别提出相关技术要求。 2018、 中国人民 《JR/T0167云计 围绕云计算金融应用潜在风险，在 2020年 银行 算技术金融应用规范安全技术要 兼容国家和金融行业现有信息系统安全要求基础上，从基本要求、扩 求》 展要求和增强要求三个类别分类施策，提出基础硬件安全、资源抽象与控制安全、应用安全、数据安全、安全管理、服务能力和可选组件安全等方面安全技术要求。规定了云计算各参与方在衡量云计算平台容灾能力、开展云计算平台 2018、2020年 中国人民银行 《JR/T0168云计算技术金融应用规范容灾》 灾难恢复工作时应遵循的技术要求。按照系统故障的影响范围、危害程度等将容灾能力划分为六个等级，并分别从关键指标、数据备份、数据处理、网络能力、运维能力等方面提出相应技术要求。 来源：中国信息通信研究院整理 金融云安全框架由基础硬件安全、资源抽象与控制安全、应用安全、数据安全、安全管理功能以及可选组件安全组成。云服务提供者和使用者共同实现安全保障。金融机构是金融服务的最终提供者，其承担的安全责任不应因使用云服务而免除或减轻。 来源：中国信息通信研究院整理 图32020年金融云行业安全标准架构 与2018年的行业标准版本相比，2020年发布的金融云安全标准重点对金融云服务提供商在数据安全、安全管理、服务能力等方面提高了要求，并增加了金融云服务使用者对金融云方案兼顾效率和安全的综合考量要求。 表32020年金融云行业安全标准要点变化 序号 安全维度 变化要点 1 基础硬件安全 增加了云计算平台部署的机房安全要求 2 资源抽象与控制安全 增加了云服务提供者每年安全审计的要求 3 应用安全 增加了云服务使用者对于金融云方案的安全考量要求 4 数据安全 增加了云服务提