金融行业云原生安全体系研究报告 北京金融科技产业联盟 2024年4月 版权声明 本报告版权属于北京金融科技产业联盟,并受法律保护。转载、编摘或利用其他方式使用本白皮书文字或观点的,应注明来源。违反上述声明者,将被追究相关法律责任。 编委会成员: 编制委员会 聂丽琴赵海陈芳苏建明严羽楠张升秦玮董金程李晓敦杨杰潘华万化 编写组成员: 府淼淼王文柏袁思思苏涵金睿姜城范鑫禹旷亚和朱鑫栋邢文静周杰李钢陈德锋吴猛 成涛 宋宁丁涛 陆绍益 赵汉杰 严伟 罗逸枫 黄建德 李梓铭袁晟 黄金坤 陈靖远 郭思麟 浦明 张小勇 钱岩张威 廖军 张京东 金哲磊 张龙 鲁帅 程度胡俊 李漫 何正民 朱超 李鹏 石伟 郑三军路俊杰 李根 刘静远 张政 白黎明 熊永灿 张婉莹左伟震 张晓居 杨冬富 纪兆钢 刘英杰 王广驰 张剑强杨增宇 常青 刘奇志 张宪铎 宋子虎 曾志强 何琰吴国友 王宏刚 张汝成 郭洋 刘逸伦 刘丹 李高峰王子健 何鑫 于雪松 赵月 姜英伟 李雁南 王兆阳高浩浩 赵佳祥 刘海洁 郑驰 王道谊 赵宇轩 黄莉群牟晨 史巍威 詹汉培 王明亮 贾腾飞 编审:黄本涛 刘昌娟 统稿:王文柏 施森佳王晓云 参编单位: 牵头单位:北京金融科技产业联盟秘书处、中国银联股份有限公司 联合牵头单位:中国工商银行股份有限公司、中国农业银行股份有限公司、中国建设银行股份有限公司、中国邮政储蓄银行 股份有限公司、上海浦东发展银行股份有限公司、建信金融科技有限责任公司、北京长亭科技有限公司、绿盟科技集团股份有限公司、阿里云计算有限公司、亚信科技(成都)有限公司、北京升鑫网络科技有限公司(青藤云安全)、奇安信网神信息技术(北京)股份有限公司、北京小佑网络科技有限公司 参与单位:中国民生银行股份有限公司、中国光大银行股份 有限公司、平安银行股份有限公司、北京银行股份有限公司、中央国债登记结算有限责任公司、中债金科信息技术有限公司、中国信息通信科技集团有限公司、北京数字认证股份有限公司、深信服科技股份有限公司、杭州安恒信息技术股份有限公司 目录 一、概述1 (一)背景1 (二)定义12 (三)安全架构13 (四)研究意义36 二、云原生安全体系38 (一)云原生安全体系概述38 (二)云原生研发运维安全44 (三)云原生应用与数据安全73 (四)云原生计算环境与基础设施安全116 (五)云原生安全管理140 (六)关键技术方案创新141 三、应用案例169 (一)云原生研发运维安全169 (二)云原生应用与数据安全183 (三)云原生计算环境与基础设施安全194 (四)云原生安全管理201 四、总结和展望209 (一)金融行业云原生安全研究总结209 (二)云原生安全技术路线展望210 五、附表213 六、参考文献290 一、概述 (一)背景 1.政策发展背景 1)国外政策 《网络安全框架》(CybersecurityFramework,简称CSF)是美国国家标准与技术研究院(NationalInstituteofStandardsandTechnology,简称NIST)发布的一项具有重大影响力的网络安全标准,该框架于2014年首次发布、2018年进行了首次修订,2023年8月发布了CSF2.0的草案版本。该框架的核心目标在于协助各类组织提升其网络安全防护、检测、响应和恢复能力,以有效应对不断演化的网络安全威胁。该框架提供了一套全面且系统的网络安全管理方法,包括安全控制措施、安全培训、安全漏洞修补流程等,以及安全技术与管理方面的指南,如基础设施安全建设、安全策略制定等。该框架对于企业构建云安全管理体系具有重要的参考价值,可以帮助企业更好地管理云服务安全并确保数据和系统的安全性。此外,该框架还推动了一系列相关的网络安全标准的发展,如ISO27001、COBIT等,同时也促进了各类解决方案的发展,如安全审计、安全管理等,这些标准和解决方案不仅有助于提高企业的网络安全水平,更进一步推动了整个行业的网络安全发展。 《通用数据保护条例》(GeneralDataProtection Regulation,简称GDPR)是欧洲的一项重要法规,旨在全方位地保护公民的个人信息。该条例要求数据控制者和处理者必须确保个人信息的保密性、完整性和可操作性,任何组织机构不得以任 何理由未经授权地泄露、修改或删除个人信息。为了应对这个条例,云服务提供商和使用者必须加强云环境下个人信息的安全保护和合规管理。这个条例不仅为云服务提供商设定了新的标准,也为云服务使用者提供了保障,确保他们的数据在云端的安全性。因此,《通用数据保护条例》在推动云服务提供商和使用者采取必要措施,加强云环境下个人信息的安全保护和合规管理方面,起着至关重要的作用。 云安全联盟(CloudSecurityAlliance,简称CSA),这一组织持续进行云安全的研究与培训工作,并发布云安全知识体系认证(CertificationofCloudSecurityKnowledge,简称CCSK),这对推动云安全的可测量性与人才培养有积极作用,有利于产业的健康发展。该联盟的贡献不仅在于理论层面,更涉及实际应用的探索与实施。云安全联盟CSA通过发布CCSK认证,为云服务提供商和用户提供了一个衡量云服务安全性的标准,为云服务提供商之间的互操作奠定了基础。此外,该联盟还致力于增强云服务用户的安全意识,通过培训计划和宣传材料等方式,帮助用户更好地理解和使用云服务。这些举措有助于提升整个云安全领域的水平,进一步促进产业的健康发展。总之,云安全联盟CSA在推动云安全领域的发展中扮演着重要的角色,其研究成果和举措为云服务提供商提供了参考和指导,也为云安全用户提供了更安全、更可靠的云服务体验。 《健康保险流通与责任法案》(HealthInsurance PortabilityandAccountabilityAct,简称HIPAA法案)和 《卫生信息技术促进经济和临床健康法案》(Health InformationTechnologyforEconomicandClinicalHealthAct,简称HITECH法案)是两个对美国医疗健康领域具有重要影响的法案。这两个法案对医疗数据保护和电子健康记录管理提出了严格的要求。HIPAA法案旨在提高医疗保险的可携带性和加强医疗信息的保密性。该法案要求医疗保险公司、医院和医生等医疗信息处理机构保护患者的隐私,违规者将面临严厉的处罚。HIPAA法案中的隐私规则要求医疗保健提供者、保险公司和相关机构遵守严格的数据保护标准,以防止患者信息的未经授权地访问和使用。HITECH法案旨在促进电子健康记录的普及和使用。该法案要求医疗机构实施安全的电子健康记录系统,以确保数据的机密性和完整性。HITECH法案还规定了违反隐私规则的医疗机构将面临的严厉处罚,这进一步强调了医疗数据保护的重要性。金融行业在处理个人健康信息方面扮演着重要角色,这些法案的数据保护要求同样适用于金融行业。 《支付卡行业数据安全标准》(PaymentCardIndustryData SecurityStandard,简称PCI-DSS)是由支付卡行业数据安全标准委员会(PCISSC)发布的一套全球性的数据安全标准。该标准旨在确保信用卡信息的保密性、完整性和可用性,以防止数据泄露和欺诈行为。PCI-DSS对数据传输安全、身份认证机制、数据加密技术、脆弱性管理和安全补丁、物理和环境安全。PCI-DSS为金融行业提供了一套严格的数据安全标准,有助于保障金融业务中的支付安全和客户隐私,确保云原生环境在处理信用卡信息时符合相关的安全规范,可以帮助金融机构满足相关的监管要求,减少潜在的数据泄露风险。 2)国内政策 《中华人民共和国网络安全法》是一项非常重要的法律,明确规定了网络运营者所应承担的安全保护义务。该法律要求网络运营者,特别是那些运营关键信息基础设施的网络,必须在技术和管理上采取必要的安全保护措施。这些措施旨在保护网络系统的安全,防止网络攻击、数据泄露等安全事件的发生。这一法律的实施,进一步推动了云服务提供商加大在网络安全方面的投入和合规力度。这些云服务提供商必须采取相应的安全措施,以确保其客户的数据和信息安全得到充分保障。同时,这些提供商也需要遵守相关法律法规,以确保其业务运营的合规性。法律对于推动云服务行业的发展和规范具有重要意义。 《国家网络空间安全战略》为我国的网络空间安全发展指明了方向。该战略明确提出了要加快推进网络空间治理体系和规则建设的核心目标,以完善网络安全标准体系为基础,全面提升我国在网络空间安全方面的综合实力。其中,推动关键信息基础设施安全保护是战略中的一项重要任务,以保障这些设施在网络空间中能够安全、稳定地运行,有效防范各类网络安全事件的发生。这一战略的提出,为云原生安全发展提供了重要的指导思想和行动纲领。云原生安全是一种以云为基础、以应用为核心的安全理念,强调在应用开发、部署和运行过程中,采用自动化、智能化、敏捷化的安全技术手段和管理方法,保障云环境中的数据安全和应用安全。在战略的指引下,云服务提供商需要加大在安全方面的投入力度,积极采用先进的安全技术和管理手段,确保云环境的安全和合规。同时,战略还要求网络运营者采取技术上和管理 上必要的安全保护措施,这进一步推动了云服务提供商加大安全投入和加大合规力度,为云原生安全发展注入了强大的动力。 《中华人民共和国个人信息保护法》是一项具有重大影响的法律,该法律对采用云服务处理个人信息的企业与组织提出了严格的安全保护规定。该法的实施,有效地推动了云环境下的个人信息生命周期的标准化管理和安全控制,为个人信息的安全与隐私保护提供了坚实的法律基础。该法规定,企业与组织在进行个人信息处理活动时,必须严格遵守相关法律法规,确保个人信息的安全性和隐私性。对于采用云服务进行个人信息处理的业务,法律特别强调了保障安全性和隐私的重要性。因此,针对个人信息云安全问题,已研发并应用了多种解决方案,以满足法律对安全性与隐私保护的要求。这些解决方案不仅涵盖了技术层面的措施,如数据加密和安全存储等,还包括管理层的措施,如构建完善的信息安全管理制度和应急响应机制等。这些措施的实施,能够有效地保护个人信息的安全和隐私,防止信息泄露、篡改或损坏。此外,该法还鼓励企业与组织采用标准化的管理方式来保护个人信息,这意味着在信息的收集、存储、处理和利用等各个环节上,企业与组织均需制定明确的标准和规范,以确保个人信息得到合法、公正、合理的保护。同时,该法的实施,不仅对采用云服务处理个人信息的企业与组织提出了安全保护要求,还有效地推动了云环境下的个人信息生命周期的标准化管理与安全控制;这不仅强化了个人信息保护工作的实施,也为个人信息的安全和隐私保护提供了坚实的法律保障。 《网络安全等级保护制度》要求对不同安全等级的信息系统 采取相应的安全防护措施,这一制度为云安全管理体系标准的制定提供了重要的基础,同时也促进了云原生环境安全管控规范的形成。该制度的核心思想是将不同的信息系统划分为不同的安全等级,包括一级、二级、三级、四级等,并针对每个等级采取相应的安全防护措施,包括物理安全、网络安全、主机安全、应用安全、数据安全等多个方面,这些措施必须严格遵守国家和行业标准,以确保信息系统的安全可靠。 在云原生环境中,制定相应的安全管控规范同样至关重要。云原生环境是一种高度动态、高度自动化的IT环境,与传统IT环境相比,具有更高的灵活性和可扩展性,但也因此带来了更多的安全风险。通过《网络安全等级保护制度》的实施,更好地制定云原生环境的安全管控规范。这些规范将覆盖基础设施、平台组件、应用等多个层面,包括安全设计、安全配置、安全漏洞修复等多个方面。这些规范的制定将有助于确保云原生环境的整体安全性,保护用户的数据和隐私不受侵犯。 2.金融行业发展背景 1)金融行业数字化转型势在必行 客户体验需求正日益提升,驱动金融机构加快其数字化转型的步伐,促进数字化生活更加便捷、高效,以更好地满足客户的需求