金融业云安全的挑战与战略

背景

近来越来越多的银行、保险、证券等金融机构，开始规划部署数据中心和客户端上云，以达到提高系统运算能力，数据处理能力，改善客户评价，降低运营成本的目的。

云环境下的安全挑战

从法规遵从和企业、个人敏感信息防护的角度，相比私有云环境和传统企业IT环境，云环境中的数据面临着前所未有的，来自开放环境和云运维服务环境的安全挑战，主要涉及以下四个方面：

①  形态的变化

②  存储方式变化

③  第三方运维人员介入

④  部署难题

① 形态的变化：从物理形态转变为纯虚拟化形态，数据的防护、审计、加密等安全措施的使用和管理难度明显增加。

② 存储方式变化：数据集中存储引起管理方式的变化，如何有效隔离、区分不同银行业务数据是保证业务正常运转的关键问题。

③ 第三方运维人员介入：公有云租用中，云服务商对数据底层进行运维的同时，也能够轻易的获取到用户的敏感数据，这成为金融机构亲手埋下的不定时炸弹。

④ 部署难题：传统防护和审计设备的串接部署方式无法在云环境下操作，如何实现过滤内部攻击、发现外部安全风险，并保障加密技术所使用的密钥体系安全可靠，分级管理制度合理可信。

云环境下的发展策略

为提升全行业金融服务能力和普惠水平，支持新兴互联网金融业态的创新以及传统金融机构的转型，针对金融云发展面临的主要问题，本文提出如下云发展策略：

①  加大政策指导并实施合理监管

②  尽快构建金融云标准体系

③  构建金融云安全体系

④  培育金融云生态圈

⑤  多种方式促进金融云发展

① 加大政策指导并实施合理监管：目前国家层面已发布了《国务院关于促进云计算创新发展培育信息产业新业态的意见》，就云计算发展应用给出了指导意见。后续应根据实际需要，针对金融云发展出台更有针对性的政策措施。另外，金融监管部门要及时提出开展云业务的监管措施，针对金融业务高安全、高可信等特点，明确准入要求、退出机制，实现事前、事中、事后的报备等。

② 尽快构建金融云标准体系：目前金融云标准体系还不健全，技术、管理、服务、应用等方面缺乏规范依据，不同金融云服务商的发展模式、技术、管理规范等不一致，金融云仍处于无序发展的状态。构建金融云标准体系要区分通用类标准和具有金融行业特色的标准，采取不同的编制策略。对于通用类云标准，直接引用已有的相关产业标准，如基础、设备、网络、软件等通用标准;重点编制具有行业特点的金融云标准，如金融云安全、服务、应用标准等。

③ 构建金融云安全体系：金融云安全体系包括构建覆盖Iass、Pass、Sass不同层次的金融云安全防护框架，建立满足用户安全目标的金融云安全服务体系，形成客观、公正的金融云安全评估体系，最终构建“金融云系统安全架构”、“金融云用户安全目标”、金融云安全评估体系”三位一体的金融云安全体系。

④ 培育金融云生态圈：通过深化我国信息产业的发展，实现在信息技术关键领域的突破，培育信息科技龙头企业，提供满足金融云发展所需的软、硬件产品和服务，培育金融云产品供应商。加大政策扶持力度，培育一批有影响力、规范、可信的金融云服务提供商。依托市场机制，加强政府引导，培育金融云检测/认证机构，逐步建立金融云评估体系，向市场和用户推荐可信金融云服务商。鼓励更多金融机构使用金融云服务开展业务，拓展金融云服务市场。最终形成健康、有序的金融云生态圈。

⑤ 多种方式促进金融云发展：加大产、学、研、用联合，建立金融云发展联盟，实现协同发展。培育金融云服务龙头企业，发挥龙头企业对产业发展的带动辐射作用。国家给予金融云财税、专项支持，扶持金融云快速发展。

结束语

  金融业云安全工作具有艰巨、复杂、长期的特性，它是一个任重而道远的建设工作，需要积极防御和综合防范来加深云安全工作确保金融业的稳定发展，也确保国家经济和社会安全的稳定发展。

	请点击屏幕右上方“…” 关注绿盟科技公众号 NSFOCUS-weixin

↑↑↑长按二维码，下载绿盟云APP