金融上云已成大势 云服务安全性面临挑战

首页 / 业界 / 报告 /  正文
作者:荏珺
来源:安全419
发布于:2022-12-08
近年来,我国金融行业信息化建设快速发展,为提升业务效率、实时分析数据信息、降低运营成本,“金融云”的概念应运而生。金融机构可以利用云计算技术和服务提升运算能力和价值,为客户提供更高水平的金融服务。但在如今复杂的网络安全环境中,金融云服务的安全需要得到重视,需要云服务提供者和使用者共同实现安全保障。
 
安全419关注到,近日,中国信息通信研究院泰尔终端实验室联合华为云计算技术有限公司共同发布《金融云安全体系建设与实践研究报告(2022年)》,详细阐述了金融云安全变化趋势,聚焦金融云安全发展现状提出了相应措施,并展望了金融云安全的未来发展。


报告指出,金融云的发展演进主要分为虚拟化/超融合阶段”即以提供IaaS层面服务为主、“数据中心云化阶段”即以提供如容器服务、数据库服务为代表的PaaS层面服务为主以及“多云统一管理阶段”即以提供软件为代表的SaaS层面服务为主。随着金融云的发展,针对金融信息系统的安全威胁持续升级,主要包含三个维度的安全挑战。

01关键信息基础设施攻击:金融行业特别是国有大行的部分系统作为关键信息基础设施,承载个人对公的账户和账户处理等功能,涉及民生保障和国家稳定。

02个人信息和数据泄露:金融行业保存了大量客户数据,近来国内外均发生多起数据泄露事件,不仅为金融厂商和客户带来最直接的经济损失,最终导致金融厂商的声誉、信誉的降低,丧失行业竞争力。

03软件供应链安全威胁:软件供应链攻击具有危害大、攻击隐蔽、难以发现等特点。金融行业的业务系统往往涉及很多上下游应用,也使用大量外购、免费和开源软件,存在供应链攻击风险。
 
针对以上攻击和威胁,报告从以下两个方面提出了解决办法。

1、宏观调控与政策发布

保障金融基础设施安全。自2021年以来中央及相关部门不断出台相关规划和政策,为金融基础建设和安全性保障指明方向。

重视个人金融信息保护。金融机构在选择云计算服务商时应预先了解云计算服务商机房和信息基础设施的设置地点,评估其保护个人金融信息的能力。此外,央行发布的《个人金融信息保护技术规范》也对金融机构在个人信息的收集、传输、储存、使用、删除、销毁等环节提出了防护要求。

提升金融软件供应链安全。近年来,我国行业监管单位和标准制定单位在多项法律法规及标准规范中,对供应链安全提出管控要求。

安全责任的划分需明确。目前,我国金融云安全的责任划分仍未形成共识,云计算将资源和数据的所有权、管理权和使用权分离,亟需建立金融云安全责任共担模型,明确划分双方责任。
 
2、金融厂商的安全实践

建设分布式金融云基础设施。金融生态云采用多种安全记机制和手段保障基础设施安全:一是采用租户隔离机制,保障租户数据的安全隔离。二是支持个性化定制,满足不同租户的差异化需求;三是全方位的云安全体系,从身份认证、访问控制、数据安全、安全检测和处置多方面实现安全加固。

建立云原生数控湖风控支撑。采用存算分离架构,将数据和环境变量解耦,根据运行环境自动关联所需的数据和环境变量。通过隔离敏感数据,在云网络层面判断访问的客户端IP、访问协议、访问端口是否有访问权限;对于高敏感度数据,采用子网络再次进行隔离,多方面多层级保障个人信息和数据安全。

监控公有云安全风险。在部署公有云过程中,根据安全策略、流程及操作指导,对产品和服务进行安全管理以确保安全性。此外,要建立一般环境以及云环境下的安全监测、处置能力,持续监控安全风险,及时发现并处置突发事件。
 
报告还提及,疫情常态化导致金融行业出现新的不确定性,新生问题频发。云服务提供商作为承载业务的基础平台,在注重自身安全的同时也需要关注云上业务安全。当前,金融诈骗手法不断更新,虚拟货币活动变得更加隐蔽,报告对此提出相关应对举措。

1、自建或专属云基础设施

在网络安全方面,云服务商可提供虚拟私有云、虚拟专用网络、漏洞扫描服务、应用防火墙、DDos流量清洗等服务以满足金融机构在网络隔离、混合云部署、流量安全等要求;

在运营安全方面,云服务商需提供云监控服务、应用运维管理服务、云审计服务、态势感知等服务以满足金融机构在监控、运维、审计、威胁告警等方面要求;

在数据安全方面,云服务商需提供数据储存加密、数据加密、云备份、对象储存迁移、主机迁移等服务,以满足金融机构在数据生命周期中的各项安全要求;

在容灾备份方面,云服务商需提供存储容灾服务(SDRS),帮助金融机构在容灾站点迅速恢复业务,缩短业务中断时间。
 
2、软硬件安全全栈提升

 在办公管理层面,金融机构逐需步从公文管理、邮件管理、事件管理方面着手准备,通过云应用解决升级适配难题,以保证后续在应用实现升级后平稳过度;

在一般业务系统层面,金融机构逐需逐步从渠道服务、数字化营销、数字化业务、风控合规、内部运营与管理支持等方面着手建设;

在关键业务系统层面,金融机构需逐步构建芯片、网络、存储、服务器的硬件底座。同时,在IaaS层,将计算服务、存储服务、网络服务、安全服务、灾备服务等方面逐步替换;在Paas层,逐步实现分布式数据库、微服务框架、数据仓库、AI等底层能力升级。
 
3、云网络融合协同安全

金融机构需要通过云网络融合协同,打通原先云、网各自独立的安全架构,建立具备防御、检测、响应、预测能力的一体化安全体系,维护金融等关键是领域的信息安全。同时,还需要进一步实现基于业务、权限、敏感等级、风险情况等对数据细粒度的动态防护,以及安全能力的灵活部署及按需服务等需求。
 
金融业的数字化建设已成为数字化建设的重要应用领域之一,金融机构应高度重视在网络安全和云安全技术能力、合规及生态上的投入,积极探索安全新技术、新体系、新理念,持续联合业内云服务厂商、安全厂商伙伴等携手一道构建开放、协作、共赢的安全生态体系。