賈海云 謝宗曉

信息安全管理系列之三十八

信息安全等級保護(hù)已經(jīng)進(jìn)入2.0時代，尤其是隨著計算平臺轉(zhuǎn)移至云。越來越多的中小金融機構(gòu)將其系統(tǒng)部署在云端，這導(dǎo)致信息安全等級保護(hù)的測評模式也隨之發(fā)生了變化，下文以大都商業(yè)銀行為案例，討論了基于云的金融信息系統(tǒng)等級保護(hù)安全測評的架構(gòu)變化以及常見問題。

謝宗曉（特約編輯）

摘要：以大都商業(yè)銀行為案例，探討了云計算時代金融信息系統(tǒng)架構(gòu)的改變，分析了由于技術(shù)要求和管理要求的各個方面部署重點轉(zhuǎn)移所導(dǎo)致的測評工作的變化，并在此基礎(chǔ)上討論了測評過程中發(fā)現(xiàn)的諸多常見問題。

關(guān)鍵詞： 金融信息安全 信息安全等級保護(hù) 云計算安全

Evaluation of Financial Information System Classified Protection Security Based on Cloud Computing

Jia Haiyun （Inner Mongolia Autonomous Region Public Security Department ）

Xie Zongxiao （ China Financial Certification Authority ）

Abstract： This paper discusses the changes of the financial information system architecture in the cloud computing era， and analyzes the changes of the evaluation issues caused by the key transfer of the technical requirements and management requirements， and discusses the common problems found in the evaluation process.

Key words： financial information security， information security classified protection， cloud computing security

1 引言

金融業(yè)是信息化程度最高的領(lǐng)域之一，因此信息安全在其中的重要性不言而喻。《關(guān)于加強國家級重要信息系統(tǒng)保障工作有關(guān)事項的通知》所劃定的47個重點行業(yè)中，將銀行、證券和保險都列入其中[1]，諸多金融信息系統(tǒng)也被列為國家級重要信息系統(tǒng)，是信息安全等級保護(hù)制度關(guān)注的重點。

隨著金融科技（Fintech）時代的到來，整個金融行業(yè)進(jìn)入到業(yè)務(wù)快速變化的時期，基于傳統(tǒng)穩(wěn)定業(yè)務(wù)架構(gòu)而建立起來的IT系統(tǒng)，很難適應(yīng)這種新形勢。云部署方案可以使金融機構(gòu)迅速以低成本的方式搭建相對可靠的信息系統(tǒng)，目前已經(jīng)成為中小金融企業(yè)的首選，也是以后的大勢所趨。例如，上海地區(qū)SaaS企業(yè)用戶行業(yè)榜單中，僅銀行業(yè)就占據(jù)了18.4%。與此同時，安全在其中的挑戰(zhàn)也與日俱增，上述企業(yè)用戶在導(dǎo)入SaaS服務(wù)時遇到的障礙中，排名首位的就是安全與管控方面的挑戰(zhàn)，占18.8%[2]。

本文探討了云計算時代金融信息系統(tǒng)架構(gòu)的改變，分析了由于技術(shù)要求和管理要求的各個方面部署重點轉(zhuǎn)移所導(dǎo)致的測評工作的變化，并在此基礎(chǔ)上討論了測評過程中發(fā)現(xiàn)的諸多常見問題。

2 加入云服務(wù)商后的架構(gòu)

基于云部署方案的金融信息系統(tǒng)意味著整體計算平臺的遷移，從而在架構(gòu)層次產(chǎn)生了很大的變化。隨著GA/T 1390.2—2017《網(wǎng)絡(luò)安全等級保護(hù)基本要求 第2部分：云計算安全擴展要求》1）、《網(wǎng)絡(luò)安全等級保護(hù)安全設(shè)計技術(shù)要求 第2部分：云計算安全要求》2）（征求意見稿）和《網(wǎng)絡(luò)安全等級保護(hù)測評要求 第2部分：云計算安全擴展要求》3）（征求意見稿）等一系列云等級保護(hù)標(biāo)準(zhǔn)的修訂，等級保護(hù)也進(jìn)入到2.0時代。

信息安全等級保護(hù)2.0在定級[3]、備案、安全建設(shè)整改、等級測評和檢查的所有階段都會有所改變。以三級系統(tǒng)為例，信息安全等級保護(hù)工作的政策體系及其中涉及角色的主要分工如表1所示。表1修改自文獻(xiàn)[1]的62～70頁，限于篇幅，其中僅給出了最主要的文件或技術(shù)標(biāo)準(zhǔn)。

在表1中，涉及了兩個信息安全等級保護(hù)測評機構(gòu)，測評機構(gòu)A負(fù)責(zé)云服務(wù)提供商的云平臺等級保護(hù)安全測評，測評機構(gòu)B負(fù)責(zé)具體金融信息系統(tǒng)的等級保護(hù)安全測評。一般而言，云服務(wù)提供商要先通過等級保護(hù)測評，才能有資格提供對外服務(wù)。圖1是加入了云服務(wù)供應(yīng)商之后的架構(gòu)。

圖1 金融云等級保護(hù)的測評機構(gòu)

3 案例描述

大都商業(yè)銀行（DaDu Commercial Bank， D2CB）成立于1997年，總部設(shè)于北京，是具有獨立法人資格的全國性股份制商業(yè)銀行，1999年完成股份制改造，2000年A股股票（6000××）在上海證券交易所掛牌上市[4]。大都商業(yè)銀行的信息系統(tǒng)采用混合云部署方案，即現(xiàn)有的系統(tǒng)依然按照現(xiàn)有的運營模式，而新建系統(tǒng)則逐步轉(zhuǎn)移至云平臺。

2014年，大都商業(yè)銀行決定進(jìn)入互聯(lián)網(wǎng)金融領(lǐng)域?；ヂ?lián)網(wǎng)金融系統(tǒng)部署在云端，采購了一系列金融級的云計算服務(wù)，包括基礎(chǔ)設(shè)施即服務(wù)IaaS（Infrastructure as a Service）、平臺即服務(wù)PaaS（Platform as a Service）和軟件即服務(wù)SaaS（Software as a Service）等服務(wù)。信息系統(tǒng)所涉及的服務(wù)器、數(shù)據(jù)庫和網(wǎng)絡(luò)等都部署在云端。因此，信息系統(tǒng)的安全保障工作由大都商業(yè)銀行和云計算服務(wù)商共同完成。服務(wù)商的“云計算系統(tǒng)”已經(jīng)通過了測評機構(gòu)A所提供的等級保護(hù)三級系統(tǒng)的測評。

4 測評重點的變化分析

4.1 技術(shù)要求測評

對測評機構(gòu)而言，測評機構(gòu)A更關(guān)注GA/T 1390.2—2017《網(wǎng)絡(luò)安全等級保護(hù)基本要求 第2部分：云計算安全擴展要求》，測評機構(gòu)B則更關(guān)注通用要求。圖2給出了大都商業(yè)銀行互聯(lián)網(wǎng)金融系統(tǒng)在等級保護(hù)測評中大致的責(zé)任劃分。

技術(shù)方面的測評包括物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計算安全以及應(yīng)用和數(shù)據(jù)安全。在物理安全方面，云計算服務(wù)商負(fù)責(zé)機房物理安全，已經(jīng)通過了等級保護(hù)的三級系統(tǒng)測評，測評機構(gòu)A可以提供相關(guān)的資料。在網(wǎng)絡(luò)和通信安全方面，云計算服務(wù)商負(fù)責(zé)相關(guān)的網(wǎng)絡(luò)安全，包括結(jié)構(gòu)安全、安全審計、入侵防范、惡意代碼防范以及資源控制等，但是訪問控制，尤其是遠(yuǎn)程訪問，由雙方共同負(fù)責(zé)，測評機構(gòu)A可以提供相關(guān)的資料。

大都商業(yè)銀行在設(shè)備和計算安全方面不僅購買了云計算供應(yīng)商提供的安全服務(wù)，同時也購買了主流廠商的相關(guān)服務(wù)。身份鑒別和訪問控制同時是設(shè)備和計算安全以及應(yīng)用安全部署的重點。應(yīng)用安全也是大都商業(yè)銀行自身部署的重點。

數(shù)據(jù)安全方面，大都商業(yè)銀行不但在云端進(jìn)行數(shù)據(jù)備份，在本地也進(jìn)行數(shù)據(jù)備份。數(shù)據(jù)在傳輸過程中采用https，并采用MD5保證消息完整性。同時，在個人信息保護(hù)方面，尤其是APP應(yīng)用中，僅采集和保存業(yè)務(wù)必需的用戶個人信息。

4.2 管理要求測評

管理方面的測評包括安全策略和管理制度、安全管理機構(gòu)和人員、安全建設(shè)管理、系統(tǒng)建設(shè)管理和安全運維管理。在金融信息系統(tǒng)部署在云端之后，管理變得愈加重要，因為技術(shù)相對而言更具有共性，因此容易實現(xiàn)專業(yè)外包化，但是管理在每個組織之間則千差萬別。

大都商業(yè)銀行按照GB/T 22080—2016/ISO/IEC 27001：2013《信息技術(shù) 安全技術(shù) 信息安全管理體系 要求》進(jìn)行了部署，范圍包括互聯(lián)網(wǎng)金融系統(tǒng)。在測評過程中，可以較多地考慮信息安全等級保護(hù)和信息安全管理體系（Information Security Management System，ISMS）這兩種體系的整合[5-7]。由于兩者管理原意的差異，信息安全管理體系（ISMS）是以組織的視角加強信息安全管理，相對而言更關(guān)注部署，信息安全等級保護(hù)偏重保護(hù)國家與公眾利益，因此更圍繞測評展開[8]。

在測評方面，GA/T 1390.2對于安全管理的要求重點集中于系統(tǒng)安全建設(shè)管理，由于云計算的特點，云服務(wù)商選擇中的服務(wù)水平協(xié)議（Service-Level Agreement，SLA）是測評的重點。

5 小結(jié)

金融科技的發(fā)展對整個金融業(yè)態(tài)產(chǎn)生了重塑，由于面臨多變的環(huán)境，越來越多的中小金融企業(yè)考慮速度和成本，將其信息系統(tǒng)建設(shè)轉(zhuǎn)移至云計算平臺，在這個過程中，安全是其首要考慮的問題之一。本文選擇大都商業(yè)銀行的互聯(lián)網(wǎng)金融系統(tǒng)作為案例，結(jié)合GA/T 1390.2，初步探討了云計算環(huán)境下金融信息系統(tǒng)等級保護(hù)的測評問題。

參考文獻(xiàn)

[1]郭啟全. 信息安全等級保護(hù)政策培訓(xùn)教程（2016版） [M]. 北京：中國工信出版集團(tuán)/電子工業(yè)出版社，2016.

[2]2017中國SaaS用戶研究報告[R/OL]. https：//yq.aliyun.com/articles/124086？spm=5176.8142029.759393.5.VpNGs7#yqblog.

[3]蔡倩倩. 金融云信息安全等級保護(hù)之云定級[J]. 現(xiàn)代經(jīng)濟(jì)信息，2016（06）：304-305，283.

[4]謝宗曉. 信息安全管理體系實施案例（第2版）[M]. 北京：中國標(biāo)準(zhǔn)出版社，2017.

[5]謝宗曉，劉斌. ISO/IEC27001與等級保護(hù)整合實施指南[M]. 北京：中國標(biāo)準(zhǔn)出版社，2014.

[6]胡娟，謝宗曉. 信息安全管理體系審核與信息系統(tǒng)安全等級保護(hù)測評的整合實施初探[J]. 中國標(biāo)準(zhǔn)導(dǎo)報，2015（04）：26-29.

[7]高磊，李晨旸，趙章界. 基于等級保護(hù)的信息安全管理體系研究[J]. 信息安全與通信保密，2015（05）：95-98，101.

[8]謝宗曉，甄杰，林潤輝，等. 網(wǎng)絡(luò)空間安全管理[M]. 北京：中國標(biāo)準(zhǔn)出版社，2017.