2023金融云安全體系建設與實踐研究報告

金融云安全體系建設與實踐研究報告(2022年)目錄一、回溯過去——變遷 1(一)金融云安全體系的歷史沿襲 1(二)金融安全事件頻發(fā) 7(三)宏觀調控與政策發(fā)布 9(四)金融廠商的安全實踐 15(五)總結 18二、聚焦現在——變化 19(一)宏觀環(huán)境的挑戰(zhàn) 19(二)安全態(tài)勢的挑戰(zhàn) 25(三)新生問題的挑戰(zhàn) 28(四)金融廠商應對舉措 29三、展望未來——變局 33(一)新科技與安全倫理相互交織 33(二)新監(jiān)管與業(yè)務發(fā)展互相適應 35四、總結——不變的是變化 35(一)主動創(chuàng)新預判變化 35(二)全棧自主擁抱變化 36(三)開放共贏謀求變化 36圖目錄圖1金融云的發(fā)展演進路徑 2圖2金融云風險特征發(fā)展趨勢 3圖32020年金融云行業(yè)安全標準架構 7圖4金融公有云安全責任共擔模型參考 14圖5分布式金融云基礎設施 16圖6云原生數據湖風控支撐 17圖7基于公有云的行情資訊業(yè)務建設 18圖8金融機構多措并舉發(fā)展新業(yè)態(tài) 21圖9全新形勢下的安全要求 22圖10金融云領域新型數字業(yè)務 25圖現有安全體系面臨的痛點問題 27圖12自建或專屬云基礎設施 30圖13軟硬件全棧能力提升 31表目錄表1金融云通用安全規(guī)范與合規(guī) 3表2金融云行業(yè)安全體系 5表32020年金融云行業(yè)安全標準要點變化 7表4推動金融基礎設施安全相關政策 10表5個人金融信息保護相關法規(guī)和標準 表6提升金融供應鏈安全相關政策和標準 12金融云安全體系建設與實踐研究報告（2022金融云安全體系建設與實踐研究報告（2022年）PAGEPAGE1一、回溯過去——變遷“”IT(一)金融云安全體系的歷史沿襲金融云安全趨勢從金融云的發(fā)展演進路徑來看可以分為三個主要階段。虛擬化/超融合階段：該階段金融云通過虛擬化/IT支撐中心以提供IaaSPaaSITSaaS來源：中國信息通信研究院整理圖1金融云的發(fā)展演進路徑來源：中國信息通信研究院整理圖2金融云風險特征發(fā)展趨勢金融云通用安全合規(guī)20182.0表1金融云通用安全規(guī)范與合規(guī)時間發(fā)布部門發(fā)布文件安全要求1999年國際標準化組織ISO《ISO15408信息技術安全技術-IT安全評估準則》提供了通用的信息技術產品和系統(tǒng)安全功能要求和安全保證要求，并在保證要求的基礎上提供衡量IT安全性的尺度（即評估保證級EAL），使得獨立的安全評估結果可以互相比較。2014年原國家質《GB/T31167-2014規(guī)定了云服務商征信、經營基本情量監(jiān)督檢驗檢疫總局、國家標準化管理委員會信息安全技術云計算服務安全指南》、《GB/T全技術云計算服況、平臺穩(wěn)定性、技術供應鏈安審查。2014年國際標準化組織ISO《ISO27018:2014信息技術—安全技術—在充當PII器的公共云中保護個人身份信息(PII)的行為準則》該準則規(guī)定了公有云服務中個人數據保護的安全要求。2017年國際標準化組織ISO《ISO29151:2017個人可識別信息保護管理體系》該體系為國際通用的個人身份信息保護實踐指南，聚焦于個人數據處理的全生命周期的管理措施。2017年英國標準協會BSI《BS10012:2017個人信息安全管理體系》BS10012是BSI發(fā)布的個人信息數據管理體系標準，規(guī)定了個人數據保護的體系要求。2017年支付卡行業(yè)安全標準委員會（PCISSC）PCI3DS安全核心標準PCI3DS標準旨在保護執(zhí)行特定3DS功能或者存儲3DS數據的環(huán)境和實施安全，具體對3D協議執(zhí)行環(huán)境的過程、流程、人員管理等方面進行了規(guī)定。2017年原國家質量監(jiān)督檢驗檢疫總局、國家標準化管理委員會《GB/T35279-2017信息安全技術云計算安全參考架構》安全功能組件以及它們之間的關對安全的評估與設計。2019年國際標準化組織ISO《ISO27701:2019隱私管理體系標規(guī)定了建立、實施、維護和持續(xù)改進隱私、個人數據保護相關所特定準》的管理體系的要求。2019、2020年原國家質量監(jiān)督檢驗檢疫總局、國家標準化管理委員會“網絡安全等級保護”2.0核心標準《定級指南》明確了云環(huán)境下的定級對象，即云計算平臺及云上的業(yè)務應用系統(tǒng)；《基本要求》明確了云計算環(huán)境的安全要求；《安全設計技術要求》明確了云計算的設計與建設問題；《測評要求》明確了第三方機構對云計算的安全測評要求。來源：中國信息通信研究院整理金融云行業(yè)安全要求20201016表2金融云行業(yè)安全體系時間發(fā)布部門發(fā)布文件安全要求2018、2020年中國人民銀行《JR/T0166云計范技術架構》基于云計算技術特征，結合金融業(yè)云計算平臺的主要實現方式，將云計算技術架構自下而上劃分為基礎硬件資源層、資源抽象控制層、云服務層，以及貫穿各層的運維運營管理層，并分別提出相關技術要求。2018、中國人民《JR/T0167云計圍繞云計算金融應用潛在風險，在2020年銀行算技術金融應用規(guī)范安全技術要求》與控制安全、應用安全、數據安件安全等方面安全技術要求。2018、2020年中國人民銀行《JR/T0168云計范容災》災難恢復工作時應遵循的技術要級，并分別從關鍵指標、數據備力等方面提出相應技術要求。來源：中國信息通信研究院整理來源：中國信息通信研究院整理圖32020年金融云行業(yè)安全標準架構2018表32020年金融云行業(yè)安全標準要點變化序號安全維度變化要點1基礎硬件安全增加了云計算平臺部署的機房安全要求2資源抽象與控制安全增加了云服務提供者每年安全審計的要求3應用安全增加了云服務使用者對于金融云方案的安全考量要求4數據安全增加了云服務提供者跨境數據遷移時的要求5安全管理增加了云服務提供者在升級或變更前應制定回退方2次應急演練，并滾動完善應急預案6服務能力明確了金融云應符合的通用安全要求，增加了金融云服務提供者的安全服務要求，增加了風險補償機制要求。來源：中國信息通信研究院整理(二)金融安全事件頻發(fā)近年來，金融行業(yè)數字化轉型不斷深入，并且隨著云計算、大數關鍵信息基礎設施攻擊20222DDoS20211029序。2021年6月4日，為金融機構提供技術服務的德國公司Fiducia&GADITDDoS800個人信息和數據泄露2021922Debt-INConsultants2021軟件供應鏈安全威脅20219社MISO300(三)宏觀調控與政策發(fā)布保障金融基礎設施安全金融安全是國家安全的重要組成部分，是經濟平穩(wěn)健康發(fā)展的重金融云安全體系建設與實踐研究報告（2022金融云安全體系建設與實踐研究報告（2022年）10102021表4推動金融基礎設施安全相關政策時間監(jiān)管部門發(fā)布文件政策要點2021.12中央網絡安全和信息化委員會《“十四五”國家信息化規(guī)劃》到2023年，金融業(yè)數字化轉型成效明顯；到2025年，先進可靠、富有彈性的基礎設施服務體系基本形成，金融業(yè)初步實現數字化、智能化。2021.12中國人民銀行《金融科技發(fā)展規(guī)劃（2022-2025年）》重點任務強調了數字能力、金融網求。2022.06中央全面深化改革委員會第二十六次會議素作用的意見》全治理，加快構建數據基礎制度體系。2022.06中央全面深化改革委員會第二十六次會議《強化大型支付平臺企業(yè)監(jiān)管促進支付和金融科技規(guī)范健康發(fā)展工作方案》推動大型支付和金融科技平臺企業(yè)回歸本源，健全監(jiān)管規(guī)則，補齊制度短板，保障支付和金融基礎設施安全，防范化解系統(tǒng)性金融風險隱患。來源：中國信息通信研究院整理金融云安全體系建設與實踐研究報告（2022金融云安全體系建設與實踐研究報告（2022年）1111重視個人金融信息保護金融行業(yè)的業(yè)務特點決定了其信息系統(tǒng)掌握了大量個人敏感信息，如身份信息、征信信息、賬戶信息、鑒別信息、金融交易信息、保（J07-2傳表5個人金融信息保護相關法規(guī)和標準時間發(fā)布部門發(fā)布文件內容要點2020.02中國人民銀《JR/T0171-2020個人金融信息保護技術規(guī)范》對金融機構在個人金融信息的收集、傳輸、存儲、使用、刪除、銷毀等生命周期各環(huán)節(jié)提出了具體安全防護要求。金融云安全體系建設與實踐研究報告（2022金融云安全體系建設與實踐研究報告（2022年）11PAGE22021.09全國人大常委會《中華人民共和國數據安全法》從法律層面明確數據安全保護義務，為開展數據處理活動的組織和個人提供了行為指引，填補了我國數據安全保護立法的空白。2021.11全國人大常委會《中華人民共和國個人信息保護法》立足于數據產業(yè)發(fā)展實踐和個人信息保護的迫切需求，從法律層面更全面地保障了個人權利，及時回應了國家、社會、個人對個人信息保護的關切。來源：中國信息通信研究院整理提升金融軟件供應鏈安全2021年，國家互聯網應急中心公布《2021年開源軟件供應鏈安20205728表6提升金融供應鏈安全相關政策和標準時間發(fā)布部門發(fā)布文件內容要點2019.05督管理總員會《GB/T22239-2019信息安全技術網絡安全等級保護基本要求》在通用要求中，主要從對供應商的選擇、監(jiān)督、評審等角度進行說明；在云計算擴展要求中，主要從供應鏈安全事件信息、安全威脅信息以及供應鏈上其它重要信息同步的角度進行說明。2021.09中華人民共和國國務院《關鍵信息基礎設施安全保護條例》要求建立供應鏈安全管理制響應處置及時。2021.10中國人民銀行、中央網信辦等《關于規(guī)范金融業(yè)開源技術應用與發(fā)展的意見》時應遵循安全可控、合規(guī)使則。應建立健全金融機構使用開源技術的協調機制、制度體系、技術路線、風險管控、合規(guī)審查、標準制度與知識產權保護能力。來源：中國信息通信研究院整理安全責任共擔政策需求IT來源：中國信息通信研究院整理圖4金融公有云安全責任共擔模型參考管理。(四)金融廠商的安全實踐分布式金融云基礎設施據、物聯網等技術儲備，在持續(xù)賦能和迭代提升業(yè)務應用。來源：中國信息通信研究院整理圖5分布式金融云基礎設施云原生數據湖風控支撐通過跨多版本平滑升級演進方案，建設了統(tǒng)一大數據平臺，實現1云原生數據湖方案采用存算分離架構，將數據和環(huán)境變量解耦，在云網絡層面判斷訪問的客戶端IP、訪問協議、訪問端口是否有可訪來源：中國信息通信研究院整理圖6云原生數據湖風控支撐公有云安全風險監(jiān)控2020PC來源：中國信息通信研究院整理圖7基于公有云的行情資訊業(yè)務建設(五)總結二、聚焦現在——變化(一)宏觀環(huán)境的挑戰(zhàn)疫情影響下的行業(yè)動向金融云安全體系建設與實踐研究報告（2022金融云安全體系建設與實踐研究報告（2022年）2020別是中小銀行風險提升，整體金融行業(yè)的韌性面臨考驗?！啊?003年的“”2003152.6倍、3.35.62.8倍、13.32.5金融云安全體系建設與實踐研究報告（2022金融云安全體系建設與實踐研究報告（2022年）22PAGE1來源：中國信息通信研究院整理圖8金融機構多措并舉發(fā)展新業(yè)態(tài)“”e“上云服務”，企業(yè)在線提交融資申請后，系統(tǒng)就近分派至分布于全市400“審議”IT全新形勢下的安全要求來源：中國信息通信研究院整理圖9全新形勢下的安全要求“”“”（“”“”《規(guī)劃》要求在《規(guī)劃》要求推動提升重要設施設備2022（2022-2025年“””時期金融科技的發(fā)展目標之一在于數據安全和個人隱私得到有效?！钡纫螅紴榻鹑跈C構業(yè)務上云用云的”20221”(二)安全態(tài)勢的挑戰(zhàn)數字業(yè)務全面覆蓋，新安全場景不斷衍生來源：中國信息通信研究院整理圖10金融云領域新型數字業(yè)務如在機構海外業(yè)務拓展，新安全需求亟需解決體系架構快速變革，新安全技術尚待完善傳統(tǒng)安全邊界被打破，ITDevOps來源：華為云計算技術有限公司圖11現有安全體系面臨的痛點問題產業(yè)鏈條涉及眾多，新安全生態(tài)需要協同公有云服務商為海量租戶提供服務，面對不同層次的安全需求，戰(zhàn)。(三)新生問題的挑戰(zhàn)金融詐騙手法不斷更新虛擬貨幣活動更加隱蔽20219BlackMatterHelloKitty和REvilESXiLinuxELF(四)金融廠商應對舉措面對金融自建或專屬云基礎設施金融云安全體系建設與實踐研究報告（2022金融云安全體系建設與實踐研究報告（2022年）3030來源：華為云計算技術有限公司圖12自建或專屬云基礎設施DDos（R如，國內某銀行的“新一代分布式核心系統(tǒng)”于2021年4月順利金融云安全體系建設與實踐研究報告（2022金融云安全體系建設與實踐研究報告（2022年）33PAGE1軟硬件安全全棧提升為了應對金融行業(yè)關于安全方面的要求，金融機構應本著“來源：中國信息通信研究院整理圖13軟硬件全棧能力提升如圖所示