基于云的金融信息系統等級保護安全測評探討

賈海云 謝宗曉

信息安全管理系列之三十八

信息安全等級保護已經進入2.0時代，尤其是隨著計算平臺轉移至云。越來越多的中小金融機構將其系統部署在云端，這導致信息安全等級保護的測評模式也隨之發生了變化，下文以大都商業銀行為案例，討論了基于云的金融信息系統等級保護安全測評的架構變化以及常見問題。

謝宗曉（特約編輯）

摘要：以大都商業銀行為案例，探討了云計算時代金融信息系統架構的改變，分析了由于技術要求和管理要求的各個方面部署重點轉移所導致的測評工作的變化，并在此基礎上討論了測評過程中發現的諸多常見問題。

關鍵詞： 金融信息安全 信息安全等級保護 云計算安全

Evaluation of Financial Information System Classified Protection Security Based on Cloud Computing

Jia Haiyun （Inner Mongolia Autonomous Region Public Security Department ）

Xie Zongxiao （ China Financial Certification Authority ）

Abstract： This paper discusses the changes of the financial information system architecture in the cloud computing era， and analyzes the changes of the evaluation issues caused by the key transfer of the technical requirements and management requirements， and discusses the common problems found in the evaluation process.

Key words： financial information security， information security classified protection， cloud computing security

1 引言

金融業是信息化程度最高的領域之一，因此信息安全在其中的重要性不言而喻。《關于加強國家級重要信息系統保障工作有關事項的通知》所劃定的47個重點行業中，將銀行、證券和保險都列入其中[1]，諸多金融信息系統也被列為國家級重要信息系統，是信息安全等級保護制度關注的重點。

隨著金融科技（Fintech）時代的到來，整個金融行業進入到業務快速變化的時期，基于傳統穩定業務架構而建立起來的IT系統，很難適應這種新形勢。云部署方案可以使金融機構迅速以低成本的方式搭建相對可靠的信息系統，目前已經成為中小金融企業的首選，也是以后的大勢所趨。例如，上海地區SaaS企業用戶行業榜單中，僅銀行業就占據了18.4%。與此同時，安全在其中的挑戰也與日俱增，上述企業用戶在導入SaaS服務時遇到的障礙中，排名首位的就是安全與管控方面的挑戰，占18.8%[2]。

本文探討了云計算時代金融信息系統架構的改變，分析了由于技術要求和管理要求的各個方面部署重點轉移所導致的測評工作的變化，并在此基礎上討論了測評過程中發現的諸多常見問題。

2 加入云服務商后的架構

基于云部署方案的金融信息系統意味著整體計算平臺的遷移，從而在架構層次產生了很大的變化。隨著GA/T 1390.2—2017《網絡安全等級保護基本要求 第2部分：云計算安全擴展要求》1）、《網絡安全等級保護安全設計技術要求 第2部分：云計算安全要求》2）（征求意見稿）和《網絡安全等級保護測評要求 第2部分：云計算安全擴展要求》3）（征求意見稿）等一系列云等級保護標準的修訂，等級保護也進入到2.0時代。

信息安全等級保護2.0在定級[3]、備案、安全建設整改、等級測評和檢查的所有階段都會有所改變。以三級系統為例，信息安全等級保護工作的政策體系及其中涉及角色的主要分工如表1所示。表1修改自文獻[1]的62～70頁，限于篇幅，其中僅給出了最主要的文件或技術標準。

在表1中，涉及了兩個信息安全等級保護測評機構，測評機構A負責云服務提供商的云平臺等級保護安全測評，測評機構B負責具體金融信息系統的等級保護安全測評。一般而言，云服務提供商要先通過等級保護測評，才能有資格提供對外服務。圖1是加入了云服務供應商之后的架構。

圖1 金融云等級保護的測評機構

3 案例描述

大都商業銀行（DaDu Commercial Bank， D2CB）成立于1997年，總部設于北京，是具有獨立法人資格的全國性股份制商業銀行，1999年完成股份制改造，2000年A股股票（6000××）在上海證券交易所掛牌上市[4]。大都商業銀行的信息系統采用混合云部署方案，即現有的系統依然按照現有的運營模式，而新建系統則逐步轉移至云平臺。

2014年，大都商業銀行決定進入互聯網金融領域。互聯網金融系統部署在云端，采購了一系列金融級的云計算服務，包括基礎設施即服務IaaS（Infrastructure as a Service）、平臺即服務PaaS（Platform as a Service）和軟件即服務SaaS（Software as a Service）等服務。信息系統所涉及的服務器、數據庫和網絡等都部署在云端。因此，信息系統的安全保障工作由大都商業銀行和云計算服務商共同完成。服務商的“云計算系統”已經通過了測評機構A所提供的等級保護三級系統的測評。

4 測評重點的變化分析

4.1 技術要求測評

對測評機構而言，測評機構A更關注GA/T 1390.2—2017《網絡安全等級保護基本要求 第2部分：云計算安全擴展要求》，測評機構B則更關注通用要求。圖2給出了大都商業銀行互聯網金融系統在等級保護測評中大致的責任劃分。

技術方面的測評包括物理和環境安全、網絡和通信安全、設備和計算安全以及應用和數據安全。在物理安全方面，云計算服務商負責機房物理安全，已經通過了等級保護的三級系統測評，測評機構A可以提供相關的資料。在網絡和通信安全方面，云計算服務商負責相關的網絡安全，包括結構安全、安全審計、入侵防范、惡意代碼防范以及資源控制等，但是訪問控制，尤其是遠程訪問，由雙方共同負責，測評機構A可以提供相關的資料。

大都商業銀行在設備和計算安全方面不僅購買了云計算供應商提供的安全服務，同時也購買了主流廠商的相關服務。身份鑒別和訪問控制同時是設備和計算安全以及應用安全部署的重點。應用安全也是大都商業銀行自身部署的重點。

數據安全方面，大都商業銀行不但在云端進行數據備份，在本地也進行數據備份。數據在傳輸過程中采用https，并采用MD5保證消息完整性。同時，在個人信息保護方面，尤其是APP應用中，僅采集和保存業務必需的用戶個人信息。

4.2 管理要求測評

管理方面的測評包括安全策略和管理制度、安全管理機構和人員、安全建設管理、系統建設管理和安全運維管理。在金融信息系統部署在云端之后，管理變得愈加重要，因為技術相對而言更具有共性，因此容易實現專業外包化，但是管理在每個組織之間則千差萬別。

大都商業銀行按照GB/T 22080—2016/ISO/IEC 27001：2013《信息技術 安全技術 信息安全管理體系 要求》進行了部署，范圍包括互聯網金融系統。在測評過程中，可以較多地考慮信息安全等級保護和信息安全管理體系（Information Security Management System，ISMS）這兩種體系的整合[5-7]。由于兩者管理原意的差異，信息安全管理體系（ISMS）是以組織的視角加強信息安全管理，相對而言更關注部署，信息安全等級保護偏重保護國家與公眾利益，因此更圍繞測評展開[8]。

在測評方面，GA/T 1390.2對于安全管理的要求重點集中于系統安全建設管理，由于云計算的特點，云服務商選擇中的服務水平協議（Service-Level Agreement，SLA）是測評的重點。

5 小結

金融科技的發展對整個金融業態產生了重塑，由于面臨多變的環境，越來越多的中小金融企業考慮速度和成本，將其信息系統建設轉移至云計算平臺，在這個過程中，安全是其首要考慮的問題之一。本文選擇大都商業銀行的互聯網金融系統作為案例，結合GA/T 1390.2，初步探討了云計算環境下金融信息系統等級保護的測評問題。

參考文獻

[1]郭啟全. 信息安全等級保護政策培訓教程（2016版） [M]. 北京：中國工信出版集團/電子工業出版社，2016.

[2]2017中國SaaS用戶研究報告[R/OL]. https：//yq.aliyun.com/articles/124086？spm=5176.8142029.759393.5.VpNGs7#yqblog.

[3]蔡倩倩. 金融云信息安全等級保護之云定級[J]. 現代經濟信息，2016（06）：304-305，283.

[4]謝宗曉. 信息安全管理體系實施案例（第2版）[M]. 北京：中國標準出版社，2017.

[5]謝宗曉，劉斌. ISO/IEC27001與等級保護整合實施指南[M]. 北京：中國標準出版社，2014.

[6]胡娟，謝宗曉. 信息安全管理體系審核與信息系統安全等級保護測評的整合實施初探[J]. 中國標準導報，2015（04）：26-29.

[7]高磊，李晨旸，趙章界. 基于等級保護的信息安全管理體系研究[J]. 信息安全與通信保密，2015（05）：95-98，101.

[8]謝宗曉，甄杰，林潤輝，等. 網絡空間安全管理[M]. 北京：中國標準出版社，2017.