金融云计算安全标准的解析

张旭刚 谢宗晓

1 金融云计算的发展

近几年云计算产业快速发展，云计算逐步向以金融行业为代表的传统行业加速渗透。同时随着金融行业“数字化”转型战略的实施，对其业务的灵活多变和运维的敏捷开发提出了新的挑战，传统的集中式金融技术架构已无法满足新的业务需求，金融机构迫切的需要通过新的技术满足业务需求，而目前的云计算技术就是最佳选择，它能更好地支撑上层业务的灵活多变，实现业务系统的高效敏捷开发以及自动化运维等需求，从而对“数字化金融”业务能更好地服务。

同时国家层面高度重视金融行业云计算的发展，国务院和人民银行颁布了相关的指导意见和工作目标。具体见表1。

政策指导方面，积极推动金融行业探索互联网金融云服务平台的建设，加强金融行业云计算应用政策研究;标准推进方面，发布了金融行业云计算技术金融应用规范标准;发展规划方面，统筹规划云计算在金融领域的应用，搭建安全可控的金融行业云服务平台。从政策指导、标准推进、发展规划3个方面，国家和监管单位为云计算在金融行业的推进和应用保驾护航。

2 金融云计算安全标准的介绍

《中国人民银行关于发布实施金融行业标准规范云计算技术金融应用的通知》（银发〔2018〕195号）提到了云计算的3个标准，分别是JR/T 0166—2018《云计算技术金融应用规范 技术架构》、JR/T  0167—2018《云计算技术金融应用规范 安全技术要求》和JR/T  0168—2018《云计算技术金融应用规范 容灾》，也是目前金融行业云计算安全仅有的3个标准，以下对这3个标准进行介绍。

2.1 JR/T 0166—2018《云计算技术金融应用规范 技术架构》

JR/T 0166—2018是金融行业云计算三个标准中的基础，主要介绍了云计算中常见的术语和定义，明确了云计算的服务模式、部署方式以及云服务使用者、云服务提供者和云服务合作者三者之间的关系，规定了云计算平台的5种架构特性，最后详细的介绍了架构体系的内容。

金融云计算的服务模式与普通云计算一样，也分为提供基础设施的服务（IaaS）、提供平台的服务（PaaS）和提供软件的服务（SaaS）。部署方式方面，金融云根据自己业务的特殊性，主要以私有云（Private cloud）和团体云（Community cloud）1）为主。私有云是银行集团内部建设的面向本银行分支机构的金融云服务;而团体云是其他银行或云服务商建设的金融云服务。金融云计算参与方主要分为云服务使用者、云服务提供者和云服务合作者;而国家标准GB/T 35279—2017《信息安全技术 云计算安全参考架构》中将云计算的参与角色划分成5类，分别是云服务商、云服务客户、云审计者、云代理者和云基础网络运营者，但仔细分析会发现云审计者、云代理者和云基础网络运营者都属于云服务合作者的范畴。架构特性方面，金融云计算与普通云计算没什么区别，云计算平台都需要具备。架构体系是该标准的核心内容，其架构体系见图1。

云计算平台的架构体系与普通云计算的架構体系没太大区别，笔者认为只是有的云计算平台架构细化而已，大体都遵循“三层架构+纵向管理”，在图1架构体系中，“三层架构”主要包括基础硬件设施与设备层、资源抽象与控制层以及云服务层;“纵向管理”主要指运维运营管理，包括日常管理、资源监控、运维管理、自助服务及服务管理等内容。

2.2 JR/T 0168—2018《云计算技术金融应用规范 容灾》

该标准介绍了金融行业云计算平台的容灾要求，共包括10章。第1～5章说明了范围、规范性应用文件、术语和定义、缩略语和概述。第6章分别从风险与业务影响分析、容灾能力级别划分、关键指标和技术要求四方面介绍了云计算平台如何进行容灾能力分级。第7～8章明确了云计算平台的预案与演练、组织管理。第9～10章从监控和审计方面对云服务提供者和使用者提出了要求。其中第6章容灾能力分级是所有的应急预案和管理措施的基础，下面介绍容灾能力分级。

金融行业云计算平台容灾能力分级根据上层业务系统发生故障的影响范围和危害程度进行划分，具体见表2。

标准中明确规定了应用于金融领域云计算平台至少应达到容灾能力3 级要求，那么怎样才能达到3级呢？金融机构可从以下两个方面考虑建设。

（1） 关键指标

关键指标主要包括恢复时间目标（RTO）、恢复点目标（RPO）和可用性。RTO和RPO需要不大于24小时，也就是说信息系统或业务功能从停止到恢复的时间必须在24小时内，同时信息系统所能容忍的最大数据损失量是24小时。可用性要求每年非计划服务中断时间不超过4 天，系统可用性至少达到99%。

（2） 技术要求

技术要求主要包括数据备份、数据处理、网络能力和运维能力。数据备份方面，关键数据文件应在同城或异地灾备中心可用区至少存放一个数据副本，其次数据备份策略方面应每天进行一次完全数据备份且处于同城或异地灾备中心;数据处理方面，需要具备备用数据处理系统，同时备用数据处理系统需要具备部分备用数据的处理能力;网络能力方面，同城或异地灾备中心可用区的关键网络设备应处于就绪状态，可在数小时内达到与生产系统的网络能力相同;运维能力方面，生产中心要与灾备中心的设备进行统一管理，灵活切换，切换后灾备中心的云计算平台仍能实现对灾备数据中心资源的统一管理调度。

2.3 JR/T 0167—2018《云计算技术金融应用规范 安全技术要求》

云计算技术金融应用规范的3个标准中，该标准是核心，它在《云计算技术金融应用规范    技术架构》的基础上规定了云计算的安全框架和安全技术要求分级，同时又规定了安全管理要求，是技术和管理融合的云计算安全标准。该标准共包括11章和二个附录。第1～5章说明了范围、规范性应用文件、术语和定义、缩略语和概述。第6～7章介绍了承载云计算平台的基础硬件安全和虚拟化资源安全。第8～9章明确了IaaS、PaaS、SaaS不同服务模式下的业务应用安全和数据安全。第10～11章从安全管理功能和安全技术管理要求方面对云计算平台的功能安全和管理安全提出了要求。附录A对云计算平台的可选组件安全提出了要求，主要包括容器安全、中间件安全和数据库安全。如果云服务提供者提供了可选组件供云服务使用者选择使用，则所提供的组件应满足该标准规范的要求。附录B介绍了6种云计算的安全风险，包括安全责任风险、数据所有权风险、服务滥用风险、资源共享风险、服务集中的风险和不安全接口的风险。

以下分别对云计算安全技术要求分级、云计算的安全框架和云计算安全技术管理要求进行介绍。

（1） 云计算安全技术要求分级

为进一步增强标准的适用性和前瞻性，《云计算技术金融应用规范   安全技术要求》按照分级管理思路将云计算安全架构中每一块内容的具体条款根据其建设和实施的难易程度分为基本要求，扩展要求以及增强要求。基本要求是基线，也就是安全中常说的“BASE LINE”，所有金融行业的云计算平台都应满足;扩展要求是提升，在基本要求的基础上，对金融行业的团体云提出了进一步要求;增加要求是引领，在基本要求和扩展要求的基础上，从云计算安全技术的发展趋势提出的超前性安全要求。

下面以设备安全2）为例，对基本要求、扩展要求和增强要求进行解读。

基本要求：

a） 应保证关键设备冗余部署，保证系统可用性;

b） 应对设备运行状态、资源使用等进行监控，能够在发生异常情况时发出告警;

c） 应保证设备和存储介质在重用、报废或更换时，能够对其承载的数据完全清除。

扩展要求：

对于团体云部署模式，应保证用于金融业的物理设备不与其他行业共享。

增强要求：

a） 应保证设备安全启动，即启动时的版本和预期一致，完整性没有受到破坏;

b） 应对设备重要配置文件进行完整性保护。

基本要求提出了关键设备要冗余部署，所谓的关键设备是指如果设备宕机后影响到了正常的业务，都属于关键设备;其次要对所有设备的运行状态、资源使用进行监控，并在设备发生异常时进行告警，可通过设备资源监控软件实现;最后要求设备或介质在重用、报废或更换时，要对数据进行完全清除，可采取消磁、物理损坏等方式。

扩展要求提出了对于团体云，要保证金融行业的物理设备不与其他行业共享，也就是承载金融行业云计算平台的基础设施，如路由器、交换机、防火墙以及其他安全设备要只被金融行业的业务所使用。

增强要求提出了要保证设备安全启动和对重要配置文件进行完整性保护。设备的安全启动要求设备要有基准库，如服务器系统版本、证书、散列函数值等，在设备启动时采用基准库比对或其他验证机制对设备固件或系统软件进行执行验证;重要配置文件进行完整性保护可采用MD5、SHA256以及SM3等哈希算法对重要配置文件进行加密。

由此可见，从基本要求到扩展要求再到增强要求，安全控制措施层层加深，尤其是增强要求目前云计算服务提供方大多都不能满足。

（2） 云計算安全框架

云计算安全框架由四部分组成，处于底层的硬件资源安全，位于中间的虚拟化资源安全，置于顶层的数据安全、应用安全和可选组件安全3）等，以及贯穿于整个过程的管理功能安全，其中硬件资源安全是基础，虚拟化资源安全是核心，数据安全、应用安全、可选组件安全等是关键，管理功能安全则是辅助其他过程安全的有效支撑。云服务提供者和使用者根据不同服务类别（IaaS、PaaS、SaaS）所承担的安全责任有所区别，但是作为给客户提供最终服务的金融机构，自身的安全责任不会因为使用云服务而减轻或免责。云计算安全框架如图2所示。

在IaaS模式中，IaaS服务提供者控制了底层的物理和虚拟资源;客户控制了访问和使用IaaS服务的用户凭据（如：用户证书、账号口令等）、工具（如：Web浏览器、客户端软件等）或系统（如：运行客户业务处理、中间件、应用系统和数据等），客户同时控制了使用物理和虚拟资源的操作系统、存储，以及部署的应用。

在PaaS模式中，PaaS服务提供者控制了底层的物理、虚拟资源和PaaS服务的软件平台;客户控制了访问和使用PaaS服务的用户凭据、工具或系统，客户同时控制了部署在PaaS软件平台的应用和数据。

在SaaS模式中，SaaS服务提供者控制了底层的物理、虚拟资源和SaaS服务的软件平台及应用;客户控制了使用SaaS应用服务的用户凭据、工具、系统及数据。

（3） 云计算安全技术管理要求

云计算安全技术管理要求主要包括安全策略和管理制度、安全管理机构和人员、安全建设管理和安全运维管理，其中安全策略和管理制度包括管理制度、制定和发布、评审和修订;安全管理机构和人员包括岗位设置、人员配备、授权和审批、审核和检查;安全建设管理包括安全方案设计、测试验收、供应链管理、安全资源管理和服务关闭;安全运维管理包括风险管理、变更管理、监控管理、业务连续性管理、应急管理和审计管理。

云计算安全技术管理要求覆盖了管理制度、组织架构、系统建设和系统运维，比较全面，为云计算安全的管理提供了有力的支撑和保障。

此外，金融行业云计算安全相关标准《金融行业网络安全等级保护实施指引》的研制工作也正在进行中，该标准对金融行业在云计算、物联网、移动互联和大数据方面提出了更高的要求。

3 小结

随着云计算技术的发展和在金融行业的深入应用，越来越多的金融机构逐步将自己的业务系统部署到云平台，金融机构在上云之前应全面审视自己的业务系统，参照国家政策要求以及国家和行业的云计算标准，规范服务商准入、风险评估、业务连续性管理等标准，明确云平台和用户之间的责任分担，制定数据隔离和保护机制等云计算安全框架，认真评估其IT资产，仔细设计业务系统上云路线图，将适合云部署且准备充分的业务系统放在首位，以使上云带来收益最大化、成本最小化。

（注：本文仅做学术探讨，与作者所在单位观点无关）