金融云信息安全等級保護之云定級

摘要：自第一朵“金融云”飄蕩在金融行業上空后，金融機構亟需為這朵云以及之后更多的云撐開綠色保護傘，信息安全等級保護便是其一。根據目前已建立的信息安全等級保護政策標準體系和實施框架，本文討論金融云可否作為現行的信息安全等級保護對象，應用了多租戶技術的金融云當如何確定自身的安全等級等問題，并針對多租戶云定級等問題提出了解決方案，為金融云順利全面撐開信息安全等級保護這把保護傘，提供了一種新的可能。

關鍵詞：云定級；金融云；信息安全等級保護；多租戶

中圖分類號：TP309 文獻識別碼：A 文章編號：1001-828X（2016）009-000-03

Abstract：Since the first flower financial cloud floating in the financial industry over， financial institutions need to the cloud and more cloud distraction green protective umbrella ， information security level protection is the one. According to the established of hierarchical protection of information security policy and standard system and information security level protection implementation framework， this paper discuss the financial cloud could be used as the current information security level protection object， applied the multi tenant technology how to determine their own level of security and other issues， and the multi tenant cloud classification and propose solutions for financial cloud smooth comprehensive information security level of protection of the umbrella， provides a new possible.

Keywords：Cloud classification ； Financial cloud ； Information security level protection； Financial institution

一、背景

（一）信息安全等級保護中系統定級的認識

信息安全等級保護工作包括系統定級、系統備案、建設整改、等級測評、監督檢查等內容。系統定級是開展工作的第一步，只有明確了系統的安全級別，才能明確開展后續的總體安全規劃、安全設計與實施、安全運維等工作，在安全運維中通過反饋可局部調整安全設計實施，而當遇到較大變更時可能須重新確定系統級別，修改或重新建設總體安全規劃。因此，需審慎確定系統級別。

在云計算技術在國內應用之前，隨著實際工作在生產中逐步推廣應用，在如何確定系統級別的認識上不斷貼合實際需求，相關政策標準也因此在不斷修訂完善。《關于信息安全等級保護工作的實施意見》（公通字[2004]66號，以下簡稱《實施意見》）中規定了五級監督管理強度。《信息安全等級保護管理辦法》（公通字[2007]43號，以下簡稱《管理辦法》），明確了信息系統重要程度的等級的概念，從信息系統重要程度及其社會屬性考慮給出了信息系統五個級別的定義。信息系統重要程度級別越高的系統可能面臨更多的威脅或更強能力的威脅，因此需要具備更強的安全保護能力才能實現基本安全。《信息系統安全等級保護基本要求》（GB/T 22239-2008，以下簡稱《基本要求》）重新詮釋了安全保護能力，將安全保護能力暫時劃分為四級。《信息系統安全保護等級定級指南》（GB/T22240-2008，以下簡稱《定級指南》）詳細闡明了定級的原理、流程、方法等。

信息系統確定了重要程度等級后，不同級別的信息系統須具備相應級別的安全保護能力，并為其實現，金融機構和運營單位須依據《劃分準則》和《基本要求》等技術標準，落實各項安全技術和管理措施，信息安全監管部門根據信息系統的重要程度等級對信息系統實施不同強度的監督管理。

（二）云計算

云計算是一種計算模式，云從用戶對云的訪問權限上可以分為私有云、公有云、混合云。對于金融機構而言，私有云是本機構自行搭建或租用云服務提供方搭建的、僅本機構或本機構與分支機構、營業網點使用的服務；公有云是由云服務提供方搭建的、不同機構用戶或個人用戶按實際用量付費租用的服務；混合云是私有云和公有云對接形成。目前云應用、云平臺、云安全、云存儲等云服務，從提供服務種類上可分為基礎設施即服務（Iaas）、平臺即服務（Paas）、軟件即服務（SaaS），基礎設施即服務是指提供硬件、網絡、存儲等資源或計算能力；平臺即服務是指提供如開發、測試、運維監管等操作環境，包括API、運行平臺等；軟件即服務是指提供各種可直接使用的應用軟件。

（三）金融云

金融云是金融信息化更上一層的又一個典型，是深化互聯網金融改革的又一個創新。無論是金融機構拓展自身IT能力部署云計算數據中心或是借助互聯網公司的云服務或是互聯網公司利用自身IT優勢拓展金融業務，借機分金融市場一杯羹，金融云都可以歸結為通過云計算技術將金融數據中心與客戶端應用整合到云計算體系架構之中，借助云計算技術的快速彈性、可擴展、資源池化、廣泛網絡接入和多租戶等優勢達到提高自身系統運算能力、數據處理能力和網絡吞吐能力，改善客戶體驗評價，提高金融機構迅速發現并解決問題的能力，提升整體工作效率，改善流程，降低運營成本的目的。

國內第一朵“金融云”由中國電信上海公司與服務提供商聯合打造誕生后，帶來資源配置優化、資源利用率大幅提高、快速滿足彈性需求、可擴展、易接入、低成本高效益等重大利好的同時也帶來了安全、監管等方面的新難題。相較其他行業，金融業對于安全有著更高的需求，金融業的業務特性使得是否擁有堅不可摧的云安全關乎金融機構、金融業乃至國家經濟的生存發展，因此，在金融云上適時撐起信息安全等級保護這把綠色安全保護傘，當為時勢所趨。

二、金融云信息安全等級保護之云定級問題與解決方案

（一）金融云信息安全等級保護之云定級問題

1.定級對象邊界難以明晰。《定級指南》中明確了定級方法的第一步是確定定級對象。《保護條例》、《管理辦法》、《基本要求》等政策標準中規定的信息安全等級保護對象是計算機信息系統。那么問題來了，金融云是計算機信息系統嗎？如果不是，那么金融云與計算機信息系統有什么關系？

2.定級對象安全類別難以區別。《定級指南》中將信息系統安全分解為業務信息安全和系統服務安全兩個方面，以便區別兩類安全保護側重點不同的信息系統：以信息處理為主的信息系統和以業務流程處理為主的信息系統，從而使具有相同等級的信息系統因生產要求不同而具有不同的保護要求，進而達到重點保護重要系統資產的目的。然而，從整體業務流程角度和金融云在流程中所承擔的角色看，金融云服務既可發揮信息處理為主的作用，也可發揮業務流程處理為主的作用，還可能同時兼之；而從云服務提供方角度看，云資源池中的資源未變，相同資源可在不同時間內提供給不同租戶，因此，資源的用途也未必相同。那么，如何確定金融云屬于上述何種類別？

3.定級對象難以在多租戶云端被區別對待。實際生產中，不同用戶的安全需求不盡相同，公有云、混合云采用的多租戶技術使這些不同的用戶安全需求在同一云端不期而遇。然而，目前國內提供的很多云服務，包括私有云在內，通常未對自身云端資源服務評定安全等級，也未區分用戶安全需求等級。很多公有云通常未區分企業級和消費者級用戶，只要注冊申請付費賬號，都可以享受相同資源池或同一低安全等級的公有云服務；一些公有云沒有對響應水平和服務級別進行規定和劃分，可能出現企業級需求在支付更多費用的情況下無法找到專門的響應服務，特殊或緊急狀況無法處理，這種運行模式為用戶帶來很大困擾。還有很多混合云，未明確或簡略知曉用戶的安全需求及安全級別，對公有云進行簡單安全防護后直接與用戶的私有云對接，使私有云原有的安全優勢被拉低，從而增加了私有云的安全風險。金融業對信息安全的要求更嚴苛，金融機構的信息系統須具備高性能、高可用性、高級別的安全保護和風險管控等特點，金融云的應用使其自身的安全風險牽動著金融機構原有的安全體系，因此，多租戶金融云提供的服務須與租戶已有的安全等級相匹配，然而，多租戶技術對數據隔離要求較高，換取數據隔離的高級別的代價是安全級別的降低。在云服務提供商眼中，他們面對的公有云、混合云始終不過是同一資源池或資源江、資源河、資源湖、資源海罷了，與其根據某一租戶需求對某一小朵資源服務進行安全加固，遠不如對整體服務進行安全加固來得容易、成本低、效率高。租戶們不同的安全需求決定了所租賃的云端服務安全等級可能不同于其他租戶的，而云服務提供商又不愿意區別對待安全等級不同的租戶服務，那么，對于安全性要求更高的多租戶金融云該如何確定安全等級？

（二）定級問題思考及解決方案

1.定級對象邊界按需確定。從生產實踐的剖析角度看，金融云就是云計算技術在金融業的實踐應用，實現方式上是一種為金融業提供以云計算技術為核心的、可擴展的、快速彈性的、用戶按實際用量付費使用資源的金融IT技術服務。從整體上遠觀金融云，還可將其視為獨立的金融云計算生態系統，包括技術、產品、服務、應用等環節以及貫穿于整個生態系統的云安全。

因而，在應用金融云之后，金融云與計算機信息系統的關系較為微妙，在不同的視角可以看到不同的親密關系：在某一時間段內，若同時僅為同一傳統信息系統提供服務的金融云，其與傳統信息系統的關系較為固定，可視為一個特殊的信息系統，或視為可整體或部分融入傳統計算機信息系統中的一部分；若同時為多個傳統信息系統提供服務或同時為多個用戶（租戶）提供服務的金融云，則在某一時點上可視為一個特殊的信息系統，或視為可整體或部分融入傳統計算機信息系統中的一部分，因其與為之服務的傳統信息系統的關系隨時間點動態變化，故而在該時間段內整體上可視為一個動態變化的特殊的信息系統。所以，用戶需要對金融云進行信息安全等級保護，而且在對金融云進行定級時，須按用戶需求從用戶視角對金融云的整體或部分、完整獨立或融入其他信息系統中進行確定其安全等級。

2.定級對象類別按用區分。根據金融云為傳統信息系統提供的服務和在傳統信息系統架構中所處的位置，金融云仍可依據相關規定進行判別分類，只不過部分金融云的類別在信息系統生命周期內保持固定，而同時為多個信息系統提供服務的私有云、或同時為多租戶提供服務的公有云、混合云的類別在某一時間段內不確定，即若在一段時間內，如在某一信息系統生命周期內，同時僅為其提供服務的金融云，其類別在該信息系統生命周期內是固定靜態的，在某一時點上，其類別與在該時間段內的類別是一致的；若在一時間段內，同時為多個信息系統提供服務的或同時為多個用戶（租戶）提供服務的金融云，其類別是動態的，而在某一時點上金融云各區域的類別是固定靜態的，其類別與在該時間段內的類別不一定一致。

3.定級對象多租戶等級按群組特征確定。“物以類聚，人以群分”，金融云的終端用戶可分為金融機構、企業和個人，云端多租戶可先區分出金融機構用戶、企業級用戶、個人用戶三種類型，搭建云時可以考慮用戶類型與資源之間的匹配關系，但這樣可能會以犧牲在這三類用戶中資源配置優勢為前提。對于已在用的金融云，若難以按用戶分類分別匹配對應固定的資源池或若調整成本較大，則可按用戶的不同安全需求級別，在不同云端或同一云端不同區域建立劃分相應安全級別的業務種類云、個人用戶區等，然后依據業務種類、個人用戶的通用安全需求確定不同云端或云區域的安全等級。

上述三個問題的解決方案中，對于在任一時間段內同時為多個信息系統或多個租戶提供服務的金融云，其對象邊界、對象分類、多租戶安全級別是動態變化的，只在具體時點上是靜態的，這是與傳統信息系統最大的不同之處。對于這種動態多變的金融云，在任一時段內的任一時點上，各云區域的安全等級可按區域內當前租戶安全需求的最高級別確定，而在任一時段內各云區域的安全等級作為隨機變量服從正態分布，金融云服務提供商可將每天/月/年的空閑期、正常期、高峰期區分出來，確定每天不同時段的各云區域的安全等級常值和最高值，同一云端的各云區域可分別依據上述不同時段的安全等級常值配置日常不同時段的安全防護和加固措施，同時做好安全等級最高值的配置措施以備不時之需。若因技術、成本等原因無法對各云區域分別進行不同等級的安全加固，則可依據對各云區域的不同時段安全等級常值和各云區域資源的使用頻率進行概率分析，分別確定不同時段下概率最大的安全等級常值為整體云在不同時段下的安全等級常值，同時仍須做好安全等級最高值的配置措施。

三、結語

目前，盡管金融業小心謹慎，但還是在云計算、大數據等技術熱潮的推動下，產業規模擴大，正在逐步深化技術創新、服務創新和管理創新協同推進的金融服務發展格局，金融云計算生態系統將或形成，金融信息化改革進一步深化，可以預測，未來的金融云將成為金融IT服務產業崛起的一座新地標。盡快研究解決如多租戶等新技術為金融云信息安全等級保護工作帶來的難點，早日為金融云全面撐開信息安全等級保護這把綠色保護傘，使金融云能夠更可靠、更順暢、更安心地在金融領域上空發揮作用。

參考文獻：

[1]國家標準：《信息系統安全保護等級定級指南》（GB/T22240-2008）

[2]劉鵬.云計算（第二版）.電子工業出版社，2011，5.

作者簡介：蔡倩倩（1986-），女，民族：漢，籍貫：山東省威海市文登區，學歷：本科，職稱：軟件設計師，工作單位：中國金融電子化公司。