2023金融云安全体系建设与实践研究报告

金融云安全体系建设与实践研究报告(2022年)目录一、回溯过去——变迁 1(一)金融云安全体系的历史沿袭 1(二)金融安全事件频发 7(三)宏观调控与政策发布 9(四)金融厂商的安全实践 15(五)总结 18二、聚焦现在——变化 19(一)宏观环境的挑战 19(二)安全态势的挑战 25(三)新生问题的挑战 28(四)金融厂商应对举措 29三、展望未来——变局 33(一)新科技与安全伦理相互交织 33(二)新监管与业务发展互相适应 35四、总结——不变的是变化 35(一)主动创新预判变化 35(二)全栈自主拥抱变化 36(三)开放共赢谋求变化 36图目录图1金融云的发展演进路径 2图2金融云风险特征发展趋势 3图32020年金融云行业安全标准架构 7图4金融公有云安全责任共担模型参考 14图5分布式金融云基础设施 16图6云原生数据湖风控支撑 17图7基于公有云的行情资讯业务建设 18图8金融机构多措并举发展新业态 21图9全新形势下的安全要求 22图10金融云领域新型数字业务 25图现有安全体系面临的痛点问题 27图12自建或专属云基础设施 30图13软硬件全栈能力提升 31表目录表1金融云通用安全规范与合规 3表2金融云行业安全体系 5表32020年金融云行业安全标准要点变化 7表4推动金融基础设施安全相关政策 10表5个人金融信息保护相关法规和标准 表6提升金融供应链安全相关政策和标准 12金融云安全体系建设与实践研究报告（2022金融云安全体系建设与实践研究报告（2022年）PAGEPAGE1一、回溯过去——变迁“”IT(一)金融云安全体系的历史沿袭金融云安全趋势从金融云的发展演进路径来看可以分为三个主要阶段。虚拟化/超融合阶段：该阶段金融云通过虚拟化/IT支撑中心以提供IaaSPaaSITSaaS来源：中国信息通信研究院整理图1金融云的发展演进路径来源：中国信息通信研究院整理图2金融云风险特征发展趋势金融云通用安全合规20182.0表1金融云通用安全规范与合规时间发布部门发布文件安全要求1999年国际标准化组织ISO《ISO15408信息技术安全技术-IT安全评估准则》提供了通用的信息技术产品和系统安全功能要求和安全保证要求，并在保证要求的基础上提供衡量IT安全性的尺度（即评估保证级EAL），使得独立的安全评估结果可以互相比较。2014年原国家质《GB/T31167-2014规定了云服务商征信、经营基本情量监督检验检疫总局、国家标准化管理委员会信息安全技术云计算服务安全指南》、《GB/T全技术云计算服况、平台稳定性、技术供应链安审查。2014年国际标准化组织ISO《ISO27018:2014信息技术—安全技术—在充当PII器的公共云中保护个人身份信息(PII)的行为准则》该准则规定了公有云服务中个人数据保护的安全要求。2017年国际标准化组织ISO《ISO29151:2017个人可识别信息保护管理体系》该体系为国际通用的个人身份信息保护实践指南，聚焦于个人数据处理的全生命周期的管理措施。2017年英国标准协会BSI《BS10012:2017个人信息安全管理体系》BS10012是BSI发布的个人信息数据管理体系标准，规定了个人数据保护的体系要求。2017年支付卡行业安全标准委员会（PCISSC）PCI3DS安全核心标准PCI3DS标准旨在保护执行特定3DS功能或者存储3DS数据的环境和实施安全，具体对3D协议执行环境的过程、流程、人员管理等方面进行了规定。2017年原国家质量监督检验检疫总局、国家标准化管理委员会《GB/T35279-2017信息安全技术云计算安全参考架构》安全功能组件以及它们之间的关对安全的评估与设计。2019年国际标准化组织ISO《ISO27701:2019隐私管理体系标规定了建立、实施、维护和持续改进隐私、个人数据保护相关所特定准》的管理体系的要求。2019、2020年原国家质量监督检验检疫总局、国家标准化管理委员会“网络安全等级保护”2.0核心标准《定级指南》明确了云环境下的定级对象，即云计算平台及云上的业务应用系统；《基本要求》明确了云计算环境的安全要求；《安全设计技术要求》明确了云计算的设计与建设问题；《测评要求》明确了第三方机构对云计算的安全测评要求。来源：中国信息通信研究院整理金融云行业安全要求20201016表2金融云行业安全体系时间发布部门发布文件安全要求2018、2020年中国人民银行《JR/T0166云计范技术架构》基于云计算技术特征，结合金融业云计算平台的主要实现方式，将云计算技术架构自下而上划分为基础硬件资源层、资源抽象控制层、云服务层，以及贯穿各层的运维运营管理层，并分别提出相关技术要求。2018、中国人民《JR/T0167云计围绕云计算金融应用潜在风险，在2020年银行算技术金融应用规范安全技术要求》与控制安全、应用安全、数据安件安全等方面安全技术要求。2018、2020年中国人民银行《JR/T0168云计范容灾》灾难恢复工作时应遵循的技术要级，并分别从关键指标、数据备力等方面提出相应技术要求。来源：中国信息通信研究院整理来源：中国信息通信研究院整理图32020年金融云行业安全标准架构2018表32020年金融云行业安全标准要点变化序号安全维度变化要点1基础硬件安全增加了云计算平台部署的机房安全要求2资源抽象与控制安全增加了云服务提供者每年安全审计的要求3应用安全增加了云服务使用者对于金融云方案的安全考量要求4数据安全增加了云服务提供者跨境数据迁移时的要求5安全管理增加了云服务提供者在升级或变更前应制定回退方2次应急演练，并滚动完善应急预案6服务能力明确了金融云应符合的通用安全要求，增加了金融云服务提供者的安全服务要求，增加了风险补偿机制要求。来源：中国信息通信研究院整理(二)金融安全事件频发近年来，金融行业数字化转型不断深入，并且随着云计算、大数关键信息基础设施攻击20222DDoS20211029序。2021年6月4日，为金融机构提供技术服务的德国公司Fiducia&GADITDDoS800个人信息和数据泄露2021922Debt-INConsultants2021软件供应链安全威胁20219社MISO300(三)宏观调控与政策发布保障金融基础设施安全金融安全是国家安全的重要组成部分，是经济平稳健康发展的重金融云安全体系建设与实践研究报告（2022金融云安全体系建设与实践研究报告（2022年）10102021表4推动金融基础设施安全相关政策时间监管部门发布文件政策要点2021.12中央网络安全和信息化委员会《“十四五”国家信息化规划》到2023年，金融业数字化转型成效明显；到2025年，先进可靠、富有弹性的基础设施服务体系基本形成，金融业初步实现数字化、智能化。2021.12中国人民银行《金融科技发展规划（2022-2025年）》重点任务强调了数字能力、金融网求。2022.06中央全面深化改革委员会第二十六次会议素作用的意见》全治理，加快构建数据基础制度体系。2022.06中央全面深化改革委员会第二十六次会议《强化大型支付平台企业监管促进支付和金融科技规范健康发展工作方案》推动大型支付和金融科技平台企业回归本源，健全监管规则，补齐制度短板，保障支付和金融基础设施安全，防范化解系统性金融风险隐患。来源：中国信息通信研究院整理金融云安全体系建设与实践研究报告（2022金融云安全体系建设与实践研究报告（2022年）1111重视个人金融信息保护金融行业的业务特点决定了其信息系统掌握了大量个人敏感信息，如身份信息、征信信息、账户信息、鉴别信息、金融交易信息、保（J07-2传表5个人金融信息保护相关法规和标准时间发布部门发布文件内容要点2020.02中国人民银《JR/T0171-2020个人金融信息保护技术规范》对金融机构在个人金融信息的收集、传输、存储、使用、删除、销毁等生命周期各环节提出了具体安全防护要求。金融云安全体系建设与实践研究报告（2022金融云安全体系建设与实践研究报告（2022年）11PAGE22021.09全国人大常委会《中华人民共和国数据安全法》从法律层面明确数据安全保护义务，为开展数据处理活动的组织和个人提供了行为指引，填补了我国数据安全保护立法的空白。2021.11全国人大常委会《中华人民共和国个人信息保护法》立足于数据产业发展实践和个人信息保护的迫切需求，从法律层面更全面地保障了个人权利，及时回应了国家、社会、个人对个人信息保护的关切。来源：中国信息通信研究院整理提升金融软件供应链安全2021年，国家互联网应急中心公布《2021年开源软件供应链安20205728表6提升金融供应链安全相关政策和标准时间发布部门发布文件内容要点2019.05督管理总员会《GB/T22239-2019信息安全技术网络安全等级保护基本要求》在通用要求中，主要从对供应商的选择、监督、评审等角度进行说明；在云计算扩展要求中，主要从供应链安全事件信息、安全威胁信息以及供应链上其它重要信息同步的角度进行说明。2021.09中华人民共和国国务院《关键信息基础设施安全保护条例》要求建立供应链安全管理制响应处置及时。2021.10中国人民银行、中央网信办等《关于规范金融业开源技术应用与发展的意见》时应遵循安全可控、合规使则。应建立健全金融机构使用开源技术的协调机制、制度体系、技术路线、风险管控、合规审查、标准制度与知识产权保护能力。来源：中国信息通信研究院整理安全责任共担政策需求IT来源：中国信息通信研究院整理图4金融公有云安全责任共担模型参考管理。(四)金融厂商的安全实践分布式金融云基础设施据、物联网等技术储备，在持续赋能和迭代提升业务应用。来源：中国信息通信研究院整理图5分布式金融云基础设施云原生数据湖风控支撑通过跨多版本平滑升级演进方案，建设了统一大数据平台，实现1云原生数据湖方案采用存算分离架构，将数据和环境变量解耦，在云网络层面判断访问的客户端IP、访问协议、访问端口是否有可访来源：中国信息通信研究院整理图6云原生数据湖风控支撑公有云安全风险监控2020PC来源：中国信息通信研究院整理图7基于公有云的行情资讯业务建设(五)总结二、聚焦现在——变化(一)宏观环境的挑战疫情影响下的行业动向金融云安全体系建设与实践研究报告（2022金融云安全体系建设与实践研究报告（2022年）2020别是中小银行风险提升，整体金融行业的韧性面临考验。“”2003年的“”2003152.6倍、3.35.62.8倍、13.32.5金融云安全体系建设与实践研究报告（2022金融云安全体系建设与实践研究报告（2022年）22PAGE1来源：中国信息通信研究院整理图8金融机构多措并举发展新业态“”e“上云服务”，企业在线提交融资申请后，系统就近分派至分布于全市400“审议”IT全新形势下的安全要求来源：中国信息通信研究院整理图9全新形势下的安全要求“”“”（“”“”《规划》要求在《规划》要求推动提升重要设施设备2022（2022-2025年“””时期金融科技的发展目标之一在于数据安全和个人隐私得到有效保”等要求，都为金融机构业务上云用云的”20221”(二)安全态势的挑战数字业务全面覆盖，新安全场景不断衍生来源：中国信息通信研究院整理图10金融云领域新型数字业务如在机构海外业务拓展，新安全需求亟需解决体系架构快速变革，新安全技术尚待完善传统安全边界被打破，ITDevOps来源：华为云计算技术有限公司图11现有安全体系面临的痛点问题产业链条涉及众多，新安全生态需要协同公有云服务商为海量租户提供服务，面对不同层次的安全需求，战。(三)新生问题的挑战金融诈骗手法不断更新虚拟货币活动更加隐蔽20219BlackMatterHelloKitty和REvilESXiLinuxELF(四)金融厂商应对举措面对金融自建或专属云基础设施金融云安全体系建设与实践研究报告（2022金融云安全体系建设与实践研究报告（2022年）3030来源：华为云计算技术有限公司图12自建或专属云基础设施DDos（R如，国内某银行的“新一代分布式核心系统”于2021年4月顺利金融云安全体系建设与实践研究报告（2022金融云安全体系建设与实践研究报告（2022年）33PAGE1软硬件安全全栈提升为了应对金融行业关于安全方面的要求，金融机构应本着“来源：中国信息通信研究院整理图13软硬件全栈能力提升如图所示