中国信息通信研究院泰尔终端实验室 华为云计算技术有限公司 2022年11月 金融云安全体系建设与实践研究报告 (2022年) 版权声明 本报告版权属于中国信息通信研究院和华为云计算技术有限公司，并受法律保护。转载、摘编或利用其它方式使用本报告文字或者观点的，应注明“来源：中国信息通信研究院和华为云计算技术有限公司”。违反上述声明者，编者将追究其相关法律责任。 前 言 随着金融科技的发展，云服务市场的产品不断更新迭代，公有云、私有云、混合云等多种云服务架构逐渐进入金融厂商的选择视野，越来越多的金融厂商逐渐将业务系统迁移上云，实现更便捷的系统管理和升级迭代。与传统IT技术相比，云计算架构具有迭代创新方面的独有优势，有力推动了产业金融、供应链金融、数字货币、智能投研等创新应用的发展。 金融上云已成行业大势，安全是对金融云的基础要求。金融云作为金融科技重要的基础设施之一，其支撑的金融业务多关系到国计民生，所以金融云安全是整个信息领域的安全高地。近期，央行发布的《金融科技发展规划（2022-2025年）》重点围绕数字化转型建设，再次强调了金融上云、数据基础建设以及数据安全的重要性。 本研究报告通过回溯金融云安全体系的历史变迁，详细阐述了金融云安全变化趋势、金融安全事件类型、国内宏观调控政策、头部金融厂商的安全实践等；通过聚焦金融云安全发展现状，详细阐述了宏观环境、金融安全新生问题的挑战，金融厂商应对措施；通过展望金融云安全未来发展，详细阐述了新科技与安全伦理、新监管与业务发展的相互作用；最后，面对金融云安全的不断发展变化，提出了产业界应主动预判、拥抱、谋求变化的倡议。本研究报告主要面向以下几类读者： 金融企业相关人员：金融企业或组织内信息安全相关的决策人员、方案规划和实施人员、安全管理人员、技术培训人员。帮助其更加深 入全面地了解在企业或组织的数字化转型过程中正在和将要面对的金融云安全威胁、风险和合规性要求以及行业内场景化治理实践，从而更积极主动地筹划和开展系统化的金融云安全评估，确保企业或组织能够有效应对新形势下的安全挑战。 金融云服务提供商相关人员：金融云安全行业的方案及产品策划人员、安全咨询服务人员及项目实施人员。通过研究报告中对安全体系框架、技术应用与实践案例等内容的介绍，使其更好的为产品开展方案编制、为实施服务工作提供启迪参考。 金融云安全领域其他相关读者：此外，本研究报告也适用于关注金融云安全领域的政府机构、研究机构、媒体等。 目 录 一、回溯过去——变迁 ................................................................................................ 1 (一) 金融云安全体系的历史沿袭 ........................................................................ 1 (二) 金融安全事件频发 ........................................................................................ 7 (三) 宏观调控与政策发布 .................................................................................... 9 (四) 金融厂商的安全实践 .................................................................................. 15 (五) 总结 .............................................................................................................. 18 二、聚焦现在——变化 .............................................................................................. 19 (一) 宏观环境的挑战 .......................................................................................... 19 (二) 安全态势的挑战 .......................................................................................... 25 (三) 新生问题的挑战 .......................................................................................... 28 (四) 金融厂商应对举措 ...................................................................................... 29 三、展望未来——变局 .............................................................................................. 33 (一) 新科技与安全伦理相互交织 ...................................................................... 33 (二) 新监管与业务发展互相适应 ...................................................................... 35 四、总结——不变的是变化 ...................................................................................... 35 (一) 主动创新预判变化 ...................................................................................... 35 (二) 全栈自主拥抱变化 ...................................................................................... 36 (三) 开放共赢谋求变化 ...................................................................................... 36 图 目 录 图 1 金融云的发展演进路径 ..................................................................................... 2 图 2 金融云风险特征发展趋势 ................................................................................. 3 图 3 2020年金融云行业安全标准架构 ..................................................................... 7 图 4 金融公有云安全责任共担模型参考 ............................................................... 14 图 5分布式金融云基础设施 .................................................................................... 16 图 6 云原生数据湖风控支撑 ................................................................................... 17 图 7 基于公有云的行情资讯业务建设 ................................................................... 18 图 8金融机构多措并举发展新业态 ........................................................................ 21 图 9全新形势下的安全要求 .................................................................................... 22 图 10金融云领域新型数字业务 .............................................................................. 25 图 11现有安全体系面临的痛点问题 ...................................................................... 27 图 12自建或专属云基础设施 .................................................................................. 30 图 13软硬件全栈能力提升 ...................................................................................... 31 表 目 录 表 1 金融云通用安全规范与合规 ............................................................................. 3 表 2 金融云行业安全体系 ......................................................................................... 5 表 3 2020年金融云行业安全标准要点变化 ............................................................. 7 表 4 推动金融基础设施安全相关政策 ................................................................... 10 表 5 个人金融信息保护相关法规和标准 ............................................................... 11 表 6 提升金融供应链安全相关政策和标准 ........................................................... 12 金融云安全体系建设与实践研究报告（2022年） 1 一、回溯过去——变迁 近年来，我国金融行业信息化建设快速发展，助力金融机构不断提升业务效率、降低运营成本，已成为数字化建设的重要应用领域之一。金融信息系统需要实时处理、分析海量的信息数据，云计算因具备强大数据运算与同步调度能力，在提供弹性的信息基础资源方面具备天然优势，“金融云”的概念应运而生。 金融云是指面向银行、券商、保险等金融机构的业务需求，集互联网、行业解决方案、弹性IT资源为一体的云计算服务。具体而言，是指金融机构通过利用云计算技