CAICT中国信通院HUAWEI焦智蓝皮报告金融云安全体系建设与实践研究报告(2022年）中国信息通信研究院泰尔终端实验室华为云计算技术有限公司2022年11月 版权声明本报告版权属于中国信息通信研究院和华为云计算技术有限公司，并受法律保护。转载、摘编或利用其它方式使用本报告文字或者观点的，应注明“来源：中国信息通信研CAICT中国究院和华为云计算技术有限公司”。违反上述声明者，编者将追究其相关法律责任。 前言随着金融科技的发展，云服务市场的产品不断更新送代，公有云、私有云、混合云等多种云服务架构逐渐进入金融户商的选择视野，越来越多的金融厂商逐渐将业务系统迁移上云，实现更便捷的系统管理和升级选代。与传统IT技术相比，云计算架构具有送代创新方面的独有优势，有力推动了产业金融、供应链金融、数字货市、智能投研等创新应用的发展。金融上云已成行业大势，安全是对金融云的基础要求。金融云作为金融科技重要的基础设施之一，其支撑的金融业务多关系到国计民生，所以金融云安全是整个信息领域的安全高地。近期，央行发布的《金融科技发展规划（2022-2025年）》重点围绕数字化转型建设，再次强调了金融上云、数据基础建设以及数据安全的重要性。本研究报告通过回溯金融云安全体系的历史变迁，详细阐述了金融云安全变化趋势、金融安全事件类型、国内宏观调控政策、头部金融厂商的安全实践等；通过聚焦金融云安全发展现状，详细阐述了宏观环境、金融安全新生间题的挑战，金融厂商应对措施；通过展望金融云安全未来发展，详细阐述了新科技与安全伦理、新监管与业务发展的相互作用；最后，面对金融云安全的不断发展变化，提出了产业界应主动预判、拥抱、谋求变化的倡议。本研究报告主要面向以下几类读者：金融企业相关人员：金融企业或组织内信息安全相关的决策人员、方案规划和实施人员、安全管理人员、技术培训人员。帮助其更加深 入全面地了解在企业或组织的数字化转型过程中正在和将要面对的金融云安全威胁、风险和合规性要求以及行业内场景化治理实践，从而更积极主动地筹划和开展系统化的金融云安全评估，确保企业或组织能够有效应对新形势下的安全挑战。金融云服务提供商相关人员：金融云安全行业的方案及产品策划人员、安全咨询服务人员及项目实施人员。通过研究报告中对安全体系框架、技术应用与实践案例等内容的介绍，使其更好的为产品开展方案编制、为实施服务工作提供启迪参考。金融云安全领域其他相关读者：此外，本研究报告也适用于关注金融云安全领域的政府机构、研究机构、煤体等。AICT中 录目、回溯过去一一变迁(一）金融云安全体系的历史沿袭(二）金融安全事件频发(三）宏观调控与政策发布.（四）金融厂商的安全实践。15(五）总结.....18二、聚焦现在一一变化..19（一）宏观环境的挑战，.19(二）安全态势的挑战...25(三）新生问题的挑战....28（四）金融厂商应对举措、.29三、展望未来—变局。.33（一）新科技与安全伦理相互交织，..33(二）新监管与业务发展互相适应.35四、总结——不变的是变化.....35（一）主动创新预判变化35（二）全栈自主拥抱变化.36(三）开放共赢谋求变化..36 图目录图1金融云的发展演进路径图2金融云风险特征发展趋势图32020年金融云行业安全标准架构图4金融公有云安全资任共担模型参考14图5分布式金融云基础设施.16图6云原生数据湖风控支撑..17图7基于公有云的行情资讯业务建设.18图8金融机构多措并举发展新业态.21图9全新形势下的安全要求..22图10金融云领域新型数字业务..25图11现有安全体系面临的痛点间题，..27图12自建或专属云基础设施30图13软硬件全栈能力提升31表目录表1金融云通用安全规范与合规表2金融云行业安全体系.表32020年金融云行业安全标准要点变化表4推动金融基础设施安全相关政策.10表5个人金融信息保护相关法规和标准11表6提升金融供应链安全相关政策和标准.12 金融云安全体系建设与实践研究报告（2022年）一、回溯过去一一变迁近年来，我国金融行业信息化建设快速发展，助力金融机构不断提升业务效率、降低运营成本，已成为数字化建设的重要应用领域之一。金融信息系统需要实时处理、分析海量的信息数据，云计算因具备强大数据运算与同步调度能力，在提供弹性的信息基础资源方面具备天然优势，“金融云”的概念应运而生。金融云是指面向银行、券商、保险等金融机构的业务需求，集互联网、行业解决方案、弹性IT资源为一体的云计算服务。具体而言，是指金融机构通过利用云计算技术与服务，提升运算能力、重组数据价值，为客户提供更高水平的金融服务。本章节对金融云安全体系分别从技术发展演进、国内外通用云安全合规、国内金融行业云安全要求三个角度进行了梳理和阐述，并介绍了当前金融安全事件类型、国内宏观调控政策、头部金融厂商的安全实践等。（一)金融云安全体系的历史沿袭1.金融云安全趋势从金融云的发展演进路径来看可以分为三个主要阶段。虚拟化/超融合阶段：该阶段金融云通过虚拟化/超融合架构实现承载部分金融业务系统，主要用于提高资源利用率，并实现统一管理和动态维护。在此阶段，金融云作为IT支撑中心以提供IaaS层面服务为主，有效帮助金融厂商降低运行和维护成本。数据中心云化阶段：该阶段金融云提供了对金融业务应用完整生命周期的支撑，逐步实现了完整的数据中心云化，并将中间件能力深一 金融云安全体系建设与实践研究报告（2022年）入融合云平台，保证业务的高可靠和智能化。在此阶段，金融云作为IT服务中心以提供如容器服务、数据库服务为代表的PaaS层面服务为主，有效提升了金融业务的运转效率。多云统一管理阶段：该阶段金融云通过混合云或多云架构的统一管理，直接面向金融客户提供业务支撑。在此阶段，金融云作为IT创新中心以提供软件为代表的SaaS层面服务为主，向金融业务提供轻量化、服务化的创新驱动。数据中心云化阶段·服务模式：提供PaaS层面服务为主·角色与作用：IT服务中心，提升了金胜业务的运转效率多云统一管理阶段服务模式：提供SaaS层面服务为主·角色与作用：IT创新中心，提供轻量化服务化的创新范动虚拟化/超融合阶段·服务模式：提供laas层置服务为主·角色与作用：IT支撑中心，降低运行和维护成本来源：中国信息通信研究院整理图1金融云的发展演进路径随着金融云的发展演进，金融云安全风险也随之发生变化。传统金融信息系统环境中更多的是已部署的应用层数据存在风险，随着金融业务云化的不断深入，虚拟化层面的涓洞攻击、海量数据安全风险、云服务权责分离、多云安全、云原生安全等都成为新形势下金融云安全的重点关注点。金融云安全风险的变化也促进了金融云安全技术的不断发展，金融云安全技术发展路径包括安全能力的虚拟化、云化、 合融云安全体系建设与实践研究报告（2022年）云原生等，衍生了如多云管理平台、云上安全开发平台、多云安全管理、云原生安全等安全产品和防护能力。虚拟化/超融合多云统一管理R: webi入阶段等阶段?变全就力：更经共拍模险安全能力：通用用路总通行监控，该间控一、调生安全款买的限事计等保，谢间安全代理。多传统环境营安全管理(监列、防户营营等等来源：中国信息通信研究院整理图2金融云风险特征发展趋势2.金融云通用安全合规在2018年金融云行业标准发布之前，金融云主要需符合通用的国际、国内云安全规范要求。其中，国内的云安全审查、网络安全等保2.0体系目前仍然是金融云必须满足的合规要求。表1金融云通用安全规范与合规时间发布部门发布文件安全要求提供了通用的信息技术产品和系统国际标准《ISO15408信息技安全功能要求和安全保证要求，并1999化组织在保证要求的基础上提供衡量IT安年术安全技术-IT安全ISO评估准则》全性的尺度（即评估保证级EAL），使得独立的安全评估结果可以互相比较。2014年原国家质《GB/T 31167-2014规定了云服务商征信、经营基本情m 金融云安全体系建设与实践研究报告（2022年）量监督检信息安全技术云况、平台稳定性、技术供应链安验检疫总计算服务安全指全、安全管理能力、云平台的整体局、国家南》、《GB/T防护能力等。金融云作为关键信息标准化管31168-2014信息安基础设施需依据该要求通过云安全理委员会全技术云计算服审查。务安全能力要求》《ISO 27018:2014信息技术一安全技2014国际标准化组织术一—在充当PII处理该准则规定了公有云服务中个人数年器的公共云中保护据保护的安全要求。ISO个人身份信息(PI)的行为准则》国际标准《ISO 29151:2017该体系为国际通用的个人身份信息2017年化组织个人可识别信保保护实践指南，聚焦于个人数据处ISO护管理体系》理的全生命周期的管理措施。《BS10012:2017个BS10012是BSI发布的个人信息数2017美国标准年人信息安全管理体据管理体系标准，规定了个人数据协会BSI系》保护的体系要求。支付卡行PCI3DS标准旨在保护执行特定3DS业安全标功能或者存储3DS数据的环境和实2017PCI3DS安全核心年准委员会标准施安全，具体对3D协议执行环境的(PCI过程、流程、人员管理等方面进行SSC)了规定。原国家质规定了云服务中的角色安全职资、量监督检《GB/T 35279-2017信息安全技术云安全功能组件以及它们之间的关2017验检疫总年局、国家计算安全参考架系，这个架构适用于指导所有云计标准化管构》算参与者在进行云计算系统规划时理委员会对安全的评估与设计。2019国际标准化组织《ISO 27701:2019规定了建立、实施、维护和持续改年ISO隐私管理体系标进隐私、个人数据保护相关所特定 金融云安全体系建设与实践研究报告（2022年）准》的管理体系的要求。《定级指南》明确了云环境下的定原国家质级对象，即云计算平台及云上的业量监督检务应用系统；《基本要求》明确了2019,验检疫总2020“网络安全等级保云计算环境的安全要求；《安全设年局、国家护"2.0核心标准计技术要求》明确了云计算的设计标准化管理委员会与建设问间题：《测评要求》明确了第三方机构对云计算的安全测评要求。来源：中国信息通信研究院整理3.金融云行业安全要求在遵循云服务通用规范的同时，金融云还需要符合金融行业专属的安全技术标准。2020年10月16日，中国人民银行正式发布三项金融行业标准，从基本能力、网络安全、数据保护、运行环境安全、业务连续性保障等方面提出了有针对性的技术要求，确保金融云在安全性、稳定性、适配性等满足监管要求和行业需要，防范因云服务缺陷引发的风险向金融领域传导。表2金融云行业安全体系时间发布部门发布文件安全要求基于云计算技术特征，结合金融业云计算平台的主要实现方式，将云2018,《JR/T0166云计计算技术架构自下而上划分为基础中国人民2020银行算技术金融应用规硬件资源层、资源抽象控制层、云年范技术架构》服务层，以及贯穿各层的运维运营管理层，并分别提出相关技术要求。2018,中国人民《JR/T0167云计图绕云计算金融应用潜在风险，在n 金融云安全体系建设与实践研究报告（2022年）2020银行算技术金融应用规兼容国家和金融行业现有信息系统范安全技术要安全要求基础上，从基本要求、扩求>展要求和增强要求三个类别分类施策，提出基础硬件安全、资源抽象与控制安全、应用安全、数据安全、安全管理、服务能力和可选组件安全等方面安全技术要求。规定了云计算各参与方在衡量云计算平台容灾能力、开展云计算平台灾难恢复工作时应遵循的技术要2018.《JR/T0168云计2020中国人民求。按照系统故障的影响范图、危银行算技术金融应用规年范容灾》害程度等将容灾能力划分为六个等级，并分别从关键指标、数据备份、数据处理、网络能力、运维能力等方面提出相应技术要求。来源：中国信息通信研究院整理金融云安全框架由基础硬件安全、资源抽象与控制安全、应用安全、数据安全、安全管理功能以及可选组件安全组成。云服务提供者和使用者共同实现安全保障。金融机构是金融服务的最终提供者，其承担的安全贵任不应因使用云