金融行业云原生安全体系研究报告

北京金融科技产业联盟2024年4月 版权声明 本报告版权属于北京金融科技产业联盟，并受法律保护。转载、编摘或利用其他方式使用本白皮书文字或观点的，应注明来源。违反上述声明者，将被追究相关法律责任。 编制委员会 编委会成员： 聂丽琴赵海陈芳苏建明严羽楠张升秦玮董金程李晓敦杨杰潘华万化 编写组成员： 府淼淼王文柏袁思思苏涵金睿姜城范鑫禹旷亚和朱鑫栋邢文静周杰李钢陈德锋吴猛成涛宋宁丁涛陆绍益赵汉杰严伟罗逸枫黄建德李梓铭袁晟黄金坤陈靖远郭思麟浦明张小勇钱岩张威廖军张京东金哲磊张龙鲁帅程度胡俊李漫何正民朱超李鹏石伟郑三军路俊杰李根刘静远张政白黎明熊永灿张婉莹左伟震张晓居杨冬富纪兆钢刘英杰王广驰张剑强杨增宇常青刘奇志张宪铎宋子虎曾志强何琰吴国友王宏刚张汝成郭洋刘逸伦刘丹李高峰王子健何鑫于雪松赵月姜英伟李雁南王兆阳高浩浩赵佳祥刘海洁郑驰王道谊赵宇轩黄莉群牟晨史巍威詹汉培王明亮贾腾飞 编审： 黄本涛刘昌娟 统稿：王文柏施森佳王晓云 参编单位: 牵头单位：北京金融科技产业联盟秘书处、中国银联股份有限公司 联合牵头单位：中国工商银行股份有限公司、中国农业银行股份有限公司、中国建设银行股份有限公司、中国邮政储蓄银行股份有限公司、上海浦东发展银行股份有限公司、建信金融科技有限责任公司、北京长亭科技有限公司、绿盟科技集团股份有限公司、阿里云计算有限公司、亚信科技（成都）有限公司、北京升鑫网络科技有限公司（青藤云安全）、奇安信网神信息技术（北京）股份有限公司、北京小佑网络科技有限公司 参与单位：中国民生银行股份有限公司、中国光大银行股份有限公司、平安银行股份有限公司、北京银行股份有限公司、中央国债登记结算有限责任公司、中债金科信息技术有限公司、中国信息通信科技集团有限公司、北京数字认证股份有限公司、深信服科技股份有限公司、杭州安恒信息技术股份有限公司 目录 一、概述...............................................1 （一）背景.........................................................1（二）定义........................................................12（三）安全架构....................................................13（四）研究意义....................................................36 二、云原生安全体系......................................38 （一）云原生安全体系概述..........................................38（二）云原生研发运维安全..........................................44（三）云原生应用与数据安全........................................73（四）云原生计算环境与基础设施安全...............................116（五）云原生安全管理.............................................140（六）关键技术方案创新...........................................141 三、应用案例...........................................169 （一）云原生研发运维安全.........................................169（二）云原生应用与数据安全.......................................183（三）云原生计算环境与基础设施安全...............................194（四）云原生安全管理.............................................201 四、总结和展望.........................................209 （一）金融行业云原生安全研究总结.................................209（二）云原生安全技术路线展望.....................................210 六、参考文献...........................................290 一、概述 （一）背景 1．政策发展背景 1）国外政策 《网络安全框架》（Cybersecurity Framework，简称CSF）是 美 国 国 家 标 准 与 技 术 研 究 院 （National Institute ofStandards andTechnology，简称NIST）发布的一项具有重大影响力的网络安全标准，该框架于2014年首次发布、2018年进行了首次修订，2023年8月发布了CSF 2.0的草案版本。该框架的核心目标在于协助各类组织提升其网络安全防护、检测、响应和恢复能力，以有效应对不断演化的网络安全威胁。该框架提供了一套全面且系统的网络安全管理方法，包括安全控制措施、安全培训、安全漏洞修补流程等，以及安全技术与管理方面的指南，如基础设施安全建设、安全策略制定等。该框架对于企业构建云安全管理体系具有重要的参考价值，可以帮助企业更好地管理云服务安全并确保数据和系统的安全性。此外，该框架还推动了一系列相关的网络安全标准的发展，如ISO 27001、COBIT等，同时也促进了各类解决方案的发展，如安全审计、安全管理等，这些标准和解决方案不仅有助于提高企业的网络安全水平，更进一步推动了整个行业的网络安全发展。 《 通 用 数 据 保 护 条 例 》 （General Data ProtectionRegulation，简称GDPR）是欧洲的一项重要法规，旨在全方位地保护公民的个人信息。该条例要求数据控制者和处理者必须确保个人信息的保密性、完整性和可操作性，任何组织机构不得以任 何理由未经授权地泄露、修改或删除个人信息。为了应对这个条例，云服务提供商和使用者必须加强云环境下个人信息的安全保护和合规管理。这个条例不仅为云服务提供商设定了新的标准，也为云服务使用者提供了保障，确保他们的数据在云端的安全性。因此，《通用数据保护条例》在推动云服务提供商和使用者采取必要措施，加强云环境下个人信息的安全保护和合规管理方面，起着至关重要的作用。 云安全联盟（Cloud Security Alliance，简称CSA），这一组织持续进行云安全的研究与培训工作，并发布云安全知识体系认证（Certification of Cloud Security Knowledge，简称CCSK），这对推动云安全的可测量性与人才培养有积极作用，有利于产业的健康发展。该联盟的贡献不仅在于理论层面，更涉及实际应用的探索与实施。云安全联盟CSA通过发布CCSK认证，为云服务提供商和用户提供了一个衡量云服务安全性的标准，为云服务提供商之间的互操作奠定了基础。此外，该联盟还致力于增强云服务用户的安全意识，通过培训计划和宣传材料等方式，帮助用户更好地理解和使用云服务。这些举措有助于提升整个云安全领域的水平，进一步促进产业的健康发展。总之，云安全联盟CSA在推动云安全领域的发展中扮演着重要的角色，其研究成果和举措为云服务提供商提供了参考和指导，也为云安全用户提供了更安全、更可靠的云服务体验。 《 健 康 保 险 流 通 与 责 任 法 案 》 （Health InsurancePortabilityand Accountability Act，简称HIPAA法案）和《 卫 生 信息 技 术 促 进 经 济 和 临 床 健 康 法 案 》 （Health Information Technology for Economic and Clinical HealthAct，简称HITECH法案）是两个对美国医疗健康领域具有重要影响的法案。这两个法案对医疗数据保护和电子健康记录管理提出了严格的要求。HIPAA法案旨在提高医疗保险的可携带性和加强医疗信息的保密性。该法案要求医疗保险公司、医院和医生等医疗信息处理机构保护患者的隐私，违规者将面临严厉的处罚。HIPAA法案中的隐私规则要求医疗保健提供者、保险公司和相关机构遵守严格的数据保护标准，以防止患者信息的未经授权地访问和使用。HITECH法案旨在促进电子健康记录的普及和使用。该法案要求医疗机构实施安全的电子健康记录系统，以确保数据的机密性和完整性。HITECH法案还规定了违反隐私规则的医疗机构将面临的严厉处罚，这进一步强调了医疗数据保护的重要性。金融行业在处理个人健康信息方面扮演着重要角色，这些法案的数据保护要求同样适用于金融行业。 《支付卡行业数据安全标准》（Payment Card Industry DataSecurity Standard，简称PCI-DSS）是由支付卡行业数据安全标准委员会（PCI SSC）发布的一套全球性的数据安全标准。该标准旨在确保信用卡信息的保密性、完整性和可用性，以防止数据泄露和欺诈行为。PCI-DSS对数据传输安全、身份认证机制、数据加密技术、脆弱性管理和安全补丁、物理和环境安全。PCI-DSS为金融行业提供了一套严格的数据安全标准，有助于保障金融业务中的支付安全和客户隐私，确保云原生环境在处理信用卡信息时符合相关的安全规范，可以帮助金融机构满足相关的监管要求，减少潜在的数据泄露风险。 2）国内政策 《中华人民共和国网络安全法》是一项非常重要的法律，明确规定了网络运营者所应承担的安全保护义务。该法律要求网络运营者，特别是那些运营关键信息基础设施的网络，必须在技术和管理上采取必要的安全保护措施。这些措施旨在保护网络系统的安全，防止网络攻击、数据泄露等安全事件的发生。这一法律的实施，进一步推动了云服务提供商加大在网络安全方面的投入和合规力度。这些云服务提供商必须采取相应的安全措施，以确保其客户的数据和信息安全得到充分保障。同时，这些提供商也需要遵守相关法律法规，以确保其业务运营的合规性。法律对于推动云服务行业的发展和规范具有重要意义。 《国家网络空间安全战略》为我国的网络空间安全发展指明了方向。该战略明确提出了要加快推进网络空间治理体系和规则建设的核心目标，以完善网络安全标准体系为基础，全面提升我国在网络空间安全方面的综合实力。其中，推动关键信息基础设施安全保护是战略中的一项重要任务，以保障这些设施在网络空间中能够安全、稳定地运行，有效防范各类网络安全事件的发生。这一战略的提出，为云原生安全发展提供了重要的指导思想和行动纲领。云原生安全是一种以云为基础、以应用为核心的安全理念，强调在应用开发、部署和运行过程中，采用自动化、智能化、敏捷化的安全技术手段和管理方法，保障云环境中的数据安全和应用安全。在战略的指引下，云服务提供商需要加大在安全方面的投入力度，积极采用先进的安全技术和管理手段，确保云环境的安全和合规。同时，战略还要求网络运营者采取技术上和管理 上必要的安全保护措施，这进一步推动了云服务提供商加大安全投入和加大合规力度，为云原生安全发展注入了强大的动力。 《中华人民共和国个人信息保护法》是一项具有重大影响的法律，该法律对采用云服务处理个人信息的企业与组织提出了严格的安全保护规定。该法的实施，有效地推动了云环境下的个人信息生命周期的标准化管理和安全控制，为个人信息的安全与隐私保护提供了坚实的法律基础。该法规定，企业与组织在进行个人信息处理活动时，必须严格遵守相关法律法规，确保个人信息的安全性和隐私性。对于采用云服务进行个人信息处理的业务，法律特别强调了保障安