金融云信息安全等級保護之云定級論文

　　自第一朵“金融云”飄蕩在金融行業(yè)上空后，金融機構亟需為這朵云以及之后更多的云撐開綠色保護傘，信息安全等級保護便是其一。根據(jù)目前已建立的信息安全等級保護政策標準體系和實施框架，本文討論金融云可否作為現(xiàn)行的信息安全等級保護對象，應用了多租戶技術的金融云當如何確定自身的安全等級等問題，并針對多租戶云定級等問題提出了解決方案，為金融云順利全面撐開信息安全等級保護這把保護傘，提供了一種新的可能。

　　一、背景

　　(一)信息安全等級保護中系統(tǒng)定級的認識

　　信息安全等級保護工作包括系統(tǒng)定級、系統(tǒng)備案、建設整改、等級測評、監(jiān)督檢查等內容。系統(tǒng)定級是開展工作的第一步，只有明確了系統(tǒng)的安全級別，才能明確開展后續(xù)的總體安全規(guī)劃、安全設計與實施、安全運維等工作，在安全運維中通過反饋可局部調整安全設計實施，而當遇到較大變更時可能須重新確定系統(tǒng)級別，修改或重新建設總體安全規(guī)劃。因此，需審慎確定系統(tǒng)級別。

　　在云計算技術在國內應用之前，隨著實際工作在生產(chǎn)中逐步推廣應用，在如何確定系統(tǒng)級別的認識上不斷貼合實際需求，相關政策標準也因此在不斷修訂完善�！蛾P于信息安全等級保護工作的實施意見》(公通字[2004]66號，以下簡稱《實施意見》)中規(guī)定了五級監(jiān)督管理強度�！缎畔�安全等級保護管理辦法》(公通字[2007]43號，以下簡稱《管理辦法》)，明確了信息系統(tǒng)重要程度的等級的概念，從信息系統(tǒng)重要程度及其社會屬性考慮給出了信息系統(tǒng)五個級別的定義。信息系統(tǒng)重要程度級別越高的系統(tǒng)可能面臨更多的威脅或更強能力的威脅，因此需要具備更強的安全保護能力才能實現(xiàn)基本安全�！缎畔⑾到y(tǒng)安全等級保護基本要求》(GB/T 22239-2008，以下簡稱《基本要求》)重新詮釋了安全保護能力，將安全保護能力暫時劃分為四級�！缎畔⑾到y(tǒng)安全保護等級定級指南》(GB/T22240-2008，以下簡稱《定級指南》)詳細闡明了定級的原理、流程、方法等。

　　信息系統(tǒng)確定了重要程度等級后，不同級別的信息系統(tǒng)須具備相應級別的安全保護能力，并為其實現(xiàn)，金融機構和運營單位須依據(jù)《劃分準則》和《基本要求》等技術標準，落實各項安全技術和管理措施，信息安全監(jiān)管部門根據(jù)信息系統(tǒng)的重要程度等級對信息系統(tǒng)實施不同強度的監(jiān)督管理。

　　(二)云計算

　　云計算是一種計算模式，云從用戶對云的訪問權限上可以分為私有云、公有云、混合云。對于金融機構而言，私有云是本機構自行搭建或租用云服務提供方搭建的、僅本機構或本機構與分支機構、營業(yè)網(wǎng)點使用的服務;公有云是由云服務提供方搭建的、不同機構用戶或個人用戶按實際用量付費租用的服務;混合云是私有云和公有云對接形成。目前云應用、云平臺、云安全、云存儲等云服務，從提供服務種類上可分為基礎設施即服務(Iaas)、平臺即服務(Paas)、軟件即服務(SaaS)，基礎設施即服務是指提供硬件、網(wǎng)絡、存儲等資源或計算能力;平臺即服務是指提供如開發(fā)、測試、運維監(jiān)管等操作環(huán)境，包括API、運行平臺等;軟件即服務是指提供各種可直接使用的應用軟件。

　　(三)金融云

　　金融云是金融信息化更上一層的又一個典型，是深化互聯(lián)網(wǎng)金融改革的又一個創(chuàng)新。無論是金融機構拓展自身IT能力部署云計算數(shù)據(jù)中心或是借助互聯(lián)網(wǎng)公司的云服務或是互聯(lián)網(wǎng)公司利用自身IT優(yōu)勢拓展金融業(yè)務，借機分金融市場一杯羹，金融云都可以歸結為通過云計算技術將金融數(shù)據(jù)中心與客戶端應用整合到云計算體系架構之中，借助云計算技術的快速彈性、可擴展、資源池化、廣泛網(wǎng)絡接入和多租戶等優(yōu)勢達到提高自身系統(tǒng)運算能力、數(shù)據(jù)處理能力和網(wǎng)絡吞吐能力，改善客戶體驗評價，提高金融機構迅速發(fā)現(xiàn)并解決問題的能力，提升整體工作效率，改善流程，降低運營成本的目的。

　　國內第一朵“金融云”由中國電信上海公司與服務提供商聯(lián)合打造誕生后，帶來資源配置優(yōu)化、資源利用率大幅提高、快速滿足彈性需求、可擴展、易接入、低成本高效益等重大利好的同時也帶來了安全、監(jiān)管等方面的新難題。相較其他行業(yè)，金融業(yè)對于安全有著更高的需求，金融業(yè)的業(yè)務特性使得是否擁有堅不可摧的云安全關乎金融機構、金融業(yè)乃至國家經(jīng)濟的生存發(fā)展，因此，在金融云上適時撐起信息安全等級保護這把綠色安全保護傘，當為時勢所趨。

　　二、金融云信息安全等級保護之云定級問題與解決方案

　　(一)金融云信息安全等級保護之云定級問題

　　1.定級對象邊界難以明晰�！抖�級指南》中明確了定級方法的第一步是確定定級對象�！侗Ｗo條例》、《管理辦法》、《基本要求》等政策標準中規(guī)定的信息安全等級保護對象是計算機信息系統(tǒng)。那么問題來了，金融云是計算機信息系統(tǒng)嗎?如果不是，那么金融云與計算機信息系統(tǒng)有什么關系?

　　2.定級對象安全類別難以區(qū)別。《定級指南》中將信息系統(tǒng)安全分解為業(yè)務信息安全和系統(tǒng)服務安全兩個方面，以便區(qū)別兩類安全保護側重點不同的信息系統(tǒng)：以信息處理為主的信息系統(tǒng)和以業(yè)務流程處理為主的信息系統(tǒng)，從而使具有相同等級的信息系統(tǒng)因生產(chǎn)要求不同而具有不同的保護要求，進而達到重點保護重要系統(tǒng)資產(chǎn)的目的。然而，從整體業(yè)務流程角度和金融云在流程中所承擔的角色看，金融云服務既可發(fā)揮信息處理為主的作用，也可發(fā)揮業(yè)務流程處理為主的作用，還可能同時兼之;而從云服務提供方角度看，云資源池中的資源未變，相同資源可在不同時間內提供給不同租戶，因此，資源的用途也未必相同。那么，如何確定金融云屬于上述何種類別?

　　3.定級對象難以在多租戶云端被區(qū)別對待。實際生產(chǎn)中，不同用戶的安全需求不盡相同，公有云、混合云采用的多租戶技術使這些不同的用戶安全需求在同一云端不期而遇。然而，目前國內提供的很多云服務，包括私有云在內，通常未對自身云端資源服務評定安全等級，也未區(qū)分用戶安全需求等級。很多公有云通常未區(qū)分企業(yè)級和消費者級用戶，只要注冊申請付費賬號，都可以享受相同資源池或同一低安全等級的公有云服務;一些公有云沒有對響應水平和服務級別進行規(guī)定和劃分，可能出現(xiàn)企業(yè)級需求在支付更多費用的情況下無法找到專門的響應服務，特殊或緊急狀況無法處理，這種運行模式為用戶帶來很大困擾。還有很多混合云，未明確或簡略知曉用戶的安全需求及安全級別，對公有云進行簡單安全防護后直接與用戶的私有云對接，使私有云原有的安全優(yōu)勢被拉低，從而增加了私有云的安全風險。金融業(yè)對信息安全的要求更嚴苛，金融機構的信息系統(tǒng)須具備高性能、高可用性、高級別的安全保護和風險管控等特點，金融云的應用使其自身的安全風險牽動著金融機構原有的安全體系，因此，多租戶金融云提供的服務須與租戶已有的安全等級相匹配，然而，多租戶技術對數(shù)據(jù)隔離要求較高，換取數(shù)據(jù)隔離的高級別的代價是安全級別的降低。在云服務提供商眼中，他們面對的公有云、混合云始終不過是同一資源池或資源江、資源河、資源湖、資源海罷了，與其根據(jù)某一租戶需求對某一小朵資源服務進行安全加固，遠不如對整體服務進行安全加固來得容易、成本低、效率高。租戶們不同的安全需求決定了所租賃的云端服務安全等級可能不同于其他租戶的，而云服務提供商又不愿意區(qū)別對待安全等級不同的租戶服務，那么，對于安全性要求更高的多租戶金融云該如何確定安全等級?

　　(二)定級問題思考及解決方案

　　1.定級對象邊界按需確定。從生產(chǎn)實踐的剖析角度看，金融云就是云計算技術在金融業(yè)的實踐應用，實現(xiàn)方式上是一種為金融業(yè)提供以云計算技術為核心的、可擴展的、快速彈性的、用戶按實際用量付費使用資源的金融IT技術服務。從整體上遠觀金融云，還可將其視為獨立的金融云計算生態(tài)系統(tǒng)，包括技術、產(chǎn)品、服務、應用等環(huán)節(jié)以及貫穿于整個生態(tài)系統(tǒng)的云安全。

　　因而，在應用金融云之后，金融云與計算機信息系統(tǒng)的關系較為微妙，在不同的視角可以看到不同的親密關系：在某一時間段內，若同時僅為同一傳統(tǒng)信息系統(tǒng)提供服務的金融云，其與傳統(tǒng)信息系統(tǒng)的關系較為固定，可視為一個特殊的信息系統(tǒng)，或視為可整體或部分融入傳統(tǒng)計算機信息系統(tǒng)中的一部分;若同時為多個傳統(tǒng)信息系統(tǒng)提供服務或同時為多個用戶(租戶)提供服務的金融云，則在某一時點上可視為一個特殊的信息系統(tǒng)，或視為可整體或部分融入傳統(tǒng)計算機信息系統(tǒng)中的一部分，因其與為之服務的傳統(tǒng)信息系統(tǒng)的關系隨時間點動態(tài)變化，故而在該時間段內整體上可視為一個動態(tài)變化的特殊的信息系統(tǒng)。所以，用戶需要對金融云進行信息安全等級保護，而且在對金融云進行定級時，須按用戶需求從用戶視角對金融云的整體或部分、完整獨立或融入其他信息系統(tǒng)中進行確定其安全等級。

　　2.定級對象類別按用區(qū)分。根據(jù)金融云為傳統(tǒng)信息系統(tǒng)提供的服務和在傳統(tǒng)信息系統(tǒng)架構中所處的位置，金融云仍可依據(jù)相關規(guī)定進行判別分類，只不過部分金融云的類別在信息系統(tǒng)生命周期內保持固定，而同時為多個信息系統(tǒng)提供服務的私有云、或同時為多租戶提供服務的公有云、混合云的類別在某一時間段內不確定，即若在一段時間內，如在某一信息系統(tǒng)生命周期內，同時僅為其提供服務的金融云，其類別在該信息系統(tǒng)生命周期內是固定靜態(tài)的，在某一時點上，其類別與在該時間段內的類別是一致的;若在一時間段內，同時為多個信息系統(tǒng)提供服務的或同時為多個用戶(租戶)提供服務的金融云，其類別是動態(tài)的，而在某一時點上金融云各區(qū)域的類別是固定靜態(tài)的，其類別與在該時間段內的類別不一定一致。

　　3.定級對象多租戶等級按群組特征確定�！拔镆灶惥�，人以群分”，金融云的終端用戶可分為金融機構、企業(yè)和個人，云端多租戶可先區(qū)分出金融機構用戶、企業(yè)級用戶、個人用戶三種類型，搭建云時可以考慮用戶類型與資源之間的匹配關系，但這樣可能會以犧牲在這三類用戶中資源配置優(yōu)勢為前提。對于已在用的金融云，若難以按用戶分類分別匹配對應固定的資源池或若調整成本較大，則可按用戶的不同安全需求級別，在不同云端或同一云端不同區(qū)域建立劃分相應安全級別的業(yè)務種類云、個人用戶區(qū)等，然后依據(jù)業(yè)務種類、個人用戶的通用安全需求確定不同云端或云區(qū)域的安全等級。

　　上述三個問題的解決方案中，對于在任一時間段內同時為多個信息系統(tǒng)或多個租戶提供服務的金融云，其對象邊界、對象分類、多租戶安全級別是動態(tài)變化的，只在具體時點上是靜態(tài)的，這是與傳統(tǒng)信息系統(tǒng)最大的不同之處。對于這種動態(tài)多變的金融云，在任一時段內的任一時點上，各云區(qū)域的安全等級可按區(qū)域內當前租戶安全需求的最高級別確定，而在任一時段內各云區(qū)域的安全等級作為隨機變量服從正態(tài)分布，金融云服務提供商可將每天/月/年的空閑期、正常期、高峰期區(qū)分出來，確定每天不同時段的各云區(qū)域的安全等級常值和最高值，同一云端的各云區(qū)域可分別依據(jù)上述不同時段的安全等級常值配置日常不同時段的安全防護和加固措施，同時做好安全等級最高值的配置措施以備不時之需。若因技術、成本等原因無法對各云區(qū)域分別進行不同等級的安全加固，則可依據(jù)對各云區(qū)域的不同時段安全等級常值和各云區(qū)域資源的使用頻率進行概率分析，分別確定不同時段下概率最大的安全等級常值為整體云在不同時段下的安全等級常值，同時仍須做好安全等級最高值的配置措施。

　　三、結語

　　目前，盡管金融業(yè)小心謹慎，但還是在云計算、大數(shù)據(jù)等技術熱潮的推動下，產(chǎn)業(yè)規(guī)模擴大，正在逐步深化技術創(chuàng)新、服務創(chuàng)新和管理創(chuàng)新協(xié)同推進的金融服務發(fā)展格局，金融云計算生態(tài)系統(tǒng)將或形成，金融信息化改革進一步深化，可以預測，未來的金融云將成為金融IT服務產(chǎn)業(yè)崛起的一座新地標。盡快研究解決如多租戶等新技術為金融云信息安全等級保護工作帶來的難點，早日為金融云全面撐開信息安全等級保護這把綠色保護傘，使金融云能夠更可靠、更順暢、更安心地在金融領域上空發(fā)揮作用。

【金融云信息安全等級保護之云定級論文】相關文章：

信息安全等級保護的分析論文10-09

云時代信息安全建設探討的論文10-09

信息安全與等級保護技術研究論文10-11

醫(yī)院信息安全等級保護的探討論文10-09

云計算環(huán)境下信息安全對策論文10-11

云計算下檔案信息管理的研究論文10-12

云會計下會計信息安全問題論文10-09

論云計算下計算機信息安全及保密技術論文（通用7篇）10-13

云計算于電子商務影響論文10-09

云計算的安全問題10-26