金融云信息安全等級保護之云定級論文

　　自第一朵“金融云”飄蕩在金融行業(yè)上空后，金融機構亟需為這朵云以及之后更多的云撐開(kāi)綠色保護傘，信息安全等級保護便是其一。根據目前已建立的信息安全等級保護政策標準體系和實(shí)施框架，本文討論金融云可否作為現行的信息安全等級保護對象，應用了多租戶(hù)技術(shù)的金融云當如何確定自身的安全等級等問(wèn)題，并針對多租戶(hù)云定級等問(wèn)題提出了解決方案，為金融云順利全面撐開(kāi)信息安全等級保護這把保護傘，提供了一種新的可能。

　　一、背景

　　(一)信息安全等級保護中系統定級的認識

　　信息安全等級保護工作包括系統定級、系統備案、建設整改、等級測評、監督檢查等內容。系統定級是開(kāi)展工作的第一步，只有明確了系統的安全級別，才能明確開(kāi)展后續的總體安全規劃、安全設計與實(shí)施、安全運維等工作，在安全運維中通過(guò)反饋可局部調整安全設計實(shí)施，而當遇到較大變更時(shí)可能須重新確定系統級別，修改或重新建設總體安全規劃。因此，需審慎確定系統級別。

　　在云計算技術(shù)在國內應用之前，隨著(zhù)實(shí)際工作在生產(chǎn)中逐步推廣應用，在如何確定系統級別的認識上不斷貼合實(shí)際需求，相關(guān)政策標準也因此在不斷修訂完善�！蛾P(guān)于信息安全等級保護工作的實(shí)施意見(jiàn)》(公通字[2004]66號，以下簡(jiǎn)稱(chēng)《實(shí)施意見(jiàn)》)中規定了五級監督管理強度�！缎畔�安全等級保護管理辦法》(公通字[2007]43號，以下簡(jiǎn)稱(chēng)《管理辦法》)，明確了信息系統重要程度的等級的概念，從信息系統重要程度及其社會(huì )屬性考慮給出了信息系統五個(gè)級別的定義。信息系統重要程度級別越高的系統可能面臨更多的威脅或更強能力的威脅，因此需要具備更強的安全保護能力才能實(shí)現基本安全�！缎畔⑾到y安全等級保護基本要求》(GB/T 22239-2008，以下簡(jiǎn)稱(chēng)《基本要求》)重新詮釋了安全保護能力，將安全保護能力暫時(shí)劃分為四級�！缎畔⑾到y安全保護等級定級指南》(GB/T22240-2008，以下簡(jiǎn)稱(chēng)《定級指南》)詳細闡明了定級的原理、流程、方法等。

　　信息系統確定了重要程度等級后，不同級別的信息系統須具備相應級別的安全保護能力，并為其實(shí)現，金融機構和運營(yíng)單位須依據《劃分準則》和《基本要求》等技術(shù)標準，落實(shí)各項安全技術(shù)和管理措施，信息安全監管部門(mén)根據信息系統的重要程度等級對信息系統實(shí)施不同強度的監督管理。

　　(二)云計算

　　云計算是一種計算模式，云從用戶(hù)對云的訪(fǎng)問(wèn)權限上可以分為私有云、公有云、混合云。對于金融機構而言，私有云是本機構自行搭建或租用云服務(wù)提供方搭建的、僅本機構或本機構與分支機構、營(yíng)業(yè)網(wǎng)點(diǎn)使用的服務(wù);公有云是由云服務(wù)提供方搭建的、不同機構用戶(hù)或個(gè)人用戶(hù)按實(shí)際用量付費租用的服務(wù);混合云是私有云和公有云對接形成。目前云應用、云平臺、云安全、云存儲等云服務(wù)，從提供服務(wù)種類(lèi)上可分為基礎設施即服務(wù)(Iaas)、平臺即服務(wù)(Paas)、軟件即服務(wù)(SaaS)，基礎設施即服務(wù)是指提供硬件、網(wǎng)絡(luò )、存儲等資源或計算能力;平臺即服務(wù)是指提供如開(kāi)發(fā)、測試、運維監管等操作環(huán)境，包括API、運行平臺等;軟件即服務(wù)是指提供各種可直接使用的應用軟件。

　　(三)金融云

　　金融云是金融信息化更上一層的又一個(gè)典型，是深化互聯(lián)網(wǎng)金融改革的又一個(gè)創(chuàng )新。無(wú)論是金融機構拓展自身IT能力部署云計算數據中心或是借助互聯(lián)網(wǎng)公司的云服務(wù)或是互聯(lián)網(wǎng)公司利用自身IT優(yōu)勢拓展金融業(yè)務(wù)，借機分金融市場(chǎng)一杯羹，金融云都可以歸結為通過(guò)云計算技術(shù)將金融數據中心與客戶(hù)端應用整合到云計算體系架構之中，借助云計算技術(shù)的快速彈性、可擴展、資源池化、廣泛網(wǎng)絡(luò )接入和多租戶(hù)等優(yōu)勢達到提高自身系統運算能力、數據處理能力和網(wǎng)絡(luò )吞吐能力，改善客戶(hù)體驗評價(jià)，提高金融機構迅速發(fā)現并解決問(wèn)題的能力，提升整體工作效率，改善流程，降低運營(yíng)成本的目的。

　　國內第一朵“金融云”由中國電信上海公司與服務(wù)提供商聯(lián)合打造誕生后，帶來(lái)資源配置優(yōu)化、資源利用率大幅提高、快速滿(mǎn)足彈性需求、可擴展、易接入、低成本高效益等重大利好的同時(shí)也帶來(lái)了安全、監管等方面的新難題。相較其他行業(yè)，金融業(yè)對于安全有著(zhù)更高的需求，金融業(yè)的業(yè)務(wù)特性使得是否擁有堅不可摧的云安全關(guān)乎金融機構、金融業(yè)乃至國家經(jīng)濟的生存發(fā)展，因此，在金融云上適時(shí)撐起信息安全等級保護這把綠色安全保護傘，當為時(shí)勢所趨。

　　二、金融云信息安全等級保護之云定級問(wèn)題與解決方案

　　(一)金融云信息安全等級保護之云定級問(wèn)題

　　1.定級對象邊界難以明晰�！抖�級指南》中明確了定級方法的第一步是確定定級對象�！侗Ｗo條例》、《管理辦法》、《基本要求》等政策標準中規定的信息安全等級保護對象是計算機信息系統。那么問(wèn)題來(lái)了，金融云是計算機信息系統嗎?如果不是，那么金融云與計算機信息系統有什么關(guān)系?

　　2.定級對象安全類(lèi)別難以區別�！抖�級指南》中將信息系統安全分解為業(yè)務(wù)信息安全和系統服務(wù)安全兩個(gè)方面，以便區別兩類(lèi)安全保護側重點(diǎn)不同的信息系統：以信息處理為主的信息系統和以業(yè)務(wù)流程處理為主的信息系統，從而使具有相同等級的信息系統因生產(chǎn)要求不同而具有不同的保護要求，進(jìn)而達到重點(diǎn)保護重要系統資產(chǎn)的目的。然而，從整體業(yè)務(wù)流程角度和金融云在流程中所承擔的角色看，金融云服務(wù)既可發(fā)揮信息處理為主的作用，也可發(fā)揮業(yè)務(wù)流程處理為主的作用，還可能同時(shí)兼之;而從云服務(wù)提供方角度看，云資源池中的資源未變，相同資源可在不同時(shí)間內提供給不同租戶(hù)，因此，資源的用途也未必相同。那么，如何確定金融云屬于上述何種類(lèi)別?

　　3.定級對象難以在多租戶(hù)云端被區別對待。實(shí)際生產(chǎn)中，不同用戶(hù)的安全需求不盡相同，公有云、混合云采用的多租戶(hù)技術(shù)使這些不同的用戶(hù)安全需求在同一云端不期而遇。然而，目前國內提供的很多云服務(wù)，包括私有云在內，通常未對自身云端資源服務(wù)評定安全等級，也未區分用戶(hù)安全需求等級。很多公有云通常未區分企業(yè)級和消費者級用戶(hù)，只要注冊申請付費賬號，都可以享受相同資源池或同一低安全等級的公有云服務(wù);一些公有云沒(méi)有對響應水平和服務(wù)級別進(jìn)行規定和劃分，可能出現企業(yè)級需求在支付更多費用的情況下無(wú)法找到專(zhuān)門(mén)的響應服務(wù)，特殊或緊急狀況無(wú)法處理，這種運行模式為用戶(hù)帶來(lái)很大困擾。還有很多混合云，未明確或簡(jiǎn)略知曉用戶(hù)的安全需求及安全級別，對公有云進(jìn)行簡(jiǎn)單安全防護后直接與用戶(hù)的私有云對接，使私有云原有的安全優(yōu)勢被拉低，從而增加了私有云的安全風(fēng)險。金融業(yè)對信息安全的要求更嚴苛，金融機構的信息系統須具備高性能、高可用性、高級別的安全保護和風(fēng)險管控等特點(diǎn)，金融云的應用使其自身的安全風(fēng)險牽動(dòng)著(zhù)金融機構原有的安全體系，因此，多租戶(hù)金融云提供的服務(wù)須與租戶(hù)已有的安全等級相匹配，然而，多租戶(hù)技術(shù)對數據隔離要求較高，換取數據隔離的高級別的代價(jià)是安全級別的降低。在云服務(wù)提供商眼中，他們面對的公有云、混合云始終不過(guò)是同一資源池或資源江、資源河、資源湖、資源海罷了，與其根據某一租戶(hù)需求對某一小朵資源服務(wù)進(jìn)行安全加固，遠不如對整體服務(wù)進(jìn)行安全加固來(lái)得容易、成本低、效率高。租戶(hù)們不同的安全需求決定了所租賃的云端服務(wù)安全等級可能不同于其他租戶(hù)的，而云服務(wù)提供商又不愿意區別對待安全等級不同的租戶(hù)服務(wù)，那么，對于安全性要求更高的多租戶(hù)金融云該如何確定安全等級?

　　(二)定級問(wèn)題思考及解決方案

　　1.定級對象邊界按需確定。從生產(chǎn)實(shí)踐的剖析角度看，金融云就是云計算技術(shù)在金融業(yè)的實(shí)踐應用，實(shí)現方式上是一種為金融業(yè)提供以云計算技術(shù)為核心的、可擴展的、快速彈性的、用戶(hù)按實(shí)際用量付費使用資源的金融IT技術(shù)服務(wù)。從整體上遠觀(guān)金融云，還可將其視為獨立的金融云計算生態(tài)系統，包括技術(shù)、產(chǎn)品、服務(wù)、應用等環(huán)節以及貫穿于整個(gè)生態(tài)系統的云安全。

　　因而，在應用金融云之后，金融云與計算機信息系統的關(guān)系較為微妙，在不同的視角可以看到不同的親密關(guān)系：在某一時(shí)間段內，若同時(shí)僅為同一傳統信息系統提供服務(wù)的金融云，其與傳統信息系統的關(guān)系較為固定，可視為一個(gè)特殊的信息系統，或視為可整體或部分融入傳統計算機信息系統中的一部分;若同時(shí)為多個(gè)傳統信息系統提供服務(wù)或同時(shí)為多個(gè)用戶(hù)(租戶(hù))提供服務(wù)的金融云，則在某一時(shí)點(diǎn)上可視為一個(gè)特殊的信息系統，或視為可整體或部分融入傳統計算機信息系統中的一部分，因其與為之服務(wù)的傳統信息系統的關(guān)系隨時(shí)間點(diǎn)動(dòng)態(tài)變化，故而在該時(shí)間段內整體上可視為一個(gè)動(dòng)態(tài)變化的特殊的信息系統。所以，用戶(hù)需要對金融云進(jìn)行信息安全等級保護，而且在對金融云進(jìn)行定級時(shí)，須按用戶(hù)需求從用戶(hù)視角對金融云的整體或部分、完整獨立或融入其他信息系統中進(jìn)行確定其安全等級。

　　2.定級對象類(lèi)別按用區分。根據金融云為傳統信息系統提供的服務(wù)和在傳統信息系統架構中所處的位置，金融云仍可依據相關(guān)規定進(jìn)行判別分類(lèi)，只不過(guò)部分金融云的類(lèi)別在信息系統生命周期內保持固定，而同時(shí)為多個(gè)信息系統提供服務(wù)的私有云、或同時(shí)為多租戶(hù)提供服務(wù)的公有云、混合云的類(lèi)別在某一時(shí)間段內不確定，即若在一段時(shí)間內，如在某一信息系統生命周期內，同時(shí)僅為其提供服務(wù)的金融云，其類(lèi)別在該信息系統生命周期內是固定靜態(tài)的，在某一時(shí)點(diǎn)上，其類(lèi)別與在該時(shí)間段內的類(lèi)別是一致的;若在一時(shí)間段內，同時(shí)為多個(gè)信息系統提供服務(wù)的或同時(shí)為多個(gè)用戶(hù)(租戶(hù))提供服務(wù)的金融云，其類(lèi)別是動(dòng)態(tài)的，而在某一時(shí)點(diǎn)上金融云各區域的類(lèi)別是固定靜態(tài)的，其類(lèi)別與在該時(shí)間段內的類(lèi)別不一定一致。

　　3.定級對象多租戶(hù)等級按群組特征確定�！拔镆灶�(lèi)聚，人以群分”，金融云的終端用戶(hù)可分為金融機構、企業(yè)和個(gè)人，云端多租戶(hù)可先區分出金融機構用戶(hù)、企業(yè)級用戶(hù)、個(gè)人用戶(hù)三種類(lèi)型，搭建云時(shí)可以考慮用戶(hù)類(lèi)型與資源之間的匹配關(guān)系，但這樣可能會(huì )以犧牲在這三類(lèi)用戶(hù)中資源配置優(yōu)勢為前提。對于已在用的金融云，若難以按用戶(hù)分類(lèi)分別匹配對應固定的資源池或若調整成本較大，則可按用戶(hù)的不同安全需求級別，在不同云端或同一云端不同區域建立劃分相應安全級別的業(yè)務(wù)種類(lèi)云、個(gè)人用戶(hù)區等，然后依據業(yè)務(wù)種類(lèi)、個(gè)人用戶(hù)的通用安全需求確定不同云端或云區域的安全等級。

　　上述三個(gè)問(wèn)題的解決方案中，對于在任一時(shí)間段內同時(shí)為多個(gè)信息系統或多個(gè)租戶(hù)提供服務(wù)的金融云，其對象邊界、對象分類(lèi)、多租戶(hù)安全級別是動(dòng)態(tài)變化的，只在具體時(shí)點(diǎn)上是靜態(tài)的，這是與傳統信息系統最大的不同之處。對于這種動(dòng)態(tài)多變的金融云，在任一時(shí)段內的任一時(shí)點(diǎn)上，各云區域的安全等級可按區域內當前租戶(hù)安全需求的最高級別確定，而在任一時(shí)段內各云區域的安全等級作為隨機變量服從正態(tài)分布，金融云服務(wù)提供商可將每天/月/年的空閑期、正常期、高峰期區分出來(lái)，確定每天不同時(shí)段的各云區域的安全等級常值和最高值，同一云端的各云區域可分別依據上述不同時(shí)段的安全等級常值配置日常不同時(shí)段的安全防護和加固措施，同時(shí)做好安全等級最高值的配置措施以備不時(shí)之需。若因技術(shù)、成本等原因無(wú)法對各云區域分別進(jìn)行不同等級的安全加固，則可依據對各云區域的不同時(shí)段安全等級常值和各云區域資源的使用頻率進(jìn)行概率分析，分別確定不同時(shí)段下概率最大的安全等級常值為整體云在不同時(shí)段下的安全等級常值，同時(shí)仍須做好安全等級最高值的配置措施。

　　三、結語(yǔ)

　　目前，盡管金融業(yè)小心謹慎，但還是在云計算、大數據等技術(shù)熱潮的推動(dòng)下，產(chǎn)業(yè)規模擴大，正在逐步深化技術(shù)創(chuàng )新、服務(wù)創(chuàng )新和管理創(chuàng )新協(xié)同推進(jìn)的金融服務(wù)發(fā)展格局，金融云計算生態(tài)系統將或形成，金融信息化改革進(jìn)一步深化，可以預測，未來(lái)的金融云將成為金融IT服務(wù)產(chǎn)業(yè)崛起的一座新地標。盡快研究解決如多租戶(hù)等新技術(shù)為金融云信息安全等級保護工作帶來(lái)的難點(diǎn)，早日為金融云全面撐開(kāi)信息安全等級保護這把綠色保護傘，使金融云能夠更可靠、更順暢、更安心地在金融領(lǐng)域上空發(fā)揮作用。

【金融云信息安全等級保護之云定級論文】相關(guān)文章：

論云計算下計算機信息安全及保密技術(shù)論文（通用7篇）09-21

云的作文12-15

交通安全云課堂心得感悟09-17

《云》教學(xué)教案08-08

秋天的云作文08-31

春天的云作文10-13

天上的云作文12-14

大班云教案12-18

云小學(xué)作文01-24

有趣的云作文11-27