金融云信息安全等級(jí)保護(hù)之云定級(jí)論文

　　自第一朵“金融云”飄蕩在金融行業(yè)上空后，金融機(jī)構(gòu)亟需為這朵云以及之后更多的云撐開綠色保護(hù)傘，信息安全等級(jí)保護(hù)便是其一。根據(jù)目前已建立的信息安全等級(jí)保護(hù)政策標(biāo)準(zhǔn)體系和實(shí)施框架，本文討論金融云可否作為現(xiàn)行的信息安全等級(jí)保護(hù)對象，應(yīng)用了多租戶技術(shù)的金融云當(dāng)如何確定自身的安全等級(jí)等問題，并針對多租戶云定級(jí)等問題提出了解決方案，為金融云順利全面撐開信息安全等級(jí)保護(hù)這把保護(hù)傘，提供了一種新的可能。

　　一、背景

　　(一)信息安全等級(jí)保護(hù)中系統(tǒng)定級(jí)的認(rèn)識(shí)

　　信息安全等級(jí)保護(hù)工作包括系統(tǒng)定級(jí)、系統(tǒng)備案、建設(shè)整改、等級(jí)測評(píng)、監(jiān)督檢查等內(nèi)容。系統(tǒng)定級(jí)是開展工作的第一步，只有明確了系統(tǒng)的安全級(jí)別，才能明確開展后續(xù)的總體安全規(guī)劃、安全設(shè)計(jì)與實(shí)施、安全運(yùn)維等工作，在安全運(yùn)維中通過反饋可局部調(diào)整安全設(shè)計(jì)實(shí)施，而當(dāng)遇到較大變更時(shí)可能須重新確定系統(tǒng)級(jí)別，修改或重新建設(shè)總體安全規(guī)劃。因此，需審慎確定系統(tǒng)級(jí)別。

　　在云計(jì)算技術(shù)在國內(nèi)應(yīng)用之前，隨著實(shí)際工作在生產(chǎn)中逐步推廣應(yīng)用，在如何確定系統(tǒng)級(jí)別的認(rèn)識(shí)上不斷貼合實(shí)際需求，相關(guān)政策標(biāo)準(zhǔn)也因此在不斷修訂完善�！蛾P(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見》(公通字[2004]66號(hào)，以下簡稱《實(shí)施意見》)中規(guī)定了五級(jí)監(jiān)督管理強(qiáng)度�！缎畔�安全等級(jí)保護(hù)管理辦法》(公通字[2007]43號(hào)，以下簡稱《管理辦法》)，明確了信息系統(tǒng)重要程度的等級(jí)的概念，從信息系統(tǒng)重要程度及其社會(huì)屬性考慮給出了信息系統(tǒng)五個(gè)級(jí)別的定義。信息系統(tǒng)重要程度級(jí)別越高的系統(tǒng)可能面臨更多的威脅或更強(qiáng)能力的威脅，因此需要具備更強(qiáng)的安全保護(hù)能力才能實(shí)現(xiàn)基本安全�！缎畔⑾到y(tǒng)安全等級(jí)保護(hù)基本要求》(GB/T 22239-2008，以下簡稱《基本要求》)重新詮釋了安全保護(hù)能力，將安全保護(hù)能力暫時(shí)劃分為四級(jí)�！缎畔⑾到y(tǒng)安全保護(hù)等級(jí)定級(jí)指南》(GB/T22240-2008，以下簡稱《定級(jí)指南》)詳細(xì)闡明了定級(jí)的原理、流程、方法等。

　　信息系統(tǒng)確定了重要程度等級(jí)后，不同級(jí)別的信息系統(tǒng)須具備相應(yīng)級(jí)別的安全保護(hù)能力，并為其實(shí)現(xiàn)，金融機(jī)構(gòu)和運(yùn)營單位須依據(jù)《劃分準(zhǔn)則》和《基本要求》等技術(shù)標(biāo)準(zhǔn)，落實(shí)各項(xiàng)安全技術(shù)和管理措施，信息安全監(jiān)管部門根據(jù)信息系統(tǒng)的重要程度等級(jí)對信息系統(tǒng)實(shí)施不同強(qiáng)度的監(jiān)督管理。

　　(二)云計(jì)算

　　云計(jì)算是一種計(jì)算模式，云從用戶對云的訪問權(quán)限上可以分為私有云、公有云、混合云。對于金融機(jī)構(gòu)而言，私有云是本機(jī)構(gòu)自行搭建或租用云服務(wù)提供方搭建的、僅本機(jī)構(gòu)或本機(jī)構(gòu)與分支機(jī)構(gòu)、營業(yè)網(wǎng)點(diǎn)使用的服務(wù);公有云是由云服務(wù)提供方搭建的、不同機(jī)構(gòu)用戶或個(gè)人用戶按實(shí)際用量付費(fèi)租用的服務(wù);混合云是私有云和公有云對接形成。目前云應(yīng)用、云平臺(tái)、云安全、云存儲(chǔ)等云服務(wù)，從提供服務(wù)種類上可分為基礎(chǔ)設(shè)施即服務(wù)(Iaas)、平臺(tái)即服務(wù)(Paas)、軟件即服務(wù)(SaaS)，基礎(chǔ)設(shè)施即服務(wù)是指提供硬件、網(wǎng)絡(luò)、存儲(chǔ)等資源或計(jì)算能力;平臺(tái)即服務(wù)是指提供如開發(fā)、測試、運(yùn)維監(jiān)管等操作環(huán)境，包括API、運(yùn)行平臺(tái)等;軟件即服務(wù)是指提供各種可直接使用的應(yīng)用軟件。

　　(三)金融云

　　金融云是金融信息化更上一層的又一個(gè)典型，是深化互聯(lián)網(wǎng)金融改革的又一個(gè)創(chuàng)新。無論是金融機(jī)構(gòu)拓展自身IT能力部署云計(jì)算數(shù)據(jù)中心或是借助互聯(lián)網(wǎng)公司的云服務(wù)或是互聯(lián)網(wǎng)公司利用自身IT優(yōu)勢拓展金融業(yè)務(wù)，借機(jī)分金融市場一杯羹，金融云都可以歸結(jié)為通過云計(jì)算技術(shù)將金融數(shù)據(jù)中心與客戶端應(yīng)用整合到云計(jì)算體系架構(gòu)之中，借助云計(jì)算技術(shù)的快速彈性、可擴(kuò)展、資源池化、廣泛網(wǎng)絡(luò)接入和多租戶等優(yōu)勢達(dá)到提高自身系統(tǒng)運(yùn)算能力、數(shù)據(jù)處理能力和網(wǎng)絡(luò)吞吐能力，改善客戶體驗(yàn)評(píng)價(jià)，提高金融機(jī)構(gòu)迅速發(fā)現(xiàn)并解決問題的能力，提升整體工作效率，改善流程，降低運(yùn)營成本的目的。

　　國內(nèi)第一朵“金融云”由中國電信上海公司與服務(wù)提供商聯(lián)合打造誕生后，帶來資源配置優(yōu)化、資源利用率大幅提高、快速滿足彈性需求、可擴(kuò)展、易接入、低成本高效益等重大利好的同時(shí)也帶來了安全、監(jiān)管等方面的新難題。相較其他行業(yè)，金融業(yè)對于安全有著更高的需求，金融業(yè)的業(yè)務(wù)特性使得是否擁有堅(jiān)不可摧的云安全關(guān)乎金融機(jī)構(gòu)、金融業(yè)乃至國家經(jīng)濟(jì)的生存發(fā)展，因此，在金融云上適時(shí)撐起信息安全等級(jí)保護(hù)這把綠色安全保護(hù)傘，當(dāng)為時(shí)勢所趨。

　　二、金融云信息安全等級(jí)保護(hù)之云定級(jí)問題與解決方案

　　(一)金融云信息安全等級(jí)保護(hù)之云定級(jí)問題

　　1.定級(jí)對象邊界難以明晰�！抖�級(jí)指南》中明確了定級(jí)方法的第一步是確定定級(jí)對象。《保護(hù)條例》、《管理辦法》、《基本要求》等政策標(biāo)準(zhǔn)中規(guī)定的信息安全等級(jí)保護(hù)對象是計(jì)算機(jī)信息系統(tǒng)。那么問題來了，金融云是計(jì)算機(jī)信息系統(tǒng)嗎?如果不是，那么金融云與計(jì)算機(jī)信息系統(tǒng)有什么關(guān)系?

　　2.定級(jí)對象安全類別難以區(qū)別�！抖�級(jí)指南》中將信息系統(tǒng)安全分解為業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全兩個(gè)方面，以便區(qū)別兩類安全保護(hù)側(cè)重點(diǎn)不同的信息系統(tǒng)：以信息處理為主的信息系統(tǒng)和以業(yè)務(wù)流程處理為主的信息系統(tǒng)，從而使具有相同等級(jí)的信息系統(tǒng)因生產(chǎn)要求不同而具有不同的保護(hù)要求，進(jìn)而達(dá)到重點(diǎn)保護(hù)重要系統(tǒng)資產(chǎn)的目的。然而，從整體業(yè)務(wù)流程角度和金融云在流程中所承擔(dān)的角色看，金融云服務(wù)既可發(fā)揮信息處理為主的作用，也可發(fā)揮業(yè)務(wù)流程處理為主的作用，還可能同時(shí)兼之;而從云服務(wù)提供方角度看，云資源池中的資源未變，相同資源可在不同時(shí)間內(nèi)提供給不同租戶，因此，資源的用途也未必相同。那么，如何確定金融云屬于上述何種類別?

　　3.定級(jí)對象難以在多租戶云端被區(qū)別對待。實(shí)際生產(chǎn)中，不同用戶的安全需求不盡相同，公有云、混合云采用的多租戶技術(shù)使這些不同的用戶安全需求在同一云端不期而遇。然而，目前國內(nèi)提供的很多云服務(wù)，包括私有云在內(nèi)，通常未對自身云端資源服務(wù)評(píng)定安全等級(jí)，也未區(qū)分用戶安全需求等級(jí)。很多公有云通常未區(qū)分企業(yè)級(jí)和消費(fèi)者級(jí)用戶，只要注冊申請付費(fèi)賬號(hào)，都可以享受相同資源池或同一低安全等級(jí)的公有云服務(wù);一些公有云沒有對響應(yīng)水平和服務(wù)級(jí)別進(jìn)行規(guī)定和劃分，可能出現(xiàn)企業(yè)級(jí)需求在支付更多費(fèi)用的情況下無法找到專門的響應(yīng)服務(wù)，特殊或緊急狀況無法處理，這種運(yùn)行模式為用戶帶來很大困擾。還有很多混合云，未明確或簡略知曉用戶的安全需求及安全級(jí)別，對公有云進(jìn)行簡單安全防護(hù)后直接與用戶的私有云對接，使私有云原有的安全優(yōu)勢被拉低，從而增加了私有云的安全風(fēng)險(xiǎn)。金融業(yè)對信息安全的要求更嚴(yán)苛，金融機(jī)構(gòu)的信息系統(tǒng)須具備高性能、高可用性、高級(jí)別的安全保護(hù)和風(fēng)險(xiǎn)管控等特點(diǎn)，金融云的應(yīng)用使其自身的安全風(fēng)險(xiǎn)牽動(dòng)著金融機(jī)構(gòu)原有的安全體系，因此，多租戶金融云提供的服務(wù)須與租戶已有的安全等級(jí)相匹配，然而，多租戶技術(shù)對數(shù)據(jù)隔離要求較高，換取數(shù)據(jù)隔離的高級(jí)別的代價(jià)是安全級(jí)別的降低。在云服務(wù)提供商眼中，他們面對的公有云、混合云始終不過是同一資源池或資源江、資源河、資源湖、資源海罷了，與其根據(jù)某一租戶需求對某一小朵資源服務(wù)進(jìn)行安全加固，遠(yuǎn)不如對整體服務(wù)進(jìn)行安全加固來得容易、成本低、效率高。租戶們不同的安全需求決定了所租賃的云端服務(wù)安全等級(jí)可能不同于其他租戶的，而云服務(wù)提供商又不愿意區(qū)別對待安全等級(jí)不同的租戶服務(wù)，那么，對于安全性要求更高的多租戶金融云該如何確定安全等級(jí)?

　　(二)定級(jí)問題思考及解決方案

　　1.定級(jí)對象邊界按需確定。從生產(chǎn)實(shí)踐的剖析角度看，金融云就是云計(jì)算技術(shù)在金融業(yè)的實(shí)踐應(yīng)用，實(shí)現(xiàn)方式上是一種為金融業(yè)提供以云計(jì)算技術(shù)為核心的、可擴(kuò)展的、快速彈性的、用戶按實(shí)際用量付費(fèi)使用資源的金融IT技術(shù)服務(wù)。從整體上遠(yuǎn)觀金融云，還可將其視為獨(dú)立的金融云計(jì)算生態(tài)系統(tǒng)，包括技術(shù)、產(chǎn)品、服務(wù)、應(yīng)用等環(huán)節(jié)以及貫穿于整個(gè)生態(tài)系統(tǒng)的云安全。

　　因而，在應(yīng)用金融云之后，金融云與計(jì)算機(jī)信息系統(tǒng)的關(guān)系較為微妙，在不同的視角可以看到不同的親密關(guān)系：在某一時(shí)間段內(nèi)，若同時(shí)僅為同一傳統(tǒng)信息系統(tǒng)提供服務(wù)的金融云，其與傳統(tǒng)信息系統(tǒng)的關(guān)系較為固定，可視為一個(gè)特殊的信息系統(tǒng)，或視為可整體或部分融入傳統(tǒng)計(jì)算機(jī)信息系統(tǒng)中的一部分;若同時(shí)為多個(gè)傳統(tǒng)信息系統(tǒng)提供服務(wù)或同時(shí)為多個(gè)用戶(租戶)提供服務(wù)的金融云，則在某一時(shí)點(diǎn)上可視為一個(gè)特殊的信息系統(tǒng)，或視為可整體或部分融入傳統(tǒng)計(jì)算機(jī)信息系統(tǒng)中的一部分，因其與為之服務(wù)的傳統(tǒng)信息系統(tǒng)的關(guān)系隨時(shí)間點(diǎn)動(dòng)態(tài)變化，故而在該時(shí)間段內(nèi)整體上可視為一個(gè)動(dòng)態(tài)變化的特殊的信息系統(tǒng)。所以，用戶需要對金融云進(jìn)行信息安全等級(jí)保護(hù)，而且在對金融云進(jìn)行定級(jí)時(shí)，須按用戶需求從用戶視角對金融云的整體或部分、完整獨(dú)立或融入其他信息系統(tǒng)中進(jìn)行確定其安全等級(jí)。

　　2.定級(jí)對象類別按用區(qū)分。根據(jù)金融云為傳統(tǒng)信息系統(tǒng)提供的服務(wù)和在傳統(tǒng)信息系統(tǒng)架構(gòu)中所處的位置，金融云仍可依據(jù)相關(guān)規(guī)定進(jìn)行判別分類，只不過部分金融云的類別在信息系統(tǒng)生命周期內(nèi)保持固定，而同時(shí)為多個(gè)信息系統(tǒng)提供服務(wù)的私有云、或同時(shí)為多租戶提供服務(wù)的公有云、混合云的類別在某一時(shí)間段內(nèi)不確定，即若在一段時(shí)間內(nèi)，如在某一信息系統(tǒng)生命周期內(nèi)，同時(shí)僅為其提供服務(wù)的金融云，其類別在該信息系統(tǒng)生命周期內(nèi)是固定靜態(tài)的，在某一時(shí)點(diǎn)上，其類別與在該時(shí)間段內(nèi)的類別是一致的;若在一時(shí)間段內(nèi)，同時(shí)為多個(gè)信息系統(tǒng)提供服務(wù)的或同時(shí)為多個(gè)用戶(租戶)提供服務(wù)的金融云，其類別是動(dòng)態(tài)的，而在某一時(shí)點(diǎn)上金融云各區(qū)域的類別是固定靜態(tài)的，其類別與在該時(shí)間段內(nèi)的類別不一定一致。

　　3.定級(jí)對象多租戶等級(jí)按群組特征確定�！拔镆灶惥�，人以群分”，金融云的終端用戶可分為金融機(jī)構(gòu)、企業(yè)和個(gè)人，云端多租戶可先區(qū)分出金融機(jī)構(gòu)用戶、企業(yè)級(jí)用戶、個(gè)人用戶三種類型，搭建云時(shí)可以考慮用戶類型與資源之間的匹配關(guān)系，但這樣可能會(huì)以犧牲在這三類用戶中資源配置優(yōu)勢為前提。對于已在用的金融云，若難以按用戶分類分別匹配對應(yīng)固定的資源池或若調(diào)整成本較大，則可按用戶的不同安全需求級(jí)別，在不同云端或同一云端不同區(qū)域建立劃分相應(yīng)安全級(jí)別的業(yè)務(wù)種類云、個(gè)人用戶區(qū)等，然后依據(jù)業(yè)務(wù)種類、個(gè)人用戶的通用安全需求確定不同云端或云區(qū)域的安全等級(jí)。

　　上述三個(gè)問題的解決方案中，對于在任一時(shí)間段內(nèi)同時(shí)為多個(gè)信息系統(tǒng)或多個(gè)租戶提供服務(wù)的金融云，其對象邊界、對象分類、多租戶安全級(jí)別是動(dòng)態(tài)變化的，只在具體時(shí)點(diǎn)上是靜態(tài)的，這是與傳統(tǒng)信息系統(tǒng)最大的不同之處。對于這種動(dòng)態(tài)多變的金融云，在任一時(shí)段內(nèi)的任一時(shí)點(diǎn)上，各云區(qū)域的安全等級(jí)可按區(qū)域內(nèi)當(dāng)前租戶安全需求的最高級(jí)別確定，而在任一時(shí)段內(nèi)各云區(qū)域的安全等級(jí)作為隨機(jī)變量服從正態(tài)分布，金融云服務(wù)提供商可將每天/月/年的空閑期、正常期、高峰期區(qū)分出來，確定每天不同時(shí)段的各云區(qū)域的安全等級(jí)常值和最高值，同一云端的各云區(qū)域可分別依據(jù)上述不同時(shí)段的安全等級(jí)常值配置日常不同時(shí)段的安全防護(hù)和加固措施，同時(shí)做好安全等級(jí)最高值的配置措施以備不時(shí)之需。若因技術(shù)、成本等原因無法對各云區(qū)域分別進(jìn)行不同等級(jí)的安全加固，則可依據(jù)對各云區(qū)域的不同時(shí)段安全等級(jí)常值和各云區(qū)域資源的使用頻率進(jìn)行概率分析，分別確定不同時(shí)段下概率最大的安全等級(jí)常值為整體云在不同時(shí)段下的安全等級(jí)常值，同時(shí)仍須做好安全等級(jí)最高值的配置措施。

　　三、結(jié)語

　　目前，盡管金融業(yè)小心謹(jǐn)慎，但還是在云計(jì)算、大數(shù)據(jù)等技術(shù)熱潮的推動(dòng)下，產(chǎn)業(yè)規(guī)模擴(kuò)大，正在逐步深化技術(shù)創(chuàng)新、服務(wù)創(chuàng)新和管理創(chuàng)新協(xié)同推進(jìn)的金融服務(wù)發(fā)展格局，金融云計(jì)算生態(tài)系統(tǒng)將或形成，金融信息化改革進(jìn)一步深化，可以預(yù)測，未來的金融云將成為金融IT服務(wù)產(chǎn)業(yè)崛起的一座新地標(biāo)。盡快研究解決如多租戶等新技術(shù)為金融云信息安全等級(jí)保護(hù)工作帶來的難點(diǎn)，早日為金融云全面撐開信息安全等級(jí)保護(hù)這把綠色保護(hù)傘，使金融云能夠更可靠、更順暢、更安心地在金融領(lǐng)域上空發(fā)揮作用。

【金融云信息安全等級(jí)保護(hù)之云定級(jí)論文】相關(guān)文章：

信息安全等級(jí)保護(hù)的分析論文10-09

云時(shí)代信息安全建設(shè)探討的論文10-09

信息安全與等級(jí)保護(hù)技術(shù)研究論文10-11

醫(yī)院信息安全等級(jí)保護(hù)的探討論文10-09

云計(jì)算環(huán)境下信息安全對策論文10-11

云計(jì)算下檔案信息管理的研究論文10-12

云會(huì)計(jì)下會(huì)計(jì)信息安全問題論文10-09

論云計(jì)算下計(jì)算機(jī)信息安全及保密技術(shù)論文（通用7篇）10-13

云計(jì)算于電子商務(wù)影響論文10-09

云計(jì)算的安全問題10-26