基于云的金融信息系统等级保护安全测评探讨

贾海云 谢宗晓

信息安全管理系列之三十八

信息安全等级保护已经进入2.0时代，尤其是随着计算平台转移至云。越来越多的中小金融机构将其系统部署在云端，这导致信息安全等级保护的测评模式也随之发生了变化，下文以大都商业银行为案例，讨论了基于云的金融信息系统等级保护安全测评的架构变化以及常见问题。

谢宗晓（特约编辑）

摘要：以大都商业银行为案例，探讨了云计算时代金融信息系统架构的改变，分析了由于技术要求和管理要求的各个方面部署重点转移所导致的测评工作的变化，并在此基础上讨论了测评过程中发现的诸多常见问题。

关键词： 金融信息安全 信息安全等级保护 云计算安全

Evaluation of Financial Information System Classified Protection Security Based on Cloud Computing

Jia Haiyun （Inner Mongolia Autonomous Region Public Security Department ）

Xie Zongxiao （ China Financial Certification Authority ）

Abstract： This paper discusses the changes of the financial information system architecture in the cloud computing era， and analyzes the changes of the evaluation issues caused by the key transfer of the technical requirements and management requirements， and discusses the common problems found in the evaluation process.

Key words： financial information security， information security classified protection， cloud computing security

1 引言

金融业是信息化程度最高的领域之一，因此信息安全在其中的重要性不言而喻。《关于加强国家级重要信息系统保障工作有关事项的通知》所划定的47个重点行业中，将银行、证券和保险都列入其中[1]，诸多金融信息系统也被列为国家级重要信息系统，是信息安全等级保护制度关注的重点。

随着金融科技（Fintech）时代的到来，整个金融行业进入到业务快速变化的时期，基于传统稳定业务架构而建立起来的IT系统，很难适应这种新形势。云部署方案可以使金融机构迅速以低成本的方式搭建相对可靠的信息系统，目前已经成为中小金融企业的首选，也是以后的大势所趋。例如，上海地区SaaS企业用户行业榜单中，仅银行业就占据了18.4%。与此同时，安全在其中的挑战也与日俱增，上述企业用户在导入SaaS服务时遇到的障碍中，排名首位的就是安全与管控方面的挑战，占18.8%[2]。

本文探討了云计算时代金融信息系统架构的改变，分析了由于技术要求和管理要求的各个方面部署重点转移所导致的测评工作的变化，并在此基础上讨论了测评过程中发现的诸多常见问题。

2 加入云服务商后的架构

基于云部署方案的金融信息系统意味着整体计算平台的迁移，从而在架构层次产生了很大的变化。随着GA/T 1390.2—2017《网络安全等级保护基本要求 第2部分：云计算安全扩展要求》1）、《网络安全等级保护安全设计技术要求 第2部分：云计算安全要求》2）（征求意见稿）和《网络安全等级保护测评要求 第2部分：云计算安全扩展要求》3）（征求意见稿）等一系列云等级保护标准的修订，等级保护也进入到2.0时代。

信息安全等级保护2.0在定级[3]、备案、安全建设整改、等级测评和检查的所有阶段都会有所改变。以三级系统为例，信息安全等级保护工作的政策体系及其中涉及角色的主要分工如表1所示。表1修改自文献[1]的62～70页，限于篇幅，其中仅给出了最主要的文件或技术标准。

在表1中，涉及了两个信息安全等级保护测评机构，测评机构A负责云服务提供商的云平台等级保护安全测评，测评机构B负责具体金融信息系统的等级保护安全测评。一般而言，云服务提供商要先通过等级保护测评，才能有资格提供对外服务。图1是加入了云服务供应商之后的架构。

图1 金融云等级保护的测评机构

3 案例描述

大都商业银行（DaDu Commercial Bank， D2CB）成立于1997年，总部设于北京，是具有独立法人资格的全国性股份制商业银行，1999年完成股份制改造，2000年A股股票（6000××）在上海证券交易所挂牌上市[4]。大都商业银行的信息系统采用混合云部署方案，即现有的系统依然按照现有的运营模式，而新建系统则逐步转移至云平台。

2014年，大都商业银行决定进入互联网金融领域。互联网金融系统部署在云端，采购了一系列金融级的云计算服务，包括基础设施即服务IaaS（Infrastructure as a Service）、平台即服务PaaS（Platform as a Service）和软件即服务SaaS（Software as a Service）等服务。信息系统所涉及的服务器、数据库和网络等都部署在云端。因此，信息系统的安全保障工作由大都商业银行和云计算服务商共同完成。服务商的“云计算系统”已经通过了测评机构A所提供的等级保护三级系统的测评。

4 测评重点的变化分析

4.1 技术要求测评

对测评机构而言，测评机构A更关注GA/T 1390.2—2017《网络安全等级保护基本要求 第2部分：云计算安全扩展要求》，测评机构B则更关注通用要求。图2给出了大都商业银行互联网金融系统在等级保护测评中大致的责任划分。

技术方面的测评包括物理和环境安全、网络和通信安全、设备和计算安全以及应用和数据安全。在物理安全方面，云计算服务商负责机房物理安全，已经通过了等级保护的三级系统测评，测评机构A可以提供相关的资料。在网络和通信安全方面，云计算服务商负责相关的网络安全，包括结构安全、安全审计、入侵防范、恶意代码防范以及资源控制等，但是访问控制，尤其是远程访问，由双方共同负责，测评机构A可以提供相关的资料。

大都商业银行在设备和计算安全方面不仅购买了云计算供应商提供的安全服务，同时也购买了主流厂商的相关服务。身份鉴别和访问控制同时是设备和计算安全以及应用安全部署的重点。应用安全也是大都商业银行自身部署的重点。

数据安全方面，大都商业银行不但在云端进行数据备份，在本地也进行数据备份。数据在传输过程中采用https，并采用MD5保证消息完整性。同时，在个人信息保护方面，尤其是APP应用中，仅采集和保存业务必需的用户个人信息。

4.2 管理要求测评

管理方面的测评包括安全策略和管理制度、安全管理机构和人员、安全建设管理、系统建设管理和安全运维管理。在金融信息系统部署在云端之后，管理变得愈加重要，因为技术相对而言更具有共性，因此容易实现专业外包化，但是管理在每个组织之间则千差万别。

大都商业银行按照GB/T 22080—2016/ISO/IEC 27001：2013《信息技术 安全技术 信息安全管理体系 要求》进行了部署，范围包括互联网金融系统。在测评过程中，可以较多地考虑信息安全等级保护和信息安全管理体系（Information Security Management System，ISMS）这两种体系的整合[5-7]。由于两者管理原意的差异，信息安全管理体系（ISMS）是以组织的视角加强信息安全管理，相对而言更关注部署，信息安全等级保护偏重保护国家与公众利益，因此更围绕测评展开[8]。

在测评方面，GA/T 1390.2对于安全管理的要求重点集中于系统安全建设管理，由于云计算的特点，云服务商选择中的服务水平协议（Service-Level Agreement，SLA）是测评的重点。

5 小结

金融科技的发展对整个金融业态产生了重塑，由于面临多变的环境，越来越多的中小金融企业考虑速度和成本，将其信息系统建设转移至云计算平台，在这个过程中，安全是其首要考虑的问题之一。本文选择大都商业银行的互联网金融系统作为案例，结合GA/T 1390.2，初步探讨了云计算环境下金融信息系统等级保护的测评问题。

参考文献

[1]郭启全. 信息安全等级保护政策培训教程（2016版） [M]. 北京：中国工信出版集团/电子工业出版社，2016.

[2]2017中国SaaS用户研究报告[R/OL]. https：//yq.aliyun.com/articles/124086？spm=5176.8142029.759393.5.VpNGs7#yqblog.

[3]蔡倩倩. 金融云信息安全等级保护之云定级[J]. 现代经济信息，2016（06）：304-305，283.

[4]谢宗晓. 信息安全管理体系实施案例（第2版）[M]. 北京：中国标准出版社，2017.

[5]谢宗晓，刘斌. ISO/IEC27001与等级保护整合实施指南[M]. 北京：中国标准出版社，2014.

[6]胡娟，谢宗晓. 信息安全管理体系审核与信息系统安全等级保护测评的整合实施初探[J]. 中国标准导报，2015（04）：26-29.

[7]高磊，李晨旸，趙章界. 基于等级保护的信息安全管理体系研究[J]. 信息安全与通信保密，2015（05）：95-98，101.

[8]谢宗晓，甄杰，林润辉，等. 网络空间安全管理[M]. 北京：中国标准出版社，2017.