自第一朵“金融云”飘荡在金融行业上空后,金融机构亟需为这朵云以及之后更多的云撑开绿色保护伞,信息安全等级保护便是其一。根据目前已建立的信息安全等级保护政策标准体系和实施框架,本文讨论金融云可否作为现行的信息安全等级保护对象,应用了多租户技术的金融云当如何确定自身的安全等级等问题,并针对多租户云定级等问题提出了解决方案,为金融云顺利全面撑开信息安全等级保护这把保护伞,提供了一种新的可能。
一、背景
(一)信息安全等级保护中系统定级的认识
信息安全等级保护工作包括系统定级、系统备案、建设整改、等级测评、监督检查等内容。系统定级是开展工作的第一步,只有明确了系统的安全级别,才能明确开展后续的总体安全规划、安全设计与实施、安全运维等工作,在安全运维中通过反馈可局部调整安全设计实施,而当遇到较大变更时可能须重新确定系统级别,修改或重新建设总体安全规划。因此,需审慎确定系统级别。
在云计算技术在国内应用之前,随着实际工作在生产中逐步推广应用,在如何确定系统级别的认识上不断贴合实际需求,相关政策标准也因此在不断修订完善。《关于信息安全等级保护工作的实施意见》(公通字[2004]66号,以下简称《实施意见》)中规定了五级监督管理强度。《信息安全等级保护管理办法》(公通字[2007]43号,以下简称《管理办法》),明确了信息系统重要程度的等级的概念,从信息系统重要程度及其社会属性考虑给出了信息系统五个级别的定义。信息系统重要程度级别越高的系统可能面临更多的威胁或更强能力的威胁,因此需要具备更强的安全保护能力才能实现基本安全。《信息系统安全等级保护基本要求》(GB/T 22239-2008,以下简称《基本要求》)重新诠释了安全保护能力,将安全保护能力暂时划分为四级。《信息系统安全保护等级定级指南》(GB/T22240-2008,以下简称《定级指南》)详细阐明了定级的原理、流程、方法等。
信息系统确定了重要程度等级后,不同级别的信息系统须具备相应级别的安全保护能力,并为其实现,金融机构和运营单位须依据《划分准则》和《基本要求》等技术标准,落实各项安全技术和管理措施,信息安全监管部门根据信息系统的重要程度等级对信息系统实施不同强度的监督管理。
(二)云计算
云计算是一种计算模式,云从用户对云的访问权限上可以分为私有云、公有云、混合云。对于金融机构而言,私有云是本机构自行搭建或租用云服务提供方搭建的、仅本机构或本机构与分支机构、营业网点使用的服务;公有云是由云服务提供方搭建的、不同机构用户或个人用户按实际用量付费租用的服务;混合云是私有云和公有云对接形成。目前云应用、云平台、云安全、云存储等云服务,从提供服务种类上可分为基础设施即服务(Iaas)、平台即服务(Paas)、软件即服务(SaaS),基础设施即服务是指提供硬件、网络、存储等资源或计算能力;平台即服务是指提供如开发、测试、运维监管等操作环境,包括API、运行平台等;软件即服务是指提供各种可直接使用的应用软件。
(三)金融云
金融云是金融信息化更上一层的又一个典型,是深化互联网金融改革的又一个创新。无论是金融机构拓展自身IT能力部署云计算数据中心或是借助互联网公司的云服务或是互联网公司利用自身IT优势拓展金融业务,借机分金融市场一杯羹,金融云都可以归结为通过云计算技术将金融数据中心与客户端应用整合到云计算体系架构之中,借助云计算技术的快速弹性、可扩展、资源池化、广泛网络接入和多租户等优势达到提高自身系统运算能力、数据处理能力和网络吞吐能力,改善客户体验评价,提高金融机构迅速发现并解决问题的能力,提升整体工作效率,改善流程,降低运营成本的目的。
国内第一朵“金融云”由中国电信上海公司与服务提供商联合打造诞生后,带来资源配置优化、资源利用率大幅提高、快速满足弹性需求、可扩展、易接入、低成本高效益等重大利好的同时也带来了安全、监管等方面的新难题。相较其他行业,金融业对于安全有着更高的需求,金融业的业务特性使得是否拥有坚不可摧的云安全关乎金融机构、金融业乃至国家经济的生存发展,因此,在金融云上适时撑起信息安全等级保护这把绿色安全保护伞,当为时势所趋。
二、金融云信息安全等级保护之云定级问题与解决方案
(一)金融云信息安全等级保护之云定级问题
1.定级对象边界难以明晰。《定级指南》中明确了定级方法的第一步是确定定级对象。《保护条例》、《管理办法》、《基本要求》等政策标准中规定的信息安全等级保护对象是计算机信息系统。那么问题来了,金融云是计算机信息系统吗?如果不是,那么金融云与计算机信息系统有什么关系?
2.定级对象安全类别难以区别。《定级指南》中将信息系统安全分解为业务信息安全和系统服务安全两个方面,以便区别两类安全保护侧重点不同的信息系统:以信息处理为主的信息系统和以业务流程处理为主的信息系统,从而使具有相同等级的信息系统因生产要求不同而具有不同的保护要求,进而达到重点保护重要系统资产的目的。然而,从整体业务流程角度和金融云在流程中所承担的角色看,金融云服务既可发挥信息处理为主的作用,也可发挥业务流程处理为主的作用,还可能同时兼之;而从云服务提供方角度看,云资源池中的资源未变,相同资源可在不同时间内提供给不同租户,因此,资源的用途也未必相同。那么,如何确定金融云属于上述何种类别?
3.定级对象难以在多租户云端被区别对待。实际生产中,不同用户的安全需求不尽相同,公有云、混合云采用的多租户技术使这些不同的用户安全需求在同一云端不期而遇。然而,目前国内提供的很多云服务,包括私有云在内,通常未对自身云端资源服务评定安全等级,也未区分用户安全需求等级。很多公有云通常未区分企业级和消费者级用户,只要注册申请付费账号,都可以享受相同资源池或同一低安全等级的公有云服务;一些公有云没有对响应水平和服务级别进行规定和划分,可能出现企业级需求在支付更多费用的情况下无法找到专门的响应服务,特殊或紧急状况无法处理,这种运行模式为用户带来很大困扰。还有很多混合云,未明确或简略知晓用户的安全需求及安全级别,对公有云进行简单安全防护后直接与用户的私有云对接,使私有云原有的安全优势被拉低,从而增加了私有云的安全风险。金融业对信息安全的要求更严苛,金融机构的信息系统须具备高性能、高可用性、高级别的安全保护和风险管控等特点,金融云的应用使其自身的安全风险牵动着金融机构原有的安全体系,因此,多租户金融云提供的服务须与租户已有的安全等级相匹配,然而,多租户技术对数据隔离要求较高,换取数据隔离的高级别的代价是安全级别的降低。在云服务提供商眼中,他们面对的公有云、混合云始终不过是同一资源池或资源江、资源河、资源湖、资源海罢了,与其根据某一租户需求对某一小朵资源服务进行安全加固,远不如对整体服务进行安全加固来得容易、成本低、效率高。租户们不同的安全需求决定了所租赁的云端服务安全等级可能不同于其他租户的,而云服务提供商又不愿意区别对待安全等级不同的租户服务,那么,对于安全性要求更高的多租户金融云该如何确定安全等级?
(二)定级问题思考及解决方案
1.定级对象边界按需确定。从生产实践的剖析角度看,金融云就是云计算技术在金融业的实践应用,实现方式上是一种为金融业提供以云计算技术为核心的、可扩展的、快速弹性的、用户按实际用量付费使用资源的金融IT技术服务。从整体上远观金融云,还可将其视为独立的金融云计算生态系统,包括技术、产品、服务、应用等环节以及贯穿于整个生态系统的云安全。
因而,在应用金融云之后,金融云与计算机信息系统的关系较为微妙,在不同的视角可以看到不同的亲密关系:在某一时间段内,若同时仅为同一传统信息系统提供服务的金融云,其与传统信息系统的关系较为固定,可视为一个特殊的信息系统,或视为可整体或部分融入传统计算机信息系统中的一部分;若同时为多个传统信息系统提供服务或同时为多个用户(租户)提供服务的金融云,则在某一时点上可视为一个特殊的信息系统,或视为可整体或部分融入传统计算机信息系统中的一部分,因其与为之服务的传统信息系统的关系随时间点动态变化,故而在该时间段内整体上可视为一个动态变化的特殊的信息系统。所以,用户需要对金融云进行信息安全等级保护,而且在对金融云进行定级时,须按用户需求从用户视角对金融云的整体或部分、完整独立或融入其他信息系统中进行确定其安全等级。
2.定级对象类别按用区分。根据金融云为传统信息系统提供的服务和在传统信息系统架构中所处的位置,金融云仍可依据相关规定进行判别分类,只不过部分金融云的类别在信息系统生命周期内保持固定,而同时为多个信息系统提供服务的私有云、或同时为多租户提供服务的公有云、混合云的类别在某一时间段内不确定,即若在一段时间内,如在某一信息系统生命周期内,同时仅为其提供服务的金融云,其类别在该信息系统生命周期内是固定静态的,在某一时点上,其类别与在该时间段内的类别是一致的;若在一时间段内,同时为多个信息系统提供服务的或同时为多个用户(租户)提供服务的金融云,其类别是动态的,而在某一时点上金融云各区域的类别是固定静态的,其类别与在该时间段内的类别不一定一致。
3.定级对象多租户等级按群组特征确定。“物以类聚,人以群分”,金融云的终端用户可分为金融机构、企业和个人,云端多租户可先区分出金融机构用户、企业级用户、个人用户三种类型,搭建云时可以考虑用户类型与资源之间的匹配关系,但这样可能会以牺牲在这三类用户中资源配置优势为前提。对于已在用的金融云,若难以按用户分类分别匹配对应固定的资源池或若调整成本较大,则可按用户的不同安全需求级别,在不同云端或同一云端不同区域建立划分相应安全级别的业务种类云、个人用户区等,然后依据业务种类、个人用户的通用安全需求确定不同云端或云区域的安全等级。
上述三个问题的解决方案中,对于在任一时间段内同时为多个信息系统或多个租户提供服务的金融云,其对象边界、对象分类、多租户安全级别是动态变化的,只在具体时点上是静态的,这是与传统信息系统最大的不同之处。对于这种动态多变的金融云,在任一时段内的任一时点上,各云区域的安全等级可按区域内当前租户安全需求的最高级别确定,而在任一时段内各云区域的安全等级作为随机变量服从正态分布,金融云服务提供商可将每天/月/年的空闲期、正常期、高峰期区分出来,确定每天不同时段的各云区域的安全等级常值和最高值,同一云端的各云区域可分别依据上述不同时段的安全等级常值配置日常不同时段的安全防护和加固措施,同时做好安全等级最高值的配置措施以备不时之需。若因技术、成本等原因无法对各云区域分别进行不同等级的安全加固,则可依据对各云区域的不同时段安全等级常值和各云区域资源的使用频率进行概率分析,分别确定不同时段下概率最大的安全等级常值为整体云在不同时段下的安全等级常值,同时仍须做好安全等级最高值的配置措施。
三、结语
目前,尽管金融业小心谨慎,但还是在云计算、大数据等技术热潮的推动下,产业规模扩大,正在逐步深化技术创新、服务创新和管理创新协同推进的金融服务发展格局,金融云计算生态系统将或形成,金融信息化改革进一步深化,可以预测,未来的金融云将成为金融IT服务产业崛起的一座新地标。尽快研究解决如多租户等新技术为金融云信息安全等级保护工作带来的难点,早日为金融云全面撑开信息安全等级保护这把绿色保护伞,使金融云能够更可靠、更顺畅、更安心地在金融领域上空发挥作用。
作者:蔡倩倩 来源:现代经济信息 2016年9期