金融云可以归结为通过云计算技术将金融数据中心与客户端应用整合到云计算体系架构之中,借助云计算技术的快速弹性、可扩展、资源池化、广泛网络接入和多租户等优势达到提高自身系统运算能力、数据处理能力和网络吞吐能力,改善客户体验评价,提高金融机构迅速发现并解决问题的能力,提升整体工作效率,改善流程,降低运营成本的目的。
相较其他行业,金融业对于安全有着更高的需求,金融业的业务特性使得是否拥有坚不可摧的云安全关乎金融机构、金融业乃至国家经济的生存发展,因此,在金融云上适时撑起信息安全等级保护这把绿色安全保护伞,当为时势所趋。
金融云做等级保护,第一步就是信息系统的定级。结合等保标准和金融云等级保护实践,金融云等级保护定级往往会面临定级对象边界难以明晰、定级对象安全类别难以区别、定级对象难以在多租户云端被区别对待的问题。为了解决这些问题,让金融云等级保护定级更合理更准确,这里提供金融云信息安全等级保护定级难题解决方案,大家可看好了!
一、定级对象边界难以明晰
《定级指南》中明确了定级方法的第一步是确定定级对象。《保护条例》、《管理办法》、《基本要求》等政策标准中规定的信息安全等级保护对象是计算机信息系统。那么问题来了,金融云是计算机信息系统吗?如果不是,那么金融云与计算机信息系统有什么关系?
解决方案:定级对象边界按需确定
从生产实践的剖析角度看,金融云就是云计算技术在金融业的实践应用,实现方式上是一种为金融业提供以云计算技术为核心的、可扩展的、快速弹性的、用户按实际用量付费使用资源的金融IT技术服务。从整体上远观金融云,还可将其视为独立的金融云计算生态系统,包括技术、产品、服务、应用等环节以及贯穿于整个生态系统的云安全。
因而,在应用金融云之后,金融云与计算机信息系统的关系较为微妙,在不同的视角可以看到不同的亲密关系:在某一时间段内,若同时仅为同一传统信息系统提供服务的金融云,其与传统信息系统的关系较为固定,可视为一个特殊的信息系统,或视为可整体或部分融入传统计算机信息系统中的一部分;若同时为多个传统信息系统提供服务或同时为多个用户(租户)提供服务的金融云,则在某一时点上可视为一个特殊的信息系统,或视为可整体或部分融入传统计算机信息系统中的一部分,因其与为之服务的传统信息系统的关系随时间点动态变化,故而在该时间段内整体上可视为一个动态变化的特殊的信息系统。所以,用户需要对金融云进行信息安全等级保护,而且在对金融云进行定级时,须按用户需求从用户视角对金融云的整体或部分、完整独立或融入其他信息系统中进行确定其安全等级。
二、定级对象安全类别难以区别
《定级指南》中将信息系统安全分解为业务信息安全和系统服务安全两个方面,以便区别两类安全保护侧重点不同的信息系统:以信息处理为主的信息系统和以业务流程处理为主的信息系统,从而使具有相同等级的信息系统因生产要求不同而具有不同的保护要求,进而达到重点保护重要系统资产的目的。然而,从整体业务流程角度和金融云在流程中所承担的角色看,金融云服务既可发挥信息处理为主的作用,也可发挥业务流程处理为主的作用,还可能同时兼之;而从云服务提供方角度看,云资源池中的资源未变,相同资源可在不同时间内提供给不同租户,因此,资源的用途也未必相同。那么,如何确定金融云属于上述何种类别?
解决方案:定级对象类别按用区分
根据金融云为传统信息系统提供的服务和在传统信息系统架构中所处的位置,金融云仍可依据相关规定进行判别分类,只不过部分金融云的类别在信息系统生命周期内保持固定,而同时为多个信息系统提供服务的私有云、或同时为多租户提供服务的公有云、混合云的类别在某一时间段内不确定,即若在一段时间内,如在某一信息系统生命周期内,同时仅为其提供服务的金融云,其类别在该信息系统生命周期内是固定静态的,在某一时点上,其类别与在该时间段内的类别是一致的;若在一时间段内,同时为多个信息系统提供服务的或同时为多个用户(租户)提供服务的金融云,其类别是动态的,而在某一时点上金融云各区域的类别是固定静态的,其类别与在该时间段内的类别不一定一致。
三、定级对象难以在多租户云端被区别对待
实际生产中,不同用户的安全需求不尽相同,公有云、混合云采用的多租户技术使这些不同的用户安全需求在同一云端不期而遇。然而,目前国内提供的很多云服务,包括私有云在内,通常未对自身云端资源服务评定安全等级,也未区分用户安全需求等级。很多公有云通常未区分企业级和消费者级用户,只要注册申请付费账号,都可以享受相同资源池或同一低安全等级的公有云服务;一些公有云没有对响应水平和服务级别进行规定和划分,可能出现企业级需求在支付更多费用的情况下无法找到专门的响应服务,特殊或紧急状况无法处理,这种运行模式为用户带来很大困扰。还有很多混合云,未明确或简略知晓用户的安全需求及安全级别,对公有云进行简单安全防护后直接与用户的私有云对接,使私有云原有的安全优势被拉低,从而增加了私有云的安全风险。金融业对信息安全的要求更严苛,金融机构的信息系统须具备高性能、高可用性、高级别的安全保护和风险管控等特点,金融云的应用使其自身的安全风险牵动着金融机构原有的安全体系,因此,多租户金融云提供的服务须与租户已有的安全等级相匹配,然而,多租户技术对数据隔离要求较高,换取数据隔离的高级别的代价是安全级别的降低。在云服务提供商眼中,他们面对的公有云、混合云始终不过是同一资源池或资源江、资源河、资源湖、资源海罢了,与其根据某一租户需求对某一小朵资源服务进行安全加固,远不如对整体服务进行安全加固来得容易、成本低、效率高。租户们不同的安全需求决定了所租赁的云端服务安全等级可能不同于其他租户的,而云服务提供商又不愿意区别对待安全等级不同的租户服务,那么,对于安全性要求更高的多租户金融云该如何确定安全等级?
解决方案:定级对象多租户等级按群组特征确定
“物以类聚,人以群分”,金融云的终端用户可分为金融机构、企业和个人,云端多租户可先区分出金融机构用户、企业级用户、个人用户三种类型,搭建云时可以考虑用户类型与资源之间的匹配关系,但这样可能会以牺牲在这三类用户中资源配置优势为前提。对于已在用的金融云,若难以按用户分类分别匹配对应固定的资源池或若调整成本较大,则可按用户的不同安全需求级别,在不同云端或同一云端不同区域建立划分相应安全级别的业务种类云、个人用户区等,然后依据业务种类、个人用户的通用安全需求确定不同云端或云区域的安全等级。
最后,上述三个问题的解决方案中,对于在任一时间段内同时为多个信息系统或多个租户提供服务的金融云,其对象边界、对象分类、多租户安全级别是动态变化的,只在具体时点上是静态的,这是与传统信息系统最大的不同之处。对于这种动态多变的金融云,在任一时段内的任一时点上,各云区域的安全等级可按区域内当前租户安全需求的最高级别确定,而在任一时段内各云区域的安全等级作为随机变量服从正态分布,金融云服务提供商可将每天/月/年的空闲期、正常期、高峰期区分出来,确定每天不同时段的各云区域的安全等级常值和最高值,同一云端的各云区域可分别依据上述不同时段的安全等级常值配置日常不同时段的安全防护和加固措施,同时做好安全等级最高值的配置措施以备不时之需。若因技术、成本等原因无法对各云区域分别进行不同等级的安全加固,则可依据对各云区域的不同时段安全等级常值和各云区域资源的使用频率进行概率分析,分别确定不同时段下概率最大的安全等级常值为整体云在不同时段下的安全等级常值,同时仍须做好安全等级最高值的配置措施。
