1、安全企業談等保2.0（五 ）云端互聯網金融業務的安全要求及解決方案編者按互聯網金融業務系統上云后的安全是當下熱點，本文梳理了等級保護云計 算安全和非銀行金融機構安全監管這兩方面的合規性要求，將兩者加以融合、 針對其主要的安全問題和需求，提出云端互聯網金融的安全防護、安全檢測和 安全監測三大類措施與安全服務解決方案。正文目前，公有云的建設發展成為互聯網時代的風向標，如阿里云、亞馬遜等 建立的公有云規模增長迅速。在移動互聯網發展推波助瀾之下，依托移動互聯 網開展P2P網貸、線上理財、消費金融、三方支付業務的企業為了享受公有云 提供的快捷、彈性架構，從而紛紛將應用系統部署到云上。首先，合規要求方面，

2、信息系統安全等級保護基本要求云計算擴展要 求（以下簡稱 “云等保 ”）定義云計算服務帶來了 “云主機 ”等虛擬計算資 源，將傳統 IT 環境中信息系統運營、使用單位的單一安全責任轉變為云租戶和 云服務商雙方 “各自分擔 ”的安全責任。這點明確了企業作為云租戶，其應用系 統都需要定級且符合對應等級安全控制措施要求。2016年12月銀監會發布了 188號文，中國銀監會辦公廳關于加強非銀 行金融機構信息科技建設和管理的指導意見（以下簡稱 “指導意見 ”）， 對信托公司和金融資產管理公司、企業集團財務公司、金融租賃公司、汽車金 融公司、消費金融公司、貨幣經紀公司等非銀行金融機構信息科技建設、信息 科技

3、風險防范提出了要求。指導意見第五章節指出 “加強網絡區域劃分和隔離；通過部署防病毒、 防攻擊、防篡改、防泄密、防抵賴等措施提升系統抵御內外部攻擊破壞的能 力；”。對于云上應用系統的安全防護明確提出了安全建設要求。2017年 3月之間公開報道的敏感信息泄露案例的數據分析發現： 敏感信息泄露呈現上升趨勢 泄露手段從以黑客入侵等技術手段為主 向技術手段與收買內部員工、內部管理不善等非技術手段結合并用發展，特別 是對非技術手段的運用，近幾年呈現出較快速的增長，企業對可能的應用系統 攻擊行為沒有安全檢測防護措施。 敏感信息泄露涉及行業廣泛 重點集中在互聯網、制造業、政府機構 及金融行業，特別是互聯網行業

4、信息泄露事件呈現高速增長趨勢，需要引起警 惕。敏感信息泄露的追責難度大 一一基于IP的審計，難以準確定位責任人， 難以將IP地址與具體人員身份準確關聯，導致發生安全事故后，追查責任人成 為新的難題。由此，安全威脅與應用安全風險與企業業務經營如影隨形。應用系統部署 到云上的企業需要考慮在公有云上應用系統的安全防護解決思路。綠盟科技建議從滿足合規要求作為起點，業務在 “云上”的企業都需要符合 云等保安全要求，非銀行金融機構接受國家主管單位合規監管，未持牌開 展業務或違規經營將會后果嚴重。同時，為了達到業務正常開展需要的安全防 護水平，安全服務也應納入，解決應用系統安全檢測和安全監測需要。1合規要求

5、依據信息系統安全等級保護基本要求云計算擴展要求，明確定義了云 租戶側的等級保護對象也應作為單獨的定級對象定級。云計算系統的定級對象 在原有定級對象基礎上進行了擴展，原有定級對象主要是信息系統和相關基礎 網絡，而云計算將定級對象擴展為云服務商的云平臺和云租戶的應用系統。云 計算系統定級時，云服務商的云平臺和云租戶的應用系統應分別定級，云平臺 等級應不低于應用系統的安全保護等級。這點明確了企業作為云租戶，其應用 系統都需要定級且符合對應等級安全控制措施要求。對照等保二級要求，應至少部署防火墻、堡壘機達到控制措施要求；對照 等保三級要求，應至少部署入侵防護、防火墻、堡壘機、數據庫審計達到控制措施要求

6、。對于云端租戶的安全需求，客戶可以方便地從云服務提供商的云市 場中進行選購和安裝。對有線下服務需求的企業，如專家版服務，可以結合線 上線下服務的組合。指導意見第五章節中提出 “,加強系統安全漏洞和補丁信息的監測、收 集和評估，確保及時發現和處置重大安全隱患。 , ”漏洞管理工作應該是信息安 全工作的重中之重，漏洞生命周期管理不僅僅涉及漏洞自身的發現、評估和修 復，同時還牽涉漏洞情報信息的獲取，組織漏洞管理基線的建立和應急處置工 作。改變傳統的以 IP 信息為視角的資產管理方法，從安全的角度重新審視資產 信息，從資產的業務功能、服務對象、版本信息、安全防范措施等方面建立安 全資產信息，從安全的角

7、度管理資產脆弱性。當出現安全漏洞時，不僅需要考 慮漏洞的風險等級，還需要結合資產安全信息，不同資產相同漏洞區別對待， 體現業務對漏洞的差異性，真正實現差異化漏洞管理策略，從而實現漏洞管理 能力的提高。非銀行金融機構需要同時滿足指導意見要求，其上云應用系統應選擇 安全檢測服務和安全監測服務。2安全保障需求先回顧近期某互聯網公司發生的信息安全案例，公司內部員工對公司 200 余臺服務器植入木馬，該木馬具備遠程控制和對外 DDoS攻擊功能。這意味著外 部人員可遠程控制這些服務器做流量攻擊，進而導致被攻擊的服務器癱瘓。目 前，此事已在法院宣判。至案發時，內部員工獲利 2 萬余元，但對于企業的經 濟和名

8、譽損失就相當巨大。不少互聯網企業都發生過類似案件，但沒有安全檢 測和安全監測手段，無法及時發現漏洞和安全問題。有的企業雖能鎖定具體賬 戶 ,但無法鎖定到具體個人 ,加之留存的證據不多 ,事情就不了了之。信息安全CIA三要素（機密、完整、可用）應當在定義安全保障需求時統 一考慮，對開展理財、支付、保險等金融業務的企業更應關注金融資料的保 護，如銀行賬戶信息、扣款賬號、保險數據，避免信息被篡改或外泄。因而，為了達到業務正常開展需要的安全防護水平，需要定期開展安全檢 測和持續有效安全監測服務，云上應用系統更應被納入，解決應用系統安全需3云上安全防護措施防火墻 xx 服務以虛擬化形態部署防火墻，適用于

9、多種虛擬化平臺，使管理員可以快速高 效地調配和擴展防火墻。企業所要選擇的服務需要支持應用識別、入侵防御、 內容過濾、URL過濾、VPN等，且這些增值功能授權費用應該一并考慮，如 IPSEC VPN SSL VPN勺授權并發連接數量是否滿足企業日常需求。包含必要增值 功能的防火墻才是有效的安全服務。以虛擬化 Web應用防火墻（Virtual Web Application FirewalI簡稱vWAF為核 心勺安全服務，企業客戶可以在公有云等環境中快速部署上線，從而能全面抵 御 OWASP Top 10等各類 Web 安全威脅免遭當前和未來勺安全威脅。企業所要 選擇的服務必須同時支持 HTTP協

10、議和HTTPS協議，且可以支持vWAF托管服務 勺服務提供商更佳。xx 清洗服務基于DNS智能牽引技術，主要解決10G及以上大流量DDoS攻擊防護，同 時可防御電信、聯通和BGP三條鏈路大流量攻擊，而運營商提供的云清洗服務 僅能清洗本網內的攻擊流量。由于 DDoS攻擊可能在相同行業內同時發生，存在 帶寬和防護資源沖突情況，因而企業選擇服務時需留意服務提供商的清洗能力 是否充足。同時，建議選擇提供云清洗配套線下本地防護混合的服務，以獲得 更完善的防護保障。堡壘機云服務以虛擬化形態部署堡壘機，提供賬號管理和資產管理，實現運維審計。基 于唯一身份標識，通過對用戶從登錄到退出的全程操作行為進行審計，監

11、控用 戶對目標設備的所有敏感操作，聚焦關鍵事件，實現對安全事件的實時發現與 預警。企業所要選擇的服務需滿足等保標準對用戶身份鑒別、訪問控制、安全3/ 6審計等條款的要求，且支持準確定位用戶身份，追溯安全事件責任，滿足合規 要求且日常使用方便的服務才是正確選擇。安全評估服務安全監測服務數據庫監控與審計服務通過對數據庫訪問行為的精確解析，完成性能監控、事中審計、事后追 溯、風險告警等一系列動作，全面洞察數據庫安全狀況，并提供事后追溯依 據。企業所要選擇的服務是否全面考慮數據庫存儲、使用管控，監控告警記錄 本地是否加密防護，這一點很重要。4云上服務優勢便捷快速依托公有云提供的快速部署、實時開通的能力，客戶可以隨時在公有云上 按需選購，同時也避免了硬件設備的生產、貨運和上架環節，最短時間內就能 獲取到對應的安全能力。惡意行為發現基于實時的信譽機制，結合企業級和全球信譽庫，可有效檢測惡意UR、僵尸網絡，快速識別、定位出惡意的攻擊行為或惡意