許定航 趙改俠 謝宗曉
摘 要:隨著云計算發(fā)展越來越成熟,更多的互聯(lián)網(wǎng)金融企業(yè)傾向把系統(tǒng)部署到云平臺。但是,由于云平臺的共享性,可能會引入一些額外的安全風(fēng)險。同時,這也導(dǎo)致了在合規(guī)方面,尤其是網(wǎng)絡(luò)安全等級保護(hù)方面,面臨新的挑戰(zhàn)。論文對基于云平臺的互聯(lián)網(wǎng)金融信息安全進(jìn)行了初步分析,并對如何滿足網(wǎng)絡(luò)安全等級保護(hù)合規(guī)提供了一種解決途徑。
關(guān)鍵詞:網(wǎng)絡(luò)安全;等級保護(hù);互聯(lián)網(wǎng)金融;云計算
中圖分類號:TP274+.2 文獻(xiàn)標(biāo)識碼:B
1 引言
據(jù)不完全統(tǒng)計,P2P、小貸、典當(dāng)、擔(dān)保、眾籌等互聯(lián)網(wǎng)金融企業(yè),基于成本、運維能力的考慮,首選均部署到云平臺。有些云平臺供應(yīng)商,比如阿里云甚至為P2P、小貸、典當(dāng)、擔(dān)保、眾籌等小微金融企業(yè)提供定制化的云計算服務(wù)。
網(wǎng)貸之家數(shù)據(jù)顯示,截至2018年9月底,網(wǎng)貸行業(yè)正常運營平臺數(shù)量1561家。從成交量看,9月份P2P網(wǎng)貸行業(yè)的成交量為1107.37億元,9月行業(yè)活躍投資人數(shù)、借款人數(shù)分別為241.64萬人、274.35萬人[1],多個平臺注冊用戶均突破上千萬。如此龐大的用戶數(shù)量與資金成交量,如果信息系統(tǒng)出現(xiàn)安全問題,將有可能對我國社會秩序、公共利益造成重大影響。
2016年8月24日中國銀監(jiān)會、工業(yè)和信息化部、公安部、國家互聯(lián)網(wǎng)信息辦公室制定了《網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)業(yè)務(wù)活動管理暫行辦法》[2],要求網(wǎng)貸平臺需要通過等級保護(hù)測評。2017年3月22日,北京監(jiān)管部門下發(fā)《網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)事實認(rèn)定及整改要求》,明確要求開展信息系統(tǒng)等級備案和等級測試。由此可見,通過落實等級保護(hù)安全管理制度,可以有效地確保網(wǎng)貸系統(tǒng)的安全[3,4]。
本文通過網(wǎng)絡(luò)安全等級保護(hù)的思想對當(dāng)前互聯(lián)網(wǎng)金融云平臺部署所面臨的安全問題進(jìn)行分析與總結(jié),探索基于云計算的互聯(lián)網(wǎng)金融等級保護(hù)建設(shè)和測評的方法,可以為各測評機(jī)構(gòu)、云平臺用戶和監(jiān)管部門在云計算安全與網(wǎng)絡(luò)安全等級保護(hù)工作實踐中提供參考借鑒。
2 基于云計算的互聯(lián)網(wǎng)金融概述
由于云計算具有成本低、擴(kuò)展性強(qiáng)、維護(hù)簡單等特點,越來越多的互聯(lián)網(wǎng)金融機(jī)構(gòu)將系統(tǒng)部署到云平臺。目前,有些云平臺供應(yīng)商針對互聯(lián)網(wǎng)金融機(jī)構(gòu)推出金融云,金融云本身具有較高的安全管控水平,由于部署在云平臺系統(tǒng)不能低于云平臺本身的安全級別,有些金融云平臺甚至定義為四級系統(tǒng),且通過等級保護(hù)四級安全測評,可以滿足市場上幾乎所有互聯(lián)網(wǎng)金融系統(tǒng)的部署要求。
例如,阿里云向網(wǎng)貸平臺提供服務(wù)中,甚至提供了信用背書的功能。據(jù)了解,在目前已發(fā)生的網(wǎng)貸平臺跑路事件中,跑路平臺通常會將數(shù)據(jù)刪除,人為造成投資人維權(quán)困難,而缺乏證據(jù)則成為公安查案最大的阻礙。部署在云平臺的網(wǎng)貸系統(tǒng)與阿里云簽訂數(shù)據(jù)備份條款,假如平臺跑路,阿里云可以將備份數(shù)據(jù)提供給公安機(jī)關(guān),無疑阿里云這一措施有效地防范了平臺惡意刪除數(shù)據(jù)行為。
《中國銀行業(yè)信息科技“十三五”發(fā)展規(guī)劃監(jiān)管指導(dǎo)意見(征求意見稿)》[5]中,明確提出“銀行業(yè)互聯(lián)網(wǎng)金融生態(tài)”“行業(yè)云平臺”等概念。該《意見》提出,到“十三五”末期,面向互聯(lián)網(wǎng)場景的重要信息系統(tǒng)全部遷移至云計算架構(gòu)平臺,其他系統(tǒng)遷移比例不低于60%。
由此可見,互聯(lián)網(wǎng)金融往云端遷移是大勢所趨,云計算提高了IT資源的使用效率,但多租戶共享計算資源,可能導(dǎo)致客戶數(shù)據(jù)被非授權(quán)訪問、篡改等。所以,必須充分認(rèn)識到這一新技術(shù)的發(fā)展給用戶的個人隱私、用戶資產(chǎn)帶來的安全隱患。通過落實等級保護(hù)安全制度,能在很大程度上降低、控制系統(tǒng)面臨的安全風(fēng)險,確?;谠朴嬎愕幕ヂ?lián)網(wǎng)金融系統(tǒng)的安全。
3 等級保護(hù)合規(guī)的基本步驟
云平臺的共享性與互聯(lián)網(wǎng)金融信息的敏感性,勢必會讓部署在云平臺的互聯(lián)網(wǎng)金融系統(tǒng)面臨一定的安全風(fēng)險。為確?;谠朴嬎愕幕ヂ?lián)網(wǎng)金融系統(tǒng)安全,需要云平臺服務(wù)商、系統(tǒng)運營使用單位、監(jiān)管機(jī)構(gòu)、安全咨詢服務(wù)機(jī)構(gòu)、測評機(jī)構(gòu)共同完成[6,7]。等級保護(hù)的五個基本動作很好的詮釋了各方在互聯(lián)網(wǎng)金融系統(tǒng)方面的安全保護(hù)職責(zé)。等級保護(hù)的五個主要步驟分別為:定級、備案、安全建設(shè)整改、等級測評、監(jiān)督檢查。對于互聯(lián)網(wǎng)金融系統(tǒng)如何落實等級保護(hù)要求,確保系統(tǒng)安全,可以從等級保護(hù)的五個動作進(jìn)行分解,貫徹執(zhí)行?;谠朴嬎愕幕ヂ?lián)網(wǎng)金融等級保護(hù)工作流程如表1所示。
3.1 定級
定級是等級保護(hù)的第一個步驟,定級的準(zhǔn)確與否直接關(guān)系到系統(tǒng)安全保護(hù)的投入,基于互聯(lián)網(wǎng)金融的特殊性,建議定級過程中應(yīng)該邀請專家進(jìn)行評審,并出具評審意見。由于互聯(lián)網(wǎng)金融系統(tǒng)一般涉及到用戶基本信息、交易數(shù)據(jù),一旦系統(tǒng)的信息遭到入侵、修改、增加、刪除等不明侵害(形式可以包括丟失、破壞、損壞等),會對公民、法人和其他組織的合法權(quán)益造成影響和損害,可以表現(xiàn)為個人及企業(yè)信息泄密,造成不良影響,嚴(yán)重可對大量投資人的財產(chǎn)安全構(gòu)成威脅,引起財產(chǎn)糾紛[8]。大量的用戶糾紛進(jìn)而影響到社會秩序,對社會秩序公共利益造成侵害(造成社會不良影響,引起公共利益的損害等)。
互聯(lián)網(wǎng)的優(yōu)勢就是可以突破時間和地域上的限制,讓遠(yuǎn)隔千里的人們能夠相聚在一起。而互聯(lián)網(wǎng)金融的模式滿足了人們在互聯(lián)網(wǎng)上尋找資金的需求,覆蓋了傳統(tǒng)金融的服務(wù)盲區(qū),讓金融服務(wù)范圍更加廣泛,金融交易更加直接。中國互聯(lián)網(wǎng)安全問題突出,網(wǎng)絡(luò)金融犯罪問題不容忽視。一旦遭遇黑客攻擊,互聯(lián)網(wǎng)金融的正常運作會受到影響,危及消費者的資金安全和個人信息安全,可能會對社會秩序和公共利益造成嚴(yán)重?fù)p害。目前,在實踐中,互聯(lián)網(wǎng)金融平臺一般定義為三級系統(tǒng)。
3.2 備案
定級完成需要提交定級材料到公安機(jī)關(guān)進(jìn)行備案,作為監(jiān)管部門需要對互聯(lián)網(wǎng)金融平臺進(jìn)行嚴(yán)格的審核,對于部署在云端的P2P網(wǎng)貸平臺,除了需要提供定級報告,備案表,還可讓其提供云平臺租賃協(xié)議、購買的云安全服務(wù)清單、銀行資金存管協(xié)議、ICP經(jīng)營許可證、信息安全責(zé)任人聯(lián)系方式等材料以證明平臺的合法合規(guī),具備一定的安全管控能力。
目前,各地對于P2P網(wǎng)貸平臺的備案可能有更加嚴(yán)格的監(jiān)管。例如,《上海市網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)業(yè)務(wù)管理實施辦法》第十條規(guī)定,新設(shè)立的網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)申請辦理備案登記的,應(yīng)當(dāng)提交本市公安機(jī)關(guān)網(wǎng)絡(luò)安全部門出具的“信息系統(tǒng)安全審核回執(zhí)”(需事前向本市公安機(jī)關(guān)網(wǎng)絡(luò)安全部門提交符合國家網(wǎng)絡(luò)安全相關(guān)規(guī)定和國家信息安全等級保護(hù)制度要求的證明材料)。網(wǎng)貸平臺如需申請“信息系統(tǒng)安全審核回執(zhí)”,必須要請測評機(jī)構(gòu)參照等級保護(hù)三級進(jìn)行測評,最終給出“安全審核意見”報告。由此可見,不管是監(jiān)管部門還是監(jiān)督部門對網(wǎng)貸平臺的備案都會更加嚴(yán)格跟謹(jǐn)慎。
3.3 安全建設(shè)整改
定級備案完成,需要根據(jù)所定義的級別進(jìn)行安全整改,部署在云平臺系統(tǒng),云平臺本身具備一些安全防護(hù)控制措施,如果不購買云平臺的安全服務(wù)一般是不會為租戶提供細(xì)致的安全防護(hù)。所以需要根據(jù)等級保護(hù)相應(yīng)級別的標(biāo)準(zhǔn)要求,對比所需的安全服務(wù),向云平臺供應(yīng)商或者從第三方購買安全服務(wù),以滿足等級保護(hù)安全要求。建設(shè)整改的內(nèi)容包括建立網(wǎng)絡(luò)安全管理制度,落實防篡改、防入侵、數(shù)據(jù)加密以及災(zāi)難恢復(fù)等網(wǎng)絡(luò)安全保護(hù)技術(shù)措施[9-10]。
互聯(lián)網(wǎng)金融網(wǎng)貸平臺很多采用外包開發(fā)或購買技術(shù)平臺,沒有能力去進(jìn)行系統(tǒng)的研發(fā)和升級,面臨著極高的風(fēng)險。因為系統(tǒng)來自外部,代碼完全失控;企業(yè)自身也沒有安全評估能力,沒有專職人員制定安全方案。系統(tǒng)運維人員往往也是一人兼任多個職位,安全風(fēng)險極高。安全建設(shè)整改過程中需要針對應(yīng)用系統(tǒng)進(jìn)行代碼級的安全審計,制定安全運維管理制度,落實安全責(zé)任。
3.4 等級測評
等級測評是網(wǎng)絡(luò)安全等級保護(hù)工作的重中之重,通過測評來驗證信息系統(tǒng)是否符合等級保護(hù)安全要求。對于部署在云平臺的互聯(lián)網(wǎng)金融系統(tǒng),首先應(yīng)關(guān)注提供服務(wù)方的云平臺是否通過等級保護(hù)測評,且通過測評的標(biāo)準(zhǔn)等級不應(yīng)低于部署在云平臺系統(tǒng)。由于基礎(chǔ)設(shè)施由云平臺提供,物理安全管理應(yīng)由云平臺直接提供測評結(jié)果,網(wǎng)絡(luò)安全、系統(tǒng)運維涉及到云平臺的也由云平臺提供。其他部分的安全措施需要被測系統(tǒng)責(zé)任方完善安全防護(hù)。如圖1所示是加入了云服務(wù)供應(yīng)商之后的測評架構(gòu)。
測評過程中應(yīng)重點關(guān)注互聯(lián)網(wǎng)金融系統(tǒng)數(shù)據(jù)的完整性、保密性與可用性。用戶敏感信息,比如身份證號碼、手機(jī)號碼、銀行卡號是否做脫敏處理,是否加密存儲和傳輸?shù)?。系統(tǒng)運維人員是否職責(zé)分明,是否有專職的安全管理員。由于很多互聯(lián)網(wǎng)公司為初創(chuàng)型公司,系統(tǒng)也為新開發(fā)系統(tǒng),系統(tǒng)開發(fā)人員、運維人員與安全人員可能會存在復(fù)用現(xiàn)象,人員復(fù)用可能導(dǎo)致權(quán)限的濫用、非授權(quán)訪問等安全風(fēng)險。還有互聯(lián)網(wǎng)公司離職率比較高,也需要關(guān)注離職人員權(quán)限的交接等工作,是否取消一切離職人員的訪問權(quán)限,防止離職后人員對系統(tǒng)的操作,確保系統(tǒng)的安全穩(wěn)定運行。
3.5 監(jiān)督檢查
監(jiān)督檢查主要是由公安網(wǎng)絡(luò)安全保衛(wèi)部門負(fù)責(zé),針對互聯(lián)網(wǎng)金融系統(tǒng),特別是P2P網(wǎng)貸系統(tǒng),公安網(wǎng)絡(luò)安全保衛(wèi)部門的監(jiān)督檢查力度都比較大。針對互聯(lián)網(wǎng)金融機(jī)構(gòu)可以在定級備案提交資料后到現(xiàn)場進(jìn)行查看是否有固定的辦公場地,是否有相應(yīng)的安全運維人員。測評完成后可以根據(jù)測評結(jié)果對信息系統(tǒng)進(jìn)行安全抽查,針對發(fā)現(xiàn)的問題了解整改情況。
4 結(jié)束語
云計算與互聯(lián)網(wǎng)金融作為比較新鮮事物,具有很大的發(fā)展?jié)摿Γ泊嬖谝恍┌l(fā)展過程中的安全問題,需要法律、制度、管理進(jìn)行約束與規(guī)范,才能更好更快地發(fā)展。本文從網(wǎng)絡(luò)安全等級保護(hù)的角度,對基于云計算的互聯(lián)網(wǎng)金融系統(tǒng)如何確保系統(tǒng)安全進(jìn)行了分析,并提出了相應(yīng)的解決建議,可以為云平臺服務(wù)商、系統(tǒng)運營使用單位、監(jiān)管機(jī)構(gòu)、安全咨詢服務(wù)機(jī)構(gòu)、測評機(jī)構(gòu)落實信息安全責(zé)任提供參考借鑒。
參考文獻(xiàn)
[1] P2P網(wǎng)貸行業(yè)2018年9月月報[R]. https://www.wdzj.com/news/yc/3175455.html.
[2] 中國銀行業(yè)監(jiān)督管理委員會.中國銀監(jiān)會辦公廳關(guān)于印發(fā)網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)業(yè)務(wù)活動信息披露指引的通知(銀監(jiān)辦發(fā)〔2017〕113號)[R]. http://www.cbrc.gov.cn.
[3] 互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定(公安部令第82號)[R]. http://www.djbh.net.
[4] 郭啟全,等.網(wǎng)絡(luò)安全法與網(wǎng)絡(luò)安全等級保護(hù)制度培訓(xùn)教程 [M].北京:電子工業(yè)出版社,2018.
[5] 中國銀監(jiān)會.中國銀行業(yè)信息科技“十三五”發(fā)展規(guī)劃監(jiān)管指導(dǎo)意見(征求意見稿)[R]. 2016.
[6] 謝宗曉,劉斌. ISO/IEC 27001與等級保護(hù)整合實施指南[M].北京:中國質(zhì)檢出版社/中國標(biāo)準(zhǔn)出版社, 2014.
[7] 賈海云,謝宗曉.基于云的金融信息系統(tǒng)等級保護(hù)安全測評探討[J].中國質(zhì)量與標(biāo)準(zhǔn)導(dǎo)報,2018(03):38-41.
[8] 中華人民共和國公安部. GA/T 1389-2017 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)定級指南[S]. 2017.
[9] 全國金融標(biāo)準(zhǔn)化技術(shù)委員會. JR/0071-2012金融行業(yè)信息系統(tǒng)信息安全等級保護(hù)實施指引[S]. 2012.
[10] 中華人民共和國公安部. GA/T 1390.2-2017信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求 第2部分:云計算安全擴(kuò)展要求[S]. 2017.