村镇银行云计算外包风险分析与建议
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
二、存在风险
云计算给村镇银行带来的种种便利是不可否认 的。但村 镇银 行 这 种 将 包 括核心系统、系统 数 据 存储 及管理等在内的系统完全外包的模式,存在的风险比 其他银行的部分外包风险更大。其主要存在以下几方 面风险。
(一)数据信息安全风险 采用云计算外包的村 镇银 行,其数 据均 托 管于 服务商的数据中心,自身无法对存储介质进行直接操 作,村 镇银 行 对自己的 数 据 没有绝 对 的 管 理 权,数 据
关键词:村镇银行;云计算外包;风险
在银行业中,IT系统是支持其业务正常运转的基 础设 施,对 于全 牌照 运 行的 村 镇银 行来说,I T系统 更 是不可或缺。与经济实力雄厚的国有大行以及城市商 业银行、农村商业银行相比,缺乏财力、物力的村镇银 行无法全面完成IT基础设施以及各类产品和业务支撑 系统的建设,这需要村镇银行打破常规的IT系统建设 方 式,通 过I T系 统 应 用模 式的创 新 来实 现低 成 本、可 持续发展。近年来,随着云计算服务的兴起,SaaS模式 的全托管成为村镇银行IT系统建设的最佳路径。村镇 银行通过专用线路以远程登录的方式使用平台系统资 源,银 行 内部只需 要 部 署终端 客户 机,便 可使 用 相 应 的IT系统以及相关的运维服务。村镇银行可以根据自 身的业务需求随时增加或减小计算资源,大大降低了 IT基础设施的建设和维护成本。
的安全也均由服务商负责。服务商为控制建设成本, 大部分采用了基础设施及软硬件平台共享的虚拟化技 术为多个客户服务。这使多个机构之间的数据没有进 行物理隔离。如果服务商未提供有效的访问控制以及 数据隔离手段,那么村镇银行数据的完整性及保密性 都存在着风险。
(二)业务发展风险 村镇银行在开业之初,虽然业务系统处理需求量 不是 很 大,且仅具 备最 基 本的 核 算能力,与 银 行所 要 具备的各种结算功能相距甚远。但是随着村镇银行业 务的不断发展,网上银行、借记卡发卡、工资代发、粮 食补贴代发等中间业务系统平台的建设也需要逐步跟 上,只有这样,村镇银行的增值业务才能进一步发展。 但是服务商能否跟上村镇银行的发展,为村镇银行下 一步的业务开展打下坚实的基础,也是需要考虑的风 险之一。 (三)服务商管理风险 随着虚拟化技术的不断发展,越来越多的服务商 进入云计算外包领域,并且也有越来越多的村镇银行 选择云计算外包服务模式,但是目前整个云计算服务 行业中服务商的水平 参 次不 齐。由于 我国尚未 建 立一 套完整的金融行业云计算国家标准,云计算服务商如 果对金融法律及监管条例没有深入的了解,则会带来 信息泄 露 以 及 业务中断 等风 险。此 外,如 果 外包 服 务 商内控制度存在缺陷,一旦其内部运维人员利用工作 之便,盗 窃 银 行 客户以 及相 关 交易 敏 感 信息,将 给 银 行和客户带来很大的安全风险。 (四)云计算平台自身安全风险 云平台的 数 据 传 输主要依 赖 于网络,一旦网络 传 输不稳定,将会严重影响银行的业务处理。此外,由于 云计算平台用户以及数据资源高度集中,容易成为黑 客的攻击目标,其导致的恶劣影响远超传统的系统应 用风 险。当业务系 统 出 现 故 障 时,能 否 确 保用户 数 据 的快速恢复以及未完成事务的及时回退,也成为一个
作者简介: 姚 林(1987-),男,江苏盐城人,工学硕士,工程师,供职于中国人民银行徐州市中心支行,研究方向:金融科技。 收稿日期: 2019-05-14
48
2019年·第9期
栏目编辑:叶纯青 E-mail:yecq66@
Research|信息安全
有 限,在 后 续的 配 套 服 务上 未能 及 时 跟 上,更有可能 因经营不善而倒闭。缺少服务商后续服务的支持以及 专业技术人员的储备,村镇银行在自建系统这条道路 上举步为艰。
一、基本情况
目前,村镇银行信息化建设方案有3种;自建信息 系统、直接使用发起行系统以及直接购买云计算外包 服务。
(一)自建信息系统 村镇银行可以通过银行核心系统自建数据中心。 但银行业对数据的安全性以及业务的连续性要求较 为严格,在数据中心机房建设、硬件设备购置、核心业 务系统搭建以及专业技术人员配备等方面均需达到 金融行业相关标准规范。如果完全按照行业标准规范 实施,这种模式的前期成本投入比较高,系统建设周 期 也 比 较 长,不能 够 满 足快 速 投 产 的需 求。此 外,受 资金限制,村镇银行在服务商选择方面有较大的局限 性,只能选择一些中小服务商。这些服务商因自身实力
(二)直接使用发起行信息系统 在自建系统 条 件 受 限的情况下,部 分村 镇银 行则 会选择完全照搬发起行的信息系统。但是发起行的规 模与村镇银行的规模并不在同一级别上,发起行的系 统庞大而又复杂,对村镇银行来说,使用发起行系统, 意味着更大的负担。目前,使用较多的模式是,当数量 较多的村镇银行均由同一发起行发起成立,发起行则 会统一建设信息系统外包中心,各村镇银行统一购买 相应的服务。 (三)直接购买云计算外包服务 直接购买云外包服务为村镇银行提供了自建IT系 统、依 赖 发 起 行I T系统 之 外的第三 条 路。这种 模 式下 的核心系统上线快、完全支持业务发展,无需建设数据 中心和购置相关硬件设备,同时,拥有“7×24小时”的 运维服务人员,极大地降低了村镇银行信息系统建设 的成本。云计算在通用性和扩展性方面有着很大的优 势,村镇行借助于云计算灵活、按需、高效的特性,可 以使信息系统快速上线投产运营。村镇银行仅需部署 柜员终端,就可以获得所有银行需要的IT系统服务。
Research|信息安全
2019年·第9期
栏目编辑:叶纯青 E-mail:yecq66@
村镇银行云计算外包风险分析与建议
■ 中国人民银行徐州市中心支行 姚 林
摘 要:受制于财力及人力,部分村镇银行为满足IT系统的严格要求而选择直接购买成熟的云计算外包服务。虽 然云计算外包可以大大降低村镇银行信息系统建设的前期投入,但也存在着诸多风险。本文对村镇银行信息化建设 的3种模式进行分析,并指出其中云计算服务外包模式所存在数据信息安全风险、业务发展风险、服务商管理风险、 云计算平台自身安全风险,并提出国家层面建立金融行业统一云计算标准框架、村镇银行需要建立云计算外包服务 公司的资质评估标准、监管部门应开展持续性风险监控工作的建议。
云计算给村镇银行带来的种种便利是不可否认 的。但村 镇银 行 这 种 将 包 括核心系统、系统 数 据 存储 及管理等在内的系统完全外包的模式,存在的风险比 其他银行的部分外包风险更大。其主要存在以下几方 面风险。
(一)数据信息安全风险 采用云计算外包的村 镇银 行,其数 据均 托 管于 服务商的数据中心,自身无法对存储介质进行直接操 作,村 镇银 行 对自己的 数 据 没有绝 对 的 管 理 权,数 据
关键词:村镇银行;云计算外包;风险
在银行业中,IT系统是支持其业务正常运转的基 础设 施,对 于全 牌照 运 行的 村 镇银 行来说,I T系统 更 是不可或缺。与经济实力雄厚的国有大行以及城市商 业银行、农村商业银行相比,缺乏财力、物力的村镇银 行无法全面完成IT基础设施以及各类产品和业务支撑 系统的建设,这需要村镇银行打破常规的IT系统建设 方 式,通 过I T系 统 应 用模 式的创 新 来实 现低 成 本、可 持续发展。近年来,随着云计算服务的兴起,SaaS模式 的全托管成为村镇银行IT系统建设的最佳路径。村镇 银行通过专用线路以远程登录的方式使用平台系统资 源,银 行 内部只需 要 部 署终端 客户 机,便 可使 用 相 应 的IT系统以及相关的运维服务。村镇银行可以根据自 身的业务需求随时增加或减小计算资源,大大降低了 IT基础设施的建设和维护成本。
的安全也均由服务商负责。服务商为控制建设成本, 大部分采用了基础设施及软硬件平台共享的虚拟化技 术为多个客户服务。这使多个机构之间的数据没有进 行物理隔离。如果服务商未提供有效的访问控制以及 数据隔离手段,那么村镇银行数据的完整性及保密性 都存在着风险。
(二)业务发展风险 村镇银行在开业之初,虽然业务系统处理需求量 不是 很 大,且仅具 备最 基 本的 核 算能力,与 银 行所 要 具备的各种结算功能相距甚远。但是随着村镇银行业 务的不断发展,网上银行、借记卡发卡、工资代发、粮 食补贴代发等中间业务系统平台的建设也需要逐步跟 上,只有这样,村镇银行的增值业务才能进一步发展。 但是服务商能否跟上村镇银行的发展,为村镇银行下 一步的业务开展打下坚实的基础,也是需要考虑的风 险之一。 (三)服务商管理风险 随着虚拟化技术的不断发展,越来越多的服务商 进入云计算外包领域,并且也有越来越多的村镇银行 选择云计算外包服务模式,但是目前整个云计算服务 行业中服务商的水平 参 次不 齐。由于 我国尚未 建 立一 套完整的金融行业云计算国家标准,云计算服务商如 果对金融法律及监管条例没有深入的了解,则会带来 信息泄 露 以 及 业务中断 等风 险。此 外,如 果 外包 服 务 商内控制度存在缺陷,一旦其内部运维人员利用工作 之便,盗 窃 银 行 客户以 及相 关 交易 敏 感 信息,将 给 银 行和客户带来很大的安全风险。 (四)云计算平台自身安全风险 云平台的 数 据 传 输主要依 赖 于网络,一旦网络 传 输不稳定,将会严重影响银行的业务处理。此外,由于 云计算平台用户以及数据资源高度集中,容易成为黑 客的攻击目标,其导致的恶劣影响远超传统的系统应 用风 险。当业务系 统 出 现 故 障 时,能 否 确 保用户 数 据 的快速恢复以及未完成事务的及时回退,也成为一个
作者简介: 姚 林(1987-),男,江苏盐城人,工学硕士,工程师,供职于中国人民银行徐州市中心支行,研究方向:金融科技。 收稿日期: 2019-05-14
48
2019年·第9期
栏目编辑:叶纯青 E-mail:yecq66@
Research|信息安全
有 限,在 后 续的 配 套 服 务上 未能 及 时 跟 上,更有可能 因经营不善而倒闭。缺少服务商后续服务的支持以及 专业技术人员的储备,村镇银行在自建系统这条道路 上举步为艰。
一、基本情况
目前,村镇银行信息化建设方案有3种;自建信息 系统、直接使用发起行系统以及直接购买云计算外包 服务。
(一)自建信息系统 村镇银行可以通过银行核心系统自建数据中心。 但银行业对数据的安全性以及业务的连续性要求较 为严格,在数据中心机房建设、硬件设备购置、核心业 务系统搭建以及专业技术人员配备等方面均需达到 金融行业相关标准规范。如果完全按照行业标准规范 实施,这种模式的前期成本投入比较高,系统建设周 期 也 比 较 长,不能 够 满 足快 速 投 产 的需 求。此 外,受 资金限制,村镇银行在服务商选择方面有较大的局限 性,只能选择一些中小服务商。这些服务商因自身实力
(二)直接使用发起行信息系统 在自建系统 条 件 受 限的情况下,部 分村 镇银 行则 会选择完全照搬发起行的信息系统。但是发起行的规 模与村镇银行的规模并不在同一级别上,发起行的系 统庞大而又复杂,对村镇银行来说,使用发起行系统, 意味着更大的负担。目前,使用较多的模式是,当数量 较多的村镇银行均由同一发起行发起成立,发起行则 会统一建设信息系统外包中心,各村镇银行统一购买 相应的服务。 (三)直接购买云计算外包服务 直接购买云外包服务为村镇银行提供了自建IT系 统、依 赖 发 起 行I T系统 之 外的第三 条 路。这种 模 式下 的核心系统上线快、完全支持业务发展,无需建设数据 中心和购置相关硬件设备,同时,拥有“7×24小时”的 运维服务人员,极大地降低了村镇银行信息系统建设 的成本。云计算在通用性和扩展性方面有着很大的优 势,村镇行借助于云计算灵活、按需、高效的特性,可 以使信息系统快速上线投产运营。村镇银行仅需部署 柜员终端,就可以获得所有银行需要的IT系统服务。
Research|信息安全
2019年·第9期
栏目编辑:叶纯青 E-mail:yecq66@
村镇银行云计算外包风险分析与建议
■ 中国人民银行徐州市中心支行 姚 林
摘 要:受制于财力及人力,部分村镇银行为满足IT系统的严格要求而选择直接购买成熟的云计算外包服务。虽 然云计算外包可以大大降低村镇银行信息系统建设的前期投入,但也存在着诸多风险。本文对村镇银行信息化建设 的3种模式进行分析,并指出其中云计算服务外包模式所存在数据信息安全风险、业务发展风险、服务商管理风险、 云计算平台自身安全风险,并提出国家层面建立金融行业统一云计算标准框架、村镇银行需要建立云计算外包服务 公司的资质评估标准、监管部门应开展持续性风险监控工作的建议。