1_云计算技术金融应用规范安全技术要求
云计算安全技术要求 csa
云计算安全技术要求 csa云计算安全技术要求(CSA)云计算安全技术要求(CSA)是指为保障云计算环境中数据和系统的安全性而需要满足的一系列技术要求和措施。
随着云计算的快速发展,安全问题已成为云计算面临的重要挑战之一。
为了解决这一问题,CSA提出了一系列的技术要求,以确保云计算环境的安全性。
CSA要求云计算服务提供商必须采取适当的身份认证和访问控制机制,以防止未经授权的用户访问云计算资源。
这包括使用强密码策略、多因素身份验证等技术手段,确保用户的身份和权限得到正确的识别和管理。
CSA要求云计算环境中的数据传输必须采用安全的通信协议和加密方式。
这可以通过使用SSL/TLS协议、IPSec VPN等技术手段来实现,保证数据在传输过程中的机密性和完整性。
CSA还强调了云计算环境中数据的隔离和保护要求。
云计算服务提供商应采取适当的技术手段,确保不同用户之间的数据得到隔离,防止数据泄露和篡改。
同时,云计算服务提供商还应备份和恢复用户数据,以应对意外情况和数据丢失的风险。
CSA要求云计算服务提供商应建立完善的监控和日志记录机制,以便及时发现和应对安全事件。
这包括实时监控云计算环境中的网络流量、系统日志和用户行为等,并建立相应的告警和应急响应机制,以提高对安全事件的响应能力。
CSA还强调了云计算服务提供商的物理安全要求。
云计算数据中心应采取适当的物理访问控制措施,如门禁系统、视频监控等,以保证数据中心的安全性和可靠性。
CSA还强调了云计算服务提供商的安全审计和合规性要求。
云计算服务提供商应定期进行安全审计,发现和解决可能存在的安全问题。
同时,云计算服务提供商还应确保其符合相关的法律法规和行业标准,如ISO 27001等,以提供符合合规性要求的云计算服务。
云计算安全技术要求(CSA)提出了一系列的技术要求和措施,以确保云计算环境的安全性。
这些要求包括身份认证和访问控制、数据传输安全、数据隔离和保护、监控和日志记录、物理安全、安全审计和合规性等方面。
2023-云计算技术金融应用规范技术架构-标准-1
云计算技术金融应用规范技术架构-标准云计算技术在金融行业中的应用越来越广泛,这不仅使金融行业的运营更高效,也使得金融服务更加便捷和普及化。
然而,为了保证云计算技术在金融行业中的安全和可靠性,需要遵守一定的规范技术架构,这就是“云计算技术金融应用规范技术架构-标准”。
一、简介“云计算技术金融应用规范技术架构-标准”是由国家信息安全标准化技术委员会(TC260)与中国银行业协会等共同发布的。
此标准规定了金融企业使用云计算技术进行安全、高效、可靠的信息技术服务的技术规范和技术架构。
二、标准内容1.总体架构“云计算技术金融应用规范技术架构-标准”强调了以金融业务为中心的云计算技术规范和技术架构。
其中包括金融企业和云服务提供商之间的安全管理、数据加密传输与存储、合规性管理、弹性伸缩等方面的规定。
2.实施流程标准明确了实施云计算技术的流程和步骤。
包括需求调研、技术选型、应用设计、销售服务、后续维护等方面的规定。
对于金融企业引入云计算技术的决策、实施、运维提供了详细和严格的指导。
3.安全管理标准强调了在云计算技术中安全管理的重要性。
对于云计算技术的物理环境、网络环境、身份认证、访问控制、安全审计等方面提出了技术要求和标准实践,保障金融业务数据的安全性和机密性。
4.私有云和公有云标准明确了在私有云和公有云环境下的技术架构和标准实践。
对于金融企业的核心应用系统和低保密等级的应用系统使用私有云,对于中等保密等级的应用系统使用专用云,对于高保密等级的应用系统使用私有或混合云。
5.合规性管理标准对于金融企业在使用云计算技术的过程中涉及到的安全法律法规和行业标准进行了详细规定。
保障金融业务的合规性。
三、总结“云计算技术金融应用规范技术架构-标准”为金融企业引入云计算技术提供了专业而严格的技术指导。
以金融业务为中心,重视云计算技术的安全性和合规性。
标准的实施能够保障金融企业在云计算技术的应用中成功实现数字化、智能化、客户化的战略目标。
安全企业谈等保2.0(五)--云端互联网金融业务的安全要求及解决方案
安全企业谈等保2.0(五)云端互联网金融业务的安全要求及解决方案编者按互联网金融业务系统上云后的安全是当下热点,本文梳理了等级保护云计算安全和非银行金融机构安全监管这两方面的合规性要求,将两者加以融合、针对其主要的安全问题和需求,提出云端互联网金融的安全防护、安全检测和安全监测三大类措施与安全服务解决方案。
正文目前,公有云的建设发展成为互联网时代的风向标,如阿里云、亚马逊等建立的公有云规模增长迅速。
在移动互联网发展推波助澜之下,依托移动互联网开展P2P网贷、线上理财、消费金融、三方支付业务的企业为了享受公有云提供的快捷、弹性架构,从而纷纷将应用系统部署到云上。
首先,合规要求方面,《信息系统安全等级保护基本要求云计算扩展要求》(以下简称“《云等保》”)定义云计算服务带来了“云主机”等虚拟计算资源,将传统IT环境中信息系统运营、使用单位的单一安全责任转变为云租户和云服务商双方“各自分担”的安全责任。
这点明确了企业作为云租户,其应用系统都需要定级且符合对应等级安全控制措施要求。
2016年12月银监会发布了188号文,《中国银监会办公厅关于加强非银行金融机构信息科技建设和管理的指导意见》(以下简称“《指导意见》”),对信托公司和金融资产管理公司、企业集团财务公司、金融租赁公司、汽车金融公司、消费金融公司、货币经纪公司等非银行金融机构信息科技建设、信息科技风险防范提出了要求。
《指导意见》第五章节指出“加强网络区域划分和隔离;通过部署防病毒、防攻击、防篡改、防泄密、防抵赖等措施提升系统抵御内外部攻击破坏的能力;”。
对于云上应用系统的安全防护明确提出了安全建设要求。
其次,参考安全咨询机构对于2002年至2017年3月之间公开报道的敏感信息泄露案例的数据分析发现:■敏感信息泄露呈现上升趋势——泄露手段从以黑客入侵等技术手段为主向技术手段与收买内部员工、内部管理不善等非技术手段结合并用发展,特别是对非技术手段的运用,近几年呈现出较快速的增长,企业对可能的应用系统攻击行为没有安全检测防护措施。
金融科技产品认证
1、《金融科技产品认证》发文背景为贯彻国务院《关于加强质量认证体系建设促进全面质量管理的意见》(国发〔2018〕3号)精神,落实国家认证认可监督管理委员会、中国人民银行《关于开展支付技术产品认证工作的实施意见》(国认证联〔2017〕91号)和《关于加强支付技术产品标准实施与安全管理的通知》(银发〔2017〕208号)要求,更好满足金融行业发展与监管需要,市场监管总局、人民银行决定将支付技术产品认证扩展为金融科技产品认证2、原文要求及解读市场监管总局、人民银行近日发布文件《金融科技产品认证目录(第一批)》(一)内容:明确了“金融科技产品”的定义,并将客户端软件、安全芯片、安全载体、嵌入式应用软件、ATM机、POS机、移动终端可信环境、可信应用程序、扫码支付、声纹识别、云计算平台11类产品纳入第一批认证目录。
(二)客户端软件面向的对象:支持支付业务(包括处理订单)的移动终端客户端软件,包括移动终端客户端程序、支付控件、软件开发工具包(SDK)等。
(三)客户端软件认证要点:主要参考中国人民银行发布金融行业标准237号文《移动金融客户端应用软件安全管理规范》中三方面工作,提升安全防护能力、加强个人金融信息保护、提高风险监测能力3、企业是否应该做认证,通过认证对企业的意义这个问题是个前提,目前从各个办法及规范解读来看,都无强制性要求去做什么事。
我个人的观点是应该做认证的一是把认证做为一个官方的途径和工具来帮助我们找到自己的应用和真正的官方标准、技术规范的差距,查缺补漏,不断完善安全体系。
(认证不通过会反馈修改建议,3个月整改期限内无限次提交)二是也能提升我们自己对于这些办法及规范解读能力,再结合行业解决方案提供商的解读,整合在一起将更加精准把握监管意图。
三是为我们之后如果有支付动帐类APP打好前面安全的基础对外:满足监管要求防止金融科技风险发生、树立市场认证的品牌对内:按照监管标准、技术法规完善自身安全体系建设4、认证范围包括哪些认证机构范围:此次认证针对所有受市场监管总局和人民银行监管的银行及非银金融机构认证应用范围:符合《金融科技产品认证目录(第一批)》中描述的11类金融产品都需要做认证5、为了通过认证我们自身需要做哪几方面工作三款APP符合237号文中信息采集类、咨询查询类移动应用,认证要点如下:(一)提升安全防护能力,安全方面:身份认证安全、逻辑安全、安全功能设计、密码算法及密钥管理、数据安全;管理方面:需求、开发、发布、维护全生命周期管理(二)加强个人金融信息保护,根据《信息安全技术个人信息安全规范》,构建企业级个人隐私合规体系框架(三)提高风险监测能力,实现监测预警、攻击阻断、响应溯源、事后总结,建立风险信息共享机制6、认证的机构是什么,做认证需要准备哪些材料、流程是什么?认证机构:中金国盛认证中心、中国网络安全审查技术与认证中心流程:填写申请书及基本信息---认证申请受理---型式试验---文件审查---现场检查---认证结果评价及决定---颁发证书---获证后监督7、认证什么时候开启,做认证的频率是什么时间:2020年一季度开启认证工作,认证证书有效期为3年。
云计算安全技术要求 pdf
云计算安全技术要求pdf
云计算安全技术要求主要包括以下几个方面:
访问控制:
应建立严格的访问权限管理系统,确保只有授权用户才能访问和操作云服务,防止未经授权的访问和数据泄露。
数据保密性:
应采用加密等技术手段保护用户数据的机密性,确保数据在传输和存储过程中不被窃取或篡改。
数据完整性:
应确保用户数据的完整性,防止数据在传输和存储过程中被损坏或篡改,以保证数据的准确性和可靠性。
多租户安全隔离:
云计算平台应实现多租户之间的安全隔离,确保不同租户的数据和应用程序不会相互干扰或泄露。
虚拟资源安全:
云计算平台应采用虚拟化技术实现资源的共享和隔离,确保虚拟资源的安全性和可靠性。
云服务安全合规:
云服务商应遵守相关法律法规和行业标准,确保提供的云服务符合安全要求和合规性要求。
数据可信托管:
云服务商应提供可信赖的数据托管服务,确保用户数据的安全性和可用性,同时遵守数据隐私保护相关法律法规。
安全运维及业务连续性保障:云服务商应采用安全可靠的系统运维措施,确保云计算平台的稳定性和可用性,同时制定完善的业务连续性保障计划,以应对各种突发事件。
此外,云计算安全技术要求还包括网络安全通信安全、系统和通信保护等方面。
例如,在网络安全通信方面,应采用安全的通信协议和加密技术,确保网络通信的安全性和机密性;在系统和通信保护方面,应采用结构化设计、软件开发技术和软件工程方法等有效手段,保护云计算平台的安全性。
以上内容仅供参考,具体的安全技术要求可能会因云计算服务提供商、具体应用场景等因素而有所不同。
云计算安全技术要求 csa
云计算安全技术要求 csa云计算安全技术要求(CSA)随着云计算的快速发展和广泛应用,云计算安全成为了一个备受关注的重要话题。
云计算安全技术要求(CSA)作为一种针对云计算环境的安全标准,旨在确保云计算平台的安全性和可靠性。
本文将介绍云计算安全技术要求的概念、重要性以及一些常见的安全技术要求。
一、云计算安全技术要求的概念云计算安全技术要求(CSA)是指在云计算环境下,为了保障云计算平台的安全性和可靠性,制定的一系列安全标准和技术要求。
这些要求包括了云计算平台的物理安全、数据安全、网络安全、身份认证等方面,旨在确保云计算平台的安全性。
二、云计算安全技术要求的重要性云计算安全技术要求的制定和遵守具有重要意义。
首先,云计算平台承载着大量的敏感数据和业务应用,安全问题一旦发生可能导致严重的后果。
其次,云计算平台的共享性和虚拟化特性,使得安全问题更加复杂和难以解决。
因此,云计算安全技术要求的制定和实施可以提高云计算平台的安全性,保护用户的数据和隐私。
三、常见的云计算安全技术要求1. 物理安全要求:确保云计算平台的服务器和设备得到有效的物理保护,防止未经授权的人员进入机房或者对设备进行破坏。
2. 数据安全要求:包括数据的加密、备份和恢复机制,确保数据在传输和存储过程中不被窃取、篡改或丢失。
3. 网络安全要求:建立有效的网络安全防护体系,包括防火墙、入侵检测系统和入侵防御系统,保护云计算平台免受网络攻击。
4. 身份认证要求:采用强大的身份认证和访问控制机制,确保只有经过授权的用户才能访问云计算平台和数据。
5. 安全审计要求:建立完善的安全审计机制,对云计算平台的操作和安全事件进行日志记录和分析,及时发现和处置安全威胁。
6. 虚拟化安全要求:针对云计算平台的虚拟化特性,制定相应的安全要求,确保虚拟机之间的隔离和安全性。
7. 数据隔离要求:保证不同用户的数据在云计算平台上得到隔离,防止数据泄露和跨用户攻击。
8. 应急响应要求:建立应急响应机制,及时应对安全事件,减少损失和影响。
云计算在金融行业中的应用与数据安全措施
云计算在金融行业中的应用与数据安全措施随着信息技术的迅猛发展,云计算作为一种高效、灵活的计算模式,在各个行业不断推广和应用。
尤其在金融行业中,云计算的应用已经成为改善业务效率、降低成本、提升竞争力的重要手段。
然而,云计算环境下的数据安全问题也备受关注。
本文将探讨云计算在金融行业中的应用,并重点讨论数据安全措施。
一、云计算在金融行业中的应用1. 虚拟化技术的应用虚拟化技术是云计算的基础之一,其在金融行业中的应用也越发广泛。
通过虚拟化技术,金融机构可以实现快速部署、动态分配资源,提高IT资源的利用率。
例如,虚拟机可以根据业务需求自动分配计算和存储资源,从而提升业务的弹性和可扩展性。
2. 大数据分析与风险管理金融行业的数据量庞大,包含了交易记录、市场数据、客户信息等重要数据。
云计算提供了强大的数据存储和处理能力,能够支持金融机构对海量数据进行实时分析和风险管理。
金融机构可以利用云计算平台,基于大数据分析技术,寻找市场趋势、预测风险,从而制定更科学的投资策略和风险控制措施。
3. 金融科技创新与服务升级借助云计算,金融机构可以更快地推出新产品和服务,不受传统IT基础设施的限制。
云计算可以提供弹性和可扩展的服务平台,帮助金融机构实现快速创新和业务拓展。
例如,通过云计算和人工智能技术,金融机构可以开发智能客服、智能风控等新型金融科技产品,提高服务质量和效率。
二、云计算数据安全措施金融行业对于数据安全的要求极高,因此在使用云计算时,需要采取一系列的安全措施来保护数据的机密性、完整性和可用性。
1. 数据加密与身份认证金融机构应对敏感数据进行加密,确保在传输和存储中不被篡改和窃取。
同时,合理使用身份认证机制,限制用户权限,防止非授权用户获取敏感数据。
2. 云安全合规认证选择获得ISO 27001等云计算安全标准认证的云服务提供商,能够增强金融机构对数据安全的信任度。
通过与合规认证的云服务提供商合作,金融机构可以更好地掌握云计算平台的安全风险。
《云计算技术金融应用规范 技术架构》等三项金融行业标准正式发布
《云计算技术金融应用规范技术架构》等三项金融行业标准正式发布
2018年8月15日,《云计算技术金融应用规范技术架构》(JR/T
0166-2018)、《云计算技术金融应用规范安全技术要求》(JR/T0167-2018)、《云计算技术金融应用规范容灾》(JR/T
此三项标准由全国金融标准化技术委员会归口管理,由中国人民银行科技司、中国人民银行成都分行、中国人民银行济南分行、中国人民银行福州中心支行负责起草,中国金融电子化公司、网联清算有限公司、中国互联网金融协会等单位参与起草。
标准经过广泛征求意见和论证,并通过了全国金融标准化技术委员会审查。
1
JR/T0166-2018
云计算技术金融应用规范技术架构
2018-08-15
2018-08-15
3
JR/T0168-2018
云计算技术金融应用规范容灾
2018-08-15
2018-08-15。
金融云计算安全标准的解析
金融云计算安全标准的解析作者:张旭刚谢宗晓来源:《中国质量与标准导报》2020年第05期1 金融云计算的发展近几年云计算产业快速发展,云计算逐步向以金融行业为代表的传统行业加速渗透。
同时随着金融行业“数字化”转型战略的实施,对其业务的灵活多变和运维的敏捷开发提出了新的挑战,传统的集中式金融技术架构已无法满足新的业务需求,金融机构迫切的需要通过新的技术满足业务需求,而目前的云计算技术就是最佳选择,它能更好地支撑上层业务的灵活多变,实现业务系统的高效敏捷开发以及自动化运维等需求,从而对“数字化金融”业务能更好地服务。
同时国家层面高度重视金融行业云计算的发展,国务院和人民银行颁布了相关的指导意见和工作目标。
具体见表1。
政策指导方面,积极推动金融行业探索互联网金融云服务平台的建设,加强金融行业云计算应用政策研究;标准推进方面,发布了金融行业云计算技术金融应用规范标准;发展规划方面,统筹规划云计算在金融领域的应用,搭建安全可控的金融行业云服务平台。
从政策指导、标准推进、发展规划3个方面,国家和监管单位为云计算在金融行业的推进和应用保驾护航。
2 金融云计算安全标准的介绍《中国人民银行关于发布实施金融行业标准规范云计算技术金融应用的通知》(银发〔2018〕195号)提到了云计算的3个标准,分别是JR/T 0166—2018《云计算技术金融应用规范技术架构》、JR/T 0167—2018《云计算技术金融应用规范安全技术要求》和JR/T 0168—2018《云计算技术金融应用规范容灾》,也是目前金融行业云计算安全仅有的3个标准,以下对这3个标准进行介绍。
2.1 JR/T 0166—2018《云计算技术金融应用规范技术架构》JR/T 0166—2018是金融行业云计算三个标准中的基础,主要介绍了云计算中常见的术语和定义,明确了云计算的服务模式、部署方式以及云服务使用者、云服务提供者和云服务合作者三者之间的关系,规定了云计算平台的5种架构特性,最后详细的介绍了架构体系的内容。
1_云计算技术金融应用规范安全技术要求
1_云计算技术金融应用规范安全技术要求云计算技术在金融领域的应用日益广泛,为金融机构带来了许多便利和机遇。
然而,随着云计算技术的不断发展,金融应用规范安全技术要求也越来越重要。
本文将从以下几个方面来探讨云计算技术在金融中的应用规范和安全技术要求。
首先,金融机构在应用云计算技术时应该制定相应的规范。
规范旨在确保金融机构在云计算应用过程中能够遵守相关法律法规,保障用户和金融机构的信息安全。
金融机构应该明确云计算平台的使用范围、管理责任和权限,建立健全的管理制度。
同时,规范也应该规定云计算平台的服务等级协议,确保金融机构能够根据自身需求选择合适的云服务提供商。
其次,金融机构在选择云服务提供商时应该考虑安全技术要求。
云服务提供商应该具备一定的安全能力,包括数据加密和访问控制等技术手段,确保金融机构的数据在云平台上得到足够的保护。
同时,云服务提供商应该严格遵守相关法律法规,保障用户的合法权益。
金融机构在选择云服务提供商时,还应该考虑其安全审计和可信度等方面的考量。
最后,金融机构在使用云计算技术时还应重视数据备份和恢复。
云计算平台提供商应该提供可靠的数据备份和恢复机制,确保金融机构在灾难发生时能够及时恢复数据。
另外,金融机构还应定期测试备份和恢复的效果,及时修正和完善备份和恢复策略。
综上所述,云计算技术在金融领域的应用规范安全技术要求至关重要。
金融机构应制定相应的规范,选择合适的云服务提供商,保护数据的隐私性,并确保可靠的数据备份和恢复机制。
只有这样,金融机构才能充分利用云计算技术的优势,提高效率、降低成本,并保证金融安全。
云计算技术金融应用安全技术规范
云计算技术金融应用安全技术规范当前社会经济的快速发展,金融行业一直扮演着重要的角色。
而随着云计算技术的兴起,金融行业也逐渐采用云计算技术来提高效率、降低成本并拓展业务。
然而,金融行业的特殊性质决定了对云计算技术的应用需要更高的安全要求。
本文旨在讨论云计算技术金融应用中的安全技术规范。
一、云计算技术在金融行业的应用云计算技术作为一种新型的信息技术模式,可以将数据存储在分布式的服务器集群中,通过互联网进行共享和访问。
在金融行业中,云计算技术有助于金融机构管理和处理庞大的交易数据、提供高效的金融服务以及降低IT成本。
目前,金融行业普遍采用云计算技术来实现数据共享、网络服务和应用,并将其与大数据、人工智能等技术相结合,进一步提升金融服务的品质和效率。
二、云计算技术金融应用的安全挑战尽管云计算技术在金融行业中的应用带来了许多益处,但也面临着一系列的安全挑战。
首先,金融数据的敏感性决定了数据的保密性和完整性必须得到保障。
其次,金融数据的准确性对于业务运营至关重要,因此数据的时效性和一致性也必须得到保证。
此外,金融行业还需要应对网络安全威胁、合规性要求以及法律风险等多方面的挑战。
因此,在云计算技术金融应用中,安全技术规范的制定显得尤为重要。
三、云计算技术金融应用的安全技术规范1. 数据安全规范数据安全是云计算技术金融应用中最为关键的环节。
金融机构应制定严格的数据加密、访问控制和审计机制,确保数据在存储、传输和处理过程中的安全性。
同时,定期进行数据备份和恢复测试,以应对数据遭到破坏和丢失的风险。
2. 网络安全规范金融机构在云计算技术应用中需要关注网络安全问题。
应建立健全的防火墙、入侵检测和防护系统,及时发现和阻断潜在的网络攻击。
同时,对金融交易数据的传输进行加密处理,确保数据在传输过程中不被窃听、篡改或伪造。
3. 身份认证规范针对金融行业特殊的身份认证需求,金融机构应该采用多层次的身份认证机制,防范身份信息被盗用和滥用的风险。
云计算技术金融应用技术规范
云计算技术金融应用技术规范随着金融行业数字化转型的加速,云计算技术在金融领域的应用日益广泛。
然而,云计算技术的引入也带来了一系列的技术挑战和风险。
为了确保云计算技术在金融领域的安全、可靠、高效应用,制定一套完善的技术规范显得尤为重要。
一、云计算技术概述云计算是一种基于互联网的计算方式,通过将计算任务分布在大量的分布式计算机上,而非本地计算机或远程服务器中,企业数据中心的运行将与互联网更相似。
这使得企业能够将资源切换到需要的应用上,根据需求访问计算机和存储系统。
在金融领域,云计算技术主要包括基础设施即服务(IaaS)、平台即服务(PaaS)和软件即服务(SaaS)三种服务模式。
IaaS 提供服务器、存储和网络等基础设施资源;PaaS 提供平台环境,如操作系统、数据库和中间件;SaaS 则直接提供应用程序,如客户关系管理(CRM)和企业资源规划(ERP)系统。
二、金融行业对云计算技术的需求金融行业具有高度的数据敏感性和业务连续性要求。
因此,在采用云计算技术时,需要重点考虑以下几个方面:1、安全性:金融数据的安全性至关重要,包括数据的加密、访问控制、身份验证和审计等。
2、可靠性:确保云计算服务的高可用性和容错能力,以保障金融业务的连续性。
3、性能:满足金融交易的低延迟和高并发处理需求。
4、合规性:符合金融监管法规和行业标准,如数据隐私保护、风险管理等。
三、云计算技术在金融应用中的技术规范(一)基础设施规范1、服务器选型:应根据金融业务的负载需求选择合适的服务器配置,包括 CPU、内存、存储等。
2、网络架构:构建高速、稳定、低延迟的网络环境,支持多区域部署和灾备。
3、存储管理:采用可靠的存储技术,如分布式存储、RAID 等,并定期进行数据备份和恢复测试。
(二)平台规范1、操作系统:选择经过安全加固的操作系统,并及时进行补丁更新。
2、数据库:选用支持金融业务的高性能数据库,如关系型数据库或分布式数据库,并进行优化配置。
云计算安全相关标准解析
云计算安全相关标准解析作者:董贞良来源:《中国质量与标准导报》2018年第08期1 云计算时代及其安全云计算已经成为互联网时代的主流计算模式,同时,其带来的安全问题日趋重要和紧迫。
到目前为止,信息技术大致经历了通信时代、单机时代、计算机网络时代和云计算时代。
伴随着这个过程,安全的关注点也随之变化。
信息技术发展与主要安全关注点如图1所示。
本文主要对国内外云计算相关标准,以及国内金融行业云计算标准进行了综述。
2 国家标准的开发进展国家标准及行业标准情况见表1。
(1)GB/T 31167—2014《信息安全技术云计算服务安全指南》GB/T 31167—2014是指导政府部门采用云计算服务,选择云服务商,对云计算服务进行运行监管,退出云计算服务和更换云服务商安全风险提出的安全技术和管理措施。
GB/T 31167—2014正文共9章。
正文前3章说明了范围、规范性引用文件、术语和定义。
第4章对云计算的主要特征、服务模式、部署模式和优势进行了概述。
第5章提出云计算带来的信息安全风险。
第6章提出了规划准备的要求。
第7章提出了选择服务商与部署的要求。
第8章提出了运行监管的要求。
第9章提出了退出服务的要求。
(2)GB/T 31168—2014《信息安全技术云计算服务安全能力要求》GB/T 31168—2014描述了以社会化方式为特定客户提供云计算服务时,云服务商应具备的安全技术能力。
适用于对政府部门使用的云计算服务进行安全管理,也可供重点行业和其他企事业单位使用云计算服务时参考,还适用于指导云服务商建设安全的云计算平台和提供安全的云计算服务。
GB/T 31168—2014正文共14章。
正文前3章说明了范围、规范性引用文件、术语和定义。
第4章对标准做了概述。
第5章提出了系统开发与供应链安全的17个主要安全要求。
第6章提出了系统与通信保护的15个要求。
第7章提出了访问控制的26个要求。
第8章提出了配置管理的7个要求。
第9章提出了维护的9个要求。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
c)应支持对恶意虚拟机的隔离,支持阻断恶意虚拟机与外部网络以及其他虚拟机的通信。
ApplicationProgrammingInterface
应用程序编程接口
CPU
CentralProcessingUnit
中央处理单元
DDoS
DistributedDenialofService
分布式拒绝服务攻击
DoS
DenialofService
拒绝服务
HTTPS
HypertextTransferProtocolSecure
7.2.1
网络资源池安全包括针对网络资源配置和运营的安全要求,并包含网络和安全产品所涉及的功能或服务安全要求。云服务使用者从云服务提供者获取网络资源池中的虚拟网络资源和控制权。
7.2.2
第一级要求:
应保证虚拟网络全冗余设计,避免单点故障。
第二级要求:
a)应保证金融业不同云服务使用者的资源池物理隔离;
7.2.6
第一级要求:
a)应支持对恶意代码进行检测和清理;
b)应维护恶意代码特征库升级和相关检测系统的更新。
第二级要求:
无。
第三级要求:
无。
7
存储资源池安全包括对存储资源配置和运营的安全要求,也包括对保障存储安全的安全产品、功能或服务的安全要求。云服务使用者从云服务提供者获取存储资源池中的虚拟存储资源和控制权。
d)应对远程执行特权命令进行限制。
第二级要求:
a)应支持云服务使用者通过VPN访问云计算平台;
b)应支持云服务使用者自行在虚拟网络边界设置访问控制规则;
c)应支持云服务使用者自行划分子网、设置访问控制规则;
d)应支持云服务使用者自行过滤进出VPC的网络流量。
第三级要求:
无。
7.2.4
第一级要求:
a)应记录虚拟网络运行状况、网络流量、用户行为等日志;
GB/T 32399—2015信息技术 云计算 参考架构
JR/T 0131—2015 金融业信息系统机房动力系统规范
JR/T XXXX云计算技术金融应用规范 技术架构
3
JR/TXXXX《云计算技术金融应用规范 技术架构》(同期发布)界定的术语和定义适用于本文件。
4
下列符号和缩略语适用于本文件。
API
7.2.5
第一级要求:
a)应防止虚拟机使用虚假的IP或MAC地址对外发起攻击;
b)应防止虚拟机发起VLAN或VxLAN跳跃攻击;
c)应识别、监控和处理虚拟机之间的异常流量。
ห้องสมุดไป่ตู้第二级要求:
a)应检测云服务使用者对外攻击行为,记录攻击类型、攻击时间、攻击流量等。
b)应对各类网络攻击行为进行监测和发现;当检测到网络攻击行为时,记录攻击源IP、攻击类型、攻击时间等,在发生严重入侵事件时应提供报警;
6
6
第一级要求:
应保证云计算平台部署的物理数据中心及附属设施符合JR/T 0131-2015相关要求。
第二级要求:
a)应保证用于服务金融业的云计算数据中心运行环境与其他行业物理隔离;
b)应保证用于云服务使用者业务运行、数据存储和处理的物理设备位于中国境内;
c)应保证云计算平台的运维和运营系统部署在中国境内。
安全超文本传输协议
IaaS
Infrastructure as a Service
基础设施即服务
IP
Internet Protocol
互联网协议
MAC
MediaAccessControl
媒体访问控制
PaaS
Platform as a Service
平台即服务
SaaS
Software as a Service
ICS35.240.40
A 11
JR
中华人民共和国金融行业标准
JR/TXXXX—XXXX
云计算技术金融应用规范安全技术要求
Financial application specification of cloud computing technology——Security technical requirements
b)应支持不同租户网络及同一租户不同网络的隔离;
c)应支持云服务使用者自行划分安全区域;
d)应支持VPC相关的安全功能,对VPC的操作(如创建或删除VPC,自定义路由、安全组和ACL策略等)需要验证云服务使用者凭证。
e)应支持VPC之间以及VPC与其他网络建立VPN或专线连接;
f)应支持云服务使用者监控所拥有各网络节点间的流量。
云
1
本标准规定了云计算服务的安全技术要求,涵盖基础硬件安全、资源抽象与控制安全、应用安全、数据安全、安全管理功能、可选组件安全等。
本标准适用于金融领域的云服务提供者、云服务使用者、云服务合作者、云服务审计者等。
2
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
c)应保证设备和存储介质在重用、报废或更换时,能够对其承载的数据完全清除。
第二级要求:
应保证用于金融业的物理设备不与其他行业共享。
第三级要求:
a)应保证设备安全启动,即启动时的版本和预期一致,完整性没有受到破坏;
b)应对设备重要配置文件进行完整性保护。
7
7
第一级要求:
a)应支持内核补丁检测加固和防止内核提权;
图1云计算安全框架
云计算平台是承载金融领域信息系统的基础平台,其安全要求应不低于所承载业务系统的安全要求。云计算平台本质上仍是一种信息系统,应满足国家和金融行业信息系统安全相关要求,本标准重点从云计算技术角度提出了云计算平台应符合的安全要求。容器、中间件、数据库等可选组件的要求见附录A。云计算相关安全风险分析参见附录B。
c)应禁止管理员未授权操作租户资源;
d)访问控制的粒度应达到主体为用户级或进程级,客体为文件或数据库表级。
第三级要求:
应支持使用两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用动态口令、密码技术或生物技术等不可伪造的技术来实现。
软件即服务
SQL
StructuredQueryLanguage
结构化查询语言
VLAN
VirtualLocalAreaNetwork
虚拟局域网
VPC
VirtualPrivateCloud
虚拟用户网络
VPN
VirtualPrivateNetwork
虚拟专用网络
XSS
Cross-siteScripting
第三级要求:
无。
7
7.4.1
计算资源池安全既包括虚拟机自身安全,也包括保障虚拟机安全的产品、功能和服务的安全要求。云服务使用者从云服务提供者获取计算资源池中的计算资源和控制权。
7.4.2
第一级要求:
无。
第二级要求:
a)应通过设定终端接入方式、网络地址范围等条件限制终端登录;
b)应根据安全策略设置登录终端的操作超时锁定;
第二级要求:
a)应支持为云服务使用者提供专线或VPN接入;
b)应保证除广域网外为金融业服务的网络物理硬件不与其他行业共享;
c)应保证向云服务使用者提供服务的网络资源与其它网络资源安全隔离。
第三级要求:
应支持网络带宽优先级分配。
6
第一级要求:
a)应保证关键设备冗余部署,保证系统可用性;
b)应对设备运行状态、资源使用等进行监控,能够在发生异常情况时发出告警;
b)应为安全审计数据的汇集提供支持。
第二级要求:
a)应根据云服务提供者和云服务使用者的职责划分,实现各自控制部分的审计;
b)云服务提供者应为云服务使用者进行审计提供必要支持;
c)审计记录产生时间应由系统范围内唯一确定的时钟产生,确保审计分析的正确性。
第三级要求:
应支持根据特定要求输出特定网络通讯的元数据和报文数据。
引
随着互联网、移动终端、虚拟化等信息技术的发展演进,云计算技术在金融领域应用逐渐深入,促进了金融产品、经营模式、业务流程的改进和变革。为落实《国务院关于促进云计算创新发展培育信息产业新业态的意见》(国发〔2015〕5号)等,规范云计算技术在金融领域应用,强化云计算对金融服务的技术支撑,提升云计算技术对业务连续性和信息安全的保障能力,特编制本标准。
第一级要求:
a)应支持多层级访问控制;
b)应记录虚拟机运行状况、用户行为等日志;
c)应为安全审计数据的汇集提供支持。
第二级要求:
a)应支持分布式存储的数据副本分布在不同的物理机架;
b)应禁止平台管理员未授权操作租户资源;
c)应支持对用户数据进行加密;
d)应支持租户访问存储的安全传输;
e)应支持跨物理集群账号权限管理;
GB 17859—1999计算机信息系统安全保护等级划分准则
GB/T32400—2015信息技术云计算概览与词汇
GB/T31167—2014信息安全技术 云计算服务安全指南
GB/T 31168—2014 信息安全技术 云计算服务安全能力要求
GB/T 22239—2008 信息安全技术 信息系统安全等级保护基本要求
(征求意见稿)
XXXX -XX-XX发布
XXXX-XX-XX实施
中国人民银行发布
目
前
本标准是云计算技术金融应用系列标准之一,云计算技术金融应用系列标准包括:
——《云计算技术金融应用技术规范 技术架构》;