金融云信息安全等级保护之云定级论文.docVIP

金融云信息安全等级保护之云定级论文 自第一朵“金融云”飘荡在金融行业上空后，金融机构亟需为这朵云以及之后更多的云撑开绿色保护伞，信息安全等级保护便是其一。根据目前已建立的信息安全等级保护政策标准体系和实施框架，本文讨论金融云可否作为现行的信息安全等级保护对象，应用了多租户技术的金融云当如何确定自身的安全等级等问题，并针对多租户云定级等问题提出了解决方案，为金融云顺利全面撑开信息安全等级保护这把保护伞，提供了一种新的可能。 一、背景 (一)信息安全等级保护中系统定级的认识 信息安全等级保护工作包括系统定级、系统备案、建设整改、等级测评、监督检查等内容。系统定级是开展工作的第一步，只有明确了系统的安全级别，才能明确开展后续的总体安全规划、安全设计与实施、安全运维等工作，在安全运维中通过反馈可局部调整安全设计实施，而当遇到较大变更时可能须重新确定系统级别，修改或重新建设总体安全规划。因此，需审慎确定系统级别。 在云计算技术在国内应用之前，随着实际工作在生产中逐步推广应用，在如何确定系统级别的认识上不断贴合实际需求，相关政策标准也因此在不断修订完善。《关于信息安全等级保护工作的实施意见》(公通字[xx]66号，以下简称《实施意见》)中规定了五级监督管理强度。《信息安全等级保护管理办法》(公通字[xx]43号，以下简称《管理办法》)，明确了信息系统重要程度的等级的概念，从信息系统重要程度及其社会属性考虑给出了信息系统五个级别的定义。信息系统重要程度级别越高的系统可能面临更多的威胁或更强能力的威胁，因此需要具备更强的安全保护能力才能实现基本安全。《信息系统安全等级保护基本要求》(GB/T22239-xx，以下简称《基本要求》)重新诠释了安全保护能力，将安全保护能力暂时划分为四级。《信息系统安全保护等级定级指南》(GB/T22240-xx，以下简称《定级指南》)详细阐明了定级的原理、流程、方法等。 信息系统确定了重要程度等级后，不同级别的信息系统须具备相应级别的安全保护能力，并为其实现，金融机构和运营单位须依据《划分准则》和《基本要求》等技术标准，落实各项安全技术和管理措施，信息安全监管部门根据信息系统的重要程度等级对信息系统实施不同强度的监督管理。 (二)云计算 云计算是一种计算模式，云从用户对云的访问权限上可以分为私有云、公有云、混合云。对于金融机构而言，私有云是本机构自行搭建或租用云服务提供方搭建的、仅本机构或本机构与分支机构、营业网点使用的服务;公有云是由云服务提供方搭建的、不同机构用户或个人用户按实际用量付费租用的服务;混合云是私有云和公有云对接形成。目前云应用、云平台、云安全、云存储等云服务，从提供服务种类上可分为基础设施即服务(Iaas)、平台即服务(Paas)、软件即服务(SaaS)，基础设施即服务是指提供硬件、网络、存储等资源或计算能力;平台即服务是指提供如开发、测试、运维监管等操作环境，包括API、运行平台等;软件即服务是指提供各种可直接使用的应用软件。 (三)金融云 金融云是金融信息化更上一层的又一个典型，是深化互联网金融改革的又一个创新。无论是金融机构拓展自身IT能力部署云计算数据中心或是借助互联网公司的云服务或是互联网公司利用自身IT优势拓展金融业务，借机分金融市场一杯羹，金融云都可以归结为通过云计算技术将金融数据中心与客户端应用整合到云计算体系架构之中，借助云计算技术的快速弹性、可扩展、资源池化、广泛网络接入和多租户等优势达到提高自身系统运算能力、数据处理能力和网络吞吐能力，改善客户体验评价，提高金融机构迅速发现并解决问题的能力，提升整体工作效率，改善流程，降低运营成本的目的。 国内第一朵“金融云”由中国电信上海公司与服务提供商联合打造诞生后，带来资源配置优化、资源利用率大幅提高、快速满足弹性需求、可扩展、易接入、低成本高效益等重大利好的同时也带来了安全、监管等方面的新难题。相较其他行业，金融业对于安全有着更高的需求，金融业的业务特性使得是否拥有坚不可摧的云安全关乎金融机构、金融业乃至国家经济的生存发展，因此，在金融云上适时撑起信息安全等级保护这把绿色安全保护伞，当为时势所趋。 二、金融云信息安全等级保护之云定级问题与解决方案 (一)金融云信息安全等级保护之云定级问题 1.定级对象边界难以明晰。《定级指南》中明确了定级方法的第一步是确定定级对象。《保护条例》、《管理办法》、《基本要求》等政策标准中规定的信息安全等级保护对象是计算机信息系统。那么问题来了，金融云是计算机信息系统吗?如果不是，那么金融云与计算机信息系统有什么关系? 2.定级