文章導讀：

互聯網金融業務系統上雲後的安全是當下(xià)熱點，本文梳理了等級保護雲計算安全和非銀行金融機構安全監管這兩方面的合規性要求，将兩者加以融合、針對其主要的安全問題和需求，提出雲端互聯網金融的安全防護、安全檢測和安全監測三大(dà)類措施與安全服務解決方案。

目前，公有雲的建設發展成爲互聯網時代的風向标，如阿裏雲、亞馬遜等建立的公有雲規模增長迅速。在移動互聯網發展推波助瀾之下(xià)，依托移動互聯網開(kāi)展P2P網貸、線上理财、消費(fèi)金融、三方支付業務的企業爲了享受公有雲提供的快捷、彈性架構，從而紛紛将應用系統部署到雲上。

首先，合規要求方面，《信息系統安全等級保護基本要求雲計算擴展要求》（以下(xià)簡稱“《雲等保》”）定義雲計算服務帶來了“雲主機”等虛拟計算資(zī)源，将傳統IT環境中(zhōng)信息系統運營、使用單位的單一(yī)安全責任轉變爲雲租戶和雲服務商(shāng)雙方“各自分(fēn)擔”的安全責任。這點明确了企業作爲雲租戶，其應用系統都需要定級且符合對應等級安全控制措施要求。2016年12月銀監會發布了188号文，《中(zhōng)國銀監會辦公廳關于加強非銀行金融機構信息科技建設和管理的指導意見》（以下(xià)簡稱“《指導意見》”），對信托公司和金融資(zī)産管理公司、企業集團财務公司、金融租賃公司、汽車(chē)金融公司、消費(fèi)金融公司、貨币經紀公司等非銀行金融機構信息科技建設、信息科技風險防範提出了要求。《指導意見》第五章節指出“加強網絡區域劃分(fēn)和隔離(lí)；通過部署防病毒、防攻擊、防篡改、防洩密、防抵賴等措施提升系統抵禦内外(wài)部攻擊破壞的能力；”。對于雲上應用系統的安全防護明确提出了安全建設要求。

其次，參考安全咨詢機構對于2002年至2017年3月之間公開(kāi)報道的敏感信息洩露案例的數據分(fēn)析發現：

■  敏感信息洩露呈現上升趨勢——洩露手段從以黑客入侵等技術手段爲主向技術手段與收買内部員(yuán)工(gōng)、内部管理不善等非技術手段結合并用發展，特别是對非技術手段的運用，近幾年呈現出較快速的增長，企業對可能的應用系統攻擊行爲沒有安全檢測防護措施。

■  敏感信息洩露涉及行業廣泛——重點集中(zhōng)在互聯網、制造業、政府機構及金融行業，特别是互聯網行業信息洩露事件呈現高速增長趨勢，需要引起警惕。

■  敏感信息洩露的追責難度大(dà)——基于IP的審計，難以準确定位責任人，難以将IP地址與具體(tǐ)人員(yuán)身份準确關聯，導緻發生(shēng)安全事故後，追查責任人成爲新的難題。

由此，安全威脅與應用安全風險與企業業務經營如影随形。應用系統部署到雲上的企業需要考慮在公有雲上應用系統的安全防護解決思路。

綠盟科技建議從滿足合規要求作爲起點，業務在“雲上”的企業都需要符合《雲等保》安全要求，非銀行金融機構接受國家主管單位合規監管，未持牌開(kāi)展業務或違規經營将會後果嚴重。同時，爲了達到業務正常開(kāi)展需要的安全防護水平，安全服務也應納入，解決應用系統安全檢測和安全監測需要。

1．合規要求

依據《信息系統安全等級保護基本要求雲計算擴展要求》，明确定義了雲租戶側的等級保護對象也應作爲單獨的定級對象定級。雲計算系統的定級對象在原有定級對象基礎上進行了擴展，原有定級對象主要是信息系統和相關基礎網絡，而雲計算将定級對象擴展爲雲服務商(shāng)的雲平台和雲租戶的應用系統。雲計算系統定級時，雲服務商(shāng)的雲平台和雲租戶的應用系統應分(fēn)别定級，雲平台等級應不低于應用系統的安全保護等級。這點明确了企業作爲雲租戶，其應用系統都需要定級且符合對應等級安全控制措施要求。

對照等保二級要求，應至少部署防火(huǒ)牆、堡壘機達到控制措施要求；對照等保三級要求，應至少部署入侵防護、防火(huǒ)牆、堡壘機、數據庫審計達到控制措施要求。對于雲端租戶的安全需求，客戶可以方便地從雲服務提供商(shāng)的雲市場中(zhōng)進行選購和安裝。對有線下(xià)服務需求的企業，如專家版服務，可以結合線上線下(xià)服務的組合。

《指導意見》第五章節中(zhōng)提出“……加強系統安全漏洞和補丁信息的監測、收集和評估，确保及時發現和處置重大(dà)安全隐患。……”漏洞管理工(gōng)作應該是信息安全工(gōng)作的重中(zhōng)之重，漏洞生(shēng)命周期管理不僅僅涉及漏洞自身的發現、評估和修複，同時還牽涉漏洞情報信息的獲取，組織漏洞管理基線的建立和應急處置工(gōng)作。改變傳統的以IP信息爲視角的資(zī)産管理方法，從安全的角度重新審視資(zī)産信息，從資(zī)産的業務功能、服務對象、版本信息、安全防範措施等方面建立安全資(zī)産信息，從安全的角度管理資(zī)産脆弱性。當出現安全漏洞時，不僅需要考慮漏洞的風險等級，還需要結合資(zī)産安全信息，不同資(zī)産相同漏洞區别對待，體(tǐ)現業務對漏洞的差異性，真正實現差異化漏洞管理策略，從而實現漏洞管理能力的提高。

《指導意見》第五章節中(zhōng)提出“……開(kāi)展應用系統安全檢測，對官方網站等通過互聯網提供服務的系統，在上線及重大(dà)投産變更前進行滲透測試，杜絕系統‘帶病’上線。……”應用系統在上線後由于存在類似SQL注入、密碼明文傳輸、安全功能缺失等漏洞而遭受攻擊，會直接影響正常業務運行，甚至造成經濟和名譽的損失。因此，需要在系統上線前對系統安全狀況進行檢驗，從信息安全的角度對應用系統、集成環境等内容的安全狀況進行評估，對發現的問題進行妥善處理，避免将影響系統安全的問題遺留到系統上線後，成爲系統安全的隐患。

爲了滿足《雲等保》和等保三級要求，部署在公有雲上的企業應至少選擇防火(huǒ)牆雲服務（支持入侵防禦）、網站安全防護服務(vWAF)、堡壘機雲服務和數據庫監控與審計服務。

非銀行金融機構需要同時滿足《指導意見》要求，其上雲應用系統應選擇安全檢測服務和安全監測服務。

2．安全保障需求

先回顧近期某互聯網公司發生(shēng)的信息安全案例，公司内部員(yuán)工(gōng)對公司200餘台服務器植入木馬，該木馬具備遠程控制和對外(wài)DDoS攻擊功能。這意味着外(wài)部人員(yuán)可遠程控制這些服務器做流量攻擊，進而導緻被攻擊的服務器癱瘓。目前，此事已在法院宣判。至案發時，内部員(yuán)工(gōng)獲利2萬餘元，但對于企業的經濟和名譽損失就相當巨大(dà)。不少互聯網企業都發生(shēng)過類似案件，但沒有安全檢測和安全監測手段，無法及時發現漏洞和安全問題。有的企業雖能鎖定具體(tǐ)賬戶,但無法鎖定到具體(tǐ)個人,加之留存的證據不多,事情就不了了之。

信息安全CIA三要素（機密、完整、可用）應當在定義安全保障需求時統一(yī)考慮，對開(kāi)展理财、支付、保險等金融業務的企業更應關注金融資(zī)料的保護，如銀行賬戶信息、扣款賬号、保險數據，避免信息被篡改或外(wài)洩。

因而，爲了達到業務正常開(kāi)展需要的安全防護水平，需要定期開(kāi)展安全檢測和持續有效安全監測服務，雲上應用系統更應被納入，解決應用系統安全需要。

3．雲上安全防護措施

防火(huǒ)牆雲服務

以虛拟化形态部署防火(huǒ)牆，适用于多種虛拟化平台，使管理員(yuán)可以快速高效地調配和擴展防火(huǒ)牆。企業所要選擇的服務需要支持應用識别、入侵防禦、内容過濾、URL過濾、VPN等，且這些增值功能授權費(fèi)用應該一(yī)并考慮，如IPSEC VPN 、SSL VPN的授權并發連接數量是否滿足企業日常需求。包含必要增值功能的防火(huǒ)牆才是有效的安全服務。 

網站安全防護服務(vWAF)

以虛拟化Web應用防火(huǒ)牆(Virtual Web Application Firewall, 簡稱 vWAF)爲核心的安全服務，企業客戶可以在公有雲等環境中(zhōng)快速部署上線，從而能全面抵禦OWASP Top 10等各類Web安全威脅免遭當前和未來的安全威脅。企業所要選擇的服務必須同時支持HTTP協議和HTTPS協議，且可以支持vWAF托管服務的服務提供商(shāng)更佳。

雲清洗服務

基于DNS智能牽引技術，主要解決10G及以上大(dà)流量DDoS攻擊防護，同時可防禦電信、聯通和BGP三條鏈路大(dà)流量攻擊，而運營商(shāng)提供的雲清洗服務僅能清洗本網内的攻擊流量。由于DDoS攻擊可能在相同行業内同時發生(shēng)，存在帶寬和防護資(zī)源沖突情況，因而企業選擇服務時需留意服務提供商(shāng)的清洗能力是否充足。同時，建議選擇提供雲清洗配套線下(xià)本地防護混合的服務，以獲得更完善的防護保障。

堡壘機雲服務

以虛拟化形态部署堡壘機，提供賬号管理和資(zī)産管理，實現運維審計。基于唯一(yī)身份标識，通過對用戶從登錄到退出的全程操作行爲進行審計，監控用戶對目标設備的所有敏感操作，聚焦關鍵事件，實現對安全事件的實時發現與預警。企業所要選擇的服務需滿足等保标準對用戶身份鑒别、訪問控制、安全審計等條款的要求，且支持準确定位用戶身份，追溯安全事件責任，滿足合規要求且日常使用方便的服務才是正确選擇。

安全評估服務

對各種Web應用系統漏洞和操作系統漏洞的安全檢測，應按需定制檢測掃描頻(pín)率，用于網站安全評估的雲服務。企業選擇服務時需了解服務包含的漏洞庫種類、是否維護更新，且對于識别的漏洞是否提供漏洞驗證服務，降低誤報概率。

安全監測服務

服務應符合網信辦、公安部等國家主管部門關于網站安全建設的合規要求，爲客戶提供網站漏洞掃描及漏洞驗證、網頁挂馬監測、釣魚網站監測、網頁篡改監測、網頁敏感内容監測以及網站可用性監測服務。通常本服務包含安全檢測服務内容。企業應留意監測服務是否在重要時期支持發送平安短信以及安全日報，是否能夠協助關停發現的釣魚網站，這點值得關注。

數據庫監控與審計服務

通過對數據庫訪問行爲的精确解析，完成性能監控、事中(zhōng)審計、事後追溯、風險告警等一(yī)系列動作，全面洞察數據庫安全狀況，并提供事後追溯依據。企業所要選擇的服務是否全面考慮數據庫存儲、使用管控，監控告警記錄本地是否加密防護，這一(yī)點很重要。

4．雲上服務優勢

便捷快速

依托公有雲提供的快速部署、實時開(kāi)通的能力，客戶可以随時在公有雲上按需選購，同時也避免了硬件設備的生(shēng)産、貨運和上架環節，最短時間内就能獲取到對應的安全能力。

惡意行爲發現

基于實時的信譽機制，結合企業級和全球信譽庫，可有效檢測惡意URI、僵屍網絡，快速識别、定位出惡意的攻擊行爲或惡意資(zī)源。

通過雲安全服務提供應急響應

憑借雲安全服務的支撐，可以實現與雲安全中(zhōng)心對接和同步，由安全專家團隊協助用戶對網站安全隐患和遭受的攻擊威脅進行7*24小(xiǎo)時全天候監控，并定期優化安全策略，提供安全日志(zhì)分(fēn)析報告。

深度對接公有雲特性

通過與公有雲的API進行對接，輔助堡壘機雲服務實現托管資(zī)産信息自動錄入，減輕運維人員(yuán)工(gōng)作難度，提高效率。

SaaS安全管家

在獲得用戶授權後，雲上服務自動把運營數據上傳給雲中(zhōng)心，用戶在手機上實時查看運行狀态以及異常告警，并且一(yī)鍵尋求安全專家與技術支持團隊，第一(yī)時間解決安全問題。

文章摘自綠盟科技