文章導讀：

互聯網金融業務系統上(shàng)雲後的安全是當下熱點，本文梳理(lǐ)了等級保護雲計(jì)算(suàn)安全和(hé)非銀行(xíng)金融機構安全監管這兩方面的合規性要求，将兩者加以融合、針對其主要的安全問題和(hé)需求，提出雲端互聯網金融的安全防護、安全檢測和(hé)安全監測三大(dà)類措施與安全服務解決方案。

目前，公有(yǒu)雲的建設發展成為(wèi)互聯網時(shí)代的風向标，如阿裏雲、亞馬遜等建立的公有(yǒu)雲規模增長迅速。在移動互聯網發展推波助瀾之下，依托移動互聯網開(kāi)展P2P網貸、線上(shàng)理(lǐ)财、消費金融、三方支付業務的企業為(wèi)了享受公有(yǒu)雲提供的快捷、彈性架構，從而紛紛将應用系統部署到雲上(shàng)。

首先，合規要求方面，《信息系統安全等級保護基本要求雲計(jì)算(suàn)擴展要求》（以下簡稱“《雲等保》”）定義雲計(jì)算(suàn)服務帶來(lái)了“雲主機”等虛拟計(jì)算(suàn)資源，将傳統IT環境中信息系統運營、使用單位的單一安全責任轉變為(wèi)雲租戶和(hé)雲服務商雙方“各自分擔”的安全責任。這點明(míng)确了企業作(zuò)為(wèi)雲租戶，其應用系統都需要定級且符合對應等級安全控制(zhì)措施要求。2016年12月銀監會(huì)發布了188号文，《中國銀監會(huì)辦公廳關于加強非銀行(xíng)金融機構信息科技(jì)建設和(hé)管理(lǐ)的指導意見》（以下簡稱“《指導意見》”），對信托公司和(hé)金融資産管理(lǐ)公司、企業集團财務公司、金融租賃公司、汽車(chē)金融公司、消費金融公司、貨币經紀公司等非銀行(xíng)金融機構信息科技(jì)建設、信息科技(jì)風險防範提出了要求。《指導意見》第五章節指出“加強網絡區(qū)域劃分和(hé)隔離；通(tōng)過部署防病毒、防攻擊、防篡改、防洩密、防抵賴等措施提升系統抵禦內(nèi)外部攻擊破壞的能力；”。對于雲上(shàng)應用系統的安全防護明(míng)确提出了安全建設要求。

其次，參考安全咨詢機構對于2002年至2017年3月之間(jiān)公開(kāi)報道(dào)的敏感信息洩露案例的數(shù)據分析發現：

■  敏感信息洩露呈現上(shàng)升趨勢——洩露手段從以黑(hēi)客入侵等技(jì)術(shù)手段為(wèi)主向技(jì)術(shù)手段與收買內(nèi)部員工、內(nèi)部管理(lǐ)不善等非技(jì)術(shù)手段結合并用發展，特别是對非技(jì)術(shù)手段的運用，近幾年呈現出較快速的增長，企業對可(kě)能的應用系統攻擊行(xíng)為(wèi)沒有(yǒu)安全檢測防護措施。

■  敏感信息洩露涉及行(xíng)業廣泛——重點集中在互聯網、制(zhì)造業、政府機構及金融行(xíng)業，特别是互聯網行(xíng)業信息洩露事件呈現高(gāo)速增長趨勢，需要引起警惕。

■  敏感信息洩露的追責難度大(dà)——基于IP的審計(jì)，難以準确定位責任人(rén)，難以将IP地址與具體(tǐ)人(rén)員身份準确關聯，導緻發生(shēng)安全事故後，追查責任人(rén)成為(wèi)新的難題。

由此，安全威脅與應用安全風險與企業業務經營如影(yǐng)随形。應用系統部署到雲上(shàng)的企業需要考慮在公有(yǒu)雲上(shàng)應用系統的安全防護解決思路。

綠盟科技(jì)建議從滿足合規要求作(zuò)為(wèi)起點，業務在“雲上(shàng)”的企業都需要符合《雲等保》安全要求，非銀行(xíng)金融機構接受國家(jiā)主管單位合規監管，未持牌開(kāi)展業務或違規經營将會(huì)後果嚴重。同時(shí)，為(wèi)了達到業務正常開(kāi)展需要的安全防護水(shuǐ)平，安全服務也應納入，解決應用系統安全檢測和(hé)安全監測需要。

1．合規要求

依據《信息系統安全等級保護基本要求雲計(jì)算(suàn)擴展要求》，明(míng)确定義了雲租戶側的等級保護對象也應作(zuò)為(wèi)單獨的定級對象定級。雲計(jì)算(suàn)系統的定級對象在原有(yǒu)定級對象基礎上(shàng)進行(xíng)了擴展，原有(yǒu)定級對象主要是信息系統和(hé)相關基礎網絡，而雲計(jì)算(suàn)将定級對象擴展為(wèi)雲服務商的雲平台和(hé)雲租戶的應用系統。雲計(jì)算(suàn)系統定級時(shí)，雲服務商的雲平台和(hé)雲租戶的應用系統應分别定級，雲平台等級應不低(dī)于應用系統的安全保護等級。這點明(míng)确了企業作(zuò)為(wèi)雲租戶，其應用系統都需要定級且符合對應等級安全控制(zhì)措施要求。

對照等保二級要求，應至少(shǎo)部署防火(huǒ)牆、堡壘機達到控制(zhì)措施要求；對照等保三級要求，應至少(shǎo)部署入侵防護、防火(huǒ)牆、堡壘機、數(shù)據庫審計(jì)達到控制(zhì)措施要求。對于雲端租戶的安全需求，客戶可(kě)以方便地從雲服務提供商的雲市場(chǎng)中進行(xíng)選購和(hé)安裝。對有(yǒu)線下服務需求的企業，如專家(jiā)版服務，可(kě)以結合線上(shàng)線下服務的組合。

《指導意見》第五章節中提出“……加強系統安全漏洞和(hé)補丁信息的監測、收集和(hé)評估，确保及時(shí)發現和(hé)處置重大(dà)安全隐患。……”漏洞管理(lǐ)工作(zuò)應該是信息安全工作(zuò)的重中之重，漏洞生(shēng)命周期管理(lǐ)不僅僅涉及漏洞自身的發現、評估和(hé)修複，同時(shí)還(hái)牽涉漏洞情報信息的獲取，組織漏洞管理(lǐ)基線的建立和(hé)應急處置工作(zuò)。改變傳統的以IP信息為(wèi)視(shì)角的資産管理(lǐ)方法，從安全的角度重新審視(shì)資産信息，從資産的業務功能、服務對象、版本信息、安全防範措施等方面建立安全資産信息，從安全的角度管理(lǐ)資産脆弱性。當出現安全漏洞時(shí)，不僅需要考慮漏洞的風險等級，還(hái)需要結合資産安全信息，不同資産相同漏洞區(qū)别對待，體(tǐ)現業務對漏洞的差異性，真正實現差異化漏洞管理(lǐ)策略，從而實現漏洞管理(lǐ)能力的提高(gāo)。

《指導意見》第五章節中提出“……開(kāi)展應用系統安全檢測，對官方網站(zhàn)等通(tōng)過互聯網提供服務的系統，在上(shàng)線及重大(dà)投産變更前進行(xíng)滲透測試，杜絕系統‘帶病’上(shàng)線。……”應用系統在上(shàng)線後由于存在類似SQL注入、密碼明(míng)文傳輸、安全功能缺失等漏洞而遭受攻擊，會(huì)直接影(yǐng)響正常業務運行(xíng)，甚至造成經濟和(hé)名譽的損失。因此，需要在系統上(shàng)線前對系統安全狀況進行(xíng)檢驗，從信息安全的角度對應用系統、集成環境等內(nèi)容的安全狀況進行(xíng)評估，對發現的問題進行(xíng)妥善處理(lǐ)，避免将影(yǐng)響系統安全的問題遺留到系統上(shàng)線後，成為(wèi)系統安全的隐患。

為(wèi)了滿足《雲等保》和(hé)等保三級要求，部署在公有(yǒu)雲上(shàng)的企業應至少(shǎo)選擇防火(huǒ)牆雲服務（支持入侵防禦）、網站(zhàn)安全防護服務(vWAF)、堡壘機雲服務和(hé)數(shù)據庫監控與審計(jì)服務。

非銀行(xíng)金融機構需要同時(shí)滿足《指導意見》要求，其上(shàng)雲應用系統應選擇安全檢測服務和(hé)安全監測服務。

2．安全保障需求

先回顧近期某互聯網公司發生(shēng)的信息安全案例，公司內(nèi)部員工對公司200餘台服務器(qì)植入木馬，該木馬具備遠程控制(zhì)和(hé)對外DDoS攻擊功能。這意味着外部人(rén)員可(kě)遠程控制(zhì)這些(xiē)服務器(qì)做(zuò)流量攻擊，進而導緻被攻擊的服務器(qì)癱瘓。目前，此事已在法院宣判。至案發時(shí)，內(nèi)部員工獲利2萬餘元，但(dàn)對于企業的經濟和(hé)名譽損失就相當巨大(dà)。不少(shǎo)互聯網企業都發生(shēng)過類似案件，但(dàn)沒有(yǒu)安全檢測和(hé)安全監測手段，無法及時(shí)發現漏洞和(hé)安全問題。有(yǒu)的企業雖能鎖定具體(tǐ)賬戶,但(dàn)無法鎖定到具體(tǐ)個(gè)人(rén),加之留存的證據不多(duō),事情就不了了之。

信息安全CIA三要素（機密、完整、可(kě)用）應當在定義安全保障需求時(shí)統一考慮，對開(kāi)展理(lǐ)财、支付、保險等金融業務的企業更應關注金融資料的保護，如銀行(xíng)賬戶信息、扣款賬号、保險數(shù)據，避免信息被篡改或外洩。

因而，為(wèi)了達到業務正常開(kāi)展需要的安全防護水(shuǐ)平，需要定期開(kāi)展安全檢測和(hé)持續有(yǒu)效安全監測服務，雲上(shàng)應用系統更應被納入，解決應用系統安全需要。

3．雲上(shàng)安全防護措施

防火(huǒ)牆雲服務

以虛拟化形态部署防火(huǒ)牆，适用于多(duō)種虛拟化平台，使管理(lǐ)員可(kě)以快速高(gāo)效地調配和(hé)擴展防火(huǒ)牆。企業所要選擇的服務需要支持應用識别、入侵防禦、內(nèi)容過濾、URL過濾、VPN等，且這些(xiē)增值功能授權費用應該一并考慮，如IPSEC VPN 、SSL VPN的授權并發連接數(shù)量是否滿足企業日常需求。包含必要增值功能的防火(huǒ)牆才是有(yǒu)效的安全服務。 

網站(zhàn)安全防護服務(vWAF)

以虛拟化Web應用防火(huǒ)牆(Virtual Web Application Firewall, 簡稱 vWAF)為(wèi)核心的安全服務，企業客戶可(kě)以在公有(yǒu)雲等環境中快速部署上(shàng)線，從而能全面抵禦OWASP Top 10等各類Web安全威脅免遭當前和(hé)未來(lái)的安全威脅。企業所要選擇的服務必須同時(shí)支持HTTP協議和(hé)HTTPS協議，且可(kě)以支持vWAF托管服務的服務提供商更佳。

雲清洗服務

基于DNS智能牽引技(jì)術(shù)，主要解決10G及以上(shàng)大(dà)流量DDoS攻擊防護，同時(shí)可(kě)防禦電(diàn)信、聯通(tōng)和(hé)BGP三條鏈路大(dà)流量攻擊，而運營商提供的雲清洗服務僅能清洗本網內(nèi)的攻擊流量。由于DDoS攻擊可(kě)能在相同行(xíng)業內(nèi)同時(shí)發生(shēng)，存在帶寬和(hé)防護資源沖突情況，因而企業選擇服務時(shí)需留意服務提供商的清洗能力是否充足。同時(shí)，建議選擇提供雲清洗配套線下本地防護混合的服務，以獲得(de)更完善的防護保障。

堡壘機雲服務

以虛拟化形态部署堡壘機，提供賬号管理(lǐ)和(hé)資産管理(lǐ)，實現運維審計(jì)。基于唯一身份标識，通(tōng)過對用戶從登錄到退出的全程操作(zuò)行(xíng)為(wèi)進行(xíng)審計(jì)，監控用戶對目标設備的所有(yǒu)敏感操作(zuò)，聚焦關鍵事件，實現對安全事件的實時(shí)發現與預警。企業所要選擇的服務需滿足等保标準對用戶身份鑒别、訪問控制(zhì)、安全審計(jì)等條款的要求，且支持準确定位用戶身份，追溯安全事件責任，滿足合規要求且日常使用方便的服務才是正确選擇。

安全評估服務

對各種Web應用系統漏洞和(hé)操作(zuò)系統漏洞的安全檢測，應按需定制(zhì)檢測掃描頻率，用于網站(zhàn)安全評估的雲服務。企業選擇服務時(shí)需了解服務包含的漏洞庫種類、是否維護更新，且對于識别的漏洞是否提供漏洞驗證服務，降低(dī)誤報概率。

安全監測服務

服務應符合網信辦、公安部等國家(jiā)主管部門(mén)關于網站(zhàn)安全建設的合規要求，為(wèi)客戶提供網站(zhàn)漏洞掃描及漏洞驗證、網頁挂馬監測、釣魚網站(zhàn)監測、網頁篡改監測、網頁敏感內(nèi)容監測以及網站(zhàn)可(kě)用性監測服務。通(tōng)常本服務包含安全檢測服務內(nèi)容。企業應留意監測服務是否在重要時(shí)期支持發送平安短(duǎn)信以及安全日報，是否能夠協助關停發現的釣魚網站(zhàn)，這點值得(de)關注。

數(shù)據庫監控與審計(jì)服務

通(tōng)過對數(shù)據庫訪問行(xíng)為(wèi)的精确解析，完成性能監控、事中審計(jì)、事後追溯、風險告警等一系列動作(zuò)，全面洞察數(shù)據庫安全狀況，并提供事後追溯依據。企業所要選擇的服務是否全面考慮數(shù)據庫存儲、使用管控，監控告警記錄本地是否加密防護，這一點很(hěn)重要。

4．雲上(shàng)服務優勢

便捷快速

依托公有(yǒu)雲提供的快速部署、實時(shí)開(kāi)通(tōng)的能力，客戶可(kě)以随時(shí)在公有(yǒu)雲上(shàng)按需選購，同時(shí)也避免了硬件設備的生(shēng)産、貨運和(hé)上(shàng)架環節，最短(duǎn)時(shí)間(jiān)內(nèi)就能獲取到對應的安全能力。

惡意行(xíng)為(wèi)發現

基于實時(shí)的信譽機制(zhì)，結合企業級和(hé)全球信譽庫，可(kě)有(yǒu)效檢測惡意URI、僵屍網絡，快速識别、定位出惡意的攻擊行(xíng)為(wèi)或惡意資源。

通(tōng)過雲安全服務提供應急響應

憑借雲安全服務的支撐，可(kě)以實現與雲安全中心對接和(hé)同步，由安全專家(jiā)團隊協助用戶對網站(zhàn)安全隐患和(hé)遭受的攻擊威脅進行(xíng)7*24小(xiǎo)時(shí)全天候監控，并定期優化安全策略，提供安全日志(zhì)分析報告。

深度對接公有(yǒu)雲特性

通(tōng)過與公有(yǒu)雲的API進行(xíng)對接，輔助堡壘機雲服務實現托管資産信息自動錄入，減輕運維人(rén)員工作(zuò)難度，提高(gāo)效率。

SaaS安全管家(jiā)

在獲得(de)用戶授權後，雲上(shàng)服務自動把運營數(shù)據上(shàng)傳給雲中心，用戶在手機上(shàng)實時(shí)查看運行(xíng)狀态以及異常告警，并且一鍵尋求安全專家(jiā)與技(jì)術(shù)支持團隊，第一時(shí)間(jiān)解決安全問題。

文章摘自綠盟科技(jì)