文章導讀：

互聯(lián)網(wǎng)金融業(yè)務系統(tǒng)上云后的安全是當下熱點，本文梳理了等級保護云計算安全和非銀行金融機構安全監(jiān)管這兩方面的合規(guī)性要求，將兩者加以融合、針對其主要的安全問題和需求，提出云端互聯(lián)網(wǎng)金融的安全防護、安全檢測和安全監(jiān)測三大類措施與安全服務解決方案。

目前，公有云的建設發(fā)展成為互聯(lián)網(wǎng)時代的風向標，如阿里云、亞馬遜等建立的公有云規(guī)模增長迅速。在移動互聯(lián)網(wǎng)發(fā)展推波助瀾之下，依托移動互聯(lián)網(wǎng)開展P2P網(wǎng)貸、線上理財、消費金融、三方支付業(yè)務的企業(yè)為了享受公有云提供的快捷、彈性架構，從而紛紛將應用系統(tǒng)部署到云上。

首先，合規(guī)要求方面，《信息系統(tǒng)安全等級保護基本要求云計算擴展要求》（以下簡稱“《云等?！?/span>”）定義云計算服務帶來了“云主機”等虛擬計算資源，將傳統(tǒng)IT環(huán)境中信息系統(tǒng)運營、使用單位的單一安全責任轉(zhuǎn)變?yōu)樵谱鈶艉驮品丈屉p方“各自分擔”的安全責任。這點明確了企業(yè)作為云租戶，其應用系統(tǒng)都需要定級且符合對應等級安全控制措施要求。2016年12月銀監(jiān)會發(fā)布了188號文，《中國銀監(jiān)會辦公廳關于加強非銀行金融機構信息科技建設和管理的指導意見》（以下簡稱“《指導意見》”），對信托公司和金融資產(chǎn)管理公司、企業(yè)集團財務公司、金融租賃公司、汽車金融公司、消費金融公司、貨幣經(jīng)紀公司等非銀行金融機構信息科技建設、信息科技風險防范提出了要求?！吨笇б庖姟返谖逭鹿?jié)指出“加強網(wǎng)絡區(qū)域劃分和隔離；通過部署防病毒、防攻擊、防篡改、防泄密、防抵賴等措施提升系統(tǒng)抵御內(nèi)外部攻擊破壞的能力；”。對于云上應用系統(tǒng)的安全防護明確提出了安全建設要求。

其次，參考安全咨詢機構對于2002年至2017年3月之間公開報道的敏感信息泄露案例的數(shù)據(jù)分析發(fā)現(xiàn)：

■  敏感信息泄露呈現(xiàn)上升趨勢——泄露手段從以黑客入侵等技術手段為主向技術手段與收買內(nèi)部員工、內(nèi)部管理不善等非技術手段結合并用發(fā)展，特別是對非技術手段的運用，近幾年呈現(xiàn)出較快速的增長，企業(yè)對可能的應用系統(tǒng)攻擊行為沒有安全檢測防護措施。

■  敏感信息泄露涉及行業(yè)廣泛——重點集中在互聯(lián)網(wǎng)、制造業(yè)、政府機構及金融行業(yè)，特別是互聯(lián)網(wǎng)行業(yè)信息泄露事件呈現(xiàn)高速增長趨勢，需要引起警惕。

■  敏感信息泄露的追責難度大——基于IP的審計，難以準確定位責任人，難以將IP地址與具體人員身份準確關聯(lián)，導致發(fā)生安全事故后，追查責任人成為新的難題。

由此，安全威脅與應用安全風險與企業(yè)業(yè)務經(jīng)營如影隨形。應用系統(tǒng)部署到云上的企業(yè)需要考慮在公有云上應用系統(tǒng)的安全防護解決思路。

綠盟科技建議從滿足合規(guī)要求作為起點，業(yè)務在“云上”的企業(yè)都需要符合《云等?！钒踩?，非銀行金融機構接受國家主管單位合規(guī)監(jiān)管，未持牌開展業(yè)務或違規(guī)經(jīng)營將會后果嚴重。同時，為了達到業(yè)務正常開展需要的安全防護水平，安全服務也應納入，解決應用系統(tǒng)安全檢測和安全監(jiān)測需要。

1．合規(guī)要求

依據(jù)《信息系統(tǒng)安全等級保護基本要求云計算擴展要求》，明確定義了云租戶側(cè)的等級保護對象也應作為單獨的定級對象定級。云計算系統(tǒng)的定級對象在原有定級對象基礎上進行了擴展，原有定級對象主要是信息系統(tǒng)和相關基礎網(wǎng)絡，而云計算將定級對象擴展為云服務商的云平臺和云租戶的應用系統(tǒng)。云計算系統(tǒng)定級時，云服務商的云平臺和云租戶的應用系統(tǒng)應分別定級，云平臺等級應不低于應用系統(tǒng)的安全保護等級。這點明確了企業(yè)作為云租戶，其應用系統(tǒng)都需要定級且符合對應等級安全控制措施要求。

對照等保二級要求，應至少部署防火墻、堡壘機達到控制措施要求；對照等保三級要求，應至少部署入侵防護、防火墻、堡壘機、數(shù)據(jù)庫審計達到控制措施要求。對于云端租戶的安全需求，客戶可以方便地從云服務提供商的云市場中進行選購和安裝。對有線下服務需求的企業(yè)，如專家版服務，可以結合線上線下服務的組合。

《指導意見》第五章節(jié)中提出“……加強系統(tǒng)安全漏洞和補丁信息的監(jiān)測、收集和評估，確保及時發(fā)現(xiàn)和處置重大安全隱患?！甭┒垂芾砉ぷ鲬撌切畔踩ぷ鞯闹刂兄兀┒瓷芷诠芾聿粌H僅涉及漏洞自身的發(fā)現(xiàn)、評估和修復，同時還牽涉漏洞情報信息的獲取，組織漏洞管理基線的建立和應急處置工作。改變傳統(tǒng)的以IP信息為視角的資產(chǎn)管理方法，從安全的角度重新審視資產(chǎn)信息，從資產(chǎn)的業(yè)務功能、服務對象、版本信息、安全防范措施等方面建立安全資產(chǎn)信息，從安全的角度管理資產(chǎn)脆弱性。當出現(xiàn)安全漏洞時，不僅需要考慮漏洞的風險等級，還需要結合資產(chǎn)安全信息，不同資產(chǎn)相同漏洞區(qū)別對待，體現(xiàn)業(yè)務對漏洞的差異性，真正實現(xiàn)差異化漏洞管理策略，從而實現(xiàn)漏洞管理能力的提高。

《指導意見》第五章節(jié)中提出“……開展應用系統(tǒng)安全檢測，對官方網(wǎng)站等通過互聯(lián)網(wǎng)提供服務的系統(tǒng)，在上線及重大投產(chǎn)變更前進行滲透測試，杜絕系統(tǒng)‘帶病’上線?！睉孟到y(tǒng)在上線后由于存在類似SQL注入、密碼明文傳輸、安全功能缺失等漏洞而遭受攻擊，會直接影響正常業(yè)務運行，甚至造成經(jīng)濟和名譽的損失。因此，需要在系統(tǒng)上線前對系統(tǒng)安全狀況進行檢驗，從信息安全的角度對應用系統(tǒng)、集成環(huán)境等內(nèi)容的安全狀況進行評估，對發(fā)現(xiàn)的問題進行妥善處理，避免將影響系統(tǒng)安全的問題遺留到系統(tǒng)上線后，成為系統(tǒng)安全的隱患。

為了滿足《云等?！泛偷缺Ｈ壱?，部署在公有云上的企業(yè)應至少選擇防火墻云服務（支持入侵防御）、網(wǎng)站安全防護服務(vWAF)、堡壘機云服務和數(shù)據(jù)庫監(jiān)控與審計服務。

非銀行金融機構需要同時滿足《指導意見》要求，其上云應用系統(tǒng)應選擇安全檢測服務和安全監(jiān)測服務。

2．安全保障需求

先回顧近期某互聯(lián)網(wǎng)公司發(fā)生的信息安全案例，公司內(nèi)部員工對公司200余臺服務器植入木馬，該木馬具備遠程控制和對外DDoS攻擊功能。這意味著外部人員可遠程控制這些服務器做流量攻擊，進而導致被攻擊的服務器癱瘓。目前，此事已在法院宣判。至案發(fā)時，內(nèi)部員工獲利2萬余元，但對于企業(yè)的經(jīng)濟和名譽損失就相當巨大。不少互聯(lián)網(wǎng)企業(yè)都發(fā)生過類似案件，但沒有安全檢測和安全監(jiān)測手段，無法及時發(fā)現(xiàn)漏洞和安全問題。有的企業(yè)雖能鎖定具體賬戶,但無法鎖定到具體個人,加之留存的證據(jù)不多,事情就不了了之。

信息安全CIA三要素（機密、完整、可用）應當在定義安全保障需求時統(tǒng)一考慮，對開展理財、支付、保險等金融業(yè)務的企業(yè)更應關注金融資料的保護，如銀行賬戶信息、扣款賬號、保險數(shù)據(jù)，避免信息被篡改或外泄。

因而，為了達到業(yè)務正常開展需要的安全防護水平，需要定期開展安全檢測和持續(xù)有效安全監(jiān)測服務，云上應用系統(tǒng)更應被納入，解決應用系統(tǒng)安全需要。

3．云上安全防護措施

防火墻云服務

以虛擬化形態(tài)部署防火墻，適用于多種虛擬化平臺，使管理員可以快速高效地調(diào)配和擴展防火墻。企業(yè)所要選擇的服務需要支持應用識別、入侵防御、內(nèi)容過濾、URL過濾、VPN等，且這些增值功能授權費用應該一并考慮，如IPSEC VPN 、SSL VPN的授權并發(fā)連接數(shù)量是否滿足企業(yè)日常需求。包含必要增值功能的防火墻才是有效的安全服務。 

網(wǎng)站安全防護服務(vWAF)

以虛擬化Web應用防火墻(Virtual Web Application Firewall, 簡稱 vWAF)為核心的安全服務，企業(yè)客戶可以在公有云等環(huán)境中快速部署上線，從而能全面抵御OWASP Top 10等各類Web安全威脅免遭當前和未來的安全威脅。企業(yè)所要選擇的服務必須同時支持HTTP協(xié)議和HTTPS協(xié)議，且可以支持vWAF托管服務的服務提供商更佳。

云清洗服務

基于DNS智能牽引技術，主要解決10G及以上大流量DDoS攻擊防護，同時可防御電信、聯(lián)通和BGP三條鏈路大流量攻擊，而運營商提供的云清洗服務僅能清洗本網(wǎng)內(nèi)的攻擊流量。由于DDoS攻擊可能在相同行業(yè)內(nèi)同時發(fā)生，存在帶寬和防護資源沖突情況，因而企業(yè)選擇服務時需留意服務提供商的清洗能力是否充足。同時，建議選擇提供云清洗配套線下本地防護混合的服務，以獲得更完善的防護保障。

堡壘機云服務

以虛擬化形態(tài)部署堡壘機，提供賬號管理和資產(chǎn)管理，實現(xiàn)運維審計?；谖ㄒ簧矸輼俗R，通過對用戶從登錄到退出的全程操作行為進行審計，監(jiān)控用戶對目標設備的所有敏感操作，聚焦關鍵事件，實現(xiàn)對安全事件的實時發(fā)現(xiàn)與預警。企業(yè)所要選擇的服務需滿足等保標準對用戶身份鑒別、訪問控制、安全審計等條款的要求，且支持準確定位用戶身份，追溯安全事件責任，滿足合規(guī)要求且日常使用方便的服務才是正確選擇。

安全評估服務

對各種Web應用系統(tǒng)漏洞和操作系統(tǒng)漏洞的安全檢測，應按需定制檢測掃描頻率，用于網(wǎng)站安全評估的云服務。企業(yè)選擇服務時需了解服務包含的漏洞庫種類、是否維護更新，且對于識別的漏洞是否提供漏洞驗證服務，降低誤報概率。

安全監(jiān)測服務

服務應符合網(wǎng)信辦、公安部等國家主管部門關于網(wǎng)站安全建設的合規(guī)要求，為客戶提供網(wǎng)站漏洞掃描及漏洞驗證、網(wǎng)頁掛馬監(jiān)測、釣魚網(wǎng)站監(jiān)測、網(wǎng)頁篡改監(jiān)測、網(wǎng)頁敏感內(nèi)容監(jiān)測以及網(wǎng)站可用性監(jiān)測服務。通常本服務包含安全檢測服務內(nèi)容。企業(yè)應留意監(jiān)測服務是否在重要時期支持發(fā)送平安短信以及安全日報，是否能夠協(xié)助關停發(fā)現(xiàn)的釣魚網(wǎng)站，這點值得關注。

數(shù)據(jù)庫監(jiān)控與審計服務

通過對數(shù)據(jù)庫訪問行為的精確解析，完成性能監(jiān)控、事中審計、事后追溯、風險告警等一系列動作，全面洞察數(shù)據(jù)庫安全狀況，并提供事后追溯依據(jù)。企業(yè)所要選擇的服務是否全面考慮數(shù)據(jù)庫存儲、使用管控，監(jiān)控告警記錄本地是否加密防護，這一點很重要。

4．云上服務優(yōu)勢

便捷快速

依托公有云提供的快速部署、實時開通的能力，客戶可以隨時在公有云上按需選購，同時也避免了硬件設備的生產(chǎn)、貨運和上架環(huán)節(jié)，最短時間內(nèi)就能獲取到對應的安全能力。

惡意行為發(fā)現(xiàn)

基于實時的信譽機制，結合企業(yè)級和全球信譽庫，可有效檢測惡意URI、僵尸網(wǎng)絡，快速識別、定位出惡意的攻擊行為或惡意資源。

通過云安全服務提供應急響應

憑借云安全服務的支撐，可以實現(xiàn)與云安全中心對接和同步，由安全專家團隊協(xié)助用戶對網(wǎng)站安全隱患和遭受的攻擊威脅進行7*24小時全天候監(jiān)控，并定期優(yōu)化安全策略，提供安全日志分析報告。

深度對接公有云特性

通過與公有云的API進行對接，輔助堡壘機云服務實現(xiàn)托管資產(chǎn)信息自動錄入，減輕運維人員工作難度，提高效率。

SaaS安全管家

在獲得用戶授權后，云上服務自動把運營數(shù)據(jù)上傳給云中心，用戶在手機上實時查看運行狀態(tài)以及異常告警，并且一鍵尋求安全專家與技術支持團隊，第一時間解決安全問題。

文章摘自綠盟科技