数字化转型系列(二):金融机构“上云”更需关注业务连续性及数据安全
2020.05.29 陈伟 徐旭 武宁
引言
海量“特殊”数据存储和处理的需求,使得金融行业成为当前云计算技术应用需求的一类特别的行业用户。以大数据和计算力等为代表的新兴信息技术与金融业务深度融合,既为传统金融行业数字化转型带来了新的动力,也对金融机构抵御风险、保护金融信息安全提出了新的挑战。
2015年7月1日,国务院发布《关于积极推进“互联网+”行动的指导意见》,提出探索推进互联网金融云服务平台建设。原中国银行业监督管理委员会(“原中国银监会”) 2016年印发的《中国银行业信息科技“十三五”发展规划监管指导意见》中提出,银行业金融机构要积极开展云计算架构规划,主动实施架构转型,到2020年末面向互联网场景的主要信息系统尽可能迁移至云计算架构平台。此后,银行业、证券期货行业、保险行业纷纷加快“上云”步伐。
与众多上云企业相似,缩短应用部署时间、节约运营成本也是金融机构业务上云的目的之一。然而,相比一般上云企业,金融机构对业务数据的可靠性、安全性,业务连续性以及安全风险防控有着更高的要求。相应地,金融机构对于云计算服务商的系统与服务可用性与灾难备份,数据安全防护与信息保密义务以及持续、高质量的系统运维能力等也有着较一般企业更高的要求。
一、金融云平台的安全要求
1、关键信息基础设施
金融机构运行、管理的网络设施和信息系统,一旦遭到破坏、丧失功能或者数据泄露,将严重危害国家安全、国计民生和公共利益,应当属于关键信息基础设施范畴。在2016年出台的《中华人民共和国网络安全法》(“《网络安全法》”)及其配套法规监管体系下,我国在实行网络安全等级保护制度的基础上,对关键信息基础设施实行重点保护,并对关键信息基础设施的运营者,从保障关键信息基础设施免受干扰、破坏或者未经授权的访问,防止网络数据泄漏或者被窃取、篡改的角度,提出了具体要求。例如,《网络安全法》第二十一条、第三十四条,以及国家互联网信息办公室2017年7月发布的《关键信息基础设施安全保护条例(征求意见稿)》第二十三条、第二十四条要求,关键信息基础设施运营者应:(1)制定内部安全管理制度和操作规程,严格身份认证和权限管理;(2)采取技术措施,防范计算机病毒和网络攻击、网络侵入等危害网络安全行为;(3)采取技术措施,监测、记录网络运行状态、网络安全事件;(4)采取数据分类、重要数据备份和加密认证等措施;(5)设置专门网络安全管理机构和网络安全管理负责人,并对该负责人和关键岗位人员进行安全背景审查;(6)定期对从业人员进行网络安全教育、技术培训和技能考核;(7)对重要系统和数据库进行容灾备份,及时对系统漏洞等安全风险采取补救措施;(8)制定网络安全事件应急预案并定期进行演练。
2、云计算平台的安全标准
云计算平台是一种信息系统,云计算平台的运营者需要落实国家信息网络安全等级保护制度,并满足云计算平台适用的国家标准和安全规范。对云计算平台适用的国家标准和安全规范以及国际认真,请参见本系列第一篇文章《企业“上云”安全责任边界》。
3、金融云平台的安全标准
作为承载金融领域信息系统的基础平台,金融行业云计算平台信息系统的安全要求应不低于承载业务系统的安全要求,在满足国家对于信息系统安全基本标准的基础上,还应满足金融行业的特殊要求。
截至目前,我国已经发布的金融行业重要业务系统安全的主要监管指引包括如下:
实施时间
发布部门
内容
2009.03.03
原中国银行业监督管理委员会
《商业银行信息科技风险管理指引》
(银监发〔2009〕19号)
2010.04.20
原中国银行业监督管理委员会
《商业银行数据中心监管指引》
(银监办发〔2010〕114号)
2010.09.27
中国人民银行
《中国人民银行计算机系统信息安全管理规定》
(银发〔2010〕276号)
2011.11.16
原中国保险监督管理委员会
《保险公司信息系统安全管理指引(试行)》
(保监发〔2011〕68号)
2011.12.28
原中国银行业监督管理委员会
《商业银行业务连续性监管指引》
(银监发〔2011〕104号)
2013.02.16
原中国银行业监督管理委员会
《银行业金融机构信息科技外包风险监管指引》
(银监发〔2013〕5号)
2014.07.01
原中国银行业监督管理委员会
《中国银行业监督管理委员会办公厅关于加强银行业金融机构信息科技非驻场集中式外包风险管理的通知》(银监办发〔2014〕187号)
2014.12.12
原中国银行业监督管理委员会
《中国银行业监督管理委员会办公厅关于加强银行业金融机构信息科技非驻场集中式外包监管评估工作的通知》(银监办发〔2014〕272号)
2014.09.03
原中国银行业监督管理委员会
《关于应用安全可控信息技术加强银行业网络安全和信息化建设的指导意见》
(银监发〔2014〕39号)
2015.03.13
中国证券业协会
《证券公司网上证券信息系统技术指引》
2017.07.01
原中国银行业监督管理委员会
《关于印发银行业金融机构监管数据标准化规范的通知》(银监办发〔2017〕48号)
截至目前,我国已经发布的金融行业对于重要业务系统安全的主要行业标准包括如下:
实施时间
发布部门
内容
2004.12.01
中国人民银行
《JR/T 0011-2004 银行集中式数据中心规范》
2005.03.25
中国证券监督管理委员会
中国人民银行
《JR/T0023-2004 证券公司信息技术管理规范》
2008.02.04
中国人民银行
《JR/T0044-2008 银行业信息系统灾难恢复管理规范》
2010.07.13
原中国保险监督管理委员会
《JR/T0058-2010 保险信息安全风险评估指标体系规范》
2011.12.22
中国证券监督管理委员会
《JR/T 0067-2011 证券期货业信息系统安全等级保护测评要求(试行)》
2012.02.01
原国家质量监督检验检疫总局
国家标准化管理委员会
《GB/T 27910-2011 金融服务 信息安全指南》
2012.07.06
中国人民银行
《JR/T 0071-2012 金融行业信息系统信息安全等级保护实施指引》
2014.11.02
中国人民银行
《JR/T 0115-2014 金融信用信息基础数据库用户管理规范》
2015.12.10
中国人民银行
《JR/T 0131-2015 金融业信息系统机房动力系统规范》
2018.08.15
中国人民银行
《JR/T 0166-2018 云计算技术金融应用规范技术架构》
2018.08.15
中国人民银行
《JR/T 0167-2018 云计算技术金融应用规范安全技术要求》
2018.08.15
中国人民银行
《JR/T 0168-2018 云计算技术金融应用规范容灾》
2019.04.01
国家市场监督管理总局
国家标准化管理委员会
《GB/T 36618-2018 信息安全技术 金融信息服务安全规范》
2020.02.05
中国人民银行
《JR/T 0068-2020 网上银行系统信息安全通用规范》
2020.02.05
中国人民银行
《JR/T 0184-2020 金融分布式账本技术安全规范》
2020.02.13
中国人民银行
《JR/T 0185-2020 商业银行应用程序接口安全管理规范》
二、业务连续性与灾备恢复
金融行业是经济的“血脉”,金融体系对于经济活动起着重要支撑作用。金融行业的特性决定了“业务连续性是金融行业参与者和金融监管机构一直以来的最高任务,确保金融体系在重大突发事件之下仍能保持韧性是金融机构和金融监管机构共同的利益所在”。 1
1、对金融机构的监管要求
以银行业金融机构为例,在业务连续性监管方面,原中国银监会于2011年印发了《商业银行业务连续性监管指引》(银监发〔2011〕104号),明确要求商业银行建立业务连续性管理体系,建设应急响应、恢复机制,确保重要业务2在运营中断事件3发生后快速恢复,降低或消除因重要业务运营中断造成的影响和损失,保障业务持续运营。不仅如此,《商业银行业务连续性监管指引》还对商业银行重要业务的恢复时间提出了具体要求:原则上,重要业务恢复时间目标(“业务RTO”)不得大于4小时,重要业务恢复点目标(“业务RPO”)不得大于半小时。
与业务连续性密切相关的另一关键要素是金融机构的灾难恢复能力和灾难备份资源建设。仍以银行业为例,《商业银行业务连续性监管指引》明确要求商业银行建立灾备中心等备用信息技术资源和备用信息系统运行场所资源,以便发生导致或可能导致大范围业务运营中断事件时,能够迅速决策实施灾难备份切换。
原中国银监会2010年发布的《商业银行数据中心监管指引》(银监办发〔2010〕114号)则具体明确,总资产规模一千亿元人民币以上且跨省设立分支机构的法人商业银行,及省级农村信用联合社应设立异地模式灾备中心,重要信息系统灾难恢复能力应达到《信息系统灾难恢复规范》(GB/T 20988-2007) 中定义的灾难恢复等级第5级(含)以上;其他法人商业银行应设立同城模式灾备中心并实现数据异地备份,重要信息系统灾难恢复能力应达到《信息系统灾难恢复规范》中定义的灾难恢复等级第4级(含)以上。
除却《商业银行业务连续性监管指引》对于商业银行业务连续性、应急响应与灾备恢复的特殊要求,《网络安全法》从保护关键信息基础设施的一般层面强调,关键信息基础设施应能够支持业务稳定、持续运行,关键信息基础设施的运营者要承担对重要系统和数据库进行容灾备份,制定网络安全事件应急预案,并定期进行演练的安全保护义务。中国人民银行2017年发布的《中国金融业信息技术“十三五”发展规划》也将金融机构建立健全业务连续性管理体系,建立健全灾备基础设施和灾备系统,健全应急管理体系和应急预案,提高防范网络攻击、应对重大灾难与技术故障的能力,作为“十三五”发展重点任务。
2、对信息系统服务商的监管要求
在新兴信息技术与金融业务深度融合的大背景下,金融体系对于互联网、信息系统的依赖程度越来越高,进而对于向其提供信息系统服务的第三方服务商的物理基础设施(如数据中心、电信网络)和运维能力的依赖也愈发严重。随着传统金融业务向“云端”迁移,监管部门对金融机构的业务连续性、中断业务恢复和灾备恢复能力的要求也向金融机构重要信息系统服务商扩展。
原中国银监会2013年发布的《银行业金融机构信息科技外包风险监管指引》(银监发〔2013〕5号),要求银行业金融机构在与信息科技服务提供商签署的合同或协议中明确服务连续性要求,服务提供商的服务连续性管理目标应当满足银行业金融机构业务连续性目标要求。对于非驻场集中式外包4,原中国银监会2014年发布的《关于加强银行业金融机构信息科技非驻场集中式外包风险管理的通知》(银监办发〔2014〕187号)强调,在对外包服务商尽职调查环节,即应将外包服务商是否有完善的灾难恢复设施和应急管理体系,对关键基础设施和信息系统运行是否有业务连续性安排作为重点调查事项。
对于金融机构来说,云计算平台架构的“高可用性”是其对云计算技术最主要的要求之一。根据中国人民银行2018年8月15日发布的《云计算技术金融应用规范技术架构》(JR/T 0166-2018),“高可用性”是指,“金融行业云计算平台在软件、主机、存储、网络节点、数据中心等层面应具备高可用保证能力,能够从严重故障或错误中快速恢复,保障应用系统的连续正常运行,满足金融领域业务连续性要求”。因此,金融行业云计算平台的“高可用性”与保证金融机构的业务连续性密切相关。
《云计算技术金融应用规范安全技术要求》(JR/T 0167-2018)在业务连续性管理方面对金融云服务提供商提出了四点安全技术要求:1)建立业务连续性组织架构,明确日常管理组织架构和应急处置组织架构;2)定期开展业务影响分析、连续性风险评估;3)定期开展业务连续性计划演练,检验应急预案的完整性、可操作性和有效性,验证业务连续性资源的可用性,提高运营中断时间的综合处置能力;4)制定运营中断事件等级划分标准,根据事件影响范围、持续时间和损失程度定义事件等级,开展应急响应处置工作。
《云计算技术金融应用规范容灾》(JR/T 0168-2018)则结合金融领域特性,将云计算平台发生故障或瘫痪的影响范围分为4个层级,将云计算平台发生故障或瘫痪的危害程度划分为3类,并根据应用于金融领域的云计算平台发生故障或瘫痪的影响范围、危害程度,将云计算平台容灾能力等级划分为6级:
影响范围 | 危害程度 | |||
较小影响 | 一般影响 | 严重影响 | ||
内部辅助管理5 | 第1级 | 第2级 | 第3级 | |
内部运营管理6 | 第2级 | 第3级 | 第4级 | |
公民、法人和其他组织的金融权益 | 第3级 | 第4级 | 第5级 | |
国家金融稳定、金融秩序 | 第4级 | 第5级 | 第6级 | |
考虑到应用于金融领域的云计算平台的重要性和发生故障或瘫痪的影响程度,《云计算技术金融应用规范容灾》明确提出,应用于金融领域的云计算平台应至少达到容灾能力3级要求,对应的业务RTO、业务RPO、可用性等关键指标要求如下:
容灾等级
业务RTO
业务RPO
可用性
3级
≤24小时
≤24小时
每年非计划服务中断时间不超过4天,系统可用性至少达到99%
4级
≤4小时
≤1小时
每年非计划服务中断时间不超过10小时,系统可用性至少达到99.9%
5级
≤30分钟
≈0
每年非计划服务中断时间不超过1小时,系统可用性至少达到99.99%
6级
≤2分钟
0
每年非计划服务中断时间不超过5分钟,系统可用性至少达到99.999%
三、数据存储与数据安全
金融行业的特点决定了金融机构每日都将处理大量客户敏感信息。客户的个人身份信息、个人征信信息、账户信息、鉴别信息、金融交易信息、财产信息、借贷信息等个人金融信息7,既是金融机构在提供金融产品和服务的过程中积累的重要基础数据,也是个人隐私的重要内容。个人金融信息一旦泄露,不但会直接侵害客户合法权益、影响金融机构的正常运营,甚至可能会带来系统性金融风险,侵害公众利益、社会秩序甚至国家安全。因此,加强客户身份、账户等重要电子信息的保护,综合运用多因素认证、访问控制、边界防护、泄密检测、密码算法和技术、数据脱敏和安全审计等手段,切实提高客户身份认证和验证强度,防范敏感数据泄露、篡改、丢失和非授权访问等风险一直是金融监管机构的监管方向和金融机构的工作重点。8
金融机构在选择云计算服务商前,应当预先了解云计算服务商机房和信息基础设施的设置地点,充分审查、评估云计算服务商保护个人金融信息的能力。例如,《网络安全法》要求关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。《保险公司信息系统安全管理指引(试行)》要求保险公司建设的机房应设置在中华人民共和国境内(不包括港、澳、台地区)。而《证券公司网上证券信息系统技术指引》也要求证券公司网上证券信息系统应部署在中华人民共和国境内,满足技术审计、监管部门现场检查及中国司法机构调查取证等要求。
此外,中国人民银行、中国银行保险监督管理委员会、中国证券监督管理委员会等金融行业监管部门,也颁布了多项数据保护要求。值得重点关注的是,2020年2月13日,中国人民银行发布《个人金融信息保护技术规范》(JR/T0171-2020),对金融机构在个人金融信息的收集、传输、存储、使用、删除、销毁等生命周期各环节提出了具体安全防护要求。
实施时间
发布部门
内容
2005.10.01
中国人民银行
《个人信用信息基础数据库管理暂行办法》(中国人民银行令〔2005〕第3号)
2011.05.01
中国人民银行
《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》(银发〔2011〕17号)
2012.03.27
中国人民银行
《中国人民银行关于金融机构进一步做好客户个人金融信息保护工作的通知》(银发〔2012〕80号)
2017.08.02
中国人民银行
《中国人民银行办公厅关于加强征信系统查询用户信息管理的通知》(银办发〔2017〕164号)
2018.05.02
中国人民银行
《中国人民银行关于进一步加强征信信息安全管理的通知》(银发〔2018〕102号)
2018.05.21
中国银行保险监督管理委员会
《关于印发银行业金融机构数据治理指引的通知》(银保监发〔2018〕22号)
2018.07.11
中国人民银行
《中国人民银行关于加强跨境金融网络与信息服务管理的通知》(银发〔2018〕176号)
2018.09.07
中国证券监督管理委员会
《关于进一步加强期货经营机构客户交易终端信息采集有关事项的公告》(中国证券监督管理委员会公告〔2018〕27号)
2018.09.27
中国证券监督管理委员会
《JR/T 0158-2018 证券期货业数据分类分级指引》
2019.04.10
公安部网络安全保卫局
北京网络行业协会
公安部第三研究所
《互联网个人信息安全保护指南》
2020.02.13
中国人民银行
《JR/T0171-2020 个人金融信息保护技术规范》
2020.03.01
国家市场监督管理总局
国家标准化管理委员会
《GB/T 37964-2019 个人信息去标识化指南》
2020.10.01
国家市场监督管理总局
国家标准化管理委员会
《GB/T 35273-2020 个人信息安全规范》
《云计算技术金融应用规范技术架构》在涉及数据安全的部分特别强调,“云计算平台应在架构层面保障端到端的数据安全,对用户数据进行全生命周期的严格保护,保证数据在产生、使用、传输和存储过程中的完整性、可用性和保密性,避免数据的损坏、丢失和泄露”。
金融机构在与云计算服务商签订服务协议时,在云计算服务商可以触达的信息和数据范围内,应当明确云计算服务商保护个人金融信息的职责和保密义务,确保个人金融信息安全。业务终止后,还应要求云计算服务商及时销毁因外包业务而获得的个人金融信息。
四、金融“上云”与私有云服务
本文前述部分从金融行业“上云”的共性关注点出发,着重论述了金融行业对于云计算架构高可用性和数据安全性的特殊关注与要求。与此同时,必须认识到的是,金融行业不同细分领域之间的上云需求和监管要求事实上存在着差别。例如,对于银行业金融机构来说,监管层面对于商业银行业务连续性和灾备能力提出了高标准、严要求,是必须遵守的红线;同时,移动银行、直销银行频繁遭遇黑客攻击,网络安全面临挑战。因此,安全稳定是银行业金融机构选择云计算部署模式和云计算产品的首要考虑。而对于证券基金行业,除了安全可靠以外,证券基金交易量受行情影响,系统波动大,IT资源利用率较低;但相对的,证券基金业务对数据时效要求高,数据变化快速,系统压力波动大,需要实时监控系统压力及业务变化状况。因此,云计算部署模式能够实现动态扩容,资源按需分配、弹性伸缩,并能实现实时监控系统压力及业务变化状况对证券基金行业尤为重要。金融行业不同细分领域的上云需求和监管要求差异,也使不同细分领域、不同类型的金融机构作出了不同的技术选择。
根据中国信息通信研究院于2018年3月发布的《金融行业云计算技术调查报告(2018年)》,金融行业云计算部署模式主要分为公有云、私有云和行业云,且金融机构更倾向采用自建私有云模式9。金融行业的云计算部署模式向私有云集中,也与产业政策密不可分。例如,《中国银行业信息科技“十三五”发展规划监管指导意见》就倡导探索构建私有云平台,采用成熟度高、开放性强的计算虚拟化、容器虚拟化、分布式存储、网络虚拟化等技术,建立资源池,形成资源弹性供给、灵活调度和动态计量的私有云平台。
在公有云产品领域,主要云计算服务商大多公开了其对于公有云产品的服务等级协议(SLA, Service Level Agreement),其中特别包括对于服务质量、可用性、责任与赔偿额的承诺。但在私有云领域,因客户需求不同,且在私有云架构部署下,如机房、网络、机柜、服务器等云计算架构的基础设施以及虚拟化平台,往往云计算服务商在协助客户搭建完成后即交付客户控制,云计算服务商仅提供后期运行维护服务,并不实际控制云计算基础设施。因此安全责任如何划分及相应的赔偿责任如何确定,均需要根据每项私有云架构部署的特点及客户需求具体讨论。
此外,《商业银行数据中心监管指引》、《保险公司信息系统安全管理指引(试行)》、《银行业金融机构信息科技外包风险监管指引》、《中国银行业监督管理委员会办公厅关于加强银行业金融机构信息科技非驻场集中式外包风险管理的通知》等监管指引对金融机构与科技外包服务商订立合同或协议,除服务等级协议通常会包括的条款,以及本文前述提到的对于服务可靠性、可用性、持续性、信息安全控制的要求外,也提出了其他特殊事项要求,例如:
(1)要求服务提供商遵从法律法规、监管政策及金融机构内部管理制度;
(2)服务提供商需承诺配合金融机构接受金融机构监督管理机构的检查,配合金融机构的内、外部审计;
(3)明确服务过程中产生、加工、交互的信息和知识产权的归属权以及允许服务提供商使用的内容及范围;
(4)对服务提供商使用合法软、硬件产品的要求;
(5)常规报告的频度和内容以及突发事件时的报告路线、报告方式及时限要求;
(6)在触发合同变更或终止条件后,服务提供商在过渡期间仍应该履行的主要职责及合同变更或终止的过渡安排,包括信息、资料和设施的交接处置等过渡期间相关服务的安排;
(7)禁止服务提供商转包并严格控制分包,保证外包服务水平。
结语
相比于一般企业“上云”,金融机构因其行业需求和监管要求的特殊性,更倾向采用自建私有云模式。基于金融行业对于业务连续性、灾备恢复以及数据安全的特殊要求,以安全、可靠、高效、弹性为目标实施金融行业云计算架构部署,对于云服务商的业务高可用以及数据安全防护能力提出了更高的要求。
金融机构在选择云服务商前,应当充分审查、评估外包服务商的资质、专业能力和服务方案,对云服务商进行风险评估,考查其服务能力是否足以承担相应责任。选定云服务商后,应在服务协议中落实与云服务商之前权责,以确保其承载的金融机构业务系统的业务与安全要求。
1. 参见巴塞尔银行监管委员会及国际证监会组织(IOSCO)等国际监管组织组成的联合论坛于2006年8月发表的《业务连续性的高级别原则》。(http://finance.sina.com.cn/zl/2020-03-11/zl-iimxyqvz9602475.shtml?cre=zl&r=user&pos=5_4)
2.《商业银行业务连续性监管指引》所称重要业务是指面向客户、涉及账务处理、时效性要求较高的银行业务,其运营服务中断会对商业银行产生较大经济损失或声誉影响,或对公民、法人和其他组织的权益、社会秩序和公共利益、国家安全造成严重影响的业务。
3.《商业银行业务连续性监管指引》所称重要业务运营中断事件是指因下述原因导致信息系统服务异常、重要业务停止运营的事件。主要包括:
(一) 信息技术故障:信息系统技术故障、配套设施故障;
(二) 外部服务中断:第三方无法合作或提供服务等;
(三) 人为破坏:黑客攻击、恐怖袭击等;
(四) 自然灾害:火灾、雷击、海啸、地震、重大疫情等。
4. 非驻场集中式外包是指外包服务商不在银行业金融机构提供现场服务,或外包的关键基础设施和信息系统不在银行业金融机构产权场所,由银行业金融机构以租用设施或购买服务资源的方式获得,主要由外包服务商运维,并且外包服务商同时为3家(含)以上银行业金融机构或其他机构提供服务的外包方式。
5. 未对金融机构经济效益、社会声誉产生直接影响的内部管理事项。
6. 对金融机构经济效益、社会声誉产生直接影响的内部管理事项。
7. 参见2020年2月13日中国人民银行发布的《个人金融信息保护技术规范》(JR/T0171-2020)对个人金融信息的类型划分。
8. 参见《中国银行业信息科技“十三五”发展规划监管指导意见》。
9. 参见2018年3月,中国信息通信研究院发布的《金融行业云计算技术调查报告(2018年)》(http://www.199it.com/archives/704469.html)。
