金融云标准化体系与金融信息安全

 

云计算标准化工作已成为当前标准组织及相关协会的工作重点。ISO、IEC、ITU等知名国际标准组织纷纷启动了云计算标准化工作,同时涌现出一些新兴、专业和区域性组织也陆续开展了云计算标准化研制工作,如CSA、ENISA、CSCC等。我国成立了“全国信息技术标准化技术委员会云计算标准工作组”,开展我国云计算标准化工作。工信部组织开展了云计算综合标准化体系建设指南编制工作等。从而出现了不同组织从多角度开展云计算标准化工作、提出了不同领域的云计算相关标准,同时针对关注的焦点领域组织专业力量开展云计算标准的研制工作,如云安全标准。在科技部国家科技支撑计划课题的支持下,人民银行牵头组织编写《中小金融机构灾备云技术、管理及安全规范》,进行“云灾备管理、服务与标准体系”研究。

 

从云计算国际标准研制的实践看,主要从应用场景和案例分析、通用和基础标准、互操作和可移植标准、服务标准、安全标准5个方面提出云计算标准体系。我国相关机构和组织提出了由基础、网络、整机装备、软件、服务、安全和其他7个部分的云计算标准体系,也有相关组织提出了基于基础、资源、服务、安全和其他5个部分组成的云计算标准体系。总体来看,不同组织和机构所提出的云计算标准体系虽然有所差异,但内容基本都涵盖了技术产品、服务、安全及应用等主要方面。

 

根据金融行业特点和金融云发展实际需要,金融云标准体系应包括基础、技术产品等通用标准,以及能体现金融业特点的服务、安全、应用等标准。对于通用标准和特色标准应采取不同的策略开展标准研制工作。

 

金融云标准体系包括通用类、安全类、服务类、应用类共四大类若干个领域。其中通用类标准主要包括基础、设备、软件、网络等技术产品方面的标准,由于这些标准专业性强,主要依赖信息产业及主管部门已有或正在研制的相关标准,金融行业作为应用部门不在另外研制此类标准,直接应用已有的通用标准。而服务、安全、应用类标准,将直接体现金融业特点和个性化要求,需要组织力量进行研究。

 

1.共享已有的通用技术产品标准。对于通用类标准,总体原则是直接应用相关组织发布的已有标准,跟踪相关新标准的研制,并适时引入金融行业。

 

2.金融云服务标准。金融云服务标准在参考已有的涉及云服务设计、部署、交付、运营和采购,以及云平台间的数据迁移等通用的相关标准的基础上,重点聚焦金融云服务准入、资质,服务能力、质量评估,交易异常的责任分担、赔付等内容,保证金融行业重点关注的业务连续性、可靠性等。其中满足了金融云服务的准入、资质要求可增强金融云服务的可信性;服务能力要求和质量评估可增强金融云服务的可靠性;交易异常责任分担解决业务正常开展面临的保障问题等。金融云服务标准是标准体系的重要内容,需要重点投入精力研制。

 

3.金融云安全标准。在金融云安全标准制订中,对安全技术和产品标准、安全基础标准等通用标准直接应用已有标准,或跟踪相关权威组织云安全标准的研制情况实时引进。而体现金融业特色的云安全标准主要围绕数据安全与隐私保护、可信服务研制金融与安全标准。如敏感数据的定义,传输、存储加密,云密码服务,数据损毁、丢弃的处置,数据一致性保护等。金融云安全标准是顺利开展金融云服务的基础,需要组织金融业行业专业力量、信息安全专家学者、云计算相关专家等,提出符合金融云要求的标准规范。

 

4.金融云应用场景和案例。由于技术还不完全成熟、标准体系还不健全、政策法规还不清晰,我国金融业对发展金融云还存在种种疑虑。而成功的金融云应用场景和案例为金融云提供了可借鉴的发展模式和方向,能直接推进金融云发展。如目前开展的面向中小金融机构的云灾备业务,已被行业逐步理解和接受。因此,总结和提炼金融云应用场景和案例,可有效促进金融云发展,需要投入一定精力开展此项工作。

 

金融云标准体系的构建及在行业的逐步推广应用,会形成包括设备、软件、网络等技术产品、服务、应用、安全的金融云生态系统。

 

技术产品指构建金融云系统所需的设备、软件、网络等,是金融云生态系统的基础和支撑。围绕技术产品聚集相应的信息技术产业厂商遵循金融云标准体系的通用标准部分,为金融云提供所需的技术产品支持,包括所需的主机、存储、设备,资源调度软件,平台应用软件,网络管理、接入服务等。

 

云服务指金融云所提供的Iass、Pass及Sass等云服务,是金融云生态系统的核心。提供云服务涉及构建金融云系统所需的开发集成、测评认证、运营、管理等相关机构。围绕云服务会聚集云服务运营商、集成开发服务商、测评认证机构等不同部门,遵循服务类标准开展各项工作。

 

应用指依托金融云提供给用户的金鼬服务业务,是金融云生态系统价值的直观表现。不同规模的大、中、小金融机构需要的具体服务内容有所差异,对金融云服务的需求差异也比较大。大型金融机构IT能力强,更倾向依靠自身力量实现云计算的应用,更倾向私有云的发展。而中小微机构,因为IT力量所限,更倾向以外包的公有云服务支撑业务发展。

 

安全支撑是为金融云全提供安全保障,涉及金融云生态的产业、运营、应用的全程。围绕金融云安全可聚集有关技术产品、服务、运营、使用机构等金融云生态圈的所有机构,围绕安全类标准,开展工作,提供产品和服务,保障业务安全稳定运行。