許定航　趙改俠　謝宗曉

摘 要：隨著云計算發(fā)展越來越成熟，更多的互聯網金融企業(yè)傾向把系統(tǒng)部署到云平臺。但是，由于云平臺的共享性，可能會引入一些額外的安全風險。同時，這也導致了在合規(guī)方面，尤其是網絡安全等級保護方面，面臨新的挑戰(zhàn)。論文對基于云平臺的互聯網金融信息安全進行了初步分析，并對如何滿足網絡安全等級保護合規(guī)提供了一種解決途徑。

關鍵詞：網絡安全；等級保護；互聯網金融；云計算

中圖分類號：TP274+.2 文獻標識碼：B

1 引言

據不完全統(tǒng)計，P2P、小貸、典當、擔保、眾籌等互聯網金融企業(yè)，基于成本、運維能力的考慮，首選均部署到云平臺。有些云平臺供應商，比如阿里云甚至為P2P、小貸、典當、擔保、眾籌等小微金融企業(yè)提供定制化的云計算服務。

網貸之家數據顯示，截至2018年9月底，網貸行業(yè)正常運營平臺數量1561家。從成交量看，9月份P2P網貸行業(yè)的成交量為1107.37億元，9月行業(yè)活躍投資人數、借款人數分別為241.64萬人、274.35萬人[1]，多個平臺注冊用戶均突破上千萬。如此龐大的用戶數量與資金成交量，如果信息系統(tǒng)出現安全問題，將有可能對我國社會秩序、公共利益造成重大影響。

2016年8月24日中國銀監(jiān)會、工業(yè)和信息化部、公安部、國家互聯網信息辦公室制定了《網絡借貸信息中介機構業(yè)務活動管理暫行辦法》[2]，要求網貸平臺需要通過等級保護測評。2017年3月22日，北京監(jiān)管部門下發(fā)《網絡借貸信息中介機構事實認定及整改要求》，明確要求開展信息系統(tǒng)等級備案和等級測試。由此可見，通過落實等級保護安全管理制度，可以有效地確保網貸系統(tǒng)的安全[3，4]。

本文通過網絡安全等級保護的思想對當前互聯網金融云平臺部署所面臨的安全問題進行分析與總結，探索基于云計算的互聯網金融等級保護建設和測評的方法，可以為各測評機構、云平臺用戶和監(jiān)管部門在云計算安全與網絡安全等級保護工作實踐中提供參考借鑒。

2 基于云計算的互聯網金融概述

由于云計算具有成本低、擴展性強、維護簡單等特點，越來越多的互聯網金融機構將系統(tǒng)部署到云平臺。目前，有些云平臺供應商針對互聯網金融機構推出金融云，金融云本身具有較高的安全管控水平，由于部署在云平臺系統(tǒng)不能低于云平臺本身的安全級別，有些金融云平臺甚至定義為四級系統(tǒng)，且通過等級保護四級安全測評，可以滿足市場上幾乎所有互聯網金融系統(tǒng)的部署要求。

例如，阿里云向網貸平臺提供服務中，甚至提供了信用背書的功能。據了解，在目前已發(fā)生的網貸平臺跑路事件中，跑路平臺通常會將數據刪除，人為造成投資人維權困難，而缺乏證據則成為公安查案最大的阻礙。部署在云平臺的網貸系統(tǒng)與阿里云簽訂數據備份條款，假如平臺跑路，阿里云可以將備份數據提供給公安機關，無疑阿里云這一措施有效地防范了平臺惡意刪除數據行為。

《中國銀行業(yè)信息科技“十三五”發(fā)展規(guī)劃監(jiān)管指導意見（征求意見稿）》[5]中，明確提出“銀行業(yè)互聯網金融生態(tài)”“行業(yè)云平臺”等概念。該《意見》提出，到“十三五”末期，面向互聯網場景的重要信息系統(tǒng)全部遷移至云計算架構平臺，其他系統(tǒng)遷移比例不低于60%。

由此可見，互聯網金融往云端遷移是大勢所趨，云計算提高了IT資源的使用效率，但多租戶共享計算資源，可能導致客戶數據被非授權訪問、篡改等。所以，必須充分認識到這一新技術的發(fā)展給用戶的個人隱私、用戶資產帶來的安全隱患。通過落實等級保護安全制度，能在很大程度上降低、控制系統(tǒng)面臨的安全風險，確?；谠朴嬎愕幕ヂ摼W金融系統(tǒng)的安全。

3 等級保護合規(guī)的基本步驟

云平臺的共享性與互聯網金融信息的敏感性，勢必會讓部署在云平臺的互聯網金融系統(tǒng)面臨一定的安全風險。為確保基于云計算的互聯網金融系統(tǒng)安全，需要云平臺服務商、系統(tǒng)運營使用單位、監(jiān)管機構、安全咨詢服務機構、測評機構共同完成[6，7]。等級保護的五個基本動作很好的詮釋了各方在互聯網金融系統(tǒng)方面的安全保護職責。等級保護的五個主要步驟分別為：定級、備案、安全建設整改、等級測評、監(jiān)督檢查。對于互聯網金融系統(tǒng)如何落實等級保護要求，確保系統(tǒng)安全，可以從等級保護的五個動作進行分解，貫徹執(zhí)行。基于云計算的互聯網金融等級保護工作流程如表1所示。

3.1 定級

定級是等級保護的第一個步驟，定級的準確與否直接關系到系統(tǒng)安全保護的投入，基于互聯網金融的特殊性，建議定級過程中應該邀請專家進行評審，并出具評審意見。由于互聯網金融系統(tǒng)一般涉及到用戶基本信息、交易數據，一旦系統(tǒng)的信息遭到入侵、修改、增加、刪除等不明侵害（形式可以包括丟失、破壞、損壞等），會對公民、法人和其他組織的合法權益造成影響和損害，可以表現為個人及企業(yè)信息泄密，造成不良影響，嚴重可對大量投資人的財產安全構成威脅，引起財產糾紛[8]。大量的用戶糾紛進而影響到社會秩序，對社會秩序公共利益造成侵害（造成社會不良影響，引起公共利益的損害等）。

互聯網的優(yōu)勢就是可以突破時間和地域上的限制，讓遠隔千里的人們能夠相聚在一起。而互聯網金融的模式滿足了人們在互聯網上尋找資金的需求，覆蓋了傳統(tǒng)金融的服務盲區(qū)，讓金融服務范圍更加廣泛，金融交易更加直接。中國互聯網安全問題突出，網絡金融犯罪問題不容忽視。一旦遭遇黑客攻擊，互聯網金融的正常運作會受到影響，危及消費者的資金安全和個人信息安全，可能會對社會秩序和公共利益造成嚴重損害。目前，在實踐中，互聯網金融平臺一般定義為三級系統(tǒng)。

3.2 備案

定級完成需要提交定級材料到公安機關進行備案，作為監(jiān)管部門需要對互聯網金融平臺進行嚴格的審核，對于部署在云端的P2P網貸平臺，除了需要提供定級報告，備案表，還可讓其提供云平臺租賃協議、購買的云安全服務清單、銀行資金存管協議、ICP經營許可證、信息安全責任人聯系方式等材料以證明平臺的合法合規(guī)，具備一定的安全管控能力。

目前，各地對于P2P網貸平臺的備案可能有更加嚴格的監(jiān)管。例如，《上海市網絡借貸信息中介機構業(yè)務管理實施辦法》第十條規(guī)定，新設立的網絡借貸信息中介機構申請辦理備案登記的，應當提交本市公安機關網絡安全部門出具的“信息系統(tǒng)安全審核回執(zhí)”（需事前向本市公安機關網絡安全部門提交符合國家網絡安全相關規(guī)定和國家信息安全等級保護制度要求的證明材料）。網貸平臺如需申請“信息系統(tǒng)安全審核回執(zhí)”，必須要請測評機構參照等級保護三級進行測評，最終給出“安全審核意見”報告。由此可見，不管是監(jiān)管部門還是監(jiān)督部門對網貸平臺的備案都會更加嚴格跟謹慎。

3.3 安全建設整改

定級備案完成，需要根據所定義的級別進行安全整改，部署在云平臺系統(tǒng)，云平臺本身具備一些安全防護控制措施，如果不購買云平臺的安全服務一般是不會為租戶提供細致的安全防護。所以需要根據等級保護相應級別的標準要求，對比所需的安全服務，向云平臺供應商或者從第三方購買安全服務，以滿足等級保護安全要求。建設整改的內容包括建立網絡安全管理制度，落實防篡改、防入侵、數據加密以及災難恢復等網絡安全保護技術措施[9-10]。

互聯網金融網貸平臺很多采用外包開發(fā)或購買技術平臺，沒有能力去進行系統(tǒng)的研發(fā)和升級，面臨著極高的風險。因為系統(tǒng)來自外部，代碼完全失控；企業(yè)自身也沒有安全評估能力，沒有專職人員制定安全方案。系統(tǒng)運維人員往往也是一人兼任多個職位，安全風險極高。安全建設整改過程中需要針對應用系統(tǒng)進行代碼級的安全審計，制定安全運維管理制度，落實安全責任。

3.4 等級測評

等級測評是網絡安全等級保護工作的重中之重，通過測評來驗證信息系統(tǒng)是否符合等級保護安全要求。對于部署在云平臺的互聯網金融系統(tǒng)，首先應關注提供服務方的云平臺是否通過等級保護測評，且通過測評的標準等級不應低于部署在云平臺系統(tǒng)。由于基礎設施由云平臺提供，物理安全管理應由云平臺直接提供測評結果，網絡安全、系統(tǒng)運維涉及到云平臺的也由云平臺提供。其他部分的安全措施需要被測系統(tǒng)責任方完善安全防護。如圖1所示是加入了云服務供應商之后的測評架構。

測評過程中應重點關注互聯網金融系統(tǒng)數據的完整性、保密性與可用性。用戶敏感信息，比如身份證號碼、手機號碼、銀行卡號是否做脫敏處理，是否加密存儲和傳輸等。系統(tǒng)運維人員是否職責分明，是否有專職的安全管理員。由于很多互聯網公司為初創(chuàng)型公司，系統(tǒng)也為新開發(fā)系統(tǒng)，系統(tǒng)開發(fā)人員、運維人員與安全人員可能會存在復用現象，人員復用可能導致權限的濫用、非授權訪問等安全風險。還有互聯網公司離職率比較高，也需要關注離職人員權限的交接等工作，是否取消一切離職人員的訪問權限，防止離職后人員對系統(tǒng)的操作，確保系統(tǒng)的安全穩(wěn)定運行。

3.5 監(jiān)督檢查

監(jiān)督檢查主要是由公安網絡安全保衛(wèi)部門負責，針對互聯網金融系統(tǒng)，特別是P2P網貸系統(tǒng)，公安網絡安全保衛(wèi)部門的監(jiān)督檢查力度都比較大。針對互聯網金融機構可以在定級備案提交資料后到現場進行查看是否有固定的辦公場地，是否有相應的安全運維人員。測評完成后可以根據測評結果對信息系統(tǒng)進行安全抽查，針對發(fā)現的問題了解整改情況。

4 結束語

云計算與互聯網金融作為比較新鮮事物，具有很大的發(fā)展?jié)摿?，但也存在一些發(fā)展過程中的安全問題，需要法律、制度、管理進行約束與規(guī)范，才能更好更快地發(fā)展。本文從網絡安全等級保護的角度，對基于云計算的互聯網金融系統(tǒng)如何確保系統(tǒng)安全進行了分析，并提出了相應的解決建議，可以為云平臺服務商、系統(tǒng)運營使用單位、監(jiān)管機構、安全咨詢服務機構、測評機構落實信息安全責任提供參考借鑒。

參考文獻

[1] P2P網貸行業(yè)2018年9月月報[R]. https：//www.wdzj.com/news/yc/3175455.html.

[2] 中國銀行業(yè)監(jiān)督管理委員會.中國銀監(jiān)會辦公廳關于印發(fā)網絡借貸信息中介機構業(yè)務活動信息披露指引的通知（銀監(jiān)辦發(fā)〔2017〕113號）[R]. http：//www.cbrc.gov.cn.

[3] 互聯網安全保護技術措施規(guī)定（公安部令第82號）[R]. http：//www.djbh.net.

[4] 郭啟全，等.網絡安全法與網絡安全等級保護制度培訓教程 [M].北京：電子工業(yè)出版社，2018.

[5] 中國銀監(jiān)會.中國銀行業(yè)信息科技“十三五”發(fā)展規(guī)劃監(jiān)管指導意見（征求意見稿）[R]. 2016.

[6] 謝宗曉，劉斌. ISO/IEC 27001與等級保護整合實施指南[M].北京：中國質檢出版社/中國標準出版社， 2014.

[7] 賈海云，謝宗曉.基于云的金融信息系統(tǒng)等級保護安全測評探討[J].中國質量與標準導報，2018（03）：38-41.

[8] 中華人民共和國公安部. GA/T 1389-2017 信息安全技術 網絡安全等級保護定級指南[S]. 2017.

[9] 全國金融標準化技術委員會. JR/0071-2012金融行業(yè)信息系統(tǒng)信息安全等級保護實施指引[S]. 2012.

[10] 中華人民共和國公安部. GA/T 1390.2-2017信息安全技術 網絡安全等級保護基本要求 第2部分：云計算安全擴展要求[S]. 2017.