許定航　趙改俠　謝宗曉

摘 要：隨著云計(jì)算發(fā)展越來(lái)越成熟，更多的互聯(lián)網(wǎng)金融企業(yè)傾向把系統(tǒng)部署到云平臺(tái)。但是，由于云平臺(tái)的共享性，可能會(huì)引入一些額外的安全風(fēng)險(xiǎn)。同時(shí)，這也導(dǎo)致了在合規(guī)方面，尤其是網(wǎng)絡(luò)安全等級(jí)保護(hù)方面，面臨新的挑戰(zhàn)。論文對(duì)基于云平臺(tái)的互聯(lián)網(wǎng)金融信息安全進(jìn)行了初步分析，并對(duì)如何滿(mǎn)足網(wǎng)絡(luò)安全等級(jí)保護(hù)合規(guī)提供了一種解決途徑。

關(guān)鍵詞：網(wǎng)絡(luò)安全；等級(jí)保護(hù)；互聯(lián)網(wǎng)金融；云計(jì)算

中圖分類(lèi)號(hào)：TP274+.2 文獻(xiàn)標(biāo)識(shí)碼：B

1 引言

據(jù)不完全統(tǒng)計(jì)，P2P、小貸、典當(dāng)、擔(dān)保、眾籌等互聯(lián)網(wǎng)金融企業(yè)，基于成本、運(yùn)維能力的考慮，首選均部署到云平臺(tái)。有些云平臺(tái)供應(yīng)商，比如阿里云甚至為P2P、小貸、典當(dāng)、擔(dān)保、眾籌等小微金融企業(yè)提供定制化的云計(jì)算服務(wù)。

網(wǎng)貸之家數(shù)據(jù)顯示，截至2018年9月底，網(wǎng)貸行業(yè)正常運(yùn)營(yíng)平臺(tái)數(shù)量1561家。從成交量看，9月份P2P網(wǎng)貸行業(yè)的成交量為1107.37億元，9月行業(yè)活躍投資人數(shù)、借款人數(shù)分別為241.64萬(wàn)人、274.35萬(wàn)人[1]，多個(gè)平臺(tái)注冊(cè)用戶(hù)均突破上千萬(wàn)。如此龐大的用戶(hù)數(shù)量與資金成交量，如果信息系統(tǒng)出現(xiàn)安全問(wèn)題，將有可能對(duì)我國(guó)社會(huì)秩序、公共利益造成重大影響。

2016年8月24日中國(guó)銀監(jiān)會(huì)、工業(yè)和信息化部、公安部、國(guó)家互聯(lián)網(wǎng)信息辦公室制定了《網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)業(yè)務(wù)活動(dòng)管理暫行辦法》[2]，要求網(wǎng)貸平臺(tái)需要通過(guò)等級(jí)保護(hù)測(cè)評(píng)。2017年3月22日，北京監(jiān)管部門(mén)下發(fā)《網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)事實(shí)認(rèn)定及整改要求》，明確要求開(kāi)展信息系統(tǒng)等級(jí)備案和等級(jí)測(cè)試。由此可見(jiàn)，通過(guò)落實(shí)等級(jí)保護(hù)安全管理制度，可以有效地確保網(wǎng)貸系統(tǒng)的安全[3，4]。

本文通過(guò)網(wǎng)絡(luò)安全等級(jí)保護(hù)的思想對(duì)當(dāng)前互聯(lián)網(wǎng)金融云平臺(tái)部署所面臨的安全問(wèn)題進(jìn)行分析與總結(jié)，探索基于云計(jì)算的互聯(lián)網(wǎng)金融等級(jí)保護(hù)建設(shè)和測(cè)評(píng)的方法，可以為各測(cè)評(píng)機(jī)構(gòu)、云平臺(tái)用戶(hù)和監(jiān)管部門(mén)在云計(jì)算安全與網(wǎng)絡(luò)安全等級(jí)保護(hù)工作實(shí)踐中提供參考借鑒。

2 基于云計(jì)算的互聯(lián)網(wǎng)金融概述

由于云計(jì)算具有成本低、擴(kuò)展性強(qiáng)、維護(hù)簡(jiǎn)單等特點(diǎn)，越來(lái)越多的互聯(lián)網(wǎng)金融機(jī)構(gòu)將系統(tǒng)部署到云平臺(tái)。目前，有些云平臺(tái)供應(yīng)商針對(duì)互聯(lián)網(wǎng)金融機(jī)構(gòu)推出金融云，金融云本身具有較高的安全管控水平，由于部署在云平臺(tái)系統(tǒng)不能低于云平臺(tái)本身的安全級(jí)別，有些金融云平臺(tái)甚至定義為四級(jí)系統(tǒng)，且通過(guò)等級(jí)保護(hù)四級(jí)安全測(cè)評(píng)，可以滿(mǎn)足市場(chǎng)上幾乎所有互聯(lián)網(wǎng)金融系統(tǒng)的部署要求。

例如，阿里云向網(wǎng)貸平臺(tái)提供服務(wù)中，甚至提供了信用背書(shū)的功能。據(jù)了解，在目前已發(fā)生的網(wǎng)貸平臺(tái)跑路事件中，跑路平臺(tái)通常會(huì)將數(shù)據(jù)刪除，人為造成投資人維權(quán)困難，而缺乏證據(jù)則成為公安查案最大的阻礙。部署在云平臺(tái)的網(wǎng)貸系統(tǒng)與阿里云簽訂數(shù)據(jù)備份條款，假如平臺(tái)跑路，阿里云可以將備份數(shù)據(jù)提供給公安機(jī)關(guān)，無(wú)疑阿里云這一措施有效地防范了平臺(tái)惡意刪除數(shù)據(jù)行為。

《中國(guó)銀行業(yè)信息科技“十三五”發(fā)展規(guī)劃監(jiān)管指導(dǎo)意見(jiàn)（征求意見(jiàn)稿）》[5]中，明確提出“銀行業(yè)互聯(lián)網(wǎng)金融生態(tài)”“行業(yè)云平臺(tái)”等概念。該《意見(jiàn)》提出，到“十三五”末期，面向互聯(lián)網(wǎng)場(chǎng)景的重要信息系統(tǒng)全部遷移至云計(jì)算架構(gòu)平臺(tái)，其他系統(tǒng)遷移比例不低于60%。

由此可見(jiàn)，互聯(lián)網(wǎng)金融往云端遷移是大勢(shì)所趨，云計(jì)算提高了IT資源的使用效率，但多租戶(hù)共享計(jì)算資源，可能導(dǎo)致客戶(hù)數(shù)據(jù)被非授權(quán)訪問(wèn)、篡改等。所以，必須充分認(rèn)識(shí)到這一新技術(shù)的發(fā)展給用戶(hù)的個(gè)人隱私、用戶(hù)資產(chǎn)帶來(lái)的安全隱患。通過(guò)落實(shí)等級(jí)保護(hù)安全制度，能在很大程度上降低、控制系統(tǒng)面臨的安全風(fēng)險(xiǎn)，確?；谠朴?jì)算的互聯(lián)網(wǎng)金融系統(tǒng)的安全。

3 等級(jí)保護(hù)合規(guī)的基本步驟

云平臺(tái)的共享性與互聯(lián)網(wǎng)金融信息的敏感性，勢(shì)必會(huì)讓部署在云平臺(tái)的互聯(lián)網(wǎng)金融系統(tǒng)面臨一定的安全風(fēng)險(xiǎn)。為確保基于云計(jì)算的互聯(lián)網(wǎng)金融系統(tǒng)安全，需要云平臺(tái)服務(wù)商、系統(tǒng)運(yùn)營(yíng)使用單位、監(jiān)管機(jī)構(gòu)、安全咨詢(xún)服務(wù)機(jī)構(gòu)、測(cè)評(píng)機(jī)構(gòu)共同完成[6，7]。等級(jí)保護(hù)的五個(gè)基本動(dòng)作很好的詮釋了各方在互聯(lián)網(wǎng)金融系統(tǒng)方面的安全保護(hù)職責(zé)。等級(jí)保護(hù)的五個(gè)主要步驟分別為：定級(jí)、備案、安全建設(shè)整改、等級(jí)測(cè)評(píng)、監(jiān)督檢查。對(duì)于互聯(lián)網(wǎng)金融系統(tǒng)如何落實(shí)等級(jí)保護(hù)要求，確保系統(tǒng)安全，可以從等級(jí)保護(hù)的五個(gè)動(dòng)作進(jìn)行分解，貫徹執(zhí)行?；谠朴?jì)算的互聯(lián)網(wǎng)金融等級(jí)保護(hù)工作流程如表1所示。

3.1 定級(jí)

定級(jí)是等級(jí)保護(hù)的第一個(gè)步驟，定級(jí)的準(zhǔn)確與否直接關(guān)系到系統(tǒng)安全保護(hù)的投入，基于互聯(lián)網(wǎng)金融的特殊性，建議定級(jí)過(guò)程中應(yīng)該邀請(qǐng)專(zhuān)家進(jìn)行評(píng)審，并出具評(píng)審意見(jiàn)。由于互聯(lián)網(wǎng)金融系統(tǒng)一般涉及到用戶(hù)基本信息、交易數(shù)據(jù)，一旦系統(tǒng)的信息遭到入侵、修改、增加、刪除等不明侵害（形式可以包括丟失、破壞、損壞等），會(huì)對(duì)公民、法人和其他組織的合法權(quán)益造成影響和損害，可以表現(xiàn)為個(gè)人及企業(yè)信息泄密，造成不良影響，嚴(yán)重可對(duì)大量投資人的財(cái)產(chǎn)安全構(gòu)成威脅，引起財(cái)產(chǎn)糾紛[8]。大量的用戶(hù)糾紛進(jìn)而影響到社會(huì)秩序，對(duì)社會(huì)秩序公共利益造成侵害（造成社會(huì)不良影響，引起公共利益的損害等）。

互聯(lián)網(wǎng)的優(yōu)勢(shì)就是可以突破時(shí)間和地域上的限制，讓遠(yuǎn)隔千里的人們能夠相聚在一起。而互聯(lián)網(wǎng)金融的模式滿(mǎn)足了人們?cè)诨ヂ?lián)網(wǎng)上尋找資金的需求，覆蓋了傳統(tǒng)金融的服務(wù)盲區(qū)，讓金融服務(wù)范圍更加廣泛，金融交易更加直接。中國(guó)互聯(lián)網(wǎng)安全問(wèn)題突出，網(wǎng)絡(luò)金融犯罪問(wèn)題不容忽視。一旦遭遇黑客攻擊，互聯(lián)網(wǎng)金融的正常運(yùn)作會(huì)受到影響，危及消費(fèi)者的資金安全和個(gè)人信息安全，可能會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害。目前，在實(shí)踐中，互聯(lián)網(wǎng)金融平臺(tái)一般定義為三級(jí)系統(tǒng)。

3.2 備案

定級(jí)完成需要提交定級(jí)材料到公安機(jī)關(guān)進(jìn)行備案，作為監(jiān)管部門(mén)需要對(duì)互聯(lián)網(wǎng)金融平臺(tái)進(jìn)行嚴(yán)格的審核，對(duì)于部署在云端的P2P網(wǎng)貸平臺(tái)，除了需要提供定級(jí)報(bào)告，備案表，還可讓其提供云平臺(tái)租賃協(xié)議、購(gòu)買(mǎi)的云安全服務(wù)清單、銀行資金存管協(xié)議、ICP經(jīng)營(yíng)許可證、信息安全責(zé)任人聯(lián)系方式等材料以證明平臺(tái)的合法合規(guī)，具備一定的安全管控能力。

目前，各地對(duì)于P2P網(wǎng)貸平臺(tái)的備案可能有更加嚴(yán)格的監(jiān)管。例如，《上海市網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)業(yè)務(wù)管理實(shí)施辦法》第十條規(guī)定，新設(shè)立的網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)申請(qǐng)辦理備案登記的，應(yīng)當(dāng)提交本市公安機(jī)關(guān)網(wǎng)絡(luò)安全部門(mén)出具的“信息系統(tǒng)安全審核回執(zhí)”（需事前向本市公安機(jī)關(guān)網(wǎng)絡(luò)安全部門(mén)提交符合國(guó)家網(wǎng)絡(luò)安全相關(guān)規(guī)定和國(guó)家信息安全等級(jí)保護(hù)制度要求的證明材料）。網(wǎng)貸平臺(tái)如需申請(qǐng)“信息系統(tǒng)安全審核回執(zhí)”，必須要請(qǐng)測(cè)評(píng)機(jī)構(gòu)參照等級(jí)保護(hù)三級(jí)進(jìn)行測(cè)評(píng)，最終給出“安全審核意見(jiàn)”報(bào)告。由此可見(jiàn)，不管是監(jiān)管部門(mén)還是監(jiān)督部門(mén)對(duì)網(wǎng)貸平臺(tái)的備案都會(huì)更加嚴(yán)格跟謹(jǐn)慎。

3.3 安全建設(shè)整改

定級(jí)備案完成，需要根據(jù)所定義的級(jí)別進(jìn)行安全整改，部署在云平臺(tái)系統(tǒng)，云平臺(tái)本身具備一些安全防護(hù)控制措施，如果不購(gòu)買(mǎi)云平臺(tái)的安全服務(wù)一般是不會(huì)為租戶(hù)提供細(xì)致的安全防護(hù)。所以需要根據(jù)等級(jí)保護(hù)相應(yīng)級(jí)別的標(biāo)準(zhǔn)要求，對(duì)比所需的安全服務(wù)，向云平臺(tái)供應(yīng)商或者從第三方購(gòu)買(mǎi)安全服務(wù)，以滿(mǎn)足等級(jí)保護(hù)安全要求。建設(shè)整改的內(nèi)容包括建立網(wǎng)絡(luò)安全管理制度，落實(shí)防篡改、防入侵、數(shù)據(jù)加密以及災(zāi)難恢復(fù)等網(wǎng)絡(luò)安全保護(hù)技術(shù)措施[9-10]。

互聯(lián)網(wǎng)金融網(wǎng)貸平臺(tái)很多采用外包開(kāi)發(fā)或購(gòu)買(mǎi)技術(shù)平臺(tái)，沒(méi)有能力去進(jìn)行系統(tǒng)的研發(fā)和升級(jí)，面臨著極高的風(fēng)險(xiǎn)。因?yàn)橄到y(tǒng)來(lái)自外部，代碼完全失控；企業(yè)自身也沒(méi)有安全評(píng)估能力，沒(méi)有專(zhuān)職人員制定安全方案。系統(tǒng)運(yùn)維人員往往也是一人兼任多個(gè)職位，安全風(fēng)險(xiǎn)極高。安全建設(shè)整改過(guò)程中需要針對(duì)應(yīng)用系統(tǒng)進(jìn)行代碼級(jí)的安全審計(jì)，制定安全運(yùn)維管理制度，落實(shí)安全責(zé)任。

3.4 等級(jí)測(cè)評(píng)

等級(jí)測(cè)評(píng)是網(wǎng)絡(luò)安全等級(jí)保護(hù)工作的重中之重，通過(guò)測(cè)評(píng)來(lái)驗(yàn)證信息系統(tǒng)是否符合等級(jí)保護(hù)安全要求。對(duì)于部署在云平臺(tái)的互聯(lián)網(wǎng)金融系統(tǒng)，首先應(yīng)關(guān)注提供服務(wù)方的云平臺(tái)是否通過(guò)等級(jí)保護(hù)測(cè)評(píng)，且通過(guò)測(cè)評(píng)的標(biāo)準(zhǔn)等級(jí)不應(yīng)低于部署在云平臺(tái)系統(tǒng)。由于基礎(chǔ)設(shè)施由云平臺(tái)提供，物理安全管理應(yīng)由云平臺(tái)直接提供測(cè)評(píng)結(jié)果，網(wǎng)絡(luò)安全、系統(tǒng)運(yùn)維涉及到云平臺(tái)的也由云平臺(tái)提供。其他部分的安全措施需要被測(cè)系統(tǒng)責(zé)任方完善安全防護(hù)。如圖1所示是加入了云服務(wù)供應(yīng)商之后的測(cè)評(píng)架構(gòu)。

測(cè)評(píng)過(guò)程中應(yīng)重點(diǎn)關(guān)注互聯(lián)網(wǎng)金融系統(tǒng)數(shù)據(jù)的完整性、保密性與可用性。用戶(hù)敏感信息，比如身份證號(hào)碼、手機(jī)號(hào)碼、銀行卡號(hào)是否做脫敏處理，是否加密存儲(chǔ)和傳輸?shù)?。系統(tǒng)運(yùn)維人員是否職責(zé)分明，是否有專(zhuān)職的安全管理員。由于很多互聯(lián)網(wǎng)公司為初創(chuàng)型公司，系統(tǒng)也為新開(kāi)發(fā)系統(tǒng)，系統(tǒng)開(kāi)發(fā)人員、運(yùn)維人員與安全人員可能會(huì)存在復(fù)用現(xiàn)象，人員復(fù)用可能導(dǎo)致權(quán)限的濫用、非授權(quán)訪問(wèn)等安全風(fēng)險(xiǎn)。還有互聯(lián)網(wǎng)公司離職率比較高，也需要關(guān)注離職人員權(quán)限的交接等工作，是否取消一切離職人員的訪問(wèn)權(quán)限，防止離職后人員對(duì)系統(tǒng)的操作，確保系統(tǒng)的安全穩(wěn)定運(yùn)行。

3.5 監(jiān)督檢查

監(jiān)督檢查主要是由公安網(wǎng)絡(luò)安全保衛(wèi)部門(mén)負(fù)責(zé)，針對(duì)互聯(lián)網(wǎng)金融系統(tǒng)，特別是P2P網(wǎng)貸系統(tǒng)，公安網(wǎng)絡(luò)安全保衛(wèi)部門(mén)的監(jiān)督檢查力度都比較大。針對(duì)互聯(lián)網(wǎng)金融機(jī)構(gòu)可以在定級(jí)備案提交資料后到現(xiàn)場(chǎng)進(jìn)行查看是否有固定的辦公場(chǎng)地，是否有相應(yīng)的安全運(yùn)維人員。測(cè)評(píng)完成后可以根據(jù)測(cè)評(píng)結(jié)果對(duì)信息系統(tǒng)進(jìn)行安全抽查，針對(duì)發(fā)現(xiàn)的問(wèn)題了解整改情況。

4 結(jié)束語(yǔ)

云計(jì)算與互聯(lián)網(wǎng)金融作為比較新鮮事物，具有很大的發(fā)展?jié)摿?，但也存在一些發(fā)展過(guò)程中的安全問(wèn)題，需要法律、制度、管理進(jìn)行約束與規(guī)范，才能更好更快地發(fā)展。本文從網(wǎng)絡(luò)安全等級(jí)保護(hù)的角度，對(duì)基于云計(jì)算的互聯(lián)網(wǎng)金融系統(tǒng)如何確保系統(tǒng)安全進(jìn)行了分析，并提出了相應(yīng)的解決建議，可以為云平臺(tái)服務(wù)商、系統(tǒng)運(yùn)營(yíng)使用單位、監(jiān)管機(jī)構(gòu)、安全咨詢(xún)服務(wù)機(jī)構(gòu)、測(cè)評(píng)機(jī)構(gòu)落實(shí)信息安全責(zé)任提供參考借鑒。

參考文獻(xiàn)

[1] P2P網(wǎng)貸行業(yè)2018年9月月報(bào)[R]. https：//www.wdzj.com/news/yc/3175455.html.

[2] 中國(guó)銀行業(yè)監(jiān)督管理委員會(huì).中國(guó)銀監(jiān)會(huì)辦公廳關(guān)于印發(fā)網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)業(yè)務(wù)活動(dòng)信息披露指引的通知（銀監(jiān)辦發(fā)〔2017〕113號(hào)）[R]. http：//www.cbrc.gov.cn.

[3] 互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定（公安部令第82號(hào)）[R]. http：//www.djbh.net.

[4] 郭啟全，等.網(wǎng)絡(luò)安全法與網(wǎng)絡(luò)安全等級(jí)保護(hù)制度培訓(xùn)教程 [M].北京：電子工業(yè)出版社，2018.

[5] 中國(guó)銀監(jiān)會(huì).中國(guó)銀行業(yè)信息科技“十三五”發(fā)展規(guī)劃監(jiān)管指導(dǎo)意見(jiàn)（征求意見(jiàn)稿）[R]. 2016.

[6] 謝宗曉，劉斌. ISO/IEC 27001與等級(jí)保護(hù)整合實(shí)施指南[M].北京：中國(guó)質(zhì)檢出版社/中國(guó)標(biāo)準(zhǔn)出版社， 2014.

[7] 賈海云，謝宗曉.基于云的金融信息系統(tǒng)等級(jí)保護(hù)安全測(cè)評(píng)探討[J].中國(guó)質(zhì)量與標(biāo)準(zhǔn)導(dǎo)報(bào)，2018（03）：38-41.

[8] 中華人民共和國(guó)公安部. GA/T 1389-2017 信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南[S]. 2017.

[9] 全國(guó)金融標(biāo)準(zhǔn)化技術(shù)委員會(huì). JR/0071-2012金融行業(yè)信息系統(tǒng)信息安全等級(jí)保護(hù)實(shí)施指引[S]. 2012.

[10] 中華人民共和國(guó)公安部. GA/T 1390.2-2017信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求 第2部分：云計(jì)算安全擴(kuò)展要求[S]. 2017.