金融机构如何安全上云：合规是重要保障

在金融行业数字化转型的大背景下，包括数字化营销、个性化推荐与精准服务、风控模型的建立与完善、资源的整合利用等等，都离不开大数据和云计算。

由于金融机构数据要素和信息的敏感性与特殊性，如何规范、合规使用云计算，成了金融机构尤为关注的话题。

政策速览

2016年7月，银保监会发布《中国银行业信息科技“十三五”发展规划监管指导意见(征求意见稿)》，提出银行业面向互联网场景的重要信息系统全部迁移至云计算架构平台，其他系统迁移比例不低于60%。并对银行业云计算明确了监管意见，提出积极开展云计算架构规划，主动和稳步实施架构迁移，支持金融行业上云。

2017年7月，人民银行发布《中国金融业信息技术“十三五”发展规划》，明确要求落实推动新技术应用，促进金融创新发展，稳步推进系统架构和云计算技术应用研究。

2019年8月，人民银行印发《金融科技(FinTech)发展规划(2019-2021年)》，提出加快云计算金融应用规范落地实施，充分发挥云计算在资源整合、弹性伸缩等方面的优势，探索利用分布式计算、分布式存储等技术实现根据业务需求自动配置资源、快速部署应用，更好地适应互联网渠道交易瞬时高并发、多频次、大流量的新型金融业务特征，提升金融服务质量。

2021年12月，人民银行印发《金融科技发展规划(2022-2025年)》,提出加快云计算技术规范应用，稳妥推进信息系统向多节点并行运行、数据分布存储、动态负载均衡的分布式架构转型，为金融业务提供跨地域数据中心资源高效管理、弹性供给云网联动、多地多活部署能力，实现敏态与稳态双模并存、分布式与集中式互相融合

安全标准要求

国际标准化组织ISO发布《ISO/IEC 27018信息技术-公有云中作为个人可识别信息（PII）处理器的个人身份信息保护实用规则》，是一个主要针对保护云计算中个人数据安全的国际标准，为云服务供应商如何处理个人身份信息(PII)提供了指南。

国家标准《GB/T31167-2014信息安全技术云计算服务安全指南》《GB/T31168-2014信息安全技术 云计算服务安全能力要求》规定了云服务商征信、经营基本情况、平台稳定性、技术供应链安全、安全管理能力、云平台的整体防护能力等。金融云作为关键信息基础设施需依据该要求通过云安全审查。

国家标准《GB/T 35279-2017信息安全技术云计算安全参考架构》规定了云服务中的角色安全职责、安全功能组件以及它们之间的关系。这个架构适用于指导所有云计算参与者在进行云计算系统规划时对安全的评估与设计。

中国人民银行2020年印发《中国人民银行关于发布金融行业标准强化金融云规范管理的通知》(银发[2020]247号)，发布《云计算技术金融应用规范技术架构》《云计算技术金融应用规范安全技术要求》《云计算技术金融应用规范 容灾》标准，规范云计算技术在金融行业应用。同年，人行发布《金融行业网络安全等级保护实施指引第2部分:基本要求》(JR/T 0071.2-2020)，规定云计算部分4个等级的安全要求。

金融机构业务上云路线

根据《云计算技术金融应用规范 技术架构》（JR/T 0166-2020）、《云计算技术金融应用规范 安全技术要求》（JR/T 0167-2020）两份标准文件，就金融领域涉及的云计算部署模式而言，可以分为“私有云”、“团体云”、“混合云”三类。

“私有云”，系指“仅被1个云服务者使用，且资源被该云服务使用者控制的1种云部署模式”。金融机构部署私有云主要用于存储、运行重要业务系统，存储敏感数据，一般采用自购硬件设备和解决方案的方式进行搭建，在生产过程中借助外包驻场实施运维。

“团体云”，则是指“由1组特定的云服务者使用者使用和共享，且资源被云服务提供者或者使用者控制的1种云部署模式”。而金融云，是指仅供金融机构共享使用，承载金融业务系统的团体云。金融机构部署团体云主要是通过金融机构间在云计算领域的合作，通过资源等方面的共享，在金融行业内形成公共基础设施、公共接口、公共应用等一批公共服务。金融机构部署团体云主要用于对金融机构外部客户的数据处理、服务，或为一定区域内金融机构提供资源共享服务。

“混合云”，是指“2种及以上部署模式的云部署模式”。金融机构部署混合云主要用于部署互联网相关的边缘性业务。可以根据特定需求，在团体云上部署虚拟环境，结合在私有云上部署的数据存储，满足一定数据安全的前提下，提高相应的成本效益。

金融机构应秉持安全优先、对用户负责的原则，根据信息系统所承载业务的重要性和数据的敏感性、发生安全事件的危害程度等，充分评估可能存在的风险隐患，谨慎选用与业务系统相适应的部署模式。

总结

云计算金融应用快速发展，已成为金融科技关键技术之一。即使从当前业界的最佳实践来看，受网络中断、设备故障、代码缺陷等因素影响，社会化的云服务安全故障也时有发生，直接影响其上系统运行。

近年来，金融云等团体云服务兴起，将金融系统集中部署、数据集中处理，在提升资源利用效率的同时，也加大了金融风险的集聚性。金融云故障极易导致金融系统大规模业务中断和数据泄露，甚至威胁国家金融安全。

为此，中国金融认证中心（CFCA）建议云服务使用者结合实际采用安全合规的金融云，满足金融监管部门的管理要求，旨在推动金融科技守正创新发展,促进金融机构数字化转型。同时建议云计算服务商通过云计算平台标准符合性认证，旨在推动金融云服务从“野蛮生长”向“规范应用”转型升级，促进金融科技有序发展。