金融云――信.用.云

據銀監會統計，2011年我國農村商業銀行、農村信用社、村鎮銀行超過2000家，然而很長一段時間以來，這些中小銀行一直與互聯網保持著謹慎的界限關系。2012年中國網絡零售市場交易規模達到1.3萬億，電子商務的快速發展觸動了傳統中小銀行業務轉型的神經，但傳統IT的架構特性無法支撐金融業務互聯網化后所面臨的“現象級”技術保障挑戰，于是金融機構的IT技術架構轉型成為其是否能擁抱互聯網，業務轉型升級的首要策略。

所謂“現象級”技術保障挑戰是指業務互聯網化后，面臨用戶行為的不可預測性和用戶動機的不可預知性，前者要求用以支撐業務的IT技術架構方面必須具備線性擴展、快速交付的特性，以便支撐海量的用戶訪問行為；后者則決定了IT安全保障必須具備自動響應、彈性防御的能力，以保證安全防御能力不被海量用戶的差異化訪問而稀釋。

云計算技術與生俱有的線性擴展和彈性伸縮架構是解決“現象級”IT技術保障挑戰的最好選擇，但伴隨云計算技術產生的虛擬化技術安全、及由此引發的多租戶環境下數據保護等一系列安全問題則是制約云計算技術在金融等高風險行業大規模應用的關鍵，而追溯其根本成因則是系統上云后，用戶對云端數據控制權的歸屬及系統穩定性的擔心。如同金融行業依靠信用體系作為行業經營的關鍵，云計算服務商同樣把“信.用”作為行業生存的基石，如何圍繞“可信、可用”的命題打造“安全合規、穩定快捷”的云計算服務，是決定云計算業務是否能獲得金融行業認可的前提。

安全合規

如何打消金融用戶對云端數據安全的顧慮、響應金融系統上云后的安全需求、驗證行業監管要求云端是否落地等金融客戶最關心的問題？上述金融云客戶最關心的三個問題將在下文逐一解答。

1. 數據安全

金融云依據數據的生命周期和虛擬化技術特點，構建覆蓋從數據訪問、數據傳輸、數據存儲、數據隔離到數據銷毀各環節的云端數據安全框架。

數據訪問：客戶訪問云端資源均需通過同公有云隔離的專屬控制臺進行日常操作和運維，客戶身份鑒別均采用口令結合動態令牌的雙因素認證，客戶同所購買的云服務對應關系采用對稱加密對實現身份抗抵賴；客戶云端資源訪問操作均需通過堡壘機進行并支持實時操作審計。阿里云運維人員對金融云的運維操作均需通過數據證書結合動態令牌實現雙因素認證，操作權限均需經過多層安全審批并進行命令級規則固化，違規操作實時審計報警。

數據傳輸：針對客戶個人賬戶數據和云端生產數據兩種不同的數據對象，分別從客戶端到云端、云端各服務間、云服務到云服務控制系統三個層次進行傳輸控制。其中個人賬戶數據從客戶端到云端傳輸均采用ssl加密，從云端各子系統間、云服務到云服務控制系統間均采用程序加密保證客戶個人賬戶數據云端不落地。云端生產數據從客戶端到云端傳輸均只可通過VPN或專線進行，云端存儲采用服務端熵加密并支持客戶自行密鑰加密數據后云端存儲。

數據存儲：所有客戶云端生產數據不論使用何種云服務均采用碎片化分布式離散技術保存，數據被分割成許多數據片段后遵循隨機算法分散存儲在不同機架上，并且每個數據片段會存儲多個副本。云服務控制系統依據不同客戶ID隔離其云端數據，云存儲依據客戶對稱加密對進行云端存儲空間訪問權限控制，保證云端存儲數據的最小授權訪問。

數據隔離：金融云數據隔離分為物理資源隔離、云端資源隔離兩個方面。物理資源隔離方面針對行業監管要求構建金融專屬集群，并采用鐵籠包圍結合掌紋識別實現同公有云集群物理隔離和訪問控制。云端資源隔離方面針對不同用戶購買的云服務器之間的隔離需求，在其生產環節由云服務器的生產系統依據訂單自動給每個用戶的云服務器打上標簽，不同的用戶間通過由數據鏈路層和網絡層訪問控制技術組成的安全組進行隔離；針對云環境下惡意用戶通過制造大量的ARP通信量來導致網絡面臨阻塞或中斷的風險，采用上述云服務器標簽和arptables相結合予以防范；最后為防范云服務器被入侵后成為對外攻擊源，采用以太網防火墻（ebtables）隔離云服務器對外部公共網絡的非授權訪問。

數據銷毀：金融云采用高級清零手段在用戶要求刪除數據或設備在棄置、轉售前將其所有數據徹底刪除。針對云計算環境下因大量硬盤委外維修或服務器報廢可能導致的數據失竊風險，數據中心全面貫徹替換磁盤每盤必消、消磁記錄每盤可查、消磁視頻每天可溯的標準作業流程，強化磁盤消磁作業視頻監控策略，聚焦監控操作的防抵賴性和視頻監控記錄保存的完整性。

2. 安全服務

金融云安全服務是結合阿里巴巴多年安全攻防技術積累，依托云計算的高彈性擴展和大數據挖掘能力，為中小金融機構解決業務互聯網化后面臨的安全攻擊難預測、安全服務響應慢、安全人才一將而推出的一站式云安全增值服務，包含安全運營周報、DDoS防御服務、網站安全防御服務（WAF）、網絡后門檢測、口令防暴力破解服務、漏洞安全檢測服務。

安全運營周報采用數據視圖方式向金融云用戶提供云端應用安全、系統及網絡安全、物理安全、審計與合規等方面的安全運營動態。

DDoS防御服務由惡意流量檢測中心、安全策略調度中心和惡意流量清洗中心組成，三個中心均采用分布式結構、全網狀互聯的形式覆蓋金融云所有數據中心節點。幫助云用戶抵御各類基于網絡層、傳輸層及應用層的各種DDoS攻擊，最大實現80G清洗能力。

網站安全防御（WAF）服務由WAF引擎中心、運營監控中心以及云用戶控制中心組成，依托云計算架構，具備高彈性、大冗余特點，能夠根據接入網站的多少和訪問量級進行WAF集群的彈性擴容，提供全面的WEB安全防御和“0day”漏洞24小時快速響應服務

口令暴力破解攻擊防御服務針對大量基于暴力破解網站賬戶口令的入侵行為而設計，支持WINDOWS系統和LINUX系統上的SSH,RDP,TELNET,FTP協議。依托大數據分析和計算能力對架設在云服務器上的網站密碼錯誤事件實時分析和全端口屏蔽攔截。

網站木馬檢測服務通過對HTML和javascript引擎解密惡意代碼，同特征庫匹配識別，同時支持通過模擬瀏覽器訪問頁面分析惡意行為，發現網站未知木馬，實現木馬檢測的“0”誤報。

網站WEB漏洞檢測服務的檢測漏洞類型覆蓋OWASP、WASC、CNVD分類，系統支持惡意篡改檢測，支持Web2.0、AJAX、各種腳本語言、PHP、ASP、.NET 和 Java 等環境，支持復雜字符編碼、chunk,gzip,deflate等壓縮方式、多種認證方式（Basic、NTLM、Cookie、SSL 等），支持代理、HTTPS 、DNS綁定掃描等，支持流行的百余種第三方建站系統獨有漏洞掃描。

合規安全

金融機構作為監管最為嚴格的行業，是否選擇使用云服務關鍵在于如何建立對云服務商的信任，而無論從阿里云還是金融機構角度來看，客觀、公正的第三方權威認證是雙方建立信任的基礎，因此阿里云通過覆蓋國際和國內、傳統IT安全和云計算安全的一系列第三方認證構建起金融機構同云服務商間的安全紐帶。

ISO27001：是2005年誕生的一項被廣泛采用的全球安全標準，采用以風險管理為核心的方法來管理公司和客戶信息，并通過定期評估風險和控制措施的有效性來保證體系的持續運行。阿里云于2012年已取得ISO27001國際認證，與傳統IDC運營商僅將認證范圍局限于物理基礎設施不同，阿里云的認證訪問不但覆蓋為金融云提供物理基礎設施的所有IDC，并且涵蓋了金融云當前或未來可能使用到的所有云服務，包括彈性計算、RDS（關系型數據庫服務）、ODPS（開放數據處理服務）、OSS（開放存儲服務）、OTS（開放結構化數據服務）、云盾（云安全服務）以及云監控服務。

云安全國際認證（CSA-STAR）：是一項全新而有針對性的國際專業認證項目，由全球標準奠基者------英國標準協會（bsi）和國際云安全權威組織云安全聯盟（CSA）聯合推出，旨在應對與云安全相關的特定問題。其以ISO/IEC 27001認證為基礎，結合云端安全控制矩陣CCM的要求，運用成熟度模型和評估方法，對提供和使用云計算的任何組織，綜合評估組織云端安全管理和技術能力，最終給出“不合格-銅牌-銀牌-金牌”四個級別的獨立第三方外審結論。阿里云已獲得全球首張云安全國際認證金牌（CSA-STAR），這是bsi向全球云服務商頒發的首張金牌。這也是中國企業在信息化、云計算領域安全合規方面第一次取得世界領先成績。

信息安全等級保護：阿里云已通過公安部信息安全等級保護測評，其中彈性計算、RDS（關系型數據庫服務）、ODPS（開放數據處理服務）、OSS（開放存儲服務）、OTS（開放結構化數據服務）OSS（開放存儲服務）、基礎網絡等支撐系統均通過等保三級測評。

阿里云金融云IT基礎架構評估：阿里云金融云已通過由綠盟科技實施的IT基礎架構評估，本次安全評估內容以《電子銀行安全評估指引》、《網上銀行系統信息安全通用規范》以及《金融行業信息系統信息安全等級保護測評指南》、《保險信息安全風險評估指標體系規范》、《證券公司網上證券信息系統技術指引》中所規定的技術評估內容為綱，從信息安全技術體系的角度對阿里金融云基礎架構存在的風險進行評估。本次評估對象包括云計算服務器ECS、負載均衡SLB、關系型數據庫服務RDS、開放存儲服務OSS、開放數據處理服務ODPS和相關基礎網絡設備等。評估成績為一級優等。

穩定快捷

眾所周知，911事件的發生，提高了大家對災備重要性的認知，尤其是金融行業，比如 “德意志銀行”和“紐約銀行”，德意志銀行因為擁有異地災備中心，快速恢復了業務，而紐約銀行卻因為數據丟失被迫進行破產清盤。因此，在銀監會發布的《商業銀行數據中心監管指引》中明確提出：商業銀行應于取得金融許可證后兩年內，設立生產中心；生產中心設立兩年內，設立災備中心。

一直以來，金融行業對災備建設的又愛又恨，愛的是在“數據安全”上多買了一份保險，不怕一萬只怕萬一，恨的是這份保單成本太昂貴，還很容易掉鏈子，難以兌現，所以基本上能看到這樣一種情形，大多數銀行基于成本的考慮，只對核心的業務進行了災備，外圍業務只能被迫接受中斷，而對于已經建立了異地災備的系統，雖然在人行發布的《銀行業信息系統災難恢復管理規范》中指出“單位每年應至少組織一次實戰演練”，但是真正能做到演練的極少，原因在于需要花費昂貴的成本聘請咨詢團隊、系統集成團隊、進行復雜的系統整合開發，在真正演練時還要組織一大堆廠商standby，耗資巨大。建立災備中心但無法進行演練，成了金融行業的一個通病。

阿里金融云服務輸出于金融業務，除了它顯而易見的超高彈性外，還在“數據安全”和“業務連續性”上提供了更多的優勢。其中，災備服務便是增值服務之一。

根據金融業務對連續性要求不同，阿里云提供“異地雙活”和“兩地三中心”兩種災備解決方案。通過在同城或者異地，建立兩套或多套功能相同的應用系統，集成健康監測和災備切換功能，當一處系統因意外（如火災、地震等）停止工作時，整個應用系統可切換至另一處，繼續對外提供服務。對于外圍系統，可采取“異地雙活”方案，對于核心系統，可選用服務等級更高的”兩地三中心“方案。

目前阿里金融云生產中心設立在杭州，災備中心設立在青島，杭州設立了兩個機房，可提供同城災備。未來隨著業務量的增加，會在更多地區選址作為數據中心建設。在架構上，兩個中心部署同樣的應用系統，靜態數據存儲在ECS（云服務器）上，結構化動態數據存儲在RDS（關系型數據庫服務）上，非結構化數據存儲在OSS（開放存儲服務）上，RDS和OSS的動態變化數據，通過底層數據復制完成數據同步。

災備數據中心作為備用站點，具備隨時接管業務的能力，平時災備數據中心也可支撐只讀業務。在整個災備切換過程中，阿里云提供底層資源切換模塊。

相比于傳統方式的災備切換，在成本上，云計算可以通過規模經濟效應大幅度降低單臺資源成本，同時，服務資源支持按需即用，對于非關鍵業務，在災備中心可進行降級配置，一旦發生災備切換時，也可以在數分鐘之內，通過事先定義的鏡像克隆一臺或多臺服務器，或升級原有服務器配置，快速擁有與原生產中心相同的服務資源，接管應用，使應用系統不至于因為壓力過大而癱瘓。

在資源監控上，由于云計算采用標準化建設方式，相對于傳統金融數據中心復雜的資源環境（往往包括不同廠商、不同型號的設備）而言，所有資源監控都可以作為標準服務進行輸出，用戶只需要通過控制臺或者調用監控API接口即可獲取資源狀態，同時用戶可對資源狀態設置閾值，一旦超過該閾值， 即可觸發報警。

在災備切換上，切換方式更為簡捷，對復雜資源環境的切換轉換為對服務的切換，用戶可通過災備控制臺完成切換，也可通過調用服務對應的API完成切換操作。2013年廈門銀行快捷支付生產業務進行了災備演練，從杭州切換到青島，又從青島回切到杭州，整個過程數據無丟失，數據庫和網絡切換各通過一條命令完成，業務正常接管，切換和回切時間各控制在5分鐘之內。

隨著電子商務的不斷發展，為滿足大眾的便捷性消費需求，將中小銀行與互聯網更加緊密的聯系在一起。作為中國第一大云計算公共服務平臺，阿里云獨立開發、具有完全自主知識產權的大型分布式操作系統“飛天”所推出的金融云憑借超高彈性、極低成本、優質網絡和平臺級安全優勢，將數以千計需要分散在各金融機構端的系統進行整合集中入云，從而實現互聯網金融業務快速交付，打通了農村電子商務快速發展的瓶頸，讓全國2000余家區域銀行可以快速、低成本地實現網上交易支付等功能。而在這場最“保守”的金融機構擁抱互聯網的變革中，阿里云金融云服務則加速了我國中小型銀行轉型升級的步伐，使得方便快捷的電子商務進一步下沉到中小城鎮和農村居民。

生活不易，碼農辛苦
如果您覺得本網站對您的學習有所幫助,可以手機掃描二維碼進行捐贈