据银监会统计,2011年我国农村商业银行、农村信用社、村镇银行超过2000家,然而很长一段时间以来,这些中小银行一直与互联网保持着谨慎的界限关系。2012年中国网络零售市场交易规模达到1.3万亿,电子商务的快速发展触动了传统中小银行业务转型的神经,但传统IT的架构特性无法支撑金融业务互联网化后所面临的“现象级”技术保障挑战,于是金融机构的IT技术架构转型成为其是否能拥抱互联网,业务转型升级的首要策略。
所谓“现象级”技术保障挑战是指业务互联网化后,面临用户行为的不可预测性和用户动机的不可预知性,前者要求用以支撑业务的IT技术架构方面必须具备线性扩展、快速交付的特性,以便支撑海量的用户访问行为;后者则决定了IT安全保障必须具备自动响应、弹性防御的能力,以保证安全防御能力不被海量用户的差异化访问而稀释。
云计算技术与生俱有的线性扩展和弹性伸缩架构是解决“现象级”IT技术保障挑战的最好选择,但伴随云计算技术产生的虚拟化技术安全、及由此引发的多租户环境下数据保护等一系列安全问题则是制约云计算技术在金融等高风险行业大规模应用的关键,而追溯其根本成因则是系统上云后,用户对云端数据控制权的归属及系统稳定性的担心。如同金融行业依靠信用体系作为行业经营的关键,云计算服务商同样把“信.用”作为行业生存的基石,如何围绕“可信、可用”的命题打造“安全合规、稳定快捷”的云计算服务,是决定云计算业务是否能获得金融行业认可的前提。
安全合规
如何打消金融用户对云端数据安全的顾虑、响应金融系统上云后的安全需求、验证行业监管要求云端是否落地等金融客户最关心的问题?上述金融云客户最关心的三个问题将在下文逐一解答。
1. 数据安全
金融云依据数据的生命周期和虚拟化技术特点,构建覆盖从数据访问、数据传输、数据存储、数据隔离到数据销毁各环节的云端数据安全框架。
数据访问:客户访问云端资源均需通过同公有云隔离的专属控制台进行日常操作和运维,客户身份鉴别均采用口令结合动态令牌的双因素认证,客户同所购买的云服务对应关系采用对称加密对实现身份抗抵赖;客户云端资源访问操作均需通过堡垒机进行并支持实时操作审计。阿里云运维人员对金融云的运维操作均需通过数据证书结合动态令牌实现双因素认证,操作权限均需经过多层安全审批并进行命令级规则固化,违规操作实时审计报警。
数据传输:针对客户个人账户数据和云端生产数据两种不同的数据对象,分别从客户端到云端、云端各服务间、云服务到云服务控制系统三个层次进行传输控制。其中个人账户数据从客户端到云端传输均采用ssl加密,从云端各子系统间、云服务到云服务控制系统间均采用程序加密保证客户个人账户数据云端不落地。云端生产数据从客户端到云端传输均只可通过VPN或专线进行,云端存储采用服务端熵加密并支持客户自行密钥加密数据后云端存储。
数据存储:所有客户云端生产数据不论使用何种云服务均采用碎片化分布式离散技术保存,数据被分割成许多数据片段后遵循随机算法分散存储在不同机架上,并且每个数据片段会存储多个副本。云服务控制系统依据不同客户ID隔离其云端数据,云存储依据客户对称加密对进行云端存储空间访问权限控制,保证云端存储数据的最小授权访问。
数据隔离:金融云数据隔离分为物理资源隔离、云端资源隔离两个方面。物理资源隔离方面针对行业监管要求构建金融专属集群,并采用铁笼包围结合掌纹识别实现同公有云集群物理隔离和访问控制。云端资源隔离方面针对不同用户购买的云服务器之间的隔离需求,在其生产环节由云服务器的生产系统依据订单自动给每个用户的云服务器打上标签,不同的用户间通过由数据链路层和网络层访问控制技术组成的安全组进行隔离;针对云环境下恶意用户通过制造大量的ARP通信量来导致网络面临阻塞或中断的风险,采用上述云服务器标签和arptables相结合予以防范;最后为防范云服务器被入侵后成为对外攻击源,采用以太网防火墙(ebtables)隔离云服务器对外部公共网络的非授权访问。
数据销毁:金融云采用高级清零手段在用户要求删除数据或设备在弃置、转售前将其所有数据彻底删除。针对云计算环境下因大量硬盘委外维修或服务器报废可能导致的数据失窃风险,数据中心全面贯彻替换磁盘每盘必消、消磁记录每盘可查、消磁视频每天可溯的标准作业流程,强化磁盘消磁作业视频监控策略,聚焦监控操作的防抵赖性和视频监控记录保存的完整性。
2. 安全服务
金融云安全服务是结合阿里巴巴多年安全攻防技术积累,依托云计算的高弹性扩展和大数据挖掘能力,为中小金融机构解决业务互联网化后面临的安全攻击难预测、安全服务响应慢、安全人才一将而推出的一站式云安全增值服务,包含安全运营周报、DDoS防御服务、网站安全防御服务(WAF)、网络后门检测、口令防暴力破解服务、漏洞安全检测服务。
安全运营周报采用数据视图方式向金融云用户提供云端应用安全、系统及网络安全、物理安全、审计与合规等方面的安全运营动态。
DDoS防御服务由恶意流量检测中心、安全策略调度中心和恶意流量清洗中心组成,三个中心均采用分布式结构、全网状互联的形式覆盖金融云所有数据中心节点。帮助云用户抵御各类基于网络层、传输层及应用层的各种DDoS攻击,最大实现80G清洗能力。
网站安全防御(WAF)服务由WAF引擎中心、运营监控中心以及云用户控制中心组成,依托云计算架构,具备高弹性、大冗余特点,能够根据接入网站的多少和访问量级进行WAF集群的弹性扩容,提供全面的WEB安全防御和“0day”漏洞24小时快速响应服务
口令暴力破解攻击防御服务针对大量基于暴力破解网站账户口令的入侵行为而设计,支持WINDOWS系统和LINUX系统上的SSH,RDP,TELNET,FTP协议。依托大数据分析和计算能力对架设在云服务器上的网站密码错误事件实时分析和全端口屏蔽拦截。
网站木马检测服务通过对HTML和javascript引擎解密恶意代码,同特征库匹配识别,同时支持通过模拟浏览器访问页面分析恶意行为,发现网站未知木马,实现木马检测的“0”误报。
网站WEB漏洞检测服务的检测漏洞类型覆盖OWASP、WASC、CNVD分类,系统支持恶意篡改检测,支持Web2.0、AJAX、各种脚本语言、PHP、ASP、.NET 和 Java 等环境,支持复杂字符编码、chunk,gzip,deflate等压缩方式、多种认证方式(Basic、NTLM、Cookie、SSL 等),支持代理、HTTPS 、DNS绑定扫描等,支持流行的百余种第三方建站系统独有漏洞扫描。
合规安全
金融机构作为监管最为严格的行业,是否选择使用云服务关键在于如何建立对云服务商的信任,而无论从阿里云还是金融机构角度来看,客观、公正的第三方权威认证是双方建立信任的基础,因此阿里云通过覆盖国际和国内、传统IT安全和云计算安全的一系列第三方认证构建起金融机构同云服务商间的安全纽带。
ISO27001:是2005年诞生的一项被广泛采用的全球安全标准,采用以风险管理为核心的方法来管理公司和客户信息,并通过定期评估风险和控制措施的有效性来保证体系的持续运行。阿里云于2012年已取得ISO27001国际认证,与传统IDC运营商仅将认证范围局限于物理基础设施不同,阿里云的认证访问不但覆盖为金融云提供物理基础设施的所有IDC,并且涵盖了金融云当前或未来可能使用到的所有云服务,包括弹性计算、RDS(关系型数据库服务)、ODPS(开放数据处理服务)、OSS(开放存储服务)、OTS(开放结构化数据服务)、云盾(云安全服务)以及云监控服务。
云安全国际认证(CSA-STAR):是一项全新而有针对性的国际专业认证项目,由全球标准奠基者------英国标准协会(bsi)和国际云安全权威组织云安全联盟(CSA)联合推出,旨在应对与云安全相关的特定问题。其以ISO/IEC 27001认证为基础,结合云端安全控制矩阵CCM的要求,运用成熟度模型和评估方法,对提供和使用云计算的任何组织,综合评估组织云端安全管理和技术能力,最终给出“不合格-铜牌-银牌-金牌”四个级别的独立第三方外审结论。阿里云已获得全球首张云安全国际认证金牌(CSA-STAR),这是bsi向全球云服务商颁发的首张金牌。这也是中国企业在信息化、云计算领域安全合规方面第一次取得世界领先成绩。
信息安全等级保护:阿里云已通过公安部信息安全等级保护测评,其中弹性计算、RDS(关系型数据库服务)、ODPS(开放数据处理服务)、OSS(开放存储服务)、OTS(开放结构化数据服务)OSS(开放存储服务)、基础网络等支撑系统均通过等保三级测评。
阿里云金融云IT基础架构评估:阿里云金融云已通过由绿盟科技实施的IT基础架构评估,本次安全评估内容以《电子银行安全评估指引》、《网上银行系统信息安全通用规范》以及《金融行业信息系统信息安全等级保护测评指南》、《保险信息安全风险评估指标体系规范》、《证券公司网上证券信息系统技术指引》中所规定的技术评估内容为纲,从信息安全技术体系的角度对阿里金融云基础架构存在的风险进行评估。本次评估对象包括云计算服务器ECS、负载均衡SLB、关系型数据库服务RDS、开放存储服务OSS、开放数据处理服务ODPS和相关基础网络设备等。评估成绩为一级优等。
稳定快捷
众所周知,911事件的发生,提高了大家对灾备重要性的认知,尤其是金融行业,比如 “德意志银行”和“纽约银行”,德意志银行因为拥有异地灾备中心,快速恢复了业务,而纽约银行却因为数据丢失被迫进行破产清盘。因此,在银监会发布的《商业银行数据中心监管指引》中明确提出:商业银行应于取得金融许可证后两年内,设立生产中心;生产中心设立两年内,设立灾备中心。
一直以来,金融行业对灾备建设的又爱又恨,爱的是在“数据安全”上多买了一份保险,不怕一万只怕万一,恨的是这份保单成本太昂贵,还很容易掉链子,难以兑现,所以基本上能看到这样一种情形,大多数银行基于成本的考虑,只对核心的业务进行了灾备,外围业务只能被迫接受中断,而对于已经建立了异地灾备的系统,虽然在人行发布的《银行业信息系统灾难恢复管理规范》中指出“单位每年应至少组织一次实战演练”,但是真正能做到演练的极少,原因在于需要花费昂贵的成本聘请咨询团队、系统集成团队、进行复杂的系统整合开发,在真正演练时还要组织一大堆厂商standby,耗资巨大。建立灾备中心但无法进行演练,成了金融行业的一个通病。
阿里金融云服务输出于金融业务,除了它显而易见的超高弹性外,还在“数据安全”和“业务连续性”上提供了更多的优势。其中,灾备服务便是增值服务之一。
根据金融业务对连续性要求不同,阿里云提供“异地双活”和“两地三中心”两种灾备解决方案。通过在同城或者异地,建立两套或多套功能相同的应用系统,集成健康监测和灾备切换功能,当一处系统因意外(如火灾、地震等)停止工作时,整个应用系统可切换至另一处,继续对外提供服务。对于外围系统,可采取“异地双活”方案,对于核心系统,可选用服务等级更高的”两地三中心“方案。
目前阿里金融云生产中心设立在杭州,灾备中心设立在青岛,杭州设立了两个机房,可提供同城灾备。未来随着业务量的增加,会在更多地区选址作为数据中心建设。在架构上,两个中心部署同样的应用系统,静态数据存储在ECS(云服务器)上,结构化动态数据存储在RDS(关系型数据库服务)上,非结构化数据存储在OSS(开放存储服务)上,RDS和OSS的动态变化数据,通过底层数据复制完成数据同步。
灾备数据中心作为备用站点,具备随时接管业务的能力,平时灾备数据中心也可支撑只读业务。在整个灾备切换过程中,阿里云提供底层资源切换模块。
相比于传统方式的灾备切换,在成本上,云计算可以通过规模经济效应大幅度降低单台资源成本,同时,服务资源支持按需即用,对于非关键业务,在灾备中心可进行降级配置,一旦发生灾备切换时,也可以在数分钟之内,通过事先定义的镜像克隆一台或多台服务器,或升级原有服务器配置,快速拥有与原生产中心相同的服务资源,接管应用,使应用系统不至于因为压力过大而瘫痪。
在资源监控上,由于云计算采用标准化建设方式,相对于传统金融数据中心复杂的资源环境(往往包括不同厂商、不同型号的设备)而言,所有资源监控都可以作为标准服务进行输出,用户只需要通过控制台或者调用监控API接口即可获取资源状态,同时用户可对资源状态设置阈值,一旦超过该阈值, 即可触发报警。
在灾备切换上,切换方式更为简捷,对复杂资源环境的切换转换为对服务的切换,用户可通过灾备控制台完成切换,也可通过调用服务对应的API完成切换操作。2013年厦门银行快捷支付生产业务进行了灾备演练,从杭州切换到青岛,又从青岛回切到杭州,整个过程数据无丢失,数据库和网络切换各通过一条命令完成,业务正常接管,切换和回切时间各控制在5分钟之内。
随着电子商务的不断发展,为满足大众的便捷性消费需求,将中小银行与互联网更加紧密的联系在一起。作为中国第一大云计算公共服务平台,阿里云独立开发、具有完全自主知识产权的大型分布式操作系统“飞天”所推出的金融云凭借超高弹性、极低成本、优质网络和平台级安全优势,将数以千计需要分散在各金融机构端的系统进行整合集中入云,从而实现互联网金融业务快速交付,打通了农村电子商务快速发展的瓶颈,让全国2000余家区域银行可以快速、低成本地实现网上交易支付等功能。而在这场最“保守”的金融机构拥抱互联网的变革中,阿里云金融云服务则加速了我国中小型银行转型升级的步伐,使得方便快捷的电子商务进一步下沉到中小城镇和农村居民。