许定航　赵改侠　谢宗晓

摘 要：随着云计算发展越来越成熟，更多的互联网金融企业倾向把系统部署到云平台。但是，由于云平台的共享性，可能会引入一些额外的安全风险。同时，这也导致了在合规方面，尤其是网络安全等级保护方面，面临新的挑战。论文对基于云平台的互联网金融信息安全进行了初步分析，并对如何满足网络安全等级保护合规提供了一种解决途径。

关键词：网络安全；等级保护；互联网金融；云计算

中图分类号：TP274+.2 文献标识码：B

1 引言

据不完全统计，P2P、小贷、典当、担保、众筹等互联网金融企业，基于成本、运维能力的考虑，首选均部署到云平台。有些云平台供应商，比如阿里云甚至为P2P、小贷、典当、担保、众筹等小微金融企业提供定制化的云计算服务。

网贷之家数据显示，截至2018年9月底，网贷行业正常运营平台数量1561家。从成交量看，9月份P2P网贷行业的成交量为1107.37亿元，9月行业活跃投资人数、借款人数分别为241.64万人、274.35万人[1]，多个平台注册用户均突破上千万。如此庞大的用户数量与资金成交量，如果信息系统出现安全问题，将有可能对我国社会秩序、公共利益造成重大影响。

2016年8月24日中国银监会、工业和信息化部、公安部、国家互联网信息办公室制定了《网络借贷信息中介机构业务活动管理暂行办法》[2]，要求网贷平台需要通过等级保护测评。2017年3月22日，北京监管部门下发《网络借贷信息中介机构事实认定及整改要求》，明确要求开展信息系统等级备案和等级测试。由此可见，通过落实等级保护安全管理制度，可以有效地确保网贷系统的安全[3，4]。

本文通过网络安全等级保护的思想对当前互联网金融云平台部署所面临的安全问题进行分析与总结，探索基于云计算的互联网金融等级保护建设和测评的方法，可以为各测评机构、云平台用户和监管部门在云计算安全与网络安全等级保护工作实践中提供参考借鉴。

2 基于云计算的互联网金融概述

由于云计算具有成本低、扩展性强、维护简单等特点，越来越多的互联网金融机构将系统部署到云平台。目前，有些云平台供应商针对互联网金融机构推出金融云，金融云本身具有较高的安全管控水平，由于部署在云平台系统不能低于云平台本身的安全级别，有些金融云平台甚至定义为四级系统，且通过等级保护四级安全测评，可以满足市场上几乎所有互联网金融系统的部署要求。

例如，阿里云向网贷平台提供服务中，甚至提供了信用背书的功能。据了解，在目前已发生的网贷平台跑路事件中，跑路平台通常会将数据删除，人为造成投资人维权困难，而缺乏证据则成为公安查案最大的阻碍。部署在云平台的网贷系统与阿里云签订数据备份条款，假如平臺跑路，阿里云可以将备份数据提供给公安机关，无疑阿里云这一措施有效地防范了平台恶意删除数据行为。

《中国银行业信息科技“十三五”发展规划监管指导意见（征求意见稿）》[5]中，明确提出“银行业互联网金融生态”“行业云平台”等概念。该《意见》提出，到“十三五”末期，面向互联网场景的重要信息系统全部迁移至云计算架构平台，其他系统迁移比例不低于60%。

由此可见，互联网金融往云端迁移是大势所趋，云计算提高了IT资源的使用效率，但多租户共享计算资源，可能导致客户数据被非授权访问、篡改等。所以，必须充分认识到这一新技术的发展给用户的个人隐私、用户资产带来的安全隐患。通过落实等级保护安全制度，能在很大程度上降低、控制系统面临的安全风险，确保基于云计算的互联网金融系统的安全。

3 等级保护合规的基本步骤

云平台的共享性与互联网金融信息的敏感性，势必会让部署在云平台的互联网金融系统面临一定的安全风险。为确保基于云计算的互联网金融系统安全，需要云平台服务商、系统运营使用单位、监管机构、安全咨询服务机构、测评机构共同完成[6，7]。等级保护的五个基本动作很好的诠释了各方在互联网金融系统方面的安全保护职责。等级保护的五个主要步骤分别为：定级、备案、安全建设整改、等级测评、监督检查。对于互联网金融系统如何落实等级保护要求，确保系统安全，可以从等级保护的五个动作进行分解，贯彻执行。基于云计算的互联网金融等级保护工作流程如表1所示。

3.1 定级

定级是等级保护的第一个步骤，定级的准确与否直接关系到系统安全保护的投入，基于互联网金融的特殊性，建议定级过程中应该邀请专家进行评审，并出具评审意见。由于互联网金融系统一般涉及到用户基本信息、交易数据，一旦系统的信息遭到入侵、修改、增加、删除等不明侵害（形式可以包括丢失、破坏、损坏等），会对公民、法人和其他组织的合法权益造成影响和损害，可以表现为个人及企业信息泄密，造成不良影响，严重可对大量投资人的财产安全构成威胁，引起财产纠纷[8]。大量的用户纠纷进而影响到社会秩序，对社会秩序公共利益造成侵害（造成社会不良影响，引起公共利益的损害等）。

互联网的优势就是可以突破时间和地域上的限制，让远隔千里的人们能够相聚在一起。而互联网金融的模式满足了人们在互联网上寻找资金的需求，覆盖了传统金融的服务盲区，让金融服务范围更加广泛，金融交易更加直接。中国互联网安全问题突出，网络金融犯罪问题不容忽视。一旦遭遇黑客攻击，互联网金融的正常运作会受到影响，危及消费者的资金安全和个人信息安全，可能会对社会秩序和公共利益造成严重损害。目前，在实践中，互联网金融平台一般定义为三级系统。

3.2 备案

定级完成需要提交定级材料到公安机关进行备案，作为监管部门需要对互联网金融平台进行严格的审核，对于部署在云端的P2P网贷平台，除了需要提供定级报告，备案表，还可让其提供云平台租赁协议、购买的云安全服务清单、银行资金存管协议、ICP经营许可证、信息安全责任人联系方式等材料以证明平台的合法合规，具备一定的安全管控能力。

目前，各地对于P2P网贷平台的备案可能有更加严格的监管。例如，《上海市网络借贷信息中介机构业务管理实施办法》第十条规定，新设立的网络借贷信息中介机构申请办理备案登记的，应当提交本市公安机关网络安全部门出具的“信息系统安全审核回执”（需事前向本市公安机关网络安全部门提交符合国家网络安全相关规定和国家信息安全等级保护制度要求的证明材料）。网贷平台如需申请“信息系统安全审核回执”，必须要请测评机构参照等级保护三级进行测评，最终给出“安全审核意见”报告。由此可见，不管是监管部门还是监督部门对网贷平台的备案都会更加严格跟谨慎。

3.3 安全建设整改

定级备案完成，需要根据所定义的级别进行安全整改，部署在云平台系统，云平台本身具备一些安全防护控制措施，如果不购买云平台的安全服务一般是不会为租户提供细致的安全防护。所以需要根据等级保护相应级别的标准要求，对比所需的安全服务，向云平台供应商或者从第三方购买安全服务，以满足等级保护安全要求。建设整改的内容包括建立网络安全管理制度，落实防篡改、防入侵、数据加密以及灾难恢复等网络安全保护技术措施[9-10]。

互联网金融网贷平台很多采用外包开发或购买技术平台，没有能力去进行系统的研发和升级，面临着极高的风险。因为系统来自外部，代码完全失控；企业自身也没有安全评估能力，没有专职人员制定安全方案。系统运维人员往往也是一人兼任多个职位，安全风险极高。安全建设整改过程中需要针对应用系统进行代码级的安全审计，制定安全运维管理制度，落实安全责任。

3.4 等级测评

等级测评是网络安全等级保护工作的重中之重，通过测评来验证信息系统是否符合等级保护安全要求。对于部署在云平台的互联网金融系统，首先应关注提供服务方的云平台是否通过等级保护测评，且通过测评的标准等级不应低于部署在云平台系统。由于基础设施由云平台提供，物理安全管理应由云平台直接提供测评结果，网络安全、系统运维涉及到云平台的也由云平台提供。其他部分的安全措施需要被测系统责任方完善安全防护。如图1所示是加入了云服务供应商之后的测评架构。

测评过程中应重点关注互联网金融系统数据的完整性、保密性与可用性。用户敏感信息，比如身份证号码、手机号码、银行卡号是否做脱敏处理，是否加密存储和传输等。系统运维人员是否职责分明，是否有专职的安全管理员。由于很多互联网公司为初创型公司，系统也为新开发系统，系统开发人员、运维人员与安全人员可能会存在复用现象，人员复用可能导致权限的滥用、非授权访问等安全风险。还有互联网公司离职率比较高，也需要关注离职人员权限的交接等工作，是否取消一切离职人员的访问权限，防止离职后人员对系统的操作，确保系统的安全稳定运行。

3.5 监督检查

监督检查主要是由公安网络安全保卫部门负责，针对互联网金融系统，特别是P2P网贷系统，公安网络安全保卫部门的监督检查力度都比较大。针对互联网金融机构可以在定级备案提交资料后到现场进行查看是否有固定的办公场地，是否有相应的安全运维人员。测评完成后可以根据测评结果对信息系统进行安全抽查，针对发现的问题了解整改情况。

4 结束语

云计算与互联网金融作为比较新鲜事物，具有很大的发展潜力，但也存在一些发展过程中的安全问题，需要法律、制度、管理进行约束与规范，才能更好更快地发展。本文从网络安全等级保护的角度，对基于云计算的互联网金融系统如何确保系统安全进行了分析，并提出了相应的解决建议，可以为云平台服务商、系统运营使用单位、监管机构、安全咨询服务机构、测评机构落实信息安全责任提供参考借鉴。

参考文献

[1] P2P网贷行业2018年9月月报[R]. https：//www.wdzj.com/news/yc/3175455.html.

[2] 中国银行业监督管理委员会.中国银监会办公厅关于印发网络借贷信息中介机构业务活动信息披露指引的通知（银监办发〔2017〕113号）[R]. http：//www.cbrc.gov.cn.

[3] 互联网安全保护技术措施规定（公安部令第82号）[R]. http：//www.djbh.net.

[4] 郭启全，等.网络安全法与网络安全等级保护制度培训教程 [M].北京：电子工业出版社，2018.

[5] 中国银监会.中国银行业信息科技“十三五”發展规划监管指导意见（征求意见稿）[R]. 2016.

[6] 谢宗晓，刘斌. ISO/IEC 27001与等级保护整合实施指南[M].北京：中国质检出版社/中国标准出版社， 2014.

[7] 贾海云，谢宗晓.基于云的金融信息系统等级保护安全测评探讨[J].中国质量与标准导报，2018（03）：38-41.

[8] 中华人民共和国公安部. GA/T 1389-2017 信息安全技术 网络安全等级保护定级指南[S]. 2017.

[9] 全国金融标准化技术委员会. JR/0071-2012金融行业信息系统信息安全等级保护实施指引[S]. 2012.

[10] 中华人民共和国公安部. GA/T 1390.2-2017信息安全技术 网络安全等级保护基本要求 第2部分：云计算安全扩展要求[S]. 2017.