新闻详细
CSA发布 | 《云环境下的金融服务现状》
  • 2023.10.27
  • 3583

如今,云计算技术高速发展,云原生、无服务器等概念层出不穷,催生了很多新的云服务模式,各行各业开始大量采用云计算基础设施,构建基于云原生的服务。特别是金融行业,“云优先”和“只有云”已经成为企业构建新业务的策略。但新业务构建的同时,也面临诸多安全风险。

 

CSA大中华区在9月1日举办的2023TechWorld绿盟科技智慧安全大会正式发布白皮书《云环境下的金融服务现状》(中文版),绿盟科技与中国工商银行软件开发中心重点参与及支持报告的编写。

 

CSA大中华区研究院执行院长吕鹂啸(左)、绿盟科技集团首席创新官刘文懋(中)、工商银行软件开发中心信息安全团队资深经理张名伟(右)共同上台发布CSA白皮书。

 

《云环境下的金融服务现状》(以下简称报告),旨在评估金融行业现状,并与三年前行业初期CSA类似的调查结果进行比对,来证实金融服务业头部企业正在进一步利用云服务来发现的当前问题和新的机遇。报告通过对金融行业企业的安全相关负责人调查,给出了近年来的云环境下金融服务现状和机遇,以及 CSA 后续的行动计划,帮助组织机构更好地执行适合自身的云化策略和行动。

 

NO.1 日益增长的云服务使用情况

 

近三年,金融服务业使用云服务的情况不断增长,几乎所有金融机构都在使用某类云计算服务。报告指出2023年金融行业对云服务的使用大幅增长,98%的受访者表示他们公司正在使用云计算服务,高于2020年的91%。同时能看到企业更乐意在云环境中运行“关键业务”,调查结果中可见拥有高占比关键业务工作负载的公司数量几乎翻了一倍,从2020年的17%增加到2023年的32%。
 

 

此外,84% 的受访者表示他们的一些受监管数据存储在公共云中,前期调查比例为 73%。同时,许多金融服务机构采取了私有云和公共云混用的方式,并继续进行内部部署操作。



 

报告中发现造成最大的“阻碍”导致受访者公司采用云服务原因是“难度增加”,在监管和合规维度,尤其是数据隐私方面是技术人员配备外最大挑战。


 

受访者表示利用云服务实现远程办公或快速更新云应用软件的前提是云服务能提供符合法规的一致安全策略,由此将推进金融机构进一步采用云服务实现业务部署和运行。

 

由于新冠疫情导致远程办公和访问需求的增长背景,金融行业云服务使用呈现日益增长的趋势,同时许多企业已经认识到CSP多样化的好处,例如可以降低供应商锁定的风险,确保云环境更具有灵活性和弹性,多云化已是当前云服务的使用现状。


 

云服务是否被采用已不在是问题,而更多需要解决的问题是“如何”使用,零信任则为金融组织实现云服务访问增加了完整性保护。零信任要求对敏感数据和资产的访问性进行持续验证,同时也可以最大限度降低信息泄露的风险。


 

NO.2 满足云端监管要求

 

金融服务机构在其运营或开展国际业务都要受到相应的法律监管,报告调查结果显示大多数机构在合规数据方面仍然使用云计算,其中有59%的受访者在云服务中存储或者处理受监管的银行信息,预计未来12个月内这一数据将会增加到72%,但是制定有效的监管措施来保障整个云服务方案满足各国法律仍是需要探索的问题。


 

受访者表示云服务进一步发展需要与CSP、金融服务业展示其符合法规、整体数据保护能力的同时也需要让企业可运营便捷。

 

在云中拥有大部分关键业务工作负载(50% 或以上)的企业数量在短短三年内几乎翻了一番。87%的金融组织已将其关键业务工作负载转移到云中。另有 15%(从 17% 增长到 32%)的企业正在将一半以上的关键业务工作负载转移到云中。

 

此外,预计在未来12个月内72% 的企业会将受监管的银行数据转移或存储在云端。(较2020年的63%有所增加),该报告显示未来金融服务业对云的信任和依赖程度有所提高。

 

NO.3 技能缺口在云安全领域仍然存在
 

金融服务机构仍然面临的一个普遍挑战是云安全技能缺口,即具备有效管理和保护云环境专业知识的专业人员短缺。为解决这一问题,企业正在竭力培训和聘用云安全专业人员,以弥补这一缺口,改善云安全状况。

 

68%的企业提供针对云的专门培训,其中针对云服务提供商的培训最为普遍。调查显示,尽管68%的企业为技术专业人员提供了云相关的培训,但只有9%的企业提供全面的云相关培训,还有32%的企业没有提供云相关的培训。

 

云安全联盟CSA 12年前推出的CCSK云计算安全知识认证,被誉为“云计算之母”。CSA和ISACA共同推出了CCAK云计算审计知识认证,填补了云IT审计技术教育市场的空白。CSA大中华区发布了全球首个CCPTP云渗透测试认证专家,弥补云渗透测试技能人才培养的空缺,为专业人员提供技能保证。未来即将发布以云原生安全为核心能力的ACSE高级云安全专家。通过技能型系统的高阶课程来加速云安全人才的培养,以满足产业的用人需求。



总结
 

报告中结论部分提出诸如云安全社区可以通过进一步的行业合作来提供相应问题解决的方式,通过制定易于理解和落地的指导和应用访问控制标准流程,提供针对金融服务专业人员的安全使用培训,基于创新技术以研究保护金融数据的方案,并制定相应的金融行业云服务安全基线,以便金融机构无论使用哪种云服务,都可以达成监管以及自身高效使用的双重诉求。

 

致谢

 

感谢以下单位对报告的支持(以上排名不分先后)

绿盟科技集团股份有限公司(以下简称绿盟科技),成立于2000年4月,总部位于北京。公司于2014年1月29日在深圳证券交易所创业板上市,证券代码:300369。绿盟科技在国内设有50余个分支机构,为政府、金融、运营商、能源、交通、科教文卫、企业等各大行业用户与各类型企业用户提供全线网络安全产品、全方位安全解决方案和体系化安全运营服务。

 

工商银行软件开发中心1996年6月在珠海成立,主要负责全行应用研发、新技术研究、技术管理、服务支持、生产运维、人才培养任务。成立以来,软件开发中心聚焦科技创新能力提升,深耕行业应用,赋能业务发展,先后自主研发了4代核心银行系统,建设了24条业务线,涵盖195个业务系统,构建了支撑全集团经营管理、服务境内外客户、丰富完善的全功能应用产品体系。

 

本网站使用Cookies以使您获得最佳的体验。为了继续浏览本网站,您需同意我们对Cookies的使用。想要了解更多有关于Cookies的信息,或不希望当您使用网站时出现cookies,请阅读我们的Cookies声明隐私声明
全 部 接 受
拒 绝