金融业的“云”未来思考

随着信息技术的不断发展，云计算服务在金融行业的应用越来越广泛，金融行业在享受云计算带来的益处之余也对云计算服务的建设和使用提出了更高的风险控制和安全管理要求。毕马威（KPMG）与UCloud就金融云的应用与相关的风险和安全管理发表了《金融业的“云”未来思考》。

业务驱动和技术创新带来的金融业“云”变革

近年来，随着市场金融改革的不断深化和云计算技术的不断成熟与完善，云计算在金融行业的发展中发挥越来越重要的作用。

当前，以“互联网+”推动金融行业的稳步创新和转型发展已逐步成为业界共识。传统金融机构在探索与实施互联网金融业务创新的过程中，势必需要灵活可变的IT架构和技术支撑，最大限度地缩短创新产品的开发与实施周期以占得市场先机。云计算服务凭借其快速部署、高可扩展等特性，逐渐成为金融机构实现业务创新试验的首选架构。

互联网金融的蓬勃发展，给创新企业带来发展契机的同时，也带来了激烈的竞争和严峻的挑战。初创金融企业，尤其是中小企业，如何在拓展业务和市场的同时有效地控制成本以维系企业生存是企业管理人员必须考虑和解决的关键问题。云计算服务所提倡的资源共享、优化配置、按需采购理念，使得企业可以相对低廉的成本获得高质的IT资源和服务，为创新型金融企业的成长提供有力支撑。

此外，随着金融行业发展的不断成熟及其对国计民生影响力的不断提升，监管机构对大型金融机构业务连续性管理的要求也越来越高。而云计算服务分布式部署、即购即用、低运维成本等天然优势，恰好满足金融机构迅速提升灾备能力的迫切需求，云灾备的广泛应用势在必行。[1]

至此，金融业的“云”变革已悄然而至。

应运而生的“金融云”

金融云，是指面向金融机构（银行、证券、保险、信托、基金、金融租赁、互联网金融等）的业务量身定制的集互联网、行业解决方案、弹性IT资源为一体的云计算服务。其具备的快速交付、高扩展性、低运维成本等特性，能够在充分考虑金融机构对信息安全、监管合规、数据隔离和中立性等要求的情况下，为机构处理突发业务需求、部署业务快速上线、实现业务创新改革提供有力支持。

快速交付：金融 IT 转型和创新的一个最大驱动因素就是如何实现业务产品的快速迭代。传统金融客户研发架构已经成为应用交付、产品迭代周期的瓶颈，而金融云能够在很短时间内，完成IT基础架构搭建、应用快速部署及业务上线，使金融客户拥有研发环境快速部署、交付和运维的能力，更快地响应业务需求多变的商业环境，快速服务市场用户。

金融云行业实践——支付清算应用的快速上线

某机构为适应市场，需快速推出一款手机钱包应用。借助金融云产品快速上线的优势，该金融公司快速部署研发环境，缩短开发周期，促进手机APP快速上线，并通过该手机应用快速占领市场。

高扩展性：传统的烟囱式IT架构，无法满足业务对IT基础架构弹性伸缩的需求。金融云能够满足高扩展性，实现业务创新所需的原型系统的快速部署，并通过分布式架构，进一步降低试错成本。

金融云行业实践——省农信的轻量级云架构

某省级农信社采用了为金融客户量身定制的金融混合云架构，将前端服务器部署在公有云之上以支撑互联网创新业务的发展，将核心数据及安全相关产品部署在托管云，并通过专线连接核心生产数据中心，稳定且低延时的实现了数据间的安全高效交互。通过混合云解决方案，该农信社快速实现了IT资源的弹性扩展并极大限度地降低了系统总体建设成本和维护难度。

低运维成本：金融云上的灾备解决方案，仅在灾难发生或演练时才启动整个灾备系统。正常情况下，仅需要启动少部分资源，可大大降低灾备系统的建设和使用成本；金融云上提供的基于如Hadoop等的大数据解决方案，利用金融云分布式计算、大规模集群的特性，协助机构利用云平台对海量数据进行预处理，节约机构核心IT架构资源。

金融云行业实践——互联网金融服务平台的云灾备

某互联网金融服务平台面对系统高可用、业务连续性及合规多方面要求，采用混合云架构，建设其同城应用级别灾备系统，实现了低成本、快速部署同城灾备的需求。

“金融云”给金融机构信息技术风险和安全管理带来新挑战

·服务安全性诉求

由于金融行业涉及资金、交易、客户身份等大量敏感信息，对信息安全提出很高要求，尤其是金融公有云发展面临更为突出的信息资产安全与隐私保护、可信服务等安全问题。[2]

根据RightScale发布的2015年度云计算使用情况调研报告，云计算的安全性一直是用户考虑的首要因素。报告显示，28%的受访者认为，云计算安全是云计算的首要挑战。[3]

云计算安全联盟（CSA）早在2013年就发布总结了与云计算安全有关的各类威胁，其中位列前五的分别是：数据泄露、数据丢失、数据劫持、接口安全性和分布式拒绝服务攻击。亚马逊云计算中心曾发生崩溃，造成亚马逊云服务连续中断4天，应答服务、新闻服务和位置跟踪等服务都受到影响。[4]

毕马威（KPMG）认为，金融用户对于“云”的安全诉求应当从IaaS、PaaS和SaaS三个不同层次进行考虑：[5]

以在金融行业应用最广泛的IaaS为例，毕马威（KPMG）认为云计算安全可以从技术和管理两个层面进行考虑。在技术层面，按照分层、纵深防御的思想，基于安全域的划分，从物理基础设施、虚拟化、网络、系统、应用、数据等层面进行综合防护。在管理方面，应对云平台、云服务、云数据的整个生命周期、安全事件、运行维护和监测、度量和评价进行管理。

·服务可用性诉求

对于金融客户来说，业务连续性管理的价值并非仅仅是企业应对灾难、提高生存能力的工具，它已成为改善经营管理、承担社会责任的基本准则。云计算的优势在于资源的优化和IT服务的便捷性，在缩减IT成本的前提下，如何保证业务运营的连续性和核心数据安全更是重中之重。并且，云计算下所有的资源运行环境都依托硬件来运行，一旦出现网络故障、硬件损坏、线路中断或系统变更，都可能导致金融机构业务出现中断的问题。因此，金融行业的云计算服务面临着更高的业务连续性要求。

毕马威（KPMG）认为，企业业务连续性管理过程中应当考虑云计算的各个方面。在选择云服务供应商阶段，确保厂商云服务设施和能力达到企业业务连续性管理要求。在确定系统层面灾难恢复目标时，也应根据业务连续性需求决定使用云服务水平。

·监管和法律合规风险

目前为止，我国有关金融行业云计算服务的监管要求和相应的标准检测认证体系尚在不断完善的过程中。跨区域、跨境的公有云，其环境，信息服务或用户数据可能分布在不同地区甚至不同国家，信息安全监管等方面存在差异与纠纷，在数据安全和隐私保护方面会出现无法进行有效监管的不利局面。此外，由于云计算涉及虚拟化、分布式计算等技术引起的用户系统、数据的界限模糊和不同用户共享物理、计算、平台及应用资源等问题，会造成司法取证困难，出现法律纠纷时会面临较高的法律风险。

·外包管理风险

金融机构的业务连续性需求和监管机构外包风险指引均对金融云服务提供商能够提供长期、稳定的服务提出了更高的要求。金融云服务商作为商业经营实体，如果出现经营不善或其他突发事件，可能无法持续经营而终止服务，使用其服务的金融机构直接面临业务中断和数据丢失的风险。除此以外，有些金融云服务提供商在提供云服务的同时，其自身也提供相关的金融服务。在这样的情况下，金融云服务提供商如何确保自身独立性也是云服务用户需要考虑的问题。

·组织变革风险

云计算应用独有的、创新的技术外包、配置动态和技术兼容等IT特性能够使企业的组织结构、组织战略以及组织业务流程产生变革。[6]

毕马威（KPMG）认为，云计算建设需要经历三个阶段，首先通过平台整合、资源虚拟化、应用梳理将现有的信息平台变成云平台；其次，通过流程梳理完成组织结构的变更；第三步，通过选择一个自动化部署工具，实现后台资源的动态供给。在这过程中，金融机构需要考虑资源配置、决策权分散、组织形式有机化、组织边界模糊化、组织结构扁平化和组织关联动态化来优化组织结构等方面，提升组织结构灵活性；考虑业务流程重塑弹性化和业务流程体系变更来整合简化组织业务流程，消除流程阻滞，提升业务流程效率。

参考文献：