中国互联网金融协会秘书长助理、

互联网金融标准研究院院长  朱勇

近几年来，随着技术的日益成熟和产业的较快发展，云计算开始向金融领域延伸拓展，重塑了金融业的服务模式和行业格局。同时，云计算在金融领域的应用过程中出现了业务中断、技术外包和新老系统不适配等风险，相关监管规则和标准体系亟待建立和完善。

云计算金融应用的现状及其主要风险

在银行领域，云计算主要应用于IT运营管理和开放型底层平台等方面。应用云计算技术搭建开放云平台，可以借助API方式构建全面金融服务生态圈，提供生活缴费、资讯查询、网上购物等“金融+非金融”服务，依托金融服务与生活场景的结合提升了金融账户价值。在证券基金领域，云计算主要应用于客户端行情查询和交易量峰值分配等方面。通过业务系统整体上云，在数据库分库、分表的部署模式下，可实现相当于上千套清算系统和实时交易系统的并行运算。在保险领域，云计算主要应用于个性化定价和产品上线销售等方面。定制化云软件能够快速分析客户实时数据，提供个性化定价，还能够通过社交媒体为目标客户提供专门的保险服务。

云计算技术在我国金融领域应用面临的主要风险表现在以下三个方面。

业务中断风险：云计算技术通过冗余备份的方式能实现系统资源的充分利用，但金融机构核心系统不适合采用多副本备份，当云平台因容灾备份技术不到位发生服务器宕机时，可能导致服务中断。

技术外包风险：行业云、公有云主要由云服务供应商提供，第三方服务商可能存在操作不当行为、安全防护漏洞、数据混淆储存等问题，导致金融机构业务安全、网络安全、数据安全受到威胁，一些金融领域关键云计算供应商的风险还可能演化为金融系统性风险。

新老系统不适配风险：传统金融机构IT系统普遍建立时间较长、复杂程度较高，与分布式云计算系统融合在一起存在困难。部分金融机构同时采用私有云和行业云以部署不同系统，对多云管理也提出了新要求。

云计算标准化现状

目前，全球从事云计算标准化的组织和机构约30多家，包括国际标准化组织、区域标准化组织、行业联盟、协会等。自2008年以来，云计算标准化日渐成为国内外标准化组织和机构的研究热点。

1.云计算国际标准化现状

云计算标准化主要由国际标准化组织（ISO）和国际电信联盟（ITU）下属的3个分委会开展，云计算国际标准化的重点为边缘计算、数据共享及处理和云间互联。

信息技术安全分技术委员会（ISO/IECJTC1/SC27）侧重云计算安全方面的标准研制。SC27已发布ISO/IEC27017《信息技术安全技术基于ISO/IEC27002的云服务信息安全控制措施实用规则》、ISO/IEC27018《信息技术安全技术公有云中PII处理者保护PII的实用规则》和ISO/IEC27036-4《信息技术安全技术供应关系中的信息安全第4部分：云服务安全指南》等3项云计算相关的安全标准。数据保护、可信计算、物联网（IoT）安全是其今后标准研制的重要方向。

云计算和分布式平台分技术委员会（ISO/IECJTC1/SC38）侧重数据处理、边缘计算、计量计费等方面的标准研制。截至目前已发布涵盖术语、参考架构、SLA、互操作、数据流、虚拟化格式等8项云计算国际标准。

ITU-T云计算标准化工作主要通过ITU-TSG13开展，侧重云计算的生态系统、总体需求、功能架构、基础设施和网络、云计算资源管理和虚拟化等方面的标准研制。截至目前已发布《云计算生态系统、用例和总体需求》等12项云计算标准和多项研究成果。

技术联盟和行业协会也是云计算标准化的重要组成部分，其中，影响较大的机构主要有分布式管理任务组（DMTF）和全球网络存储工业协会（SNIA）。DMTF主要关注虚拟资源管理，SNIA主要关注云存储标准化工作。

2.我国云计算标准化现状

我国云计算标准化起步较晚，但近几年来发展较快，尤其是云计算金融应用标准已有所突破。2015年10月，工信部牵头多家单位制定并发布了《云计算综合标准化体系建设指南》，提出了由“云基础”“云资源”“云服务”和“云安全”4个部分组成的云计算综合标准化体系框架，在此基础上，通过研究分析信息技术和通信领域已有标准，明确了标准化方向，指导具体标准工作有序开展。其中，基础类标准与ISO/IEC保持一致；IaaS相关标准已较成熟，PaaS类标准发布较少，SaaS类标准研制尚未启动。

金标委依托云计算标准工作组开展云计算领域的基础、技术、产品、测评、服务、系统等标准的制修订。截至目前已经发布了《信息技术云计算云服务级别协议基本要求》等10项国标，在研国标8项，目前正在开展PaaS和多云相关的标准研制工作。金标委依托大数据安全标准特别工作组开展大数据和云计算相关的安全标准研制工作。截至目前已启动19项云计算安全标准研制工作，已发布《信息安全技术云计算安全参考架构》（GB/T35279-2017）等4项标准，15项标准正在研制。

由于云计算的金融应用涉及金融机构的业务系统、客户信息、交易数据和资金流转等方面的安全，因而云计算的科学性、安全性和可靠性较其他行业更高，云计算金融应用的标准需求也较大。截至目前，金标委已发布《云计算技术金融应用规范技术架构》《云计算技术金融应用规范安全技术要求》和《云计算技术金融应用规范容灾》3项金融行业标准，实现了云计算金融应用标准的突破。同时，《金融行业信息系统信息安全等级保护实施指引》对采用云计算技术的信息系统的物理安全、网络安全、主机安全、应用安全、数据安全等内容作了要求和规范，目前已启动相关标准的研制工作。

加强云计算金融应用标准建设的建议

目前，在技术选型、架构设计等方面，金融机构在应用云计算技术时已建立部分规范指引，但在云计算的可信基础环境、风控和审计要求、数据安全、服务外包管理、云计算产品服务评估、安全管理责任认定等方面缺乏相应的监管细则，相关标准也有待建立和完善。故此，我们对加强云计算金融应用标准建设提出以下几点建议。

加强云计算通用基础标准在金融领域的实施。云计算平台作为承载金融领域信息系统的基础平台，其安全要求应不低于所承载业务的安全要求。云计算平台本质上仍是一种信息系统，应满足国家和金融行业信息系统安全相关要求。因此，对于国家已经制定的云计算通用基础标准，金融机构在使用云计算技术时可直接引标贯标。

加强云计算金融应用标准体系的顶层设计。目前，云计算金融应用标准建设仍处于起步阶段，标准体系较分散、不成体系。未来需跟踪结合国内外云计算标准体系，充分考虑云计算金融应用的特性，做好云计算金融应用标准体系的顶层设计。抓紧研制云计算金融应用的可信基础环境、风控和审计要求、数据保护、安全及管理、服务外包管理、云计算产品服务评估、安全管理责任认定等方面的标准。

尽早研制云计算金融应用的检测认证标准，促进已发布相关标准的宣贯实施。目前需加强对《云计算技术金融应用规范技术架构》《云计算技术金融应用规范安全技术要求》和《云计算技术金融应用规范容灾》的培训和宣贯，尽快研制相应的检测认证标准，通过对云计算金融应用的检测认证促进已发布标准的实施，从而促进行业规范健康发展。

往期精选

（点击图片查看精彩内容）

《金融电子化》新媒体部：主任 / 邝源  编辑 / 潘婧