【2018可信云大会】信通院董恩然：可信金融云服务（银行类）评估方法和最佳实践介绍

首先是可信金融云服务（银行类）评估框架，一共有五个指标。包括企业属性、风险管理、服务协议、技术能力和服务保障。企业属性对应的是标准的第一部分，风险管理是第二部分，服务协议是第三部分，技术能力和服务保障对应的是标准后三个部分，分别从PaaS、SaaS、IaaS层对技术服务提出了要求。

我们针对的是云服务提供方，云服务提供方分为两种，一种是只服务于直属的银行机构的，一种是对外提供云服务的。我们也分别有两种，一种是内部云服务提供方企业属性，一种是外部云服务提供方企业属性。内部云服务提供方均为必选性，证明里包含信息安全、管理体系评估认证、健全的组织架构、有效的风险管理构架和专职的信息科技风险管理团队，定期开展风险评估和审计工作。具备与所承担的服务范围和业务规模相适应的服务管理体系，具有足够的技术能力、人力资源环境、设备，满足云计算服务的质量和安全管理要求，支持内部结算等支付方式。外部云服务提供方企业属性依据的是IDC（含互联网资源协作服务）牌照，包括营业执照、社保缴纳信息证明和组织机构证书，应为银行机构或其控股的科技公司，提供报送证明、具备一定的运营规模。这些都是企业基本信息的必选项，下面还有可选项，比如有ICP、ISP或第三方支付等行业部门颁发的相关牌照，具有连续纳税证明，具有验资报告。在业务方面需要提供的是业务名称、业务运营起始时间、业务功能、支付方式以及业务应用的软硬件。

服务协议的完备性和规范性的评估方法。服务协议包括三个内容，一个是合同主体，二是服务级别，还附带了一个保险协议。在服务协议的要求中，我们希望有一个规范性服务协议的条款，今后银行客户在选择云服务提供方的时候可以都用通用的协议来进行签署合同。主要是对云服务功能、云服务可用性条款、数据安全条款、云服务质量条款、质量保障条款和权益保障类条款进行规定，我们要求在合同或者服务协议中进行相应的承诺。

这是我们在实际测试的时候企业属性和服务协议的最佳实践。企业属性的最佳实践都具备IDC（含互联网资源协作服务）经营许可证，并且提供公司企业法人营业执照、公司整体社保缴纳信息证明和组织机构证书。被测的单位都是银行机构或由期控股的科技公司，连续两年向监管机构报送证明。具备一定的运营规模，银行用户数达到10家以上，或物理CPU核数在120个以上，虚拟的CPU核数240核以上。有ICP、ISP或第三方支付等行业部门颁发的相关牌照。业务基本信息都会对业务名称、业务运营起始时间、业务功能、使用方式以及业务采用的软硬件提供相应的证明。

在服务协议的最佳实践评估中我们也发现了一些问题。每一个银行机构在选择云服务提供方的时候并没有规范或者完备的服务协议，有一些条款有所体现，有一些条款并没有体现。所以，我们认为服务协议的最佳实践是需要有规范的、完备的服务协议，服务协议中分别包括合同主体SLA、保密协议，合同主体包括约定服务范围、甲乙双方权利、服务收费和付款、合同的变更终止以及解除，知识产权的声明、违约情况，不可抗以及其他法律约定的合同违约的内容。服务级别协议SLA中，包括云服务可用性条款、数据安全类条款、云服务质量类条款和质量保障类条款等指标。这些指标分别对应的是服务可用性、数据持久性、数据可销毁性、数据可迁移性等等指标要求，同时还包括运营监控、技术支持、服务报告以及服务评价、服务改进、其他服务等等。

风险管理和评估方法。风险管理包含7大类43个小项的指标，因为对于银行这种机构来说风险管理对他们来说是一个非常重要的内容，所以我们也是做的非常的详细。这43个小项中有42个是必选项，只有一个是可选项，全部采取的是现场审查的方式。在现场要提供所有内容的文件和证明。

风险管理能力最佳实践，首先是文档审查和现场审查。2个云服务提供方都具备完备的风险管理体系文档，能够进行各专项工作（其中1个云服务提供方提供SaaS服务），满足IT服务管理能力、信息安全管理能力、开发测试管理能力、业务连续性管理能力和科技外包管理能力的要求。风险管理能力的最佳实践需要根据《可信金融云服务（银行类）第2部分：风险管理能力要求》，标准的描述提供满足要求的文档和截图。比如风险管理体系各项指标的证书，还需要提供各专项工作的分析报告、评估报告、测试报告、报送记录等等，还需要提供满足IT服务管理能力、信息安全管理能力以及开发测试管理能力相关制度文档，并现场演示在文档中提出的相关功能。

IaaS技术能力和服务保障评估方法。IaaS我们分为三大类，基础可信指标、性能可信指标以及IaaS的质量保障服务能力要求。在基础可信指标中我们参考了可信云认证体系中的一些指标要求，增加了一个安全服务能力，因为安全服务能力对于银行机构来说是非常重要的。性能可信指标主要是针对数据库的性能，包括云主机的内存、CPU、硬盘的存储、网络、RTO和RPO，网络带宽、吞吐量、每秒新建连接数、并发数、时延。在IaaS质量保障服务能力要求中我们对运营监控、技术支持、服务报告、服务评价和服务改进都进行了相关的要求。

IaaS的技术和服务能力的最佳实践，我们在进行IaaS技术服务文档测试的时候，主要是基于文档的审查技术测试和现场审查，两个云服务提供方都能够满足基础的可信指标、性能可信指标和IaaS质量保障服务能力的要求。服务可用性保证大于等于99.95%，数据持久性大于99.999999999%。创建虚拟机的时间小于20秒，创建虚拟卷的时间小于等于4秒，虚拟网络绑定时间小于等于4秒，用户购买的负载均衡服务的实际处理能力不得超过5%。合同中他们需要有一个承诺，在实际工作中需要满足这个承诺，并且通过使用stream Benchmark等软件的对内存、CPU、存储、网络、时延等指标进行测试，而且都是满足要求的。

服务可用性最佳实践需要满足基础设施即服务、技术和服务能力的要求。我们需要云服务提供方在服务协议中承诺一个值，他承诺的值是怎么计算出来？需要通过以上公式计算出来。我们怎么去认定他们是不是在实际的工作中是满足承诺值的，也是要通过他们提供的6个月用户的实际使用情况来判定是否满足实际的承诺。

服务的可用性和持久性最佳实践我们也参考了数据中心的要求，因为机房对风力和空调都有一定的要求。要求机房的路的电必须是两路市电，必须有备用柴发等。

（编辑：核心网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!