UCLOUD杨俊:合规和安全是互金企业IT建设的主要方向
【猎云网(微信: ilieyun )北京】5月14日报道(文/赵子潇)
5月9日,由猎云网主办的“ 首届互联网金融创业创新峰会暨猎云网春季CEO峰会 ”在北京泰富酒店隆重召开。本届峰会共吸引了千余名互联网金融从业者,各一线投资机构、互联网业界大咖、各界媒体朋友、行业主管部门悉数到场。
UCLOUD架构副总裁杨俊在会上发表主题演讲《新合规时代下的互金企业IT建设》,从IT角度来讲解互金企业健康发展。杨俊提到,在合规时代,互联网金融企业在做IT建设的时候主要考虑以下几个方面:安全、合规、支撑能力、团队人员、资金成本和时间成本。
安全方面,网络安全、防暴力、运维安全是三个重点方向。互联网金融企业要做国家信息安全保护的要求,数据要能够保存五年以上,要安全不可被篡改。而在合规方面,从信息安全的角度,创业者要考虑云商有没有通过相关的信息安全认证的国际标准。合规的重要性非常之高,而且会越来越高。
以下为演讲实录:
谢谢主持人,谢谢猎云网的邀请。我是来自于UCLOUD的杨俊,我在UCLOUD负责架构和解决方案工作的。在加入UCLOUD之前,我在戴尔中国负责整个中国区的技术架构的咨询、实施和服务。在戴尔之前我在EMC,是一个做存储和管理数据的公司,我负责金融机构的解决方案。
今天我给大家带来的分享主题是《新合规时代下互金企业的IT建设》。这是最好的时代,这是最坏的时代,这是引用查尔斯·狄更斯的话。
其实大家都在想,这个行业怎么来,未来应该怎么发展。所以撇开这些个人的情绪,我想互联网金融是国家未来的发展方向。只是说它过去的发展在监管层面出了一些问题,未来在这块可能会有更多的动作。
所以在我们国家监管层面,其实也是做了非常大的努力来呵护互联网金融新兴业态健康持续长久的发展。大家可以看到,在去年7月份十部委出台了关于《互联网金融健康发展的指导意见》,在去年12月份银监会协同各部委出台了《关于互联网借贷健康发展的指导意见》,4月份有一个专项为期一年针对互联网金融平台的整治工作。互联网金融继续要发展,但是它走的道路一定跟以前有些不一样。这里的重中之重,大家要关注的就是安全和合规。
实际上安全合规是一个非常大的话题,它涉及到技术层面,但是我想跟很多业务和管理层面有关系。
作为IT基础架构的提供商,今天从IT的角度跟大家分享一下。我相信合规对互联网金融来说不是可以或者不可以的选择,而是必须要去做的事情。你适应的越快,你做的越快,你就有越多的主动权。
接下来我跟大家分享一下,在合规时代互联网金融企业在做IT建设的时候主要考虑的几个方面,它们分别是:安全、合规、支撑能力、团队人员、获得上述这些能力你所花的成本和代价,这里面有资金成本,同时对初创企业来说更多的是时间成本。由于时间关系,我今天着重在安全和合规上跟大家做一些汇报。
这是我们摘录在P2P监管指导意见里面跟IT有关的信息,在摘录里面明确提到了很多跟IT合规相关的指导要求。比如说一个互联网金融企业在它正规运营了两年以后,它就要开始建立起和它的应用级别相关联的应用级的容灾系统,这个以前没有明确提到。因为以前一说到传统银行,大家都会想到达到一千亿规模以上,要做两地三中心,互联网金融在这块一直是空白,灰色地带,做与不做,怎么做,始终没有明确的规范。现在指导意见里面已经比较清晰的提出了相关的要求。
同时,互联网金融企业要做国家信息安全保护的要求,你的数据要能够保存五年以上,要安全不可被篡改。你的系统里面要能够安全做数据的审计,包括你的数据加密等等。
在安全领域,第一个跟大家分享的是网络安全,因为互联网金融它在互联网上为我们的客户提供服务,所以互联网上除了客户,除了好人还有坏人。如何来防治在互联网上攻击你,其实互联网金融企业未来会面临一个问题,你和客户的媒介除了电脑就是网站和APP,你可以想象一下,如果你的网站和APP突然有一天打不开了,你的客户肯定会恐慌。
其实我也投了一些互联网金融,前段时间经常出问题的风口浪尖里面,我每天做的事情,早上起来先拿过手机看看APP能不能打开,我的帐号能不能登录,通过这些方法让我获得一些安心,我的钱还在这个平台里面。如果你的平台被攻击了,正常用户没法访问,给你的正常客户带来心理上的恐慌,给你带来的正常经营带来不方便是可想而知的。
第二个是要有防暴力,因为你的APP公布在网站上,有很多黑客来攻击你,你需要有一个防暴力破解的提醒。在这里我想强调技术任何时候都无助,没有绝对的安全。即使以我们的平台来说,有这样一个防暴力破解的工具,帮助你提醒。但是也会遇到客户说我上去之后突然发现被破解了,我们就了解这个报警系统好像没有发挥作用,最后问了客户以后,你用的是什么密码客户说我的密码很强健,这样的密码在线下很OK,但是这样的密码被炒了不知道多少遍,所以你当成互联网密码直接被秒破。
还有就是网页的篡改,如果是政府企业你的网页被篡改不会造成政治上的问题,但是会对你的客户造成困扰。之前有一个所谓史上最牛的P2P跑路声明,我是公司的董事长,我就跑路了怎么样,实际上并不是这个公司董事长所为。而是一些人员计划,把它的网页篡改了。
还有就是入侵防御,以及应用防火墙,这个更多是防黑客入侵。因为现在黑客已经到了集团化和国际化的程度。所有的信息在互联网上都可以明码标价的销售,对客户来说你的信息是被窥视的。
除了网络安全,还有数据的安全,比如说底层的数据,你是不是有比较好的保护。最基本的我们可以通过磁盘保护,来提供一些冗余的能力。对于一些重要的数据,我们提供多备份,甚至是跨数据中心的保护。它更多的是防物理部分,如果出现逻辑的错误,我要修改你的系统,我的帐号改造会需要花很多钱,这个时候需要防逻辑的错误保护。我通过备份对历史的数据做长久的备份,以备相关部门的审核。我可以通过快照的技术,我可以提供给客户的持续数据保护,我们可以恢复到12个小时里面任意一秒的操作。这样的话就把数据保护的颗粒度和便利性做的非常好。
当你的业务运行一段时间以后,你一定要考虑异地容灾,这个防的是小概率的事件,更多的需要满足监管的要求。还有就是大家都会想到的对数据的加密,数据的传输过程在网络上需要加密,可以通过各种各样的技术,你静态保存的时候,归档的时候,你要对这些数据进行加密。
第三个安全是运维的安全,首先我想提一下IDC的选择,大家觉得选择IDC很容易,看上去都差不多,进去以后一台台的机柜,似乎没有什么区别。其实这里面有非常多的差异,比如说从级别上来说,按照国标分ABC,按照国际标准可能分级更高。机房里面到底跑了什么样的客户,绝大部分互联网金融企业还没有到自己能建一个机房或者是包下一个机房的程度。所以很多时候你会和你的邻居一起来使用机房,中国有一句古话叫“孟母三迁”,昨天是母亲节,孟母三迁的核心是你要选择一个环境,环境非常重要。
比如说你所在的机房里面有一些做电商的客户,由于某种原因它被攻击了,它的后遗症是把整个机房的带宽全部打反,所以选择IDC除了级别以外,IDC里面的客户本身也非常重要。
机房人员的管理,机房是不是有严格的登记,进去以后是不是要做金属的探测等等。开发测试的隔离,这是互联网金融尤其是初创公司比较容易忽略的。如果一开始人员很少,没有专门的运维团队,基本上都在做开发的事,这样的情况下容易出现一些问题,因为研发的比重太大,他直接进入到生产系统可以看到业务数据,有意无意的容易产生一些问题。
帐号和权限的统一管理,不要有所谓的影子帐户在里面。还有就是所有的操作都应该遵循你所需要操作的最小权限的原则。如果你从审计的角度,所有的操作你都要被可追溯、可记录。
再来讲讲合规,我们刚刚提到你有没有国际标准,从信息安全的角度,如果是云商承载你的系统,你考虑这个云商是不是可行性认证。假设你自己对自己要求高一点,你是不是通过相关的信息安全认证的国际标准。假设你是做第三方支付业务的,你还要考虑你要做认证,这里列出来的只是很少的一部分,提醒大家合规的重要性是非常高的,而且会越来越高。
最后给大家介绍一下UCLOUD公司,我们是2012年成立的,经营公有云的业务。目前在北上广深、成都、杭州这样一些地方都有公司和办事处。目前公司发展比较好,已经有500多位同事。
根据去年IDC的调研报告,UCLOUD很荣幸成为中国公有云排名前三的供应商。我们有10个数据中心服务三万多家企业级客户,客户行业也遍布了19个细分,其中也包括传统金融和互联网金融。
对UCLOUD来说,其实最重要的一点,我想跟大家分享的是,我们是一家独立的或者是中立的云计算公司。我们本身不经营云以外的业务,所以在这点上其实是对金融客户来说非常重要的方面。
这是我们部分金融客户的案例,这里面有传统的,比如说像基金公司,有些客户不太愿意在公共媒体上曝光他们的名字。在互联网金融里面有中国排名前十的P2P公司里面有四五家都是我们的客户。就支付来说,像快钱、预付这些都是我们的客户。希望大家在IT合规的时代里面提供一些帮助和借鉴,我的分享就到这里。