■ 姜锐 潘镭

在上“云”的道路上，金融业一直是引领者。近几年，随着云计算、大数据和人工智能等前沿技术的快速推广应用及客户交易习惯的改变，金融业加快了上“云”的步伐。

诸如，工商银行构建了基于分布式的银行核心云金融平台，并将90%以上的应用系统部署在平台上，实现了信息架构转型的历史性突破；建设银行打造的建行云，在九大领域有143个项目稳定上“云”，直接或间接服务对公客户近650万户；招商银行建立了基于云计算的大规模数字化基础设施，新一代PaaS（平台即服务）平台正在拓展应用范围，全行业务应用上“云”比例达44%；中信银行全行信息科技基础架构云化率近94%。

前景是美好的，云服务会像空气一样无处不在。不过，在金融业上“云”的初级阶段，商业银行面临不少挑战：一方面，安全机制制约银行业使用金融云服务。根据调查，几乎所有金融机构都认为安全问题是使用金融云服务的主要瓶颈，其中60%的金融机构担心数据机密性；56%的金融机构担心对数据失去控制权；51%的金融机构担心合规和法律问题。另一方面，商业银行是被高度监管的行业，金融业务上“云”需要满足监管要求。此外，金融云平台的可用性也是银行亟须考虑的问题。要解决上述问题，商业银行可从以下几方面建设金融云平台。

打造安全可信的基础环境。要采取基础网络隔离、虚拟化加固方案加以保护。针对云计算灵活调度、动态扩展、按需快速交付的特点，要建立基于 SDN (软件定义网络)和 NFV (网络功能虚拟化)的安全策略体系。例如，在 SDN 控制器上可采用可定义的、自适应的安全策略及可管理的全局安全策略等。

建立满足监管要求的风控与审计体系。需要建立一个为用户、管理员、监管机构审计员提供的事后审查、审计的大数据分析风控模块。此模块收集云中的日志、事件、数据，并结合审计规则发现已经发生的或者潜在的违规事件，如用户非正常登录、敏感数据被查看等，并通知相关的管理员或审计员。审计模块主要包括日志收集分析、网络流量收集与分析、审计规则应用、违规或潜在风险告警等功能。

增强数据传输的安全性能。为保障与外部通信时数据的完整性、安全性，可将数据先进行安全加密，再经由安全的网络信道如 Https(安全通道）、SSL(安全套接层)等进行传输。由于此类加解密操作较为频繁，金融云平台可考虑加入公共的加解密服务中心，由平台为应用方提供统一的加解密服务，减少应用的复杂性。

推进平台数据存储加密。云底层的存储，可在不影响云中应用的前提下，为应用方提供整体的加密存储解决方案。当用户在存储或读取数据时，云平台将根据加密策略自动对数据进行加解密操作。数据在存储中是密文，在应用中是明文。即使恶意用户取得数据，也无法解密出明文数据，从而起到保护数据的效果。同时为实现存储加密，需在存储底层增加一个专门进行加解密操作的组件，此组件可由定制的软件实现。为降低加密对软件资源的占用，还可采用独立的加解密硬件卡对特定的算法进行优化，提升存储加密性能。

及时清除销毁存储数据。存储的数据提供给新的用户使用时，可结合数种清除与覆写程序，让存储的每一个空间都被重复清除与覆写，确保原来所有数据彻底删除，并无法复制。

总的来说，金融云平台能有效促进银行创新发展，促进银行信息系统资源合理配置，实现业务与金融科技的合作共赢。目前商业银行“金融生态云”体系已经诞生，并正在迅速发展。可以预料金融业务上“云”将成为银行数字化转型的新风向标。