中國銀聯:完善網絡安全保障體系,促進金融行業健康發展
中央金融工作會議明確提出要做好數字金融大文章,而安全是數字金融穩定發展的基石。作爲國家金融基礎設施,中國銀聯在人民銀行的指導下,深入貫徹國家和金融行業的安全政策、法規及標準,不斷優化網絡安全治理策略,懷着責任感和使命感堅守在網絡安全的最前線,加速推進全集團一體化網絡安全綜合防控體系的建設,致力於打造“平安銀聯”,確保金融交易的安全與穩定,爲數字金融的發展築起一道堅固的安全屏障。
搭建常態化防護體系,牢築網絡安全新防線
隨着數字金融的深入發展,網絡安全已經成爲金融行業健康發展的根本保障,中央金融工作會議要求堅持把防控風險作爲金融工作的永恆主題。作爲行業的中堅力量,銀聯深刻領會會議的精神,對網絡安全給予了高度重視,從頂層設計到執行層面構建起了一套科學、系統、高效的網絡安全管理體系。
在組織架構方面,銀聯建立了信息安全委員會、執行組、安全員的三級信息安全組織架構,實現了網絡安全管理的全面覆蓋與高效協同。此外,銀聯在管理、研發、運營等部門均設有安全團隊,並組建了跨部門的網絡安全和數據安全兩大專業組,爲專項工作提供強有力的技術與管理支持。與此同時,按照“計劃—執行—檢查—改進”的閉環管控機制,銀聯持續健全內部制度體系,常態化開展排查檢查,推動問題和風險的及時解決。目前,銀聯已通過多項合規測評認證和信息管理體系認證。
在安全建設方面,銀聯致力於打造安全高效的研發生命週期,爲此構建了安全研發服務平臺,實現了研發過程的全面安全管控。銀聯自主研發了多類型工具平臺,如應用安全檢測、應用運行時防護等,能夠自動化掃描並檢測安全漏洞、及時識別風險,賦予應用強大的自我保護能力;同時還建設了應用安全畫像中心,體系化整合應用系統全生命週期安全數據,實現了數據多維智能分析、安全水位評估、輔助決策等功能,進一步提升安全防護水平。
在安全佈防方面,銀聯已形成覆蓋運行環境、網絡、系統、終端、數據的多層次防禦體系。立體式、智能化的生產雲保護平臺和保障體系,能夠持續檢測雲平臺安全環境變化,實現對虛擬機、雲上應用系統的安全防護。此外,銀聯針對不同安全級別的網絡實行精細化網段劃分,全域部署安全防護設備,並自研了智能監控工具與告警策略集,通過統一監控確保對可疑風險行爲進行精準識別和會話級阻斷,有效遏制潛在威脅。
實行動態性防禦機制,加強網絡安全實戰化運營
在構建有效的內部安全防線的同時,銀聯還設立了“網絡安全監控指揮中心”,不僅實施了7×24小時不間斷的安全監控,還建立了高效信息交互流程和事件聯動機制,實現了網絡安全一體化運營。爲實現對網絡攻擊的精準溯源,銀聯還構建了蜜罐系統,以吸引、捕獲並識別潛在攻擊者。此外,銀聯建立的安全應急響應中心USRC,作爲信息安全管理面向互聯網的窗口,能夠藉助社會各界力量及時發現和處置安全隱患,確保網絡安全。
在實戰攻防方面,銀聯通過構建攻防兼顧、能力相長的對抗體系,大幅提高實戰應對能力。自2020年起,銀聯組建網絡安全紅藍軍,積極參加網絡安全比武競賽,鍛鍊人才隊伍。同時,銀聯深入研究技戰法,自主研發了攻防工具,構建了內部攻防靶場、實訓平臺和作戰地圖,搭建了武器庫和威脅情報庫,每年通過組織開展全集團演習演練,全面提升在數字金融環境下自身的安全防護能力。
隨着科技的發展,網絡安全威脅呈現出新形態。面對前所未有的網絡安全挑戰,銀聯將持續強化網絡安全治理的體系化、常態化和實戰化,全力保障金融交易的安全穩定。
強化數據安全治理,構築穩固安全屏障
數據安全是金融安全領域的另一個重要命題。銀聯高度重視數據安全與個人信息保護,在業務依法合規、數據安全可控的原則下,構建了組織保障、制度與標準規範、技術保護等在內的全面數據安全體系。
一方面,銀聯及時對標數據安全的最新法律法規和監管要求,逐步建成了公司級“數據安全保護體系”,實施了基於數據分類分級的覆蓋數據全生命週期的安全管理。事前通過數據安全和個人信息保護影響評估、立項和需求評審來評估數據處理關鍵環節合規性和保護措施有效性等,事中通過權限審批、訪問控制、加密脫敏、異常行爲監測等加強對數據處理行爲管控,事後按要求開展數據刪除與銷燬、外發溯源等。
另一方面,銀聯針對支付清算產業的主要參與方,制定了詳細的業務規則和技術規範,明確各業務場景與流程中的數據安全責任,並採取多種措施推動這些規範和措施落地,攜手合作夥伴共同爲產業數據安全保駕護航。此外,銀聯還參與了多項數據安全國家及金融行業標準的制定、試點工作,爲國家和行業的數據安全標準生態建設添磚加瓦。
着眼未來發展,中國銀聯將牢記初心使命,與產業各方加強互信互聯、堅持價值共創、深化技術創新、築牢安全底線,爲維護國家金融安全、推動金融行業健康發展貢獻力量,在數字金融的浪潮中,向老百姓提供更加安全、便捷、高效的金融服務。