中国银联:完善网络安全保障体系,促进金融行业健康发展
中央金融工作会议明确提出要做好数字金融大文章,而安全是数字金融稳定发展的基石。作为国家金融基础设施,中国银联在人民银行的指导下,深入贯彻国家和金融行业的安全政策、法规及标准,不断优化网络安全治理策略,怀着责任感和使命感坚守在网络安全的最前线,加速推进全集团一体化网络安全综合防控体系的建设,致力于打造“平安银联”,确保金融交易的安全与稳定,为数字金融的发展筑起一道坚固的安全屏障。
搭建常态化防护体系,牢筑网络安全新防线
随着数字金融的深入发展,网络安全已经成为金融行业健康发展的根本保障,中央金融工作会议要求坚持把防控风险作为金融工作的永恒主题。作为行业的中坚力量,银联深刻领会会议的精神,对网络安全给予了高度重视,从顶层设计到执行层面构建起了一套科学、系统、高效的网络安全管理体系。
在组织架构方面,银联建立了信息安全委员会、执行组、安全员的三级信息安全组织架构,实现了网络安全管理的全面覆盖与高效协同。此外,银联在管理、研发、运营等部门均设有安全团队,并组建了跨部门的网络安全和数据安全两大专业组,为专项工作提供强有力的技术与管理支持。与此同时,按照“计划—执行—检查—改进”的闭环管控机制,银联持续健全内部制度体系,常态化开展排查检查,推动问题和风险的及时解决。目前,银联已通过多项合规测评认证和信息管理体系认证。
在安全建设方面,银联致力于打造安全高效的研发生命周期,为此构建了安全研发服务平台,实现了研发过程的全面安全管控。银联自主研发了多类型工具平台,如应用安全检测、应用运行时防护等,能够自动化扫描并检测安全漏洞、及时识别风险,赋予应用强大的自我保护能力;同时还建设了应用安全画像中心,体系化整合应用系统全生命周期安全数据,实现了数据多维智能分析、安全水位评估、辅助决策等功能,进一步提升安全防护水平。
在安全布防方面,银联已形成覆盖运行环境、网络、系统、终端、数据的多层次防御体系。立体式、智能化的生产云保护平台和保障体系,能够持续检测云平台安全环境变化,实现对虚拟机、云上应用系统的安全防护。此外,银联针对不同安全级别的网络实行精细化网段划分,全域部署安全防护设备,并自研了智能监控工具与告警策略集,通过统一监控确保对可疑风险行为进行精准识别和会话级阻断,有效遏制潜在威胁。
实行动态性防御机制,加强网络安全实战化运营
在构建有效的内部安全防线的同时,银联还设立了“网络安全监控指挥中心”,不仅实施了7×24小时不间断的安全监控,还建立了高效信息交互流程和事件联动机制,实现了网络安全一体化运营。为实现对网络攻击的精准溯源,银联还构建了蜜罐系统,以吸引、捕获并识别潜在攻击者。此外,银联建立的安全应急响应中心USRC,作为信息安全管理面向互联网的窗口,能够借助社会各界力量及时发现和处置安全隐患,确保网络安全。
在实战攻防方面,银联通过构建攻防兼顾、能力相长的对抗体系,大幅提高实战应对能力。自2020年起,银联组建网络安全红蓝军,积极参加网络安全比武竞赛,锻炼人才队伍。同时,银联深入研究技战法,自主研发了攻防工具,构建了内部攻防靶场、实训平台和作战地图,搭建了武器库和威胁情报库,每年通过组织开展全集团演习演练,全面提升在数字金融环境下自身的安全防护能力。
随着科技的发展,网络安全威胁呈现出新形态。面对前所未有的网络安全挑战,银联将持续强化网络安全治理的体系化、常态化和实战化,全力保障金融交易的安全稳定。
强化数据安全治理,构筑稳固安全屏障
数据安全是金融安全领域的另一个重要命题。银联高度重视数据安全与个人信息保护,在业务依法合规、数据安全可控的原则下,构建了组织保障、制度与标准规范、技术保护等在内的全面数据安全体系。
一方面,银联及时对标数据安全的最新法律法规和监管要求,逐步建成了公司级“数据安全保护体系”,实施了基于数据分类分级的覆盖数据全生命周期的安全管理。事前通过数据安全和个人信息保护影响评估、立项和需求评审来评估数据处理关键环节合规性和保护措施有效性等,事中通过权限审批、访问控制、加密脱敏、异常行为监测等加强对数据处理行为管控,事后按要求开展数据删除与销毁、外发溯源等。
另一方面,银联针对支付清算产业的主要参与方,制定了详细的业务规则和技术规范,明确各业务场景与流程中的数据安全责任,并采取多种措施推动这些规范和措施落地,携手合作伙伴共同为产业数据安全保驾护航。此外,银联还参与了多项数据安全国家及金融行业标准的制定、试点工作,为国家和行业的数据安全标准生态建设添砖加瓦。
着眼未来发展,中国银联将牢记初心使命,与产业各方加强互信互联、坚持价值共创、深化技术创新、筑牢安全底线,为维护国家金融安全、推动金融行业健康发展贡献力量,在数字金融的浪潮中,向老百姓提供更加安全、便捷、高效的金融服务。