为纪念改革开放40周年暨人民银行成立70周年,中国人民银行组织了金融标准化系列主题宣传活动。作为活动内容之一,金融信息安全标准化主题活动在京举办。2018年11月27日~28日,全国金融标准化技术委员会组织调研组前往中国人民银行清算总中心、北京银行卡检测中心、中国建设银行运营数据中心,开展金融信息安全标准建设及实施情况调研活动并召开座谈会,围绕《金融行业信息系统信息安全等级保护》系列标准和《网上银行系统信息安全通用规范》等规范标准出台的背景、意义、实施情况、取得的成效等问题进行了深入沟通和交流。
以标准体系构建助力金融基础设施建设
2018年11月27日,金标委首先组织调研组来到中国人民银行清算总中心调研了支付清算系统金融技术标准体系构建和应用,并参观了中国人民银行支付清算系统国家处理中心数据机房和控制中心,详细了解系统规划建设、信息系统组织架构和现代化的运行管理模式。
近些年,清算总中心积极开展支付清算金融行业标准的研制、建立健全支付系统技术标准体系、不断推动技术标准在支付清算系统业务中应用。在全力确保系统安全稳定运行的基础上,持续优化系统架构、夯实IT基础设施,不断提高风险防控能力和满足支付市场创新需求,发挥更全面、更充分的金融基础设施服务作用,促进经济和金融良性循环、健康发展。
◇调研组听取清算总中心相关代表专题介绍
座谈会上,清算总中心技术部门代表介绍了清算总中心建设、运营的支付清算系统,并就支付清算金融行业标准的研制、建立健全支付系统技术标准体系、不断推动技术标准在支付清算系统业务中应用等问题进行了专题介绍。他表示,为顺应支付系统产业发展,促进人民币支付清算参与方信息系统的互联互通和人民币跨境支付清算参与方之间信息系统互联互通,清算总中心先后开展了基于ISO 20022《人民币支付清算信息交换规范》《人民币跨境支付清算信息交换规范》和《支付信息统计分析报文规范》等三项金融行业标准的编制。自2015年起,清算总中心致力于支付系统技术标准体系建设工作,标准体系从整体上规划了支付系统技术标准,涵盖支付系统建设、运行、维护和管理的全生命周期,参考人民银行总行标准体系分类,将技术标准划分为基础类、建设类、测试类、运维类、管理类和数据类等六大类二十五小类。在此基础上,清算总中心不断加强国家行业标准采标和宣贯,在支付系统技术标准体系框架的支撑和指导下,人民银行支付清算系统建设、开发、测试、运维和管理等方面取得了的丰硕成果,确保了国家重要金融基础设施的安全稳定运行,风险防控能力持续提高,支付市场创新需求得到快速满足。
以网络安全标准建设保障金融基础设施安全
金融业务高度依赖信息技术,金融领域的网络和信息系统是经济社会运行的神经中枢,是国家网络安全的重要基础设施,关系到国计民生,而标准化为科学管理金融业网络安全奠定了基础。金标委组织调研组在银行卡检测中心开展金融信息安全标准建设及实施情况调研时,人民银行科技司安全处代表表示,为了加强金融业网络安全管理和风险防范,统筹监管好金融业重要信息基础设施,人民银行积极开展网络安全相关标准建设,不断推进标准实施工作。
◇金融信息中心代表介绍相关标准建设情况
1、建立金融行业等级保护系列标准
信息安全等级保护是国家信息安全保障工作的一项基本制度。2012年7月9日,人民银行发布《金融行业信息系统信息安全等级保护实施指引》等三项行业标准,建立金融行业等级保护规范体系,中国金融电子化公司参加了相关标准起草。
金融行业信息系统等级保护系列标准在符合国家等级保护基本要求和设计技术要求的基础上,针对金融行业的特点新增了部分安全要求,并对部分项目要求进行了增强,为金融行业信息系统等级保护工作的开展提供指导,也为金融行业进行自测评或测评服务机构对三级以上系统开展测评评估提供重要依据。金融行业等级保护标准制定以来,在金融行业等级保护测评中已经运用多年。据中国金融电子化公司测评中心统计,近年来,我国金融业重要信息系统测评得分整体呈现逐年递增的趋势,从而可以体现金融行业信息系统通过开展等级保护测评工作,发现信息系统安全问题,并根据测评机构提出的建议进行积极整改后,安全防护水平与安全能力均得到了稳步提升。
2、编写网上银行系统信息安全通用规范
随着网络商务交易类应用的增长,针对网银系统的趋利性犯罪高发,网银的安全问题引起了广泛的社会关注。针对日益激增的网上银行系统漏洞问题,中国人民银行组织银行卡检测中心及各商业银行,于2009年开始编写《网上银行系统信息安全通用规范》,并于2010年发布网银规范试行版本,为增强网上银行系统安全性发挥了重要作用。在规范发布以后,银行卡检测中心正式开展针对网上银行系统的安全检测工作,共向500余家金融机构开展900余次安全测评,识别网上银行系统现状与规范要求的差距,针对安全隐患提出整改建议,提升从业机构的安全防护能力。2012年5月8日,人民银行发布《网上银行系统信息安全通用规范》正式发布版,针对性地解决网银系统漏洞隐患,全面预防网银系统存在的安全问题,系统性地提高了网银系统安全水平,增强了网银系统的信息安全保障能力。
相关标准的制定和不断完善对提升金融业网络安全具有十分重要的意义。一是标准的发布对信息系统建设、部署、管理等多个方面提出了安全要求及应对措施,具有实际指导意义。二是通过等级保护测评整改、网银测评整改,整体提升了金融网络安全防护水平。三是促进了网络安全产业的发展。金融行业标准的发布和推广给安全设备厂商和安全服务厂商带来了广阔的发展机遇,催生了一批网络安全领域的新企业。这些企业不仅可以服务于金融行业,还能输出到其他非金融领域,促进我国网络安全产业的蓬勃发展。
《网上银行系统信息安全通用规范》为网上银行业务保驾护航
随着互联网金融应用的普及,针对网银的趋利性犯罪呈现高发态势,网银安全问题突出,严重阻碍了网银业务的健康、规范发展。针对这些问题,人民银行发布了《网上银行系统信息安全通用规范》,为各金融机构开展网银系统建设,内部安全检测和合规性审计提供了标准规范依据。
在座谈会上,工商银行代表介绍说:“面对日益严峻的网络安全风险,工商银行在《网上银行系统信息安全通用规范》的指导下,建立健全了网上银行相关产品的前中后台支持保障体系。”在信息安全工作保驾护航下,目前工商银行电子银行用户已达3亿,累计发放3亿多个U 盾、密码器安全介质;PC版网上银行日均交易量约0.6亿笔,手机银行日均交易量约1.5亿笔;一键式安全检测产品自2017年10 月投产至12月31日,客户使用量达到1,242,513次,效果显著;账户安全锁自2017年11月投产至12月31日,共有1,879,724次点击量,有效保障了客户账户资金安全;反欺诈系统自2015年10月投产以来,经过近三年的不断完善,每日处理千万级交易量,已累计拦截11.50万笔欺诈交易,挽回客户资金损失3.21亿元,为该行网络金融业务健康发展起到了积极作用。
◇北京银行卡检测中心及各商业银行代表介绍贯标情况
在收到人民银行下发的《网上银行系统信息安全通用规范》后,建设银行立即修订规章制度、主动建立持续第三方测评等长效机制,同时加强规范宣贯、项目全生命周期管控等措施,切实将《通用规范》要求落实到位。建设银行负责人表示,《通用规范》保障了该行网上银行业务稳定健康发展,截至2018年三季度,建设银行网上银行个人用户数达2.9亿户,用户数量稳步增长。2018年前三季度,个人网银实现交易额19.39万亿元,个人网银日均交易量达3634万笔。同时,《通用规范》指导了该行构建智慧型、主动式安全防控体系,保障客户信息和资金安全,未发生重大外部欺诈风险事件。随着电信诈骗形势愈发严峻,网上银行风险防控也需要有更高的要求。建设银行在《通用规范》的指导下,通过持续努力,平衡客户安全和体验,业务和技术融合,风险管理水平持续提升,网上银行系统风险整体可控。
在平衡安全和体验方面,建设银行通过提供人脸声纹指纹等生物特征识别、二维码认证、网银盾、短信动态口令等多种身份验证机制,在保障正常客户体验的同时加强风险防控;在智慧、主动风险管控方面,该行通过及时发现、关闭钓鱼网站,运用大数据技术等关联分析行内交易流水以及不法分子风险数据等方式有力保障了客户的资金安全。
招商银行代表表示,《网上银行系统信息安全通用规范》的发布,在基础架构、安全技术、安全管理和业务运作等方面对招商银行网上银行系统的搭建和运行作出了全面、高效、合理的要求和及时的指导,对招商银行网上银行的发展起到了保驾护航的巨大作用。在《通用规范》的引导下,招商银行建立了体系化的网上银行风险评估机制和技术、业务相结合的安全防范体系。在网上银行风险评估方面,该行定期聘请安全领域国家级权威机构以《通用规范》为主要标准对网上银行系统各维度进行体系化评估,通过测评发现风险隐患,并落实整改工作。同时,针对特定的风险,该行依据《通用规范》要求从技术架构、运作机制等方面进行评估,并将问题纳入该行的问题管理流程,跟踪整改。在常态化风险监测方面,该行从完善风险监测与评估技术平台、优化常态化风险管控机制入手,及时发现和处置网上银行的安全威胁。在技术和业务结合方面,该行对后台业务流程的事前、事中、事后三个阶段进行了不同层次的安全管控。事前阶段,该行在技术上采用客户端软件和网页版安全控件并存的差异化终端形式,使用“一网通网盾”安全软件进行主动监测;在事中阶段,该行使用双重身份认证等技术主动发现潜在的风险交易;在事后阶段,将交易的详细情况即时通过短信发送给客户,使客户及早发现问题并采取措施。通过采用交易分析预警系统,自动分析可疑交易及特征,建立了完善的风险事件处理流程。
会后各方还一同参观了国家金融IC卡安全检测中心实验室。银行卡检测中心负责人向参观者详细介绍了芯片安全实验室、条码支付实验室和APP安全实验室的建设情况以及技术标准的落实情况,演示了安全攻防的典型案例,讲解了支付安全风险防范的原理和措施。通过与国家级实验室的近距离接触,与会各方对金融网络安全标准检测工作有了更加直观的认识。
◇北京银行卡检测中心相关代表向参观者讲解了支付安全风险防范的原理和措施
《金融业信息系统机房动力系统规范》确保机房安全稳定运行
2018年11月27日,金标委组织调研组前往中国建设银行运营数据中心,就建设银行动力系统建设、贯标具体措施、电能治理工作的开展过程及成效、贯标的后续工作等进行了互动交流。
针对人民银行发布的《金融业信息系统机房动力系统规范》,建设银行通过组织学习、机房对标、分步整改三个步骤进行积极贯彻执行。建设银行代表表示:“建设银行通过在动力系统、机房环境方面做的各项工作,以及在行业标准贯彻执行上的积极响应,使我行动力系统的安全性得到明显提升,同时有效降低了风险隐患,确保了机房的安全稳定运行。此外,通过一系列的工作,我行的绿色机房建设水平也得到了提升,真正做到了降低能耗,节能减排,为社会节约能源,提高能源使用效率,降低能耗成本。”
下一步,针对行业标准的落实及动力系统的对标工作,建设银行后续还会开展更多工作。一是继续开展全行的电能谐波治理工作。9月份,建设银行已经启动了全行的机房动力系统检测,依据检测数据并结合分行实际情况,确定今年实施15家分行的治理工作。明年将持续开展检测及治理,预计在2019年底全部完成。二是按照规范要求,针对其他不符合项,结合该行实际继续开展相关工作。三是结合智慧数据中心以及物联网相关工作的开展,建设银行正在通过研究有关新技术、新方法,对机房基础和动力环境进行自动化监测、跟踪和控制,对标规范,并运用大数据分析等手段,随时发现风险隐患并提前控制风险,确保机房安全稳定的运行。
此外,建设银行还将按照人民银行统一安排,会同相关单位完成JRT 0131—2015《金融业信息系统机房动力系统规范》、JRT 0132—2015《金融业信息系统机房动力系统测评规范》两个动力系统规范的修订工作,使规范更符合现代和未来的技术要求,从而更好地指导金融业动力系统相关工作。
座谈会结束后,与会人员还共同参观了建设银行运营数据中心UPS机房的电能治理设备(IDP)、柴油发电机机房等IT基础设施。
声明:本文来自金融电子化,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。