为纪念改革开放40周年和中国人民银行成立70周年，中国人民银行组织了系列金融标准化主题宣传活动。作为活动之一，金融信息安全标准化主题活动在北京举行。 2018年11月27日至28日，全国金融标准化技术委员会组织调研组赴中国人民银行综合清算中心、北京银行卡检测中心、中国建设银行运营数据中心开展调研金融信息安全标准建设和实施活动。召开座谈会，就《金融行业信息系统信息安全等级保护》系列标准和《网上银行系统通用规范》的背景、意义、实施现状、成果等问题进行深入沟通和讨论信息安全》等标准。沟通。

以标准体系建设支撑金融基础设施建设

2018年11月27日，金融标委会首先组织调研组来到中国人民银行清算中心，调研支付结算系统金融科技标准体系建设和应用情况，并走访了中国人民银行清算中心。数据机房和中国人民银行支付清算系统国家处理中心。控制中心详细了解系统规划建设、信息系统组织架构和现代化运营管理模式。

近年来，清算中心积极开展支付结算金融行业标准制定，建立健全支付系统技术标准体系，不断推动技术标准在支付结算系统业务中的应用。我们将在全力保障系统安全稳定运行的基础上，持续优化系统架构，夯实IT基础设施，不断提升风险防控能力，满足支付市场创新需求，发挥更加全面、充分地发挥金融基础设施服务作用，促进经济和金融良性循环健康发展。

◇调研组听取清算中心相关代表介绍

座谈会上，清算中心技术部代表介绍了清算中心建设和运营的支付结算系统，并就支付结算金融行业标准制定、支付系统技术建立和完善等进行了探讨。标准体系建设，支付结算系统业务技术标准不断提升。特别介绍了在中国的应用等问题。他表示，为顺应支付系统行业发展，促进人民币支付清算参与者信息系统互联互通和人民币跨境支付清算参与者间信息系统互联互通，清算中心先后开展了ISO《人民币支付清算信息交换》《人民币跨境支付结算信息交换规范》《支付信息报文统计分析规范》等三项金融行业标准的编制工作。自2015年起，清算中心致力于支付系统技术标准体系建设。标准体系统筹规划支付系统技术标准，覆盖支付系统建设、运营、维护和管理的全生命周期。参照中国人民银行总行的标准。系统分类将技术标准分为基础类、建设类、测试类、运维类、管理类和数据类6大类25个小类。在此基础上，清算中心继续加强国家行业标准的采纳和宣传。在支付系统技术标准体系框架的支持和指导下，中国人民银行在支付清算系统建设、开发、测试、运行、维护和管理方面取得了巨大成就。丰硕成果保障了国家重要金融基础设施安全稳定运行，风险防控能力持续提升，支付市场创新需求得到快速满足。

以网络安全标准保障金融基础设施安全

金融业务高度依赖信息技术。金融领域的网络和信息系统是经济社会运行的神经中枢。它们是国家网络安全的重要基础设施，关系国计民生。标准化为金融行业网络安全的科学管理奠定了基础。金融标委会组织调研组到银行卡检测中心调研金融信息安全标准建设和实施情况时，中国人民银行科技司安全司代表表示，加强金融业网络安全管理和风险防范，必须对金融业重要信息进行协调和监管。基础设施方面，人民银行积极开展网络安全相关标准建设，持续推进标准实施。

◇ 金融信息中心代表介绍相关标准建设情况

建立金融行业等级保护系列标准

信息安全等级保护是国家信息安全保障工作的基础制度。 2012年7月9日，中国人民银行发布《金融行业信息系统信息安全等级保护实施指南》等三项行业标准，建立金融行业等级保护规范体系。中国金融电子公司参与了相关标准的起草。

金融行业信息系统等级保护系列标准，在符合国家等级保护基本要求和设计技术要求的基础上，结合金融行业特点，增加了一些新的安全要求，增强了一些安全要求。项目要求为金融行业信息系统提供分级保护标准。为保障工作的开展提供指导，也为金融行业开展自我评估或评估服务机构对三级以上制度进行评估提供重要依据。金融行业等级保护标准自制定以来，多年来一直用于金融行业等级保护评估。据中国金融电子公司评价中心统计，近年来，我国金融行业重要信息系统评价得分整体呈现逐年上升趋势。这可以反映出，金融行业信息系统通过开展分级防护评估工作，发现了信息系统安全问题，并根据评估机构提出的建议积极整改，安全防护水平和安全能力得到稳步提升。

编制网上银行系统信息安全通用规范

随着网上业务交易应用的增长，针对网上银行系统的牟利犯罪有所增加，网上银行的安全问题引起了社会的广泛关注。针对日益增多的网上银行系统漏洞，中国人民银行于2009年组织银行卡检测中心和商业银行开始编制《网上银行系统信息安全通用规范》，并发布了试用版2010年网上银行规范对增强网上银行系统安全性发挥着重要作用。规范发布后，银行卡检测中心正式启动网上银行系统安全测试，对500多家金融机构进行了900余次安全评估，找出了网上银行系统现状与监管要求的差距。规范，并针对潜在的安全风险提出整改建议。建议提高从业人员的安全防护能力。 2012年5月8日，中国人民银行发布正式版《网上银行系统信息安全通用规范》，专门针对网上银行系统的漏洞和风险，全面防范网上银行系统的安全问题，系统性地解决网上银行系统的安全问题。提高网上银行系统的安全水平。 、增强网上银行系统信息安全能力。

相关标准的制定和不断完善对于提高金融行业网络安全具有重要意义。首先，标准的发布对信息系统建设、部署、管理等方面提出了安全要求和对策，具有现实指导意义。二是通过等级保护评估整顿和网上银行评估整顿，金融网络安全防护整体水平得到提升。三是促进网络安全产业发展。金融行业标准的发布和推广，给安全设备厂商和安全服务厂商带来了广阔的发展机遇，催生了一批网络安全领域的新企业。这些企业不仅可以服务金融行业，还可以输出到其他非金融领域，推动我国网络安全产业的蓬勃发展。

《网上银行系统信息安全通用规范》为网上银行业务保驾护航

随着互联网金融应用的普及，针对网上银行的牟利犯罪呈现高发态势，网上银行安全问题凸显，严重阻碍了网上银行业务的健康规范发展。针对这些问题，中国人民银行发布了《网上银行系统信息安全通用规范》，为金融机构开展网上银行系统建设、内部安全测试和合规审计提供了标准依据。

座谈会上，工商银行代表表示：“面对日益严峻的网络安全风险，工商银行在《网上银行系统信息安全通用规范》的指导下，建立健全了前端、中台和网银相关产品的后台支持保障。系统。”在信息安全工作保障下，工商银行电子银行用户已达3亿，累计发行U盘超过3亿张。屏蔽和加密安全介质； PC版网上银行日均交易量约6000万笔，手机银行日均交易量约1.5亿笔。一键安全检测产品自2017年10月推出，2017年11月至12月31日，客户使用1,242,513次，效果显着； 2017年11月至12月31日，账户安全锁定累计点击次数1,879,724次，有效保障了客户账户资金安全；反欺诈 系统自2015年10月投产以来，经过近三年的不断完善，每天处理交易数千万笔，累计拦截欺诈交易11.5万笔，挽回客户资金损失3.21亿元，为银行在线金融业务的健康发展做出了贡献。发展发挥了积极作用。

◇北京银行卡检测中心及商业银行代表介绍标准实施情况

收到中国人民银行发布的《网上银行系统信息安全通用规范》后，中国建设银行立即修订规章制度，积极建立持续第三方评估等长效机制，同时强化标准宣贯、项目全生命周期管控等措施。 ，切实落实《通用规范》的要求。中国建设银行负责人表示，《通用规范》保证了该行网上银行业务稳定健康发展。截至2018年第三季度，建设银行网上银行个人用户规模达2.9亿户，用户规模稳步增长。 2018年前三季度，个人网银实现交易额19.39万亿元，个人网银日均交易量达3634万笔。同时，《通用标准》指导银行构建智能化、主动式的安全防控体系，确保客户信息和资金安全，未发生重大外部欺诈风险事件。随着电信诈骗形势日益严峻，对网上银行风险防控也提出了更高的要求。在《通用标准》的指导下，中国建设银行持续努力平衡客户安全与体验、融合业务与技术，持续提升风险管理水平，使网上银行系统整体风险可控。

在平衡安全与体验方面，建设银行提供人脸、声纹、指纹等生物识别、二维码认证、网银盾、短信动态密码等多种身份验证机制，在保证正常客户体验的同时，强化客户体验。风险防控。 ;在智慧主动风险管控方面，该行通过及时发现并关闭钓鱼网站，利用大数据技术等手段分析银行内交易流向和犯罪分子风险，有效保障了客户资金安全。数据。

招商银行相关负责人表示，《网上银行系统信息安全通用规范》的发布，对招商银行网上银行系统的建设和运营在基础设施、安全技术、安全管理和业务运营。并及时引导，为招商银行网上银行的发展发挥了巨大的保障作用。在《通用标准》指导下，招商银行建立了系统的网上银行风险评估机制和技术与业务相结合的安全防范体系。在网上银行风险评估方面，该行定期聘请国家安全领域权威机构，以《通用规范》为主要标准，对网上银行系统各维度进行系统评估。通过评估，发现风险隐患，落实整改工作。同时，针对具体风险，银行按照《通用标准》的要求，从技术架构、运行机制等方面进行评估，并将问题纳入银行问题管理流程，进行跟踪整改。他们。在常态化风险监控方面，该行从完善风险监控评估技术平台、优化常态化风险管控机制入手，及时发现和处置网上银行安全威胁。在技​​术与业务结合方面，银行对后端业务流程的前、中、后三个阶段实施了不同程度的安全控制。事前阶段，该行在技术上采取了客户端软件与网页版安全控制并存的差异化终端形式，并使用“一网通网盾”安全软件进行主动监控；中期阶段，银行利用双重身份认证等技术，主动监控发现潜在风险交易；事后阶段，交易详情立即通过短信发送给客户，让客户及早发现问题并采取措施。通过交易分析预警系统，自动分析可疑交易及特征，建立了完整的风险事件处理流程。

会后，各方还参观了国家金融IC卡安全检测中心实验室。银行卡检测中心负责人向参观者详细介绍了芯片安全实验室、条码支付实验室、APP安全实验室的建设现状以及技术标准的实施情况，演示了安全攻防典型案例，并讲解了支付安全风险防范。原则和措施。通过与国家实验室的密切接触，与会各方对金融网络安全标准测试工作有了更直观的了解。

◇北京银行卡检测中心相关代表为参观者讲解支付安全风险防范原则和措施

《金融行业信息系统机房电力系统规范》保障机房安全稳定运行

2018年11月27日，金标委组织调研组赴建设银行运营数据中心，就本行电力体系建设、标准实施具体措施、电力发展历程和成果等进行座谈。能源治理工作和标准实施后续工作。互动交流。

针对中国人民银行印发的《金融行业信息系统机房电力系统规范》，建设银行通过组织学习、机房对标、分步整改三个步骤积极落实。建设银行相关负责人表示：“通过建设银行在电力系统、机房环境等方面所做的各项工作，以及积极响应行业标准的实施，我们电力系统的安全性得到了显着提升，同时，风险得到有效降低。隐患，保证机房安全稳定运行。此外，通过一系列工作，我行绿色机房建设水平也得到提升，真正降低能耗、节能减排，为社会节约能源，提高能源效率。 ，降低能源消耗成本。”

下一步，建设银行将在电力系统行业标准实施和对标等方面开展更多工作。一是继续开展全行电力谐波治理工作。 9月，建设银行启动了全行机房电力系统测试。根据测试数据，结合分支机构实际情况，今年决定对15家分支机构实施治理工作。明年将继续开展检测管理，预计2019年底前完成。二是针对其他不符合规定的事项，继续根据本行实际情况，按照监管要求开展相关工作。三是结合智能数据中心和物联网的发展，建设银行正在研究自动监测、跟踪和控制机房基础和电力环境、对标标准，并利用大数据分析的新技术和方法，随时发现风险隐患，提前控制风险，确保机房安全稳定运行。

此外，中国建设银行还将按照中国人民银行的统一部署，会同有关单位完成JRT 0131-2015《金融行业信息系统机房电源系统规范》的两项电源系统工作》和JRT 0132-2015《金融业信息系统机房电源系统评价规范》规范的修订将使规范更加符合现代和未来的技术要求，从而更好地指导金融行业电力系统相关工作。

座谈会结束后，与会人员还参观了建设银行运营数据中心UPS机房的电源管理设备（IDP）、柴油发电机房等IT基础设施。

如何订阅《金融电子化》《金融安全》：