中国银联助理总裁戚跃民

银联学习国内外先进技术及管理手段，参考业内最佳实践，结合自主研发的多项创新成果，目前已形成了一个以“三化、六防”为核心的、多维度的纵深防御技术体系，覆盖系统安全、网络安全、应用安全、数据安全、舆情与漏洞管理、日志分析、账号管理、安全合规审计等多方面。

网络安全形势提出的新要求

随着互联网加快深入到经济社会的各个领域，网络安全形势日益严峻。根据CNCERT统计的数据，目前公布的信息系统相关漏洞数量已经超过万级。而根据对这些漏洞影响对象的统计，应用程序的漏洞占到了60%。这些风险主要发生在我们系统的应用层面，因此，代码安全、组件安全是现在安全保障工作的核心。

习总书记419讲话、217讲话中都要求我们全天候全方位感知网络安全态势，《网络安全法》和《关键信息基础设施保护条例》也要求进行“监测预警”。目前业务信息系统愈发复杂化，安全防护手段趋于碎片化，安全对抗形式日益组织化；而老的问题没有解决，新的问题层出不穷。那么如何构建自适应的、弹性的新型安全防护体系；如何将分散的、多样化的安全机制整合起来，形成协同安全；如何针对安全风险进行持续不间断的监测、预警、响应和处置；如何有效的利用安全智能和安全情报；如何将技术与管理有机结合，实现持续改善的安全管理体系，这些都是我们正在面对的问题。

银联“三化、六防”的工作实践

当今互联网与整个社会融为一体，任何形式的网络攻击都有可能直接影响到现实生活，而网络攻击数量也持续攀升：木马僵尸网络、钓鱼网站等传统网络安全威胁有增无减，DDOS攻击、APT攻击等新型网络攻击愈演愈烈，特别是模拟正常业务访问的CC攻击让业务开展与攻击防御难于平衡。

中国银联一直以来都高度重视信息安全工作，从产品设计、研发和运维各个生命周期都针对性的建立了相应的安全机制，并自主开发了安全可控的技术产品，目前已形成了一个以“三化、六防”为核心的、多维度的纵深防御技术体系，覆盖系统安全、网络安全、应用安全、数据安全、舆情与漏洞管理、日志分析、账号管理、安全合规审计等多方面。

银联的“三化、六防”实践以习总书记的“四个坚持”为理论指导，“三化”指实战化——通过红蓝对抗演练，提升实战化安全运营能力；常态化——攻击常态化，防守常态化，攻防演练常态化；体系化——包括多维度的安全运维体系和多维度的应用安全管理体系。“六防”指纵深防御——基于“纵深防御”的安全防护;动态防御——动态的漏洞舆情跟踪机制与动态的安全漏洞的快速应对机制；主动防御——主动的后门攻击的场景发现平台和主动的内网全流量安全监控平台；整体防控——各部门整体防控，补齐短板；精准防御——安全大数据的分析与挖掘；联防联控——建立银行卡产业信息安全生态圈。

持续完善的信息安全管理体系

银联于2012年以ISO27001国际信息安全标准体系为基础框架，融合国家安全法律法规、央行安全监管要求、公安部等级保护要求等多标准，建立了信息安全管理体系，按照PDCA闭环管控机制，循环改进、持续完善，连续7年以0不符合项通过中国信息安全认证中心的体系审核认证。

近年来银联互联网业务迅速发展，互联网系统建设也进入了新的阶段。面向持卡人、商户、机构提供服务并开放在互联网的网站数量越来越多、访问量越来越大，来自互联网渠道的交易也在屡创新高。互联网的开放性、交互性和分散性特征满足了持卡人、商户、机构在灵活、便利和快速等方面的需求，但是正是由于互联网的这些特征，其所面临的网络安全问题也更加突出。银联内部也投入大量技术力量和人力从研发、测试、运营过程中确保安全工作落实到位，做好应用安全的闭环处置。

多维度运维安全与纵深防御

随着银联私有云的全面建设，原有的可信边界日益削弱、被攻击面也在增多，过去的单层防御已经难以维继，而多维度纵深防御体系能大大增强信息安全的防护能力。所以，银联采用国内外先进技术手段，结合自主研发的多项创新成果，联合上游运营商、CDN服务商，打造了基于“纵深防御”理念的边界及服务器端防护，覆盖系统安全、网络安全、应用安全、数据安全、舆情与漏洞管理、日志分析、账号管理、安全合规审计等多方面，能够做到多点联动防御，协同作战，互补不足，带来更好的安全防御效果。

1.根据攻击场景的不同实施防御的UPDefense

在做好传统网络威胁防御的基础上，针对应用层DDOS攻击场景(通常称为CC攻击)，银联通过自研发应用层DDOS攻击防御系统UPDefense。该防御系统可以根据攻击场景的不同实施防御：一是通过人机识别、代理服务器、网络安全系统、CDN开放接口等进行探测、防御、压制，并将相关信息发送至态势感知平台，通知安全人员介入事件处理流程。二是检测系统通过动态学习确定阈值，实时计算当前访问请求实际值是否超过动态阈值，根据结果判定是否发生CC攻击。三是人机识别通过验证机制或其他不断演进的干扰因素探测，判断CC攻击来源。

2.服务器端点安全防护系统UPShield

为解决服务器安全管理集中化及自动化的需求痛点，银联自主研发了服务器端点安全防护系统UPShield。充分适应信息系统自身环境的特点和安全防护需求，实现了以服务器为颗粒度的安全监控和防护手段，涵盖审计合规、异常检测、事件响应等功能点。多角度提高了银联服务器端的安全防护水平及服务器安全管理成熟度。

主动的内网全流量安全监控平台

在网络流量层面，银联开发出一套NSM系统，使用开源底层框架和组件，建设了一套全流量分析的安全平台，通过汇聚分析内网、DMZ的网络流量，使用机器学习、攻击场景分析、威胁狩猎、资产测绘等多种方法和思路实现正在实施的攻击成功的安全事件。

制定动态的漏洞舆情跟踪与快速应对机制

由于互联网突发安全漏洞披露日趋频繁，依靠安全防御系统厂商的响应速度已显得力不从心。为此，银联基于威胁情报自研发舆情漏洞跟踪系统，第一时间获得漏洞情报，并通过自研“虚拟补丁”，使得安全防御设备具备防御突发高危漏洞攻击行为的能力，为开发环节的版本升级赢得时间。例如在应对今年Struts2报出的4个高危漏洞时，均在漏洞利用程序公布前及时完成虚拟补丁的自研和推送，相比原厂商官方发布大大降低了银联生产系统受到影响的可能性。

总结

目前银联构建的安全管理体系已经持续运行多年，在安全制度建设、安全开发、安全测试、安全运营等方面都开展了具体工作，但是仍然有多方面客观因素导致无法避免安全风险的产生。因此，银联也在不断学习探索新信息安全领域的工作模式。

一是为尽可能及时地应对安全风险，银联正在着手建立安全应急响应中心，用于直接接收来自外部的安全漏洞信息并进行分析、评估，随后进行快速响应和处置。目前安全应急响应中心正在建设中，也欢迎业界同仁沟通指导。

二是通过对安全大数据的分析和挖掘，能够发现隐蔽的安全威胁，目前中国银联正开展安全大数据和人工智能在信息安全领域的应用，希望新技术能提升银联安全防护能力。

三是面对严峻的信息安全威胁形势，建立信息安全生态圈对于安全产业链的各方都具有积极意义。银联目前也在积极尝试建立银行卡产业信息安全生态圈，与产业各方联动，实现良性互动、资源互补。