布比壹諾供應鏈金融服務平臺的安全體系是如何構建的？

提到信息系統安全，從業者首先會想到信息系統安全等級保護備案

。

信息系統安全等級保護，是對信息和信息載體按照重要性等級分級別進行保護，共分為5個級別，強度依次漸增。公安機關依據國家信息安全保護條例及相關制度對信息系統進程測評，通過之後頒發備案證書。

布比壹諾供應鏈服務平臺已經通過了公安部信息系統安全等級保護第三級認證，並獲得信息安全等級保護備案證明，符合安全技術與安全管理各5個層面及78項類別，包含信息保護、安全審計、通信保密等在內的近300項要求。

實際商業應用中，信息系統安全等級保護只是安全體系的一個側面，真實環境的安全要求更加複雜多樣。

由此切入，我們來聊一下布比壹諾供應鏈金融服務平臺的系統安全體系建設。

布比壹諾分佈式供應鏈金融網絡

布比壹諾金融是基於區塊鏈的分佈式供應鏈金融網絡，具備區塊鏈技術分佈式存儲、安全透明、不可篡改等特性，通過密碼學算法、智能合約等技術手段奠定了安全、智能、可控的平臺基礎。此外，其背後還具有五大安全體系，為平臺運行保駕護航。

區塊鏈底層安全

在區塊鏈方面，壹諾金融以布比商用區塊鏈為底層，實現了一系列安全防護：

• 系統組網安全：組網方面可以用傳統的一些安全措施進行加固：例如接入IP 控制、專線、節點授權才能接入、節點信任列表等。
• 接口訪問安全：在接口層可以引入 CA 機制，只有授權的機構才能訪問區塊鏈平臺的接口。
• 共識算法安全 ：不同的共識算法都有一個安全邊際，以 PBFT 為例，N/3 的安全問題是由配置決定的，安全性和容錯能力在 2/3 閥值處於極大值。如果為了追求共識算法的安全，可以犧牲一部分容錯能力，將投票通過閥值設置在 90%，甚至更高。同時還可以加入惡意節點發現與處理、黑白名單制等，加強共識算法的安全。
• 隱私安全：布比區塊鏈的隱私保護方案實現了鏈上數據的隱私保護和鏈外數據隱私保護，並且可安全高效共享隱私數據，滿足監管審計需求。

平臺系統安全

在平臺系統層面，布比壹諾供應鏈金融平臺還搭建了五大安全體系：

銀行存管、金融級KYC、合同安全、技術保障和風險控制，確保平臺安全平穩運轉。

布比壹諾金融平臺業務框架

1、銀行存管，保障資金流轉安全可靠

• 資金隔離，平臺與用戶資金完全隔離，杜絕資金流轉風險。
• 賬戶獨立，用戶在存管銀行開通獨立資金存管賬戶。
• 交易安全，資金流轉各環節均在銀行存管系統進行。
• 數據有效，存管銀行對用戶交易信息進行管理並記錄。

2、金融級KYC，網絡化身份認證，自主數據確權

• 多種認證方式：支持數字證書、稅控設備及第三方服務平臺等多種形式進行企業網絡化實名認證， 認證信息映射至區塊鏈賬戶，從源頭保障用戶數據確權。
• 數字證書與區塊鏈結合：解決不同證書主體，受限於各自信任體系及服務協議的單中心依賴問題，提高數字證書互通性及安全性，推進應用標準化，滿足國際金融業務場景。
• 利於監管：區塊鏈分佈式賬本結構，節點信息授權共享特性，降低數據採集及驗證成本，解決跨區域取證問題，實現“一次認證、全網通行”，更利於監管。

3、合同安全，中國金融認證中心電子簽章

• CFCA數字證書：用戶在平臺產生的數據均需CFCA數字證書籤名，確保用戶數據的完整性和不可否認性。CFCA，即中國金融認證中心有限公司簡稱，是由中國人民銀行和國家信息安全管理機構批准成立的國家權威安全認證機構。
• 實名電子簽章：為用戶申請對應的數字證書，確保數據來源與實際主體一致性，採用CFCA機構頒發的電子簽章機制，保障簽章的電子合同或協議具備法律效力，支持合同或協議互聯網化簽署。
• 司法保全：採用CFCA電子保全及存證系統，對業務數據進行保全和存證；同時，對接司法數據風控平臺，提供全面司法電子證據存證保全及法律服務。
• 區塊鏈記錄：區塊鏈記錄合同摘要信息，區塊鏈不可篡改性保障記錄唯一，分佈式賬本結構可隨時跟蹤追溯全鏈路數據信息。
• 法律保護：根據《合同法》和《電子簽名法》規定，採用數據電文形式訂立合同，並通過以電子形式所含、所附用於識別簽名人身份並表明簽名人認可其中內容的數據電文等電子簽名方式進行簽署，不能僅因合同採用電子簽名、數據電文的形式就否定其法律效力。

4、技術保障

• 信息安全等級保護三級認證：通過中華人民共和國公安部信息系統安全等級保護三級備案測評，已達到與銀行等金融機構業務系統相當的安全管控水平。
• 物理安全：專業機房管理體系，服務器由安全管理員遠程配置和管理，在人員進出、防火、防盜、防斷電等方面具備規範化流程及風險預案機制。
• 系統安全：配套軟件具備信息安全等級認證，自主應用系統通過多家銀行、安全機構的檢測，所用區塊鏈技術獲得多家專業機構認證。
• 容災機制：採用機房備份、遠程備份、雲備份三級備份模式，為平臺數據提供多重保障策略。
• 數據安全：關鍵數據加密存儲，並將區塊鏈技術和密碼學技術充分結合，提高數據的安全性。
• 管理規範：擁有有效、嚴謹、成熟的管理制度，通過嚴格的人員業務審計、權限管控，降低系統的不安全因素。
• 網絡安全：嚴格的訪問權限認證、控制，專業級防火牆（網絡和應用兩級）、防入侵設備（IPS），網絡行為審計、日誌分析等。

5、風險控制

• 專業團隊：技術、業務、金融等多行業領域專家，提供綜合化專業服務。
• 准入限制：銀行風控級別客戶系統准入要求，充分保障入駐企業信用資質。
• 保障措施：提供擔保機構、資產管理、信用保險等多種不同級別保障措施。

小結

區塊鏈技術底層，為布比壹諾供應鏈金融平臺奠定了堅實的安全基礎；信息系統安全等級保護備案，是官方權威機構對壹諾金融平臺安全的強力認可；五大安全體系，則是壹諾供應鏈金融平臺對自身的嚴格要求及對用戶的安全承諾。

未來，布比壹諾金融將持續加強安全建設，為更多企業用戶提供安全、便捷的服務，共同打造良性的供應鏈金融生態。