首頁 > 關于我們 > 新聞動態 > 深度解讀

3大“新”| 解讀新版《網上銀行系統信息安全通用規范(JR/T 0068-2020)》

發布時間 2020-02-28

新修訂的金融行業標準《網上銀行系統信息安全通用規范》(JR/T 0068—2020)由中國人民銀行正式發布。新標準的發布實施,將有效增強現有網上銀行系統安全防范能力,促進網上銀行規范、健康發展。本篇文章通過對新標準的解讀,總結并詳細闡述了新標準3大“新”,即新亮點、新提升及新難點,幫助大家能夠更好地理解。


日前,新修訂的金融行業標準《網上銀行系統信息安全通用規范》(JR/T 0068—2020)由中國人民銀行正式發布。新表標準既可作為各單位網上銀行系統建設、改造升級及開展安全檢查、內部審計的安全性依據,也可作為行業主管部門、專業檢測機構進行檢查及檢測的依據。


這部時隔8年

新修訂的新標準內容

究竟發生了哪些變化和提升呢?

又有哪些亮點和難點呢?


新標準是2012年頒布的《網上銀行系統信息安全通用規范》(JR/T 0068-2012)的替換版本。



新亮點


本次標準修訂,立足于移動互聯和云計算等新技術在網上銀行系統不斷深入應用、手機銀行使用愈加廣泛的背景,旨在應對網上銀行系統信息安全出現的新形勢和新特點,防范新風險。


1、新規范和新體系


新標準參照等級保護2.0要求對內容進行了修訂和完善。明確提出:“網上銀行系統應按照網絡安全等級保護第三級安全要求進行建設與運維管理”。在內容與等級保護2.0的要求統一,避免了金融機構在進行網上銀行建設中出現多標準遵循及顧此失彼的問題,也更符合標準的行業特性。


同時,新標準提升了關于業務連續性與災難恢復、安全事件與應急響應的安全要求。在網上銀行的業務影響分析、備份和恢復策略、建立備份恢復程序、應用級備份等方面進行了詳細的梳理和規定。


2、新技術和新應用


? 新標準增加了對安全單元和移動終端支付可信環境相關要求,并指出SE的使用應符合 JR/T 0098.5《中國金融移動支付檢測規范 第5部分:安全單元(SE)嵌入式軟件安全》等相關規范的要求。

? 新標準增加了國密SM系列算法相關的安全要求;

? 新標準增加了虛擬化、云計算安全相關要求,提出網上銀行系統在采用云計算技術時應遵循JR/T 0167《云計算技術金融應用規范 安全技術要求》。


3、新業務和新監管


新標準對新的業務和監管要求進行了補充和明確。例如:


? 通過網上銀行渠道開立個人Ⅱ、Ⅲ類銀行結算賬戶時,應嚴格落實《中國人民銀行關于改進個人銀行賬戶服務加強賬戶管理的通知》(銀發〔2015〕392 號)、《中國人民銀行關于落實個人銀行賬戶分類管理制度的通知》(銀發〔2016〕302 號)、《中國人民銀行關于改進個人銀行賬戶分類管理有關事項的通知》(銀發〔2018〕16 號)等文件相關要求。

? 應為客戶提供銀行卡交易安全鎖服務,并落實《中國人民銀行辦公廳關于強化銀行卡磁條交易安全管理的通知》(銀辦發〔2017〕120 號)等文件的相關要求。

? 條碼支付業務應按照《條碼支付安全技術規范(試行)》(銀辦發〔2017〕242號)等文件要求,根據不同的風險防范能力設置相應的交易限額。


新提升


新標準在架構上沿用了舊標準技術、管理、業務三個部分的整體架構,要求項仍然分為基本要求和增強要求。此外,新標準的金融行業的特性更強,對金融機構實際業務建設和擴展的指導性更強。



1、安全技術規范


新標準將“專用安全設備”調整為“專用安全機制”,刪除了舊標準中的“動態密碼卡”,新增“短信驗證碼”的身份驗證方式。同時,新標準的“服務器端安全”的內容根據等級保護2.0的要求進行了大幅的調整,同時增加了“虛擬化安全“。



2、安全管理規范


新標準的安全管理規范從架構上基本上借鑒了等級保護的文檔結構,對相應的要求項進行了調整。此外,將“業務連續性與災難恢復”“安全事件與應急響應”從舊標準中的“系統運維管理”中單獨分離出來,體現出監管機構對這部分內容的重視或強調意圖。



3、業務運營管理規范


新標準細節上將“業務運作安全規范”變更為“業務運營安全規范”。另外,根據近年來以開放銀行為代表的外部合作中出現的問題及可能引入的新風險,在新標準中加入了“外部機構業務合作”的相關要求。




新難點


1、客戶端安全


新標準增加了安全單元和移動終端支付可信環境相關要求。


? 智能密碼鑰匙在借助SE 與TEE 技術結合實現智能密碼鑰匙的相關功能時,應保證SE 與TEE 的安全;

? 在移動終終端上借助于SE與TEE技術實現生物特征的相關功能時,需符合JR/T 0156—2017 和合JR/T 0098.5的要求。


2、安全通信網絡


? 重點關注身份的真實性、鏈路的安全性和交易數據的安全性;

? 在會話建立和交易發起前,應采用有效的雙向身份驗證方式,通信過程中對每次通信采用不同的密鑰對通信鏈路進行加密;

? 對于敏感數據,應實現報文級別的加密,防止數據的被竊聽或篡改。


3、可信計算環境


新標準對于服務端安全的建設要求更加系統化與體系化,在應對非法攻擊時,可對 “行為進行監控,對終端特征(例如,終端標識、軟硬件特征等)、網絡特征(例如,MAC、IP、WIFI 標識等)、用戶特征(例如,賬戶標識、手機號等)、行為特征、物理位置等信息進行識別、標記和關聯分析”,能夠與“風險監控系統實現聯動,及時采取封禁等防護措施”。


4、與外部系統連接安全


? 無論采用互聯網,還是專網開展,執行同等級的安全防護;

? 關注API的安全性。在新標準中明確要求金融機構要對API進行統一管理。具體的管理方法和管理標準參考《商業銀行應用程序接口安全管理規范》;

? 防止合作伙伴的安全風險蔓延至金融機構中。


5、業務連續性和災難恢復


從標準架構調整可以看得出監管機構對這部分內容的重視或強調意圖。主要內容包括:

? 業務連續性管理;

? 鏈路、設備的冗余;

? 業務影響性分析;

? 備份恢復策略;

? 日志文件應至少妥善保存6 個月;

? 恢復測試;

? 災備演練;

? 兩地三中心。


6、業務運營安全規范


業務運營安全規范內容中融入了大量近年來發布的法律法規、監管機構通知要求等內容,例如:中國人民銀行關于進一步加強銀行卡風險管理的通知(銀發〔2016〕170號、中國人民銀行關于加強支付結算管理 防范電信網絡新型違法犯罪有關事項的通知(銀發〔2016〕、261號、中國人民銀行關于落實個人銀行賬戶分類管理制度的通知(銀發〔2016〕302號)、中國人民銀行辦公廳關于強化銀行卡磁條交易安全管理的通知(銀辦發〔2017〕120號)、條碼支付安全技術規范(試行)(銀辦發〔2017〕242號文印發)、中國人民銀行關于改進個人銀行賬戶分類管理有關事項的通知(銀發〔2018〕16號)等。這些標準的引入,需要金融機構對業務辦理流程、工作機制等方面進行調整。


新版標準的發布,更加符合目前網上銀行系統發展的實際情況,無論從落地性還是其他規范要求的切合度來講,相較于舊版規范都有很大的提升。同時,在日常網上銀行系統的安全運維、安全評估工作中,重點關注新版規范新增的要求。此外,在手機銀行、微信銀行、直銷銀行等電子銀行系統的日常安全工作中,也可直接參考新版規范的相應要求,提升銀行業金融機構相關系統的安全性。

上一篇 下一篇