3大“新”| 解读新版《网上银行系统信息安全通用规范(JR/T 0068-2020)》

发布时间 2020-02-28

新修订的金融行业标准《网上银行系统信息安全通用规范》(JR/T 0068—2020)由中国人民银行正式发布。新标准的发布实施,将有效增强现有网上银行系统安全防范能力,促进网上银行规范、健康发展。本篇文章通过对新标准的解读,总结并详细阐述了新标准3大“新”,即新亮点、新提升及新难点,帮助大家能够更好地理解。


日前,新修订的金融行业标准《网上银行系统信息安全通用规范》(JR/T 0068—2020)由中国人民银行正式发布。新表标准既可作为各单位网上银行系统建设、改造升级及开展安全检查、内部审计的安全性依据,也可作为行业主管部门、专业检测机构进行检查及检测的依据。


这部时隔8年

新修订的新标准内容

究竟发生了哪些变化和提升呢?

又有哪些亮点和难点呢?


新标准是2012年颁布的《网上银行系统信息安全通用规范》(JR/T 0068-2012)的替换版本。



新亮点


本次标准修订,立足于移动互联和云计算等新技术在网上银行系统不断深入应用、手机银行使用愈加广泛的背景,旨在应对网上银行系统信息安全出现的新形势和新特点,防范新风险。


1、新规范和新体系


新标准参照等级保护2.0要求对内容进行了修订和完善。明确提出:“网上银行系统应按照网络安全等级保护第三级安全要求进行建设与运维管理”。在内容与等级保护2.0的要求统一,避免了金融机构在进行网上银行建设中出现多标准遵循及顾此失彼的问题,也更符合标准的行业特性。


同时,新标准提升了关于业务连续性与灾难恢复、安全事件与应急响应的安全要求。在网上银行的业务影响分析、备份和恢复策略、建立备份恢复程序、应用级备份等方面进行了详细的梳理和规定。


2、新技术和新应用


• 新标准增加了对安全单元和移动终端支付可信环境相关要求,并指出SE的使用应符合 JR/T 0098.5《中国金融移动支付检测规范 第5部分:安全单元(SE)嵌入式软件安全》等相关规范的要求。

• 新标准增加了国密SM系列算法相关的安全要求;

• 新标准增加了虚拟化、云计算安全相关要求,提出网上银行系统在采用云计算技术时应遵循JR/T 0167《云计算技术金融应用规范 安全技术要求》。


3、新业务和新监管


新标准对新的业务和监管要求进行了补充和明确。例如:


• 通过网上银行渠道开立个人Ⅱ、Ⅲ类银行结算账户时,应严格落实《中国人民银行关于改进个人银行账户服务加强账户管理的通知》(银发〔2015〕392 号)、《中国人民银行关于落实个人银行账户分类管理制度的通知》(银发〔2016〕302 号)、《中国人民银行关于改进个人银行账户分类管理有关事项的通知》(银发〔2018〕16 号)等文件相关要求。

• 应为客户提供银行卡交易安全锁服务,并落实《中国人民银行办公厅关于强化银行卡磁条交易安全管理的通知》(银办发〔2017〕120 号)等文件的相关要求。

• 条码支付业务应按照《条码支付安全技术规范(试行)》(银办发〔2017〕242号)等文件要求,根据不同的风险防范能力设置相应的交易限额。


新提升


新标准在架构上沿用了旧标准技术、管理、业务三个部分的整体架构,要求项仍然分为基本要求和增强要求。此外,新标准的金融行业的特性更强,对金融机构实际业务建设和扩展的指导性更强。



1、安全技术规范


新标准将“专用安全设备”调整为“专用安全机制”,删除了旧标准中的“动态密码卡”,新增“短信验证码”的身份验证方式。同时,新标准的“服务器端安全”的内容根据等级保护2.0的要求进行了大幅的调整,同时增加了“虚拟化安全“。



2、安全管理规范


新标准的安全管理规范从架构上基本上借鉴了等级保护的文档结构,对相应的要求项进行了调整。此外,将“业务连续性与灾难恢复”“安全事件与应急响应”从旧标准中的“系统运维管理”中单独分离出来,体现出监管机构对这部分内容的重视或强调意图。



3、业务运营管理规范


新标准细节上将“业务运作安全规范”变更为“业务运营安全规范”。另外,根据近年来以开放银行为代表的外部合作中出现的问题及可能引入的新风险,在新标准中加入了“外部机构业务合作”的相关要求。




新难点


1、客户端安全


新标准增加了安全单元和移动终端支付可信环境相关要求。


• 智能密码钥匙在借助SE 与TEE 技术结合实现智能密码钥匙的相关功能时,应保证SE 与TEE 的安全;

• 在移动终终端上借助于SE与TEE技术实现生物特征的相关功能时,需符合JR/T 0156—2017 和合JR/T 0098.5的要求。


2、安全通信网络


• 重点关注身份的真实性、链路的安全性和交易数据的安全性;

• 在会话建立和交易发起前,应采用有效的双向身份验证方式,通信过程中对每次通信采用不同的密钥对通信链路进行加密;

• 对于敏感数据,应实现报文级别的加密,防止数据的被窃听或篡改。


3、可信计算环境


新标准对于服务端安全的建设要求更加系统化与体系化,在应对非法攻击时,可对 “行为进行监控,对终端特征(例如,终端标识、软硬件特征等)、网络特征(例如,MAC、IP、WIFI 标识等)、用户特征(例如,账户标识、手机号等)、行为特征、物理位置等信息进行识别、标记和关联分析”,能够与“风险监控系统实现联动,及时采取封禁等防护措施”。


4、与外部系统连接安全


• 无论采用互联网,还是专网开展,执行同等级的安全防护;

• 关注API的安全性。在新标准中明确要求金融机构要对API进行统一管理。具体的管理方法和管理标准参考《商业银行应用程序接口安全管理规范》;

• 防止合作伙伴的安全风险蔓延至金融机构中。


5、业务连续性和灾难恢复


从标准架构调整可以看得出监管机构对这部分内容的重视或强调意图。主要内容包括:

• 业务连续性管理;

• 链路、设备的冗余;

• 业务影响性分析;

• 备份恢复策略;

• 日志文件应至少妥善保存6 个月;

• 恢复测试;

• 灾备演练;

• 两地三中心。


6、业务运营安全规范


业务运营安全规范内容中融入了大量近年来发布的法律法规、监管机构通知要求等内容,例如:中国人民银行关于进一步加强银行卡风险管理的通知(银发〔2016〕170号、中国人民银行关于加强支付结算管理 防范电信网络新型违法犯罪有关事项的通知(银发〔2016〕、261号、中国人民银行关于落实个人银行账户分类管理制度的通知(银发〔2016〕302号)、中国人民银行办公厅关于强化银行卡磁条交易安全管理的通知(银办发〔2017〕120号)、条码支付安全技术规范(试行)(银办发〔2017〕242号文印发)、中国人民银行关于改进个人银行账户分类管理有关事项的通知(银发〔2018〕16号)等。这些标准的引入,需要金融机构对业务办理流程、工作机制等方面进行调整。


新版标准的发布,更加符合目前网上银行系统发展的实际情况,无论从落地性还是其他规范要求的切合度来讲,相较于旧版规范都有很大的提升。同时,在日常网上银行系统的安全运维、安全评估工作中,重点关注新版规范新增的要求。此外,在手机银行、微信银行、直销银行等电子银行系统的日常安全工作中,也可直接参考新版规范的相应要求,提升银行业金融机构相关系统的安全性。