新版 （JR金融）JRT 0068-2020 网上银行系统信息安全通用规范.pdfVIP

ICS 35.240.40 A 11 中 华 人 民 共 和 国 金 融 行 业 标 准 JR/T 0068—2020 代替 JR/T 0068—2012 网上银行系统信息安全通用规范 General specification of information security for internet banking system 2020 - 02 - 05发布 2020 - 02 - 05实施 中国人民银行 发 布 JR/T 0068—2020 目 次 前 言 II 引 言 III 1 范围 1 2 规范性引用文件 1 3 术语和定义 2 4 缩略语 3 5 网上银行系统概述 4 6 安全规范 7 参考文献 32 I JR/T 0068—2020 前 言 本标准按照GB/T 1.1—2009给出的规则起草。 本标准代替JR/T 0068—2012《网上银行系统信息安全通用规范》。 本标准与JR/T 0068—2012相比，主要变化如下： ——增加了 SM系列算法相关要求（见5.4）； ——删除了与 JR/T 0071《金融行业信息系统信息安全等级保护实施指引》要求重复的内容（2012 年版的6.1.4、6.2）； ——修改了客户端安全的表述，补充了自身防护、敏感信息保护等安全要求（见6.2.1.1,2012 年 版的6.1.1）； ——增加了条码支付相关要求（见6.2.1.1、6.2.4.3）； ——修改了专用安全设备的安全要求，并改名为“专用安全机制”（见6.2.2，2012年版的 6.1.2）； ——增加了安全单元和移动终端支付可信环境相关要求（见6.2.2.1、6.2.2.5）； ——增加了生物特征相关要求（见6.2.2.5）； ——增加了云计算安全相关要求(见6.2.4.1、6.3.1）； ——增加了 IPv6相关要求（见 6.2.4.3）； ——增加了虚拟化安全相关要求(见6.2.4.4）； ——增加了网上银行系统与外部系统连接安全的基本描述和安全要求（见 6.2.5）； ——修改了业务连续性与灾难恢复安全要求（见6.3.7，2012年版的6.2.6中的k、l)； ——修改了安全事件与应急响应的安全要求（见6.3.8，2012年版的6.2.6中的m、n)； ——增加了Ⅱ、Ⅲ类银行结算账户及交易安全锁相关要求（见6.4.1）； ——删除了附录中的基本的网络防护架构参考图、增强的网络防护架构参考图和物理安全（2012 年版的附录 A、附录B、附录C）。 本标准由中国人民银行提出。 本标准由全国金融标准化技术委员会（SAC/TC 180）归口。 本标准起草单位：中国人民银行科技司、中国银联股份有限公司、银行卡检测中心、中国工商银行 股份有限公司、中国建设银行股份