新版《网上银行系统信息安全通用规范》,新增等级保护要求.pdfVIP

新版《⽹上银⾏系统信息安全通⽤规范》,新增等级保护要求 2020年2⽉，中国⼈民银⾏发布了最新的《⽹上银⾏系统信息安全通⽤规范》(JR/T 0068-2020) （以下简称《新规 范》），相对于2012年《⽹上银⾏系统信息安全通⽤规范》(JR/T 0068-2012)的内容进⾏了调整和更新。 《新规范》作为⽹上银⾏系统安全技术要求、安全管理要求、业务运营安全要求，为⽹上银⾏系统建设、运营及测评提 供了重要依据。 《规范》整体框架对⽐ 1. 《新规范》的整体框架围绕着：安全技术规范、安全管理规范和业务运营安全规范三个部分，对⽐之前的规范，整体 的要求（含基本要求和增强要求）在总数上没有⼤的出⼊，但值得注意的是，将原有业务运作安全规范，调整为业务运 营安全规范。这也表明，《新规范》更加注重⾦融⾏业的业务运营类的安全。 2. 《新规范》重新定义了⽹上银⾏系统，涵盖个⼈⽹银系统和企业⽹银系统，主要包括通过PC、⼿机、平板电脑、智 能电视、可穿戴设备等终端访问的⽹上银⾏系统，例如⼿机银⾏、微信银⾏、直销银⾏、银企直联、⼩微企业银⾏等系 统。 3. “安全技术规范”中将原有“专⽤安全设备安全”调整为“专⽤安全机制”，并增加了“短信验证码”和“⽣物特征”安全要求；将 ⽹络通信安全要求中增加“通信链路”安全要求；将服务器端安全要求增加“等级保护要求”和“虚拟化安全”要求；新增加 ⼊“与外部系统连接安全”，对于与银⾏有合作的外部单位的系统连接时，增加了“传输安全”和“数据安全”要求。同时，删 除“动态密码卡”“物理安全”“应⽤安全”“数据安全及备份恢复”的安全要求。 4. “安全管理规范”中新增“等级保护要求”。将原有规范中系统运维管理中的“业务连续性与灾难恢复”和“安全事件与应急响 应”独⽴成为安全要求，同时删除“安全策略”要求。 5. “安全运⾏安全规范”中，新增“外部机构业务合作”安全要求，将原有“客户教育及权益保护”调整为“客户培训及权益保 护”。 《规范》核⼼内容解析 1.客户端安全解析 客户端安全包括：客户端程序和客户端环境两部分。 客户端程序的安全要求中，主要定义了客户端程序在软件开发直到报废的⽣命周期，周期内包括软件的可⾏性分析、框 架标准、总体描述、系统设计、编码、调试和测试、验收与运⾏、维护升级到废弃等阶段都做了明确的要求，主要包含 如下关键点： ●程序开发阶段，应对其开发框架和技术路线进⾏严格的论证，建设基于应⽤功能设计及安全需求，建设应⽤安全基线 标准，提供程序的⾃⾝安全性。对于应⽤程序普遍存在的破解、篡改等各类安全风险，需要提供应⽤加固技术⼿段。严 格控制源代码安全，对应⽤程序进⾏源代码安全加固。 客户端环境安全要求中，主要定义了程序在使⽤过程中的运⾏环境安全，包括可信输⼊能⼒、可信输出能⼒、可信通讯 能⼒、可信存储能⼒和可信计算能⼒ ●可信输⼊输出能⼒，要求提供可信的信息输⼊安全，包括敏感信息加密、秘密复杂度设置等； ●可信存储和计算能⼒，对数字证书、客户敏感信息、密钥信息的⽣成、存储、使⽤需要借助SE、TEE技术，确保其 安全，提供信息的可信存储能⼒； ●可信运⾏环境，特别是对移动设备运⾏环境的安全，要求对客户端的病毒、⽊马等风险进⾏有效识别，将分析结果实 时反馈，提供终端的威胁态势感知能⼒。 2.专⽤安全机制解析 ●国密算法的使⽤，在《新规范》要求中，⽹上银⾏系统在使⽤密码算法时应符合国家密码主管部门的要求，在⽀付敏 感信息加密及传输、数字证书签名及验签等环节宜⽀持并优先使⽤SM系列密码算法。 ●短信验证码的使⽤进⾏了严格定义，同时还要求对短信验证码要进⾏加密处理，确保短信验证码的机密性和完整性。 3.通信⽹络安全解析 采⽤安全的通信协议，在客户端程序与服务器之间建⽴安全的信息传输通道，如采⽤SSL/TLS证书、加密密钥体系，建 ⽴安全的信息传输通道。 4.业务审计及开通解析 ● 《新规范》明确要求，在业务运营安全规范中，要严格遵循和落实相关法律法规，如：（银发〔2016〕261 号）、 （银发〔2019〕85 号）等监管要求； ●对通过⽹上银⾏渠道申请时，⾦融机构应采取包含电⼦签名验证在内的双因素⾝份认证验证客户的真实⾝份及银⾏卡 交易密码，并通过验证发向可靠的预留⼿机号码的短信验证码等⽅式，核实客户⾝份和交易开通意愿。 5.业务安全交易机制解析 ● 《新规范》明确要求，要建⽴完善的⽹上银⾏异常交易监控体系，以及⾼风险交易特点和⽤户⾏为特征等的风险评估 模型，识别并及时处理异常交易，并根据风险等级实施差异化风险防控； ●建⽴并完善反欺诈规则，实时分析交易数据，根据风险⾼低产⽣报警信