本站使用 cookies,继续浏览表示您同意我们使用 cookies。
新修订的金融行业标准《网上银行系统信息安全通用规范》(jr/t 0068—2020)(以下简称“新版《规范》”)由中国人民银行正式发布。这是继2012版《规范》后第一次进行替换修订的金融行业标准。
新版《规范》中的金融行业标准,为网上银行系统提供了明确的建设指导意见,可作为网上银行的内部建设、升级依据,也可作为主管部门的检查、检测依据。相比2012版《规范》,有哪些变化?新版《规范》建设标准重点是什么?深信服为您解读。
新版《规范》由六部分组成:定义范围、引用文件、术语和定义、定语缩略语、网银系统描述、安全规范。
新版《规范》内容主要为安全技术要求、安全管理要求和安全运维要求三个方面,适用于中国境内设立商业银行等银行业机构运行的网上银行系统。
主要参考了《sm3密码杂凑算法》、《sm2椭圆曲线公钥密码算法》、《sm4分组密码算法》、《网络安全等级保护2.0制度》、《云计算技术金融应用规范》、《移动终端支付可信环境技术规范》等相关文件。
定义了新版《规范》里的专业名词术语。
对新版《规范》引用的相关英文缩略语以中文进行定义。
网上银行系统由客户端、通信网络和服务器端组成,其中服务器端包括网上银行访问子网、网上银行业务系统、中间隔离设备和银行处理系统。
主要分为安全技术要求、安全管理要求和安全运维要求,相对于2012版《规范》,改动内容主要在此部分。
新版《规范》将“银企互联”纳入网上银行系统评估范围内;将原有业务运作安全规范,修改为业务运营安全规范;同时,新版《规范》删除了旧版附录中的“基本的网络防护架构参考图、增强的网络防护架构参考图和物理安全(附录 a、附录 b、附录 c)”。
安全技术规范从旧版本“97项基本要求 30项增强要求”,变更为“123项基本要求 21项基本要求”。
主要体现在:将“专用安全设备安全”修改为“专用安全机制”,同时在认证机制上增加了短信验证和生物特征识别,如脸部识别、指纹识别等,并且在服务器端安全增加了虚拟化安全。网上银行系统与第三方连接需求日益增多,新版《规范》也在传输和数据两方面加强了与外部系统连接的安全要求。
下方图片,del表示已删除要求项,new表示新增要求项。
因《网络安全等级保护2.0制度》发布,安全管理规范从“63项基本要求 1项增强要求”,变更为“47项基本要求 1项基本要求”。
此外,新版《规范》新增“业务连续性与灾难恢复”和“安全事件与应急响应”要求项。
从“业务运作安全规范”变更为“业务运营安全规范”,从“53项基本要求 4项增强要求”,变更为“70项基本要求 3项基本要求”。
新版“业务运营安全规范”增加了对外部机构的业务合作内容,整合了“银企互联”模式,为金融机构的第三业务安全提供了新的参考标准。
网上银行系统在使用密码系统时,必须优先使用sm算法。
域名解析服务应支持ipv6访问进行分析,同时网络设备应支持ipv6,针对ipv6的防护强度应不弱于ipv4的防护强度。
支付条码不同时,应依据《条码支付安全技术规范》,对条码中包含的网址等信息进行校验,对非法地址和恶意请求进行拦截。
对网上银行系统建设设计的云计算和移动互联网等技术应满足jr/t 0071《网络安全等级保护制度2.0标准》的相关要求。
通过网上银行渠道开立个人ii、iii类银行结算账户时,应严格落实《中国人民银行关于改进个人银行账户服务加强账户的通知》、《中国人民银行关于落实个人银行账户分类管理制度的通知》、《中国人民银行改进个人银行账户分类管理有关事项的通知》等要求。
按照新版《规范》的内容描述,主要有三种连接方式:
通过专线连接对传输的信息进行加密,同时,应尽量选用多个电信运营商,在入口处最好有链路负载,以防线路中断时无法自动切换线路导致业务中断。
通过vpn连接必须使用双因素认证,同时对vpn权限和账户定期进行审计,并增加超时连接。
互联网连接必须使用不存在公开漏洞的连接协议,并建议第三方连接使用固定ip和电脑进行连接。
以上三种方式都强调必须使用国密算法支持,同时对敏感数据要求,从采集、展示、传输、存储和使用等完整生命周期环境进行保护和定期审计,防止用户个人信息泄露。
虚拟机安全需注意以下几方面:
虚拟机镜像补丁、虚拟机环境系统组件等要定期进行更新,这要求对虚拟机管理具备扫描和定期补丁分发安装的功能。
在虚拟机之间、虚拟机与宿主机进行隔离,增强对微隔离的要求。
定期对虚拟机和管理器相关操作进行日志留存和审计,强调了对操作日志的审计。
要求对虚拟机镜像和快照文件管理权限进行检测,防止权限过高丢失敏感数据。
目前,深信服已经为2000 金融机构提供了服务,依托多年的技术积累和金融用户的服务经验,帮助用户解决在数字化转型中遇到的难题和痛点,获得了行业的广泛认可。未来,深信服将坚持“持续创新、全情投入”,以更丰富的金融科技凯发登录的解决方案,快速、安全、稳健地推进金融行业信息化变革。