3大“新”| 解读新版《网上银行系统信息宁静通用规范(JR/T 0068-2020)》

宣布时间 2020-02-28

新修订的金融行业尺度《网上银行系统信息宁静通用规范》(JR/T 0068—2020)由中国人民银行正式宣布 。新尺度的宣布实施,将有效增强现有网上银行系统宁静防范能力,促进网上银行规范、健康生长 。本篇文章通过对新尺度的解读,总结并详细论述了新尺度3大“新”,即新亮点、新提升及新难点,资助各人能够更好地理解 。


日前,新修订的金融行业尺度《网上银行系统信息宁静通用规范》(JR/T 0068—2020)由中国人民银行正式宣布 。新表尺度既可作为各单元网上银行系统建设、革新升级及开展宁静检查、内部审计的宁静性依据,也可作为行业主管部门、专业检测机构进行检查及检测的依据 。


这部时隔8年

新修订的新尺度内容

究竟发生了哪些变化和提升呢?

又有哪些亮点和难点呢?


新尺度是2012年颁布的《网上银行系统信息宁静通用规范》(JR/T 0068-2012)的替换版本 。


东森·(中国区)官方网站


新亮点


本次尺度修订,立足于移动互联和云计算等新技术在网上银行系统不停深入应用、手机银行使用愈加广泛的配景,旨在应对网上银行系统信息宁静泛起的新形势和新特点,防范新风险 。


1、新规范和新体系


新尺度参照品级掩护2.0要求对内容进行了修订和完善 。明确提出:“网上银行系统应凭据网络宁静品级掩护第三级宁静要求进行建设与运维管理” 。在内容与品级掩护2.0的要求统一,制止了金融机构在进行网上银行建设中泛起多尺度遵循及顾此失彼的问题,也更切合尺度的行业特性 。


同时,新尺度提升了关于业务连续性与灾难恢复、宁静事件与应急响应的宁静要求 。在网上银行的业务影响分析、备份和恢复计谋、建立备份恢复法式、应用级备份等方面进行了详细的梳理和规定 。


2、新技术和新应用


? 新尺度增加了对宁静单元和移动终端支付可信环境相关要求,并指出SE的使用应切合 JR/T 0098.5《中国金融移动支付检测规范 第5部门:宁静单元(SE)嵌入式软件宁静》等相关规范的要求 。

? 新尺度增加了国密SM系列算法相关的宁静要求;

? 新尺度增加了虚拟化、云计算宁静相关要求,提出网上银行系统在接纳云计算技术时应遵循JR/T 0167《云计算技术金融应用规范 宁静技术要求》 。


3、新业务和新监管


新尺度对新的业务和监管要求进行了增补和明确 。例如:


? 通过网上银行渠道开立个人Ⅱ、Ⅲ类银行结算账户时,应严格落实《中国人民银行关于革新个人银行账户服务加强账户管理的通知》(银发〔2015〕392 号)、《中国人民银行关于落实个人银行账户分类管理制度的通知》(银发〔2016〕302 号)、《中国人民银行关于革新个人银行账户分类管理有关事项的通知》(银发〔2018〕16 号)等文件相关要求 。

? 应为客户提供银行卡交易宁静锁服务,并落实《中国人民银行办公厅关于强化银行卡磁条交易宁静管理的通知》(银办发〔2017〕120 号)等文件的相关要求 。

? 条码支付业务应凭据《条码支付宁静技术规范(试行)》(银办发〔2017〕242号)等文件要求,凭据差异的风险防范能力设置相应的交易限额 。


新提升


新尺度在架构上沿用了旧尺度技术、管理、业务三个部门的整体架构,要求项仍然分为基本要求和增强要求 。此外,新尺度的金融行业的特性更强,对金融机构实际业务建设和扩展的指导性更强 。


东森·(中国区)官方网站


1、宁静技术规范


新尺度将“专用宁静设备”调整为“专用宁静机制”,删除了旧尺度中的“动态密码卡”,新增“短信验证码”的身份验证方式 。同时,新尺度的“服务器端宁静”的内容凭据品级掩护2.0的要求进行了大幅的调整,同时增加了“虚拟化宁静“ 。


东森·(中国区)官方网站


2、宁静管理规范


新尺度的宁静管理规范从架构上基本上借鉴了品级掩护的文档结构,对相应的要求项进行了调整 。此外,将“业务连续性与灾难恢复”“宁静事件与应急响应”从旧尺度中的“系统运维管理”中单独疏散出来,体现出监管机构对这部门内容的重视或强调意图 。


东森·(中国区)官方网站


3、业务运营管理规范


新尺度细节上将“业务运作宁静规范”变换为“业务运营宁静规范” 。另外,凭据近年来以开放银行为代表的外部合作中泛起的问题及可能引入的新风险,在新尺度中加入了“外部机构业务合作”的相关要求 。


东森·(中国区)官方网站



新难点


1、客户端宁静


新尺度增加了宁静单元和移动终端支付可信环境相关要求 。


? 智能密码钥匙在借助SE 与TEE 技术结合实现智能密码钥匙的相关功效时,应保证SE 与TEE 的宁静;

? 在移动终终端上借助于SE与TEE技术实现生物特征的相关功效时,需切合JR/T 0156—2017 和合JR/T 0098.5的要求 。


2、宁静通信网络


? 重点关注身份的真实性、链路的宁静性和交易数据的宁静性;

? 在会话建立和交易提倡前,应接纳有效的双向身份验证方式,通信过程中对每次通信接纳差异的密钥对通信链路进行加密;

? 对于敏感数据,应实现报文级此外加密,防止数据的被窃听或改动 。


3、可信计算环境


新尺度对于服务端宁静的建设要求越发系统化与体系化,在应对非法攻击时,可对 “行为进行监控,对终端特征(例如,终端标识、软硬件特征等)、网络特征(例如,MAC、IP、WIFI 标识等)、用户特征(例如,账户标识、手机号等)、行为特征、物理位置等信息进行识别、标志和关联分析”,能够与“风险监控系统实现联动,及时接纳封禁等防护措施” 。


4、与外部系吐洮接宁静


? 无论接纳互联网,还是专网开展,执行同品级的宁静防护;

? 关注API的宁静性 。在新尺度中明确要求金融机构要对API进行统一管理 。具体的管理要领和管理尺度参考《商业银行应用法式接口宁静管理规范》;

? 防止合作伙伴的宁静风险蔓延至金融机构中 。


5、业务连续性和灾难恢复


从尺度架构调整可以看得出监管机构对这部门内容的重视或强调意图 。主要内容包罗:

? 业务连续性管理;

? 链路、设备的冗余;

? 业务影响性分析;

? 备份恢复计谋;

? 日志文件应至少妥善生存6 个月;

? 恢复测试;

? 灾备演练;

? 两地三中心 。


6、业务运营宁静规范


业务运营宁静规范内容中融入了大量近年来宣布的执法规则、监管机构通知要求等内容,例如:中国人民银行关于进一步加强银行卡风险管理的通知(银发〔2016〕170号、中国人民银行关于加强支付结算管理 防范电信网络新型违法犯罪有关事项的通知(银发〔2016〕、261号、中国人民银行关于落实个人银行账户分类管理制度的通知(银发〔2016〕302号)、中国人民银行办公厅关于强化银行卡磁条交易宁静管理的通知(银办发〔2017〕120号)、条码支付宁静技术规范(试行)(银办发〔2017〕242号文印发)、中国人民银行关于革新个人银行账户分类管理有关事项的通知(银发〔2018〕16号)等 。这些尺度的引入,需要金融机构对业务管理流程、事情机制等方面进行调整 。


新版尺度的宣布,越发切合目前网上银行系统生长的实际情况,无论从落地性还是其他规范要求的切合度来讲,相较于旧版规范都有很大的提升 。同时,在日常网上银行系统的宁静运维、宁静评估事情中,重点关注新版规范新增的要求 。此外,在手机银行、微信银行、直销银行等电子银行系统的日常宁静事情中,也可直接参考新版规范的相应要求,提升银行业金融机构相关系统的宁静性 。