2020年2月,中国人民银行下发《关于<网上银行系统信息安全通用规范>行业标准的通知》(银发[2020]35号),对新版《网上银行系统信息安全通用规范》(JR/T 0068-2020)(以下简称“新版规范”)进行了正式发布。
新版规范的前世今生
新版规范是2012版的《网上银行系统信息安全通用规范》(JR/T 0068-2012)的替换修订版本。
早在2010年1月,为有效增强现有网上银行系统安全防范能力,促进网上银行规范、健康发展,中国人民银行印发颁布了第一版《网上银行系统信息安全通用规范(试行)》,并在2012年5月,正式发布《网上银行系统信息安全通用规范》(JR/T 0068-2012)。作为网上银行系统的第一个有效安全规范,此规范为各银行网上银行系统建设和改造升级提供了最基本的安全性参考。
经过多年的发展,如今的网上银行系统无论在规模,还是在新技术的引入和应用上,都发生了较大的变化。所以,早在2015年,全国金融标准化技术委员会即立项启动了新版规范的修订工作。经过多方专家的反复修订与审核,2020年2月,新版规范正式面世。
图 1 《网上银行系统信息安全通用规范》的版本演化
新版规范的主要变化
新版规范有三个重点修订内容:
1、针对新技术出现和应用提出了新的安全要求
增加了虚拟化、云计算安全相关要求,提出网上银行系统在采用云计算技术时应遵循JR/T 0167《云计算技术金融应用规范 安全技术要求》;增加国密SM系列算法相关的安全要求;增加对安全单元和移动终端支付可信环境相关要求,并指出SE的使用应符合 JR/T 0098.5《中国金融移动支付检测规范 第5部分:安全单元(SE)嵌入式软件安全》等相关规范的要求。
2、就新的业务和监管要求进行了补充和明确
如增加了条码支付、交易安全锁及Ⅱ、Ⅲ类账户的相关要求,落实之前《中国人民银行办公厅关于强化银行卡磁条交易安全管理的通知》(银办发〔2017〕 120 号)等相关文件的要求。
3、重新梳理并提升关于业务连续性与灾难恢复、安全事件与应急响应的安全要求
在新版规范中,业务连续性与灾难恢复、安全事件与应急响分别单独成节,作为安全管理规范的一部分,提升了相关安全要求,对网上银行业务影响分析、制定备份策略、建立备份恢复程序、实施应用级备份等规定进行了详细的梳理和规定。
使用建议
新版规范的发布,更加切合目前网上银行系统的发展实际情况。无论从落地性还是其他规范要求的切合度来讲,相较于旧版规范都有很大的提升。中国金融认证中心(CFCA)作为中国人民银行此次规范修订修编工作的技术支撑单位,强烈建议大家:
在日常的网上银行系统安全运维、测评工作中,重点关注新版规范新增的要求。同时,在手机银行、微信银行、直销银行等电子银行系统的日常安全工作中,亦可直接参考新版规范的相应要求,提升银行业金融机构相关系统的安全性。(王胤)
声明:本文来自CFCA金融认证,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。