2020年2月,中国人民银行正式发布了新版《网上银行系统信息安全通用规范》(JR/T 0068-2020)。此次是对2012版的《网上银行系统信息安全通用规范》(JR/T 0068-2012)的第一次正式修订,新版规范后续将替换2012版本。此次修订主要是应对目前新技术、新业务对网上银行建设带来的新风险,并提出新的要求。修订内容主要包括客户端安全建设,虚拟化、云计算等新技术安全控制,新业务风险防范等方面。同时,新版规范融合了大量已发布的监管规范,保持了监管要求的一致性,也为网上银行系统的建设运营和测评提供了重要依据。
此次修订的新版规范在整体内容结构上与旧版保持一致,主要包括三部分:安全技术规范、安全管理规范和业务运营安全规范。虽然“三大件”依旧,但其为适应当前互联网金融业界形势以及指导未来发展方向,针对出现的新技术新业务增加了相应的新要求,主要体现如下几方面:
1.融合新的规范体系
新版规范参照等级保护2.0要求对内容进行了修订和完善,并明确提出“网上银行系统应按照网络安全等级保护第三级安全要求进行建设和运维管理”,同时也引用了《金融电子认证规范》《云计算技术金融应用规范》等与网上银行系统建设密切相关的标准,使标准之间有效融合,保持整体性,更具实际的指导意义。
2.防范新的技术风险
新版规范在旧版基础上针对客户端安全增加了较多安全要求,主要涉及客户端安全表述、自身防护、敏感信息保护、隐私政策以及客户端信息搜集使用等方面,同时新增了安全单元和移动终端支付可信环境相关要求。此外,新版规范还新增了虚拟化、云计算、国密SM系列算法相关的安全要求。
3.关注新的业务安全
新版规范对网上银行渠道开立个人Ⅱ、Ⅲ类银行结算账户、银行卡交易安全锁服务、条码支付、外部互联等新业务做了相关要求,并明确了应该遵循的相关规范,如《中国人民银行关于改进个人银行账户服务加强账户管理的通知》(银发〔2015〕392 号)、《中国人民银行关于落实个人银行账户分类管理制度的通知》(银发〔2016〕302 号)、《中国人民银行办公厅关于强化银行卡磁条交易安全管理的通知》(银办发〔2017〕120 号)、《条码支付安全技术规范(试行)》(银办发〔2017〕242号)等,同时也新增了针对外部机构业务合作的章节,从建立风险管理制度、明确合作协议、保护敏感信息等方面明确了相应的安全要求。
4.建立新的风控系统
新版规范提高了交易流程和监控等方面的相关要求,新增了机器学习、生物探针等交易风险防控措施,并提出通过交易行为、用户特征、终端特征等信息进行识别、标记和关联分析,并与风险监控系统实现联动,建立包括终端安全、智能分析、全面监控的一体化风险监控系统。
总体来看,新版规范更符合目前网上银行系统建设的实际情况,并且对未来发展具有一定的指导意义,针对新技术、新业务提出的新要求能够很好地帮助金融行业在快速发展的过程中做到有标准可依、有规范可循,有效提升金融机构相关系统的安全性。
声明:本文来自FCC30+,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。