JR/T 0068-2020
基本信息
标准号: JR/T 0068-2020
中文名称:网上银行系统信息安全通用规范
标准类别:金融行业标准(JR)
英文名称:General specification of information security for internet banking system
标准状态:现行
发布日期:2020-02-05
实施日期:2020-02-05
出版语种:简体中文
下载格式:.zip .pdf
下载大小:1134739
标准分类号
标准ICS号: 信息技术、办公机械设备>>信息技术应用>>35.240.40信息技术在银行中的应用
中标分类号:综合>>经济、文化>>A11金融、保险
关联标准
替代情况:替代JR/T 0068-2012
出版信息
出版社:中国标准出版社
标准价格:0.0
相关单位信息
起草人:李伟、陈立吾、车珍、周恒、昝新、夏磊等
起草单位:中国人民银行科技司、中国银联股份有限公司、银行卡检测中心、中国工商银行股份有限公司、中国建设银行股份有限公司等
归口单位:全国金融标准化技术委员会(SAC/TC 180)
提出单位:中国人民银行
发布部门:中国人民银行
主管部门:中国人民银行
标准简介
标准号:JR/T 0068-2020
标准名称:网上银行系统信息安全通用规范
英文名称:General specification of information security for internet banking system
标准格式:PDF
发布时间:2020-02-05
实施时间:2020-02-05
标准大小:2.16M
标准介绍:本标准规定了网上银行系统安全技术要求、安全管理要求、业务运营安全要求,为网上银行系统建设、运营及测评提供了依据。
本标准适用于中华人民共和国境内设立的商业银行等银行业金融机构所运营的网上银行系统,其他金融机构提供网上金融服务的业务系统宜参照本标准执行。
注1:本标准分为基本要求和增强要求两个层次,基本要求为最低安全要求,增强要求是进一步提升系统安全性的要求。各单位应在遵照执行基本要求的问时按照增强要求,积极采取改进措施,不断捉高安全保障能力。
注2:本标准条敬中如无特别指明“企业网银”,则同时适用于个人网银和企业网银。
本标准按照GB/T1.1-2009给出的规则起草。
本标准代替JR/T0068-2012《网上银行系统信息安全通用规范》
本标准与R/T0068-2012相比,主要变化如下:
增加了SM系列算法相关要求(见5.4);
除了与JR/T0071《金融行业信息系统信息安全等级保护实施指引》要求重复的内容(2012年版的6.1.4、6.2);
修改了客户端安全的表述,补充了自身防护、敏感信息保护等安全要求(见6.2.1.1,2012年版的6.1.1);
增加了条码支付相关要求(见6.2.1.1、6.2.4.3)
修改了专用安全设备的安全要求,并改名为“专用安全机制”(见6.2.2,2012年版的6.1.2);增加了安全单元和移动终端支付可信环境相关要求(见6.2.2.1、6.2.2.5);增加了生物特征相关要求(见6.2.2.5);
增加了云计算安全相关要求(见6.2.4.1、6.3.1);
本标准规定了网上银行系统安全技术要求、安全管理要求、业务运营安全要求,为网上银行系统建设、运营及测评提供了依据。 本标准适用于中华人民共和国境内设立的商业银行等银行业金融机构所运营的网上银行系统,其他金融机构提供网上金融服务的业务系统宜参照本标准执行。 注1:本标准分为基本要求和增强要求两个层次,基本要求为最低安全要求,增强要求是进一步提升系统安全性的 要求。各单位应在遵照执行基本要求的同时,按照增强要求,积极采取改进措施,不断提高安全保障能力。 注2:本标准条款中如无特别指明“企业网银”,则同时适用于个人网银和企业网银。
本标准按照GB/T 1.1—2009给出的规则起草。
本标准代替JR/T 0068—2012《网上银行系统信息安全通用规范》。
本标准与JR/T 0068—2012相比,主要变化如下:
——增加了 SM 系列算法相关要求(见 5.4);
——删除了与 JR/T 0071《金融行业信息系统信息安全等级保护实施指引》要求重复的内容(2012年版的 6.1.4、6.2);
——修改了客户端安全的表述,补充了自身防护、敏感信息保护等安全要求(见 6.2.1.1,2012 年版的 6.1.1);
——增加了条码支付相关要求(见 6.2.1.1、6.2.4.3);
——修改了专用安全设备的安全要求,并改名为“专用安全机制”(见 6.2.2,2012 年版的 6.1.2);
——增加了安全单元和移动终端支付可信环境相关要求(见 6.2.2.1、6.2.2.5);
——增加了生物特征相关要求(见 6.2.2.5);
——增加了云计算安全相关要求(见 6.2.4.1、6.3.1);
——增加了 IPv6 相关要求(见 6.2.4.3);
——增加了虚拟化安全相关要求(见 6.2.4.4);
——增加了网上银行系统与外部系统连接安全的基本描述和安全要求(见 6.2.5);
——修改了业务连续性与灾难恢复安全要求(见 6.3.7,2012 年版的 6.2.6 中的 k、l);
——修改了安全事件与应急响应的安全要求(见 6.3.8,2012 年版的 6.2.6 中的 m、n);
——增加了Ⅱ、Ⅲ类银行结算账户及交易安全锁相关要求(见 6.4.1);
——删除了附录中的基本的网络防护架构参考图、增强的网络防护架构参考图和物理安全(2012年版的附录 A、附录 B、附录 C)。
本标准由中国人民银行提出。
本标准由全国金融标准化技术委员会(SAC/TC 180)归口。
本标准起草单位:中国人民银行科技司、中国银联股份有限公司、银行卡检测中心、中国工商银行股份有限公司、中国建设银行股份有限公司、中国农业银行股份有限公司、中国邮政储蓄银行股份有限公司、招商银行股份有限公司、中国民生银行股份有限公司、国家信息技术安全研究中心、中金金融认证中心有限公司。
本标准主要起草人:李伟、陈立吾、车珍、周恒、昝新、夏磊、闫晋国、曲维民、沈筱彦、赵乔伟、何朔、华锦芝、杨阳、徐燕军、章明、汤洋、渠韶光、孟飞宇、张志波、高志民、孙茂增、高强裔、马哲、李博文、赵梦洁、李京春、李冰、曹岳、苏建明、姜城、伍红卫、李徽、王宁、杨杰、廖敏飞、刘红波、梁智扬、廖渊、夏雷、梁剑锋、吴欣、李晓、武德港、李强、曾庆祥、季小杰、李超、马春旺、赵胜利、黄春芳、薛金川、蒋健骁、李为、侯漫丽。
本标准所代替标准的历次版本发布情况为:
——JR/T 0068—2012。
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 25069—2010 信息安全技术 术语
GB/T 27912—2011 金融服务 生物特征识别 安全框架
GM/Z 0001—2013 密码术语
GM/T 0002—2012 SM4分组密码算法
GM/T 0003—2012 SM2椭圆曲线公钥密码算法
GM/T 0004—2012 SM3密码杂凑算法
GM/T 0021—2012 动态口令密码应用技术规范
JR/T 0071 金融行业网络安全等级保护实施指引
JR/T 0098.5 中国金融移动支付 检测规范 第5部分:安全单元(SE)嵌入式软件安全
JR/T 0118—2015 金融电子认证规范
JR/T 0149—2016 中国金融移动支付 支付标记化技术规范
JR/T 0156—2017 移动终端支付可信环境技术规范
JR/T 0166—2018 云计算技术金融应用规范 技术架构
JR/T 0167—2018 云计算技术金融应用规范 安全技术要求
JR/T 0168—2018 云计算技术金融应用规范 容灾
中国人民银行关于改进个人银行账户服务加强账户管理的通知(银发〔2015〕392号),2015-12-25
中国人民银行关于进一步加强银行卡风险管理的通知(银发〔2016〕170号),2016-06-13
中国人民银行关于加强支付结算管理 防范电信网络新型违法犯罪有关事项的通知(银发〔2016〕261号),2016-09-30
中国人民银行关于落实个人银行账户分类管理制度的通知(银发〔2016〕302号),2016-11-25
中国人民银行办公厅关于强化银行卡磁条交易安全管理的通知(银办发〔2017〕120号),2017-05-31
条码支付安全技术规范(试行)(银办发〔2017〕242号文印发),2017-12-22
中国人民银行关于改进个人银行账户分类管理有关事项的通知(银发〔2018〕16号),2018-01-10
中国人民银行关于进一步加强支付结算管理防范电信网络新型违法犯罪有关事项的通知(银发〔2019〕85号),2019-03-22
前 言 II
引 言 III
1 范围 1
2 规范性引用文件 1
3 术语和定义 2
4 缩略语 3
5 网上银行系统概述 4
6 安全规范 7
参考文献 32
标准名称:网上银行系统信息安全通用规范
英文名称:General specification of information security for internet banking system
标准格式:PDF
发布时间:2020-02-05
实施时间:2020-02-05
标准大小:2.16M
标准介绍:本标准规定了网上银行系统安全技术要求、安全管理要求、业务运营安全要求,为网上银行系统建设、运营及测评提供了依据。
本标准适用于中华人民共和国境内设立的商业银行等银行业金融机构所运营的网上银行系统,其他金融机构提供网上金融服务的业务系统宜参照本标准执行。
注1:本标准分为基本要求和增强要求两个层次,基本要求为最低安全要求,增强要求是进一步提升系统安全性的要求。各单位应在遵照执行基本要求的问时按照增强要求,积极采取改进措施,不断捉高安全保障能力。
注2:本标准条敬中如无特别指明“企业网银”,则同时适用于个人网银和企业网银。
本标准按照GB/T1.1-2009给出的规则起草。
本标准代替JR/T0068-2012《网上银行系统信息安全通用规范》
本标准与R/T0068-2012相比,主要变化如下:
增加了SM系列算法相关要求(见5.4);
除了与JR/T0071《金融行业信息系统信息安全等级保护实施指引》要求重复的内容(2012年版的6.1.4、6.2);
修改了客户端安全的表述,补充了自身防护、敏感信息保护等安全要求(见6.2.1.1,2012年版的6.1.1);
增加了条码支付相关要求(见6.2.1.1、6.2.4.3)
修改了专用安全设备的安全要求,并改名为“专用安全机制”(见6.2.2,2012年版的6.1.2);增加了安全单元和移动终端支付可信环境相关要求(见6.2.2.1、6.2.2.5);增加了生物特征相关要求(见6.2.2.5);
增加了云计算安全相关要求(见6.2.4.1、6.3.1);
本标准规定了网上银行系统安全技术要求、安全管理要求、业务运营安全要求,为网上银行系统建设、运营及测评提供了依据。 本标准适用于中华人民共和国境内设立的商业银行等银行业金融机构所运营的网上银行系统,其他金融机构提供网上金融服务的业务系统宜参照本标准执行。 注1:本标准分为基本要求和增强要求两个层次,基本要求为最低安全要求,增强要求是进一步提升系统安全性的 要求。各单位应在遵照执行基本要求的同时,按照增强要求,积极采取改进措施,不断提高安全保障能力。 注2:本标准条款中如无特别指明“企业网银”,则同时适用于个人网银和企业网银。
本标准按照GB/T 1.1—2009给出的规则起草。
本标准代替JR/T 0068—2012《网上银行系统信息安全通用规范》。
本标准与JR/T 0068—2012相比,主要变化如下:
——增加了 SM 系列算法相关要求(见 5.4);
——删除了与 JR/T 0071《金融行业信息系统信息安全等级保护实施指引》要求重复的内容(2012年版的 6.1.4、6.2);
——修改了客户端安全的表述,补充了自身防护、敏感信息保护等安全要求(见 6.2.1.1,2012 年版的 6.1.1);
——增加了条码支付相关要求(见 6.2.1.1、6.2.4.3);
——修改了专用安全设备的安全要求,并改名为“专用安全机制”(见 6.2.2,2012 年版的 6.1.2);
——增加了安全单元和移动终端支付可信环境相关要求(见 6.2.2.1、6.2.2.5);
——增加了生物特征相关要求(见 6.2.2.5);
——增加了云计算安全相关要求(见 6.2.4.1、6.3.1);
——增加了 IPv6 相关要求(见 6.2.4.3);
——增加了虚拟化安全相关要求(见 6.2.4.4);
——增加了网上银行系统与外部系统连接安全的基本描述和安全要求(见 6.2.5);
——修改了业务连续性与灾难恢复安全要求(见 6.3.7,2012 年版的 6.2.6 中的 k、l);
——修改了安全事件与应急响应的安全要求(见 6.3.8,2012 年版的 6.2.6 中的 m、n);
——增加了Ⅱ、Ⅲ类银行结算账户及交易安全锁相关要求(见 6.4.1);
——删除了附录中的基本的网络防护架构参考图、增强的网络防护架构参考图和物理安全(2012年版的附录 A、附录 B、附录 C)。
本标准由中国人民银行提出。
本标准由全国金融标准化技术委员会(SAC/TC 180)归口。
本标准起草单位:中国人民银行科技司、中国银联股份有限公司、银行卡检测中心、中国工商银行股份有限公司、中国建设银行股份有限公司、中国农业银行股份有限公司、中国邮政储蓄银行股份有限公司、招商银行股份有限公司、中国民生银行股份有限公司、国家信息技术安全研究中心、中金金融认证中心有限公司。
本标准主要起草人:李伟、陈立吾、车珍、周恒、昝新、夏磊、闫晋国、曲维民、沈筱彦、赵乔伟、何朔、华锦芝、杨阳、徐燕军、章明、汤洋、渠韶光、孟飞宇、张志波、高志民、孙茂增、高强裔、马哲、李博文、赵梦洁、李京春、李冰、曹岳、苏建明、姜城、伍红卫、李徽、王宁、杨杰、廖敏飞、刘红波、梁智扬、廖渊、夏雷、梁剑锋、吴欣、李晓、武德港、李强、曾庆祥、季小杰、李超、马春旺、赵胜利、黄春芳、薛金川、蒋健骁、李为、侯漫丽。
本标准所代替标准的历次版本发布情况为:
——JR/T 0068—2012。
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 25069—2010 信息安全技术 术语
GB/T 27912—2011 金融服务 生物特征识别 安全框架
GM/Z 0001—2013 密码术语
GM/T 0002—2012 SM4分组密码算法
GM/T 0003—2012 SM2椭圆曲线公钥密码算法
GM/T 0004—2012 SM3密码杂凑算法
GM/T 0021—2012 动态口令密码应用技术规范
JR/T 0071 金融行业网络安全等级保护实施指引
JR/T 0098.5 中国金融移动支付 检测规范 第5部分:安全单元(SE)嵌入式软件安全
JR/T 0118—2015 金融电子认证规范
JR/T 0149—2016 中国金融移动支付 支付标记化技术规范
JR/T 0156—2017 移动终端支付可信环境技术规范
JR/T 0166—2018 云计算技术金融应用规范 技术架构
JR/T 0167—2018 云计算技术金融应用规范 安全技术要求
JR/T 0168—2018 云计算技术金融应用规范 容灾
中国人民银行关于改进个人银行账户服务加强账户管理的通知(银发〔2015〕392号),2015-12-25
中国人民银行关于进一步加强银行卡风险管理的通知(银发〔2016〕170号),2016-06-13
中国人民银行关于加强支付结算管理 防范电信网络新型违法犯罪有关事项的通知(银发〔2016〕261号),2016-09-30
中国人民银行关于落实个人银行账户分类管理制度的通知(银发〔2016〕302号),2016-11-25
中国人民银行办公厅关于强化银行卡磁条交易安全管理的通知(银办发〔2017〕120号),2017-05-31
条码支付安全技术规范(试行)(银办发〔2017〕242号文印发),2017-12-22
中国人民银行关于改进个人银行账户分类管理有关事项的通知(银发〔2018〕16号),2018-01-10
中国人民银行关于进一步加强支付结算管理防范电信网络新型违法犯罪有关事项的通知(银发〔2019〕85号),2019-03-22
前 言 II
引 言 III
1 范围 1
2 规范性引用文件 1
3 术语和定义 2
4 缩略语 3
5 网上银行系统概述 4
6 安全规范 7
参考文献 32
标准图片预览
标准内容
ICS35.240.40
iiiKAa~cJouakAa
中华人民共和国金融行业标准
JR/T0068—2020
代替JR/T0068—2012
网上银行系统信息安全通用规范General specification of information security for internet banking system2020-02-05发布
中国人民银行
2020-02-05实施
1范围
2规范性引用文件
3术语和定义
4缩略语
5网上银行系统概述
6安全规范
参考文献
iiikAa~cJouakAa-
JR/T0068—2020
JR/T00682020
iiiKAa~cJouaKAa
本标准按照GB/T1.1一2009给出的规则起草。本标准代替JR/T0068—2012《网上银行系统信息安全通用规范》=。本标准与JR/T0068—2012相比,主要变化如下:一增加了SM系列算法相关要求(见5.4);一删除了与JR/T0071《金融行业信息系统信息安全等级保护实施指引》要求重复的内容(2012年版的6.1.4、6.2);
一一修改了客户端安全的表述,补充了自身防护、敏感信息保护等安全要求(见6.2.1.1,2012年版的6.1.1);
增加了条码支付相关要求(见6.2.1.1、6.2.4.3);一修改了专用安全设备的安全要求,并改名为“专用安全机制”(见6.2.2,2012年版的6.1.2);—增加了安全单元和移动终端支付可信环境相关要求(见6.2.2.1、6.2.2.5);一增加了生物特征相关要求(见6.2.2.5);一增加了云计算安全相关要求(见6.2.4.1、6.3.1);增加了IPv6相关要求(见6.2.4.3):一增加了虚拟化安全相关要求(见6.2.4.4):增加了网上银行系统与外部系统连接安全的基本描述和安全要求(见6.2.5);修改了业务连续性与灾难恢复安全要求(见6.3.7,2012年版的6.2.6中的k、1):修改了安全事件与应急响应的安全要求(见6.3.8,2012年版的6.2.6中的m、n);一增加了II、IⅢI类银行结算账户及交易安全锁相关要求(见6.4.1);一删除了附录中的基本的网络防护架构参考图、增强的网络防护架构参考图和物理安全(2012年版的附录A、附录B、附录C)。本标准由中国人民银行提出。
本标准由全国金融标准化技术委员会(SAC/TC180)归口。本标准起草单位:中国人民银行科技司、中国银联股份有限公司、银行卡检测中心、中国工商银行股份有限公司、中国建设银行股份有限公司、中国农业银行股份有限公司、中国邮政储蓄银行股份有限公司、招商银行股份有限公司、中国民生银行股份有限公司、国家信息技术安全研究中心、中金金融认证中心有限公司。
本标准主要起草人:李伟、陈立吾、车珍、周恒、智新、夏磊、闫晋国、曲维民、沈筱彦、赵乔伟、何朔、华锦芝、杨阳、徐燕军、章明、汤洋、渠韶光、孟飞宇、张志波、高志民、孙茂增、高强裔、马哲、李博文、赵梦洁、李京春、李冰、曹岳、苏建明、姜城、伍红卫、李徽、王宁、杨杰、廖敏飞、刘红波、梁智扬、廖渊、夏雷、梁剑锋、吴欣、李晓、武德港、李强、曾庆祥、季小杰、李超、马春旺、赵胜利、黄春芳、薛金川、蒋健骁、李为、侯漫丽。本标准所代替标准的历次版本发布情况为:JR/T0068—2012。
iiiKAa~cJouaKAa
JR/T00682020
本标准通过收集、分析在评估检查中发现的网上银行系统信息安全问题和已发生的网上银行案件,针对性地提出安全要求。
本标准旨在有效增强现有网上银行系统安全防范能力,促进网上银行规范、健康发展。本标准既可作为各单位网上银行系统建设、改造升级以及开展安全检查、内部审计的安全性依据,也可作为行业主管部门、专业检测机构进行检查、检测及认证的依据。III
1范围
iiiKAa~cJouaKAa
网上银行系统信息安全通用规范JR/T00682020
本标准规定了网上银行系统安全技术要求、安全管理要求、业务运营安全要求,为网上银行系统建设、运营及测评提供了依据。
本标准适用于中华人民共和国境内设立的商业银行等银行业金融机构所运营的网上银行系统,其他金融机构提供网上金融服务的业务系统宜参照本标准执行。注1:本标准分为基本要求和增强要求两个层次,基本要求为最低安全要求,增强要求是进一步提升系统安全性的要求。各单位应在遵照执行基本要求的同时,按照增强要求,积极采取改进措施,不断提高安全保障能力。注2:本标准条款中如无特别指明“企业网银”,则同时适用于个人网银和企业网银。规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T25069—2010
GB/T27912—2011
GM/Z0001—2013
GM/T 0002—2012
GM/T 0003—2012
GM/T 0004—2012
信息安全技术术语
金融服务生物特征识别
安全框架
密码术语
SM4分组密码算法
SM2椭圆曲线公钥密码算法
SM3密码杂凑算法
GM/T0021—2012
动态口令密码应用技术规范
JR/T0071
金融行业网络安全等级保护实施指引JR/T 0098.5
中国金融移动支付检测规范第5部分:安全单元(SE)嵌入式软件安全JR/T0118—2015
金融电子认证规范
JR/T0149—2016
中国金融移动支付支付标记化技术规范JR/T0156—2017
移动终端支付可信环境技术规范JR/T0166—2018
云计算技术金融应用规范技术架构JR/T0167—2018
云计算技术金融应用规范安全技术要求JR/T0168一2018云计算技术金融应用规范容灾中国人民银行关于改进个人银行账户服务加强账户管理的通知(银发(2015)392号),2015-12-25中国人民银行关于进步加强银行卡风险管理的通知(银发(2016)170号),2016-06-13中国人民银行关于加强支付结算管理防范电信网络新型违法犯罪有关事项的通知(银发(2016261号),2016-09-30
中国人民银行关于落实个人银行账户分类管理制度的通知(银发(2016)302号),2016-11-25中国人民银行办公厅关于强化银行卡磁条交易安全管理的通知(银办发(2017)120号),2017-05-31条码支付安全技术规范(试行)(银办发(2017)242号文印发),2017-12-22中国人民银行关于改进个人银行账户分类管理有关事项的通知(银发(2018)16号),2018-01-101
JR/T0068—2020
iiiKAa~cJouaKAa
中国人民银行关于进一步加强支付结算管理防范电信网络新型违法犯罪有关事项的通知(银发(2019)85号),2019-03-22
3术语和定义
GB/T25069一2010、GM/Z0001一2013界定的以及下列术语和定义适用于本文件。为了便于使用以下重复列出了GM/Z0001一2013中的一些术语和定义。3.1
网上银行internetbanking
商业银行等银行业金融机构通过互联网、移动通信网络、其他开放性公众网络或专用网络基础设施向其客户提供的网上金融服务。3.2
个人网银personalinternetbanking商业银行等银行业金融机构面向个人用户提供的网上金融服务。3.3
企业网银corporateinternetbanking商业银行等银行业金融机构面向企事业单位和其他组织提供的网上金融服务。3.4
支付敏感信息paymentsensitiveinformation影响网上银行安全的密码、密钥以及交易敏感数据等。注:密码包括但不限于转账密码、查询密码、登录密码、证书的PIN等,密钥包括但不限于用于确保通讯安全、报文完整性等的对称密钥、私钥等,交易敏感数据包括但不限于完整磁道信息、有效期、CVN、CVN2等。3.5
移动终端mobile terminal
区别于PC机方式,以手机、平板电脑、可穿戴设备等访问网上银行的移动设备。3.6
客户端程序clientprogram
为网上银行客户提供人机交互功能的程序,以及提供必需功能的组件。注:包括但不限于可执行文件、控件、静态链接库、动态链接库等。本标准中客户端程序包括运行于移动终端上的应用软件,不包括IE等通用浏览器。3.7
智能密码钥匙cryptographicsmarttoken提供密码运算、密钥管理等密码服务的终端密码设备,一般使用USB、蓝牙、音频、SD等接口形态3.8
智能密码钥匙固件cryptographicsmarttokenfirmware2
iiiKAa~cJouaKAa
内置在智能密码钥匙内的影响智能密码钥匙安全的程序代码动态令one-time-password(oTP),dynamicpassword基于时间、事件等方式动态生成的一次性口令。[GM/Z0001—2013,定义2.15]
动态口令令牌onetimepasswordtoken用来生成动态口令的设备。
[GM/Z0001—2013,定义2.16]
生物特征biometric
JR/T00682020
人类生理上的或行为上的可测量特征,并由此可以可靠地区分某个人不同于其他人,以便识别登记者的身份,或者确认其所声称的已登记的身份。[GM/Z0001—2013,定义4.4]
资金类交易fundstransaction
通过网上银行进行的资金操作交易。注:例如,转账、订单支付、缴费等。本人名下的投资理财、托管账户以及本人签订委托代扣协议的委托代扣等风险可控的资金变动不属于此范畴。3.13
信息及业务变更类交易information and business changingtransaction通过网上银行变更客户相关信息或开通、取消业务的交易。注:例如,客户修改基本信息、调整交易额度、授权委托交易、修改交易订单、开通(签订)新业务、取消某项业务,电子合同签署、电子保单等。4缩略语
下列缩略语适用于本文件。
CDN:内容分发网络(ContentDeliveryNetwork)CoS:芯片操作系统(ChipOperatingSystem)DHCP:动态主机配置协议(DynamicHostConfigurationProtocol)DNS:域名系统(DomainNameSystem)DoS/DDoS:拒绝服务/分布式拒绝服务(DenialofService/DistributedDenialofService)ESN:电子序列号(ElectronicSerialNumber)IDS/IPS:入侵检测系统/入侵防御系统(IntrusionDetectionSystem/IntrusionPreventiorSystem)
IMEI:国际移动设备身份码(InternationalMobileEquipmentIdentity)IMSI:国际移动用户识别码(InternationalMobileSubscriberIdentificationNumber)3
JR/T00682020
iiiKAa~cJouaKAa
IPSec:互联网安全协议(InternetProtocolSecurity)IPv4:互联网协议第4版(InternetProtocolVersion4)IPv6:互联网协议第6版(InternetProtocolVersion6)MAC:消息认证码(MessageAuthenticationCode)MEID:移动设备识别码(MobileEquipmentIdentifier)NTP:网络时间协议(NetworkTimeProtocol)SD:安全数码(SecureDigital)SDK:软件开发工具包(SoftwareDevelopmentKit)SE:安全单元(SecureElement)SEMA/DEMA:简单电磁分析/差分电磁分析(SimpleElectromagnetismAnalysis/DifferentialElectromagnetismAnalysis)
SPA/DPA:简单能量分析/差分能量分析(SimplePowerAnalysis/DifferentialPowerAnalysis)TEE:可信执行环境(TrustedExecutionEnvironment)USB:通用串行总线(UniversalSerialBus)VPN:虚拟专用网络(VirtualPrivateNetwork)5网上银行系统概述
5.1系统标识
在系统标识中应标明以下内容:一一名称:××银行网上银行系统:一一所属银行。
5.2系统描述
网上银行系统将传统的银行业务同互联网等资源和技术进行融合,将传统的柜台通过互联网、移动通信网络、其他开放性公众网络或专用网络向客户进行延伸,是商业银行等银行业金融机构在网络经济的环境下,开拓新业务、方便客户操作、改善服务质量、推动生产关系等变革的重要举措,提高了商业银行等银行业金融机构的社会效益和经济效益。网上银行系统主要包括通过PC、手机、平板电脑、智能电视、可穿戴设备等终端访问的网上银行系统,例如,手机银行、微信银行、直销银行、银企直联、小微企业银行等系统。网上银行系统涵盖个人网银系统和企业网银系统,5.3系统组成部分
5.3.1概述
网上银行系统主要由客户端、通信网络和服务器端组成,并可通过不同类型的通信网络连接到外部系统,开展各类合作业务,其中服务器端包括网上银行访问子网、网上银行业务系统、中间隔离设备和银行处理系统等,如图1所示。
客户端
专用安全
通信网络
服务器端
ikAa~cJouakAa
外部区域
互联网
安全区域
安全区域二
银行内部系统
隔离设备
外部系统
网上银行访问子网
隔离设备
网上银行业务系统
隔离设备
银行处理系统
网上银行系统组成示意图
JR/T00682020
评估边界1
评估边界2
评估边界3
JR/T00682020
iiiKAa~cJouaKAa
注1:外部区域:网上银行的用户或外部机构,利用网上银行客户端,通过互联网、移动通信网络、其他开放性公众或专用网络访问网上银行业务系统:注2:安全区域一:网上银行访问子网,提供基于WEB、客户端的访问或跳转服务注3:安全区域二:网上银行业务系统,主要进行网上银行的业务处理;注4:银行内部系统:银行处理系统,主要进行银行内部的数据处理:注5:隔离设备:不限于硬件或软件等具体形态,主要起到隔离不同安全区域的作用。5.3.2客户端
网上银行系统客户端主要包括客户端程序和客户端环境。客户端环境是指客户端程序所在的硬件终端(目前主要包括PC、手机、平板电脑、智能电视、可穿戴设备等终端,将来可能包括其他形式的终端)及该终端上的操作系统、浏览器和其他程序所组成的整体运行环境。客户端环境通常不具备或不完全具备专用金融交易设备的可信输入能力、可信输出能力、可信通讯能力、可信存储能力和可信计算能力因此,需要使用专用安全机制,并通过接受、减轻、规避及转移的策略来应对交易风险。金融机构应从软硬件合法性验证、程序完整性保护、数据访问控制、数据输入安全、数据传输安全、数据存储安全以及可信执行环境等方面保证客户端的安全性。5.3.3通信网络
网上银行借助互联网、移动通信网络等技术向客户提供金融服务,易受到通讯层面的安全威胁,金融机构应从通讯协议、安全认证、通信链路安全等层面,采取措施有效应对相关风险。5.3.4服务器端
网上银行系统服务器端提供网上银行应用服务和核心业务处理功能,金融机构应充分利用物理环境、通信网络、计算环境等领域的防护技术,在攻击者和受保护的资源间建立多道严密的安全防线。5.3.5与外部系统连接
网上银行除直接向用户提供金融服务外,也可能与外部机构开展业务合作。在网上银行系统设计、开发、部署和运营过程中,应充分考虑外部机构的系统可能存在的安全风险,并针对各类风险进行有效防护。bzxZ.net
5.4系统安全性描述
网上银行系统应根据应用系统、客户对象、数据敏感程度等划分安全域。通过对安全域的描述和界定,可更好地对网上银行系统信息安全保障进行描述。金融机构应采取专用安全机制,包括数字证书、动态口令、短信验证码、生物特征等,保障网上银行系统安全。金融机构应按照其在交易中具备的可信通讯能力、可信输入能力、可信输出能力、可信存储能力和可信计算能力五种能力的组合对安全机制进行分类管理,并制定与之适应的交易安全风险防范策略。
金融机构在网上银行系统中应用云计算技术前,应结合网上银行系统的业务重要性和数据敏感性、发生安全事件的危害程度等,充分评估应用云计算技术的科学性、安全性和可靠性,在确保系统业务连续性、数据和资金安全的前提下,秉持安全优先、对用户负责的原则,充分评估可能存在的风险隐惠,谨慎选用与业务系统相适应的金融领域云计算部署模式。网上银行系统在采用云计算技术时应遵循JR/T0166—2018、JR/T0167—2018、JR/T0168—2018等技术标准与行业主管部门的相关要求。6
iiiKAa~cJouaKAa
JR/T0068—2020
网上银行系统在使用密码算法时应符合国家密码主管部门的要求,在支付敏感信息加密及传输、数字证书签名及验签等环节宜支持并优先使用SM系列密码算法(GM/T0002一2012、GM/T0003一2012、GM/T0004—2012)。
6安全规范
6.1概述
本规范分为安全技术规范、安全管理规范和业务运营安全规范三个部分。金融机构应针对不同的业务类型采取相应级别的安全保障措施。考虑到业务相关性,本规范还包含针对网上银行系统外部连接的安全要求。网上银行系统应按照网络安全等级保护第三级安全要求进行建设与运维管理。6.2安全技术规范
6.2.1客户端安全
6.2.1.1客户端程序
基本要求
a)客户端程序开发设计过程中应注意规避各系统组件、第三方组件、SDK存在的安全风险,应对开发框架和技术路线进行严格的论证,必要时应进行选型安全测试。b)
客户端程序应具有明确的应用标识符和版本序号,设计合理的更新接口,当某一版本被证明存在重大安全隐患时,提示并强制要求用户更新客户端。客户端程序的每次更新、升级,应进行源代码审计、安全活动审查和严格归档,以保证客户端程序不存在隐藏的非法功能和后门。应采用安全的方式对客户端程序进行签名,标识客户端程序的来源和发布者,保证客户所下载d
的客户端程序来源于所信任的机构。客户端程序在启动和更新时应进行真实性、完整性校验(例如,联机动态校验等),防范客户e)
端程序被篡改或替换。
客户端程序应采取代码混淆、加壳等安全机制,防止客户端程序被逆向分析,确保客户端的敏感逻辑及数据的机密性、完整性。客户端程序应保证自身的安全性,避免代码注入、缓冲区溢出、非法提权等漏洞。客户端程序应采取进程保护措施,防止非法程序获取该进程的访问权限,扫描内存中的敏感数h)
据或替换客户端页面等
客户端程序应对关键界面采用反录屏等技术,防范非法程序通过拷屏等方式获取支付敏感信i
客户端程序应提供客户输入支付敏感信息的即时防护功能,并对内存中的支付敏感信息进行保j
护,例如,采取逐字符加密、自定义软键盘、防范键盘窃听技术等措施。k)
客户端软件不应以任何形式在本地存储用户的支付敏感信息,存储位置包括但不限于Cookies、本地临时文件和移动数据库文件等。客户端程序应采取有效措施保证所涉及密钥的机密性和完整性。客户端程序应采取措施对密码复杂度进行校验,保证用户设置的密码达到一定的强度。客户端程序密码框应禁止明文显示密码,应使用同一特殊字符(例如,*或·)代替。客户端程序登录后在一段时间内无任何操作,应自动登出,重新登录才能继续使用。7
JR/T00682020
iiiKAa~cJouaKAa
客户端程序应配合服务器端采取有效措施,对登录请求、服务请求以及数据库查询等资源消耗p)
较高行为的频率进行合理限制。q)
客户端程序具备条码生成、展示或识读解析功能时,应符合《条码支付安全技术规范(试行)》(银办发(2017)242号文印发)要求。r)
客户端程序应能够有效屏蔽系统技术错误信息,不将系统产生的错误信息直接反馈给客户。客户端程序应支持通过IPv6连接访问网络服务,在IPv4/IPv6双栈支持的情况下,优先采用s
IPv6连接访问。
客户端程序应具备隐私政策。
客户端程序在收集、使用客户信息之前,应明示收集、使用信息的目的、方式和范围,公开其收集、使用规则,并取得客户的明示同意。在采集客户个人敏感信息前应对采集的用途和必要性进行提醒
客户端程序应禁止访问终端中非业务必需的文件和数据。应根据最小权限原则申请系统权限(例如,申请读取通讯录、地理位置等权限),并取得用户的明示同意w)
客户端应保留最少的客户信息,并限制数据存储量和保留时间。x)
客户端程序退出时,应清除非业务功能运行所必须留存的业务数据,保证客户信息的安全性。y)
应采取渠道监控等措施对仿冒客户端程序进行监测。6.2.1.2客户端环境
基本要求:
应对客户端运行环境的安全状况进行检测并尚后台系统反馈,并将此作为风控策略的依据,应采取有效措施提升客户端环境安全级别,针对不同的安全等级采取相应的风险控制措施。b)
应在门户站点等渠道发布客户端环境安全的提示。c
当发现客户端环境存在重大安全缺陷或安全威胁时,应采取必要措施对用户进行警示或拒绝交d)
6.2.2专用安全机制
6.2.2.1智能密码钥匙
本标准所涉及的智能密码钥匙包含目前网上银行系统普遍应用的USBKey、蓝牙Key、音频Key、SDKey等基于硬件的Key产品,也包括将来可能出现的其他基于硬件的Key产品。基本要求:
a)金融机构应使用经国家或行业主管部门认可的第三方专业测评机构检测通过的智能密码钥匙。应在安全环境下完成智能密码钥匙的个人化过程。b)
智能密码钥匙应采用具有密钥生成和数字签名运算能力的智能卡芯片,保证敏感操作在智能密码钥匙内进行。
智能密码钥匙的主文件(MasterFile)应受到CoS安全机制保护,防止非授权的删除和重建。密钥文件在启用期应封闭。
应保证私钥在生成、存储和使用等阶段的安全:·
签名私钥应在智能密码钥匙内部生成,不得固化密钥对和用于生成密钥对的素数。应保证私钥的唯一性。
禁止以任何形式从智能密码钥匙读取私钥或写入签名私钥。私钥文件应与普通文件类型不同,应与密钥文件类型相同或类似。在每次执行签名等敏感操作前,均应首先进行认证。
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
iiiKAa~cJouakAa
中华人民共和国金融行业标准
JR/T0068—2020
代替JR/T0068—2012
网上银行系统信息安全通用规范General specification of information security for internet banking system2020-02-05发布
中国人民银行
2020-02-05实施
1范围
2规范性引用文件
3术语和定义
4缩略语
5网上银行系统概述
6安全规范
参考文献
iiikAa~cJouakAa-
JR/T0068—2020
JR/T00682020
iiiKAa~cJouaKAa
本标准按照GB/T1.1一2009给出的规则起草。本标准代替JR/T0068—2012《网上银行系统信息安全通用规范》=。本标准与JR/T0068—2012相比,主要变化如下:一增加了SM系列算法相关要求(见5.4);一删除了与JR/T0071《金融行业信息系统信息安全等级保护实施指引》要求重复的内容(2012年版的6.1.4、6.2);
一一修改了客户端安全的表述,补充了自身防护、敏感信息保护等安全要求(见6.2.1.1,2012年版的6.1.1);
增加了条码支付相关要求(见6.2.1.1、6.2.4.3);一修改了专用安全设备的安全要求,并改名为“专用安全机制”(见6.2.2,2012年版的6.1.2);—增加了安全单元和移动终端支付可信环境相关要求(见6.2.2.1、6.2.2.5);一增加了生物特征相关要求(见6.2.2.5);一增加了云计算安全相关要求(见6.2.4.1、6.3.1);增加了IPv6相关要求(见6.2.4.3):一增加了虚拟化安全相关要求(见6.2.4.4):增加了网上银行系统与外部系统连接安全的基本描述和安全要求(见6.2.5);修改了业务连续性与灾难恢复安全要求(见6.3.7,2012年版的6.2.6中的k、1):修改了安全事件与应急响应的安全要求(见6.3.8,2012年版的6.2.6中的m、n);一增加了II、IⅢI类银行结算账户及交易安全锁相关要求(见6.4.1);一删除了附录中的基本的网络防护架构参考图、增强的网络防护架构参考图和物理安全(2012年版的附录A、附录B、附录C)。本标准由中国人民银行提出。
本标准由全国金融标准化技术委员会(SAC/TC180)归口。本标准起草单位:中国人民银行科技司、中国银联股份有限公司、银行卡检测中心、中国工商银行股份有限公司、中国建设银行股份有限公司、中国农业银行股份有限公司、中国邮政储蓄银行股份有限公司、招商银行股份有限公司、中国民生银行股份有限公司、国家信息技术安全研究中心、中金金融认证中心有限公司。
本标准主要起草人:李伟、陈立吾、车珍、周恒、智新、夏磊、闫晋国、曲维民、沈筱彦、赵乔伟、何朔、华锦芝、杨阳、徐燕军、章明、汤洋、渠韶光、孟飞宇、张志波、高志民、孙茂增、高强裔、马哲、李博文、赵梦洁、李京春、李冰、曹岳、苏建明、姜城、伍红卫、李徽、王宁、杨杰、廖敏飞、刘红波、梁智扬、廖渊、夏雷、梁剑锋、吴欣、李晓、武德港、李强、曾庆祥、季小杰、李超、马春旺、赵胜利、黄春芳、薛金川、蒋健骁、李为、侯漫丽。本标准所代替标准的历次版本发布情况为:JR/T0068—2012。
iiiKAa~cJouaKAa
JR/T00682020
本标准通过收集、分析在评估检查中发现的网上银行系统信息安全问题和已发生的网上银行案件,针对性地提出安全要求。
本标准旨在有效增强现有网上银行系统安全防范能力,促进网上银行规范、健康发展。本标准既可作为各单位网上银行系统建设、改造升级以及开展安全检查、内部审计的安全性依据,也可作为行业主管部门、专业检测机构进行检查、检测及认证的依据。III
1范围
iiiKAa~cJouaKAa
网上银行系统信息安全通用规范JR/T00682020
本标准规定了网上银行系统安全技术要求、安全管理要求、业务运营安全要求,为网上银行系统建设、运营及测评提供了依据。
本标准适用于中华人民共和国境内设立的商业银行等银行业金融机构所运营的网上银行系统,其他金融机构提供网上金融服务的业务系统宜参照本标准执行。注1:本标准分为基本要求和增强要求两个层次,基本要求为最低安全要求,增强要求是进一步提升系统安全性的要求。各单位应在遵照执行基本要求的同时,按照增强要求,积极采取改进措施,不断提高安全保障能力。注2:本标准条款中如无特别指明“企业网银”,则同时适用于个人网银和企业网银。规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T25069—2010
GB/T27912—2011
GM/Z0001—2013
GM/T 0002—2012
GM/T 0003—2012
GM/T 0004—2012
信息安全技术术语
金融服务生物特征识别
安全框架
密码术语
SM4分组密码算法
SM2椭圆曲线公钥密码算法
SM3密码杂凑算法
GM/T0021—2012
动态口令密码应用技术规范
JR/T0071
金融行业网络安全等级保护实施指引JR/T 0098.5
中国金融移动支付检测规范第5部分:安全单元(SE)嵌入式软件安全JR/T0118—2015
金融电子认证规范
JR/T0149—2016
中国金融移动支付支付标记化技术规范JR/T0156—2017
移动终端支付可信环境技术规范JR/T0166—2018
云计算技术金融应用规范技术架构JR/T0167—2018
云计算技术金融应用规范安全技术要求JR/T0168一2018云计算技术金融应用规范容灾中国人民银行关于改进个人银行账户服务加强账户管理的通知(银发(2015)392号),2015-12-25中国人民银行关于进步加强银行卡风险管理的通知(银发(2016)170号),2016-06-13中国人民银行关于加强支付结算管理防范电信网络新型违法犯罪有关事项的通知(银发(2016261号),2016-09-30
中国人民银行关于落实个人银行账户分类管理制度的通知(银发(2016)302号),2016-11-25中国人民银行办公厅关于强化银行卡磁条交易安全管理的通知(银办发(2017)120号),2017-05-31条码支付安全技术规范(试行)(银办发(2017)242号文印发),2017-12-22中国人民银行关于改进个人银行账户分类管理有关事项的通知(银发(2018)16号),2018-01-101
JR/T0068—2020
iiiKAa~cJouaKAa
中国人民银行关于进一步加强支付结算管理防范电信网络新型违法犯罪有关事项的通知(银发(2019)85号),2019-03-22
3术语和定义
GB/T25069一2010、GM/Z0001一2013界定的以及下列术语和定义适用于本文件。为了便于使用以下重复列出了GM/Z0001一2013中的一些术语和定义。3.1
网上银行internetbanking
商业银行等银行业金融机构通过互联网、移动通信网络、其他开放性公众网络或专用网络基础设施向其客户提供的网上金融服务。3.2
个人网银personalinternetbanking商业银行等银行业金融机构面向个人用户提供的网上金融服务。3.3
企业网银corporateinternetbanking商业银行等银行业金融机构面向企事业单位和其他组织提供的网上金融服务。3.4
支付敏感信息paymentsensitiveinformation影响网上银行安全的密码、密钥以及交易敏感数据等。注:密码包括但不限于转账密码、查询密码、登录密码、证书的PIN等,密钥包括但不限于用于确保通讯安全、报文完整性等的对称密钥、私钥等,交易敏感数据包括但不限于完整磁道信息、有效期、CVN、CVN2等。3.5
移动终端mobile terminal
区别于PC机方式,以手机、平板电脑、可穿戴设备等访问网上银行的移动设备。3.6
客户端程序clientprogram
为网上银行客户提供人机交互功能的程序,以及提供必需功能的组件。注:包括但不限于可执行文件、控件、静态链接库、动态链接库等。本标准中客户端程序包括运行于移动终端上的应用软件,不包括IE等通用浏览器。3.7
智能密码钥匙cryptographicsmarttoken提供密码运算、密钥管理等密码服务的终端密码设备,一般使用USB、蓝牙、音频、SD等接口形态3.8
智能密码钥匙固件cryptographicsmarttokenfirmware2
iiiKAa~cJouaKAa
内置在智能密码钥匙内的影响智能密码钥匙安全的程序代码动态令one-time-password(oTP),dynamicpassword基于时间、事件等方式动态生成的一次性口令。[GM/Z0001—2013,定义2.15]
动态口令令牌onetimepasswordtoken用来生成动态口令的设备。
[GM/Z0001—2013,定义2.16]
生物特征biometric
JR/T00682020
人类生理上的或行为上的可测量特征,并由此可以可靠地区分某个人不同于其他人,以便识别登记者的身份,或者确认其所声称的已登记的身份。[GM/Z0001—2013,定义4.4]
资金类交易fundstransaction
通过网上银行进行的资金操作交易。注:例如,转账、订单支付、缴费等。本人名下的投资理财、托管账户以及本人签订委托代扣协议的委托代扣等风险可控的资金变动不属于此范畴。3.13
信息及业务变更类交易information and business changingtransaction通过网上银行变更客户相关信息或开通、取消业务的交易。注:例如,客户修改基本信息、调整交易额度、授权委托交易、修改交易订单、开通(签订)新业务、取消某项业务,电子合同签署、电子保单等。4缩略语
下列缩略语适用于本文件。
CDN:内容分发网络(ContentDeliveryNetwork)CoS:芯片操作系统(ChipOperatingSystem)DHCP:动态主机配置协议(DynamicHostConfigurationProtocol)DNS:域名系统(DomainNameSystem)DoS/DDoS:拒绝服务/分布式拒绝服务(DenialofService/DistributedDenialofService)ESN:电子序列号(ElectronicSerialNumber)IDS/IPS:入侵检测系统/入侵防御系统(IntrusionDetectionSystem/IntrusionPreventiorSystem)
IMEI:国际移动设备身份码(InternationalMobileEquipmentIdentity)IMSI:国际移动用户识别码(InternationalMobileSubscriberIdentificationNumber)3
JR/T00682020
iiiKAa~cJouaKAa
IPSec:互联网安全协议(InternetProtocolSecurity)IPv4:互联网协议第4版(InternetProtocolVersion4)IPv6:互联网协议第6版(InternetProtocolVersion6)MAC:消息认证码(MessageAuthenticationCode)MEID:移动设备识别码(MobileEquipmentIdentifier)NTP:网络时间协议(NetworkTimeProtocol)SD:安全数码(SecureDigital)SDK:软件开发工具包(SoftwareDevelopmentKit)SE:安全单元(SecureElement)SEMA/DEMA:简单电磁分析/差分电磁分析(SimpleElectromagnetismAnalysis/DifferentialElectromagnetismAnalysis)
SPA/DPA:简单能量分析/差分能量分析(SimplePowerAnalysis/DifferentialPowerAnalysis)TEE:可信执行环境(TrustedExecutionEnvironment)USB:通用串行总线(UniversalSerialBus)VPN:虚拟专用网络(VirtualPrivateNetwork)5网上银行系统概述
5.1系统标识
在系统标识中应标明以下内容:一一名称:××银行网上银行系统:一一所属银行。
5.2系统描述
网上银行系统将传统的银行业务同互联网等资源和技术进行融合,将传统的柜台通过互联网、移动通信网络、其他开放性公众网络或专用网络向客户进行延伸,是商业银行等银行业金融机构在网络经济的环境下,开拓新业务、方便客户操作、改善服务质量、推动生产关系等变革的重要举措,提高了商业银行等银行业金融机构的社会效益和经济效益。网上银行系统主要包括通过PC、手机、平板电脑、智能电视、可穿戴设备等终端访问的网上银行系统,例如,手机银行、微信银行、直销银行、银企直联、小微企业银行等系统。网上银行系统涵盖个人网银系统和企业网银系统,5.3系统组成部分
5.3.1概述
网上银行系统主要由客户端、通信网络和服务器端组成,并可通过不同类型的通信网络连接到外部系统,开展各类合作业务,其中服务器端包括网上银行访问子网、网上银行业务系统、中间隔离设备和银行处理系统等,如图1所示。
客户端
专用安全
通信网络
服务器端
ikAa~cJouakAa
外部区域
互联网
安全区域
安全区域二
银行内部系统
隔离设备
外部系统
网上银行访问子网
隔离设备
网上银行业务系统
隔离设备
银行处理系统
网上银行系统组成示意图
JR/T00682020
评估边界1
评估边界2
评估边界3
JR/T00682020
iiiKAa~cJouaKAa
注1:外部区域:网上银行的用户或外部机构,利用网上银行客户端,通过互联网、移动通信网络、其他开放性公众或专用网络访问网上银行业务系统:注2:安全区域一:网上银行访问子网,提供基于WEB、客户端的访问或跳转服务注3:安全区域二:网上银行业务系统,主要进行网上银行的业务处理;注4:银行内部系统:银行处理系统,主要进行银行内部的数据处理:注5:隔离设备:不限于硬件或软件等具体形态,主要起到隔离不同安全区域的作用。5.3.2客户端
网上银行系统客户端主要包括客户端程序和客户端环境。客户端环境是指客户端程序所在的硬件终端(目前主要包括PC、手机、平板电脑、智能电视、可穿戴设备等终端,将来可能包括其他形式的终端)及该终端上的操作系统、浏览器和其他程序所组成的整体运行环境。客户端环境通常不具备或不完全具备专用金融交易设备的可信输入能力、可信输出能力、可信通讯能力、可信存储能力和可信计算能力因此,需要使用专用安全机制,并通过接受、减轻、规避及转移的策略来应对交易风险。金融机构应从软硬件合法性验证、程序完整性保护、数据访问控制、数据输入安全、数据传输安全、数据存储安全以及可信执行环境等方面保证客户端的安全性。5.3.3通信网络
网上银行借助互联网、移动通信网络等技术向客户提供金融服务,易受到通讯层面的安全威胁,金融机构应从通讯协议、安全认证、通信链路安全等层面,采取措施有效应对相关风险。5.3.4服务器端
网上银行系统服务器端提供网上银行应用服务和核心业务处理功能,金融机构应充分利用物理环境、通信网络、计算环境等领域的防护技术,在攻击者和受保护的资源间建立多道严密的安全防线。5.3.5与外部系统连接
网上银行除直接向用户提供金融服务外,也可能与外部机构开展业务合作。在网上银行系统设计、开发、部署和运营过程中,应充分考虑外部机构的系统可能存在的安全风险,并针对各类风险进行有效防护。bzxZ.net
5.4系统安全性描述
网上银行系统应根据应用系统、客户对象、数据敏感程度等划分安全域。通过对安全域的描述和界定,可更好地对网上银行系统信息安全保障进行描述。金融机构应采取专用安全机制,包括数字证书、动态口令、短信验证码、生物特征等,保障网上银行系统安全。金融机构应按照其在交易中具备的可信通讯能力、可信输入能力、可信输出能力、可信存储能力和可信计算能力五种能力的组合对安全机制进行分类管理,并制定与之适应的交易安全风险防范策略。
金融机构在网上银行系统中应用云计算技术前,应结合网上银行系统的业务重要性和数据敏感性、发生安全事件的危害程度等,充分评估应用云计算技术的科学性、安全性和可靠性,在确保系统业务连续性、数据和资金安全的前提下,秉持安全优先、对用户负责的原则,充分评估可能存在的风险隐惠,谨慎选用与业务系统相适应的金融领域云计算部署模式。网上银行系统在采用云计算技术时应遵循JR/T0166—2018、JR/T0167—2018、JR/T0168—2018等技术标准与行业主管部门的相关要求。6
iiiKAa~cJouaKAa
JR/T0068—2020
网上银行系统在使用密码算法时应符合国家密码主管部门的要求,在支付敏感信息加密及传输、数字证书签名及验签等环节宜支持并优先使用SM系列密码算法(GM/T0002一2012、GM/T0003一2012、GM/T0004—2012)。
6安全规范
6.1概述
本规范分为安全技术规范、安全管理规范和业务运营安全规范三个部分。金融机构应针对不同的业务类型采取相应级别的安全保障措施。考虑到业务相关性,本规范还包含针对网上银行系统外部连接的安全要求。网上银行系统应按照网络安全等级保护第三级安全要求进行建设与运维管理。6.2安全技术规范
6.2.1客户端安全
6.2.1.1客户端程序
基本要求
a)客户端程序开发设计过程中应注意规避各系统组件、第三方组件、SDK存在的安全风险,应对开发框架和技术路线进行严格的论证,必要时应进行选型安全测试。b)
客户端程序应具有明确的应用标识符和版本序号,设计合理的更新接口,当某一版本被证明存在重大安全隐患时,提示并强制要求用户更新客户端。客户端程序的每次更新、升级,应进行源代码审计、安全活动审查和严格归档,以保证客户端程序不存在隐藏的非法功能和后门。应采用安全的方式对客户端程序进行签名,标识客户端程序的来源和发布者,保证客户所下载d
的客户端程序来源于所信任的机构。客户端程序在启动和更新时应进行真实性、完整性校验(例如,联机动态校验等),防范客户e)
端程序被篡改或替换。
客户端程序应采取代码混淆、加壳等安全机制,防止客户端程序被逆向分析,确保客户端的敏感逻辑及数据的机密性、完整性。客户端程序应保证自身的安全性,避免代码注入、缓冲区溢出、非法提权等漏洞。客户端程序应采取进程保护措施,防止非法程序获取该进程的访问权限,扫描内存中的敏感数h)
据或替换客户端页面等
客户端程序应对关键界面采用反录屏等技术,防范非法程序通过拷屏等方式获取支付敏感信i
客户端程序应提供客户输入支付敏感信息的即时防护功能,并对内存中的支付敏感信息进行保j
护,例如,采取逐字符加密、自定义软键盘、防范键盘窃听技术等措施。k)
客户端软件不应以任何形式在本地存储用户的支付敏感信息,存储位置包括但不限于Cookies、本地临时文件和移动数据库文件等。客户端程序应采取有效措施保证所涉及密钥的机密性和完整性。客户端程序应采取措施对密码复杂度进行校验,保证用户设置的密码达到一定的强度。客户端程序密码框应禁止明文显示密码,应使用同一特殊字符(例如,*或·)代替。客户端程序登录后在一段时间内无任何操作,应自动登出,重新登录才能继续使用。7
JR/T00682020
iiiKAa~cJouaKAa
客户端程序应配合服务器端采取有效措施,对登录请求、服务请求以及数据库查询等资源消耗p)
较高行为的频率进行合理限制。q)
客户端程序具备条码生成、展示或识读解析功能时,应符合《条码支付安全技术规范(试行)》(银办发(2017)242号文印发)要求。r)
客户端程序应能够有效屏蔽系统技术错误信息,不将系统产生的错误信息直接反馈给客户。客户端程序应支持通过IPv6连接访问网络服务,在IPv4/IPv6双栈支持的情况下,优先采用s
IPv6连接访问。
客户端程序应具备隐私政策。
客户端程序在收集、使用客户信息之前,应明示收集、使用信息的目的、方式和范围,公开其收集、使用规则,并取得客户的明示同意。在采集客户个人敏感信息前应对采集的用途和必要性进行提醒
客户端程序应禁止访问终端中非业务必需的文件和数据。应根据最小权限原则申请系统权限(例如,申请读取通讯录、地理位置等权限),并取得用户的明示同意w)
客户端应保留最少的客户信息,并限制数据存储量和保留时间。x)
客户端程序退出时,应清除非业务功能运行所必须留存的业务数据,保证客户信息的安全性。y)
应采取渠道监控等措施对仿冒客户端程序进行监测。6.2.1.2客户端环境
基本要求:
应对客户端运行环境的安全状况进行检测并尚后台系统反馈,并将此作为风控策略的依据,应采取有效措施提升客户端环境安全级别,针对不同的安全等级采取相应的风险控制措施。b)
应在门户站点等渠道发布客户端环境安全的提示。c
当发现客户端环境存在重大安全缺陷或安全威胁时,应采取必要措施对用户进行警示或拒绝交d)
6.2.2专用安全机制
6.2.2.1智能密码钥匙
本标准所涉及的智能密码钥匙包含目前网上银行系统普遍应用的USBKey、蓝牙Key、音频Key、SDKey等基于硬件的Key产品,也包括将来可能出现的其他基于硬件的Key产品。基本要求:
a)金融机构应使用经国家或行业主管部门认可的第三方专业测评机构检测通过的智能密码钥匙。应在安全环境下完成智能密码钥匙的个人化过程。b)
智能密码钥匙应采用具有密钥生成和数字签名运算能力的智能卡芯片,保证敏感操作在智能密码钥匙内进行。
智能密码钥匙的主文件(MasterFile)应受到CoS安全机制保护,防止非授权的删除和重建。密钥文件在启用期应封闭。
应保证私钥在生成、存储和使用等阶段的安全:·
签名私钥应在智能密码钥匙内部生成,不得固化密钥对和用于生成密钥对的素数。应保证私钥的唯一性。
禁止以任何形式从智能密码钥匙读取私钥或写入签名私钥。私钥文件应与普通文件类型不同,应与密钥文件类型相同或类似。在每次执行签名等敏感操作前,均应首先进行认证。
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。