随着移动互联、互联网金融的快速发展,诸多业务逐步从线下走到线上,以网上银行、手机银行替代柜台提升客户服务能力和服务粘性,许多银行更进一步,将自身能力以API、SDK等形式嵌入到各个场景中,将银行业务植入各类商业生态系统。与此同时,IT技术的不断进步,虚拟化、云计算的普及,使得网络安全领域有了新的挑战,需要新的技术与规范保障安全。
在此背景下,2020年2月中国人民银行下发《关于<网上银行系统信息安全通用规范>行业标准的通知》(银发〔2020〕35号)文件,正式发布2020年版本《网上银行系统信息安全通用规范》(JR/T 0068-2020,以下简称“新版规范”)。新版规范替代2012年版本《网上银行系统信息安全通用规范》(JR/T 0068-2012)并于2020年2月5日正式生效。
1.1 新背景下的安全要求强化
客户端安全要求
新版规范将PC客户端与移动客户端的安全要求进行统一,并对客户端安全要求进行细化,可以参考JR/T 0092的要求进行实现。
新版规范也提醒银行注意开发时引入第三方组件可以带来的风险,建议银行对第三方组件进行安全选型测试,降低第三方组件带来的不确定性。
云计算安全要求
新版规范新增云计算相关要求,网上银行系统在采用云计算技术时应遵循JR/T 0166—2018、JR/T 0167—2018、JR/T 0168—2018 等技术标准与行业主管部门的相关要求。
密码安全要求
新版规范新增SM系列算法相关要求,在支付敏感信息加密及传输、数字证书签名及验签等环节宜支持并优先使用GM/T 0002—2012、GM/T 0003—2012、GM/T0004—2012等SM系列密码算法。
其他新增要求
新增对安全单元和移动终端支付可信环境相关要求。
新增网上银行系统中使用生物特征技术时的安全要求。
新增IPv6 相关要求。
1.2 新业务的安全要求补充
条码支付安全
新版规范新增条码支付要求,客户端程序具备条码相关功能的,应严格遵守《条码支付安全技术规范(试行)》(银办发〔2017〕242号)的要求。
Ⅱ、Ⅲ类账户安全
新版规范新增Ⅱ、Ⅲ类账户的相关要求,强调应严格落实《中国人民银行关于改进个人银行账户服务加强账户管理的通知》(银发〔2015〕392 号)、《中国人民银行关于落实个人银行账户分类管理制度的通知》(银发〔2016〕302 号)、《中国人民银行关于改进个人银行账户分类管理有关事项的通知》(银发〔2018〕16 号)等文件。
外部系统安全
新版规范新增网上银行系统与外部系统连接安全的基本描述和安全要求,在安全技术规范部分与业务运营安全规范部分均有单独章节。
1.3 强化业务连续性与灾难恢复、安全事件与应急响应要求
新版规范将业务连续性与灾难恢复、安全事件与应急响应单独作为章节,体现对于业务连续性与灾难恢复、安全事件与应急响应的重视程度。
银行应根据标准建议,制定网上银行业务连续性策略及计划,落实JR/T 0071“数据备份恢复”中有关安全技术要求,并建立应急预案演练制度,确保灾难发生时,能尽快恢复业务运营。
新版规范强调网上银行系统应按照网络安全等级保护第三级安全要求进行建设与运维管理,增加移动化、云化背景下的安全要求,并根据金融行业实际攻击事件,针对性的提出大量细节要求便于银行落地检查,同时融合***风险管理(银发〔2016〕170号、银办发〔2017〕120号)、电信网络新型违法犯罪风险(银发〔2016〕261号、银发〔2019〕85号)、支付安全风险专项排查工作(银办发〔2018〕146号)等监管要求,对银行数字化转型安全提供有效建议。
梆梆安全依托多年安全积累,结合自身众多金融客户的服务经验,为银行客户提供客户端全生命周期安全保护,从安全设计、安全开发、安全测试、安全发布、运行监控、安全运营等多维度入手保障技术安全,为国内众多数字化经济转型的先驱者保驾护航。
来源:freebuf.com 2020-03-02 18:21:13 by: 梆梆安全
请登录后发表评论
注册