規範安全,控制風險 |《網上銀行系統信息安全通用規範》最新解讀

2020-12-16 中華網科技

新修訂的金融行業標準《網上銀行系統信息安全通用規範》(JR/T 0068—2020)(以下簡稱「新版《規範》」)由中國人民銀行正式發布。這是繼2012版《規範》後第一次進行替換修訂的金融行業標準。

新版《規範》中的金融行業標準,為網上銀行系統提供了明確的建設指導意見,可作為網上銀行的內部建設、升級依據,也可作為主管部門的檢查、檢測依據。相比2012版《規範》,有哪些變化?新版《規範》建設標準重點是什麼?深信服為您解讀。

新版《規範》內容框架

新版《規範》由六部分組成:定義範圍、引用文件、術語和定義、定語縮略語、網銀系統描述、安全規範。

1.定義範圍

新版《規範》內容主要為安全技術要求、安全管理要求和安全運維要求三個方面,適用於中國境內設立商業銀行等銀行業機構運行的網上銀行系統。

2.引用文件

主要參考了《SM3密碼雜湊算法》、《SM2橢圓曲線公鑰密碼算法》、《SM4分組密碼算法》、《網絡安全等級保護2.0制度》、《雲計算技術金融應用規範》、《移動終端支付可信環境技術規範》等相關文件。

3.術語和定義

定義了新版《規範》裡的專業名詞術語。

4.定義縮略語

對新版《規範》引用的相關英文縮略語以中文進行定義。

5.網銀系統描述

網上銀行系統由客戶端、通信網絡和伺服器端組成,其中伺服器端包括網上銀行訪問子網、網上銀行業務系統、中間隔離設備和銀行處理系統。

6.安全規範

主要分為安全技術要求、安全管理要求和安全運維要求,相對於2012版《規範》,改動內容主要在此部分。

新舊版對比

1.整體框架

新版《規範》將「銀企互聯」納入網上銀行系統評估範圍內;將原有業務運作安全規範,修改為業務運營安全規範;同時,新版《規範》刪除了舊版附錄中的「基本的網絡防護架構參考圖、增強的網絡防護架構參考圖和物理安全(附錄 A、附錄 B、附錄 C)」。

2.安全技術規範對比

安全技術規範從舊版本「97項基本要求+30項增強要求」,變更為「123項基本要求+21項基本要求」。

主要體現在:將「專用安全設備安全」修改為「專用安全機制」,同時在認證機制上增加了簡訊驗證和生物特徵識別,如臉部識別、指紋識別等,並且在伺服器端安全增加了虛擬化安全。網上銀行系統與第三方連接需求日益增多,新版《規範》也在傳輸和數據兩方面加強了與外部系統連接的安全要求。

下方圖片,DEL表示已刪除要求項,NEW表示新增要求項。

3.安全管理規範對比

因《網絡安全等級保護2.0制度》發布,安全管理規範從「63項基本要求+1項增強要求」,變更為「47項基本要求+1項基本要求」。

此外,新版《規範》新增「業務連續性與災難恢復」和「安全事件與應急響應」要求項。

4.業務運營安全規範對比

從「業務運作安全規範」變更為「業務運營安全規範」,從「53項基本要求+4項增強要求」,變更為「70項基本要求+3項基本要求」。

新版「業務運營安全規範」增加了對外部機構的業務合作內容,整合了「銀企互聯」模式,為金融機構的第三業務安全提供了新的參考標準。

重點內容解讀

1.依據新版《規範》,網絡安全如何建設才算合規?

(1)國家密碼算法

網上銀行系統在使用密碼系統時,必須優先使用SM算法。

(2)IPv6相關要求

域名解析服務應支持IPv6訪問進行分析,同時網絡設備應支持IPv6,針對IPv6的防護強度應不弱於IPv4的防護強度。

(3)條碼支付相關要求

支付條碼不同時,應依據《條碼支付安全技術規範》,對條碼中包含的網址等信息進行校驗,對非法地址和惡意請求進行攔截。

(4)等級保護相關要求

對網上銀行系統建設設計的雲計算和移動網際網路等技術應滿足JR/T 0071《網絡安全等級保護制度2.0標準》的相關要求。

(5)IIIII類銀行結算帳戶相關要求

通過網上銀行渠道開立個人II、III類銀行結算帳戶時,應嚴格落實《中國人民銀行關於改進個人銀行帳戶服務加強帳戶的通知》、《中國人民銀行關於落實個人銀行帳戶分類管理制度的通知》、《中國人民銀行改進個人銀行帳戶分類管理有關事項的通知》等要求。

2.新版《規範》中外部連接的方式有幾種?

按照新版《規範》的內容描述,主要有三種連接方式:

(1)通過專線連接

通過專線連接對傳輸的信息進行加密,同時,應儘量選用多個電信運營商,在入口處最好有鏈路負載,以防線路中斷時無法自動切換線路導致業務中斷。

(2)通過VPN連接

通過VPN連接必須使用雙因素認證,同時對VPN權限和帳戶定期進行審計,並增加超時連接。

(3)通過Internet連接

網際網路連接必須使用不存在公開漏洞的連接協議,並建議第三方連接使用固定IP和電腦進行連接。

以上三種方式都強調必須使用國密算法支持,同時對敏感數據要求,從採集、展示、傳輸、存儲和使用等完整生命周期環境進行保護和定期審計,防止用戶個人信息洩露。

3.新版《規範》中新增的虛擬化安全應該怎麼做?

虛擬機安全需注意以下幾方面:

(1)更新

虛擬機鏡像補丁、虛擬機環境系統組件等要定期進行更新,這要求對虛擬機管理具備掃描和定期補丁分發安裝的功能。

(2)隔離

在虛擬機之間、虛擬機與宿主機進行隔離,增強對微隔離的要求。

(3)審計

定期對虛擬機和管理器相關操作進行日誌留存和審計,強調了對操作日誌的審計。

(4)權限

要求對虛擬機鏡像和快照文件管理權限進行檢測,防止權限過高丟失敏感數據。

4.業務連續性」獨立成章節,金融銀行後續應遵循什麼建設標準?

對機房相關建設如:UPS、電信運營商鏈路等進行冗餘建設。

定期梳理備件和備品清單,防止放置時間過長不能使用。

對相關運維管理人員進行業務連續性培訓。



目前,深信服已經為2000+金融機構提供了服務,依託多年的技術積累和金融用戶的服務經驗,幫助用戶解決在數位化轉型中遇到的難題和痛點,獲得了行業的廣泛認可。未來,深信服將堅持「持續創新、全情投入」,以更豐富的金融科技解決方案,快速、安全、穩健地推進金融行業信息化變革。

免責聲明:市場有風險,選擇需謹慎!此文僅供參考,不作買賣依據。

責任編輯:kj005

文章投訴熱線:156 0057 2229 投訴郵箱:29132 36@qq.com

相關焦點

  • 《通用規範漢字字典》《〈通用規範漢字表〉解讀》出版
    《通用規範漢字字典》《〈通用規範漢字表〉解讀》出版 >   中新網北京8月28日電 (記者 應妮)繼教育部27日召開新聞發布會詳細介紹《通用規範漢字表》,商務印書館28日在京宣布出版由教育部語言文字信息管理司策劃並委託編寫的《通用規範漢字字典》和《〈通用規範漢字表〉解讀》,指導規範漢字的使用。
  • 28項網絡信息安全規範和標準今日起正式實施
    4、《GB/T 37962-2019 工業控制系統產品信息安全通用評估準則》  該標準定義了工業控制系統產品信息安全評估的通用安全功能組件和安全保障組件集合,規定了工業控制系統產品的安全要求和評估準則,適用於工業控制系統產品安全保障能力的評估
  • 《個人信息安全規範》六大變化,企業合規怎麼做?|下篇
    《信息安全技術個人信息安全規範》(簡稱「《個人信息安全規範》」)是國家推薦性標準,是對《網絡安全法》等法律法規中對個人信息保護相關條款的細化與補充,被業界普遍認為具有很強的指導價值。全國信息安全標準化技術委員會曾於2017年發布過一版。
  • 民航局發布《通用航空包機運營安全規範》(全文)
    近日,民航局發布《通用航空包機運營安全規範》。  通用航空包機運營安全規範  1範圍本標準規定了通用航空包機飛行的基本要求、飛行組織與實施、應急處置措施及其他要求等。本標準適用於通用航空企業開展載客短途運輸、貨郵短途運輸(不含危險品運輸)的通用航空包機飛行活動。本標準不適用於公務飛行的通用航空包機飛行活動。
  • 一部解讀《通用規範漢字表》的字典
    教育部、國家語言文字工作委員會歷時十餘年組織研製了《通用規範漢字表》,2013年6月由國務院正式發布。《通用規範漢字表》是繼1986年國務院批准重新發布《簡化字總表》後的又一重大漢字規範,是最新、最權威的規範漢字依據。
  • 詳解金融分布式帳本技術安全規範
    中國人民銀行高度重視區塊鏈和分布式帳本技術在金融領域的應用和標準化,在《中國金融業信息技術「十三五」發展規劃》和《金融科技(FinTech)發展規劃(2019~2021年)》進行了重點強調和部署。在全國金融標準化技術委員會及中國人民銀行科技司的指導和支持下,數字貨幣研究所提出並負責組織起草的《金融分布式帳本技術安全規範》(JR/T0184—2020)金融行業標準(以下簡稱《安全規範》)由中國人民銀行正式發布。
  • 《個人信息安全規範》被援引情況實證分析
    國家標準《信息安全技術個人信息安全規範》(GB/T 35273-2017,以下簡稱《規範》)在2017年12月公布後,關於其實際影響的討論在業內一直沒有停止。四、司法判決的援引情況及分析目前能檢索到兩份裁判文書在說理部分(即「本院認為」)援引了《規範》,分別為:深圳市騰訊計算機系統有限公司、騰訊科技(深圳)有限公司商業賄賂不正當競爭糾紛一審民事裁定書【(2019)津0116民初2091號】「……目前,我國《消費者權益保護法》、《信息安全技術個人信息安全規範》及《網絡安全法
  • 網絡安全威脅信息格式規範正式發布 - OSCHINA - 中文開源技術交流...
    通過結構化、標準化的方法描述網絡安全威脅信息,以便實現各組織間網絡安全威脅信息的共享和利用,並支持網絡安全威脅管理和應用的自動化。這意味著我國網絡安全在法規、規範方面又更進一步,同時,也順應了當前階段網絡安全領域威脅情報的發展現狀和趨勢。國內外威脅情報共享發展現狀國外的威脅信息共享標準已經有成熟且廣泛的應用。
  • JGJ39-2016《託兒所、幼兒園建築設計規範》中的安全規定解讀
    隨著時代的發展,保育要求不斷提高,新規範相對於1987年12月1日實施的舊規範,在很多方面作出了較多的合理調整。本文將從1.新規範中的強規內容;2.幼兒園建築的安全建設;3.幼兒園建設中的人性化體現;4.幼兒園建設中的ECO²(生態與節約)四個角度全面解析新規範。今天,先為大家解讀新標準中的幼兒園建築的安全建設。
  • 通過《金融分布式帳本技術安全規範》看區塊鏈技術行業應用發展趨勢
    本文主要通過解讀《金融分布式帳本技術安全規範》,分析區塊鏈技術或分布式帳本技術在行業應用中的一些發展趨勢,為金融行業和其他行業下一步開展區塊鏈相關技術的推廣和大規模應用提供一些參考。
  • CCTV.com-關於印發《企業內部控制規範——基本規範》和17項具體...
    這些具體規範,可以概括分為以下三類:第一類是對與企業財務報表項目相關的、可能會對財務報告真實可靠性產生較大影響的經濟業務事項提出具體要求的控制規範;第二類是與財務報表編報相關的控制規範,包括財務報告編制、公允價值、關聯交易、信息披露等;第三類是為實現有效的財務報告內部控制所必需的事前、事中和事後制度支持的控制規範,包括預算控制、人力資源控制、計算機信息系統控制
  • 新版《企業安全生產標準化基本規範GBT33000-2016》
    凡是不注日期的引用文件,其最新版本(包括所有的修改單)適用於本文件。  3.10安全風險管理risk management;hazard management  根據安全風險評估的結果,確定安全風險控制的優先順序和安全風險控制措施,以達到改善安全生產環境、減少和杜絕生產安全事故的目標。  3.11工作場所workplace  從業人員進行職業活動,並由企業直接或間接控制的所有工作點。
  • 國務院最新發布《通用規範漢字表》
    本報訊(記者陳菁霞)日前,作為當前最權威、最重要的一部漢字規範———《通用規範漢字表》由國務院正式發布。記者從商務印書館獲悉,為配合《通用規範漢字表》的實施,商務印書館日前出版了由教育部語言文字信息管理司策劃並委託編寫的《通用規範漢字字典》和《解讀》,以解讀《字表》,指導規範漢字的使用。
  • 「金卡」工程標準化指南--集成電路卡通用規範
    近十年來,國際信息技術標準制定活動空前活躍,各種標準、規範、協議在一些地區、國家紛紛問世。目前,國際標準化組織(ISO)正在積極開展信息技術標準的研究制定工作,並通過標準,使全球信息處理更快更好。在一些信息產業發達國家和地區的推動之下,聯合國也介入了這類性質的標準化活動,在這些標準化文件支持下,通信網絡及其相關應用系統的建設和運行亦呈現出前所未有的繁榮景象。
  • 招聯金融首批通過移動金融APP備案,安全規範助力精緻體驗
    深圳2020年6月4日 /美通社/ -- 中國網際網路金融協會(以下簡稱「互金協會」)最新消息,首批申請移動金融APP備案試點並獲通過的金融機構名單出爐,包含工商銀行、中國銀行、建設銀行、招商銀行等為主的銀行類金融機構、證券基金保險類金融機構和非銀支付機構等在內共計73款移動金融客戶端應用軟體
  • 《物業服務行業安全管理檢查評價規範》政策解讀
    《物業服務行業安全管理檢查評價規範》(以下簡稱《規範》)已於2018年7月1日正式實施,現就編制背景、主要內容解讀如下:  一、為什麼要編制該《規範》  近年來,深圳市物業管理行業蓬勃發展,
  • 中國汽車信息安全共享分析中心發布汽車信息安全十大風險
    新華網(603888)天津5月10日電(記者周潤健)伴隨著汽車智能化、網聯化程度的提高,車輛所面臨的信息安全問題也愈發嚴峻。中國汽車信息安全共享分析中心(C-Auto-ISAC)9日在天津發布汽車信息安全十大風險,包括不安全的雲端接口、未經授權的訪問、系統存在的後門、不安全的車載通訊、車載網絡未做安全隔離、系統固件可被提取及逆向、不安全的第三方組件、敏感信息洩漏、不安全的加密和不安全的配置。
  • 三十年銀行數位化變革 二十載U盾E路安全護航
    USBKEY的由來  科技和社會網絡環境的不斷發展,網上銀行在人們日常生活中已經普及,隨即而來的網上銀行的安全也成為了銀行及用戶共同關心的問題。自從三十多年前電子銀行、網上銀行誕生以來,針對網上銀行安全的網絡犯罪就一直不斷的衝擊著人們對網上銀行的信任。
  • 《託兒所、幼兒園建築設計規範》條文解讀(附全文下載)
    解讀:此條與最新的建築設計防火規範相關條文相符。地下室或半地下室不易於自然採光及通風,不宜於幼兒健康成長。並且根據《規程》要求及《指南》的建議,幼兒每天戶外活動時間不得少於2小時,樓層越高意味著幼兒通往戶外的路線越長,因此幼兒生活用房不宜布置在四層及以上,託兒所部分應布置在一層。
  • 信息安全標準體系思維導圖
    前段時間,一位老師指點我說,關註標準是正確的,所以我在感激之餘,也希望自己在信息安全的路上走得更遠,更期待將自己學習過程的點點滴滴分享給志同道合的朋友。在信息安全基礎標準子體系將標準類別劃分為通用基礎、安全模型、安全體系、物理安全以及其他基礎類。通用基礎類標準包括安全術語、分類、劃分準則以及定義等基礎性標準。