《网上银行系统信息安全通用规范》概述及修订分析

来源:用户上传      作者:王胤 谢宗晓

　　1    修订背景
　　2010年1月，为有效增强现有网上银行系统安全防范能力，促进网上银行规范、健康发展。中国人民银行印发颁布了第一版《网上银行系统信息安全通用规范（试行）》1）。
　　2012年5月，在经过2年多的试行及修订后，金融行业标准JR/T 0068—2012《网上银行系统信息安全通用规范》（以下简称“《规范》”）正式发布2）。作为网上银行系统的第一个有效安全规范，此规范的出台，一方面为各银行网上银行系统建设和改造升级提供了安全性参考，另一方面也为各银行开展安全检查和内外部审计提供了监管依据。
　　近年来，网上银行系统无论在规模，还是在新技术的引入和应用上，都发生了较大的变化。如云计算、虚拟化、国密系列算法的应用给网上银行系统提出了新的安全挑战[1]。2015年，全国金融标准化技术委员会（SAC/TC 180）立项启动新版规范的修订工作3）。在收集、分析评估检查发现的网上银行系统信息安全问题和已发生过的网上银行案件的基础上，结合网上银行的安全发展态势，目前，修订后的新版标准（以下简称“新版《规范》”）已进入审查状态，本文就最新修订稿内容进行分析。
　　2    新版《规范》的主要内容
　　新版《规范》分为6个主要章节：1）范围;2）规范性引用文件;3）术语和定义;4）符号和缩略语;5）网上银行系统概述;6）安全规范。
　　其中第6章为核心章节，是具体安全规范的描述。细分为安全技术规范、安全管理规范和业务运作安全规范3个部分，各部分又分为基本要求和增强要求两个层次，基本要求为最低安全要求，原则上需要遵照执行，增强要求是进一步提升系统安全性的要求，可根据实际情况，按照增强要求积极采取改进措施。与2012版的《规范》相比，整体框架变动不大。新版《规范》对专用安全设备的安全要求进行独立表述，并改名为“增强安全机制”;重新梳理并提升关于业务连续性与灾难恢复、安全事件与应急响应的安全要求并独立成节;增加外部系统连接安全和外部机构业务合作章节，删除了2012版《规范》附录A、附录B、附录C部分。安全规范部分整体框架如图1所示。
　　3    新版《规范》的主要变化
　　本次修订有三个重点：一是就新技术出现和应用提出安全要求;二是就新的业务和监管要求进行了补充和明确;三是重新梳理并提升关于业务连续性与灾难恢复、安全事件与应急响应的安全要求。
　　3.1    新技术、新应用方面的修订
　　1）增加了虚拟化、云计算安全相关要求
　　近年来，随着运维水平和IT基础能力的提高，越来越多的银行选择采用云计算部署模式将网上银行系统部署在云上。对此，新版《规范》明确规定如果网上银行系统部署在虚拟化环境中需要满足的虚拟化环境加固、虚拟化隔离、虚拟化审计、日志管理、镜像文件安全、虚拟机生命周期管理等方面的安全要求。并且提出网上银行系统在采用云计算技术时应遵循JR/T 0167—2018《云计算技术金融应用规范 安全技术要求》。
　　2）增加SM系列算法相关的安全要求
　　2016年，国家发改委批准《金融领域安全IC卡和密码应用示范工程实施要点》（发改办高技〔2016〕1168 号），多家银行网上银行系统进行升级改造，支持SM2/3/4系列国产密码算法。为进一步扩大金融领域国产密码应用的环境，新版《规范》明确要求网上银行系统在使用密码算法时应符合国家密码主管部门的有关要求，在支付敏感信息加密及传输、数字证书签名及验签等环节宜支持并优先使用SM系列密码算法。
　　3）增加对安全单元和移动终端支付可信环境相关要求
　　随着TEE（可信執行环境）和SE（安全单元）相关技术的发展成熟，以及其在移动端应用的独特优势，越来越多的网上银行客户端程序采用了TEE+SE技术来实现智能密码钥匙、生物特征等功能。对此，新版《规范》明确了基于此的密码钥匙的现实、PIN输入、签名验签、密钥存储、访问、密码算法、防篡改机制、抵抗旁路攻击、环境适应性等相关安全规定。并指出SE的使用应符合 JR/T 0098.5—2012《中国金融移动支付 检测规范    第5部分：安全单元（SE）嵌入式软件安全》的要求。TEE的使用应符合JR/T 0156—2017《移动终端支付可信环境技术规范》的要求。
　　3.2    新业务和监管要求方面的修订
　　1）增加了条码支付相关要求
　　近年来，随着移动互联网技术与智能手机的普及，以二维码为代表的“条码支付”迅速发展，条码支付业务成为十分流行的移动支付方式之一。不少银行网上银行客户端也推出了条码支付功能。对此，新版《规范》明确要求网上银行客户端程序具备条码生成、展示或识读解析功能和支持条码支付业务时，应符合《条码支付安全技术规范（试行）》（银办发〔2017〕242 号）要求。
　　2）增加了Ⅱ、Ⅲ类账户及交易安全锁的相关要求
　　2016年起，中国人民银行为防范电信诈骗和保护储户账户安全，多次发文4），推行的银行账户管理新规，强调Ⅱ、Ⅲ类账户相关要求。此次规范修订，增加了网上银行渠道开立Ⅱ、Ⅲ类账户时应该落实的相关安全要求。明确网上银行应为客户提供银行卡交易安全锁服务，并落实《中国人民银行办公厅关于强化银行卡磁条交易安全管理的通知》（银办发〔2017〕 120 号）等文件的相关要求。
　　3.3    业务连续性与灾难恢复、安全事件与应急响应方面的修订
　　在2012版《规范》中，业务运行连续性、备份与恢复管理、应急管理作为系统运维管理的基本要求提出，层次较低。新版《规范》中，业务连续性与灾难恢复、安全事件与应急响应分别单独成节，作为安全管理规范的一部分，提升了相关安全要求。强调应将网上银行业务连续性管理整合到组织的流程和结构中，对网上银行业务影响分析、制定备份策略、建立备份恢复程序、实施应用级备份等规定进行了详细的梳理和规定。
　　4    结语
　　技术的日新月异，网上银行业务的不断创新都会伴生相应的安全问题。也是推动安全标准制定和修订的原动力。此次新版《规范》修订工作，正是在此背景下完成的。在本文中，我们不但介绍了最新版的《规范》，也分析了相较上一版本的主要修订内容和背景，目的是更好地理解新版《规范》所要表达的原意。
　　（注：本文仅做学术探讨，与作者所在单位观点无关）
　　参考文献
　　[1] 谢宗晓，陈琳.电子银行风险管理及其行业监管梳理[J].中国
　　质量与标准导报，2018（5）：40-43.
转载注明来源:https://www.xzbu.com/1/view-15187945.htm