《網上銀行系統信息安全通用規范》概述及修訂分析

王胤 謝宗曉

1? ? 修訂背景

2010年1月，為有效增強現有網上銀行系統安全防范能力，促進網上銀行規范、健康發展。中國人民銀行印發頒布了第一版《網上銀行系統信息安全通用規范（試行）》1）。

2012年5月，在經過2年多的試行及修訂后，金融行業標準JR/T 0068—2012《網上銀行系統信息安全通用規范》（以下簡稱“《規范》”）正式發布2）。作為網上銀行系統的第一個有效安全規范，此規范的出臺，一方面為各銀行網上銀行系統建設和改造升級提供了安全性參考，另一方面也為各銀行開展安全檢查和內外部審計提供了監管依據。

近年來，網上銀行系統無論在規模，還是在新技術的引入和應用上，都發生了較大的變化。如云計算、虛擬化、國密系列算法的應用給網上銀行系統提出了新的安全挑戰[1]。2015年，全國金融標準化技術委員會（SAC/TC 180）立項啟動新版規范的修訂工作3）。在收集、分析評估檢查發現的網上銀行系統信息安全問題和已發生過的網上銀行案件的基礎上，結合網上銀行的安全發展態勢，目前，修訂后的新版標準（以下簡稱“新版《規范》”）已進入審查狀態，本文就最新修訂稿內容進行分析。

2? ? 新版《規范》的主要內容

新版《規范》分為6個主要章節：1）范圍;2）規范性引用文件;3）術語和定義;4）符號和縮略語;5）網上銀行系統概述;6）安全規范。

其中第6章為核心章節，是具體安全規范的描述。細分為安全技術規范、安全管理規范和業務運作安全規范3個部分，各部分又分為基本要求和增強要求兩個層次，基本要求為最低安全要求，原則上需要遵照執行，增強要求是進一步提升系統安全性的要求，可根據實際情況，按照增強要求積極采取改進措施。與2012版的《規范》相比，整體框架變動不大。新版《規范》對專用安全設備的安全要求進行獨立表述，并改名為“增強安全機制”;重新梳理并提升關于業務連續性與災難恢復、安全事件與應急響應的安全要求并獨立成節;增加外部系統連接安全和外部機構業務合作章節，刪除了2012版《規范》附錄A、附錄B、附錄C部分。安全規范部分整體框架如圖1所示。

3? ? 新版《規范》的主要變化

本次修訂有三個重點：一是就新技術出現和應用提出安全要求;二是就新的業務和監管要求進行了補充和明確;三是重新梳理并提升關于業務連續性與災難恢復、安全事件與應急響應的安全要求。

3.1? ? 新技術、新應用方面的修訂

1）增加了虛擬化、云計算安全相關要求

近年來，隨著運維水平和IT基礎能力的提高，越來越多的銀行選擇采用云計算部署模式將網上銀行系統部署在云上。對此，新版《規范》明確規定如果網上銀行系統部署在虛擬化環境中需要滿足的虛擬化環境加固、虛擬化隔離、虛擬化審計、日志管理、鏡像文件安全、虛擬機生命周期管理等方面的安全要求。并且提出網上銀行系統在采用云計算技術時應遵循JR/T 0167—2018《云計算技術金融應用規范 安全技術要求》。

2）增加SM系列算法相關的安全要求

2016年，國家發改委批準《金融領域安全IC卡和密碼應用示范工程實施要點》（發改辦高技〔2016〕1168 號），多家銀行網上銀行系統進行升級改造，支持SM2/3/4系列國產密碼算法。為進一步擴大金融領域國產密碼應用的環境，新版《規范》明確要求網上銀行系統在使用密碼算法時應符合國家密碼主管部門的有關要求，在支付敏感信息加密及傳輸、數字證書簽名及驗簽等環節宜支持并優先使用SM系列密碼算法。

3）增加對安全單元和移動終端支付可信環境相關要求

隨著TEE（可信執行環境）和SE（安全單元）相關技術的發展成熟，以及其在移動端應用的獨特優勢，越來越多的網上銀行客戶端程序采用了TEE+SE技術來實現智能密碼鑰匙、生物特征等功能。對此，新版《規范》明確了基于此的密碼鑰匙的現實、PIN輸入、簽名驗簽、密鑰存儲、訪問、密碼算法、防篡改機制、抵抗旁路攻擊、環境適應性等相關安全規定。并指出SE的使用應符合 JR/T 0098.5—2012《中國金融移動支付 檢測規范? ? 第5部分：安全單元（SE）嵌入式軟件安全》的要求。TEE的使用應符合JR/T 0156—2017《移動終端支付可信環境技術規范》的要求。

3.2? ? 新業務和監管要求方面的修訂

1）增加了條碼支付相關要求

近年來，隨著移動互聯網技術與智能手機的普及，以二維碼為代表的“條碼支付”迅速發展，條碼支付業務成為十分流行的移動支付方式之一。不少銀行網上銀行客戶端也推出了條碼支付功能。對此，新版《規范》明確要求網上銀行客戶端程序具備條碼生成、展示或識讀解析功能和支持條碼支付業務時，應符合《條碼支付安全技術規范（試行）》（銀辦發〔2017〕242 號）要求。

2）增加了Ⅱ、Ⅲ類賬戶及交易安全鎖的相關要求

2016年起，中國人民銀行為防范電信詐騙和保護儲戶賬戶安全，多次發文4），推行的銀行賬戶管理新規，強調Ⅱ、Ⅲ類賬戶相關要求。此次規范修訂，增加了網上銀行渠道開立Ⅱ、Ⅲ類賬戶時應該落實的相關安全要求。明確網上銀行應為客戶提供銀行卡交易安全鎖服務，并落實《中國人民銀行辦公廳關于強化銀行卡磁條交易安全管理的通知》（銀辦發〔2017〕 120 號）等文件的相關要求。

3.3? ? 業務連續性與災難恢復、安全事件與應急響應方面的修訂

在2012版《規范》中，業務運行連續性、備份與恢復管理、應急管理作為系統運維管理的基本要求提出，層次較低。新版《規范》中，業務連續性與災難恢復、安全事件與應急響應分別單獨成節，作為安全管理規范的一部分，提升了相關安全要求。強調應將網上銀行業務連續性管理整合到組織的流程和結構中，對網上銀行業務影響分析、制定備份策略、建立備份恢復程序、實施應用級備份等規定進行了詳細的梳理和規定。

4? ? 結語

技術的日新月異，網上銀行業務的不斷創新都會伴生相應的安全問題。也是推動安全標準制定和修訂的原動力。此次新版《規范》修訂工作，正是在此背景下完成的。在本文中，我們不但介紹了最新版的《規范》，也分析了相較上一版本的主要修訂內容和背景，目的是更好地理解新版《規范》所要表達的原意。

（注：本文僅做學術探討，與作者所在單位觀點無關）

參考文獻

[1] 謝宗曉，陳琳.電子銀行風險管理及其行業監管梳理[J].中國

質量與標準導報，2018（5）：40-43.