《網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范》等級保護要求
2020年2月,中國人民銀行發(fā)布了的《網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范》(JR/T 0068-2020)(以下簡稱《規(guī)范》),相對于2012年《網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范》(JR/T 0068-2012)的內(nèi)容進行了調(diào)整和更新。
《規(guī)范》作為網(wǎng)上銀行系統(tǒng)安全技術(shù)要求、安全管理要求、業(yè)務(wù)運營安全要求,為網(wǎng)上銀行系統(tǒng)建設(shè)、運營及測評提供了重要依據(jù)。
《規(guī)范》整體框架對比
1. 《規(guī)范》的整體框架圍繞著:安全技術(shù)規(guī)范、安全管理規(guī)范和業(yè)務(wù)運營安全規(guī)范三個部分,對比之前的規(guī)范,整體的要求(含基本要求和增強要求)在總數(shù)上沒有大的出入,但值得注意的是,將原有業(yè)務(wù)運作安全規(guī)范,調(diào)整為業(yè)務(wù)運營安全規(guī)范。這也表明,《規(guī)范》更加注重金融行業(yè)的業(yè)務(wù)運營類的安全。
2. 《規(guī)范》重新定義了網(wǎng)上銀行系統(tǒng),涵蓋個人網(wǎng)銀系統(tǒng)和企業(yè)網(wǎng)銀系統(tǒng),主要包括通過PC、手機、平板電腦、智能電視、可穿戴設(shè)備等終端訪問的網(wǎng)上銀行系統(tǒng),例如手機銀行、微信銀行、直銷銀行、銀企直聯(lián)、小微企業(yè)銀行等系統(tǒng)。
3. “安全技術(shù)規(guī)范”中將原有“專用安全設(shè)備安全”調(diào)整為“專用安全機制”,并增加了“短信驗證碼”和“生物特征”安全要求;將網(wǎng)絡(luò)通信安全要求中增加“通信鏈路”安全要求;將服務(wù)器端安全要求增加“等級保護要求”和“虛擬化安全”要求;新增加入“與外部系統(tǒng)連接安全”,對于與銀行有合作的外部單位的系統(tǒng)連接時,增加了“傳輸安全”和“數(shù)據(jù)安全”要求。同時,刪除“動態(tài)密碼卡”“物理安全”“應(yīng)用安全”“數(shù)據(jù)安全及備份恢復”的安全要求。
4. “安全管理規(guī)范”中新增“等級保護要求”。將原有規(guī)范中系統(tǒng)運維管理中的“業(yè)務(wù)連續(xù)性與災難恢復”和“安全事件與應(yīng)急響應(yīng)”獨立成為安全要求,同時刪除“安全策略”要求。
5. “安全運行安全規(guī)范”中,新增“外部機構(gòu)業(yè)務(wù)合作”安全要求,將原有“客戶教育及權(quán)益保護”調(diào)整為“客戶培訓及權(quán)益保護”。
《規(guī)范》核心內(nèi)容解析
1.客戶端安全解析
客戶端安全包括:客戶端程序和客戶端環(huán)境兩部分。
客戶端程序的安全要求中,主要定義了客戶端程序在軟件開發(fā)直到報廢的生命周期,周期內(nèi)包括軟件的可行性分析、框架標準、總體描述、系統(tǒng)設(shè)計、編碼、調(diào)試和測試、驗收與運行、維護升級到廢棄等階段都做了明確的要求,主要包含如下關(guān)鍵點:
● 程序開發(fā)階段,應(yīng)對其開發(fā)框架和技術(shù)路線進行嚴格的論證,建設(shè)基于應(yīng)用功能設(shè)計及安全需求,建設(shè)應(yīng)用安全基線標準,提供程序的自身安全性。對于應(yīng)用程序普遍存在的破解、篡改等各類安全風險,需要提供應(yīng)用加固技術(shù)手段。嚴格控制源代碼安全,對應(yīng)用程序進行源代碼安全加固。
客戶端環(huán)境安全要求中,主要定義了程序在使用過程中的運行環(huán)境安全,包括可信輸入能力、可信輸出能力、可信通訊能力、可信存儲能力和可信計算能力
● 可信輸入輸出能力,要求提供可信的信息輸入安全,包括敏感信息加密、秘密復雜度設(shè)置等;
● 可信存儲和計算能力,對數(shù)字證書、客戶敏感信息、密鑰信息的生成、存儲、使用需要借助SE、TEE技術(shù),確保其安全,提供信息的可信存儲能力;
● 可信運行環(huán)境,特別是對移動設(shè)備運行環(huán)境的安全,要求對客戶端的病毒、木馬等風險進行有效識別,將分析結(jié)果實時反饋,提供終端的威脅態(tài)勢感知能力。
2.專用安全機制解析
● 國密算法的使用,在《規(guī)范》要求中,網(wǎng)上銀行系統(tǒng)在使用密碼算法時應(yīng)符合國家密碼主管部門的要求,在支付敏感信息加密及傳輸、數(shù)字證書簽名及驗簽等環(huán)節(jié)宜支持并優(yōu)先使用SM系列密碼算法。
● 短信驗證碼的使用進行了嚴格定義,同時還要求對短信驗證碼要進行加密處理,確保短信驗證碼的機密性和完整性。
3.通信網(wǎng)絡(luò)安全解析
采用安全的通信協(xié)議,在客戶端程序與服務(wù)器之間建立安全的信息傳輸通道,如采用SSL/TLS證書、加密密鑰體系,建立安全的信息傳輸通道。
4.業(yè)務(wù)審計及開通解析
● 《規(guī)范》明確要求,在業(yè)務(wù)運營安全規(guī)范中,要嚴格遵循和落實相關(guān)法律法規(guī),如:(銀發(fā)〔2016〕261 號)、(銀發(fā)〔2019〕85 號)等監(jiān)管要求;
● 對通過網(wǎng)上銀行渠道申請時,金融機構(gòu)應(yīng)采取包含電子簽名驗證在內(nèi)的雙因素身份認證驗證客戶的真實身份及銀行卡交易密碼,并通過驗證發(fā)向可靠的預留手機號碼的短信驗證碼等方式,核實客戶身份和交易開通意愿。
5.業(yè)務(wù)安全交易機制解析
● 《規(guī)范》明確要求,要建立完善的網(wǎng)上銀行異常交易監(jiān)控體系,以及高風險交易特點和用戶行為特征等的風險評估模型,識別并及時處理異常交易,并根據(jù)風險等級實施差異化風險防控;
● 建立并完善反欺詐規(guī)則,實時分析交易數(shù)據(jù),根據(jù)風險高低產(chǎn)生報警信息,實現(xiàn)欺詐行為的偵測、識別、預警和記錄,提高欺詐交易攔截成功率,切實提升交易安全防護能力;
● 應(yīng)通過交易行為分析、機器學習等技術(shù)不斷優(yōu)化風險評估模型,結(jié)合生物探針、相關(guān)客戶行為分析等手段,對具備頻次異常、賬戶非法、批量交易、以及外部欺詐、身份冒用、套現(xiàn)、洗錢等異常情況進行有效監(jiān)控,對于風險較大、可疑程度較高的交易,應(yīng)采取精準識別、實時攔截等措施;
● 風險交易監(jiān)控系統(tǒng)應(yīng)能夠不斷更新反欺詐規(guī)則,建立和完善風險信息庫,及時從主管部門、公安機關(guān)、銀行卡清算組織等獲取黑名單等風險信息。
《規(guī)范》建設(shè)重點
1.客戶端安全建設(shè)重點
● 客戶端程序:開發(fā)規(guī)范、應(yīng)用程序的源代碼加固、源代碼審計、信息錄入安全
● 客戶端環(huán)境:利用終端威脅態(tài)勢感知技術(shù)、借助TEE、SE、SSE等技術(shù)確??蛻舳顺绦虻倪\行環(huán)境安全。
2、專用安全機制:采用國密算法,如SM3、SM4。對短信驗證碼的安全進行保護,如短信驗證碼加密。
3、網(wǎng)絡(luò)通信安全:采用SSL/TLS協(xié)議、數(shù)字證書、密鑰技術(shù)確??蛻舳伺c服務(wù)器之間的網(wǎng)絡(luò)通信安全。
4、安全計算環(huán)境:利用高強度的身份認證技術(shù)確保計算環(huán)境的安全,充分利用身份治理與訪問控制手段,嚴格確保系統(tǒng)的訪問控制安全。如建立零信任的業(yè)務(wù)安全體系架構(gòu)。
5、交易流程及監(jiān)控:建立終端安全、智能決策、持續(xù)監(jiān)控的三維一體解決方案,充分利用人工智能、大數(shù)據(jù)、機器學習、深度學習、神經(jīng)網(wǎng)絡(luò)、基于具體業(yè)務(wù)場景的機器學習模型技術(shù),為交易流程提供全程業(yè)務(wù)保護。