《網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范》概述及修訂分析

王胤 謝宗曉

1? ? 修訂背景

2010年1月，為有效增強(qiáng)現(xiàn)有網(wǎng)上銀行系統(tǒng)安全防范能力，促進(jìn)網(wǎng)上銀行規(guī)范、健康發(fā)展。中國人民銀行印發(fā)頒布了第一版《網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范（試行）》1）。

2012年5月，在經(jīng)過2年多的試行及修訂后，金融行業(yè)標(biāo)準(zhǔn)JR/T 0068—2012《網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范》（以下簡稱“《規(guī)范》”）正式發(fā)布2）。作為網(wǎng)上銀行系統(tǒng)的第一個(gè)有效安全規(guī)范，此規(guī)范的出臺(tái)，一方面為各銀行網(wǎng)上銀行系統(tǒng)建設(shè)和改造升級提供了安全性參考，另一方面也為各銀行開展安全檢查和內(nèi)外部審計(jì)提供了監(jiān)管依據(jù)。

近年來，網(wǎng)上銀行系統(tǒng)無論在規(guī)模，還是在新技術(shù)的引入和應(yīng)用上，都發(fā)生了較大的變化。如云計(jì)算、虛擬化、國密系列算法的應(yīng)用給網(wǎng)上銀行系統(tǒng)提出了新的安全挑戰(zhàn)[1]。2015年，全國金融標(biāo)準(zhǔn)化技術(shù)委員會(huì)（SAC/TC 180）立項(xiàng)啟動(dòng)新版規(guī)范的修訂工作3）。在收集、分析評估檢查發(fā)現(xiàn)的網(wǎng)上銀行系統(tǒng)信息安全問題和已發(fā)生過的網(wǎng)上銀行案件的基礎(chǔ)上，結(jié)合網(wǎng)上銀行的安全發(fā)展態(tài)勢，目前，修訂后的新版標(biāo)準(zhǔn)（以下簡稱“新版《規(guī)范》”）已進(jìn)入審查狀態(tài)，本文就最新修訂稿內(nèi)容進(jìn)行分析。

2? ? 新版《規(guī)范》的主要內(nèi)容

新版《規(guī)范》分為6個(gè)主要章節(jié)：1）范圍;2）規(guī)范性引用文件;3）術(shù)語和定義;4）符號(hào)和縮略語;5）網(wǎng)上銀行系統(tǒng)概述;6）安全規(guī)范。

其中第6章為核心章節(jié)，是具體安全規(guī)范的描述。細(xì)分為安全技術(shù)規(guī)范、安全管理規(guī)范和業(yè)務(wù)運(yùn)作安全規(guī)范3個(gè)部分，各部分又分為基本要求和增強(qiáng)要求兩個(gè)層次，基本要求為最低安全要求，原則上需要遵照執(zhí)行，增強(qiáng)要求是進(jìn)一步提升系統(tǒng)安全性的要求，可根據(jù)實(shí)際情況，按照增強(qiáng)要求積極采取改進(jìn)措施。與2012版的《規(guī)范》相比，整體框架變動(dòng)不大。新版《規(guī)范》對專用安全設(shè)備的安全要求進(jìn)行獨(dú)立表述，并改名為“增強(qiáng)安全機(jī)制”;重新梳理并提升關(guān)于業(yè)務(wù)連續(xù)性與災(zāi)難恢復(fù)、安全事件與應(yīng)急響應(yīng)的安全要求并獨(dú)立成節(jié);增加外部系統(tǒng)連接安全和外部機(jī)構(gòu)業(yè)務(wù)合作章節(jié)，刪除了2012版《規(guī)范》附錄A、附錄B、附錄C部分。安全規(guī)范部分整體框架如圖1所示。

3? ? 新版《規(guī)范》的主要變化

本次修訂有三個(gè)重點(diǎn)：一是就新技術(shù)出現(xiàn)和應(yīng)用提出安全要求;二是就新的業(yè)務(wù)和監(jiān)管要求進(jìn)行了補(bǔ)充和明確;三是重新梳理并提升關(guān)于業(yè)務(wù)連續(xù)性與災(zāi)難恢復(fù)、安全事件與應(yīng)急響應(yīng)的安全要求。

3.1? ? 新技術(shù)、新應(yīng)用方面的修訂

1）增加了虛擬化、云計(jì)算安全相關(guān)要求

近年來，隨著運(yùn)維水平和IT基礎(chǔ)能力的提高，越來越多的銀行選擇采用云計(jì)算部署模式將網(wǎng)上銀行系統(tǒng)部署在云上。對此，新版《規(guī)范》明確規(guī)定如果網(wǎng)上銀行系統(tǒng)部署在虛擬化環(huán)境中需要滿足的虛擬化環(huán)境加固、虛擬化隔離、虛擬化審計(jì)、日志管理、鏡像文件安全、虛擬機(jī)生命周期管理等方面的安全要求。并且提出網(wǎng)上銀行系統(tǒng)在采用云計(jì)算技術(shù)時(shí)應(yīng)遵循JR/T 0167—2018《云計(jì)算技術(shù)金融應(yīng)用規(guī)范 安全技術(shù)要求》。

2）增加SM系列算法相關(guān)的安全要求

2016年，國家發(fā)改委批準(zhǔn)《金融領(lǐng)域安全I(xiàn)C卡和密碼應(yīng)用示范工程實(shí)施要點(diǎn)》（發(fā)改辦高技〔2016〕1168 號(hào)），多家銀行網(wǎng)上銀行系統(tǒng)進(jìn)行升級改造，支持SM2/3/4系列國產(chǎn)密碼算法。為進(jìn)一步擴(kuò)大金融領(lǐng)域國產(chǎn)密碼應(yīng)用的環(huán)境，新版《規(guī)范》明確要求網(wǎng)上銀行系統(tǒng)在使用密碼算法時(shí)應(yīng)符合國家密碼主管部門的有關(guān)要求，在支付敏感信息加密及傳輸、數(shù)字證書簽名及驗(yàn)簽等環(huán)節(jié)宜支持并優(yōu)先使用SM系列密碼算法。

3）增加對安全單元和移動(dòng)終端支付可信環(huán)境相關(guān)要求

隨著TEE（可信執(zhí)行環(huán)境）和SE（安全單元）相關(guān)技術(shù)的發(fā)展成熟，以及其在移動(dòng)端應(yīng)用的獨(dú)特優(yōu)勢，越來越多的網(wǎng)上銀行客戶端程序采用了TEE+SE技術(shù)來實(shí)現(xiàn)智能密碼鑰匙、生物特征等功能。對此，新版《規(guī)范》明確了基于此的密碼鑰匙的現(xiàn)實(shí)、PIN輸入、簽名驗(yàn)簽、密鑰存儲(chǔ)、訪問、密碼算法、防篡改機(jī)制、抵抗旁路攻擊、環(huán)境適應(yīng)性等相關(guān)安全規(guī)定。并指出SE的使用應(yīng)符合 JR/T 0098.5—2012《中國金融移動(dòng)支付 檢測規(guī)范? ? 第5部分：安全單元（SE）嵌入式軟件安全》的要求。TEE的使用應(yīng)符合JR/T 0156—2017《移動(dòng)終端支付可信環(huán)境技術(shù)規(guī)范》的要求。

3.2? ? 新業(yè)務(wù)和監(jiān)管要求方面的修訂

1）增加了條碼支付相關(guān)要求

近年來，隨著移動(dòng)互聯(lián)網(wǎng)技術(shù)與智能手機(jī)的普及，以二維碼為代表的“條碼支付”迅速發(fā)展，條碼支付業(yè)務(wù)成為十分流行的移動(dòng)支付方式之一。不少銀行網(wǎng)上銀行客戶端也推出了條碼支付功能。對此，新版《規(guī)范》明確要求網(wǎng)上銀行客戶端程序具備條碼生成、展示或識(shí)讀解析功能和支持條碼支付業(yè)務(wù)時(shí)，應(yīng)符合《條碼支付安全技術(shù)規(guī)范（試行）》（銀辦發(fā)〔2017〕242 號(hào)）要求。

2）增加了Ⅱ、Ⅲ類賬戶及交易安全鎖的相關(guān)要求

2016年起，中國人民銀行為防范電信詐騙和保護(hù)儲(chǔ)戶賬戶安全，多次發(fā)文4），推行的銀行賬戶管理新規(guī)，強(qiáng)調(diào)Ⅱ、Ⅲ類賬戶相關(guān)要求。此次規(guī)范修訂，增加了網(wǎng)上銀行渠道開立Ⅱ、Ⅲ類賬戶時(shí)應(yīng)該落實(shí)的相關(guān)安全要求。明確網(wǎng)上銀行應(yīng)為客戶提供銀行卡交易安全鎖服務(wù)，并落實(shí)《中國人民銀行辦公廳關(guān)于強(qiáng)化銀行卡磁條交易安全管理的通知》（銀辦發(fā)〔2017〕 120 號(hào)）等文件的相關(guān)要求。

3.3? ? 業(yè)務(wù)連續(xù)性與災(zāi)難恢復(fù)、安全事件與應(yīng)急響應(yīng)方面的修訂

在2012版《規(guī)范》中，業(yè)務(wù)運(yùn)行連續(xù)性、備份與恢復(fù)管理、應(yīng)急管理作為系統(tǒng)運(yùn)維管理的基本要求提出，層次較低。新版《規(guī)范》中，業(yè)務(wù)連續(xù)性與災(zāi)難恢復(fù)、安全事件與應(yīng)急響應(yīng)分別單獨(dú)成節(jié)，作為安全管理規(guī)范的一部分，提升了相關(guān)安全要求。強(qiáng)調(diào)應(yīng)將網(wǎng)上銀行業(yè)務(wù)連續(xù)性管理整合到組織的流程和結(jié)構(gòu)中，對網(wǎng)上銀行業(yè)務(wù)影響分析、制定備份策略、建立備份恢復(fù)程序、實(shí)施應(yīng)用級備份等規(guī)定進(jìn)行了詳細(xì)的梳理和規(guī)定。

4? ? 結(jié)語

技術(shù)的日新月異，網(wǎng)上銀行業(yè)務(wù)的不斷創(chuàng)新都會(huì)伴生相應(yīng)的安全問題。也是推動(dòng)安全標(biāo)準(zhǔn)制定和修訂的原動(dòng)力。此次新版《規(guī)范》修訂工作，正是在此背景下完成的。在本文中，我們不但介紹了最新版的《規(guī)范》，也分析了相較上一版本的主要修訂內(nèi)容和背景，目的是更好地理解新版《規(guī)范》所要表達(dá)的原意。

（注：本文僅做學(xué)術(shù)探討，與作者所在單位觀點(diǎn)無關(guān)）

參考文獻(xiàn)

[1] 謝宗曉，陳琳.電子銀行風(fēng)險(xiǎn)管理及其行業(yè)監(jiān)管梳理[J].中國

質(zhì)量與標(biāo)準(zhǔn)導(dǎo)報(bào)，2018（5）：40-43.