新修訂的金融行業標準《網上銀行系統信息安全通用規范》（JR/T 0068—2020）(以下簡稱“新版《規范》”)由中國人民銀行正式發布。這是繼2012版《規范》后第一次進行替換修訂的金融行業標準。

新版《規范》中的金融行業標準，為網上銀行系統提供了明確的建設指導意見，可作為網上銀行的內部建設、升級依據，也可作為主管部門的檢查、檢測依據。相比2012版《規范》，有哪些變化？新版《規范》建設標準重點是什么？深信服為您解讀。

     新版《規范》內容框架

新版《規范》由六部分組成：定義范圍、引用文件、術語和定義、定語縮略語、網銀系統描述、安全規范。

定義范圍

新版《規范》內容主要為安全技術要求、安全管理要求和安全運維要求三個方面，適用于中國境內設立商業銀行等銀行業機構運行的網上銀行系統。

引用文件

主要參考了《SM3密碼雜湊算法》、《SM2橢圓曲線公鑰密碼算法》、《SM4分組密碼算法》、《網絡安全等級保護2.0制度》、《云計算技術金融應用規范》、《移動終端支付可信環境技術規范》等相關文件。

術語和定義

定義了新版《規范》里的專業名詞術語。

定義縮略語

對新版《規范》引用的相關英文縮略語以中文進行定義。

網銀系統描述

網上銀行系統由客戶端、通信網絡和服務器端組成，其中服務器端包括網上銀行訪問子網、網上銀行業務系統、中間隔離設備和銀行處理系統。

安全規范

主要分為安全技術要求、安全管理要求和安全運維要求，相對于2012版《規范》，改動內容主要在此部分。

    新舊版對比

整體框架

新版《規范》將“銀企互聯”納入網上銀行系統評估范圍內；將原有業務運作安全規范，修改為業務運營安全規范；同時，新版《規范》刪除了舊版附錄中的“基本的網絡防護架構參考圖、增強的網絡防護架構參考圖和物理安全（附錄 A、附錄 B、附錄 C）”。

安全技術規范對比

安全技術規范從舊版本“97項基本要求+30項增強要求”，變更為“123項基本要求+21項基本要求”。

主要體現在：將“專用安全設備安全”修改為“專用安全機制”，同時在認證機制上增加了短信驗證和生物特征識別，如臉部識別、指紋識別等，并且在服務器端安全增加了虛擬化安全。網上銀行系統與第三方連接需求日益增多，新版《規范》也在傳輸和數據兩方面加強了與外部系統連接的安全要求。

下方圖片，DEL表示已刪除要求項，NEW表示新增要求項。

安全管理規范對比

因《網絡安全等級保護2.0制度》發布，安全管理規范從“63項基本要求+1項增強要求”，變更為“47項基本要求+1項基本要求”。

此外，新版《規范》新增“業務連續性與災難恢復”和“安全事件與應急響應”要求項。

業務運營安全規范對比

從“業務運作安全規范”變更為“業務運營安全規范”，從“53項基本要求+4項增強要求”，變更為“70項基本要求+3項基本要求”。

新版“業務運營安全規范”增加了對外部機構的業務合作內容，整合了“銀企互聯”模式，為金融機構的第三業務安全提供了新的參考標準。

    重點內容解讀

依據新版《規范》，網絡安全如何建設才算合規？

• 國家密碼算法

網上銀行系統在使用密碼系統時，必須優先使用SM算法。

• IPv6相關要求

域名解析服務應支持IPv6訪問進行分析，同時網絡設備應支持IPv6，針對IPv6的防護強度應不弱于IPv4的防護強度。

• 條碼支付相關要求

支付條碼不同時，應依據《條碼支付安全技術規范》，對條碼中包含的網址等信息進行校驗，對非法地址和惡意請求進行攔截。

• 等級保護相關要求

對網上銀行系統建設設計的云計算和移動互聯網等技術應滿足JR/T 0071《網絡安全等級保護制度2.0標準》的相關要求。

• II、III類銀行結算賬戶相關要求

通過網上銀行渠道開立個人II、III類銀行結算賬戶時，應嚴格落實《中國人民銀行關于改進個人銀行賬戶服務加強賬戶的通知》、《中國人民銀行關于落實個人銀行賬戶分類管理制度的通知》、《中國人民銀行改進個人銀行賬戶分類管理有關事項的通知》等要求。

新版《規范》中外部連接的方式有幾種？

按照新版《規范》的內容描述，主要有三種連接方式：

• 通過專線連接

通過專線連接對傳輸的信息進行加密，同時，應盡量選用多個電信運營商，在入口處最好有鏈路負載，以防線路中斷時無法自動切換線路導致業務中斷。

• 通過VPN連接

通過VPN連接必須使用雙因素認證，同時對VPN權限和賬戶定期進行審計，并增加超時連接。

• 通過Internet連接

互聯網連接必須使用不存在公開漏洞的連接協議，并建議第三方連接使用固定IP和電腦進行連接。

以上三種方式都強調必須使用國密算法支持，同時對敏感數據要求，從采集、展示、傳輸、存儲和使用等完整生命周期環境進行保護和定期審計，防止用戶個人信息泄露。

新版《規范》中新增的虛擬化安全應該怎么做？

虛擬機安全需注意以下幾方面：

• 更新

虛擬機鏡像補丁、虛擬機環境系統組件等要定期進行更新，這要求對虛擬機管理具備掃描和定期補丁分發安裝的功能。

• 隔離

在虛擬機之間、虛擬機與宿主機進行隔離，增強對微隔離的要求。

• 審計

定期對虛擬機和管理器相關操作進行日志留存和審計，強調了對操作日志的審計。

• 權限

要求對虛擬機鏡像和快照文件管理權限進行檢測，防止權限過高丟失敏感數據。

“業務連續性”獨立成章節，金融銀行后續應遵循什么建設標準？

• 對機房相關建設如：UPS、電信運營商鏈路等進行冗余建設。

• 定期梳理備件和備品清單，防止放置時間過長不能使用。

• 對相關運維管理人員進行業務連續性培訓。

目前，深信服已經為2000+金融機構提供了服務，依托多年的技術積累和金融用戶的服務經驗，幫助用戶解決在數字化轉型中遇到的難題和痛點，獲得了行業的廣泛認可。未來，深信服將堅持“持續創新、全情投入”，以更豐富的金融科技解決方案，快速、安全、穩健地推進金融行業信息化變革。