网上银行系统信息安全通用规范(JR-T 0068

kspurt-12182395-4744302543403426291.pdf-第1页.png

第1页 / 共36页

kspurt-12182395-4744302543403426291.pdf-第2页.png

第2页 / 共36页

kspurt-12182395-4744302543403426291.pdf-第3页.png

第3页 / 共36页

kspurt-12182395-4744302543403426291.pdf-第4页.png

第4页 / 共36页

kspurt-12182395-4744302543403426291.pdf-第5页.png

第5页 / 共36页

kspurt-12182395-4744302543403426291.pdf-第6页.png

第6页 / 共36页

kspurt-12182395-4744302543403426291.pdf-第7页.png

第7页 / 共36页

kspurt-12182395-4744302543403426291.pdf-第8页.png

第8页 / 共36页

ICS 35.240.40 A 11 中华人民共和国金融行业标准 JR/T 0068—2020 代替 JR/T 0068—2012 网上银行系统信息安全通用规范 General specification of information security for internet banking system 2020 - 02 - 05 发布 2020 - 02 - 05 实施中国人民银行发布

JR/T 0068—2020 目次前言 .............................................................................. II 引言 ............................................................................. III 1 范围 ............................................................................... 1 2 规范性引用文件 ..................................................................... 1 3 术语和定义 ......................................................................... 2 4 缩略语 ............................................................................. 3 5 网上银行系统概述 ................................................................... 4 6 安全规范 ........................................................................... 7 参考文献 ............................................................................ 32 I

JR/T 0068—2020 前言本标准按照GB/T 1.1—2009给出的规则起草。本标准代替JR/T 0068—2012《网上银行系统信息安全通用规范》。本标准与JR/T 0068—2012相比，主要变化如下： ——增加了 SM 系列算法相关要求（见 5.4）； ——删除了与 JR/T 0071《金融行业信息系统信息安全等级保护实施指引》要求重复的内容（2012 年版的 6.1.4、6.2）； ——修改了客户端安全的表述，补充了自身防护、敏感信息保护等安全要求（见 6.2.1.1,2012 年版的 6.1.1）； ——增加了条码支付相关要求（见 6.2.1.1、6.2.4.3）； ——修改了专用安全设备的安全要求，并改名为“专用安全机制”（见 6.2.2，2012 年版的 6.1.2）； ——增加了安全单元和移动终端支付可信环境相关要求（见 6.2.2.1、6.2.2.5）； ——增加了生物特征相关要求（见 6.2.2.5）； ——增加了云计算安全相关要求(见 6.2.4.1、6.3.1）； ——增加了 IPv6 相关要求（见 6.2.4.3）； ——增加了虚拟化安全相关要求(见 6.2.4.4）； ——增加了网上银行系统与外部系统连接安全的基本描述和安全要求（见 6.2.5）； ——修改了业务连续性与灾难恢复安全要求（见 6.3.7，2012 年版的 6.2.6 中的 k、l)； ——修改了安全事件与应急响应的安全要求（见 6.3.8，2012 年版的 6.2.6 中的 m、n)； ——增加了Ⅱ、Ⅲ类银行结算账户及交易安全锁相关要求（见 6.4.1）； ——删除了附录中的基本的网络防护架构参考图、增强的网络防护架构参考图和物理安全（2012 年版的附录 A、附录 B、附录 C）。本标准由中国人民银行提出。本标准由全国金融标准化技术委员会（SAC/TC 180）归口。本标准起草单位：中国人民银行科技司、中国银联股份有限公司、银行卡检测中心、中国工商银行股份有限公司、中国建设银行股份有限公司、中国农业银行股份有限公司、中国邮政储蓄银行股份有限公司、招商银行股份有限公司、中国民生银行股份有限公司、国家信息技术安全研究中心、中金金融认证中心有限公司。本标准主要起草人：李伟、陈立吾、车珍、周恒、昝新、夏磊、闫晋国、曲维民、沈筱彦、赵乔伟、何朔、华锦芝、杨阳、徐燕军、章明、汤洋、渠韶光、孟飞宇、张志波、高志民、孙茂增、高强裔、马哲、李博文、赵梦洁、李京春、李冰、曹岳、苏建明、姜城、伍红卫、李徽、王宁、杨杰、廖敏飞、刘红波、梁智扬、廖渊、夏雷、梁剑锋、吴欣、李晓、武德港、李强、曾庆祥、季小杰、李超、马春旺、赵胜利、黄春芳、薛金川、蒋健骁、李为、侯漫丽。本标准所代替标准的历次版本发布情况为： ——JR/T 0068—2012。 II

JR/T 0068—2020 引言本标准通过收集、分析在评估检查中发现的网上银行系统信息安全问题和已发生的网上银行案件，针对性地提出安全要求。本标准旨在有效增强现有网上银行系统安全防范能力，促进网上银行规范、健康发展。本标准既可作为各单位网上银行系统建设、改造升级以及开展安全检查、内部审计的安全性依据，也可作为行业主管部门、专业检测机构进行检查、检测及认证的依据。 III

JR/T 0068—2020 网上银行系统信息安全通用规范 1 范围本标准规定了网上银行系统安全技术要求、安全管理要求、业务运营安全要求，为网上银行系统建设、运营及测评提供了依据。本标准适用于中华人民共和国境内设立的商业银行等银行业金融机构所运营的网上银行系统，其他金融机构提供网上金融服务的业务系统宜参照本标准执行。注1：本标准分为基本要求和增强要求两个层次，基本要求为最低安全要求，增强要求是进一步提升系统安全性的要求。各单位应在遵照执行基本要求的同时，按照增强要求，积极采取改进措施，不断提高安全保障能力。注2：本标准条款中如无特别指明“企业网银”，则同时适用于个人网银和企业网银。 2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 25069—2010 信息安全技术术语 GB/T 27912—2011 金融服务生物特征识别安全框架 GM/Z 0001—2013 密码术语 GM/T 0002—2012 SM4分组密码算法 GM/T 0003—2012 SM2椭圆曲线公钥密码算法 GM/T 0004—2012 SM3密码杂凑算法 GM/T 0021—2012 动态口令密码应用技术规范 JR/T 0071 金融行业网络安全等级保护实施指引 JR/T 0098.5 中国金融移动支付检测规范第5部分：安全单元（SE）嵌入式软件安全 JR/T 0118—2015 金融电子认证规范 JR/T 0149—2016 中国金融移动支付支付标记化技术规范 JR/T 0156—2017 移动终端支付可信环境技术规范 JR/T 0166—2018 云计算技术金融应用规范技术架构 JR/T 0167—2018 云计算技术金融应用规范安全技术要求 JR/T 0168—2018 云计算技术金融应用规范容灾中国人民银行关于改进个人银行账户服务加强账户管理的通知（银发〔2015〕392号），2015-12-25 中国人民银行关于进一步加强银行卡风险管理的通知（银发〔2016〕170号），2016-06-13 中国人民银行关于加强支付结算管理防范电信网络新型违法犯罪有关事项的通知（银发〔2016〕 261号），2016-09-30 中国人民银行关于落实个人银行账户分类管理制度的通知（银发〔2016〕302号），2016-11-25 中国人民银行办公厅关于强化银行卡磁条交易安全管理的通知（银办发〔2017〕120号），2017-05-31 条码支付安全技术规范（试行）（银办发〔2017〕242号文印发），2017-12-22 中国人民银行关于改进个人银行账户分类管理有关事项的通知（银发〔2018〕16号），2018-01-10 1

JR/T 0068—2020 中国人民银行关于进一步加强支付结算管理防范电信网络新型违法犯罪有关事项的通知（银发〔2019〕85号），2019-03-22 3 术语和定义 GB/T 25069—2010、GM/Z 0001—2013界定的以及下列术语和定义适用于本文件。为了便于使用，以下重复列出了GM/Z 0001—2013中的一些术语和定义。 3.1 网上银行 internet banking 商业银行等银行业金融机构通过互联网、移动通信网络、其他开放性公众网络或专用网络基础设施向其客户提供的网上金融服务。 3.2 个人网银 personal internet banking 商业银行等银行业金融机构面向个人用户提供的网上金融服务。 3.3 企业网银 corporate internet banking 商业银行等银行业金融机构面向企事业单位和其他组织提供的网上金融服务。 3.4 支付敏感信息 payment sensitive information 影响网上银行安全的密码、密钥以及交易敏感数据等。注：密码包括但不限于转账密码、查询密码、登录密码、证书的PIN等，密钥包括但不限于用于确保通讯安全、报文完整性等的对称密钥、私钥等，交易敏感数据包括但不限于完整磁道信息、有效期、CVN、CVN2等。 3.5 移动终端 mobile terminal 区别于PC机方式，以手机、平板电脑、可穿戴设备等访问网上银行的移动设备。 3.6 客户端程序 client program 为网上银行客户提供人机交互功能的程序，以及提供必需功能的组件。注：包括但不限于可执行文件、控件、静态链接库、动态链接库等。本标准中客户端程序包括运行于移动终端上的应用软件，不包括IE等通用浏览器。 3.7 智能密码钥匙 cryptographic smart token 提供密码运算、密钥管理等密码服务的终端密码设备，一般使用USB、蓝牙、音频、SD等接口形态。 3.8 智能密码钥匙固件 cryptographic smart token firmware 2

JR/T 0068—2020 内置在智能密码钥匙内的影响智能密码钥匙安全的程序代码。 3.9 动态口令 one-time-password(OTP),dynamic password 基于时间、事件等方式动态生成的一次性口令。 [GM/Z 0001—2013，定义2.15] 3.10 动态口令令牌 one time password token 用来生成动态口令的设备。 [GM/Z 0001—2013，定义2.16] 3.11 生物特征 biometric 人类生理上的或行为上的可测量特征，并由此可以可靠地区分某个人不同于其他人，以便识别登记者的身份，或者确认其所声称的已登记的身份。 [GM/Z 0001—2013，定义4.4] 3.12 资金类交易 funds transaction 通过网上银行进行的资金操作交易。注：例如，转账、订单支付、缴费等。本人名下的投资理财、托管账户以及本人签订委托代扣协议的委托代扣等风险可控的资金变动不属于此范畴。 3.13 信息及业务变更类交易 information and business changing transaction 通过网上银行变更客户相关信息或开通、取消业务的交易。注：例如，客户修改基本信息、调整交易额度、授权委托交易、修改交易订单、开通（签订）新业务、取消某项业务、电子合同签署、电子保单等。 4 缩略语下列缩略语适用于本文件。 CDN：内容分发网络（Content Delivery Network） COS：芯片操作系统（Chip Operating System） DHCP：动态主机配置协议（Dynamic Host Configuration Protocol） DNS：域名系统（Domain Name System） DoS/DDoS：拒绝服务/分布式拒绝服务（Denial of Service/Distributed Denial of Service） ESN：电子序列号（Electronic Serial Number） IDS/IPS：入侵检测系统/入侵防御系统（Intrusion Detection System/Intrusion Prevention System） IMEI：国际移动设备身份码（International Mobile Equipment Identity） IMSI：国际移动用户识别码（International Mobile Subscriber Identification Number） 3

JR/T 0068—2020 IPSec：互联网安全协议（Internet Protocol Security） IPv4：互联网协议第4版（Internet Protocol Version 4） IPv6：互联网协议第6版（Internet Protocol Version 6） MAC：消息认证码（Message Authentication Code） MEID：移动设备识别码（Mobile Equipment Identifier） NTP：网络时间协议（Network Time Protocol） SD：安全数码（Secure Digital） SDK：软件开发工具包（Software Development Kit） SE：安全单元（Secure Element） SEMA/DEMA：简单电磁分析/差分电磁分析（Simple Electromagnetism Analysis/Differential Electromagnetism Analysis） SPA/DPA：简单能量分析/差分能量分析(Simple Power Analysis/Differential Power Analysis) TEE：可信执行环境（Trusted Execution Environment） USB：通用串行总线（Universal Serial Bus） VPN：虚拟专用网络（Virtual Private Network） 5 网上银行系统概述 5.1 系统标识在系统标识中应标明以下内容： ——名称：××银行网上银行系统； ——所属银行。 5.2 系统描述网上银行系统将传统的银行业务同互联网等资源和技术进行融合，将传统的柜台通过互联网、移动通信网络、其他开放性公众网络或专用网络向客户进行延伸，是商业银行等银行业金融机构在网络经济的环境下，开拓新业务、方便客户操作、改善服务质量、推动生产关系等变革的重要举措，提高了商业银行等银行业金融机构的社会效益和经济效益。网上银行系统主要包括通过PC、手机、平板电脑、智能电视、可穿戴设备等终端访问的网上银行系统，例如，手机银行、微信银行、直销银行、银企直联、小微企业银行等系统。网上银行系统涵盖个人网银系统和企业网银系统。 5.3 系统组成部分 5.3.1 概述网上银行系统主要由客户端、通信网络和服务器端组成，并可通过不同类型的通信网络连接到外部系统，开展各类合作业务，其中服务器端包括网上银行访问子网、网上银行业务系统、中间隔离设备和银行处理系统等，如图1所示。 4

资料库

网上银行系统信息安全通用规范(JR-T 0068—2020).pdf

相关推荐

行业

热门标签

最新资料