路径: 主页 > MISC > 第172页 > JR/T 0068-2020 | 标准编号 | JR/T 0068-2020 (JR/T0068-2020) | | 中文名称 | 网上银行系统信息安全通用规范 | | 英文名称 | General specification of information security for internet banking system | | 行业 | 金融行业标准 (推荐) | | 中标分类 | A11 | | 国际标准分类 | | | 字数估计 | 37,331 | | 发布日期 | 2020-02-05 | | 实施日期 | 2020-02-05 | | 旧标准 (被替代) | JR/T 0068-2012 | | 标准依据 | 银发(2020)35号 | | 发布机构 | 中国人民银行 | JR/T 0068-2020: 网上银行系统信息安全通用规范
JR/T 0068-2020 英文名称: General specification of information security for internet banking system
中 华 人 民 共 和 国 金 融 行 业 标 准
代替 JR/T 0068-2012
网上银行系统信息安全通用规范
中国人民银行 发 布
1 范围
本标准规定了网上银行系统安全技术要求、安全管理要求、业务运营安全要求,为网上银行系统建
设、运营及测评提供了依据。
本标准适用于中华人民共和国境内设立的商业银行等银行业金融机构所运营的网上银行系统,其他
金融机构提供网上金融服务的业务系统宜参照本标准执行。
注1:本标准分为基本要求和增强要求两个层次,基本要求为最低安全要求,增强要求是进一步提升系统安全性的
要求。各单位应在遵照执行基本要求的同时,按照增强要求,积极采取改进措施,不断提高安全保障能力。
注2:本标准条款中如无特别指明“企业网银”,则同时适用于个人网银和企业网银。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
5.2 系统描述
网上银行系统将传统的银行业务同互联网等资源和技术进行融合,将传统的柜台通过互联网、移动
通信网络、其他开放性公众网络或专用网络向客户进行延伸,是商业银行等银行业金融机构在网络经济
的环境下,开拓新业务、方便客户操作、改善服务质量、推动生产关系等变革的重要举措,提高了商业
银行等银行业金融机构的社会效益和经济效益。网上银行系统主要包括通过PC、手机、平板电脑、智能
电视、可穿戴设备等终端访问的网上银行系统,例如,手机银行、微信银行、直销银行、银企直联、小
微企业银行等系统。网上银行系统涵盖个人网银系统和企业网银系统。
5.3.1 概述
网上银行系统主要由客户端、通信网络和服务器端组成,并可通过不同类型的通信网络连接到外部
系统,开展各类合作业务,其中服务器端包括网上银行访问子网、网上银行业务系统、中间隔离设备和
银行处理系统等,如图1所示。
5.3.2 客户端
网上银行系统客户端主要包括客户端程序和客户端环境。客户端环境是指客户端程序所在的硬件终
端(目前主要包括PC、手机、平板电脑、智能电视、可穿戴设备等终端,将来可能包括其他形式的终端)
及该终端上的操作系统、浏览器和其他程序所组成的整体运行环境。客户端环境通常不具备或不完全具
备专用金融交易设备的可信输入能力、可信输出能力、可信通讯能力、可信存储能力和可信计算能力,
因此,需要使用专用安全机制,并通过接受、减轻、规避及转移的策略来应对交易风险。金融机构应从
软硬件合法性验证、程序完整性保护、数据访问控制、数据输入安全、数据传输安全、数据存储安全以
及可信执行环境等方面保证客户端的安全性。
5.3.3 通信网络
网上银行借助互联网、移动通信网络等技术向客户提供金融服务,易受到通讯层面的安全威胁,金
融机构应从通讯协议、安全认证、通信链路安全等层面,采取措施有效应对相关风险。
5.3.4 服务器端
网上银行系统服务器端提供网上银行应用服务和核心业务处理功能,金融机构应充分利用物理环
境、通信网络、计算环境等领域的防护技术,在攻击者和受保护的资源间建立多道严密的安全防线。
5.3.5 与外部系统连接
网上银行除直接向用户提供金融服务外,也可能与外部机构开展业务合作。在网上银行系统设计、
开发、部署和运营过程中,应充分考虑外部机构的系统可能存在的安全风险,并针对各类风险进行有效
防护。
5.4 系统安全性描述
网上银行系统应根据应用系统、客户对象、数据敏感程度等划分安全域。通过对安全域的描述和界
定,可更好地对网上银行系统信息安全保障进行描述。
金融机构应采取专用安全机制,包括数字证书、动态口令、短信验证码、生物特征等,保障网上银
行系统安全。金融机构应按照其在交易中具备的可信通讯能力、可信输入能力、可信输出能力、可信存
储能力和可信计算能力五种能力的组合对安全机制进行分类管理,并制定与之适应的交易安全风险防范
策略。
金融机构在网上银行系统中应用云计算技术前,应结合网上银行系统的业务重要性和数据敏感性、
发生安全事件的危害程度等,充分评估应用云计算技术的科学性、安全性和可靠性,在确保系统业务连
续性、数据和资金安全的前提下,秉持安全优先、对用户负责的原则,充分评估可能存在的风险隐患,
谨慎选用与业务系统相适应的金融领域云计算部署模式。网上银行系统在采用云计算技术时应遵循
JR/T 0166-2018、JR/T 0167-2018、JR/T 0168-2018 等技术标准与行业主管部门的相关要求。
网上银行系统在使用密码算法时应符合国家密码主管部门的要求,在支付敏感信息加密及传输、数
字证书签名及验签等环节宜支持并优先使用SM系列密码算法(GM/T 0002-2012、GM/T 0003-2012、GM/T
0004-2012)。
6.2.1.1 客户端程序
基本要求:
a) 客户端程序开发设计过程中应注意规避各系统组件、第三方组件、SDK 存在的安全风险,应对
开发框架和技术路线进行严格的论证,必要时应进行选型安全测试。
b) 客户端程序应具有明确的应用标识符和版本序号,设计合理的更新接口,当某一版本被证明存
在重大安全隐患时,提示并强制要求用户更新客户端。
c) 客户端程序的每次更新、升级,应进行源代码审计、安全活动审查和严格归档,以保证客户端
程序不存在隐藏的非法功能和后门。
d) 应采用安全的方式对客户端程序进行签名,标识客户端程序的来源和发布者,保证客户所下载
的客户端程序来源于所信任的机构。
e) 客户端程序在启动和更新时应进行真实性、完整性校验(例如,联机动态校验等),防范客户
端程序被篡改或替换。
f) 客户端程序应采取代码混淆、加壳等安全机制,防止客户端程序被逆向分析,确保客户端的敏
感逻辑及数据的机密性、完整性。
g) 客户端程序应保证自身的安全性,避免代码注入、缓冲区溢出、非法提权等漏洞。
h) 客户端程序应采取进程保护措施,防止非法程序获取该进程的访问权限,扫描内存中的敏感数
据或替换客户端页面等。
i) 客户端程序应对关键界面采用反录屏等技术,防范非法程序通过拷屏等方式获取支付敏感信
息。
j) 客户端程序应提供客户输入支付敏感信息的即时防护功能,并对内存中的支付敏感信息进行保
护,例如,采取逐字符加密、自定义软键盘、防范键盘窃听技术等措施。
k) 客户端软件不应以任何形式在本地存储用户的支付敏感信息,存储位置包括但不限于
Cookies、本地临时文件和移动数据库文件等。
l) 客户端程序应采取有效措施保证所涉及密钥的机密性和完整性。
m) 客户端程序应采取措施对密码复杂度进行校验,保证用户设置的密码达到一定的强度。
n) 客户端程序密码框应禁止明文显示密码,应使用同一特殊字符(例如,*或•)代替。
o) 客户端程序登录后在一段时间内无任何操作,应自动登出,重新登录才能继续使用。
p) 客户端程序应配合服务器端采取有效措施,对登录请求、服务请求以及数据库查询等资源消耗
较高行为的频率进行合理限制。
q) 客户端程序具备条码生成、展示或识读解析功能时,应符合《条码支付安全技术规范(试行)》
(银办发〔2017〕242 号文印发)要求。
r) 客户端程序应能够有效屏蔽系统技术错误信息,不将系统产生的错误信息直接反馈给客户。
s) 客户端程序应支持通过 IPv6 连接访问网络服务,在 IPv4/IPv6 双栈支持的情况下,优先采用
IPv6 连接访问。
t) 客户端程序应具备隐私政策。
u) 客户端程序在收集、使用客户信息之前,应明示收集、使用信息的目的、方式和范围,公开其
收集、使用规则,并取得客户的明示同意。在采集客户个人敏感信息前应对采集的用途和必要
性进行提醒。
v) 客户端程序应禁止访问终端中非业务必需的文件和数据。应根据最小权限原则申请系统权限
(例如,申请读取通讯录、地理位置等权限),并取得用户的明示同意。
w) 客户端应保留最少的客户信息,并限制数据存储量和保留时间。
x) 客户端程序退出时,应清除非业务功能运行所必须留存的业务数据,保证客户信息的安全性。
y) 应采取渠道监控等措施对仿冒客户端程序进行监测。
6.2.1.2 客户端环境
基本要求:
a) 应对客户端运行环境的安全状况进行检测并向后台系统反馈,并将此作为风控策略的依据。
b) 应采取有效措施提升客户端环境安全级别,针对不同的安全等级采取相应的风险控制措施。
c) 应在门户站点等渠道发布客户端环境安全的提示。
d) 当发现客户端环境存在重大安全缺陷或安全威胁时,应采取必要措施对用户进行警示或拒绝交
易。
6.4.1 业务申请及开通
基本要求:
a) 应遵守相关法律法规,严格落实《中国人民银行关于进一步加强银行卡风险管理的通知》、《中
国人民银行关于加强支付结算管理防范电信网络新型违法犯罪有关事项的通知》(银发〔2016〕
261 号)、《中国人民银行关于进一步加强支付结算管理防范电信网络新型违法犯罪有关事项的
通知》(银发〔2019〕85 号)等相关规定,严格落实关于账户实名制、账户分类管理等相关规
定,确保网上银行系统业务设施的安全稳定运行。
b) 通过网上银行渠道开立个人Ⅱ、Ⅲ类银行结算账户时,应严格落实《中国人民银行关于改进个
人银行账户服务加强账户管理的通知》(银发〔2015〕392 号)、《中国人民银行关于落实个人
银行账户分类管理制度的通知》(银发〔2016〕302 号)、《中国人民银行关于改进个人银行账
户分类管理有关事项的通知》(银发〔2018〕16 号)等文件相关要求。
c) 金融机构应充分考虑并采取有效技术措施防范网上银行资金类交易开通的安全风险。个人网银
资金类交易的开通应由客户本人到柜台申请,申请时,金融机构应对其进行风险提示,验证客
户的有效身份,并要求客户书面确认。客户通过已采取电子签名验证或同等安全级别认证方式
的网上银行渠道申请资金类交易的,视同客户本人主动申请并书面确认。以下资金类交易可不
受上述限制:开通同一客户账户之间转账并且金融机构能有效识别转入、转出方为同一客户账
户的、客户预先通过柜台签约对转入账户进行绑定同时指定交易电话的。
d) 网上银行资金类业务关闭后,重新申请开通该功能,应要求客户本人持有效身份证件到柜台或
采取电子签名验证的网上银行渠道申请。采取网上银行渠道申请时,应通过验证发向可靠的预
留手机号码的短信验证码等方式,核实客户身份和交易开通意愿。
e) 企业网银开通应由本企业人员到柜台申请,金融机构应审查其申请材料的真实性、完整性和合
规性。
f) 企业网银客户加挂账户可通过柜台或通过使用专用安全机制进行身份认证的双人复核机制后
方可增加,同时应通过有效方式请求企业联系人确认。重置智能密码钥匙的密码应到柜台办理。
g) 通过手机终端访问网上银行的资金类交易开通应有效验证客户身份,客户应通过柜台或网上银
行渠道主动申请。在柜台办理签约时,应验证客户有效身份信息、银行账户密码等信息。应建
立手机号和银行账户的关联关系,例如,手机号与客户身份证绑定、手机号与客户银行账户信
息绑定等,采用移动终端硬件加密模块的,应建立硬件加密模块与客户身份证或银行账户信息
的关联关系。通过网上银行渠道申请时,金融机构应采取包含电子签名验证在内的双因素身份
认证验证客户的真实身份及银行卡交易密码,并通过验证发向可靠的预留手机号码的短信验证
码等方式,核实客户身份和交易开通意愿。
h) 如果网上银行登录密码以密码信封方式发送给客户或者初始登录密码由金融机构设置,金融机
构应强制客户首次登录时修改初始密码。
i) 客户重置登录密码及支付密码且保留资金类交易权限时,应通过柜台或者通过已采取电子签名
验证等安全认证手段的网上银行渠道申请。通过网上银行渠道申请时,金融机构应采取双因素
身份认证有效验证客户的真实身份,并通过验证发向可靠的预留手机号码的短信验证码等方
式,请求客户本人对密码重置操作进行确认。
j) 申请客户数字证书时,应验证公钥的有效性,对证书签名请求采取安全保护措施。
k) 下载客户数字证书时,应对客户身份进行认证。通过提交授权码和参考码等方式保证客户数字
证书只能被下载一次,身份认证信息应设置有效期,超出有效期而未下载证书,应重新办理。
l) 客户申请智能密码钥匙作为数字证书载体或其他安全设备时,应持有效身份证件到柜台办理。
例如,申请基于 SE、TEE 技术构建的新型智能密码钥匙,其支付初始额度不能超过新型智能密
码钥匙原申请渠道的额度上限,并应引导客户通过柜台、传统智能密码钥匙辅助认证等渠道办
理额度提升。
m) 金融机构应采取将安全设备序列号与客户信息进行绑定等措施,如涉及数字证书应在客户下载
证书时将其作为客户身份认证因素之一,以防止证书被非授权下载。如安全设备丢失,应持有
效证件到柜台重新办理,将原有安全设备和客户绑定关系解除。
n) 网上银行专用安全设备在暂停、终止、挂失或注销后,如需要恢复、解除挂失需客户本人持有
效身份证件到柜台或通过金融机构客服电话等办理,金融机构应核实客户信息、网银账户信息
并对预留手机号码进行验证。
6.4.2 业务安全交易机制
6.4.2.1 身份认证
基本要求:
a) 金融机构应按照审慎原则,采取有效、可靠的身份认证手段,保证资金类交易安全。
b) 应采取交易验证强度与交易额度相匹配的技术措施,提高交易的安全性。高风险业务应组合选
用下列三类要素对交易进行验证:一是客户知悉的要素,例如,静态密码等;二是仅客户本人
持有并特有的,不可复制或者不可重复利用的要素,如经过安全认证的数字证书、电子签名,
以及通过安全渠道生成和传输的一次性密码等;三是客户本人生物特征要素,例如,指纹、虹
膜等。应确保采用的要素相互独立,部分要素的损坏或者泄露不应导致其他要素损坏或者泄露。
以下资金类交易可不受上述限制:同一客户账户之间转账并且金融机构能有效识别转入、转出
方为同一客户账户的。
c) 采用数字证书、电子签名作为支付交易验证要素的,数字证书及生成电子签名的过程应符合《中
华人民共和国电子签名法》、JR/T 0118-2015 等有关规定,确保数字证书的唯一性、完整性
及交易的抗抵赖性。
d) 采用一次性密码作为支付交易验证要素的,应将一次性密码有效期严格限制在最短的必要时间
内。
e) 使用企业网银进行资金类交易时,应至少使用硬件承载的数字证书等方式进行身份认证。
f) 应采取有效措施引导客户设置与银行卡交易密码不同的网上银行登录、交易密码,使用不相同
的登录密码及交易密码,避免设置易猜解的简单密码(例......
|