网上银行系统信息安全通用规范-2020

ICS 35.240.40 A 11 中华人民共和国金融行业标准 JR/T 0068—2020 代替 JR/T 0068—2012 网上银行系统信息安全通用规范 General specification of information security for internet banking system 2020 - 02 - 05 发布 2020 - 02 - 05 实施中国人民银行发布 JR/T 0068—2020 目次前言 ..............................................................................II 引言 .............................................................................III 1 范围 ...............................................................................1 2 规范性引用文件 .....................................................................1 3 术语和定义 .........................................................................2 4 缩略语 .............................................................................3 5 网上银行系统概述 ...................................................................4 6 安全规范 ...........................................................................7 参考文献 ............................................................................32 I JR/T 0068—2020 前言本标准按照GB/T 1.1—2009给出的规则起草。本标准代替JR/T 0068—2012《网上银行系统信息安全通用规范》。本标准与JR/T 0068—2012相比，主要变化如下： ——增加了 SM 系列算法相关要求（见 5.4）； ——删除了与 JR/T 0071《金融行业信息系统信息安全等级保护实施指引》要求重复的内容（2012 年版的 6.1.4、6.2）； ——修改了客户端安全的表述，补充了自身防护、敏感信息保护等安全要求（见 6.2.1.1,2012 年版的 6.1.1）； ——增加了条码支付相关要求（见 6.2.1.1、6.2.4.3）； ——修改了专用安全设备的安全要求，并改名为“专用安全机制” （见 6.2.2，2012 年版的 6.1.2）； ——增加了安全单元和移动终端支付可信环境相关要求（见 6.2.2.1、6.2.2.5）； ——增加了生物特征相关要求（见 6.2.2.5）； ——增加了云计算安全相关要求(见 6.2.4.1、6.3.1）； ——增加了 IPv6 相关要求（见 6.2.4.3）； ——增加了虚拟化安全相关要求(见 6.2.4.4）； ——增加了网上银行系统与外部系统连接安全的基本描述和安全要求（见 6.2.5）； ——修改了业务连续性与灾难恢复安全要求（见 6.3.7，2012 年版的 6.2.6 中的k、l)； ——修改了安全事件与应急响应的安全要求（见 6.3.8，2012 年版的 6.2.6 中的m、n)； ——增加了Ⅱ、Ⅲ类银行结算账户及交易安全锁相关要求（见 6.4.1）； ——删除了附录中的基本的网络防护架构参考图、增强的网络防护架构参考图和物理安全（2012 年版的附录 A、附录B、附录 C）。本标准由中国人民银行提出。本标准由全国金融标准化技术委员会（SAC/TC 180）归口。本标准起草单位：中国人民银行科技司、中国银联股份有限公司、银行卡检测中心、中国工商银行股份有限公司、中国建设银行股份有限公司、中国农业银行股份有限公司、中国邮政储蓄银行股份有限公司、招商银行股份有限公司、中国民生银行股份有限公司、国家信息技术安全研究中心、中金金融认证中心有限公司。本标准主要起草人：李伟、陈立吾、车珍、周恒、昝新、夏磊、闫晋国、曲维民、沈筱彦、赵乔伟、何朔、华锦芝、杨阳、徐燕军、章明、汤洋、渠韶光、孟飞宇、张志波、高志民、孙茂增、高强裔、马哲、李博文、赵梦洁、李京春、李冰、曹岳、苏建明、姜城、伍红卫、李徽、王宁、杨杰、廖敏飞、刘红波、梁智扬、廖渊、夏雷、梁剑锋、吴欣、李晓、武德港、李强、曾庆祥、季小杰、李超、马春旺、赵胜利、黄春芳、薛金川、蒋健骁、李为、侯漫丽。本标准所代替标准的历次版本发布情况为： ——JR/T 0068—2012。 II JR/T 0068—2020 引言本标准通过收集、分析在评估检查中发现的网上银行系统信息安全问题和已发生的网上银行案件，针对性地提出安全要求。本标准旨在有效增强现有网上银行系统安全防范能力，促进网上银行规范、健康发展。本标准既可作为各单位网上银行系统建设、改造升级以及开展安全检查、内部审计的安全性依据，也可作为行业主管部门、专业检测机构进行检查、检测及认证的依据。 III JR/T 0068—2020 网上银行系统信息安全通用规范 1 范围本标准规定了网上银行系统安全技术要求、安全管理要求、业务运营安全要求，为网上银行系统建设、运营及测评提供了依据。本标准适用于中华人民共和国境内设立的商业银行等银行业金融机构所运营的网上银行系统，其他金融机构提供网上金融服务的业务系统宜参照本标准执行。注1：本标准分为基本要求和增强要求两个层次，基本要求为最低安全要求，增强要求是进一步提升系统安全性的要求。各单位应在遵照执行基本要求的同时，按照增强要求，积极采取改进措施，不断提高安全保障能力。注2：本标准条款中如无特别指明“企业网银”，则同时适用于个人网银和企业网银。 2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 25069—2010 信息安全技术术语 GB/T 27912—2011 金融服务生物特征识别安全框架 GM/Z 0001—2013 密码术语 GM/T 0002—2012 SM4分组密码算法 GM/T 0003—2012 SM2椭圆曲线公钥密码算法 GM/T 0004—2012 SM3密码杂凑算法 GM/T 0021—2012 动态口令密码应用技术规范 JR/T 0071 金融行业网络安全等级保护实施指引 JR/T 0098.5 中国金融移动支付检测规范第5部分：安全单元（SE）嵌入式软件安全 JR/T 0118—2015 金融电子认证规范 JR/T 0149—2016 中国金融移动支付支付标记化技术规范 JR/T 0156—2017 移动终端支付可信环境技术规范 JR/T 0166—2018 云计算技术金融应用规范技术架构JR/T 0167—2018 云计算技术金融应用规范安全技术要求JR/T 0168—2018 云计算技术金融应用规范容灾中国人民银行关于改进个人银行账户服务加强账户管理的通知（银发〔2015〕392号），2015-12-25 中国人民银行关于进一步加强银行卡风险管理的通知（银发〔2016〕170号），2016-06-13 中国人民银行关于加强支付结算管理防范电信网络新型违法犯罪有关事项的通知（银发〔2016〕 261号），2016-09-30 中国人民银行关于落实个人银行账户分类管理制度的通知（银发〔2016〕302号），2016-11-25 中国人民银行办公厅关于强化银行卡磁条交易安全管理的通知（银办发〔2017〕120号），2017-05-31 条码支付安全技术规范（试行）（银办发〔2017〕242号文印发），2017-12-22 中国人民银行关于改进个人银行账户分类管理有关事项的通知（银发〔2018〕16号），2018-01-10 1 JR/T 0068—2020 中国人民银行关于进一步加强支付结算管理防范电信网络新型违法犯罪有关事项的通知（银发〔2019〕85号），2019-03-22 3 术语和定义 GB/T 25069—2010、GM/Z 0001—2013界定的以及下列术语和定义适用于本文件。为了便于使用，以下重复列出了GM/Z 0001—2013中的一些术语和定义。 3.1 3.1 网上银行 internet banking 商业银行等银行业金融机构通过互联网、移动通信网络、其他开放性公众网络或专用网络基础设施向其客户提供的网上金融服务。 3.2 3.2 个人网银 personal internet banking 商业银行等银行业金融机构面向个人用户提供的网上金融服务。 3.3 3.3 企业网银 corporate internet banking 商业银行等银行业金融机构面向企事业单位和其他组织提供的网上金融服务。 3.4 3.4 支付敏感信息 payment sensitive information 影响网上银行安全的密码、密钥以及交易敏感数据等。注：密码包括但不限于转账密码、查询密码、登录密码、证书的PIN等，密钥包括但不限于用于确保通讯安全、报文完整性等的对称密钥、私钥等，交易敏感数据包括但不限于完整磁道信息、有效期、CVN、CVN2等。 3.5 3.5 移动终端 mobile terminal 区别于PC机方式，以手机、平板电脑、可穿戴设备等访问网上银行的移动设备。 3.6 3.6 客户端程序 client program 为网上银行客户提供人机交互功能的程序，以及提供必需功能的组件。注：包括但不限于可执行文件、控件、静态链接库、动态链接库等。本标准中客户端程序包括运行于移动终端上的应用软件，不包括IE等通用浏览器。 3.7 3.7 智能密码钥匙 cryptographic smart token 提供密码运算、密钥管理等密码服务的终端密码设备，一般使用USB、蓝牙、音频、SD等接口形态。 3.8 3.8