0x00 背景
中华人民共和国金融行业标准JR/T 0068—2020 网上银行系统信息安全通用规范是2019年10月份推出代替 JR/T 0068—2012,在2020年2月5日开展实施执行,作为一部通用规范合规要求,很有研读意义。
本标准通过收集、分析在评估检查中发现的网上银行系统信息安全问题和已发生的网上银行案件,针对性地提出安全要求。
本标准旨在有效增强现有网上银行系统安全防范能力,促进网上银行规范、健康发展。本标准既可作为各单位网上银行系统建设、改造升级以及开展安全检查、内部审计的安全性依据,也可作为行业主管部门、专业检测机构进行检查、检测及认证的依据。
0x01 标准说明
本标准与JR/T 0068—2012相比,主要变化如下:
——增加了 SM 系列算法相关要求(见 5.4);【思考:近几年,鼓励支持国密标准,相当于对国产加密行业的支持】
——删除了与 JR/T 0071《金融行业信息系统信息安全等级保护实施指引》要求重复的内容(2012年版的 6.1.4、6.2);
——修改了客户端安全的表述,补充了自身防护、敏感信息保护等安全要求(见 6.2.1.1,2012 年版的 6.1.1);
——增加了条码支付相关要求(见 6.2.1.1、6.2.4.3);【思考:近几年,移动支付的个人、商家大量使用二维码】
——修改了专用安全设备的安全要求,并改名为“专用安全机制”(见 6.2.2,2012 年版的 6.1.2);
——增加了安全单元和移动终端支付可信环境相关要求(见 6.2.2.1、6.2.2.5);【思考:近几年,移动支付的盛行,手机/POS机等已经沦为黑客可控的脏环境】
——增加了生物特征相关要求(见 6.2.2.5);【思考:近几年,移动支付的指纹支付、声纹支付、人脸识别技术的】
——增加了云计算安全相关要求(见 6.2.4.1、6.3.1);【思考:近几年,云计算广泛使用】
——增加了 IPv6 相关要求(见 6.2.4.3);【思考:2019年最后一批IPv4已经耗尽,IPv6虽然推进了十几年,但进度缓慢,但总体方向是明确的】
——增加了虚拟化安全相关要求(见 6.2.4.4);【思考:近几年,云计算广泛使用】
——增加了网上银行系统与外部系统连接安全的基本描述和安全要求(见 6.2.5);
——修改了业务连续性与灾难恢复安全要求(见 6.3.7,2012 年版的 6.2.6 中的 k、l);
——修改了安全事件与应急响应的安全要求(见 6.3.8,2012 年版的 6.2.6 中的 m、n);
——增加了Ⅱ、Ⅲ类银行结算账户及交易安全锁相关要求(见 6.4.1); 【思考:银行目前规定只允许个人拥有一张I类卡,可拥有多张II,III类卡】
——删除了附录中的基本的网络防护架构参考图、增强的网络防护架构参考图和物理安全(2012年版的附录 A、附录 B、附录 C)。
本标准由中国人民银行提出。
本标准由全国金融标准化技术委员会(SAC/TC 180)归口。
注1:外部区域:网上银行的用户或外部机构,利用网上银行客户端,通过互联网、移动通信网络、其他开放性公
众或专用网络访问网上银行业务系统;
注2:安全区域一:网上银行访问子网,提供基于WEB、客户端的访问或跳转服务;
注3:安全区域二:网上银行业务系统,主要进行网上银行的业务处理;
注4:银行内部系统:银行处理系统,主要进行银行内部的数据处理;
注5:隔离设备:不限于硬件或软件等具体形态,主要起到隔离不同安全区域的作用。
0x02 安全技术规范
2.1 客户端安全
1客户端程序
b)客户端程序应具有明确的应用标识符和版本序号,设计合理的更新接口,当某一版本被证明存在重大安全隐患时,提示并强制要求用户更新客户端。
i) 客户端程序应对关键界面采用反录屏等技术,防范非法程序通过拷屏等方式获取支付敏感信息。
j) 客户端程序应提供客户输入支付敏感信息的即时防护功能,并对内存中的支付敏感信息进行保护,例如,采取逐字符加密、自定义软键盘、防范键盘窃听技术等措施。、
2 客户端环境
a) 应对客户端运行环境的安全状况进行检测并向后台系统反馈,并将此作为风控策略的依据。
d) 当发现客户端环境存在重大安全缺陷或安全威胁时,应采取必要措施对用户进行警示或拒绝交易。
2.2 专用安全机制
1 智能密码钥匙
累计17条明确要求以及一条增强要求,有几条比较深刻的要求
l)智能密码钥匙加密芯片应具备抵抗旁路攻击的能力,包括但不限于:
抗 SPA/DPA 攻击能力。
抗 SEMA/DEMA 攻击能力。
在外部环境发生变化时,智能密码钥匙不应泄露支付敏感信息或造成安全风险。外部环境的变
化包含但不限于:
高低温。
高低电压。
强光干扰。
电磁干扰。
紫外线干扰。
静电干扰。
电压毛刺干扰
【思考:银行的KEY安全要求还是很多的,尤其是企业用户在登录网银时候,一般都要求用key】
2 文件证书
累计10条明确要求以及一条增强要求,有几条比较深刻的要求
a)应严格控制申请、颁发和更新流程,避免对个人网银客户的同一业务颁发多个有效证书。【思考:】
h) 文件证书的发放宜使用离线或专线方式,确需通过公众网络发放的,应提供一次性链接下载。
3 动态口令令牌
累计9条明确要求以及9条增强要求,有几条比较深刻的要求
e) 动态口令的长度不应少于 6 位。
g) 对于基于时间机制的动态口令令牌,应设置此时间窗口最大不超过动态口令的理论生存期前后60s
4 短信验证码
累计7条明确要求,有几条比较深刻的要求
a) 开通短信验证码时,应使用人工参与控制的可靠手段验证客户身份并登记手机号码。更改手机号码时,应对客户的身份进行有效验证。
b) 交易的关键信息应与短信验证码一起发送给客户,并提示客户确认。
c) 短信验证码应随机产生,长度不应少于 6 位。
d) 短信验证码应具有时效性,最长不超过 6 分钟,超过有效时间应立即作废。
e) 短信验证码在使用完毕后应立刻失效,应采取措施防范对验证码的暴力猜解攻击。
f) 短信验证码的关键信息不应由客户定制,例如,金额、卡号。
g) 应基于终端特性采取有效措施防止验证码被分析、窃取、篡改,保证短信验证码的机密性和完整性,例如,对验证码进行加密处理、结合外部认证介质、采用挑战应答等。
5生物特征
累计7条明确要求,有几条比较深刻的要求
d) 应确定合理的生物特征数据采集、传输、处理、存储的方式,采取适当的措施避免生物特征数据或相关信息被非法泄露或非法使用。【思考:这里存在数据安全的要求】
f) 采集的生物特征数据不得用于除预期业务外的其他用途。【思考:不得滥用数据】
2.3 通信网络安全
1 通讯协议
a) 应在客户端程序与服务器之间建立安全的信息传输通道,采用的安全协议应及时更新至安全稳定版本,取消对存在重大安全隐患版本协议的支持。
b) 应采用每次交易会话采取独立不同密钥的加密方式对业务数据进行加密处理,防止业务数据被窃取或者篡改。
c) 根据数据传输的安全要求,应使用安全的算法组合。增强要求:
应使用加密算法和安全协议保护网上银行服务器与其他应用服务器之间所有连接,保证传输数据的机密性和完整性。
2 安全认证
a) 通过公开网络进行数据传输时,应通过密钥、证书等密码技术手段进行双向认证。
b) 客户端程序应对服务器端证书的合法性进行验证。
c) 整个通讯期间,经过认证的通讯线路应一直保持安全连接状态。
d) 银行端 Web 服务器应使用权威机构颁发的数字证书以标识其真实性。
e) 应确保客户获取的金融机构 Web 服务器的根证书真实有效,例如,可在客户开通网上银行时分发根证书,或将根证书集成在客户端程序安装包中分发等。
增强要求:
客户端程序和本地其他实体(指除支付软件自身外的其他软件及硬件)间的数据通信应采用安全的方式,确保通信数据不被监听和篡改。
3 通信链路
a) 网上银行客户端和服务端之间的通讯,若通信数据中包含支付敏感信息,则应对支付敏感信息加密,支付敏感信息不应以明文形式出现。
b) 客户端和服务端之间的通讯如经过第三方服务器且通信数据中包含支付敏感信息时,应建立服务端和客户端之间的安全通道(例如,VPN 等)避免信息被第三方获取或修改
2.4 服务器端安全
1 等级保护要求
普通业务是等保3级,金融行业是等保4级
2 安全通信网络
从结构安全、访问控制、入侵防范、网络设备防护、恶意代码防范等4个方面提出要求,这部分内容明确需要各类安全产品,如防火墙进行网络安全区域划、IDS/IPS进行边界入侵检测防御、动态因素二次认证等
3 安全计算环境
明确提出了14条安全要求,分别是身份鉴别、访问控制、安全审计、入侵防范、Web安全、图形验证码、防钓鱼、域名解析服务、数据库服务安全、关键组件、应用系统支持条码支付业务、应对客户端的标识信息进行记录、数据保护、数据备份和恢复以及7条增强要求。
4 虚拟化安全
明确提出了6条明确要求,分别是虚拟化环境加固、虚拟化隔离、虚拟化审计、审计操作日志、虚拟机镜像文件安全、虚拟机生命周期管理等和2条增强要求:虚拟化环境加固、虚拟机生命周期管理
2.5 与外部系统连接安全
1、传输安全
金融机构与外部机构间的数据传输可采用专线、VPN、Internet方式,对3种方式提了明确要求。
2 数据安全
明确了6条数据安全要求。【思考:这里要求不是很具体】
0x03 安全管理规范
明确7个方向的要求,分别是等级保护、安全管理机构、安全管理人员、安全建设管理、安全运维管理、业务连续性与灾难恢复、安全事件与应急响应,内容比较经典。
0x04 业务运营安全规范
1 业务申请及开通
明确提出了14条基本要求,其中比较深刻的:
c) 金融机构应充分考虑并采取有效技术措施防范网上银行资金类交易开通的安全风险。个人网银资金类交易的开通应由客户本人到柜台申请,申请时,金融机构应对其进行风险提示,验证客户的有效身份,并要求客户书面确认。
e) 企业网银开通应由本企业人员到柜台申请,金融机构应审查其申请材料的真实性、完整性和合规性。
n) 网上银行专用安全设备在暂停、终止、挂失或注销后,如需要恢复、解除挂失需客户本人持有效身份证件到柜台或通过金融机构客服电话等办理,金融机构应核实客户信息、网银账户信息并对预留手机号码进行验证。
【思考:综上分析得出,在某些场景下,还是需要本人亲自到柜台处理业务,如挂失恢复、资金交易开通等】
2 业务安全交易机制
从身份认证(8条明确要求和2条网上支付要求)、交易流程(15条要求)、交易监控(11条要求)等3个方向提出了明确要求,其中比较深刻的:
身份认证:
b) 应采取交易验证强度与交易额度相匹配的技术措施,提高交易的安全性。高风险业务应组合选用下列三类要素对交易进行验证:一是客户知悉的要素,例如,静态密码等;二是仅客户本人持有并特有的,不可复制或者不可重复利用的要素,如经过安全认证的数字证书、电子签名,以及通过安全渠道生成和传输的一次性密码等;三是客户本人生物特征要素,例如,指纹、虹膜等。应确保采用的要素相互独立,部分要素的损坏或者泄露不应导致其他要素损坏或者泄露。以下资金类交易可不受上述限制:同一客户账户之间转账并且金融机构能有效识别转入、转出方为同一客户账户的。
g) 客户登录网上银行或登录后执行资金类交易时,若身份认证连续失败超过一定次数(不超过10 次),应在短时间内锁定该客户网上银行登录权限或交易账户使用权限,并引导客户采取隔日登录、密码重置等措施进行有关锁定状态解除操作。对于大数据分析认定的高风险行为,应通过短信或电话等可靠的方式通知客户。【思考:如果知道了某个银行账号,挂个脚本,天天导致人家账号被锁,导致无法登陆,是不是可以造成人家业务困扰呢?】
身份认证如通过网上银行系统开展网上支付业务,还应满足以下条款:
a) 网上银行系统接受商户或非银行支付机构的系统建立连接请求时,应通过验证其服务器数字证
书、预留 IP 地址比对等方式认证其系统的身份。
b) 应对网上银行系统和商户、非银行支付机构的系统之间发送和接收的信息采用数字证书机制进
行签名及验签,保证交易数据的完整性和不可抵赖性。
交易流程
c) 资金类交易中,应具有防范客户端数据被篡改的机制,应由客户确认资金类交易关键数据(至少包含转入账号和交易金额),并采取有效确认方式以保证交易信息不被篡改,例如,使用挑战应答型动态口令令牌产生的交易密码、发送包含确认信息的短信验证码、在智能密码钥匙内完成确认等。
f) 提交交易请求时,应上送终端相关信息,例如,计算机终端可提交设备 CPU ID、硬盘序列号、浏览器指纹等;移动终端设备可提交 IMEI、IMSI、MEID、ESN 等。后台服务器应对编号信息和登记信息进行一致性验证。如对交易数据签名,签名数据应包含此类信息。
j) 金融机构可根据自身情况界定高风险业务及其风险控制规则,对于资金类交易等触发风险控制规则的情况,应使用其他身份认证方式进一步确认客户身份。【思考:高风险交易,需要进行二次验证,甚至人工或者机器人打电话确认也是不错的手段】
交易监控
d) 应通过交易行为分析、机器学习等技术不断优化风险评估模型,结合生物探针、相关客户行为分析等手段,建立并完善反欺诈规则,实时分析交易数据,根据风险高低产生报警信息,实现欺诈行为的侦测、识别、预警和记录,提高欺诈交易拦截成功率,切实提升交易安全防护能力。
e) 应建立风险交易监控系统,对具备频次异常、账户非法、批量交易、用户习惯偏离、用户特征偏离、非法更正交易、报文重复、金额异常、扫库或撞库等特征的请求,以及外部欺诈、身份冒用、套现、洗钱等异常情况进行有效监控,对于风险较大、可疑程度较高的交易,应采取精准识别、实时拦截等措施。
f) 对监测到的可疑或异常交易建立报告、复核、查结机制。应开展人工分析,识别攻击源头、进行影响分析并及时采取拦截措施,防止集中性风险事件发生。
3 外部机构业务合作
明确提出了14条明确要求,其中印象比较深刻的是:
b) 金融机构与外部机构应在合作协议中明确交易验证、信息保护、差错处理、风险赔付等方面的权利、义务和违约责任,切实保障持卡人资金安全和信息安全。
f) 金融机构应将与外部机构的合作业务纳入本机构业务运营风险监测系统的监控范围,采取技术手段对商户和客户在本机构的账户资金活动情况进行实时监控,对达到风险标准的应组织核查。特别是对其中大额、异常的资金收付,应做到逐笔监测、认真核查、及时预警、及时控制。
i) 金融机构在与外部机构建立关联业务时,应采用多因素身份认证方式,直接鉴别客户身份,取得客户授权,并保存记录。应采取有效的技术措施保证交易指令的安全性,对于支付类交易应要求外部机构提供必要的订单信息,以用于客户进行交易确认,保障支付交易安全。
4 客户培训及权益保护
a) 金融机构应切实加强客户培训和风险提示,向客户详细解释本机构网上银行业务流程和安全控制措施,在网上银行新产品(业务)推出、相关业务(操作)流程变更、安全控制措施变化时,及时告知客户。
b) 金融机构应通过各种宣传渠道向大众提供正确的网上银行官方网址和呼叫中心号码,提示客户牢记金融机构官方网站地址和呼叫中心号码。
c) 金融机构应向客户印发通俗、易懂的网上银行信息安全宣传手册,在网上银行官方网站首页显著位置开设信息安全培训栏目。在显著位置或关键操作界面,宜提醒客户注意防范各类诈骗。
d) 金融机构应按照相关法律法规要求,制定网上银行系统隐私政策。
e) 金融机构应向客户明确提示网上银行相关的安全风险和注意事项,并根据网上银行安全形势的JR/T 0068—202031变化,及时更新相关事项,包括但不限于提示客户不在非自主可控的终端上登录网上银行,维护良好的客户端环境,及时更新操作系统及浏览器补丁,安装并更新客户端防病毒软件,避免设置与常用软件(例如,社交软件)、网站(例如,社交平台、论坛)、与客户个人信息相似度过高的用户名和密码组合,避免将本人网上银行支付敏感信息告知他人,避免将本人的网上银行安全设备转借他人使用,在网上银行操作完成后立即退出相关界面并及时断开与终端相连的专用安全设备,不安装或运行来历不明的客户端软件和程序,不打开陌生人发送的电子邮件及其附件或网站链接,谨防虚假网上银行链接,注意对网上银行的支付敏感信息进行保护等内容。
f) 应建立网上银行相关的侵犯客户权益行为的处置机制,开辟公众举报渠道,建立有效的问题处置机制,及时通过金融机构网站及其他可靠渠道向公众通报提示钓鱼网站、网络欺诈等重要信息。
g) 应建立网上银行相关的客户投诉、纠纷处理及舆情应对机制,严格按照行业、机构的相关规定和要求对外发布信息,有效维护客户权益及金融机构声誉。
h) 应通过多种渠道及时公告网上银行相关的服务内容、协议、资费标准等重大调整,可能影响服务的系统重要升级或变更等重大事项。
0x05 参考信息
文件下载地址:
链接:https://pan.baidu.com/s/1P31faomdlS6h2DhRcfL9NA
提取码:huzm