ICS 35.240.40 A 11 中 华 人 民 共 和 国 金 融 行 业 标 准 JR/T 0068—2020 代替 JR/T 0068—2012 m o c . 5 网上银行系统信息安全通用规范 b u General specification of information security for internet banking system h t i g 2020 - 02 - 05 发布 2020 - 02 - 05 实施 中国人民银行 发 布 JR/T 0068—2020 目 次 前 言 .............................................................................. II 引 言 ............................................................................. III 1 范围 ............................................................................... 1 2 规范性引用文件 ..................................................................... 1 3 术语和定义 ......................................................................... 2 m o c . 5 4 缩略语 ............................................................................. 3 5 网上银行系统概述 ................................................................... 4 6 安全规范 ........................................................................... 7 参考文献 ............................................................................ 32 h t i g b u I JR/T 0068—2020 前 言 本标准按照GB/T 1.1—2009给出的规则起草。 本标准代替JR/T 0068—2012《网上银行系统信息安全通用规范》。 本标准与JR/T 0068—2012相比，主要变化如下： ——增加了 SM 系列算法相关要求（见 5.4）； ——删除了与 JR/T 0071《金融行业信息系统信息安全等级保护实施指引》要求重复的内容（2012 年版的 6.1.4、6.2）； ——修改了客户端安全的表述，补充了自身防护、敏感信息保护等安全要求（见 6.2.1.1,2012 年 版的 6.1.1）； ——增加了条码支付相关要求（见 6.2.1.1、6.2.4.3）； ——修改了专用安全设备的安全要求，并改名为“专用安全机制” （见 6.2.2，2012 年版的 6.1.2）； ——增加了安全单元和移动终端支付可信环境相关要求（见 6.2.2.1、6.2.2.5）； ——增加了生物特征相关要求（见 6.2.2.5）； ——增加了云计算安全相关要求(见 6.2.4.1、6.3.1）； ——增加了 IPv6 相关要求（见 6.2.4.3）； ——增加了虚拟化安全相关要求(见 6.2.4.4）； ——增加了网上银行系统与外部系统连接安全的基本描述和安全要求（见 6.2.5）； ——修改了业务连续性与灾难恢复安全要求（见 6.3.7，2012 年版的 6.2.6 中的 k、l)； ——修改了安全事件与应急响应的安全要求（见 6.3.8，2012 年版的 6.2.6 中的 m、n)； ——增加了Ⅱ、Ⅲ类银行结算账户及交易安全锁相关要求（见 6.4.1）； ——删除了附录中的基本的网络防护架构参考图、增强的网络防护架构参考图和物理安全（2012 年版的附录 A、附录 B、附录 C）。 本标准由中国人民银行提出。 本标准由全国金融标准化技术委员会（SAC/TC 180）归口。 本标准起草单位：中国人民银行科技司、中国银联股份有限公司、银行卡检测中心、中国工商银行 股份有限公司、中国建设银行股份有限公司、中国农业银行股份有限公司、中国邮政储蓄银行股份有限 公司、招商银行股份有限公司、中国民生银行股份有限公司、国家信息技术安全研究中心、中金金融认 证中心有限公司。 本标准主要起草人：李伟、陈立吾、车珍、周恒、昝新、夏磊、闫晋国、曲维民、沈筱彦、赵乔伟、 何朔、华锦芝、杨阳、徐燕军、章明、汤洋、渠韶光、孟飞宇、张志波、高志民、孙茂增、高强裔、马 哲、李博文、赵梦洁、李京春、李冰、曹岳、苏建明、姜城、伍红卫、李徽、王宁、杨杰、廖敏飞、刘 红波、梁智扬、廖渊、夏雷、梁剑锋、吴欣、李晓、武德港、李强、曾庆祥、季小杰、李超、马春旺、 赵胜利、黄春芳、薛金川、蒋健骁、李为、侯漫丽。 本标准所代替标准的历次版本发布情况为： ——JR/T 0068—2012。 b u m o c . 5 h t i g II JR/T 0068—2020 引 言 本标准通过收集、分析在评估检查中发现的网上银行系统信息安全问题和已发生的网上银行案件， 针对性地提出安全要求。 本标准旨在有效增强现有网上银行系统安全防范能力，促进网上银行规范、健康发展。本标准既可 作为各单位网上银行系统建设、改造升级以及开展安全检查、内部审计的安全性依据，也可作为行业主 管部门、专业检测机构进行检查、检测及认证的依据。 m o c . 5 h t i g b u III JR/T 0068—2020 网上银行系统信息安全通用规范 1 范围 本标准规定了网上银行系统安全技术要求、安全管理要求、业务运营安全要求，为网上银行系统建 设、运营及测评提供了依据。 本标准适用于中华人民共和国境内设立的商业银行等银行业金融机构所运营的网上银行系统，其他 金融机构提供网上金融服务的业务系统宜参照本标准执行。 m o c . 5 注1：本标准分为基本要求和增强要求两个层次，基本要求为最低安全要求，增强要求是进一步提升系统安全性的 要求。各单位应在遵照执行基本要求的同时，按照增强要求，积极采取改进措施，不断提高安全保障能力。 注2：本标准条款中如无特别指明“企业网银”，则同时适用于个人网银和企业网银。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。 凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 25069—2010 信息安全技术 术语 GB/T 27912—2011 金融服务 生物特征识别 安全框架 GM/Z 0001—2013 密码术语 GM/T 0002—2012 SM4分组密码算法 GM/T 0003—2012 SM2椭圆曲线公钥密码算法 GM/T 0004—2012 SM3密码杂凑算法 GM/T 0021—2012 动态口令密码应用技术规范 JR/T 0071 金融行业网络安全等级保护实施指引 JR/T 0098.5 中国金融移动支付 检测规范 第5部分：安全单元（SE）嵌入式软件安全 JR/T 0118—2015 金融电子认证规范 JR/T 0149—2016 中国金融移动支付 支付标记化技术规范 JR/T 0156—2017 移动终端支付可信环境技术规范 JR/T 0166—2018 云计算技术金融应用规范 技术架构 JR/T 0167—2018 云计算技术金融应用规范 安全技术要求 JR/T 0168—2018 云计算技术金融应用规范 容灾 中国人民银行关于改进个人银行账户服务加强账户管理的通知（银发〔2015〕392号），2015-12-25 中国人民银行关于进一步加强银行卡风险管理的通知（银发〔2016〕170号），2016-06-13 中国人民银行关于加强支付结算管理 防范电信网络新型违法犯罪有关事项的通知（银发〔2016〕 261号），2016-09-30 中国人民银行关于落实个人银行账户分类管理制度的通知（银发〔2016〕302号），2016-11-25 中国人民银行办公厅关于强化银行卡磁条交易安全管理的通知（银办发〔2017〕120号），2017-05-31 条码支付安全技术规范（试行）（银办发〔2017〕242号文印发），2017-12-22 中国人民银行关于改进个人银行账户分类管理有关事项的通知（银发〔2018〕16号），2018-01-10 h t i g b u 1 JR/T 0068—2020 中国人民银行关于进一步加强支付结算管理防范电信网络新型违法犯罪有关事项的通知（银发 〔2019〕85号），2019-03-22 3 术语和定义 GB/T 25069—2010、GM/Z 0001—2013界定的以及下列术语和定义适用于本文件。为了便于使用， 以下重复列出了GM/Z 0001—2013中的一些术语和定义。 3.1 网上银行 internet banking 商业银行等银行业金融机构通过互联网、移动通信网络、其他开放性公众网络或专用网络基础设施 向其客户提供的网上金融服务。 m o c . 5 3.2 个人网银 personal internet banking 商业银行等银行业金融机构面向个人用户提供的网上金融服务。 3.3 企业网银 corporate internet banking b u 商业银行等银行业金融机构面向企事业单位和其他组织提供的网上金融服务。 3.4 h t i g 支付敏感信息 payment sensitive information 影响网上银行安全的密码、密钥以及交易敏感数据等。 注：密码包括但不限于转账密码、查询密码、登录密码、证书的PIN等，密钥包括但不限于用于确保通讯安全、报 文完整性等的对称密钥、私钥等，交易敏感数据包括但不限于完整磁道信息、有效期、CVN、CVN2等。 3.5 移动终端 mobile terminal 区别于PC机方式，以手机、平板电脑、可穿戴设备等访问网上银行的移动设备。 3.6 客户端程序 client program 为网上银行客户提供人机交互功能的程序，以及提供必需功能的组件。 注：包括但不限于可执行文件、控件、静态链接库、动态链接库等。