2020年2月，中国人民银行发布新版《网上银行系统信息安全通用规范》（JR/T 0068-2020）（以下简称“新标准”），修订了“ 《网上银行系统信息安全通用规范》（JR/T 0068-2020）。 T 0068-2012）已更新。 《网上银行系统信息安全通用标准》作为银行业金融机构网上银行建设的重要参考，随着技术的发展和进步，表现出了一定的时代适应性。中国人民银行自2015年开始制定新标准，如今尘埃落定，新标准正式发布。这个时隔8年多次修订的新标准到底发生了哪些变化？有哪些亮点？小编带你去一探究竟。

1. 基本比较 1.1 正文部分

在标准适用系统定义方面，新标准删除了旧标准中网上银行系统的定义，采用“系统描述”的方法对网上银行系统进行描述性定义，并区分了“银企直连”手机银行、微信银行、直销银行、小微企业银行等均被定义为网上银行系统。

在架构方面，新标准沿用了旧标准技术、管理、业务三部分的整体架构。规范要求也分为基本要求和增强要求。具体来说，将“安全技术规范、安全管理规范、经营安全规范”修改为“安全技术规范、安全管理规范、经营安全规范”。

整个标准的总体要求由原来的213项基本要求和35项增强要求变为240项基本要求和25项增强要求。虽然从数据上来看，要求物品的数量并没有太大的变化，甚至连强化要求都减少了。然而，新标准删除了旧标准中与现行等级保护要求重复的内容。从这个角度来看，金融业新标准的特色更强，对于金融机构的实际业务建设和拓展更具指导意义。

1.1.1 安全技术规范

总体来看，安全技术规范由原来的97项基本要求和30项增强要求变更为新版123项基本要求和21项增强要求。

在细节方面，新标准的这一部分在项目方面也进行了调整和增加。旧标准中的“专用安全设备”调整为“专用安全机构”。标题也根据现代用户习惯进行了调整，删除了旧标准中的“动态密码卡”这种已经退出历史舞台的身份验证方式，新增了“短信验证码”，即近年来常用的身份验证方法。网络通信安全增加了“通信链路”安全的新要求，对数据经过第三方服务器时的安全提出了要求。同时增加了“与外部系统连接的安全”，这就要求银行与外部单位合作时的系统安全。对连接安全性的要求。其中，调整幅度最大的无疑是“服务器端安全”内容的调整，几乎进行了重构，增加了虚拟化安全。

1.1.2 安全管理规定

总体来看，安全管理规定由原来的63项基本要求、1项强化要求变更为新标准的47项基本要求、1项强化要求。此次减少的主要原因是增加了“等级保护要求”内容、删除了旧标准中与现行保护等级重叠的内容、删除了旧标准中的“安全策略”等。总体而言，内容达到了“形式减实、增实”的效果。

另外，在内容上，“业务连续性与灾难恢复”和“安全事件与应急响应”与旧标准中的“系统运维管理”分离出来，形成独立的要求，与其他次要要求并置。 。关系体现了其重要性并吸引了金融机构的关注。

内容和级别保护要求的统一，避免了金融机构在网上银行建设中遵循多种标准、只重一重的问题。这也更符合标准的行业特点。

1.1.2 业务运行安全规范

本部分将旧标准《业务运行安全规范》名称调整为《业务运行安全规范》，并在标准项中增加了“对外组织业务合作”相关内容。将“客户教育与权益保护”调整为“客户培训与权益保护”。

总体来看，标准规范项目由53项基本要求、4项增强要求调整为70项基本要求、3项增强要求。

新增的“与外部机构业务合作”要求综合了近年来银行对外合作中出现的问题以及该模式下可能存在的风险，是标准的一大亮点。

1.2 附录部分

新标准删除了旧标准附录中的基本网络防护架构参考图、增强型网络防护架构参考图和物理安全（附录A、附录B、附录C）。旧标准中的附录A和附录B一度成为银行业金融机构网上银行的“标准架构”。然而，随着云计算等新技术的出现，这个“标准架构”已经表现出了一定程度的过时性，因此在新标准中被删除了。老标准中附录C的主要内容是物理安全相关内容。新标准的这一部分与分级保护中的相关内容一致，无需单独列出，已删除。

2、新标准的一些亮点 2.1亮点一：现行法规标准融入大成，内容更加系统

新标准解决了旧标准安全要求分散、系统性不够的问题。结合近年来的法律法规、重要通知和监管要求，形成了简洁明晰、内容更加充实的网上银行安全法规体系。以“银行业务申请与开立”为例，新标准直接引入了《中国人民银行关于进一步加强风险管理的通知》和《中国人民银行关于加强支付结算管理防范新违法违规行为的通知》。电信网络犯罪》（银发[2016]261号）、《中国人民银行关于进一步加强支付结算管理防范新发违法犯罪的通知》 《电信网络管理办法》（银发[2019]85号）相关规定，提出账户实名制和账户分类管理，要求金融机构在安全建设时能够保持与历史建设成果的统一，避免重复投资、二次建设、重复整改问题。

2.2亮点二：增加等级保护内容，聚焦银行业务特点

新标准明确要求“网上银行系统应当按照网络安全等级保护第三级安全要求进行建设、运营和管理”。此外，安全技术规范和安全管理规范中的通用内容与防护等级保持高度一致，旧标准中与防护等级重复的内容直接删除。

在加密算法的使用要求方面，新标准明确提出“在敏感支付信息的加密传输、数字证书签名与验证等方面应支持并优先使用SM系列密码算法”，并应使用SM系列密码算法。结合其他安全措施来确保网上银行的安全。它在使用和交易过程中具有五种可信能力，即可信通信能力、可信输入能力、可信输出能力、可信存储能力和可信计算能力。

同时，从标准整体来看，通过引入分级保护要求，不仅解决了金融机构网上银行建设过程中合规不便、内容重复的问题，也使新标准更加注重银行网上业务的个性化安全需求，如新增了二类、三类银行结算账户、交易安全锁等相关要求，使得新标准更有利于指导金融机构的系统建设。

2.3亮点三：融合多年网银建设经验，内容更实用

鉴于旧标准设计时，网上银行尚处于探索性成长阶段，且由于业务形态和客户量较高等历史原因，安全事件不多，真实的攻防经验并不多。参考。随着近年来银行网上银行业务的不断增长、移动互联网的不断普及、攻防能力的提升以及网上银行在客户金融生活中的作用日益增强，对数据安全和业务连续性的要求已变得更加严格。新标准及时融入了近年来典型的攻防对抗经验和业务问题处理经验，在安全机制、控制措施、业务监控等方面进行了细化，使指导建设更加具有实用性和针对性。的网上银行。例如，新增标准防范“同一变电站多市电输入”风险，要求银行及时“整理、维护关键设备零部件清单，采取有效措施，防范”单个设备部件发生故障。” ，导致冗余设备无法正常启动或切换的风险”，都是根据近年来一些真实的业务中断案例总结出来的实践经验。

2.4 亮点四：增加新技术安全规范，内容更符合当前业务现状

旧标准发布以来的这些年，互联网技术和银行互联网服务发展迅速。应用技术和业务模式、银行的服务对象都发生了很大的变化。新标准也与时俱进，将新的商业模式、新技术引入可能存在的安全隐患和应达到的安全标准，体现了良好的与时俱进意识。

以近年来常见的银企合作为例。过去大家都认为这种专网服务形式比较安全，对安全建设和标准合规重视不够。新标准中将其定义为网上银行系统，其建设标准参照互联网网上银行系统执行。内容增加了“网上银行系统与外部系统连接”的安全要求以及业务安全运行的一系列要求，有效消除了以往网上银行安全建设的盲点。

我们看到，新标准还包括条码支付、生物识别、短信验证码、云计算、IPv6、虚拟化安全等内容的安全标准和规范，为银行利用新技术建设网上银行提供了安全参考和标准。其价值和指导意义也得到加强。

三项新标准建设过程中的重点和难点 3.1 安全技术规范

3.1.1 客户端安全

在客户安全建设过程中，我们注重可控性和可信性。可控性是指网银建设者必须通过技术手段控制客户端软件和软件运行环境。

客户端软件可控性包括对网银软件开发、下载、使用、升级、退出等整个生命周期的完全控制。

开发阶段，开发过程中使用的系统组件、第三方组件、SDK的安全风险完全可控。

下载阶段通过签名等技术确保客户下载的软件是可信、完整的版本，并对假冒渠道进行监控和处理。

在使用阶段，严格控制软件运行过程中的数据安全，防止恶意读取。

在升级阶段，除了普通用户自愿升级外，还要求“当某个版本的网银被证明存在重大安全风险时”，建设者有技术手段“提示、强制用户更新版本”。客户”或采取必要措施警告用户甚至拒绝交易。

退出阶段应确保受控地清除运行数据或残留数据。

软件运行环境的可控性包括整个软件运行周期的安全性和可控性，包括软件安装环境、运行环境和退出环境。这种可控性可能需要金融机构建立相应的监控手段，不断汇总和比较历史数据，实时调整和分析软件运行环境的安全级别，并根据监控到的安全级别采取相应的风险控制措施。并将这些数据作为银行风险控制的重要依据。

3.1.2 专用安全机制

为了保证移动支付的保密性和完整性，专用的安全机制在交易过程中发挥着非常重要的作用。因此，标准也对网上银行专用安全机制的可信性提出了明确的要求。这部分是金融机构未来建设过程中的重点。

根据《移动终端支付可信环境技术规范》（JR/-2017），移动终端支付可信环境包括三种应用运行环境：REE（丰富执行环境）、TEE（可信执行环境）和SE（安全元件）。 ，并共存于同一终端上。根据终端提供的硬件隔离机制，各自拥有自己的硬件资源。

根据金融机构的业务特点，可信的移动终端应采用TEE或SE技术来实现身份验证和识别功能，防止验证过程被恶意干扰，导致验证结果不可信。

3.1.3 通信网络安全

在通信网络安全方面，金融机构重点关注通信身份的真实性、链路的安全性以及交易数据的安全性。

在会话建立和事务发起期间，应使用有效的双向身份验证方法进行客户端到服务器和服务器到客户端的身份验证。

通信过程中应采用动态密钥加密，每次通信均应使用不同的密钥对通信链路进行加密。对于敏感数据，应实现消息级加密，防止数据被窃听或篡改。

3.1.4 服务器端安全

综合来看，新标准要求服务器安全建设更加系统化、系统化。在应对非法攻击时，可以监控其“行为及其终端特征（如终端标识、软硬件特征等）、网络特征（如MAC、IP、WIFI识别等）、用户特征” （例如账户识别、手机号码等）、行为特征、物理位置等信息可进行识别、标记和关联分析”，并可与“风险监控系统”实现联动，采取防护措施及时采取禁令等措施。”从细节和具体操作来看，金融机构在未来建设中需要重点关注以下问题：

1、关注服务器端安全可能存在的内部风险。内部用户的安全意识不足或者缺乏管理技术手段，很可能会倒塌为服务安全防护筑起的长城。因此，新标准对内部用户管理、密码管理、无线网络管理、用户认证、网络接入等方面都有详细的要求。内部治理一直是过去几年金融机构网络安全建设的一大短板。我们看到，近年来病毒爆发、涉及内部员工的数据倒卖、辞职报复等事件都给企业内部安全治理敲响了警钟。这可能需要很长时间，但金融机构绝不能就此止步。

2、关注测试环境等边缘系统的安全建设；

3、内网访问控制也应转向应用侧保护。我们看到，大多数金融机构的内网隔离防护都是网络层防护，不太重视应用层。鉴于近年来攻防对抗形势的变化，新标准对这些内容提出了要求。这将是财务组织未来合规性的一个非常重要的方面。

4、注意API安全。 API是银行与外部业务合作、交换数据最常用的技术形式。也是个性化最强、安全防范难度最大的环节。新标准明确要求金融机构对API进行统一管理。具体管理方法和管理标准，金融机构可参照全国金融标准化技术委员会发布的《商业银行应用程序接口安全管理规范》。本《规范》规定了商业银行应用程序接口的类型、安全级别、安全设计。 、安全部署、安全集成、安全运维、服务终止和系统下线、安全管理等安全技术和安全保障需求。

5、加强反钓鱼建设，确保用户网上银行安全。防钓鱼建设是金融机构用户关怀的一个非常重要的方面。金融机构除了采用传统的被动式反钓鱼监控方式防范钓鱼网站外，还可以通过客户个性化界面、预留信息展示、验证等方式帮助用户识别真实网站与钓鱼网站。

6、注意服务器后台数据的安全。如数据库访问审计、传输加密等、数据备份等。

3.1.5 与外部系统连接的安全性

外部系统连接安全是新标准的最新补充。总体原则是无论业务是在互联网上还是在专用网络上进行，都实施相同级别的安全保护。因此，金融机构未来可能需要面临大量的业务转型，以实现专业服务的传输加密、消息级加密、消息完整性验证等标准要求的功能。这将是一个不小的工程。

2.2 安全管理规定

安全管理法规整体上要求满足防护等级要求中的相关安全管理要求。涉及扩展要求的，还应按相应要求满足。

2.2.1 安全管理组织机构

新标准对安全管理机构的要求与旧版标准基本一致，金融机构无需在安全管理方面进行重大调整，保障了管理机构的连续性和业务流程的连续性。需要指出的2个变化是：

1、新标准中“审查检查”要求项“应当制定安全检查计划并进行安全检查，形成安全检查汇总表和安全检查报告，并将安全检查报告报送财政主管部门”。中国人民银行等机构》》此内容；

2、新标准要求金融机构制定明确的处罚规则，对“违反和拒绝执行安全管理措施”的行为进行处罚。

2.2.2 安全管理体系

在安全管理体系建设方面，金融机构在应对新标准时应重点关注网上银行开发过程的控制和安全。也就是说，金融机构应该改变以往先开发业务功能再考虑安全防护的发展模式。维护、评估、应急响应等流程，以及涵盖“安全制度、安全规范、安全操作规程、操作记录手册”的信息安全管理体系，保障了网上银行的安全。

2.2.3 安全管理人员

在安全管理人员方面，新标准重点关注人员调整、员工培训、外部人员管理、外包服务人员管理等方面。

其中，以下两点需要金融机构在后期建设中注意：

1、明确要求关键岗位人均培训时数不少于48小时，并考核学习效果并将结果归档记录。

2、新标准增加了外包服务人员安全管理的内容，要求与外包服务人员签订保密协议，明确规定数据的安全操作和保护，确保数据安全。

2.2.4安全施工管理

安全建设一般分为两类，一类是产品采购，一类是软件开发。无论何种类型的建设，金融机构都需要提前设计和审核方案，并获得明确的授权和批准。开始建造。对于产品采购，金融机构应建立候选产品范围，并定期更新候选名单。

软件开发产品分为自行开发和外包开发。自主开发时应关注代码缺陷、安全漏洞、后门程序等，并在投入生产前进行代码审查和安全评估。外包开发重点关注外包资源的风险和外包人员带来的风险。同时明确强调管理职责不得外包。

2.2.5 安全运维管理