文章目录
2020年2月,中国人民银行发布了新版《网上银行系统信息安全通用规范》(JR/T 0068-2020)(以下简称“新标准”),对《网上银行系统信息安全通用规范》(JR/T 0068-2012)进行了更新。网上银行系统信息安全通用规范作为银行业金融机构网上银行建设重要参考依据,随着技术的发展与进步,表现出了一定的时代不适性,人民银行在2015年起就开始着手新标准的制定。如今,尘埃落定,新标准正式发布,这部时隔8年,经历过多次修订的新标准内容究竟发生了哪些变化呢?又有哪些亮点,小编带你一探究竟。
在标准适用系统定义上,新标准删除了旧标准中关于网上银行系统的定义,采用“系统描述”的方式对网上银行系统进行了描述性界定,将“银企直联”与“手机银行、微信银行、直销银行、小微企业银行”等都界定为网上银行系统。
新标准在架构上沿用了旧标准技术、管理、业务三个部分的整体架构,规范要求同样分为基本要求和增强要求。细节上将“安全技术规范、安全管理规范和业务运作安全规范”变更为“安全技术规范、安全管理规范和业务运营安全规范”。
整个标准整体的要求项从原来的213项基本要求和35项增强要求变为240项基本要求和25项增强要求。虽然从数据上来看,要求项的数量变化不大,甚至增强要求还有所减少。但是新标准移除了旧标准中与现行等级保护要求相重复的内容。从这个角度来看,新标准的金融行业的特性更强,对金融机构实际业务建设和扩展的指导性更强。
1.1.1 安全技术规范
从整体上来看,安全技术规范从原来的97项基本要求和30项增强要求变化为新版本的123项基本要求和21项增强要求。
从细节上来看,这部分新标准在条目上也有所调整和增加,将旧标准中的“专用安全设备”调整为“专用安全机制”,标题也根据现代用户习惯作了针对性调整,删除了旧标准中的“动态密码卡”这种已经退出历史舞台的身份验证方式,新加入了“短信验证码”这种近年普遍采用的身份验证方式。网络通信安全中新加入了“通信链路”安全的要求项,对于经过第三方服务器时的数据安全性提出了要求,同时加入“与外部系统连接安全”,对银行与外部单位合作时,系统间连接的安全性提出要求。其中调整最大的当属对“服务器端安全”内容的调整,几乎进行了重构,加入虚拟化安全
1.1.2 安全管理规范
从整体上来看,安全管理规范从原来的63项基本要求和1项增强要求变化为新标准的47项基本要求和1项增强要求。这种减少的主要原因是加入了“等级保护要求”这项内容,删除了旧标准中与现行等级保护相重复的内容,删除了旧标准中的“安全策略”等,整体上内容上实现了“形减实增”的效果。
另外在内容上将“业务连续性与灾难恢复”“安全事件与应急响应”从旧标准中的“系统运维管理”中单独分离出来,形成独立的要求项,与其他二级要求项形成并列关系,体现出其的重要性,达到引起金融机构重视的作用。
在内容与等级保护相关要求的二者统一,避免了金融机构在进行网上银行建设中出现多标准遵循,顾此失彼的问题,也更符合标准的行业特性。
1.1.2 业务运营安全规范
此部分将旧标准名称“业务运作安全规范”调整为“业务运营安全规范”,标准项中加入了“外部机构业务合作”相关的内容。将“客户教育及权益保护”调整为“客户培训及权益保护”。
整体上标准规范项也从的肉给的53项基本要求和4项增强要求调整为了70项基本要求和3项增强要求。
新加入的“外部机构业务合作”方面的要求整合了近年来银行外部合作中出现的问题和这种模式下可能的风险提出要求,是标准内容的一大亮点。
新标准删除了旧标准附录中的基本的网络防护架构参考图、增强的网络防护架构参考图和物理安全(附录 A、附录 B、附录 C )。旧标准中的附录A,B一度成为银行业金融机构网上银行的“标准架构”,但随着云计算等新技术的出现,这种“标准架构”表现出了一定的落伍性,因此在新标准中进行了删除。旧标准中的附录C主要内容是物理安全相关的内容,新标准在这部分与等级保护中的相关内容进行了对齐,因此无需单独列出,进行了删除。
新标准很好的解决了旧标准中安全要求零散,体系性不足的问题。将近年来的法律法规,重要通知,监管要求纳入其中,共同组成一套网上银行安全规范的体系,简洁明了,内容也更加的充实。以“银行业务申请及开通”为例,新标准直接引入“《中国人民银行关于进一步加强*风险管理的通知》、《中国人民银行关于加强支付结算管理防范电信网络新型违法犯罪有关事项的通知》(银发〔2016〕261 号)、《中国人民银行关于进一步加强支付结算管理防范电信网络新型违法犯罪有关事项的通知》(银发〔2019〕85 号)”相关规定,对账户实名制、账户分类管理提出要求,金融机构在安全建设时,可以很好的保持与历史建设成果的统一性,避免了重复投入,二次建设,重复整改的问题。
在新标准中明确要求“网上银行系统应按照网络安全等级保护第三级安全要求进行建设与运维管理”。并在安全技术规范,安全管理规范中通用内容保持了等级保护的高度一致性,直接删除了旧标准中与等级保护重复的内容。
在加密算法的使用要求上,新标准明确指出“在进行支付敏感信息加密及传输、数字证书签名及验签等环节宜支持并优先使用SM系列密码算法”,并配合其他安全手段做到网上银行在使用和交易过程中具备五种可信能力,即可信通讯能力、可信输入能力、可信输出能力、可信存储能力和可信计算能力。
同时,从标准整体来看,通过引入等级保护要求,既解决了金融机构网上银行建设过程中的遵循不便,内容重复的问题,又使得新标准更加聚焦银行网上业务个性化安全需求,如新加入的Ⅱ、Ⅲ类银行结算账户及交易安全锁相关要求等内容,使得新标准更有利于指导金融机构的系统建设。
鉴于旧标准设计时,网上银行尚且处于探索成长阶段,业务形式和客户量都高等历史原因,没有太多的安全事件和真实的攻防经验参考。伴随着银行近年来网上银行业务持续的增长,移动互联网的不断普及,攻防对抗能力的提升,网上银行在客户金融生活中角色的提升,对数据安全,业务连续性的要求也更加苛刻。新标准及时融入了近年来比较典型的攻击攻防对抗经验和业务问题处理经验,在安全机制,控制措施,业务监控多方面进行了细化,对于网上银行建设指导更具有实操性和针对性。如新标准中加入的防止“多路市电输入均来自于同一个变电站”的风险,要求银行及时“梳理并维护关键的设备部件、备件清单,并采取有效的措施防止因单个设备部件出现故障, 导致冗余设备无法正常启用或切换的风险”,都是基于近年来一些真实的业务中断案例总结出的实操性经验。
旧标准发布后的这些年,是互联网技术和银行互联网业务突飞猛进的几年,应用技术和业务模式,银行的服务对象等都发生了很大的变化。新标准中也紧跟时代步伐,将新的业务模式,新技术纳入可能存在的安全隐患和所应达到的安全标准引入其中,体现出很好的与时俱进性。
以近年来常见的银企合作为例,以往大家认为这种专网服务形态相对安全,在安全建设和标准遵循上都没有得到足够的重视。在新标准中将其界定为网上银行系统,其建设标准参照互联网网上银行系统执行。内容中增加了“网上银行系统与外部系统连接”时的安全要求及业务安全运营时的系列要求,有效杜绝了以往网上银行安全建设中的盲点。
我们看到,新标准中也加入了条码支付,生物特征,短信验证码,云计算,Ipv6,虚拟化安全等内容的安全标准规范,为银行在使用新技术建设网上银行提供了安全参考,标准的价值和指导意义也因此而得到了加强。
3.1.1 客户端安全
在客户端安全建设过程中,重点关注可控与可信。可控即网上银行建设者要对于客户端软件及软件运行环境要通过技术手段做到可控。
客户端软件可控包括对网上银行软件的开发,下载,使用,升级,退出等整个生命周期的完全可控。
开发阶段做到对开发过程中所使用的系统组件、第三方组件、SDK 存在的安全风险等完全可控。
下载阶段通过签名等技术确保客户下载到的软件是可信任的,完整的版本,并对仿冒渠道进行监测与处置。
使用阶段严格控制软件运作过程中数据的安全性,防止被恶意读取。
升级阶段除常规用户的主动升级完,要求对于“当某一版本的网上银行被证明存在重大安全隐患时”,建设者具有技术手段能够“提示并强制要求用户更新客户端”,或采取必要措施对用户进行警示甚至拒绝交易。
退出阶段应保证运行或残留数据的可控清除。
软件运行环境的可控包括对软件安装环境,运行环境,退出环境等软件运行全周期的安全可控。这种可控可能需要金融机构建立相应的监测手段,持续汇总和对比历史数据,实时调整和分析软件运行环境的安全等级,根据监测到的安全等级,采取对应的风险控制措施。并将这些数据作为银行风控的重要依据。
3.1.2 专用安全机制
为了保证移动支付的保密性和完整性,专用安全机制在交易过程中扮演有很重要的角色,因此标准对于网上银行的专用安全机制的可信性也提出了明确要求。这部分是金融机构在未来建设过程中的重点。
根据《移动终端支付可信环境技术规范》(JR/T0156-2017),移动终端支付可信环境包括REE(富执行环境),TEE(可信执行环境)与SE(安全单元)三部分应用运行环境,并共存于同一终端上,根据终端提供的硬件隔离机制,分别拥有各自所属的硬件资源。
根据金融机构业务特性,移动终端可信应借助TEE或SE技术来实现对于身份验证,识别功能的实现,防止验证过程被恶意干预而导致的验证结果不可信。
3.1.3 通信网络安全
在通信网络安全方面,金融机构重点关注通信身份的真实性,链路的安全性和交易数据的安全性。
在会话建立和交易发起进,应采用有效的双向身份验证方式进行客户端对服务器,服务器对客户端的身份验证。
通信过程中应使用动态密钥加密方式,对每次通信应采用不同的密钥对通信链路进行加密,对于敏感数据,应实现报文级别的加密,防止数据的被窃听或篡改。
3.1.4 服务器端安全
从整体来看,新标准对于服务端安全的建设要求更加系统化与体系化,在应对非法攻击时,可对其“行为进行监控,对其终端特征(例如,终端标识、软硬件特征等)、网络特征(例如,MAC、IP、WIFI 标识等)、用户特征(例如,账户标识、手机号等)、行为特征、物理位置等信息进行识别、标记和关联分析”,能够与“风险监控系统实现联动,及时采取封禁等防护措施”。在细节上和具体操作来看,金融机构在未来建设过程中需要重点关注以下问题:
1.关注服务器端安全的可能内部风险。内部用户安全意识不足或管理技术手段的缺失,很有可能让服务安全防护筑起的万里长城功溃一匮。因此,新标准中对内部用户管理,口令管理,无线网络管理,用户认证,网络接入等内容进行了详细的要求。内部治理是金融机构过去几年网络安全建设的很大一块短板,我们看到,近年来WannaCry 等病毒的暴发,内部员工参与的数据倒卖,离职报复都给企业内部安全治理敲响了警钟。这可能需要一个长期的过程,但金融机构绝不能望难止步。
2.关注测试环境等边缘系统的安全性建设;
3.内网访问控制也应向应用侧防护方向转变。我们看到大多数金融机构内网隔离和防护都是网络层的防护,对于应用层的不是很关注,鉴于近年来攻防对抗形势发生的变化,新标准对这些内容进了要求,这将是金融机构未来合规的一个很重要内容。
4.关注API的安全性。API是银行与外部业务合作和数据交换最为常用的一种技术形式,也是个性化最强,安全防范最为困难的一个环节。在新标准中明确要求金融机构要对API进行统一管理。具体的管理方法和管理标准,金融机构可以参考,全国金融标准化技术委员会发布的《商业银行应用程序接口安全管理规范》,该《规范》规定了商业银行应用程序接口的类型与安全级别、安全设计、安全部署、安全集成、安全运维、服务终止与系统下线、安全管理等安全技术与安全保障要求。
5.加强防钓鱼建设,保障用户网上银行使用的安全性。防钓鱼建设是金融机构用户关怀很重要的一个方面,除了采用传统的防钓鱼监测这种被动的模式进行钓鱼网站防范外,金融机构也可以采用客户个性化界面,预留信息显示,验证等方式来帮助用户识别真实网站到钓鱼网站。
6.关注服务器后台数据安全。如数据库访问的审计,传输加密等,数据的备份等。
外部系统连接安全是新标准中最新加入的内容,整体原则就是无论业务采用互联网,还是专网开展,执行同等级的安全防护。因此金融机构后期可能需要面对大量的业务改造,实现专业业务的传输加密,报文级加密,报文完整性检验等标准要求的功能,这将是一个不小的工程。
安全管理规范整体上要求满足等级保护要求中相关的安全管理要求。如果涉及到扩展要求,也应按对应要求内容进行满足。
新标准中关于安全管理机构的要求基本与旧版本标准保持了一致,这使得金融机构在安全管理方面不需要做大的调整,保护了管理组织的连续性和运作流程的连续性。需要指出的2点变化是:
1.新标准中在“审查和检查”要求项中取消了“应制定安全检查方案并进行安全检查,形成安全检查汇总表、安全检查报告,并将安全检查报告上报人民银行等金融机构主管部门”这项内容;
2.新标准中要求金融机构制定明确的处罚规则,对“违反和拒不执行安全管理措施规定行为”进行处罚。
在安全管理制度建设方面,金融机构在应对新标时应重点关注网上银行开发过程的管控和安全性保障。换句话说,金融机构应一改过往先开发业务功能,再考虑安全防护的开发模式,“建立贯穿网上银行业务运营、网上银行系统需求分析、可行性分析、设计、编码、测试、集成、运行维护以及评估、应急处置等过程,并涵盖安全制度、安全规范、安全操作规程和操作记录手册等方面的信息安全管理制度体系”保障网上银行的安全性。
新标准在安全管理人员方面着重关注人员调整、员工培训,外来人员管理,外包服务人员管理方面的内容。
其中如下2点需要金融机构在后期建设中关注:
1.明确要求对于关键岗位的人均培训时长不低于48个学时,并对学习效果进行考查,对结果进行归档记录。
2.新标准中加入了外包服务人员安全管理的内容,要求同外包服务服务人员签署保密协议,并明确规定对于数据的安全操作和保护,确保数据安全。
安全建设整体上分为两大类,一类是产品采购,一类是软件开发;无论哪种类型的建设,都需要金融机构提前做好方案设计与评审,并在得到明确的授权和批准后开始建设。对于产品采购,金融机构应建立产品候选范围,并定期进行候选名单更新。
软件开发类产品又分为自行开发和外包开发,自行开发时应关注代码缺陷,安全漏洞,后门程序等内容,并要求在投产上线前进行代码复审和安全评测。外包开发重点关注外包资源风险和外包人员带来的风险。同时,明确强调管理责任不得外包。
安全运维管理中的一些关注点:
1.关注机房设备易损,易失效设备和部件的维护与保养。
2.对文档化资产进行有效期管理,避免只存不销的现象。新标准中要求金融机构进行文档化资产的保留期管理,要求金融机构对于超过保密期限的文档应当降低保密级别,对已经失效的文档应定期清理。当然,在清理过程中应当严格执行文档管理制度中的销毁和监销规定(如若没有,应当建立与补充)。
3.采用主动监测或检索手段,发现泄露文件或代码。数据保护很难做到滴水不漏,更常见的是百密一疏。因此,新标准中强调金融机构应采用主动监测或检索手段,对敏感文件或代码的泄露进行发现,防止“只有自己不知道自己信息泄露”的囧境发生。
4.加强运维过程中特权账号与特权设备的管理。高权限终端或高权限用户的失控,很有可能给金融机构数据安全造成不可挽回的损失,新标准明确要求“应加强对高权限终端的管理措施”
5.新标准统一将运维日志保存时间调整为6个月,遵从《网络安全法》要求。
这部分内容是从旧标准系统运维管理中分离而来,从标准架构调整可以看得出对这部分内容的重视或强调意图。从的原来的2个控制项,12个控制点扩展为现在的2个控制项,15个控制点。
这部分新增内容多与近年业金融机构实际管理经验密切相关,非常具有针对性。金融机构建设过程中的对以下内容应给予关注:
1.加强员工业务连续性方面的培训,并制定相应的考核标准。
2.关注机房供电与通信链路的冗余性。对于核心机房,应确保多路市电来自于不同的变电站。主通信链路也应采用不同运营商和不同的物理路径。
3.梳理并维护关键的设备部件、备件清单,保证业务连续策略的有效性。备品备件具有长期不用,维护频率低等特点,如果因此缺乏维护,在关键时刻就有可能会掉链子。
业务运营安全规范内容中融入了大量的近年来发布的法律法规,监管机构通知要求等内容,如《中国人民银行关于进一步加强*风险管理的通知》、《中国人民银行关于加强支付结算管理防范电信网络新型违法犯罪有关事项的通知》(银发〔2016〕261 号)、《中国人民银行关于进一步加强支付结算管理防范电信网络新型违法犯罪有关事项的通知》(银发〔2019〕85 号)等等。在建设过程中又不能很好的通过安全产品采购或技术手段进行防护,更多的需要金融机构对业务办理流程,工作机制等进行调整。新标准中融入的内容大多与客户或金融机构财产安全息息相关,建议金融机构组织业务与科技人员对这部分内容进行认真研讨。
另外也看到新标准中加入了对“外部机构业务合作”时的运营安全规范,防止合作伙伴的安全风险蔓延至金融机构中。对于这部分内容的建设也是金融机构在未来业务安全运营方面建设的一项重要内容。
*本文原创作者:haiczh,本文属FreeBuf原创奖励计划,未经许可禁止转载