2020年2月，中国人民银行发布了最新的《网上银行系统信息安全通用规范》(JR/T 0068-2020)（以下简称《新规范》），相对于2012年《网上银行系统信息安全通用规范》(JR/T 0068-2012)的内容进行了调整和更新。《新规范》作为网上银行系统安全技术要求、安全管理要求、业务运营安全要求，为网上银行系统建设、运营及测评提供了重要依据。

《规范》整体框架对比

1.《新规范》的整体框架围绕着：安全技术规范、安全管理规范和业务运营安全规范三个部分，对比之前的规范，整体的要求（含基本要求和增强要求）在总数上没有大的出入，但值得注意的是，将原有业务运作安全规范，调整为业务运营安全规范。这也表明，《新规范》更加注重金融行业的业务运营类的安全。

2.《新规范》重新定义了网上银行系统，涵盖个人网银系统和企业网银系统，主要包括通过PC、手机、平板电脑、智能电视、可穿戴设备等终端访问的网上银行系统，例如手机银行、微信银行、直销银行、银企直联、小微企业银行等系统。

3.“安全技术规范”中将原有“专用安全设备安全”调整为“专用安全机制”，并增加了“短信验证码”和“生物特征”安全要求；将网络通信安全要求中增加“通信链路”安全要求；将服务器端安全要求增加“等级保护要求”和“虚拟化安全”要求；新增加入“与外部系统连接安全”，对于与银行有合作的外部单位的系统连接时，增加了“传输安全”和“数据安全”要求。同时，删除“动态密码卡”“物理安全”“应用安全”“数据安全及备份恢复”的安全要求。

4.“安全管理规范”中新增“等级保护要求”。将原有规范中系统运维管理中的“业务连续性与灾难恢复”和“安全事件与应急响应”独立成为安全要求，同时删除“安全策略”要求。

5.“安全运行安全规范”中，新增“外部机构业务合作”安全要求，将原有“客户教育及权益保护”调整为“客户培训及权益保护”。

《规范》核心内容解析

1.客户端安全解析

客户端安全包括：客户端程序和客户端环境两部分。

客户端程序的安全要求中，主要定义了客户端程序在软件开发直到报废的生命周期，周期内包括软件的可行性分析、框架标准、总体描述、系统设计、编码、调试和测试、验收与运行、维护升级到废弃等阶段都做了明确的要求，主要包含如下关键点：

程序开发阶段，应对其开发框架和技术路线进行严格的论证，建设基于应用功能设计及安全需求，建设应用安全基线标准，提供程序的自身安全性。对于应用程序普遍存在的破解、篡改等各类安全风险，需要提供应用加固技术手段。严格控制源代码安全，对应用程序进行源代码安全加固。

客户端环境安全要求中，主要定义了程序在使用过程中的运行环境安全，包括可信输入能力、可信输出能力、可信通讯能力、可信存储能力和可信计算能力

可信输入输出能力，要求提供可信的信息输入安全，包括敏感信息加密、秘密复杂度设置等；

可信存储和计算能力，对数字证书、客户敏感信息、密钥信息的生成、存储、使用需要借助SE、TEE技术，确保其安全，提供信息的可信存储能力；

可信运行环境，特别是对移动设备运行环境的安全，要求对客户端的病毒、木马等风险进行有效识别，将分析结果实时反馈，提供终端的威胁态势感知能力。

2.专用安全机制解析

国密算法的使用，在《新规范》要求中，网上银行系统在使用密码算法时应符合国家密码主管部门的要求，在支付敏感信息加密及传输、数字证书签名及验签等环节宜支持并优先使用SM系列密码算法。

短信验证码的使用进行了严格定义，同时还要求对短信验证码要进行加密处理，确保短信验证码的机密性和完整性。

3.通信网络安全解析

采用安全的通信协议，在客户端程序与服务器之间建立安全的信息传输通道，如采用SSL/TLS证书、加密密钥体系，建立安全的信息传输通道。

4.业务审计及开通解析

《新规范》明确要求，在业务运营安全规范中，要严格遵循和落实相关法律法规，如：（银发〔2016〕261号）、（银发〔2019〕85号）等监管要求；

对通过网上银行渠道申请时，金融机构应采取包含电子签名验证在内的双因素身份认证验证客户的真实身份及银行卡交易密码，并通过验证发向可靠的预留手机号码的短信验证码等方式，核实客户身份和交易开通意愿。

5.业务安全交易机制解析

《新规范》明确要求，要建立完善的网上银行异常交易监控体系，以及高风险交易特点和用户行为特征等的风险评估模型，识别并及时处理异常交易，并根据风险等级实施差异化风险防控；

建立并完善反欺诈规则，实时分析交易数据，根据风险高低产生报警信息，实现欺诈行为的侦测、识别、预警和记录，提高欺诈交易拦截成功率，切实提升交易安全防护能力；

应通过交易行为分析、机器学习等技术不断优化风险评估模型，结合生物探针、相关客户行为分析等手段，对具备频次异常、账户非法、批量交易、以及外部欺诈、身份冒用、套现、洗钱等异常情况进行有效监控，对于风险较大、可疑程度较高的交易，应采取精准识别、实时拦截等措施；

风险交易监控系统应能够不断更新反欺诈规则，建立和完善风险信息库，及时从主管部门、公安机关、银行卡清算组织等获取黑名单等风险信息。

《新规范》建设重点

1.客户端安全建设重点

客户端程序：开发规范、应用程序的源代码加固、源代码审计、信息录入安全

客户端环境：利用终端威胁态势感知技术、借助TEE、SE、SSE等技术确保客户端程序的运行环境安全。

2.专用安全机制

采用国密算法，如SM3、SM4。对短信验证码的安全进行保护，如短信验证码加密。

3.网络通信安全

采用SSL/TLS协议、数字证书、密钥技术确保客户端与服务器之间的网络通信安全。

4.安全计算环境

利用高强度的身份认证技术确保计算环境的安全，充分利用身份治理与访问控制手段，严格确保系统的访问控制安全。如建立零信任的业务安全体系架构。

5.交易流程及监控

建立终端安全、智能决策、持续监控的三维一体解决方案，充分利用人工智能、大数据、机器学习、深度学习、神经网络、基于具体业务场景的机器学习模型技术，为交易流程提供全程业务保护。