新版《規(guī)范》內(nèi)容框架
新版《規(guī)范》由六部分組成:定義范圍�����、引用文件���、術(shù)語和定義、定語縮略語�、網(wǎng)銀系統(tǒng)描述、安全規(guī)范���。
1.定義范圍
新版《規(guī)范》內(nèi)容主要為安全技術(shù)要求、安全管理要求和安全運(yùn)維要求三個(gè)方面,適用于中國(guó)境內(nèi)設(shè)立商業(yè)銀行等銀行業(yè)機(jī)構(gòu)運(yùn)行的網(wǎng)上銀行系統(tǒng)�。
2.引用文件
主要參考了《SM3密碼雜湊算法》、《SM2橢圓曲線公鑰密碼算法》����、《SM4分組密碼算法》、《網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0制度》���、《云計(jì)算技術(shù)金融應(yīng)用規(guī)范》���、《移動(dòng)終端支付可信環(huán)境技術(shù)規(guī)范》等相關(guān)文件。
3.術(shù)語和定義
定義了新版《規(guī)范》里的專業(yè)名詞術(shù)語�。
4.定義縮略語
對(duì)新版《規(guī)范》引用的相關(guān)英文縮略語以中文進(jìn)行定義。
5.網(wǎng)銀系統(tǒng)描述
網(wǎng)上銀行系統(tǒng)由客戶端���、通信網(wǎng)絡(luò)和服務(wù)器端組成,其中服務(wù)器端包括網(wǎng)上銀行訪問子網(wǎng)����、網(wǎng)上銀行業(yè)務(wù)系統(tǒng)、中間隔離設(shè)備和銀行處理系統(tǒng)����。
6.安全規(guī)范
主要分為安全技術(shù)要求、安全管理要求和安全運(yùn)維要求,相對(duì)于2012版《規(guī)范》,改動(dòng)內(nèi)容主要在此部分����。
新舊版對(duì)比
1.整體框架
新版《規(guī)范》將“銀企互聯(lián)”納入網(wǎng)上銀行系統(tǒng)評(píng)估范圍內(nèi);將原有業(yè)務(wù)運(yùn)作安全規(guī)范,修改為業(yè)務(wù)運(yùn)營(yíng)安全規(guī)范;同時(shí),新版《規(guī)范》刪除了舊版附錄中的“基本的網(wǎng)絡(luò)防護(hù)架構(gòu)參考圖、增強(qiáng)的網(wǎng)絡(luò)防護(hù)架構(gòu)參考圖和物理安全(附錄 A����、附錄 B、附錄 C)”��。
2.安全技術(shù)規(guī)范對(duì)比
安全技術(shù)規(guī)范從舊版本“97項(xiàng)基本要求+30項(xiàng)增強(qiáng)要求”,變更為“123項(xiàng)基本要求+21項(xiàng)基本要求”�。
主要體現(xiàn)在:將“專用安全設(shè)備安全”修改為“專用安全機(jī)制”,同時(shí)在認(rèn)證機(jī)制上增加了短信驗(yàn)證和生物特征識(shí)別,如臉部識(shí)別、指紋識(shí)別等,并且在服務(wù)器端安全增加了虛擬化安全��。網(wǎng)上銀行系統(tǒng)與第三方連接需求日益增多,新版《規(guī)范》也在傳輸和數(shù)據(jù)兩方面加強(qiáng)了與外部系統(tǒng)連接的安全要求����。
下方圖片,DEL表示已刪除要求項(xiàng),NEW表示新增要求項(xiàng)�。
3.安全管理規(guī)范對(duì)比
因《網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0制度》發(fā)布,安全管理規(guī)范從“63項(xiàng)基本要求+1項(xiàng)增強(qiáng)要求”,變更為“47項(xiàng)基本要求+1項(xiàng)基本要求”����。
此外,新版《規(guī)范》新增“業(yè)務(wù)連續(xù)性與災(zāi)難恢復(fù)”和“安全事件與應(yīng)急響應(yīng)”要求項(xiàng)。
4.業(yè)務(wù)運(yùn)營(yíng)安全規(guī)范對(duì)比
從“業(yè)務(wù)運(yùn)作安全規(guī)范”變更為“業(yè)務(wù)運(yùn)營(yíng)安全規(guī)范”,從“53項(xiàng)基本要求+4項(xiàng)增強(qiáng)要求”,變更為“70項(xiàng)基本要求+3項(xiàng)基本要求”���。
新版“業(yè)務(wù)運(yùn)營(yíng)安全規(guī)范”增加了對(duì)外部機(jī)構(gòu)的業(yè)務(wù)合作內(nèi)容,整合了“銀企互聯(lián)”模式,為金融機(jī)構(gòu)的第三業(yè)務(wù)安全提供了新的參考標(biāo)準(zhǔn)����。
重點(diǎn)內(nèi)容解讀
1.依據(jù)新版《規(guī)范》,網(wǎng)絡(luò)安全如何建設(shè)才算合規(guī)?
(1)國(guó)家密碼算法
網(wǎng)上銀行系統(tǒng)在使用密碼系統(tǒng)時(shí),必須優(yōu)先使用SM算法��。
(2)IPv6相關(guān)要求
域名解析服務(wù)應(yīng)支持IPv6訪問進(jìn)行分析,同時(shí)網(wǎng)絡(luò)設(shè)備應(yīng)支持IPv6,針對(duì)IPv6的防護(hù)強(qiáng)度應(yīng)不弱于IPv4的防護(hù)強(qiáng)度���。
(3)條碼支付相關(guān)要求
支付條碼不同時(shí),應(yīng)依據(jù)《條碼支付安全技術(shù)規(guī)范》,對(duì)條碼中包含的網(wǎng)址等信息進(jìn)行校驗(yàn),對(duì)非法地址和惡意請(qǐng)求進(jìn)行攔截。
(4)等級(jí)保護(hù)相關(guān)要求
對(duì)網(wǎng)上銀行系統(tǒng)建設(shè)設(shè)計(jì)的云計(jì)算和移動(dòng)互聯(lián)網(wǎng)等技術(shù)應(yīng)滿足JR/T 0071《網(wǎng)絡(luò)安全等級(jí)保護(hù)制度2.0標(biāo)準(zhǔn)》的相關(guān)要求�。
(5)II、III類銀行結(jié)算賬戶相關(guān)要求
通過網(wǎng)上銀行渠道開立個(gè)人II����、III類銀行結(jié)算賬戶時(shí),應(yīng)嚴(yán)格落實(shí)《中國(guó)人民銀行關(guān)于改進(jìn)個(gè)人銀行賬戶服務(wù)加強(qiáng)賬戶的通知》、《中國(guó)人民銀行關(guān)于落實(shí)個(gè)人銀行賬戶分類管理制度的通知》����、《中國(guó)人民銀行改進(jìn)個(gè)人銀行賬戶分類管理有關(guān)事項(xiàng)的通知》等要求�。
2.新版《規(guī)范》中外部連接的方式有幾種?
按照新版《規(guī)范》的內(nèi)容描述,主要有三種連接方式:
(1)通過專線連接
通過專線連接對(duì)傳輸?shù)男畔⑦M(jìn)行加密,同時(shí),應(yīng)盡量選用多個(gè)電信運(yùn)營(yíng)商,在入口處最好有鏈路負(fù)載,以防線路中斷時(shí)無法自動(dòng)切換線路導(dǎo)致業(yè)務(wù)中斷���。
(2)通過VPN連接
通過VPN連接必須使用雙因素認(rèn)證,同時(shí)對(duì)VPN權(quán)限和賬戶定期進(jìn)行審計(jì),并增加超時(shí)連接����。
(3)通過Internet連接
互聯(lián)網(wǎng)連接必須使用不存在公開漏洞的連接協(xié)議,并建議第三方連接使用固定IP和電腦進(jìn)行連接�。
以上三種方式都強(qiáng)調(diào)必須使用國(guó)密算法支持,同時(shí)對(duì)敏感數(shù)據(jù)要求,從采集、展示���、傳輸��、存儲(chǔ)和使用等完整生命周期環(huán)境進(jìn)行保護(hù)和定期審計(jì),防止用戶個(gè)人信息泄露�����。
3.新版《規(guī)范》中新增的虛擬化安全應(yīng)該怎么做?
虛擬機(jī)安全需注意以下幾方面:
(1)更新
虛擬機(jī)鏡像補(bǔ)丁����、虛擬機(jī)環(huán)境系統(tǒng)組件等要定期進(jìn)行更新,這要求對(duì)虛擬機(jī)管理具備掃描和定期補(bǔ)丁分發(fā)安裝的功能��。
(2)隔離
在虛擬機(jī)之間�、虛擬機(jī)與宿主機(jī)進(jìn)行隔離,增強(qiáng)對(duì)微隔離的要求。
(3)審計(jì)
定期對(duì)虛擬機(jī)和管理器相關(guān)操作進(jìn)行日志留存和審計(jì),強(qiáng)調(diào)了對(duì)操作日志的審計(jì)。
(4)權(quán)限
要求對(duì)虛擬機(jī)鏡像和快照文件管理權(quán)限進(jìn)行檢測(cè),防止權(quán)限過高丟失敏感數(shù)據(jù)���。
4.“業(yè)務(wù)連續(xù)性”獨(dú)立成章節(jié),金融銀行后續(xù)應(yīng)遵循什么建設(shè)標(biāo)準(zhǔn)?
對(duì)機(jī)房相關(guān)建設(shè)如:UPS�、電信運(yùn)營(yíng)商鏈路等進(jìn)行冗余建設(shè)����。
定期梳理備件和備品清單,防止放置時(shí)間過長(zhǎng)不能使用。
對(duì)相關(guān)運(yùn)維管理人員進(jìn)行業(yè)務(wù)連續(xù)性培訓(xùn)��。??
目前,深信服已經(jīng)為2000+金融機(jī)構(gòu)提供了服務(wù),依托多年的技術(shù)積累和金融用戶的服務(wù)經(jīng)驗(yàn),幫助用戶解決在數(shù)字化轉(zhuǎn)型中遇到的難題和痛點(diǎn),獲得了行業(yè)的廣泛認(rèn)可���。未來,深信服將堅(jiān)持“持續(xù)創(chuàng)新�、全情投入”,以更豐富的金融科技解決方案,快速�、安全、穩(wěn)健地推進(jìn)金融行業(yè)信息化變革���。
