2020年2月,中国人民银行下发《关于行业标准的通知》(银发[2020]35号),对新版《网上银行系统信息安全通用规范》(JR/T 0068-2020)(以下简称“新版规范”)进行了正式发布。
新版规范是2012版的《网上银行系统信息安全通用规范》(JR/T 0068-2012)的替换修订版本。早在2010年1月,为有效增强现有网上银行系统安全防范能力,促进网上银行规范、健康发展,中国人民银行印发颁布了第一版《网上银行系统信息安全通用规范(试行)》,并在2012年5月,正式发布《网上银行系统信息安全通用规范》(JR/T 0068-2012)。作为网上银行系统的第一个有效安全规范,此规范为各银行网上银行系统建设和改造升级提供了最基本的安全性参考。
经过多年的发展,如今的网上银行系统无论在规模,还是在新技术的引入和应用上,都发生了较大的变化。所以在2015年,全国金融标准化技术委员会即立项启动了新版规范的修订工作。经过多方专家的反复修订与审核,2020年2月,新版规范正式面世。
增加了虚拟化、云计算安全相关要求,提出网上银行系统在采用云计算技术时应遵循JR/T 0167《云计算技术金融应用规范 安全技术要求》;增加国密SM系列算法相关的安全要求;增加对安全单元和移动终端支付可信环境相关要求,并指出SE的使用应符合 JR/T 0098.5《中国金融移动支付检测规范 第5部分:安全单元(SE)嵌入式软件安全》等相关规范的要求。
如增加了条码支付、交易安全锁及Ⅱ、Ⅲ类账户的相关要求,落实之前《中国人民银行办公厅关于强化银行卡磁条交易安全管理的通知》(银办发〔2017〕 120 号)等相关文件的要求。
【03】重新梳理并提升关于业务连续性与灾难恢复、安全事件与应急响应的安全要求
在新版规范中,业务连续性与灾难恢复、安全事件与应急响分别单独成节,作为安全管理规范的一部分,提升了相关安全要求,对网上银行业务影响分析、制定备份策略、建立备份恢复程序、实施应用级备份等规定进行了详细的梳理和规定。
针对网上银行系统信息安全出现的新形势和新特点,国舜股份安全技术力量助力客户有效增强现有网上银行系统安全防范能力。
国舜云的检测系统通过智能爬虫技术及多维状态匹配技术对 Web 应用安全漏洞进行检测,通过主动扫描与被动扫描相结合的方式适应复杂系统环境,
能在短时
间
内
对大量
W
eb页面、脚
本进行完整的安全性检
测
,
通过各种工具定制化输入输出数据来验证和总结扫描结果,
有效
监控目标
网
站的
运行状态和
安全
状态,
高效保障Web应用的可用性、可靠性、优化业务资源和提高应用系统敏捷性,顺应新版规范对业务连续性的要求。
网页防篡改保护系统是国舜股份设计开发的一套以文件过滤驱动技术为基础,结合核心内嵌技术和事件触发技术等多种技术开发的Web网页防篡改产品。
该产品遵循Internet相关标准协议,针对Web网站服务器上的页面文件、数据库内容等Web系统相关组件进行访问控制,可
对Web应用网站提供文件保护、数据交互保护、主动防御、防扫描、防暴力篡改、安全漏洞防护、攻击事件阻断等功能,顺应新版规范中web应用安全相关要求,保障Web应用网站的安全、稳定、及时运行。
国舜全生命周期安全开发解决方案以需求、设计、编码、测试、部署等开发阶段为主要对象,以业务安全和信息安全为出发点,通过流程、制度、规范的梳理,相关人员安全意识的培训,威胁资源库、安全测试资源库等相关资源的建设,为客户建设完善的开发安全管理体系和技术支撑体系,充分保障开发出来的业务系统满足业务安全和信息安全的需求,
顺应新版规范对安全管理制度、安全管理人员、安全建设管理等方面的要求,有效提升客户开发团队的安全意识和安全开发能力,实现信息安全的“早预防、早发现、早响应”。
国舜股份【天服】安全服务体系通过渗透测试、漏洞扫描、等保咨询、安全咨询、开发安全咨询、风险评估、安全评估、安全代维、合规咨询、代码审计等多项安全服务,助力客户识别资产本身存在的脆弱性和面临的安全威胁,设置风险处置计划,降低风险损失;
紧急事件发生后快速恢复系统的保密性、完整性和可用性,降低安全威胁事件的严重影响;
保障客户业务系统满足新版规范在等级保护、安全事件与应急响应等方面的要求,支持
业务的稳健持续发展。
点击左下角“阅读原文”浏览新版规范全文
参考来源:中国电子银行网
