新修订的金融行业标准《网上银行系统信息安全通用规范》（JR/T 0068—2020）(以下简称“新版《规范》”)由中国人民银行正式发布。。
。这是继2012版《规范》后第一次进行替换修订的金融行业标准
。。

新版《规范》中的金融行业标准，，，为网上银行系统提供了明确的建设指导意见，，可作为网上银行的内部建设、、升级依据，
，也可作为主管部门的检查、、、、检测依据
。。相比2012版《规范》
，，，有哪些变化
？？新版《规范》建设标准重点是什么？？？？博耀为您解读。。。。

     新版《规范》内容框架

新版《规范》由六部分组成：定义范围、、引用文件、、
、术语和定义
、、定语缩略语、、网银系统描述、、、
、安全规范。。

定义范围

新版《规范》内容主要为安全技术要求、、、安全管理要求和安全运维要求三个方面，
，，适用于中国境内设立商业银行等银行业机构运行的网上银行系统。。
。。

引用文件

主要参考了《SM3密码杂凑算法》、、、、《SM2椭圆曲线公钥密码算法》
、、、《SM4分组密码算法》
、、、、《网络安全等级保护2.0制度》、、、《云计算技术金融应用规范》
、、、、《移动终端支付可信环境技术规范》等相关文件
。。。

术语和定义

定义了新版《规范》里的专业名词术语。。

定义缩略语

对新版《规范》引用的相关英文缩略语以中文进行定义。。。。

网银系统描述

网上银行系统由客户端、、、通信网络和服务器端组成，，，其中服务器端包括网上银行访问子网
、、网上银行业务系统、、、中间隔离设备和银行处理系统
。。

安全规范

主要分为安全技术要求、
、安全管理要求和安全运维要求，，，，相对于2012版《规范》，
，改动内容主要在此部分。。

    新旧版对比

整体框架

新版《规范》将“银企互联”纳入网上银行系统评估范围内
；将原有业务运作安全规范，，
，，修改为业务运营安全规范；同时，
，
，新版《规范》删除了旧版附录中的“基本的网络防护架构参考图、、、增强的网络防护架构参考图和物理安全（附录 A、、、、附录 B、、、附录 C）”。
。。

安全技术规范对比

安全技术规范从旧版本“97项基本要求+30项增强要求”
，，，变更为“123项基本要求+21项基本要求”。。。。

主要体现在：将“专用安全设备安全”修改为“专用安全机制”
，，，同时在认证机制上增加了短信验证和生物特征识别，，如脸部识别、
、、
、指纹识别等，，，，并且在服务器端安全增加了虚拟化安全。。
。网上银行系统与第三方连接需求日益增多，，，，新版《规范》也在传输和数据两方面加强了与外部系统连接的安全要求。
。。。

下方图片，，
，
，DEL表示已删除要求项
，，，NEW表示新增要求项。。

安全管理规范对比

因《网络安全等级保护2.0制度》发布，
，，安全管理规范从“63项基本要求+1项增强要求”，，变更为“47项基本要求+1项基本要求”。。

此外，，新版《规范》新增“业务连续性与灾难恢复”和“安全事件与应急响应”要求项。
。。

业务运营安全规范对比

从“业务运作安全规范”变更为“业务运营安全规范”，，
，，从“53项基本要求+4项增强要求”
，，，变更为“70项基本要求+3项基本要求”。。
。。

新版“业务运营安全规范”增加了对外部机构的业务合作内容，，，
，整合了“银企互联”模式，，，，为金融机构的第三业务安全提供了新的参考标准。。。

    重点内容解读

依据新版《规范》，，网络安全如何建设才算合规？？

• 国家密码算法

网上银行系统在使用密码系统时，，，必须优先使用SM算法。。。

• IPv6相关要求

域名解析服务应支持IPv6访问进行分析，，，同时网络设备应支持IPv6
，，针对IPv6的防护强度应不弱于IPv4的防护强度。。

• 条码支付相关要求

支付条码不同时，，
，，应依据《条码支付安全技术规范》，
，，，对条码中包含的网址等信息进行校验
，
，，，对非法地址和恶意请求进行拦截
。。。

• 等级保护相关要求

对网上银行系统建设设计的云计算和移动互联网等技术应满足JR/T 0071《网络安全等级保护制度2.0标准》的相关要求。
。
。。

• II、、、
  、III类银行结算账户相关要求

通过网上银行渠道开立个人II、、III类银行结算账户时，，应严格落实《中国人民银行关于改进个人银行账户服务加强账户的通知》、
、
、《中国人民银行关于落实个人银行账户分类管理制度的通知》、、《中国人民银行改进个人银行账户分类管理有关事项的通知》等要求。。

新版《规范》中外部连接的方式有几种？
？

按照新版《规范》的内容描述，，主要有三种连接方式：

• 通过专线连接

通过专线连接对传输的信息进行加密，，，同时
，，应尽量选用多个电信运营商，，在入口处最好有链路负载，，，，以防线路中断时无法自动切换线路导致业务中断。。。

• 通过VPN连接

通过VPN连接必须使用双因素认证，，同时对VPN权限和账户定期进行审计，，，并增加超时连接
。。

• 通过Internet连接

互联网连接必须使用不存在公开漏洞的连接协议，
，并建议第三方连接使用固定IP和电脑进行连接。。

以上三种方式都强调必须使用国密算法支持，，，同时对敏感数据要求，，从采集、、展示、、传输、
、、、存储和使用等完整生命周期环境进行保护和定期审计，
，，，防止用户个人信息泄露。
。

新版《规范》中新增的虚拟化安全应该怎么做？？

虚拟机安全需注意以下几方面：

• 更新

虚拟机镜像补丁
、、、虚拟机环境系统组件等要定期进行更新，，，，这要求对虚拟机管理具备扫描和定期补丁分发安装的功能
。。。
。

• 隔离

在虚拟机之间、、、、虚拟机与宿主机进行隔离，，，，增强对微隔离的要求
。。。。

• 审计

定期对虚拟机和管理器相关操作进行日志留存和审计，，强调了对操作日志的审计。。。。

• 权限

要求对虚拟机镜像和快照文件管理权限进行检测，，，防止权限过高丢失敏感数据。
。

“业务连续性”独立成章节，
，
，，金融银行后续应遵循什么建设标准？
？？

• 对机房相关建设如
  ：UPS、、电信运营商链路等进行冗余建设。。。

• 定期梳理备件和备品清单，，
  ，防止放置时间过长不能使用。。。

• 对相关运维管理人员进行业务连续性培训
  。。

目前，
，，，博耀已经为2000+金融机构提供了服务，，，，依托多年的技术积累和金融用户的服务经验，
，，，帮助用户解决在数字化转型中遇到的难题和痛点，，，，获得了行业的广泛认可
。。。。未来，，博耀将坚持“持续创新、、、全情投入”，，以更丰富的金融科技解决方案，，快速
、、、安全、、、、稳健地推进金融行业信息化变革。。