2020年2月，中國人民銀行下發《關于<網上銀行系統信息安全通用規范>行業標準的通知》（銀發[2020]35號），對新版《網上銀行系統信息安全通用規范》(JR/T 0068-2020)（以下簡稱“新版規范”）進行了正式發布。

新版規范的前世今生

新版規范是2012版的《網上銀行系統信息安全通用規范》(JR/T 0068-2012)的替換修訂版本。

早在2010年1月，為有效增強現有網上銀行系統安全防范能力，促進網上銀行規范、健康發展，中國人民銀行印發頒布了第一版《網上銀行系統信息安全通用規范（試行）》，并在2012年5月，正式發布《網上銀行系統信息安全通用規范》（JR/T 0068-2012）。作為網上銀行系統的第一個有效安全規范，此規范為各銀行網上銀行系統建設和改造升級提供了最基本的安全性參考。

經過多年的發展，如今的網上銀行系統無論在規模，還是在新技術的引入和應用上，都發生了較大的變化。所以，早在2015年，全國金融標準化技術委員會即立項啟動了新版規范的修訂工作。經過多方專家的反復修訂與審核，2020年2月，新版規范正式面世。

圖 1 《網上銀行系統信息安全通用規范》的版本演化

新版規范的主要變化

新版規范有三個重點修訂內容：

01 針對新技術出現和應用提出了新的安全要求

增加了虛擬化、云計算安全相關要求，提出網上銀行系統在采用云計算技術時應遵循JR/T 0167《云計算技術金融應用規范 安全技術要求》；增加國密SM系列算法相關的安全要求；增加對安全單元和移動終端支付可信環境相關要求，并指出SE的使用應符合 JR/T 0098.5《中國金融移動支付檢測規范 第5部分：安全單元（SE）嵌入式軟件安全》等相關規范的要求。

02 就新的業務和監管要求進行了補充和明確

如增加了條碼支付、交易安全鎖及Ⅱ、Ⅲ類賬戶的相關要求，落實之前《中國人民銀行辦公廳關于強化銀行卡磁條交易安全管理的通知》（銀辦發〔2017〕 120 號）等相關文件的要求。

03 重新梳理并提升關于業務連續性與災難恢復、安全事件與應急響應的安全要求

在新版規范中，業務連續性與災難恢復、安全事件與應急響分別單獨成節，作為安全管理規范的一部分，提升了相關安全要求，對網上銀行業務影響分析、制定備份策略、建立備份恢復程序、實施應用級備份等規定進行了詳細的梳理和規定。

使用建議

新版規范的發布，更加切合目前網上銀行系統的發展實際情況。無論從落地性還是其他規范要求的切合度來講，相較于舊版規范都有很大的提升。中國金融認證中心（CFCA）作為中國人民銀行此次規范修訂修編工作的技術支撐單位，強烈建議大家：

"在日常的網上銀行系統安全運維、測評工作中，重點關注新版規范新增的要求。同時，在手機銀行、微信銀行、直銷銀行等電子銀行系統的日常安全工作中，亦可直接參考新版規范的相應要求，提升銀行業金融機構相關系統的安全性。"

責任編輯：韓希宇