新修订的金融行业标准《网上银行系统信息安全通用规范》（JR/T 0068—2020）(以下简称“新版《规范》”)由中国人民银行正式发布。。。。这是继2012版《规范》后第一次进行替换修订的金融行业标准。
。
。

新版《规范》中的金融行业标准
，，，，为网上银行系统提供了明确的建设指导意见
，，，，可作为网上银行的内部建设、、、升级依据，，
，，也可作为主管部门的检查、
、
、
、检测依据。。。。相比2012版《规范》，，，，有哪些变化？
？？新版《规范》建设标准重点是什么？？？新未来梦想教育为您解读。。。

     新版《规范》内容框架

新版《规范》由六部分组成：定义范围
、
、
、、引用文件
、、术语和定义、
、定语缩略语、、、网银系统描述、
、、、安全规范
。
。。。

定义范围

新版《规范》内容主要为安全技术要求、、、、安全管理要求和安全运维要求三个方面，，适用于中国境内设立商业银行等银行业机构运行的网上银行系统。。。
。

引用文件

主要参考了《SM3密码杂凑算法》、、《SM2椭圆曲线公钥密码算法》、、《SM4分组密码算法》
、、
、、《网络安全等级保护2.0制度》
、、《云计算技术金融应用规范》、、《移动终端支付可信环境技术规范》等相关文件
。
。。

术语和定义

定义了新版《规范》里的专业名词术语。。。。

定义缩略语

对新版《规范》引用的相关英文缩略语以中文进行定义。。
。

网银系统描述

网上银行系统由客户端、、
、
、通信网络和服务器端组成，，，其中服务器端包括网上银行访问子网、、、网上银行业务系统、、中间隔离设备和银行处理系统。。

安全规范

主要分为安全技术要求、、安全管理要求和安全运维要求
，，，相对于2012版《规范》
，，，，改动内容主要在此部分。。

    新旧版对比

整体框架

新版《规范》将“银企互联”纳入网上银行系统评估范围内；将原有业务运作安全规范，
，
，修改为业务运营安全规范；同时，，，，新版《规范》删除了旧版附录中的“基本的网络防护架构参考图、、、增强的网络防护架构参考图和物理安全（附录 A、、、
、附录 B、、
、附录 C）”
。。。

安全技术规范对比

安全技术规范从旧版本“97项基本要求+30项增强要求”
，，变更为“123项基本要求+21项基本要求”。。。

主要体现在
：将“专用安全设备安全”修改为“专用安全机制”，，，
，同时在认证机制上增加了短信验证和生物特征识别，，，，如脸部识别
、、
、指纹识别等，，，并且在服务器端安全增加了虚拟化安全。。网上银行系统与第三方连接需求日益增多，，新版《规范》也在传输和数据两方面加强了与外部系统连接的安全要求。。。。

下方图片，，DEL表示已删除要求项，，，
，NEW表示新增要求项。。

安全管理规范对比

因《网络安全等级保护2.0制度》发布，
，安全管理规范从“63项基本要求+1项增强要求”，
，，变更为“47项基本要求+1项基本要求”。。。。

此外，，，，新版《规范》新增“业务连续性与灾难恢复”和“安全事件与应急响应”要求项。。

业务运营安全规范对比

从“业务运作安全规范”变更为“业务运营安全规范”，
，从“53项基本要求+4项增强要求”，，变更为“70项基本要求+3项基本要求”。
。

新版“业务运营安全规范”增加了对外部机构的业务合作内容
，，整合了“银企互联”模式，，为金融机构的第三业务安全提供了新的参考标准
。。。。

    重点内容解读

依据新版《规范》，，网络安全如何建设才算合规？
？

• 国家密码算法

网上银行系统在使用密码系统时，，必须优先使用SM算法。。

• IPv6相关要求

域名解析服务应支持IPv6访问进行分析，，，，同时网络设备应支持IPv6，，针对IPv6的防护强度应不弱于IPv4的防护强度。。。

• 条码支付相关要求

支付条码不同时，，应依据《条码支付安全技术规范》，，对条码中包含的网址等信息进行校验
，，对非法地址和恶意请求进行拦截。。。。

• 等级保护相关要求

对网上银行系统建设设计的云计算和移动互联网等技术应满足JR/T 0071《网络安全等级保护制度2.0标准》的相关要求
。。

• II、、、III类银行结算账户相关要求

通过网上银行渠道开立个人II、
、、III类银行结算账户时，，应严格落实《中国人民银行关于改进个人银行账户服务加强账户的通知》
、、
、、《中国人民银行关于落实个人银行账户分类管理制度的通知》、
、《中国人民银行改进个人银行账户分类管理有关事项的通知》等要求。。。

新版《规范》中外部连接的方式有几种？
？
？

按照新版《规范》的内容描述，，主要有三种连接方式：

• 通过专线连接

通过专线连接对传输的信息进行加密，，，同时，，应尽量选用多个电信运营商，，，，在入口处最好有链路负载
，，
，以防线路中断时无法自动切换线路导致业务中断。。

• 通过VPN连接

通过VPN连接必须使用双因素认证
，，同时对VPN权限和账户定期进行审计，
，
，并增加超时连接。。。

• 通过Internet连接

互联网连接必须使用不存在公开漏洞的连接协议，，，并建议第三方连接使用固定IP和电脑进行连接。。。。

以上三种方式都强调必须使用国密算法支持，，，同时对敏感数据要求，，，从采集
、、展示、、
、传输、、、存储和使用等完整生命周期环境进行保护和定期审计
，，，，防止用户个人信息泄露。。。

新版《规范》中新增的虚拟化安全应该怎么做？？

虚拟机安全需注意以下几方面：

• 更新

虚拟机镜像补丁、、、、虚拟机环境系统组件等要定期进行更新，，，
，这要求对虚拟机管理具备扫描和定期补丁分发安装的功能。。

• 隔离

在虚拟机之间
、
、、、虚拟机与宿主机进行隔离
，
，，
，增强对微隔离的要求
。。
。。

• 审计

定期对虚拟机和管理器相关操作进行日志留存和审计，，强调了对操作日志的审计
。
。

• 权限

要求对虚拟机镜像和快照文件管理权限进行检测，，，防止权限过高丢失敏感数据
。。。

“业务连续性”独立成章节，
，，，金融银行后续应遵循什么建设标准？？

• 对机房相关建设如：UPS
  、、、电信运营商链路等进行冗余建设
  。
  。。

• 定期梳理备件和备品清单
  ，
  ，防止放置时间过长不能使用。。。

• 对相关运维管理人员进行业务连续性培训
  。。。。

目前
，，，新未来梦想教育已经为2000+金融机构提供了服务，，，依托多年的技术积累和金融用户的服务经验，
，帮助用户解决在数字化转型中遇到的难题和痛点，，获得了行业的广泛认可。。未来，，新未来梦想教育将坚持“持续创新、
、、全情投入”，，，
，以更丰富的金融科技解决方案，
，快速、
、安全、、、稳健地推进金融行业信息化变革。。