2020年2月，中国人民银行正式发布JR/T 0068-2020《网上银行系统信息安全通用规范》（以下简称“新版规范”），对执行了八年的JR/T 0068-2012《网上银行系统信息安全通用规范》（以下简称“旧版规范”）进行了全面升级。

新版规范已于2020年2月5日正式生效，下面我们将结合银行业务情况对新版规范的技术细节进行一系列的解读和分享：

新版规范可总结为以下3个特点：

1、标准融合丨充分响应了国家总体安全要求和产业政策发展要求，引入《密码法》、等级保护2.0等法律法规要求，使标准之间可以有效融合，更符合银行实际需要。

2、全局安全观丨网银视作银行业数字化转型的重要一环，倡导网上银行业务系统整体安全观，对银行数字化转型的安全提供了有效建议。

3、关注新型安全风险丨充分关注了金融领域实际工作中发现的问题以及业务、技术发展导致的新型安全风险。

新版规范在安全合规部分重点关注以下的内容

一、客户端安全要求从对抗网银木马为主升级为全面的风险检测

1、客户端安全的覆盖目标发生了较大变化

旧版本推出时客户端主要的形态是PC程序和Web控件。经过八年的发展，手机银行APP、微信银行和小程序等已经成为主流。

2、新增对第三方组件、SDK的安全管控要求

在移动生态环境中，第三方程序和SDK的安全性已经成为一个重要隐患，近年来先后发生了“wormhole”、“寄生推”等多个影响比较大的SDK生态安全事件。新增的这部分要求可谓是切中了移动安全生态的核心关节。

3、新增客户端收集、使用客户信息的合规性要求

这是去年国家在全面治理的领域，新版规范加入相关内容是必须的。

4、客户端环境安全升级为全面的运行环境安全检测

客户端环境的安全要求将旧版本的“在线杀毒”为主升级为“全面的运行环境安全检测”，根据不同的风险等级采用不同的风险控制措施。当前“电诈”等黑产团伙针对手机银行用户进行攻击时采用的恶意木马是不断变化的，依靠杀毒清场具有很大的滞后性，难以全面防范风险。新版本的要求有了质的提升。

二、服务器端安全监管要求与业务融合的更加深入

1、安全计算环境新增了如下要求

“应对客户端的标识信息进行记录，并判断同一次登录后的重要操作使用的是否为同一终端，采用技术手段对风险进行识别。”这个要求在Android/iOS不断收紧采集权限的情况下，银行做到稳定、准确还是有一定的技术难度的。

2、新增了虚拟化安全的要求

3、新增了交互式验证码的要求

老版规范中的要求主要是针对图片验证码的，当前大部分网上银行系统仍然在采用的此类古老形式的验证码。随着技术的发展，图片验证码早已被黑产采用AI等新技术完全攻破。作为一个重要的安全防控措施，银行需要对验证码进行升级。

三、业务运营安全监管要求全面升级

新版规范在交易流程、交易监控等方面进行了全面的扩充，新增了机器学习、生物探针等交易防范风险措施：“应通过交易行为分析、机器学习等技术不断优化风险评估模型，结合生物探针、相关客户行为分析等手段，建立并完善反欺诈规则，实时分析交易数据，根据风险高低产生报警信息，实现欺诈行为的侦测、识别、预警和记录，提高欺诈交易拦截成功率，切实提升交易安全防护能力。”这意味着机器学习、生物探针的风险防控技术在业务运营中已经展现显著的效果，未来将有更大的应用空间。

监管合规落地建议

通过以上的研读与分析，我们发现新版规范在新技术融合度、业务融合度等方面较旧版规范均有了较大的提升，这充分体现了八年来网上银行生态的进化和安全技术的提升。

为应对网上银行系统信息安全出现的新形势和新特点，全面防范网上银行安全风险，同盾建议：

1、参照监管要求和业内最佳实践，对目前网银安全技术、安全管理和业务运营安全管理现状进行差距评估，识别合规差距；

2、根据评估及差距分析结果，从管理架构、制度与流程、系统功能优化、技术工具、客户培训及权益保护等方面设计网上银行系统信息安全建设方案，编制合规手册；

3、制定短期、中期、长期合规落地计划，周期性进行复演练、再评估，通过持续优化升级确保网银合规，促进业务安全开展。