JR T 0068—2020 《网上银行系统信息安全通用规范》.pdf

《JR T 0068—2020 《网上银行系统信息安全通用规范》.pdf》由会员分享，可在线阅读，更多相关《JR T 0068—2020 《网上银行系统信息安全通用规范》.pdf（36页珍藏版）》请在麦多课文档分享上搜索。

1、ICS 35.240.40 A 11 中华人民共和国金融行业标准 JR/T 00682020 代替 JR/T 00682012 网上银行系统信息安全通用规范 General specification of information security for internet banking system 2020 - 02 - 05发布 2020 - 02 - 05实施 中国人民银行 发布 JR/T 00682020 I 目 次 前 言 . II 引 言 . III 1 范围 . 1 2 规范性引用文件 . 1 3 术语和定义 . 2 4 缩略语 . 3 5 网上银行系统概述 . 4 6 安全

2、规范 . 7 参考文献 . 32 JR/T 00682020 II 前 言 本标准按照GB/T 1.12009给出的规则起草。 本标准代替JR/T 00682012网上银行系统信息安全通用规范。 本标准与JR/T 00682012相比，主要变化如下： 增加了SM系列算法相关要求（见5.4）； 删除了与JR/T 0071金融行业信息系统信息安全等级保护实施指引要求重复的内容（2012 年版的6.1.4、6.2）； 修改了客户端安全的表述，补充了自身防护、敏感信息保护等安全要求（见6.2.1.1,2012年 版的6.1.1）； 增加了条码支付相关要求（见6.2.1.1、6.2.4.3）； 修改了专

3、用安全设备的安全要求，并改名为“专用安全机制”（见6.2.2，2012年版的6.1.2）； 增加了安全单元和移动终端支付可信环境相关要求（见6.2.2.1、6.2.2.5）； 增加了生物特征相关要求（见6.2.2.5）； 增加了云计算安全相关要求(见6.2.4.1、6.3.1）； 增加了IPv6相关要求（见6.2.4.3）； 增加了虚拟化安全相关要求(见6.2.4.4）； 增加了网上银行系统与外部系统连接安全的基本描述和安全要求（见6.2.5）； 修改了业务连续性与灾难恢复安全要求（见6.3.7，2012年版的6.2.6中的k、l)； 修改了安全事件与应急响应的安全要求（见6.3.8，2012

4、年版的6.2.6中的m、n)； 增加了、类银行结算账户及交易安全锁相关要求（见6.4.1）； 删除了附录中的基本的网络防护架构参考图、增强的网络防护架构参考图和物理安全（2012 年版的附录A、附录B、附录C）。 本标准由中国人民银行提出。 本标准由全国金融标准化技术委员会（SAC/TC 180）归口。 本标准起草单位：中国人民银行科技司、中国银联股份有限公司、银行卡检测中心、中国工商银行 股份有限公司、中国建设银行股份有限公司、中国农业银行股份有限公司、中国邮政储蓄银行股份有限 公司、招商银行股份有限公司、中国民生银行股份有限公司、国家信息技术安全研究中心、中金金融认 证中心有限公司。 本标

5、准主要起草人：李伟、陈立吾、车珍、周恒、昝新、夏磊、闫晋国、曲维民、沈筱彦、赵乔伟、 何朔、华锦芝、杨阳、徐燕军、章明、汤洋、渠韶光、孟飞宇、张志波、高志民、孙茂增、高强裔、马 哲、李博文、赵梦洁、李京春、李冰、曹岳、苏建明、姜城、伍红卫、李徽、王宁、杨杰、廖敏飞、刘 红波、梁智扬、廖渊、夏雷、梁剑锋、吴欣、李晓、武德港、李强、曾庆祥、季小杰、李超、马春旺、 赵胜利、黄春芳、薛金川、蒋健骁、李为、侯漫丽。 本标准所代替标准的历次版本发布情况为： JR/T 00682012。 JR/T 00682020 III 引 言 本标准通过收集、分析在评估检查中发现的网上银行系统信息安全问题和已发生的网上

6、银行案件， 针对性地提出安全要求。 本标准旨在有效增强现有网上银行系统安全防范能力，促进网上银行规范、健康发展。本标准既可 作为各单位网上银行系统建设、改造升级以及开展安全检查、内部审计的安全性依据，也可作为行业主 管部门、专业检测机构进行检查、检测及认证的依据。 JR/T 00682020 1 网上银行系统信息安全通用规范 1 范围 本标准规定了网上银行系统安全技术要求、安全管理要求、业务运营安全要求，为网上银行系统建 设、运营及测评提供了依据。 本标准适用于中华人民共和国境内设立的商业银行等银行业金融机构所运营的网上银行系统，其他 金融机构提供网上金融服务的业务系统宜参照本标准执行。 注1

7、：本标准分为基本要求和增强要求两个层次，基本要求为最低安全要求，增强要求是进一步提升系统安全性的 要求。各单位应在遵照执行基本要求的同时，按照增强要求，积极采取改进措施，不断提高安全保障能力。 注2：本标准条款中如无特别指明“企业网银”，则同时适用于个人网银和企业网银。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。 凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 250692010 信息安全技术 术语 GB/T 279122011 金融服务 生物特征识别 安全框架 GM/Z 00012013 密码术

8、语 GM/T 00022012 SM4分组密码算法 GM/T 00032012 SM2椭圆曲线公钥密码算法 GM/T 00042012 SM3密码杂凑算法 GM/T 00212012 动态口令密码应用技术规范 JR/T 0071 金融行业网络安全等级保护实施指引 JR/T 0098.5 中国金融移动支付 检测规范 第5部分：安全单元（SE）嵌入式软件安全 JR/T 01182015 金融电子认证规范 JR/T 01492016 中国金融移动支付 支付标记化技术规范 JR/T 01562017 移动终端支付可信环境技术规范 JR/T 01662018 云计算技术金融应用规范 技术架构 JR/T

9、01672018 云计算技术金融应用规范 安全技术要求 JR/T 01682018 云计算技术金融应用规范 容灾 中国人民银行关于改进个人银行账户服务加强账户管理的通知（银发2015392号），2015-12-25 中国人民银行关于进一步加强银行卡风险管理的通知（银发2016170号），2016-06-13 中国人民银行关于加强支付结算管理 防范电信网络新型违法犯罪有关事项的通知（银发2016 261号），2016-09-30 中国人民银行关于落实个人银行账户分类管理制度的通知（银发2016302号），2016-11-25 中国人民银行办公厅关于强化银行卡磁条交易安全管理的通知（银办发2017

10、120号），2017-05-31 条码支付安全技术规范（试行）（银办发2017242号文印发），2017-12-22 中国人民银行关于改进个人银行账户分类管理有关事项的通知（银发201816号），2018-01-10 JR/T 00682020 2 中国人民银行关于进一步加强支付结算管理防范电信网络新型违法犯罪有关事项的通知（银发 201985号），2019-03-22 3 术语和定义 GB/T 250692010、GM/Z 00012013界定的以及下列术语和定义适用于本文件。为了便于使用， 以下重复列出了GM/Z 00012013中的一些术语和定义。 3.1 网上银行 internet b

11、anking 商业银行等银行业金融机构通过互联网、移动通信网络、其他开放性公众网络或专用网络基础设施 向其客户提供的网上金融服务。 3.2 个人网银 personal internet banking 商业银行等银行业金融机构面向个人用户提供的网上金融服务。 3.3 企业网银 corporate internet banking 商业银行等银行业金融机构面向企事业单位和其他组织提供的网上金融服务。 3.4 支付敏感信息 payment sensitive information 影响网上银行安全的密码、密钥以及交易敏感数据等。 注：密码包括但不限于转账密码、查询密码、登录密码、证书的PIN等，

12、密钥包括但不限于用于确保通讯安全、报 文完整性等的对称密钥、私钥等，交易敏感数据包括但不限于完整磁道信息、有效期、CVN、CVN2等。 3.5 移动终端 mobile terminal 区别于PC机方式，以手机、平板电脑、可穿戴设备等访问网上银行的移动设备。 3.6 客户端程序 client program 为网上银行客户提供人机交互功能的程序，以及提供必需功能的组件。 注：包括但不限于可执行文件、控件、静态链接库、动态链接库等。本标准中客户端程序包括运行于移动终端上的 应用软件，不包括IE等通用浏览器。 3.7 智能密码钥匙 cryptographic smart token 提供密码运算、

13、密钥管理等密码服务的终端密码设备，一般使用USB、蓝牙、音频、SD等接口形态。 3.8 智能密码钥匙固件 cryptographic smart token firmware JR/T 00682020 3 内置在智能密码钥匙内的影响智能密码钥匙安全的程序代码。 3.9 动态口令 one-time-password(OTP),dynamic password 基于时间、事件等方式动态生成的一次性口令。 GM/Z 00012013，定义2.15 3.10 动态口令令牌 one time password token 用来生成动态口令的设备。 GM/Z 00012013，定义2.16 3.11 生

14、物特征 biometric 人类生理上的或行为上的可测量特征，并由此可以可靠地区分某个人不同于其他人，以便识别登记 者的身份，或者确认其所声称的已登记的身份。 GM/Z 00012013，定义4.4 3.12 资金类交易 funds transaction 通过网上银行进行的资金操作交易。 注：例如，转账、订单支付、缴费等。本人名下的投资理财、托管账户以及本人签订委托代扣协议的委托代扣等风 险可控的资金变动不属于此范畴。 3.13 信息及业务变更类交易 information and business changing transaction 通过网上银行变更客户相关信息或开通、取消业务的交易

15、。 注：例如，客户修改基本信息、调整交易额度、授权委托交易、修改交易订单、开通（签订）新业务、取消某项业 务、电子合同签署、电子保单等。 4 缩略语 下列缩略语适用于本文件。 CDN：内容分发网络（Content Delivery Network） COS：芯片操作系统（Chip Operating System） DHCP：动态主机配置协议（Dynamic Host Configuration Protocol） DNS：域名系统（Domain Name System） DoS/DDoS：拒绝服务/分布式拒绝服务（Denial of Service/Distributed Denial of

16、 Service） ESN：电子序列号（Electronic Serial Number） IDS/IPS：入侵检测系统/入侵防御系统（Intrusion Detection System/Intrusion Prevention System） IMEI：国际移动设备身份码（International Mobile Equipment Identity） IMSI：国际移动用户识别码（International Mobile Subscriber Identification Number） JR/T 00682020 4 IPSec：互联网安全协议（Internet Protocol Se

17、curity） IPv4：互联网协议第4版（Internet Protocol Version 4） IPv6：互联网协议第6版（Internet Protocol Version 6） MAC：消息认证码（Message Authentication Code） MEID：移动设备识别码（Mobile Equipment Identifier） NTP：网络时间协议（Network Time Protocol） SD：安全数码（Secure Digital） SDK：软件开发工具包（Software Development Kit） SE：安全单元（Secure Element） SEMA/

18、DEMA：简单电磁分析/差分电磁分析（Simple Electromagnetism Analysis/Differential Electromagnetism Analysis） SPA/DPA：简单能量分析/差分能量分析(Simple Power Analysis/Differential Power Analysis) TEE：可信执行环境（Trusted Execution Environment） USB：通用串行总线（Universal Serial Bus） VPN：虚拟专用网络（Virtual Private Network） 5 网上银行系统概述 5.1 系统标识 在系统标

19、识中应标明以下内容： 名称：银行网上银行系统； 所属银行。 5.2 系统描述 网上银行系统将传统的银行业务同互联网等资源和技术进行融合，将传统的柜台通过互联网、移动 通信网络、其他开放性公众网络或专用网络向客户进行延伸，是商业银行等银行业金融机构在网络经济 的环境下，开拓新业务、方便客户操作、改善服务质量、推动生产关系等变革的重要举措，提高了商业 银行等银行业金融机构的社会效益和经济效益。网上银行系统主要包括通过PC、手机、平板电脑、智能 电视、可穿戴设备等终端访问的网上银行系统，例如，手机银行、微信银行、直销银行、银企直联、小 微企业银行等系统。网上银行系统涵盖个人网银系统和企业网银系统。

20、5.3 系统组成部分 5.3.1 概述 网上银行系统主要由客户端、通信网络和服务器端组成，并可通过不同类型的通信网络连接到外部 系统，开展各类合作业务，其中服务器端包括网上银行访问子网、网上银行业务系统、中间隔离设备和 银行处理系统等，如图1所示。 JR/T 00682020 5 服务器端 通信网络 客户端 银行内部系统 安全区域二 安全区域一 外部区域 隔离设备 隔离设备 隔离设备 评估边界3 评估边界2 评估边界1 银行处理系统 网上银行访问子网 互联网 外部系统 专用安全机制 网上银行业务系统 图1 网上银行系统组成示意图 JR/T 00682020 6 注1：外部区域：网上银行的用户或

21、外部机构，利用网上银行客户端，通过互联网、移动通信网络、其他开放性公 众或专用网络访问网上银行业务系统； 注2：安全区域一：网上银行访问子网，提供基于WEB、客户端的访问或跳转服务； 注3：安全区域二：网上银行业务系统，主要进行网上银行的业务处理； 注4：银行内部系统：银行处理系统，主要进行银行内部的数据处理； 注5：隔离设备：不限于硬件或软件等具体形态，主要起到隔离不同安全区域的作用。 5.3.2 客户端 网上银行系统客户端主要包括客户端程序和客户端环境。客户端环境是指客户端程序所在的硬件终 端（目前主要包括PC、手机、平板电脑、智能电视、可穿戴设备等终端，将来可能包括其他形式的终端） 及该

22、终端上的操作系统、浏览器和其他程序所组成的整体运行环境。客户端环境通常不具备或不完全具 备专用金融交易设备的可信输入能力、可信输出能力、可信通讯能力、可信存储能力和可信计算能力， 因此，需要使用专用安全机制，并通过接受、减轻、规避及转移的策略来应对交易风险。金融机构应从 软硬件合法性验证、程序完整性保护、数据访问控制、数据输入安全、数据传输安全、数据存储安全以 及可信执行环境等方面保证客户端的安全性。 5.3.3 通信网络 网上银行借助互联网、移动通信网络等技术向客户提供金融服务，易受到通讯层面的安全威胁，金 融机构应从通讯协议、安全认证、通信链路安全等层面，采取措施有效应对相关风险。 5.3

23、.4 服务器端 网上银行系统服务器端提供网上银行应用服务和核心业务处理功能，金融机构应充分利用物理环 境、通信网络、计算环境等领域的防护技术，在攻击者和受保护的资源间建立多道严密的安全防线。 5.3.5 与外部系统连接 网上银行除直接向用户提供金融服务外，也可能与外部机构开展业务合作。在网上银行系统设计、 开发、部署和运营过程中，应充分考虑外部机构的系统可能存在的安全风险，并针对各类风险进行有效 防护。 5.4 系统安全性描述 网上银行系统应根据应用系统、客户对象、数据敏感程度等划分安全域。通过对安全域的描述和界 定，可更好地对网上银行系统信息安全保障进行描述。 金融机构应采取专用安全机制，包

24、括数字证书、动态口令、短信验证码、生物特征等，保障网上银 行系统安全。金融机构应按照其在交易中具备的可信通讯能力、可信输入能力、可信输出能力、可信存 储能力和可信计算能力五种能力的组合对安全机制进行分类管理，并制定与之适应的交易安全风险防范 策略。 金融机构在网上银行系统中应用云计算技术前，应结合网上银行系统的业务重要性和数据敏感性、 发生安全事件的危害程度等，充分评估应用云计算技术的科学性、安全性和可靠性，在确保系统业务连 续性、数据和资金安全的前提下，秉持安全优先、对用户负责的原则，充分评估可能存在的风险隐患， 谨慎选用与业务系统相适应的金融领域云计算部署模式。网上银行系统在采用云计算技术

25、时应遵循 JR/T 01662018、JR/T 01672018、JR/T 01682018等技术标准与行业主管部门的相关要求。 JR/T 00682020 7 网上银行系统在使用密码算法时应符合国家密码主管部门的要求，在支付敏感信息加密及传输、数 字证书签名及验签等环节宜支持并优先使用SM系列密码算法（GM/T 00022012、GM/T 00032012、GM/T 00042012）。 6 安全规范 6.1 概述 本规范分为安全技术规范、安全管理规范和业务运营安全规范三个部分。金融机构应针对不同的业 务类型采取相应级别的安全保障措施。考虑到业务相关性，本规范还包含针对网上银行系统外部连接的

26、 安全要求。网上银行系统应按照网络安全等级保护第三级安全要求进行建设与运维管理。 6.2 安全技术规范 6.2.1 客户端安全 6.2.1.1 客户端程序 基本要求： a) 客户端程序开发设计过程中应注意规避各系统组件、第三方组件、SDK存在的安全风险，应对 开发框架和技术路线进行严格的论证，必要时应进行选型安全测试。 b) 客户端程序应具有明确的应用标识符和版本序号，设计合理的更新接口，当某一版本被证明存 在重大安全隐患时，提示并强制要求用户更新客户端。 c) 客户端程序的每次更新、升级，应进行源代码审计、安全活动审查和严格归档，以保证客户端 程序不存在隐藏的非法功能和后门。 d) 应采用安

27、全的方式对客户端程序进行签名，标识客户端程序的来源和发布者，保证客户所下载 的客户端程序来源于所信任的机构。 e) 客户端程序在启动和更新时应进行真实性、完整性校验（例如，联机动态校验等），防范客户 端程序被篡改或替换。 f) 客户端程序应采取代码混淆、加壳等安全机制，防止客户端程序被逆向分析，确保客户端的敏 感逻辑及数据的机密性、完整性。 g) 客户端程序应保证自身的安全性，避免代码注入、缓冲区溢出、非法提权等漏洞。 h) 客户端程序应采取进程保护措施，防止非法程序获取该进程的访问权限，扫描内存中的敏感数 据或替换客户端页面等。 i) 客户端程序应对关键界面采用反录屏等技术，防范非法程序通过

28、拷屏等方式获取支付敏感信 息。 j) 客户端程序应提供客户输入支付敏感信息的即时防护功能，并对内存中的支付敏感信息进行保 护，例如，采取逐字符加密、自定义软键盘、防范键盘窃听技术等措施。 k) 客户端软件不应以任何形式在本地存储用户的支付敏感信息，存储位置包括但不限于 Cookies、本地临时文件和移动数据库文件等。 l) 客户端程序应采取有效措施保证所涉及密钥的机密性和完整性。 m) 客户端程序应采取措施对密码复杂度进行校验，保证用户设置的密码达到一定的强度。 n) 客户端程序密码框应禁止明文显示密码，应使用同一特殊字符（例如，*或）代替。 o) 客户端程序登录后在一段时间内无任何操作，应自

29、动登出，重新登录才能继续使用。 JR/T 00682020 8 p) 客户端程序应配合服务器端采取有效措施，对登录请求、服务请求以及数据库查询等资源消耗 较高行为的频率进行合理限制。 q) 客户端程序具备条码生成、展示或识读解析功能时，应符合条码支付安全技术规范（试行） （银办发2017242号文印发）要求。 r) 客户端程序应能够有效屏蔽系统技术错误信息，不将系统产生的错误信息直接反馈给客户。 s) 客户端程序应支持通过IPv6连接访问网络服务，在IPv4/IPv6双栈支持的情况下，优先采用 IPv6连接访问。 t) 客户端程序应具备隐私政策。 u) 客户端程序在收集、使用客户信息之前，应明

30、示收集、使用信息的目的、方式和范围，公开其 收集、使用规则，并取得客户的明示同意。在采集客户个人敏感信息前应对采集的用途和必要 性进行提醒。 v) 客户端程序应禁止访问终端中非业务必需的文件和数据。应根据最小权限原则申请系统权限 （例如，申请读取通讯录、地理位置等权限），并取得用户的明示同意。 w) 客户端应保留最少的客户信息，并限制数据存储量和保留时间。 x) 客户端程序退出时，应清除非业务功能运行所必须留存的业务数据，保证客户信息的安全性。 y) 应采取渠道监控等措施对仿冒客户端程序进行监测。 6.2.1.2 客户端环境 基本要求： a) 应对客户端运行环境的安全状况进行检测并向后台系统反

31、馈，并将此作为风控策略的依据。 b) 应采取有效措施提升客户端环境安全级别，针对不同的安全等级采取相应的风险控制措施。 c) 应在门户站点等渠道发布客户端环境安全的提示。 d) 当发现客户端环境存在重大安全缺陷或安全威胁时，应采取必要措施对用户进行警示或拒绝交 易。 6.2.2 专用安全机制 6.2.2.1 智能密码钥匙 本标准所涉及的智能密码钥匙包含目前网上银行系统普遍应用的USB Key、蓝牙Key、音频Key、SD Key等基于硬件的Key产品，也包括将来可能出现的其他基于硬件的Key产品。 基本要求： a) 金融机构应使用经国家或行业主管部门认可的第三方专业测评机构检测通过的智能密码钥

32、匙。 b) 应在安全环境下完成智能密码钥匙的个人化过程。 c) 智能密码钥匙应采用具有密钥生成和数字签名运算能力的智能卡芯片，保证敏感操作在智能密 码钥匙内进行。 d) 智能密码钥匙的主文件（Master File）应受到COS安全机制保护，防止非授权的删除和重建。 e) 密钥文件在启用期应封闭。 f) 应保证私钥在生成、存储和使用等阶段的安全： 签名私钥应在智能密码钥匙内部生成，不得固化密钥对和用于生成密钥对的素数。 应保证私钥的唯一性。 禁止以任何形式从智能密码钥匙读取私钥或写入签名私钥。 私钥文件应与普通文件类型不同，应与密钥文件类型相同或类似。 在每次执行签名等敏感操作前，均应首先进行

33、认证。 JR/T 00682020 9 智能密码钥匙在执行签名等敏感操作时，应具备操作提示功能，包括但不限于声音、指示 灯、屏幕显示等形式。 智能密码钥匙内部产生的私钥，不再需要时应及时销毁。 g) 签名交易完成后，状态机应立即复位。 h) 应保证PIN码和密钥的安全： PIN码应具有复杂度要求。 采用安全的方式存储和访问PIN码、密钥等支付敏感信息。 PIN码和密钥（除公钥外）不能以任何形式输出。 经客户端输入进行验证的PIN码在其传输到智能密码钥匙的过程中，应进行加密，并保证 在传输过程中能够防范重放攻击。 PIN码连续验证失败次数达到上限（不超过10次）时，智能密码钥匙应主动锁定。 同一

34、型号智能密码钥匙在不同银行的网上银行系统中应用时，应使用不同的根密钥，且智 能密码钥匙中的对称算法密钥应使用根密钥进行分散。 参与密钥、PIN码运算的随机数应在智能密码钥匙内生成，其随机性指标应符合国家密码 主管部门的要求。 i) 借助SE与TEE技术结合实现智能密码钥匙的相关功能时，应保证SE与TEE的安全： SE的使用应符合JR/T 0098.5的要求。 TEE的使用应符合JR/T 01562017的要求。 智能密码钥匙所需的显示、PIN输入等可信功能应在TEE中实现。 智能密码钥匙所需的签名验签、密钥与根密钥存储等敏感服务应在SE中实现。 应保证仅有网上银行系统客户端或相关的客户端程序能

35、够访问SE中与其相对应的功能与 数据。 应使用经国家或行业主管部门认可的第三方专业测评机构安全检测通过的SE、TEE产品。 j) 智能密码钥匙使用的密码算法应符合国家密码主管部门的要求。 k) 对智能密码钥匙固件进行的任何改动，都应经过归档和审计，以保证智能密码钥匙中不含隐藏 的非法功能和后门指令。 l) 智能密码钥匙加密芯片应具备抵抗旁路攻击的能力，包括但不限于： 抗SPA/DPA攻击能力。 抗SEMA/DEMA攻击能力。 m) 在外部环境发生变化时，智能密码钥匙不应泄露支付敏感信息或造成安全风险。外部环境的变 化包含但不限于： 高低温。 高低电压。 强光干扰。 电磁干扰。 紫外线干扰。 静

36、电干扰。 电压毛刺干扰。 n) 应设计安全机制保证智能密码钥匙驱动程序的安全，防范被劫持、篡改或替换。 o) 应采取有效措施防范智能密码钥匙被远程挟持带来的风险，例如，采用具备客户主动确认功能 的智能密码钥匙或通过可靠的第二通信渠道要求客户确认交易信息等。 p) 如智能密码钥匙不具备确认功能，则连接到终端设备一段时间内无任何操作后应自动关闭，应 重新连接才能继续使用，以降低远程挟持的风险。 JR/T 00682020 10 q) 具有屏幕显示、语音提示、按键确认等提示确认功能的智能密码钥匙，应符合下列要求: 应对交易指令的完整性进行校验、对交易指令的合法性进行鉴别、对关键交易数据进行输 入、确

37、认和保护，应采取有效措施防止确认环节被绕过。 应能够自动识别待签名数据的格式，识别后在屏幕上显示或语音提示关键交易数据，保证 屏幕显示或语音提示的内容与智能密码钥匙签名的关键数据一致。 应采取有效措施防止签名数据在客户最终确认前被替换。 未经按键确认等操作，智能密码钥匙不得签名和输出，在等待一段时间后，自动清除数据， 并复位状态。 增强要求： 智能密码钥匙应能够自动识别其是否与客户端连接，应具备在规定的时间与客户端连接而未进 行任何操作时的语音提示、屏幕显示提醒等功能。 6.2.2.2 文件证书 文件证书的使用应符合国家密码主管部门与行业主管部门的相关要求，同时应满足以下要求： 基本要求： a

38、) 应严格控制申请、颁发和更新流程，避免对个人网银客户的同一业务颁发多个有效证书。 b) 用于签名的公私钥对应由客户端生成，不应由服务器生成。私钥只允许在客户端（包括智能密 码钥匙等安全设备）使用和保存。 c) 应保证私钥的唯一性。 d) 应强制使用密码保护私钥，防止私钥受到未授权的访问。 e) 应支持私钥不可导出选项。 f) 私钥导出时，客户端应对客户进行身份认证，例如，验证访问密码等。 g) 私钥备份时，应提示或强制放在移动设备内，备份的私钥应加密保存。 h) 文件证书的发放宜使用离线或专线方式，确需通过公众网络发放的，应提供一次性链接下载。 i) 文件证书应与终端信息绑定，防范证书被非法

39、复制到其他终端上使用。 j) 应对关键操作（例如，签名）进行保护，防止证书被非授权调用。 增强要求： 在备份或恢复私钥成功后，金融机构应通过可靠的第二通信渠道向客户发送提示消息。 6.2.2.3 动态口令令牌 网上银行系统的动态口令令牌应优先选用符合GM/T 00212012的产品。 基本要求： a) 金融机构使用的动态口令令牌设备及后台支持系统，应经过认可的第三方专业测评机构安全检 测通过。 b) 应采取有效措施防范动态口令机制被中间人攻击，例如，通过可靠的第二通信渠道要求客户确 认交易信息等。 c) 应采取有效措施保证种子密钥或相关变形在整个生命周期的安全。 d) 动态口令生成算法、密钥长

40、度和密钥管理方式应符合国家密码主管部门的要求。 e) 动态口令的长度不应少于6位。 f) 应防范通过物理攻击的手段获取设备内的支付敏感信息，物理攻击的手段包括但不限于开盖、 搭线、复制等。 g) 对于基于时间机制的动态口令令牌，应设置此时间窗口最大不超过动态口令的理论生存期前后 60s（理论生存期是指如果令牌和服务器时间严格一致，令牌上出现动态口令的时间范围），结 JR/T 00682020 11 合应用实践，设置尽可能小的理论生存期，以防范中间人攻击。 h) 采用基于挑战应答的动态口令令牌进行资金类交易时，挑战值应包含用户可识别的交易信息 （例如，转入账号、交易金额等），以防范中间人攻击。

41、i) 如使用动态口令机制，登录和交易过程中的动态口令应各不相同，系统应具备防重放、防猜解 功能。 增强要求： a) 动态口令令牌设备应使用PIN码保护等措施，确保只有授权客户才可以使用。 b) PIN码和种子应存储在动态口令令牌设备的安全区域内，或使用其他措施对其进行保护。 c) PIN码连续输入错误次数达到错误次数上限（不超过10次），动态口令令牌应锁定。 d) PIN码输入错误次数达到上限导致动态口令令牌锁定后，动态口令令牌系统应具备相应的自动 或手动解锁机制。 e) 动态口令令牌加密芯片应具备抵抗旁路攻击的能力，包括但不限于： 抗SPA/DPA攻击能力。 抗SEMA/DEMA攻击能力。

42、f) 在外部环境发生变化时，动态口令令牌不应泄露支付敏感信息或影响安全功能。外部环境的变 化包含但不限于： 高低温。 强光干扰。 电磁干扰。 紫外线干扰。 静电干扰。 g) 动态口令令牌设备应具备一定的抗跌落功能，防止意外跌落导致种子密钥丢失。 6.2.2.4 短信验证码 基本要求： a) 开通短信验证码时，应使用人工参与控制的可靠手段验证客户身份并登记手机号码。更改手机 号码时，应对客户的身份进行有效验证。 b) 交易的关键信息应与短信验证码一起发送给客户，并提示客户确认。 c) 短信验证码应随机产生，长度不应少于6位。 d) 短信验证码应具有时效性，最长不超过6分钟，超过有效时间应立即作废

43、。 e) 短信验证码在使用完毕后应立刻失效，应采取措施防范对验证码的暴力猜解攻击。 f) 短信验证码的关键信息不应由客户定制，例如，金额、卡号。 g) 应基于终端特性采取有效措施防止验证码被分析、窃取、篡改，保证短信验证码的机密性和完 整性，例如，对验证码进行加密处理、结合外部认证介质、采用挑战应答等。 6.2.2.5 生物特征 金融机构在网上银行系统中使用生物特征技术进行身份确认或识别（不包含账户开户环节），遵循 如下要求。 基本要求： a) 应符合国家相关法律法规及主管部门有关管理要求，采用的生物特征解决方案应通过经国家或 行业主管部门认可的第三方专业测评机构检测。 b) 应充分评估所使用

44、的生物特征技术的特点及存在的风险，按照GB/T 279122011的要求建立 完整的生物特征安全应用与管理体系。 JR/T 00682020 12 c) 应采取适当的措施阻止已知的伪造攻击手段，降低伪造身份通过确认或识别的可能性。 d) 应确定合理的生物特征数据采集、传输、处理、存储的方式，采取适当的措施避免生物特征数 据或相关信息被非法泄露或非法使用。 e) 当所使用的生物特征技术尚未经过充分验证时，应把生物特征技术作为安全增强手段，并与其 他身份认证技术相结合，增强交易安全。 f) 采集的生物特征数据不得用于除预期业务外的其他用途。 g) 在移动终端上，如借助TEE技术实现生物特征的相关功

45、能，要求如下： TEE的使用应符合JR/T 01562017的要求。 生物特征数据的计算、活检、比对和存储等可信功能应在TEE中实现。 应使用经国家或行业主管部门认可的第三方专业测评机构安全检测通过的TEE产品。 h) 如借助SE技术实现生物特征的相关功能，要求如下： SE的使用应符合JR/T 0098.5的要求。 生物特征功能所需的密钥、根密钥存储、密码学运算等高安全服务应在SE中实现。 应保证仅有相关的客户端程序及生物特征数据采集模块能够访问SE中与其相对应的功能 与数据。 应使用经国家或行业主管部门认可的第三方专业测评机构安全检测通过的SE产品。 6.2.2.6 其他机制 对于不明确属于

46、上述分类的其他机制或在本标准发布后新出现的专用安全机制，应根据自身特点参 照上述分类的部分或全部要求，保证专用安全机制自身的可靠性以及其所保护信息的安全性。 6.2.3 通信网络安全 6.2.3.1 通讯协议 基本要求： a) 应在客户端程序与服务器之间建立安全的信息传输通道，采用的安全协议应及时更新至安全稳 定版本，取消对存在重大安全隐患版本协议的支持。 b) 应采用每次交易会话采取独立不同密钥的加密方式对业务数据进行加密处理，防止业务数据被 窃取或者篡改。 c) 根据数据传输的安全要求，应使用安全的算法组合。 增强要求： 应使用加密算法和安全协议保护网上银行服务器与其他应用服务器之间所有连

47、接，保证传输数 据的机密性和完整性。 6.2.3.2 安全认证 基本要求： a) 通过公开网络进行数据传输时，应通过密钥、证书等密码技术手段进行双向认证。 b) 客户端程序应对服务器端证书的合法性进行验证。 c) 整个通讯期间，经过认证的通讯线路应一直保持安全连接状态。 d) 银行端Web服务器应使用权威机构颁发的数字证书以标识其真实性。 e) 应确保客户获取的金融机构Web服务器的根证书真实有效，例如，可在客户开通网上银行时分 发根证书，或将根证书集成在客户端程序安装包中分发等。 增强要求： JR/T 00682020 13 客户端程序和本地其他实体（指除支付软件自身外的其他软件及硬件）间的数据通信应采用安 全的方式，确保通信数据不被监听和篡改。 6.2.3.3 通信链路 基本要求： a) 网上银行客户端和服务端之间的通讯，若通信数据中包含支付敏感信息，则应对支付敏感信息 加密，支付敏感信息不应以明文形式出现。 b) 客户端和服务端之间的通讯如经过第三方服务器且通信数据中包含支付敏感信息时