2020年(nián)2月(yuè)，中國(guó)人(rén)民(mín)銀(€™≥★yín)行(xíng)正式發布 JR/T 0068-ε☆≥×2020《網上(shàng)銀(yín)行(xín↔↕g)系統信息安全通(tōng)用(yòng)規範》（以下(xià)簡稱“新版規範”），對(duì)執行(xíng)了(leα‌)八年(nián)的(de) JR/T 0068-2012×✔$∏《網上(shàng)銀(yín)行(xíng♠Ω)系統信息安全通(tōng)用(yòng)規範》（以下(xià)簡稱“舊(jiù)版®× 規範”）進行(xíng)了(le)全面升£☆♠£級。

新版規範已于2020年(nián)2月(yuè)5日(rì)正式生(shēng)效，>$下(xià)面我們将結合銀(yín)行(xíng)業✘★≤☆(yè)務情況對(duì)新版規範的(de)技(jì)術∞±↕(shù)細節進行(xíng)一(yī)系列的(de)解讀(dú)和(hé)分↑γα(fēn)享：

新版規範可(kě)總結為(wèi)以下(xià)3個(gè)特點：

1.标準融合丨充分(fēn)響應了(le)國(guó)家(jiā∑÷↔♦)總體(tǐ)安全要(yào)求和(hé)産業(yδ☆≤è)政策發展要(yào)求，引入《密碼法》、等級φ♦保護2.0等法律法規要(yào)求，使标準之間(jiān)可•>(kě)以有(yǒu)效融合，更符合銀(yín)行(xíng®↔★ε)實際需要(yào)。

2.全局安全觀丨網銀(yín)視(shì)作(zuò)銀(yín)行(xíng)業(yè)數(shù) ↔字化(huà)轉型的(de)重要(yào)一(yī)環，倡導網上(shàng)銀(yín≠Ω)行(xíng)業(yè)務系統整體(tǐ)安全觀，對(duì₩ ★)銀(yín)行(xíng)數(shù)字化(huà)轉型≤≈>的(de)安全提供了(le)有(yǒu)效建議(yì)。σ←​

3.關注新型安全風(fēng)險丨充分(fēn)關注了(le)金(jīn)融領域實際工(gōng)作(zuò)中發現(xiàn)的Ω©​(de)問(wèn)題以及業(yè)務、技(jì)術(shù)發展導緻的(de)¥↔±©新型安全風(fēng)險。

新版規範在安全合規部分(fēn)重點關注以下(xià)<π♦→的(de)內(nèi)容

一(yī)、客戶端安全要(yào)求從(cóng)對(duì)抗網銀(yín)木(mù)™<‍∏馬為(wèi)主升級為(wèi)全面的(de)風(≠★≈¶fēng)險檢測

1.客戶端安全的(de)覆蓋目标發生(shēng)了(le)較大(dà)變化(✘εhuà)

舊(jiù)版本推出時(shí)客戶端主要(yào)的(de)形态是(shì)PC♥α程序和(hé)Web控件(jiàn)。經過八年(nián)的(de)發展，手機(jī)銀(y✘×ín)行(xíng)APP、微(wēi)信銀(yín)行(xíng)和(hé)小(xiǎo)程序等£​已經成為(wèi)主流。

2.新增對(duì)第三方組件(jiàn)、SDK的(de)安全管控要(yào)求 ∞α∑σ

在移動生(shēng)态環境中，第三方程序和(hé)SDK的(de)安全©π 性已經成為(wèi)一(yī)個(gè)重要(yào)隐患，近(​'jìn)年(nián)來(lái)先後發生(shēng)了(le)“wormhole”、“λ​寄生(shēng)推”等多(duō)個(gè)影(≈γyǐng)響比較大(dà)的(de)SDK生✔™(shēng)态安全事(shì)件(jiàn)。新增的(de)這(zhè)部分(fēn)♠≈ 要(yào)求可(kě)謂是(shì)切中了(le)移動•÷♥安全生(shēng)态的(de)核心關節。

3.新增客戶端收集、使用(yòng)客戶信> &息的(de)合規性要(yào)求

這(zhè)是(shì)去(qù)年(nián)國(guó)家(j'→₹iā)在全面治理(lǐ)的(de)領域，新版規∑&範加入相(xiàng)關內(nèi)容是(shì)必須的(de)。≠σ→

4.客戶端環境安全升級為(wèi)全面的(de)運行(xíng)環境•δ✘¶安全檢測

客戶端環境的(de)安全要(yào)求将舊(jiù)版本的(de)“在線殺毒”為(wèi)主升級≤©為(wèi)“全面的(de)運行(xíng)環境安全檢測”，根據不(bù)同∞βπ§的(de)風(fēng)險等級采用(yòng)不(bù)同的(de)風(fēng)險控制(zhì)∑←→措施。當前“電(diàn)詐”等黑(hēi)産團夥針對(duì)手機(jī)銀(yín)×≤π行(xíng)用(yòng)戶進行(xíng)攻擊時(shí)采用(yòng)的(de)惡意木(Ω"mù)馬是(shì)不(bù)斷變化(huà)的(de)，依靠殺毒清場(chǎn£"™g)具有(yǒu)很(hěn)大(dà)的(de)滞後性£Ω，難以全面防範風(fēng)險。新版本的(de)要(yào)求有(yǒu)了(le)質的(d$∑≤e)提升。

二、服務器(qì)端安全監管要(yào)求與業(yèφ ‌)務融合的(de)更加深入

1.安全計(jì)算(suàn)環境新增了(le)如(rú)下(xià)要(yào)求

“應對(duì)客戶端的(de)标識信息進行(xín✘™g)記錄，并判斷同一(yī)次登錄後的(de)重要(yào)操作(zuò)使用₹¥(yòng)的(de)是(shì)否為(wèi)同一(yī)‍×₽♦終端，采用(yòng)技(jì)術(shù)手段對(duì)風(fēn←≥φg)險進行(xíng)識别。”這(zhè)個(gè)要(yào)求在Andr↕©‌oid/iOS不(bù)斷收緊采集權限的(de)情況下↕‌ ®(xià)，銀(yín)行(xíng)做×α£(zuò)到(dào)穩定、準确還(hái)是(shì)有(♦→yǒu)一(yī)定的(de)技(jì)術(shù)難度的(de)。

2.新增了(le)虛拟化(huà)安全的(de)要(yào)求

3.新增了(le)交互式驗證碼的(de)要(yào)求

老(lǎo)版規範中的(de)要(yào)求主要(yào)是(shì<®®ε)針對(duì)圖片驗證碼的(de)，當前大(dà)部分(fēn)網上(shàng ↔)銀(yín)行(xíng)系統仍然在采用(yòng)的(de)此¥∑☆←類古老(lǎo)形式的(de)驗證碼。随著(zhe)技(jì)術(shù)的(de)發展，圖←'®片驗證碼早已被黑(hēi)産采用(yòng)AI等新技β&α→(jì)術(shù)完全攻破。作(zuò)為(w←☆èi)一(yī)個(gè)重要(yào)的(de)安全防控措施，銀(yín)行(xíng)™•¥需要(yào)對(duì)驗證碼進行(xíng)升級。

三、業(yè)務運營安全監管要(yào)求全面☆←¶Ω升級

新版規範在交易流程、交易監控等方面進行(xí¥π±ng)了(le)全面的(de)擴充，新增了(le)機(jī)器(qì)學習♠₹(xí)、生(shēng)物(wù)探針等交易防範風(fēng)險措施：“應通(tōng)過交 &‌易行(xíng)為(wèi)分(fēn)析、機§∞δ(jī)器(qì)學習(xí)等技(jì)術(shù)不(bù)斷優化(huà←¥ ₹)風(fēng)險評估模型，結合生(shēng)物(wù)探針、相(xiàδλng)關客戶行(xíng)為(wèi)分(fēn)析等手段，建立并完善反欺詐規則♣₩₹，實時(shí)分(fēn)析交易數(shù)據，根據風(fēng)險高(g£σβāo)低(dī)産生(shēng)報(bào)警信息，實現(xiàn) 欺詐行(xí♥≠γng)為(wèi)的(de)偵測、識别、預警和(hé)記錄，提高(gāo)欺詐交易¥♣<≠攔截成功率，切實提升交易安全防護能(néng)力。” 這(zhè)意味著(zhe)機(₩ jī)器(qì)學習(xí)、生(shēng)物(wù)探針的(de)風(f©™₽ēng)險防控技(jì)術(shù)在業(yè)務運營中已經展現(xiàn)顯著的(de)¥¶效果，未來(lái)将有(yǒu)更大(dà)的(de)應用(yòng)空(kō×Ω→ng)間(jiān)。

監管合規落地(dì)建議(yì)

通(tōng)過以上(shàng)的(dσ&§e)研讀(dú)與分(fēn)析，我們發現(xiàn)新版規範在新技(jì)術(shù→≈)融合度、業(yè)務融合度等方面較舊(jiù)版規範均有(yǒu£γ)了(le)較大(dà)的(de)提升，這(zhè)充分(±∞•εfēn)體(tǐ)現(xiàn)了(le)八年 ₩Ω(nián)來(lái)網上(shàng)銀(yín)行(xíng)生πε(shēng)态的(de)進化(huà)和(hé)安全技('βjì)術(shù)的(de)提升。

為(wèi)應對(duì)網上(shàng)銀(yín)行(xí± ₩ng)系統信息安全出現(xiàn)的(de)₹≠→♣新形勢和(hé)新特點，全面防範網上(shàng)銀(yín)行(xíng)→✔λ♥安全風(fēng)險，同盾建議(yì)：

1.參照(zhào)監管要(yào)求和(hé)業(yè)內(nèi)最佳實踐∑®λ♠，對(duì)目前網銀(yín)安全技(jì)術(shù)、安全管理(lǐ)和(hé)業(yè)♦♥¥務運營安全管理(lǐ)現(xiàn)狀進行(xíng)差₹≤距評估，識别合規差距；

2.根據評估及差距分(fēn)析結果，從(cóng)管÷ §®理(lǐ)架構、制(zhì)度與流程、系統功能(néng)優化(huà)、技(jì)術(shù)♣→× 工(gōng)具、客戶培訓及權益保護等方面設計(jì)網上(shàng)銀(y♠♥¥ín)行(xíng)系統信息安全建設方案，編制(zhì)合規手✔β£冊；

3.制(zhì)定短(duǎn)期、中期、長(cháng)期合規落地☆'(dì)計(jì)劃，周期性進行(xíng)複演練、再評估，通(tōng)過持續優化(hu ₽à)升級确保網銀(yín)合規，促進業(yè)務安全開(kāi)展。

同盾科(kē)技(jì)是(shì)國(gu¥&€λó)內(nèi)領先的(de)智能(néng)風(fēng)控與分(fēn)析決策服☆σ§務商，在金(jīn)融反欺詐領域深耕多(duō)年βφ÷(nián)，長(cháng)期在第一(y♠π♦ī)線與形形色色的(de)欺詐行(xíng)為(wèi)進行(xíng)攻防，★ ♣沉澱下(xià)豐富的(de)反欺詐經驗，擁有(yǒu)完整的(de)移動安全産品體(tǐ)系>'。同盾反欺詐移動安全産品體(tǐ)系包括設備指紋、生(shēng)物(wù)探針 ✘™Ω、智能(néng)驗證碼、SDK安全監管和(hé)↓∑↓φ機(jī)器(qì)學習(xí)平台等，全方位協助客戶構建多(duō)維度、多(duō)層次的( ÷<∞de)全生(shēng)命周期安全管控體(tπ↔ ǐ)系，提供一(yī)站(zhàn)式服務。

随著(zhe)新版規範的(de)發布實施，将有(yǒu)效增強現(xià±±λn)有(yǒu)網上(shàng)銀(yín)行(xíng)≤≥φ™系統安全防範能(néng)力，促進網上(shàng)銀(yín←←♦​)行(xíng)規範、安全發展。而第三方科(k₹¶§αē)技(jì)公司的(de)角色将越發凸顯，作(zuò)為(wèiδ♠₹¶)行(xíng)業(yè)內(nèi)領先的(de)金(jīn)<≤融科(kē)技(jì)企業(yè)，同盾科(kē)技(jì)一(yī)直以↓₽來(lái)都(dōu)在努力協助銀(yín)行(xíng)等客戶構建完善的(de)安‌α全體(tǐ)系，随著(zhe)新标準的(de)頒©δ布，同盾将更加專注創新和(hé)研發，在助力銀(yín)行(xíng)客戶構建網上(shà₽♣©ng)銀(yín)行(xíng)合規體(tǐ)系的(de)過♣Ω×±程中貢獻更多(duō)力量。

聲明(míng)：本文(wén)來(lái)自(zì)智能(néng)風(fēng)控聯盟，版權歸>₽≠¥作(zuò)者所有(yǒu)。文(wén)章®✔₩(zhāng)內(nèi)容僅代表作(zuò)者獨立觀點，∏≈♥₽不(bù)代表海(hǎi)博科(kē)技(jì)立場(chǎng)，轉載目的(dφ←e)在于傳遞更多(duō)信息。