T/BFIA 050-2025
Guidelines for digital banking security architecture based on defense in depth
北京金融科技产业联盟 发布 出版
目次
前言引言1范围2规范性引用文件3术语和定义4缩略语5基本原则 6体系架构7技术能力8实施路径附录A(资料性) 场景示例 13附录B(资料性) 实践案例参考文献 26
前言
本文件按照GB/T1.1-2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定起草.
请注意本文件的某些内容可能涉及专利.本文件的发布机构不承担识别专利的责任.
本文件由北京金融科技产业联盟提出并归口,
本文件起草单位:浙江网商银行股份有限公司、中国工商银行股份有限公司、招商银行股份有限公记结算有限责任公司、蚂蚁科技集团股份有限公司、建信金融科技有限责任公司、北京国家金融标准化研究院有限责任公司、北京凝思软件股份有限公司、北京数字认证股份有限公司.
本文件主要起草人:张园超、孔令河、马晓航、陆碧波、王滨、冯丽娜、彭晋、李吉、焦彬、闫海林、旷亚和、金驰、丁炎、任恒、蒋棋、李烨琦、王强、张宪铎、张然、梁邦乾、王宇、程岩、邱喆彬、顾为群、徐子腾、谢凌云、曹姻杨、宋杨、马小琼、黄莉群、邵泰、彭志航、张国栋、黄本涛、刘昌娟.
引言
随着国家数字化转型发展战略和要求的提出,银行业作为国家数字化转型的重要组成部分,其金融应用及服务呈现线上化、数字化、实时化的发展趋势和特点,信息系统和服务更加开放,数字资产更加在线和密集,网络边界更加模.随着银行业数字化进程逐步深入,金融服务线上化、服务场景与形态多样化、开放互通幅度加大、数据密集度增加、效率与体验得到升级.借助互联网、大数据、人工智能等数 字科技实现传统金融业务升级与创新,从零售银行等部分业务开始,银行业基于数字渠道而非物理服务点即可提供银行专业的金融服务,并在场景、体验、效率等方面达到更高境界,逐步进化为数字银行.由于不同银行业态对数字渠道依赖程度不同,本文件中的数字银行包括正在数字化转型过程中和完成数字化转型进人数字化运营阶段的银行.
数字化在带来效率显著提升的同时,也必然带来风险口与影响面扩大,安全事件概率增加,安全威胁等级提升,安全与效率的矛盾更加突出等问题.因此,建立云环境、分布式架构下的技术安全防护体系,加强互联网资产管理,完善纵深防御体系,强化主动防御理念,进一步升级网络安全边界延展的安全控制,成为政策落地和银行业数字化转型深人的必然需求.
升金融数据中心纵深防御能力”和《银行业保险业数字化转型指导意见》(银保监办发(2022]2号)中 本文件是对《金融科技发展规划(2022-2025)3(银发(2021]335号)“打造新型数字基础设施”,“提“(二十七)强化网络安全防护,构建云环境、分布式架构下的技术安全防护体系,加强互联网资产管理,完善纵深防御体系,做好网络安全边界延展的安全控制.”具体要求的探索和落实.
数字银行可信纵深防御架构建设指南
1范围
的指导.
本文件适用于数字银行应用可信技术建设、检验纵深防御体系架构.
2规范性引用文件
本文件没有规范性引用文件.
3术语和定义
下列术语和定义适用于本文件.
3.1
可信trust
信任者对被信任者关于能否在没有直接管控的情况下履行承诺的一种认知.[来源:GB/T 30847.1-2014,2.26]
3.2
纵深防御defence in depth
通过复合性防护,利用各种技术特点,形成多层次、多技术功能互补的多重防线,以满足防护的均衡性、抗损性要求,避免一处防御措施失效后,全线被突破的局面.
3.3
可信纵深防御defence in depthbasedon trust
以可信根为支撑,以可信根为基础进行逐级校验,以密码学方法为主要手段,通过度量、检测、证明等手段,构建贯穿硬件、固件、系统软件、应用软件和网络行为的完整信任链,为信息系统运行提供安全可信的底座.最终达成事前高效规避高级和未知威胁的目标,并能兼顾效率与体验要求.
可信计算平台trust putingplatform
具有可信保证机制的计算平台,
3.5
可信根root of trust
为可信计算平台提供最初可信任状态的机制.
[来源:GB/T 30847.1-2014 2.23]
3.6
可信产品produet of trust
满足可信原则定义要求的安全系统或软件,覆盖移动端、办公终端和服务端等范围.
4缩略语
以下缩略语适用于本文件.
