2020商業(yè)銀行應(yīng)用程序接口安全管理規(guī)范

ICS35.240.40JRA11JR中華人民共和國(guó)金融行業(yè)標(biāo)準(zhǔn)JR/T0185—2020商業(yè)銀行應(yīng)用程序接口安全管理規(guī)范Commercialbankapplicationprogramminginterfacesecuremanagementspecification2020-02-13發(fā)布 2020-02-13實(shí)施中國(guó)人民銀行 發(fā)布IIJR/T0185—2020目次前言 II1范圍 12規(guī)性用件 13術(shù)和義 14縮語(yǔ) 35概述 36接類(lèi)與全別 47安設(shè)計(jì) 58安部署 79安集成 910全維 1111務(wù)止系下線 1312全理 13附錄A規(guī)性錄）商業(yè)行用序口系示意 15附錄B規(guī)性錄）商業(yè)行用序口一識(shí)碼碼則 16參考獻(xiàn) 1811JR/T0185—2020商業(yè)銀行應(yīng)用程序接口安全管理規(guī)范范圍（A）GB/T25069信息安全技術(shù)術(shù)語(yǔ)JR/T0071金融行業(yè)信息系統(tǒng)信息安全等級(jí)保護(hù)實(shí)施指引JR/T0124—2014金融機(jī)構(gòu)編碼規(guī)范GB/T25069界定的以及下列術(shù)語(yǔ)和定義適用于本文件。3.1應(yīng)用程序接口applicationprogramminginterface（3.2應(yīng)用方applicationagency調(diào)用商業(yè)銀行應(yīng)用程序接口的機(jī)構(gòu)。3.3applicationprogramminginterfaceunique3.4應(yīng)用程序接口統(tǒng)一識(shí)別碼uniformapplicationprogramminginterfaceID商業(yè)銀行依據(jù)行業(yè)主管部門(mén)發(fā)布的編碼規(guī)則，生成的商業(yè)銀行應(yīng)用程序接口統(tǒng)一識(shí)別碼。注：用于標(biāo)識(shí)商業(yè)銀行機(jī)構(gòu)代碼、接口類(lèi)型、服務(wù)類(lèi)別、接口順序號(hào)等內(nèi)容。22JR/T0185—20203.5應(yīng)用軟件開(kāi)發(fā)工具包softwaredevelopmentkit基于特定軟件包、軟件框架、硬件平臺(tái)、操作系統(tǒng)等建立應(yīng)用程序時(shí)所使用的軟件開(kāi)發(fā)工具集合。3.6應(yīng)用唯一標(biāo)識(shí)applicationuniqueID在應(yīng)用方身份核驗(yàn)通過(guò)后，根據(jù)其調(diào)用的金融產(chǎn)品與服務(wù)類(lèi)型，由商業(yè)銀行為其授予的唯一標(biāo)識(shí)。注：包括服務(wù)器端應(yīng)用標(biāo)識(shí)與移動(dòng)終端應(yīng)用軟件標(biāo)識(shí)兩種。3.7應(yīng)用鑒別密文applicationsecretAPI3.8移動(dòng)金融客戶(hù)端應(yīng)用軟件financialmobileapplicationsoftware在移動(dòng)終端上為用戶(hù)提供金融交易服務(wù)的應(yīng)用軟件。注：包括但不限于可執(zhí)行文件、組件等。3.9個(gè)人金融信息personalfinancialinformation金融機(jī)構(gòu)通過(guò)提供金融產(chǎn)品和服務(wù)或其他渠道獲取、加工和保存的個(gè)人信息。注1：包括賬戶(hù)信息、鑒別信息、金融交易信息、個(gè)人身份信息、財(cái)產(chǎn)信息、借貸信息及其他反應(yīng)特定個(gè)人某些情況的信息。注2：改寫(xiě)GB/T35273—2017，定義3.1。3.10支付敏感信息paymentsensitiveinformation支付信息中涉及支付主體隱私和身份識(shí)別的重要信息。注：包括但不限于銀行卡磁道或芯片信息、卡片驗(yàn)證碼、卡片有效期、銀行卡密碼、網(wǎng)絡(luò)支付交易密碼等。3.11支付賬號(hào)paymentaccount具有金融交易功能的銀行賬戶(hù)、非銀行支付機(jī)構(gòu)支付賬戶(hù)的編碼及銀行卡卡號(hào)。[JR/T0149—2016，定義3.1]3.12明示同意explicitconsent（電子或紙質(zhì)形式送”“撥打”等。33JR/T0185—2020[GB/T35273—2017，定義3.6]縮略語(yǔ)下列縮略語(yǔ)適用于本文件。API（ApplicationProgrammingInterface）API_ID（ApplicationProgrammingInterfaceuniqueID）App_ID（ApplicationuniqueID）App_Secret（ApplicationSecret）DDoS：分布式拒絕服務(wù)攻擊（DistributedDenialofService）U_API_ID：應(yīng)用程序接口統(tǒng)一識(shí)別碼（UniformApplicationProgrammingInterfaceID）SDK：應(yīng)用軟件開(kāi)發(fā)工具包（SoftwareDevelopmentKit）SSL（SecureSocketsLayer）TLS（TransportLayerSecurity）MAC（MessageAuthenticationCode）概述API（1APISDK用戶(hù)發(fā)起商業(yè)銀行應(yīng)用程序接口應(yīng)用請(qǐng)求，并接收由應(yīng)用方或商業(yè)銀行返回的處理結(jié)果。44JR/T0185—2020圖1對(duì)于服務(wù)端對(duì)服務(wù)端集成方式，主要包含兩種實(shí)現(xiàn)形式：——應(yīng)用方服務(wù)端直接調(diào)用商業(yè)銀行應(yīng)用程序接口（如REST、SOAP協(xié)議）。——應(yīng)用方服務(wù)端使用商業(yè)銀行提供的服務(wù)端SDK，間接訪問(wèn)商業(yè)銀行應(yīng)用程序接口。SDK對(duì)于移動(dòng)終端對(duì)服務(wù)端集成方式，主要包含兩種實(shí)現(xiàn)形式：——應(yīng)用方移動(dòng)終端應(yīng)用軟件直接調(diào)用商業(yè)銀行應(yīng)用程序接口。移動(dòng)終端應(yīng)用SDK（例H555JR/T0185—2020獨(dú)列為商業(yè)銀行應(yīng)用程序接口的一種類(lèi)型。按照服務(wù)類(lèi)型將商業(yè)銀行應(yīng)用程序接口安全級(jí)別劃分為兩級(jí)，安全保護(hù)要求從A2至A1遞減：SDKSDKAPI商業(yè)銀行應(yīng)用程序接口安全設(shè)計(jì)基本要求如下：——使用的密碼算法、技術(shù)及產(chǎn)品應(yīng)符合國(guó)家密碼管理部門(mén)及行業(yè)主管部門(mén)要求。——應(yīng)制定安全編碼規(guī)范?！獞?yīng)對(duì)開(kāi)發(fā)人員進(jìn)行安全編碼培訓(xùn)，并依照安全編碼規(guī)范進(jìn)行開(kāi)發(fā)?！狝pp_ID、App_Secret?！鲜鋈N方案的組合。A266JR/T0185—2020A2商業(yè)銀行應(yīng)用程序接口交互安全要求如下：A2——對(duì)于支付敏感信息等個(gè)人金融信息，應(yīng)采取以下措施進(jìn)行安全交互：SDKA2API服務(wù)安全設(shè)計(jì)應(yīng)具備以下攻擊防護(hù)能力：——API和SDK應(yīng)對(duì)常見(jiàn)的網(wǎng)絡(luò)攻擊具有安全防護(hù)能力?！苿?dòng)終端應(yīng)用SDK應(yīng)具備靜態(tài)逆向分析防護(hù)能力，防范攻擊者通過(guò)靜態(tài)反匯編、字符串分析、導(dǎo)入導(dǎo)出函數(shù)識(shí)別、配置文件分析等手段獲得有關(guān)SDK實(shí)現(xiàn)方式的技術(shù)細(xì)節(jié)?！苿?dòng)終端應(yīng)用SDK安全監(jiān)控安全要求如下：77JR/T0185—2020——商業(yè)銀行應(yīng)對(duì)接口使用情況進(jìn)行監(jiān)控，完整記錄接口訪問(wèn)日志。——日志應(yīng)滿(mǎn)足以下要求：（（或其等效信息），除此之外的個(gè)人金融信息不應(yīng)在應(yīng)用方接口日志中進(jìn)行記錄。密鑰管理安全要求如下：——加密和簽名宜分配不同的密鑰，且相互分離?！粦?yīng)以編碼的方式將私鑰明文（或密文）編寫(xiě)在商業(yè)銀行應(yīng)用程序相關(guān)代碼中，App_Secret或私鑰不應(yīng)存儲(chǔ)于商業(yè)銀行與應(yīng)用方本地配置文件中，防止因代碼泄露引發(fā)密鑰泄露。——應(yīng)依據(jù)商業(yè)銀行應(yīng)用程序接口等級(jí)設(shè)置不同的密鑰有效期，并對(duì)密鑰進(jìn)行定期更新。商業(yè)銀行與應(yīng)用方應(yīng)遵循商業(yè)銀行應(yīng)用程序接口網(wǎng)絡(luò)部署邏輯結(jié)構(gòu)示意圖，見(jiàn)圖2，進(jìn)行商業(yè)銀行應(yīng)用程序接口的安全部署。商業(yè)銀行及應(yīng)用方都應(yīng)在互聯(lián)網(wǎng)邊界部署如防火墻、IDS/IPS、DDoS防護(hù)等具備訪問(wèn)控制、入侵防范相關(guān)安全防護(hù)能力的網(wǎng)絡(luò)安全防護(hù)措施。88JR/T0185—2020應(yīng)用端應(yīng)用端集成服務(wù)端對(duì)服務(wù)端集成SDKSDK網(wǎng)絡(luò)安全防護(hù)措施直接連接間接連接直接連接 間接連接通信網(wǎng)絡(luò)互聯(lián)網(wǎng)/移動(dòng)互聯(lián)網(wǎng)商業(yè)銀行應(yīng)用程序接口服務(wù)層網(wǎng)絡(luò)安全防護(hù)措施 .. .. .. .. .. ..報(bào)文交換 服務(wù)組合 認(rèn)證鑒權(quán) 流量控制 監(jiān)控分析 API業(yè)務(wù)處理轉(zhuǎn)接服務(wù)銀行業(yè)務(wù)層網(wǎng)絡(luò)安全防護(hù)措施 ..認(rèn)證鑒權(quán)..報(bào)文交換..服務(wù)組合..API業(yè)務(wù)處理轉(zhuǎn)接服務(wù)應(yīng)用總線業(yè)務(wù)系統(tǒng)1業(yè)務(wù)系統(tǒng)2業(yè)務(wù)系統(tǒng)3業(yè)務(wù)系統(tǒng)...核心內(nèi)部系統(tǒng)圖2商業(yè)銀行應(yīng)用程序接口網(wǎng)絡(luò)部署示意圖JR/T007199JR/T0185—2020商業(yè)銀行應(yīng)對(duì)申請(qǐng)接入商業(yè)銀行應(yīng)用程序接口的應(yīng)用方進(jìn)行審核，并制定和簽署相關(guān)合作協(xié)議：——應(yīng)對(duì)應(yīng)用方開(kāi)展準(zhǔn)入審核,如從服務(wù)客群、服務(wù)場(chǎng)景、市場(chǎng)份額、運(yùn)營(yíng)能力、風(fēng)控能力等方面對(duì)意向應(yīng)用方進(jìn)行考察?！粦?yīng)通過(guò)開(kāi)放應(yīng)用程序接口的方式變相開(kāi)展跨機(jī)構(gòu)清算業(yè)務(wù)。商業(yè)銀行在應(yīng)用方接入注冊(cè)與審批階段，應(yīng)通過(guò)線上或線下手段，對(duì)應(yīng)用方身份進(jìn)行核驗(yàn)和管理：——應(yīng)對(duì)應(yīng)用方提交資料的有效性、完整性、真實(shí)性進(jìn)行審核，對(duì)應(yīng)用方身份進(jìn)行合規(guī)性核驗(yàn)。商業(yè)銀行與應(yīng)用方之間的身份認(rèn)證要求如下：應(yīng)用方準(zhǔn)入審核通過(guò)后，商業(yè)銀行配置唯一標(biāo)識(shí)App_ID及與之相匹配的應(yīng)用鑒別密文App_Secret）App_Secret（App_IDApp_ID——基于應(yīng)用唯一標(biāo)識(shí)App_ID和應(yīng)用鑒別密文App_Secret對(duì)應(yīng)用方身份進(jìn)行認(rèn)證。App_IDApp_IDApp_IDApp_Secret的A21）1010JR/T0185—2020，（商業(yè)銀行與應(yīng)用方之間使用互聯(lián)網(wǎng)方式進(jìn)行數(shù)據(jù)傳輸應(yīng)符合下列安全要求：A1MACA2——應(yīng)采用SSL/TLS等安全通道連接進(jìn)行通信，宜使用TLS1.2及以上版本。商業(yè)銀行對(duì)用戶(hù)身份的認(rèn)證要求如下：——商業(yè)銀行應(yīng)對(duì)應(yīng)用方上送的用戶(hù)相關(guān)信息進(jìn)行核驗(yàn)。商業(yè)銀行應(yīng)對(duì)接口權(quán)限進(jìn)行有效控制，包括：——商業(yè)銀行應(yīng)用程序接口權(quán)限控制應(yīng)滿(mǎn)足以下安全要求：App_IDAPI（應(yīng)用方在數(shù)據(jù)安全保護(hù)方面的安全要求如下：或SDK1111JR/T0185—2020——數(shù)據(jù)抗抵賴(lài)性保護(hù)：應(yīng)使用數(shù)字簽名等技術(shù)確保A2類(lèi)數(shù)據(jù)的不可抵賴(lài)性。（應(yīng)用方在安全能力方面的要求如下：——應(yīng)符合國(guó)家網(wǎng)絡(luò)安全等級(jí)保護(hù)相應(yīng)要求，進(jìn)行安全設(shè)計(jì)、安全建設(shè)、安全保護(hù)。——應(yīng)留存與商業(yè)銀行應(yīng)用程序接口集成相關(guān)的應(yīng)用系統(tǒng)、網(wǎng)絡(luò)設(shè)備、主機(jī)設(shè)備、安全產(chǎn)品日志，日志保留期應(yīng)滿(mǎn)足國(guó)家與行業(yè)主管部門(mén)要求，日志留存應(yīng)不少于6個(gè)月?！獞?yīng)通過(guò)技術(shù)手段與管理措施等，防止接口濫用。應(yīng)用方在接口集成方面的要求如下：——應(yīng)用方應(yīng)根據(jù)商業(yè)銀行提供的用戶(hù)手冊(cè)以及商業(yè)銀行授權(quán)其使用的服務(wù)類(lèi)型，正確合理使用API?！缟虡I(yè)銀行提供封裝了商業(yè)銀行應(yīng)用程序接口調(diào)用的SDK，則應(yīng)用方需使用商業(yè)銀行提供的SDK進(jìn)行API調(diào)用，應(yīng)用方不得對(duì)商業(yè)銀行提供的SDK進(jìn)行反編譯、篡改或二次封裝。如App_Secret運(yùn)維監(jiān)測(cè)的要求如下：——運(yùn)維監(jiān)測(cè)應(yīng)具備以下監(jiān)測(cè)能力：1212JR/T0185—2020（1——應(yīng)用方應(yīng)對(duì)其集成商業(yè)銀行應(yīng)用程序接口運(yùn)行狀態(tài)進(jìn)行監(jiān)測(cè)，發(fā)現(xiàn)異常應(yīng)及時(shí)處置。異常監(jiān)測(cè)的要求如下：——商業(yè)銀行應(yīng)具備流量監(jiān)控、故障隔離、黑名單控制等商業(yè)銀行應(yīng)用程序接口調(diào)用控制能力：——應(yīng)用方應(yīng)具備故障識(shí)別與隔離能力：商業(yè)銀行實(shí)施服務(wù)風(fēng)險(xiǎn)控制的要求如下：——應(yīng)建立應(yīng)用方信息（如運(yùn)營(yíng)能力、風(fēng)控能力等）更新和復(fù)審機(jī)制。交易流程控制的要求如下：——身份認(rèn)證服務(wù)等授權(quán)類(lèi)服務(wù)應(yīng)充分識(shí)別是否經(jīng)過(guò)用戶(hù)本人授權(quán)。（或）——資金類(lèi)等高風(fēng)險(xiǎn)金融服務(wù)，應(yīng)提示用戶(hù)相關(guān)的安全風(fēng)險(xiǎn)，充分履行用戶(hù)告知義務(wù)。商業(yè)銀行交易風(fēng)險(xiǎn)監(jiān)控的要求如下：——資金交易應(yīng)滿(mǎn)足行業(yè)監(jiān)管部門(mén)對(duì)反洗錢(qián)、反欺詐方面的相關(guān)要求。——對(duì)大額、異常的資金收付應(yīng)逐筆監(jiān)測(cè)與核查，及時(shí)預(yù)警、及時(shí)控制。1313JR/T0185—2020——對(duì)監(jiān)控到的風(fēng)險(xiǎn)交易應(yīng)進(jìn)行及時(shí)分析與處置。接口變更的要求如下：——應(yīng)用方使用商業(yè)銀行應(yīng)用程序接口發(fā)生重大變更時(shí)，商業(yè)銀行應(yīng)對(duì)其變更進(jìn)行風(fēng)險(xiǎn)和影響評(píng)估，并采取相應(yīng)的處置措施。商業(yè)銀行應(yīng)定期對(duì)商業(yè)銀行應(yīng)用程序接口進(jìn)行安全巡檢，包括：——應(yīng)對(duì)商業(yè)銀行應(yīng)用程序接口進(jìn)行源代碼安全審計(jì)、滲透測(cè)試等技術(shù)檢查，及時(shí)處理安全漏洞，有效控制安全風(fēng)險(xiǎn)?！獞?yīng)對(duì)應(yīng)用方的商業(yè)銀行應(yīng)用程序接口安全集成情況進(jìn)行檢查。（（（（1414JR/T0185—2020商業(yè)銀行管理制度要求如下：B——應(yīng)用方若出于自身服務(wù)需求收集金融消費(fèi)者個(gè)人金融信息，應(yīng)：——明確商業(yè)銀行與應(yīng)用方的信息安全責(zé)任?！獰o(wú)論合作關(guān)系是否續(xù)存，應(yīng)用方應(yīng)依據(jù)與商業(yè)銀行的協(xié)議約定，履行用戶(hù)信息保密責(zé)任。商業(yè)銀行應(yīng)具備以下安全審計(jì)能力：——應(yīng)完整記錄商業(yè)銀行應(yīng)用程序接口訪問(wèn)日志，日志記錄應(yīng)至少包括7.3.3所述日志內(nèi)容?！獞?yīng)完整記錄商業(yè)銀行應(yīng)用程序接口訪問(wèn)日志，日志記錄應(yīng)符合7.3.3所述日志要求?！獞?yīng)對(duì)日志記錄進(jìn)行完整性保護(hù)，確保日志不被篡改、刪除、覆蓋?！獞?yīng)提供查詢(xún)應(yīng)用方用戶(hù)商業(yè)銀行應(yīng)用程序接口相關(guān)登錄、授權(quán)、交易等歷史操作日志功能。1515JR/T0185—2020附錄A（規(guī)范性附錄）商業(yè)銀行應(yīng)用程序接口關(guān)系示意銀直 企定聯(lián)戶(hù) 應(yīng)用方外部API銀直 企定聯(lián)戶(hù) 應(yīng)用方外部API銀行銀行系統(tǒng)1銀行系統(tǒng)4銀行系統(tǒng)2內(nèi)部API銀行系統(tǒng)5企定 特企業(yè)戶(hù)銀行系統(tǒng)3銀行系統(tǒng)6圖A.1銀行API示意API（PrivateAPIs）：APIAPI（PartnerAPIs）業(yè)務(wù)流程或產(chǎn)品的API（PublicAPIs）API，較前兩類(lèi)APIAPI。1616JR/T0185—2020附錄B（規(guī)范性附錄）商業(yè)銀行應(yīng)用程序接口統(tǒng)一識(shí)別碼編碼規(guī)則概述（U_API_ID）ASCII2422662商業(yè)銀行應(yīng)用程序接口統(tǒng)一識(shí)別碼（U_API_ID）編碼見(jiàn)表B.1。表B.1商業(yè)銀行應(yīng)用程序接口識(shí)別碼編碼結(jié)構(gòu)固定位機(jī)構(gòu)代碼接口類(lèi)型服務(wù)類(lèi)別順序碼保留位2個(gè)字符6個(gè)字符2個(gè)字符6個(gè)字符6個(gè)字符2個(gè)字符固定位固定位值固定為字母“OP”，表示商業(yè)銀行應(yīng)用程序接口。商業(yè)銀行機(jī)構(gòu)代碼應(yīng)符合JR/T0124—2014，采用金融機(jī)構(gòu)編碼的前6位字符。接口類(lèi)型編碼由2個(gè)字符組成。00保留，01表示A1安全級(jí)別，02表示A2安全級(jí)別。6B.21717JR/T0185—2020表B.2服務(wù)類(lèi)別編碼結(jié)構(gòu)一級(jí)標(biāo)識(shí)二級(jí)標(biāo)識(shí)2個(gè)字符4個(gè)字符02040506行業(yè)服0708099906二級(jí)標(biāo)識(shí)在一級(jí)標(biāo)識(shí)分類(lèi)基礎(chǔ)上，優(yōu)先使用從0001至9999順序編號(hào)，0000為保留位。如，一級(jí)標(biāo)識(shí)01賬戶(hù)服務(wù)類(lèi)，二級(jí)標(biāo)識(shí)為0001存管賬戶(hù)、0002積分賬戶(hù)等。順序