网上银行信息系统安全通用规范.docx
《网上银行信息系统安全通用规范.docx》由会员分享,可在线阅读,更多相关《网上银行信息系统安全通用规范.docx(5页珍藏版)》请在冰豆网上搜索。
网上银行信息系统安全通用规范
网上银行信息系统安全通用规范
篇一:
网上银行信息系统安全通用规范附件网上银行系统信息安全通用规范(试行)中国人民银行目录1使用范围和要求……………………………………………42规范性引用文件……………………………………………43术语和定义…………………………………………………54符号和缩略语………………………………………………65网上银行系统概述…………………………………………65.1系统标识…………………………………………65.2系统定义…………………………………………75.3系统描述…………………………………………75.4安全域……………………………………………86安全规范……………………………………………………96.1安全技术规范……………………………………96.2安全管理规范……………………………………226.3业务运作安全规范………………………………26附l基本的网络防护架构参考图……………………………30附2增强的网络防护架构参考图……………………………31前言本规范是在收集、分析评估检查发现的网上银行系统信息安全问题和已发生过的网上银行案件的基础上,有针对性提出的安全要求,内容涉及网上银行系统的技术、管理和业务运作三个方面。
本规范分为基本要求和增强要求两个层次。
基本要求为最低安全要求,增强要求为本规范下发之日起的三年内应达到的安全要求,各单位应在遵照执行基本要求的同时,按照增强要求,积极采取改进措施,在规定期限内达标。
本规范旨在有效增强现有网上银行系统安全防范能力,促进网上银行规范、健康发展。
本规范既可作为网上银行系统建设和改造升级的安全性依据,也可作为各单位开展安全检查和内部审计的依据。
1使用范围和要求本规范指出了网上银行系统的描述、安全技术规范、安全管理规范、业务运作安全规范,适用于规范网上银行系统建设、运营及测评工作。
2规范性引用文件下列文件中的条款通过本规范的引用而成为本规范的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本规范,然而,鼓励根据本规范达成协议的香方研究是否可使瑚这些文件的最新版本。
凡是不注日期的引用文件,其最新版本适用于本规范。
GB/'IT20983-2008信息安全技术网上银行系统信息安全保障评估准则GB/T22239-2008信息安令技术信息系统安全等级保护基本要求GB/T20984-2007信息安全技术信息系统风险评估规范GB/T18336.1-2008信息技术安全技术信息技术安全性评估准则第1部分:
简介和一般模型GB/T18336.2-2008信息技术安全技术信息技术安全性评估准则第2部分:
安全功能要求GB/Tl8336.3-2008信息技术安全技术信息技术安全性评估准则第3部分:
安全保证要求GB/T22080-2008信息技术安全技术信息安全管理体系要求GB/T22081-2008信息技术安全技术信息安全管理使用规则GB/T14394-2008计算机软件可靠性和可维护性管理GB/T22239-2008信息安全技术信息系统安全等级保护基本要求《中围人民银行关丁进一步加强银行业金融机构信息安全保障工作的指导意见》(银发(2006)123号)《中国人民银行中国银行业监督管理委员会公安部国家工商总局关于加强银行卡安全管理预防和打击银行卡犯罪的通知》(银发(2009)142号)《中国人民银行办公厅关于贯彻落实<中国人民银行中国银行业监督管理委员会公安部国家工商总局关于加强银行卡安全管理预防和打击银行卡犯罪的通知的意见》(银办发〔2009〕149号)3术语和定义GB/T20274确立的以及下列术语和定义适用于本规范。
3.1网上银行商业银行等金融机构通过互联网等公众网络基础设施,向其客户提供各种金融业务。
3.2互联网因特网或其他类似形式的通用性公共计算机通信网络。
3.3敏感信息任何影响网上银行安全的密码、密钥以及交易数据等信息,密码包括但不限于转账密码、查询密码、登录密码、证书的PIN码等。
3.4客户端程序为随上银行客户提供人机交互功能的程序,以及提供必需功能的组件,包括但不限于:
可执行文件、控件、静态链接库、动态链接库等。
3.5(转载于:
wWW.xlTkWJ.Com小龙文档网:
网上银行信息系统安全通用规范)USBKey一种USB接口的硬件设备。
它内置单片机或智能卡芯片,有一定的存储空间,可以存储用户的私钥以及数字证书。
3.6USBKey固件影响USBKey安全的程序代码。
3.7强效加密一个通用术语,表示极难被破译的加密算法。
加密的强壮性取决于所使用的加密密钥。
密钥的有效长度应不低于可比较的强度建议所篇二:
《网上银行系统信息安全通用规范(试行)》技术解读《网上银行系统信息安全通用规范(试行)》技术解读发表于:
2010-5-14为加强我国网上银行安全管理,促进网上银行业务健康发展,有效增强网上银行系统信息安全防范能力,2010年1月19日中国人民银行向银行业金融机构发布了《网上银行系统信息安全通用规范(试行)》(以下简称《规范》),本文将就《规范》的内容和技术特点做重点解读。
一、《规范》出台的背景自1998年招商银行率先在国内推出“一网通”领跑网上金融业以来,国内已有近百家国有银行和城市商业银行加入了网上银行行列,纷纷开通网络转账、付款、贷款和投资等业务。
据中国银行业协会发布的《2009年度中国银行业服务改进情况报告》数据显示,截止2009年底,我国网上银行注册用户数达到1.89亿,网银交易额达404.88万亿元。
网上银行交易快捷、方便和操作简单的特性,极大地满足了网民的交易需求,因而倍受网民的青睐。
但是,由于互联网的开放性,网上银行系统的安全性问题令人担忧。
目前,犯罪分子作案手段层出不穷,通过木马、钓鱼网站等威胁客户资金安全,甚至对网银系统进行恶意渗透破坏和拒绝服务攻击。
网上银行趋利性犯罪的高发态势,不仅会损害广大用户的经济利益,也将成为网上银行业务进一步发展的掣肘。
因此,我国金融行业亟需出台一项网上银行系统安全方面的标准,从技术标准层面引导网银业务的发展。
二、《规范》的基本内容众所周知,网上银行系统在客户端、认证介质、网银后台三个主要安全点可能存在安全隐患,而将这三个安全点串联起来的交易传输网络也可能存在一定的安全风险,由此构成了整个网上银行系统的安全风险链。
在《信息安全技术网上银行系统信息安全保障评估准则(GB/T20983-2007)》的基础上,结合网上银行系统的技术和业务特点,人民银行及时出台了该《规范》。
该《规范》共分为安全技术、安全管理和业务运作三部分,各部分又分别包含基本要求和增强要求两个层次,基本要求为最低安全要求,增强要求为三年内应达到的安全要求。
其中,安全技术规范内容包括:
客户端安全、专用辅助设备安全、网络通信安全、银行服务器端安全四个方面;安全管理规范内容包括:
组织机构、管理制度、安全策略、人员/文档管理和系统运行管理五个方面;业务运作安全内容包括:
业务申请及开通、业务安全交易机制和客户宣传教育三个方面。
《规范》要求银行业金融机构现阶段要遵照执行基本要求,同时积极采取改进措施,在规定期限内达到增强要求。
三、《规范》的技术特点《规范》对目前已知的网上银行犯罪案例、网上银行常见交易认证机制存在的问题进行挖掘和分析,通过对商业银行网上银行安全检查进行深入分析和总结,从正面提出规范性要求,具有较强的针对性和可操作性;不仅针对网上银行现实问题,而且针对潜在风险点均提出了应对措施,具有前瞻性;同时内容涵盖了网上银行系统各个部分、交易的全过程,具有全面性。
《规范》的主要技术特点包括:
(1)明确规定禁止仅使用文件证书或文件证书加静态密码的方式进行转账类操作目前,用户使用文件证书作为认证方式时,其私钥保存在客户端计算机内,而且签名等涉及私钥的敏感操作也在客户的计算机上进行。
大部分对于文件证书的保护机制都依赖于浏览器,而浏览器对于文件证书的保护机制已经不足以抵御目前的各种攻击。
因此,《规范》明确禁止仅使用文件证书进行转账类操作,从而能够有效规避不法分子对客户资金安全的直接威胁,约束金融机构更好地保护客户利益。
(2)强调客户端的安全性目前,绝大多数网上银行安全事件源于客户端安全隐患。
由于客户端受到网上银行木马程序、网上钓鱼等黑客技术的侵害,且客户端程序基于通用浏览器开发,这会存在利用通用浏览器的漏洞获取客户的网上银行登录信息的风险,另外客户端采用的安全控件防护强度较弱等问题都有可能导致其无法抵御一些常见攻击,因此对客户端程序的检测就显得十分重要。
《规范》要求在客户端程序上线前要进行严格的代码测试,并关注最新的安全技术和安全漏洞,定期对客户端程序进行检查,从而能够及时发现客户端程序存在的漏洞并采取相应的规避措施。
同时,金融机构应通过专业的第三方测试机构对客户端程序进行安全检测,目的是通过内部和外部的检测,能够公正、及时、全面地反映客户端程序存在的问题,从而尽可能地保证其防范常见的针对网上银行客户端的攻击,例如防范采用挂钩Windows键盘消息等方式进行键盘窃听。
(3)对硬件数字证书的应用提出规范要求USBKey作为专用辅助安全设备的主流产品,其相关安全测试和准入机制还不完善,黑客可能利用USBKey设计上存在的缺陷获得对Key的控制权。
《规范》要求USBKey能够防范常见的物理攻击和逻辑攻击,进行PIN码加密传输,并在进行敏感操作时具有提示功能。
同时《规范》要求对网上银行上经常使用的USBKey、OTP令牌、动态口令卡和其他专用辅助安全设备进行安全性检测,从源头上解决专用辅助安全设备的安全缺陷所导致的网上银行安全问题,有效防范应用中的漏洞隐患。
(4)交易机制的规范化基于客户计算机终端不安全的假定《规范》要求网上银行系统应具有防范客户端数据被篡改的机制,校验客户提交的数据之间的隶属关系,并由客户确认转账交易关键数据,以确保交易数据的真实有效。
在进行确认时,推荐使用手机短信或等第二通信渠道请求客户反馈确认交易信息。
同时,为了使客户能够及时获取资金变化的信息并发现可疑交易,《规范》规定了转账交易中,金融机构应提供及时通知客户资金变化的服务,通过采取有效措施,最大限度地保障客户信息和资金安全。
(5)关注Web应用安全大部分网上银行系统都通过Web向用户提供服务,在Web应用中,《规范》要求应注意防范SQL注入、跨站脚本攻击、拒绝服务攻击等,保障网上银行系统能够经受黑客等不法分子的攻击,从而保证系统持续、安全运行。
四、《规范》出台的意义《规范》是人民银行多年来对银行业网上银行信息安全管理工作实践与经验总结的提升,是对金融信息安全认识不断深化的重要成果,也是有效降低金融网络案件、维护金融稳定的重要举措。
《规范》为金融机构开展网上银行系统建设,内部安全检测和合规性审计提供了规范性依据,为行业主管部门、评估测试机构进行检查、检测提供了标准化依据。
《规范》实施后,必将明显提高网上银行整体安全水平,特别是认证机制、交易机制安全性的完善提高,能够有效保障客户信息和资金的安全,增强客户信心,对推动网上银行更好更快发展,具有里程碑意义。
作为《规范》起草工作的参与单位,银行卡检测中心将继续配合人民银行科技司制订相应的《网上银行安全检测大纲》,通过试点检测,进一步完善《规范》,形成行业标准,并通过检查使标准落到实处。
篇三:
网上银行系统信息安全通用规范word版附件网上银行系统信息安全通用规范(试行)中国人民银行目录12345使用范围和要求........................................................................................................4规范性引用文件........................................................................................................4术语和定义...............................................................................................................5符号和缩略语............................................................................................................6网上银行系统概述.....................................................................................................65.15.25.35.46系统标识.....................................................................................................6系统定义.....................................................................................................7系统描述.....................................................................................................7安全域........................................................................................................8安全规范...................................................................................................................96.1安全技术规范..............................................................................................96.26.3安全管理规范............................................................................................22业务运作安全规范.....................................................................................26附1基本的网络防护架构参考图.............................................................................30附2增强的网络防护架构参考图.............................................................................31前言1本规范是在收集、分析评估检查发现的网上银行系统信息安全问题和已发生过的网上银行案件的基础上,有针对性提出的安全要求,内容涉及网上银行系统的技术、管理和业务运作三个方面。
本规范分为基本要求和增强要求两个层次。
基本要求为最低安全要求,增强要求为本规范下发之日起的三年内应达到的安全要求,各单位应在遵照执行基本要求的同时,按照增强要求,积极采取改进措施,在规定期限内达标。
本规范旨在有效增强现有网上银行系统安全防范能力,促进网上银行规范、健康发展。
本规范既可作为网上银行系统建设和改造升级的安全性依据,也可作为各单位开展安全检查和内部审计的依据。
1使用范围和要求本规范指出了网上银行系统的描述、安全技术规范、安全管理规范、业务运作安全规范,适用于规范网上银行系统建设、运营及测评工作。
2规范性引用文件下列文件中的条款通过本规范的引用而成为本规范的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本规范,然而,鼓励根据本规范达成协议的各方研究是否可使用这些文件的最新版本。
凡是不注日期的引用文件,其最新版本适用于本规范。
GB/T20983-2008信息安全技术网上银行系统信息安全保障评估准则GB/T22239-2008信息安全技术信息系统安全等级保护基本要求GB/T20984-2007信息安全技术信息系统风险评估规范GB/T18336.1-2008信息技术安全技术信息技术安全性评估准则第1部分:
简介和一般模型GB/T18336.2-2008信息技术安全技术信息技术安全性评估准则第2部分:
安全功能要求GB/T18336.3-2008信息技术安全技术信息技术安全性评估准则第3部分:
安全保证要求GB/T22080-2008信息技术安全技术信息安全管理体系要求GB/T22081-2008信息技术安全技术信息安全管理使用规则GB/T14394-2008计算机软件可靠性和可维护性管理GB/T22239-2008信息安全技术信息系统安全等级保护基本要求《中国人民银行关于进一步加强银行业金融机构信息安全保障工作的指导意见》(银发〔2006〕123号)《中国人民银行中国银行业监督管理委员会公安部国家工商总局关于加强银行卡安全管理预防和打击银行卡犯罪的通知》(银发〔2009〕142号)《中国人民银行办公厅关于贯彻落实<中国人民银行中国银行业监督管理委员会公安部国家工商总局关于加强银行卡安全管理预防和打击银行卡犯罪的通知的意见》(银办发〔2009〕149号)3术语和定义GB/T20274确立的以及下列术语和定义适用于本规范。
3.1网上银行商业银行等金融机构通过互联网等公众网络基础设施,向其客户提供各种金融业务。
3.2互联网因特网或其他类似形式的通用性公共计算机通信网络。
3.3敏感信息任何影响网上银行安全的密码、密钥以及交易数据等信息,密码包括但不限于转账密码、查询密码、登录密码、证书的PIN码等。
3.4客户端程序为网上银行客户提供人机交互功能的程序,以及提供必需功能的组件,包括但不限于:
可执行文件、控件、静态链接库、动态链接库等。
3.5USBKey一种USB接口的硬件设备。
它内置单片机或智能卡芯片,有一定的存储空间,可以存储用户的私钥以及数字证书。
3.6USBKey固件影响USBKey安全的程序代码。
3.7强效加密一个通用术语,表示极难被破译的加密算法。
加密的强壮性取决于所使用的加密密钥。
密钥的有效长度应不低于可比较的强度建议所要求的最低密钥长度。
对于基于密钥的系统(例如3DES),应不低于80位。
对于基于因子的公用密钥算法(例如RSA),应不低于1024位。
升级会员 