网上银行系统信息安全通用规范
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
每次签名前验证用户身份
签名时有提示功能(指示灯、声音) 退出登录时应提示客户取下USB Key
防范USB Key远 程劫持
一段时间内无任何操作,自动关闭
增
强
要
屏幕显示或语音提示、按键确认功能 求
4、主要内容
4.1.2 安全技术—专用安全设备安全
时间机制的OTP令牌,时间窗口不 超过60秒
挑战应答的OTP令客户端程序应禁止在身份认证结束后存储敏感信息,防止敏感信息的泄露。
4、主要内容
4.1.1 安全技术—客户端安全
4.1.1 客户端安全 • 客户端程序安全
功能要求 防护功能:
客户端防分析: • 客户端程序应采取代码混淆等技术手段,防范攻击者对客户端程序的调试
、分析和篡改。 客户端防篡改: • 应对客户端程序进行签名,标识客户端程序的来源和发布者,保证客户所
4、主要内容
4.1.1安全技术—客户端安全
4.1.1 客户端安全 • 客户端环境安全:
采取有效措施提升客户端环境安全级别,例如在线杀毒服务、安全检测工具等。 发现移动终端平台的重大安全缺陷或安全威胁时,应在门户站点发布警示通知, 并通过短信、邮件等方式警示客户。
4、主要内容
4.1.2安全技术—专用安全设备安全
• 金融机构应采取有效技术措施保证客户端处理的敏感信息、客户端与服务器 交互的重要信息的机密性和完整性;应保证所提供的客户端程序的真实性和 完整性,以及敏感程序逻辑的机密性。
• 客户端程序应提供客户输入敏感信息的即时加密功能,例如,采用密码保护 控件。
• 客户端程序应提供敏感信息机密性、完整性保护功能,例如采取随机布放按 键位置、防范键盘窃听技术、计算MAC校验码等措施。
增强要求; • 使用获得国家主管部门认定的具有电子认证服务许可证的CA 证书及认证服务。
4、主要内容
4.1.4安全技术—服务器端安全
服务器端安全
物理安全 网络安全 主机安全 应用安全 数据安全
4、主要内容
4.1.4安全技术—服务器端安全:应用安全
具有防网络钓鱼的功能
加强防钓鱼的应用控制和风险监控措施 登录的URL经过安全认证
• 客户端安全 • 专用辅助安全设
备安全 • 网络通信安全 • 服务器端安全
142条
• 组织机构 • 管理制度 • 安全策略 • 人员及文档管理 • 系统运行管理
46条
• 业务申请及开通 • 业务安全交易机
制 • 客户教育
22条
4、主要内容
4.1 安全技术规范 4.2 安全管理规范 4.3 业务运作安全规范
防范钓鱼
采取措施及时监测发现钓鱼网站
4、主要内容
4.2 安全管理
安全管理机构
安全策略
安全管理
系统建设管理 人员安全管理
管理制度 系统运维管理
4、主要内容
4.3 业务运作安全
业务安全部分涵盖关键的与技术相关的 业务安全风险点
• 业务申请及开通 • 业务安全交易机制 • 客户教育及权益保护
以上为《网上银行系统信息安全通 用规范》的简要介绍,谢谢浏览!
2、标准制修订工作目标
工作目标
等级保护
将国家等级保护三级要求落实到网银系统之上
终端扩展
客户端由个人计算机终端扩展为个人计算机终端、手 机、平板电脑等客户终端
网络支付 网银安全事件
补充与网银系统相关的网上支付安全保障要求。
结合新发生的网银安全事件提出加强应用控制措施的 要求
3、体例简介
技术
管理
业务
客户端安全 专用安全设备安全 网络通信安全 网上银行服务器端安全
安全管理机构 管理制度 安全策略 人员及文档管理 系统建设管理和系统运行管理
业务申请及开通 业务安全交易机制 客户教育及权益保护
4、主要内容
4.1.1 安全技术—客户端安全
4.1.1 客户端安全 • 客户端程序安全
功能要求 自身功能:
金融标准化 宣贯材料之十
《网上银行系统信息安全通用规范》 介绍
提纲
1、编制背景及意义 2、标准制修订工作目标 3、体例简介 4、主要内容
1、编制背景及意义
背景
随着网上银行业务的迅速发展,针对网上银行的趋利性犯罪呈高 发态势,网银安全问题突出,影响了公众利益和金融机构声誉。
意义
针对性地解决网银安全问题,系统性提高网银系统安全水平,增强 网银系统的信息安全风险防范能力,促进网银业务健康发展。
账号
防范中间人攻击
登录和交易过程中口令应各不相同 且使用后立即失效
4、主要内容
4.1.3安全技术—网络通信安全
4.1.3 网络通讯协议
4.1.3.1 通讯协议 • 使用加密算法和安全协议保护客户端与服务器之间所有连接。
4.1.3.2 安全认证 • 进行安全、可靠的双向身份认证; • Web服务器应使用权威机构颁发的数字证书以标识其真实性
下载的客户端程序来源于所信任的机构。 • 客户端程序在启动和更新时应进行真实性和完整性校验,防范客户端程序
被篡改或替换。
4、主要内容
4.1.1 安全技术—客户端安全
4.1.1 客户端安全 • 客户端程序安全
保障要求 系统级安全: 客户端程序开发设计过程中应注意规避各终端平台存在的安全漏洞。 应用级安全: 客户端程序上线前应进行严格的代码安全测试; 金融机构应建立定期对客户端程序进行安全检测的机制; 客户端程序应通过指定的第三方中立测试机构的安全检测,每年至少开展一次。
签名时有提示功能(指示灯、声音) 退出登录时应提示客户取下USB Key
防范USB Key远 程劫持
一段时间内无任何操作,自动关闭
增
强
要
屏幕显示或语音提示、按键确认功能 求
4、主要内容
4.1.2 安全技术—专用安全设备安全
时间机制的OTP令牌,时间窗口不 超过60秒
挑战应答的OTP令客户端程序应禁止在身份认证结束后存储敏感信息,防止敏感信息的泄露。
4、主要内容
4.1.1 安全技术—客户端安全
4.1.1 客户端安全 • 客户端程序安全
功能要求 防护功能:
客户端防分析: • 客户端程序应采取代码混淆等技术手段,防范攻击者对客户端程序的调试
、分析和篡改。 客户端防篡改: • 应对客户端程序进行签名,标识客户端程序的来源和发布者,保证客户所
4、主要内容
4.1.1安全技术—客户端安全
4.1.1 客户端安全 • 客户端环境安全:
采取有效措施提升客户端环境安全级别,例如在线杀毒服务、安全检测工具等。 发现移动终端平台的重大安全缺陷或安全威胁时,应在门户站点发布警示通知, 并通过短信、邮件等方式警示客户。
4、主要内容
4.1.2安全技术—专用安全设备安全
• 金融机构应采取有效技术措施保证客户端处理的敏感信息、客户端与服务器 交互的重要信息的机密性和完整性;应保证所提供的客户端程序的真实性和 完整性,以及敏感程序逻辑的机密性。
• 客户端程序应提供客户输入敏感信息的即时加密功能,例如,采用密码保护 控件。
• 客户端程序应提供敏感信息机密性、完整性保护功能,例如采取随机布放按 键位置、防范键盘窃听技术、计算MAC校验码等措施。
增强要求; • 使用获得国家主管部门认定的具有电子认证服务许可证的CA 证书及认证服务。
4、主要内容
4.1.4安全技术—服务器端安全
服务器端安全
物理安全 网络安全 主机安全 应用安全 数据安全
4、主要内容
4.1.4安全技术—服务器端安全:应用安全
具有防网络钓鱼的功能
加强防钓鱼的应用控制和风险监控措施 登录的URL经过安全认证
• 客户端安全 • 专用辅助安全设
备安全 • 网络通信安全 • 服务器端安全
142条
• 组织机构 • 管理制度 • 安全策略 • 人员及文档管理 • 系统运行管理
46条
• 业务申请及开通 • 业务安全交易机
制 • 客户教育
22条
4、主要内容
4.1 安全技术规范 4.2 安全管理规范 4.3 业务运作安全规范
防范钓鱼
采取措施及时监测发现钓鱼网站
4、主要内容
4.2 安全管理
安全管理机构
安全策略
安全管理
系统建设管理 人员安全管理
管理制度 系统运维管理
4、主要内容
4.3 业务运作安全
业务安全部分涵盖关键的与技术相关的 业务安全风险点
• 业务申请及开通 • 业务安全交易机制 • 客户教育及权益保护
以上为《网上银行系统信息安全通 用规范》的简要介绍,谢谢浏览!
2、标准制修订工作目标
工作目标
等级保护
将国家等级保护三级要求落实到网银系统之上
终端扩展
客户端由个人计算机终端扩展为个人计算机终端、手 机、平板电脑等客户终端
网络支付 网银安全事件
补充与网银系统相关的网上支付安全保障要求。
结合新发生的网银安全事件提出加强应用控制措施的 要求
3、体例简介
技术
管理
业务
客户端安全 专用安全设备安全 网络通信安全 网上银行服务器端安全
安全管理机构 管理制度 安全策略 人员及文档管理 系统建设管理和系统运行管理
业务申请及开通 业务安全交易机制 客户教育及权益保护
4、主要内容
4.1.1 安全技术—客户端安全
4.1.1 客户端安全 • 客户端程序安全
功能要求 自身功能:
金融标准化 宣贯材料之十
《网上银行系统信息安全通用规范》 介绍
提纲
1、编制背景及意义 2、标准制修订工作目标 3、体例简介 4、主要内容
1、编制背景及意义
背景
随着网上银行业务的迅速发展,针对网上银行的趋利性犯罪呈高 发态势,网银安全问题突出,影响了公众利益和金融机构声誉。
意义
针对性地解决网银安全问题,系统性提高网银系统安全水平,增强 网银系统的信息安全风险防范能力,促进网银业务健康发展。
账号
防范中间人攻击
登录和交易过程中口令应各不相同 且使用后立即失效
4、主要内容
4.1.3安全技术—网络通信安全
4.1.3 网络通讯协议
4.1.3.1 通讯协议 • 使用加密算法和安全协议保护客户端与服务器之间所有连接。
4.1.3.2 安全认证 • 进行安全、可靠的双向身份认证; • Web服务器应使用权威机构颁发的数字证书以标识其真实性
下载的客户端程序来源于所信任的机构。 • 客户端程序在启动和更新时应进行真实性和完整性校验,防范客户端程序
被篡改或替换。
4、主要内容
4.1.1 安全技术—客户端安全
4.1.1 客户端安全 • 客户端程序安全
保障要求 系统级安全: 客户端程序开发设计过程中应注意规避各终端平台存在的安全漏洞。 应用级安全: 客户端程序上线前应进行严格的代码安全测试; 金融机构应建立定期对客户端程序进行安全检测的机制; 客户端程序应通过指定的第三方中立测试机构的安全检测,每年至少开展一次。