网上银行信息系统安全通常规范标准
中国人民银行关于印发《中国人民银行计算机系统信息安全管理规定》的通知-银发[2010]276号
![中国人民银行关于印发《中国人民银行计算机系统信息安全管理规定》的通知-银发[2010]276号](https://img.taocdn.com/s3/m/b5d4cf0f5e0e7cd184254b35eefdc8d376ee148c.png)
中国人民银行关于印发《中国人民银行计算机系统信息安全管理规定》的通知正文:---------------------------------------------------------------------------------------------------------------------------------------------------- 中国人民银行关于印发《中国人民银行计算机系统信息安全管理规定》的通知(2010年9月27日银发[2010]276号)人民银行上海总部,各分行、营业管理部,各省会(首府)城市中心支行,各副省级城市中心支行,直属企事业单位:为进一步做好人民银行计算机系统信息安全管理工作,总行制定了《中国人民银行计算机系统信息安全管理规定》,现印发给你们,请遵照执行。
附件:中国人民银行计算机系统信息安全管理规定附件中国人民银行计算机系统信息安全管理规定第一章总则第一条为强化人民银行计算机系统信息安全管理(以下简称信息安全管理),防范计算机信息技术风险,保障人民银行计算机网络与信息系统安全和稳定运行,根据《中华人民共和国计算机信息系统安全保护条例》等规定,特制定本规定。
第二条本规定所称信息安全管理,是指在人民银行计算机系统建设、运行、维护、使用及废止等过程中,保障计算机数据信息、计算机系统、网络与机房基础设施安全的一系列活动。
第三条人民银行信息安全管理工作实行统一领导、分级管理。
总行统一领导分支机构和直属企事业单位的信息安全管理,负责总行机关的信息安全管理。
分支机构负责本单位和辖内的信息安全管理,各直属企事业单位负责本单位的信息安全管理。
第四条人民银行信息安全管理实行分管领导负责制,按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,逐级落实单位与个人信息安全责任制。
人民银行每个员工都有履行信息安全的权利和义务。
第五条本规定适用于人民银行总行机关、各分支机构和直属企事业单位(以下统称各单位)。
电子银行业务管理办法规定
电子银行业务管理办法规定一、引言在信息科技快速发展的今天,电子银行业务成为现代金融领域的重要组成部分。
为了保障电子银行业务的安全、规范和顺畅进行,制定了电子银行业务管理办法。
本文将从电子银行业务的定义、管理机构、安全措施等方面进行探讨。
二、电子银行业务的定义电子银行业务是指银行利用信息技术、通信技术和电子设备等手段,提供各种金融服务和产品的活动。
这些金融服务包括但不限于网络银行、手机银行、自助终端、电子支付等。
三、电子银行业务管理机构1. 中央银行的责任中央银行是电子银行业务的监管机构。
其主要责任有以下几个方面:- 制定和完善相关政策法规,明确电子银行业务的发展方向和要求;- 监督银行机构的电子银行业务活动,确保其合规运营;- 投资建设安全、高效的电子银行系统,保障电子银行业务的可靠性和稳定性。
2. 银行机构的责任银行机构在进行电子银行业务时需承担以下责任:- 设立专门的电子银行部门,负责电子银行业务的管理和发展;- 制定电子银行业务运营规程,明确业务流程和操作要求;- 建设安全的电子银行系统,保护客户信息和资金安全;- 提供便利的电子银行服务,提升客户体验;- 定期开展风险评估和安全检查,修订完善防范措施。
四、电子银行业务的安全措施1. 身份验证为了防止非法访问和交易,银行机构应采取多种身份验证措施,如密码、数字证书、双因素认证等。
同时,客户也需保管好个人身份信息和相关凭证,不得泄露或与他人分享。
2. 加密技术电子银行业务中的数据传输和存储应使用加密技术,确保信息不被窃取和篡改。
银行机构应采用符合国际标准的加密算法,并定期更新密钥,保证信息安全。
3. 风险监控银行机构应建立完善的风险监控系统,实时监测电子银行业务的交易情况,及时发现异常和风险事件。
对于高风险交易,系统应能主动进行风险提示和限制。
4. 客户教育银行机构需要加强客户教育,提升客户对电子银行业务的认知和风险防范意识。
通过定期举办培训、发放宣传资料等方式,帮助客户正确使用电子银行服务,避免陷入各类网络诈骗。
银行业金融机构信息系统安全等级保护定级的指导意见
一、背景介绍随着金融科技的快速发展和普及,银行业金融机构信息系统的安全问题日益受到重视。
金融机构信息系统涉及到客户的资金安全、交易信息的保密性和完整性等重要因素,因此其安全等级保护定级工作至关重要。
本文旨在就银行业金融机构信息系统安全等级保护定级的指导意见进行探讨和总结。
二、保护等级划分原则1. 重要性原则根据系统在金融机构业务中的重要性和关键程度进行分类,对于承载重要业务的信息系统,应给予更高的安全等级保护定级。
2. 风险分级原则结合系统所处的环境和受到的威胁,综合评估系统的风险状况,对高风险系统应给予更高的保护等级。
3. 可信度原则对信息系统的可信度进行评估,包括系统的可靠性、可用性和安全性等方面,从而确定系统的安全等级保护定级。
三、保护等级划分方法1. 依据风险评估通过对信息系统所处环境和受到的威胁进行评估,采用定性和定量的方式确定系统的风险等级,并据此划分安全等级保护定级。
2. 依据系统功能根据信息系统所承载的业务功能和对业务的重要性进行划分,对关键业务系统和核心业务系统给予更高的保护等级。
3. 依据安全性能通过对信息系统的安全性能进行评估,包括系统的安全性能指标和安全防护能力等方面,确定系统的安全等级保护定级。
四、保护等级划分标准1. 标准制定制定统一的保护等级划分标准,明确不同等级的安全保护要求和控制措施,确保保护等级划分的合理性和科学性。
2. 标准修订随着金融科技的发展和安全威胁的变化,及时修订相关标准和规范,确保保护等级划分工作与时俱进。
3. 标准应用将标准应用到实际的保护等级划分工作中,指导和规范金融机构信息系统的安全等级保护定级工作。
五、保护等级划分流程1. 信息收集收集信息系统的基本情况、业务功能、安全需求等相关信息,为保护等级划分提供依据。
2. 风险评估结合信息系统所处的环境和受到的威胁,对系统的风险进行评估,确定系统的风险等级。
3. 等级划分根据风险评估的结果和系统的重要性、安全性能等因素,确定信息系统的安全等级保护定级。
网上银行系统信息安全通用规范
网上银行系统信息安全通用规范
网上银行系统信息安全通用规范是针对网上银行系统信息安全要求研
制的一组统一的基本要求,目的是使网上银行搭建的信息安全管理体系更
加完善。
1、保护客户个人隐私。
保护客户个人隐私是网上银行系统信息安全
要求的基本原则,不能侵害客户的个人隐私,不得泄露客户的个人信息。
2、实施信息安全技术防护。
采用完善的防火墙技术、系统安全评价
技术、认证技术、监视技术、识别技术等,实现网上银行系统的安全保护。
3、以口令及其他身份认证机制保护财产。
采取口令认证、数字签名
认证等机制,建立用户登录及业务交易的身份认证,保证网上银行系统的
安全。
4、保障数据完整性。
采用报文数字签名、报文数字摘要技术,建立
网上银行系统的数据完整性技术保障机制,确保网上银行系统的安全性。
5、强化系统安全管理。
建立内部安全管理机构及内部安全管理人员,实施网上银行系统安全管理体系,保障网上银行系统的安全性。
银行信息系统分类规范模版
银行信息系统分类规范模版银行信息系统分类规范模板一. 信息系统概述本银行的信息系统包括客户信息管理系统、资金清算系统、信用评估系统、风险控制系统、财务管理系统、监管报告系统、防止洗钱系统、电子支付系统、网上银行系统、移动银行系统等。
本银行的信息系统是支持业务管理和决策的关键基础设施,满足了经营管理和决策的需要。
二.信息系统分类1.核心业务系统客户信息管理系统、资金清算系统、信用评估系统、风险控制系统、财务管理系统等。
a.客户信息管理系统(CIMS)该系统主要用于管理客户的基本信息和交易信息,支持开户、客户查询、客户分类、销户、用户角色管理等功能。
b.资金清算系统(FPS)该系统主要用于实现银行的资金清算和结算活动,包括对客户存款、支付、结算、折现等业务的处理和管理。
c.信用评估系统(CS)该系统主要用于识别潜在的信用风险和评估客户的信用能力,对借款人进行审查和评估,从而提高贷款的风险控制能力。
d.风险控制系统(RCS)该系统主要用于帮助银行管理风险,包括信用风险、市场风险、流动性风险等等,及时发现和避免潜在的风险。
e.财务管理系统(FMS)该系统主要用于银行的财务管理和报表生成,对银行运营情况进行分析和评估,辅助业务决策。
2.支持业务系统监管报告系统、防止洗钱系统、电子支付系统、网上银行系统、移动银行系统等。
a.监管报告系统(MRS)该系统用于在国家银行规定的时间内生成各种监管报告,提供给国家银行进行监管。
b.防止洗钱系统(AML)该系统用于监测客户的交易行为,预防和防止洗钱。
c.电子支付系统(EPS)该系统主要用于提供在线支付服务。
客户可以使用银行卡或其他支付方式进行经济活动。
d.网上银行系统(OBS)该系统主要用于提供在线银行服务。
客户可以通过网络来进行银行业务和金融产品的查询和交易。
e.移动银行系统(MBS)该系统主要用于提供移动终端的银行服务。
客户可以使用手机等终端来查询和交易银行业务和金融产品。
中国人民银行关于发布《网上银行系统信息安全通用规范》行业标准的通知(2020)
中国人民银行关于发布《网上银行系统信息安全通用规范》行业标准的通知(2020)
文章属性
•【制定机关】中国人民银行
•【公布日期】2020.02.13
•【文号】银发〔2020〕35号
•【施行日期】2020.02.13
•【效力等级】部门规范性文件
•【时效性】现行有效
•【主题分类】银行业监督管理
正文
中国人民银行关于发布《网上银行系统信息安全通用规范》
行业标准的通知
银发〔2020〕35号中国人民银行上海总部,各分行、营业管理部,各省会(首府)城市中心支行,各副省级城市中心支行;国家开发银行,各政策性银行、国有商业银行、股份制商业银行,中国邮政储蓄银行;清算总中心、中国金融电子化公司、中国银联股份有限公司、中国银行间市场交易商协会、中国支付清算协会:
推荐性金融行业标准《网上银行系统信息安全通用规范》已经全国金融标准化技术委员会审查通过,现予以发布,并就有关事项通知如下:
一、新标准的编号及名称
JR/T 0068--2020 《网上银行系统信息安全通用规范》
二、新标准自发布之日起实施
JR/T 0068- -2012 《网上银行系统信息安全通用规范》同时废止。
请人民银行分支机构将本通知告知辖区内地方性银行业金融机构。
附件:网上银行系统信息安全通用规范。
公司网上银行管理制度(4篇)
公司网上银行管理制度公司的网上银行管理制度是规范公司员工在网上银行平台上的操作和使用的规定和流程。
以下是一般公司网上银行管理制度的内容:1. 权限设置:公司内部根据员工的职责和需要,设置不同的权限等级。
只有经过授权的员工才可以登录和使用网上银行平台。
2. 账号管理:公司为每个经授权的员工分配唯一的网上银行账号和密码,并进行严格保密。
员工应当妥善保管个人账号和密码,不得泄露给他人。
3. 认证措施:公司可能使用一些额外的认证措施,如动态口令器、短信验证码等,以增加账户的安全性。
4. 交易授权:公司内部设立交易授权的机制,对不同金额或类型的交易进行不同的授权流程,确保制度的安全性。
5. 交易限制:公司可以设置一些交易的限额和交易的时间限制,例如限制员工在非工作时间进行大额转账。
6. 审计和监控:公司设立网上银行的审计和监控机制,定期检查员工的网上银行操作记录,确保员工遵守规定和制度。
7. 员工培训:公司应提供网上银行操作规程的培训,确保员工了解公司网上银行的管理制度和操作要求。
8. 网络安全:公司应采取相应的网络安全措施,保障网上银行平台的安全性,防范网络攻击和数据泄露的风险。
9. 违规处理:对于违反公司网上银行管理制度的行为,公司将采取相应的违规处理措施,包括警告、扣除绩效奖金、停职等。
上述是一般公司网上银行管理制度的一些主要内容,具体内容还需根据不同公司的实际情况进行定制。
公司网上银行管理制度(二)(____字)第一章总则第一条目的和依据:为规范公司网上银行的管理,确保系统安全、审计合规、风险可控和业务高效运行,特制定本管理制度。
本管理制度依据相关法律、法规、监管规定和公司相关规章制度制定。
第二条适用范围:本管理制度适用于公司网上银行的所有业务管理及相关人员。
第三条定义:1. 公司网上银行:指公司通过互联网开展的业务、支付、结算和统计等一系列金融管理的电子服务平台。
2. 管理人员:指负责公司网上银行业务管理的相关人员,包括系统管理员、安全管理员等。
浙江农林大学电子商务概论第8章题集
A.EB又称广义的电子商务,EC又称狭义的电子商务
B.EC仅指WEB技术,EB包括WEB技术和其它IT技术
C.EB仅指WEB技术,EC包括WEB技术和其它IT技术
D.EC仅指交易活动,EB包括交易和其它与企业经营有关的所有活动
2. 以下哪些部分是阿里巴巴成熟的集团业务:AC
A. 私人密钥
B. 加密密钥
C. 解密密钥
D. 公开密钥
47、以下哪些是计算机病毒的主要特点(ABCD )
A. 破坏性
B. 隐蔽性
C. 传染性
D. 时效性
48、网络安全的四大要素为(ABCD )
A. 信息传输的保密性
B. 数据交换的完整性
C. 发送信息的不可否认性
D. 交易者身份的确定性
A. 淘宝网
B. 易趣网
C. 支付宝
D.阿里妈妈
3.初级电子商务建立主要是实现以下(AB)模块功能
A.网络平台建立
B.电子商务网站建立
C.客户服务中心建立
D.支付中心建立
网络营销策略主要有:( ABCD )
A品牌策略B定价策略C渠道策略 D促销策略
13.以下匿名的实现机制中, A 通过在群内随机转发消息来隐藏消息的发送者。
A.群方案 B.匿名转发器链 C.假名 D.代理机制
14.以下电子现金方案中, B 系统的数字现金证书当天有效。
A.E--Cash B.Mini--Pay C.CyberCash D.Mondex
A.单向性 B.普适性 C.不变性 D.唯一性
17使用密钥将密文数据还原成明文数据,称为: B 。
A:解码; B:解密 C:编译; D:加密;
《网上银行系统信息安全通用规范》概述及修订分析
《网上银行系统信息安全通用规范》概述及修订分析随着互联网的普及和发展,网上银行系统已经成为人们日常生活中不可或缺的一部分。
随之而来的安全风险也日益增多,包括网络钓鱼、恶意软件、数据泄露等问题。
为了保障网上银行系统的信息安全,国家制定了《网上银行系统信息安全通用规范》,并对其进行了多次修订。
本文将对该规范进行概述,同时对其最新一次修订进行分析。
《网上银行系统信息安全通用规范》是由国家相关部门制定的,旨在规范和保障网上银行系统的信息安全,以防范各类网络安全风险。
该规范包括了系统安全、网络安全、数据安全、身份认证、应急响应等多个方面的内容,具有较高的权威性和指导性。
其主要内容包括以下几个方面:1.系统安全:规定了网上银行系统的基本架构、安全配置、运行管理等方面的要求,以确保系统的安全稳定运行。
2.网络安全:对网上银行系统和网络设备的安全防护、网络隔离、入侵检测等进行了详细规定,以保障网络的安全。
3.数据安全:规范了网上银行系统中各类数据的加密、备份、存储、传输等安全要求,防止数据被篡改、泄露。
4.身份认证:对用户身份认证的方式、安全性要求进行了详细规范,以确保用户身份的真实性和安全性。
5.应急响应:规定了网上银行系统遇到安全事件时的响应和处理机制,包括安全事件的报告、处置等程序。
随着网络安全形势的不断变化和发展,为了进一步加强网上银行系统的信息安全保障,国家对《网上银行系统信息安全通用规范》进行了多次修订。
最新一次修订主要包括以下几个方面的内容:1.加强密码安全管理:随着密码破解技术的不断发展,密码安全问题日益突出。
新修订的规范对密码的生成、存储、传输、使用等方面进行了更加严格的规定,包括采用更加安全的加密算法、提高密码的复杂度、定期强制用户更新密码等措施,以加强密码的安全管理。
2.加强用户身份认证:为了防范网络钓鱼等攻击,新修订的规范对用户身份认证的要求更加严格,推荐采用多因素身份认证方式,如密码+动态口令、密码+指纹等,以提高认证的安全性和可靠性。
2022年职业考证-软考-信息系统运行管理员考试全真模拟易错、难点剖析AB卷(带答案)试题号:19
2022年职业考证-软考-信息系统运行管理员考试全真模拟易错、难点剖析AB卷(带答案)一.综合题(共15题)1.单选题某运维项目业务处理服务器CPU更换后,应启动()流程更新该服务器CPU的信息。
问题1选项A.问题管理B.配置管理C.事件管理D.资源管理【答案】B【解析】本题考查信息系统运维管理流程中的配置管理。
问题管理流程的目标是通过消除引起事故的深层次根源以预防问题和事故的再次放生,并将未能解决的事故影响降到最低。
配置管理的目标是对业务和客户的控制目标及需求提供支持:提供正确的而配置信息,帮助相关人员在正确的时间做出决策,从而维持高效的服务管理流程;减少由不适合的服务或资产配置导致的质量和适应性问题;实现服务资产、IT配置、IT能力和IT资源的最优化。
事件管理的目标是尽快恢复信息系统正常服务并减少对信息系统的不利影响,尽可能保证最好的质量和可用性,同时记录事件并为其他流程提供支持。
D资源管理是干扰项。
题干中对CPU信息进行更新,应该是在配置管理中更新相关信息,保证CPU配置信息正确。
2.单选题无线传感器网络(WSN),是由部署在检测区域内大量的传感器节点组成,通过无线通信的方式形成的一个多跳自组织网络,并通过基站与其他网络互连起来,遵循IEEE提出的()标准。
问题1选项A.802.2B.802.3C.802.11D.802.15【答案】D【解析】IEEE80.2 逻辑链路控制LLCIEEE802.3 CSMA/CD访问方法和物理层规范IEEE802.11 无线局域网访问方法和物理层规范IEEE802.15 无线个人局域网(WPANs)3.单选题我国的标准可以划分为国家标准、行业标准、()和企业标准四级。
问题1选项A.团体标准B.地方标准C.区域标准D.技术标准【答案】B【解析】我国的标准可以划分为国家标准、行业标准、地方标准和企业标准四级。
与ISO/IEC相比去掉国际标准和区域标准。
AD为干扰项,C为国际标准第二级。
四大银行网上银行安全性比较
13、He who seize the right moment, is the right man.谁把握机遇,谁就心想事成 。21.7.921.7.918:31:3118:31:31Jul y 9, 2021
❖
14、谁要是自己还没有发展培养和教 育好, 他就不 能发展 培养和 教育别 人。2021年7月 9日星 期五下 午6时31分31秒 18:31:3121.7.9
❖
15、一年之计,莫如树谷;十年之计 ,莫如 树木; 终身之 计,莫 如树人 。2021年7月下 午6时31分21.7.918:31Jul y 9, 2021
❖
16、提出一个问题往往比解决一个更 重要。 因为解 决问题 也许仅 是一个 数学上 或实验 上的技 能而已 ,而提 出新的 问题, 却需要 有创造 性的想 像力, 而且标 志着科 学的真 正进步 。2021年7月9日星期 五6时31分31秒 18:31:319 July 2021
❖
17、儿童是中心,教育的措施便围绕 他们而 组织起 来。下 午6时31分31秒 下午6时31分18:31:3121.7.9
❖ 2、Our destiny offers not only the cup of despair, but the chalice of opportunity. (Richard Nixon, American President )命运给予我们的不是失望之酒,而是机会之杯。二〇二一年六月十七日2021年6月17日星期四
❖ 在四大银行里面建行和中行的网银功能单调, 只能查询或者挂失。此外,中行在网上开通 了买卖开放式基金\外汇\黄金,但是转账也只 能在同一个户名下不同账户划转,不支持不 同名之间的汇款转账,钱被划走或盗取比起 其他银行可能因为可以在网上支付和转给他 人风险更低。因为只可以同名转账,所以中 行网银没有密码卡或电子令牌等额外的加密 措施,因此也就不收费,所以适合广大基金 迷购买基金使用,既安全又便宜。
网上银行信息系统安全通用规范
附件网上银行系统信息安全通用规范(试行)中国人民银行目录1 使用范围和要求 (4)2 规范性引用文件 (4)3 术语和定义 (5)4 符号和缩略语 (6)5 网上银行系统概述 (6)5.1 系统标识 (6)5.2 系统定义 (7)5.3 系统描述 (7)5.4 安全域 (8)6 安全规范 (9)6.1 安全技术规范 (9)6.2 安全管理规范 (22)6.3 业务运作安全规范 (26)附l 基本的网络防护架构参考图 (30)附2 增强的网络防护架构参考图 (31)前言本规范是在收集、分析评估检查发现的网上银行系统信息安全问题和已发生过的网上银行案件的基础上,有针对性提出的安全要求,内容涉及网上银行系统的技术、管理和业务运作三个方面。
本规范分为基本要求和增强要求两个层次。
基本要求为最低安全要求,增强要求为本规范下发之日起的三年内应达到的安全要求,各单位应在遵照执行基本要求的同时,按照增强要求,积极采取改进措施,在规定期限内达标。
本规范旨在有效增强现有网上银行系统安全防范能力,促进网上银行规范、健康发展。
本规范既可作为网上银行系统建设和改造升级的安全性依据,也可作为各单位开展安全检查和内部审计的依据。
1使用范围和要求本规范指出了网上银行系统的描述、安全技术规范、安全管理规范、业务运作安全规范,适用于规范网上银行系统建设、运营及测评工作。
2规范性引用文件下列文件中的条款通过本规范的引用而成为本规范的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本规范,然而,鼓励根据本规范达成协议的香方研究是否可使瑚这些文件的最新版本。
凡是不注日期的引用文件,其最新版本适用于本规范。
GB/'IT20983-2008信息安全技术网上银行系统信息安全保障评估准则GB/T22239-2008信息安令技术信息系统安全等级保护基本要求GB/T 20984-2007信息安全技术信息系统风险评估规范GB/T 1 8336.1-2008信息技术安全技术信息技术安全性评估准则第1部分:简介和一般模型GB/T 1 8336.2-2008信息技术安全技术信息技术安全性评估准则第2部分:安全功能要求GB/T l 8336.3-2008信息技术安全技术信息技术安全性评估准则第3部分:安全保证要求GB/T 22080-2008信息技术安全技术信息安全管理体系要求GB/T 22081-2008信息技术安全技术信息安全管理使用规则GB/T 14394-2008计算机软件可靠性和可维护性管理GB/T 22239-2008信息安全技术信息系统安全等级保护基本要求《中围人民银行关丁进一步加强银行业金融机构信息安全保障工作的指导意见》(银发(2006) 123号)《中国人民银行中国银行业监督管理委员会公安部国家工商总局关于加强银行卡安全管理预防和打击银行卡犯罪的通知》(银发(2009) 142号)《中国人民银行办公厅关于贯彻落实<中国人民银行中国银行业监督管理委员会公安部国家工商总局关于加强银行卡安全管理预防和打击银行卡犯罪的通知>的意见》(银办发〔2009〕149号)3术语和定义GB/T 20274确立的以及下列术语和定义适用于本规范。
中国人民银行信息安全系统管理系统规定
中国人民银行信息安全管理规定第一章总则第一条为强化人民银行信息安全管理,防范计算机信息技术风险,保障人民银行计算机网络与信息系统安全和稳定运行,根据《中华人民共和国计算机信息系统安全保护条例》、《金融机构计算机信息系统安全保护工作暂行规定》等规定,特制定本规定。
第二条本规定所称信息安全管理,是指在人民银行信息化项目立项、建设、运行、维护及废止等过程中保障计算机信息及其相关系统、环境、网络和操作安全的一系列管理活动。
第三条人民银行信息安全管理工作实行统一领导和分级管理。
总行统一领导分支机构和直属企事业单位的信息安全管理,负责总行机关的信息安全管理。
分支机构负责本单位和辖内的信息安全管理,各直属企事业单位负责本单位的信息安全管理。
第四条人民银行信息安全管理实行分管领导负责制,按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,逐级落实单位与个人信息安全责任制。
第五条本规定适用于人民银行总行机关、各分支机构和直属企事业单位(以下统称“各单位”)。
所有使用人民银行网络或信息资源的其他外部机构和个人均应遵守本规定。
第二章组织保障第六条各单位应设立由本单位领导和相关部门主要负责人组成的计算机安全工作领导小组,办公室设在本单位科技部门,负责协调本单位及辖内信息安全管理工作,决策本单位及辖内信息安全重大事宜。
第七条各单位科技部门应设立信息安全管理部门或岗位。
总行机关、分行、营业管理部、省会(首府)城市中心支行、副省级城市中心支行科技部门配备专职信息安全管理人员,实行A、B岗制度;地(市)中心支行和县(市)支行设立信息安全管理岗位。
第八条除科技部门外,各单位其他部门均应指定至少一名部门计算机安全员,具体负责本部门的信息安全管理,协同科技部门开展信息安全管理工作。
第三章人员管理第九条各单位工作人员根据不同的岗位或工作范围,履行相应的信息安全保障职责。
第一节信息安全管理人员第十条各单位应选派政治思想过硬、具有较高计算机水平的人员从事信息安全管理工作。
网上银行系统信息安全通用规范(2020年最新版)
3.12 资金类交易 funds transaction
通过网上银行进行的资金操作交易。
注:例如,转账、订单支付、缴费等。本人名下的投资理财、托管账户以及本人签订委托代扣协议的委托代扣等风 险可控的资金变动不属于此范畴。
3.13 信息及业务变更类交易 information and business changing transaction
年版的 6.1.4、6.2); ——修改了客户端安全的表述,补充了自身防护、敏感信息保护等安全要求(见 6.2.1.1,2012 年
版的 6.1.1); ——增加了条码支付相关要求(见 6.2.1.1、6.2.4.3); ——修改了专用安全设备的安全要求,并改名为“专用安全机制”(见 6.2.2,2012 年版的 6.1.2); ——增加了安全单元和移动终端支付可信环境相关要求(见 6.2.2.1、6.2.2.5); ——增加了生物特征相关要求(见 6.2.2.5); ——增加了云计算安全相关要求(见 6.2.4.1、6.3.1); ——增加了 IPv6 相关要求(见 6.2.4.3); ——增加了虚拟化安全相关要求(见 6.2.4.4); ——增加了网上银行系统与外部系统连接安全的基本描述和安全要求(见 6.2.5); ——修改了业务连续性与灾难恢复安全要求(见 6.3.7,2012 年版的 6.2.6 中的 k、l); ——修改了安全事件与应急响应的安全要求(见 6.3.8,2012 年版的 6.2.6 中的 m、n); ——增加了Ⅱ、Ⅲ类银行结算账户及交易安全锁相关要求(见 6.4.1); ——删除了附录中的基本的网络防护架构参考图、增强的网络防护架构参考图和物理安全(2012
注1:本标准分为基本要求和增强要求两个层次,基本要求为最低安全要求,增强要求是进一步提升系统安全性的 要求。各单位应在遵照执行基本要求的同时,按照增强要求,积极采取改进措施,不断提高安全保障能力。
网上银行系统信息安全通用规范(试行)
5 5.1
网上银行系统概述
系统标识
在系统标识中应标明以下内容: ―名称:XX 银行网上银行系统 ―所属银行
第 6 页
网上银行系统信息安全通用规范
5.2
系统定义
网上银行系统是商业银行等金融机构通过互联网等公众网络基础设施, 向其客户提供各
种金融业务服务的一种重要信息系统。 网上银行系统将传统的银行业务同互联网等资源和技 术进行融合, 将传统的柜台通过互联网向客户进行延伸, 是商业银行等金融机构在网络经济 的环境下,开拓新业务、方便客户操作、改善服务质量、推动生产关系变革等的重要举措, 提高了商业银行等金融机构的社会效益和经济效益。
第 2 页网上银行系统源自息安全通用规范前言
本规范是在收集、 分析评估检查发现的网上银行系统信息安全问题和已发生过的网上银 行案件的基础上,有针对性提出的安全要求,内容涉及网上银行系统的技术、管理和业务运 作三个方面。 本规范分为基本要求和增强要求两个层次。 基本要求为最低安全要求, 增强要求为本规 范下发之日起的三年内应达到的安全要求, 各单位应在遵照执行基本要求的同时, 按照增强 要求,积极采取改进措施,在规定期限内达标。 本规范旨在有效增强现有网上银行系统安全防范能力,促进网上银行规范、健康发展。 本规范既可作为网上银行系统建设和改造升级的安全性依据, 也可作为各单位开展安全检查 和内部审计的依据。
《中国人民银行关于进一步加强银行业金融机构信息安全保障工作的指导意见》 (银发 〔2006〕123 号) 《中国人民银行 中国银行业监督管理委员会 公安部 国家工商总局关于加强银行卡安 全管理预防和打击银行卡犯罪的通知》 (银发〔2009〕142 号)
第 4 页
网上银行系统信息安全通用规范
《中国人民银行办公厅关于贯彻落实 <中国人民银行 中国银行业监督管理委员会 公 安部 国家工商总局关于加强银行卡安全管理预防和打击银行卡犯罪的通知>的意见》 (银办发〔2009〕149 号)
银行信息安全管理体系参考标准和规范
银行信息安全管理体系参考标准和规范一、银行业信息科技风险管理指引2006年9月,为有效防范银行业金融机构运用信息系统进行业务处理、经营管理和内部控制过程中产生的风险,促进我国银行业安全、持续、稳健运行,银监会印发了银监发[2006]第63号文,即《银行业金融机构信息系统风险管理指引》。
2009年6月,为加强商业银行信息科技风险管理,根据《中华人民共和国银行业监督管理法》《中华人民共和国商业银行法》《中华人民共和国外资银行管理条例》及国家信息安全相关要求和有关法律法规,银监会印发了银监发[2009]第19号文,即《商业银行信息科技风险管理指引》,以替代旧的《银行业金融机构信息系统风险管理指引》。
新《指引》针对银行业信息科技风险特点,提出了“三道防线”的思路。
“三道防线”是按照目前普遍的一种安全模式进行的设计:第一道防线——事先监控,即银行信息科技部门的自我管理;第二道防线——事中管理,即风险管理部门如何督促科技部门进行管理,风险管理部门会提供一些管理工具、思路和框架;第三道防线——事后审计,审计部门独立于上述两个部门之外,对两部门执行情况进行评价。
因此三道防线其实是将信息科技管理、信息科技风险管理、信息科技风险审计统一纳入风险管控。
通过这样的思想,可以很好地解决银行重建设、轻管理、重开发、轻运维的不足。
二、等级保护1.等级保护概述信息安全等级保护制度是国家信息安全保障工作的基本制度、基本策略和基本方法,是促进信息化健康发展,维护国家安全、社会秩序和公共利益的根本保障。
国务院法规和中央文件明确规定,要实行信息安全等级保护,重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度。
信息安全等级保护是当今发达国家保护关键信息基础设施、保障信息安全的通行做法,也是我国多年来信息安全工作经验的总结。
开展信息安全等级保护工作不仅是保障重要信息系统安全的重大措施,也是一项事关国家安全、社会稳定、国家利益的重要任务。
中国人民银行关于印发《银行卡联网联合安全规范》行业标准的通知
中国人民银行关于印发《银行卡联网联合安全规范》行业标准的通知文章属性•【制定机关】中国人民银行•【公布日期】2001.12.13•【文号】银发[2001]405号•【施行日期】2001.12.13•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】标准化正文中国人民银行关于印发《银行卡联网联合安全规范》行业标准的通知(2001年12月13日银发[2001]405号)中国人民银行各分行、营业管理部,省会(首府)城市中心支行,国家外汇管理局,各国有独资商业银行、股份制商业银行,邮政储汇局:《银行卡联网联合安全规范》行业标准,业经全国金融标准化技术委员会审查通过,现予以印发,并就有关事项通知如下:一、标准的编号和名称:JR/T0003-2001《银行卡联网联合安全规范》二、凡中华人民共和国境内银行卡联网成员必须严格遵循本标准。
三、本标准由全国金融标准化技术委员会负责解释。
附:银行卡联网联合安全规范1.范围本标准规定了加入全国银行卡网络的相关入网设备、设施的安全技术要求,也规定了对持卡人、商户、卡片和终端机具供应商以及参加银行卡联合组织工作人员的安全管理要求。
本标准适用于银行卡联网成员。
本标准提出的技术要求是加入联网联合网络的基本安全要求。
2.规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。
凡是不注日期的引用文件,其最新版本适用于本标准。
GJB2256军用计算机安全术语GB/T2887电子计算机场地通用规范GB/T9361计算机场地安全要求GB/T9387.2信息处理系统开放系统互连基本参考模型第2部分:安全体系结构GB/T13543数字通讯设备环境实验要求GB17859计算机信息系统安全保护等级划分准则GB/T18336.3信息技术安全技术信息技术安全性评估准则第3部分:安全保证要求ANSIX9.8银行业——个人标识码的管理和安全银行卡联网联合业务规范银行卡联网联合技术规范银行计算机信息系统安全技术规范3.术语、定义和缩略语3.1 术语和定义下列术语和定义适用于本标准。
网上银行系统信息安全通用规范标准
附件网上银行系统信息安全通用规范(试行)中国人民银行1 使用范围和要求 (4)2 规范性引用文件 (4)3 术语和定义 (5)4 符号和缩略语 (6)5 网上银行系统概述 (6)5.1 系统标识 (6)5.2 系统定义 (7)5.3 系统描述 (7)5.4 安全域 (8)6 安全规范 (9)6.1 安全技术规范 (9)6.2 安全管理规范 (22)6.3 业务运作安全规范 (26)附1 基本的网络防护架构参考图 (30)附2 增强的网络防护架构参考图 (31).言本规范是在收集、分析评估检查发现的网上银行系统信息安全问题和已发生过的网上银行案件的基础上,有针对性提出的安全要求,内容涉及网上银行系统的技术、管理和业务运作三个方面。
本规范分为基本要求和增强要求两个层次。
基本要求为最低安全要求,增强要求为本规范下发之日起的三年内应达到的安全要求,各单位应在遵照执行基本要求的同时,按照增强要求,积极采取改进措施,在规定期限内达标。
本规范旨在有效增强现有网上银行系统安全防范能力,促进网上银行规范、健康发展。
本规范既可作为网上银行系统建设和改造升级的安全性依据,也可作为各单位开展安全检查和内部审计的依据。
1 使用范围和要求本规范指出了网上银行系统的描述、 安全技术规范、 安全管理规范、 业务运作安全规范, 适用于规范网上银行系统建设、运营及测评工作。
2 规范性引用文件列文件中的条款通过本规范的引用而成为本规范的条款。
随后所有的修改单(不包括勘误的内容)或修订版均不适用于本规范,然而,鼓励根据本规 范达成协议的各方研究是否可使用这些文件的最新版本。
版本适用于本规范。
模型要求中国人民银行关于进一步加强银行业金融机构信息安全保障工作的指导意见》 (银发 〔 2006〕123 号)中国人民银行 中国银行业监督管理委员会 公安部 国家工商总局关于加强银行卡安 全管理预防和打击银行卡犯罪的通知》 (银发〔 2009 〕142 号) 中国人民银行办公厅关于贯彻落实<中国人民银行 中国银行业监督管理委员会 公安部 国家工商总局关于加强银行卡安全管理预防和打击银行卡犯罪的通知>的意见》凡是注日期的引用文件, 其凡是不注日期的引用文件, 其最新GB/T 20983-2008 信息安全技术 网上银行系统信息安全保障评估准则 GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求 GB/T 20984-2007 信息安全技术信息系统风险评估规范GB/T 18336.1-2008 信息技术安全技术信息技术安全性评估准则第1 部分 : 简介和一般GB/T 18336.2-2008信息技术安全技术信息技术安全性评估准则第 2 部分 : 安全功能GB/T 18336.3-2008 信息技术安全技术信息技术安全性评估准则第 3 部分 : 安全保证要GB/T 22080-2008 信息技术 安全技术 信息安全管理体系要求 GB/T 22081-2008 信息技术 安全技术 信息安全管理使用规则 GB/T 14394-2008 计算机软件可靠性和可维护性管理GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求(银办发〔2009〕149 号)3 术语和定义GB/T 20274 确立的以及下列术语和定义适用于本规范。
ga38-2021银行业安全防范标准 释义
ga38-2021银行业安全防范标准释义
GA38-2021是中国银行业金融机构信息安全技术规范中的一个标准,它规定了银行业金融机构在信息安全方面的防范措施和要求。
该标准是为了加强银行业金融机构的信息安全管理,防范信息安全风险,保护客户的个人和财产信息而制定的。
标准主要包括了信息安全管理体系、核心系统安全、网络安全、数据安全、机房安全、应用系统安全、终端安全、身份认证安全、设备和工具安全等方面的内容和要求。
通过遵守该标准,银行业金融机构能够建立完善的信息安全管理机制,保障客户的信息安全和业务的正常运行。
2023年初级银行从业资格之初级风险管理能力检测试卷A卷附答案
2023年初级银行从业资格之初级风险管理能力检测试卷A卷附答案单选题(共30题)1、常用的市场风险限额不包括()。
A.损失限额B.交易限额C.风险限额D.止损限额【答案】 A2、下列商业银行资金来源中,()对利率最为敏感,随时都有可能被提取,商业银行应对这部分负债准备比较的充足的备付资金。
A.居民储蓄B.公共事业费收入C.证券业存款D.政府税款【答案】 C3、客户评级的评价主体是()。
A.中央银行B.商业银行C.各类金融机构D.政府经济管理部门【答案】 B4、银行监管与外部审计各有侧重,通常情况下,银行监管侧重于()。
A.财务报表检查B.关注财务数据完整性、准确性和可靠性C.金融机构风险和合规性的分析、评价D.会计资料规范性【答案】 C5、(2019年真题)()是因操作风险事件所遭受的监管部门或有权机关罚款及其他处罚。
如违反产业政策、监管法规等所遭受的罚款、吊销执照等。
A.追索失败B.对外赔偿C.资产损失D.监管罚没【答案】 D6、假设其他条件均相同。
则以下哪种债券的利率风险最高()。
A.5年期零息债券B.5年期票面利息为5%的固定利率债券C.5年期票面利率为7%的固定利率债券D.10年期浮动利率债券【答案】 D7、已知某安装工程,分项分部工程量清单计价1770万元,措施项目清单计价51.34万元,其他项目清单计价100万元,规费80万元,税金68.25万元,则其招标控制价应()。
A.2069.59万元B.1821.43万元C.1838.25万元D.1950万元【答案】 A8、下列不属于信用衍生产品的作用的是()A.分散商业银行过度集中的信用风险B.提供化解不良贷款的新思路C.有助于缓解中小企业融资难问题D.减弱资本的流动性【答案】 D9、下列关于流动性风险的说法,错误的是()A.当商业银行流动性不足时,它无法以合理的成本迅速增加负债或变现资产获取足够的资金,极端情况下会导致商业银行资不抵债B.流动性风险包括资产流动性风险和负债流动性风险C.流动性风险肯定是来自市场流动性对银行流动性风险的负面影响D.资产变现能力越强,流动性风险相应越低【答案】 C10、开展土地登记代理的必备要件是()。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
附件网上银行系统信息安全通用规范(试行)中国人民银行目录1 使用范围和要求 (4)2 规范性引用文件 (4)3 术语和定义 (5)4 符号和缩略语 (6)5 网上银行系统概述 (6)5.1 系统标识 (6)5.2 系统定义 (7)5.3 系统描述 (7)5.4 安全域 (8)6 安全规范 (9)6.1 安全技术规范 (9)6.2 安全管理规范 (22)6.3 业务运作安全规范 (26)附l 基本的网络防护架构参考图 (30)附2 增强的网络防护架构参考图 (31)前言本规范是在收集、分析评估检查发现的网上银行系统信息安全问题和已发生过的网上银行案件的基础上,有针对性提出的安全要求,内容涉及网上银行系统的技术、管理和业务运作三个方面。
本规范分为基本要求和增强要求两个层次。
基本要求为最低安全要求,增强要求为本规范下发之日起的三年内应达到的安全要求,各单位应在遵照执行基本要求的同时,按照增强要求,积极采取改进措施,在规定期限内达标。
本规范旨在有效增强现有网上银行系统安全防范能力,促进网上银行规范、健康发展。
本规范既可作为网上银行系统建设和改造升级的安全性依据,也可作为各单位开展安全检查和内部审计的依据。
1使用范围和要求本规范指出了网上银行系统的描述、安全技术规范、安全管理规范、业务运作安全规范,适用于规范网上银行系统建设、运营及测评工作。
2规范性引用文件下列文件中的条款通过本规范的引用而成为本规范的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本规范,然而,鼓励根据本规范达成协议的香方研究是否可使瑚这些文件的最新版本。
凡是不注日期的引用文件,其最新版本适用于本规范。
GB/'IT20983-2008信息安全技术网上银行系统信息安全保障评估准则GB/T22239-2008信息安令技术信息系统安全等级保护基本要求GB/T 20984-2007信息安全技术信息系统风险评估规范GB/T 1 8336.1-2008信息技术安全技术信息技术安全性评估准则第1部分:简介和一般模型GB/T 1 8336.2-2008信息技术安全技术信息技术安全性评估准则第2部分:安全功能要求GB/T l 8336.3-2008信息技术安全技术信息技术安全性评估准则第3部分:安全保证要求GB/T 22080-2008信息技术安全技术信息安全管理体系要求GB/T 22081-2008信息技术安全技术信息安全管理使用规则GB/T 14394-2008计算机软件可靠性和可维护性管理GB/T 22239-2008信息安全技术信息系统安全等级保护基本要求《中围人民银行关丁进一步加强银行业金融机构信息安全保障工作的指导意见》(银发(2006) 123号)《中国人民银行中国银行业监督管理委员会公安部国家工商总局关于加强银行卡安全管理预防和打击银行卡犯罪的通知》(银发(2009) 142号)《中国人民银行办公厅关于贯彻落实<中国人民银行中国银行业监督管理委员会公安部国家工商总局关于加强银行卡安全管理预防和打击银行卡犯罪的通知>的意见》(银办发〔2009〕149号)3术语和定义GB/T 20274确立的以及下列术语和定义适用于本规范。
3.1网上银行商业银行等金融机构通过互联网等公众网络基础设施,向其客户提供各种金融业务。
3.2互联网因特网或其他类似形式的通用性公共计算机通信网络。
3.3敏感信息任何影响网上银行安全的密码、密钥以及交易数据等信息,密码包括但不限于转账密码、查询密码、登录密码、证书的PIN码等。
3.4客户端程序为随上银行客户提供人机交互功能的程序,以及提供必需功能的组件,包括但不限于:可执行文件、控件、静态链接库、动态链接库等。
3.5 USB Key一种USB接口的硬件设备。
它内置单片机或智能卡芯片,有一定的存储空间,可以存储用户的私钥以及数字证书。
3.6 USB Key固件影响USB Key安全的程序代码。
3.7强效加密一个通用术语,表示极难被破译的加密算法。
加密的强壮性取决于所使用的加密密钥。
密钥的有效长度应不低于可比较的强度建议所要求的最低密钥长度。
对于基于密钥的系统(例如3DES),应不低于80位。
对于基于因子的公用密钥算法(例如RSA),应不低于1024位。
4符号和缩略语以下缩略语和符号表示适用于本规范:CA 数字证书签发和管理机构(Certification Authority) Cookies 为辨别客户身份而储存在客户本地终端上的数据COS 卡片操作系统(Card Operating System)C/S 客户机/服务器(Client/Server)DOS/DDOS 拒绝服务/分布式拒绝服务(Denial of Service/Distributed of Service)IDS/IPS 入侵检测系统/入侵防御系统(Intrusion DetectionSystem/Intrusion Prevention System)IPSEC IP安全协议OTP 一次性密码(One Time Password)PKI 公钥基础设旅(Public Key Infrastructure)SSL 安全套接字层(Secure Socket Layer)SPA/DM 简单能繁分析/差分能量分析(Simple Power Analysis/Differential Power Analysis)SEMA/DEMA 简单电磁分析/差分电磁分析(Simple Electromagnetism Analysis Differential Electromagnetism Analysis)TLS 传输层安全(Transfer Layer Secure)VPN 虚拟专用网络(Virtual Private Network)5 网上银行系统概述5.1 系统标识在系统标识中应标明以下内容:一名称:XX银行网上银行系统一所属银行5.2 系统定义网上银行系统是商业银行等金融机构通过互联网等公众网络基础设施,向其客户提供各种金融业务服务的一种重要信息系统。
网上银行系统将传统的银行业务同互联网等资源和技术进行融合,将传统的柜台通过互联网向客户进行延伸,是商业银行等金融机构在网络经济的环境下,开拓新业务、方便客户操作、改善服务质量、推动生产关系变革等的重要举措,提高了商业银行等金融机构的社会效益和经济效益。
5.3 系统描述网上银行系统主要由客户端、通信网络和服务器端组成。
5.3.1客户端网上银行系统客户端不具备或不完全具备专用金融交易设备的可信通讯能力、可信输出能力、可信输入能力、可信存储能力和可信计算能力,因此,需要辅助安全设备,并通过接受、减轻、规避及转移的策略来应对交易风险。
因此,网上银行系统客户端应包括基本交易终端和专用辅助安全设备。
基本交易终端目前主要为电脑终端,将来可包括手机、固定电话等。
专用辅助安全设备用于保护数字证书、动态口令和静态密码等,应按照其在交易中具备的可信通讯能力、可信输出能力、可信输入能力、可信存储能力和可信计算能力等五种能力的组合对其进行分类分析,并制订与之适应的交易安全风险防范策略。
5。
3.2通信网络网上银行借助互联网技术向客户提供金融服务,其通信网络的最大特点是开放性,开放性带来的优点是交易成本的降低和交易便利性的提高,缺点是交易易受到安全威胁及通讯稳定性降低。
因此,网上银行业务设计应充分利用开放网络低成本和便利的特点,有效应对开放网络通讯安全威胁,同时采取手段提高交易稳定性和成功率。
5.3.3服务器端:网上银行系统服务器端用于提供网上银行应用服务和核心业务处理,应充分利用各种先进的物理安全技术、网络安全技术、主机安全技术、访问控制技术、密码技术、安全审计技术、系统漏洞检测技术和黑客防范技术,在攻击者和受保护的资源间建立多道严密的安全防线。
5.4 安全域网上银行系统是一个涉及不同的应用系统、客户对象、数据敏感程度等的复杂信息系统。
在网上银行系统的描述中,应根据应用系统、客户对象、数据敏感程度等划分安全域。
安全域是一个逻辑的划分,它是遵守相同的安全策略的用户和系统的集合。
通过对安全域的描述和界定,就能更好地对网上银行系统信息安全保障进行描述。
具体而言,网上银行系统主要包括:客户端、网上银行访问子网、网上银行业务系统、中间隔离设备和安全认证设备等。
如图1所示:.外部区域:网上银行的用户,安装网上银行客户端,通过互联网访问网上银行业务系统;安全区域一:网上银行访问子网,主要提供客户的Web访问;安全区域二:网上银行业务系统,主要进行网上银行的业务处理;银行内部系统:银行处理系统,主要进行银行内部的数据处理。
6 安全规范作为金融机构IT业务应用系统之一,网上银行系统需要与其他业务应用系统一起纳入金融机构全面的风险管理体系中。
网上银行信息安全规范可分为安全技术规范、安全管理规范和业务运作安全规范。
安全技术规范从客户端安全、专用辅助安全设备安全、网络通信安全和网上银行服务器端安全几个方面提出;安全管理规范从组织结构、管理制度、人员及文档管理和系统运行管理几个方面提出,业务运作安全规范从业务申请及开通、业务安全交易机制、客户教育几个力面提出。
下面将分别对其进行阐述。
6.1安全技术规范6.1.1客户端安全6.1.1.1客户端程序A.基本要求:a) 客户端程序上线前应进行严格的代码安全测试,如果客户端程序是外包给第三方机构开发的,金融机构应要求开发商进行代码安全测试。
金融机构应建立定期对客户端程序进行安全检测的机制。
b) 客户端程序应通过指定的第三方中立测试机构的安全检测。
c) 客户端程序应具有抗逆向分析、抗反汇编等安全性防护措施,防范攻击者对客户端程序的调试、分析和篡改。
d) 客户端程序的临时文件中不应出现敏感信息,临时文件包括但不限于Cookies。
客户端程序应禁止在身份认证结束后存储敏感信息,防止敏感信息的泄露。
e) 客户端程序应防范键盘窃听敏感信息,例如防范采用挂钩Windows键盘消息等方式进行键盘窃听,并应具有对通过挂钩窃听键盘信息进行预警的功能。
f) 客户端程序应防范恶意程序获取或篡改敏感信息,例如使用浏览器接口保护控件进行防范。
B.增强要求:a) 客户端程序应保护在客户端启动的用于访问网上银行的进程,防止非法程序获取该进程的访问权限。
b) 进行转账类交易时,客户端程序应采取防范调试跟踪的措施,例如开启新的进程。
c) 客户端程序应采用反屏幕录像技术,防止非法程序获取敏感信息。
6.1.1.2密码保护A.基本要求:a) 禁止明文显示密码,府使心相同位数的同一特殊字符(例如*和#)代替。
b) 密码应有复杂度的要求,包括:·长度至少6位,支持字母和数字共同组成。