网上银行系统信息安全通用规范
《网上银行系统信息安全通用规范》概述及修订分析
《网上银行系统信息安全通用规范》概述及修订分析随着互联网的飞速发展,网上银行已经成为人们日常生活中不可或缺的服务之一。
随之而来的信息安全问题也给网上银行带来了很大的挑战。
为了规范网上银行系统信息安全,保障用户的资金安全和个人信息安全,国家相关部门出台了《网上银行系统信息安全通用规范》,对网上银行系统的信息安全进行了全面规范和要求。
本文将对《网上银行系统信息安全通用规范》进行概述,并对其修订进行深入分析。
《网上银行系统信息安全通用规范》是由国家相关部门发布的一项关于网上银行系统信息安全的通用规范,其目的在于规范和加强网上银行系统的信息安全管理,保护用户的合法权益,维护金融秩序和国家安全。
该规范包括了网上银行系统的整体架构、安全管理、风险控制等方面的要求,是网上银行运营过程中的重要指导文件。
《规范》分为引言、术语和定义、信息安全管理、网上银行业务信息系统安全技术要求、风险控制与监测、安全事件和应急处置、监督管理等七个部分,细致而系统地规范了网上银行系统信息安全方面的各项工作。
《规范》要求网上银行系统要建立健全完善的信息安全管理制度,加强对用户身份的验证和保护,确保用户信息的保密性和完整性。
对于网络安全技术方面也有具体的要求,包括对数据加密、网络防火墙、访问控制等方面的要求。
还要求网上银行系统对安全风险进行评估和控制,并建立应急响应机制,及时处置各类安全事件,保障系统的稳定与安全。
整体来说,《规范》为网上银行系统的信息安全提供了详细而全面的指导,对于提高网上银行系统的信息安全水平具有重要意义。
中国的互联网金融市场发展迅速,不断出现新的业务模式和技术手段,这就对《网上银行系统信息安全通用规范》提出了新的挑战和要求。
及时对《规范》进行修订,使之能够适应新的市场环境和技术发展,对于保障网上银行系统的信息安全具有十分重要的意义。
在修订《规范》时,应该充分考虑到新兴的互联网金融业务,如移动支付、P2P借贷等,这些新业务在传统的《规范》中可能未能覆盖到。
网上银行系统信息安全通用规范
签名时有提示功能(指示灯、声音) 退出登录时应提示客户取下USB Key
防范USB Key远 程劫持
一段时间内无任何操作,自动关闭
增
强
要
屏幕显示或语音提示、按键确认功能 求
4、主要内容
4.1.2 安全技术—专用安全设备安全
时间机制的OTP令牌,时间窗口不 超过60秒
挑战应答的OTP令客户端程序应禁止在身份认证结束后存储敏感信息,防止敏感信息的泄露。
4、主要内容
4.1.1 安全技术—客户端安全
4.1.1 客户端安全 • 客户端程序安全
功能要求 防护功能:
客户端防分析: • 客户端程序应采取代码混淆等技术手段,防范攻击者对客户端程序的调试
、分析和篡改。 客户端防篡改: • 应对客户端程序进行签名,标识客户端程序的来源和发布者,保证客户所
4、主要内容
4.1.1安全技术—客户端安全
4.1.1 客户端安全 • 客户端环境安全:
采取有效措施提升客户端环境安全级别,例如在线杀毒服务、安全检测工具等。 发现移动终端平台的重大安全缺陷或安全威胁时,应在门户站点发布警示通知, 并通过短信、邮件等方式警示客户。
4、主要内容
4.1.2安全技术—专用安全设备安全
• 金融机构应采取有效技术措施保证客户端处理的敏感信息、客户端与服务器 交互的重要信息的机密性和完整性;应保证所提供的客户端程序的真实性和 完整性,以及敏感程序逻辑的机密性。
• 客户端程序应提供客户输入敏感信息的即时加密功能,例如,采用密码保护 控件。
• 客户端程序应提供敏感信息机密性、完整性保护功能,例如采取随机布放按 键位置、防范键盘窃听技术、计算MAC校验码等措施。
增强要求; • 使用获得国家主管部门认定的具有电子认证服务许可证的CA 证书及认证服务。
网上银行系统信息安全通用规范
网上银行系统信息安全通用规范
网上银行系统信息安全通用规范是针对网上银行系统信息安全要求研
制的一组统一的基本要求,目的是使网上银行搭建的信息安全管理体系更
加完善。
1、保护客户个人隐私。
保护客户个人隐私是网上银行系统信息安全
要求的基本原则,不能侵害客户的个人隐私,不得泄露客户的个人信息。
2、实施信息安全技术防护。
采用完善的防火墙技术、系统安全评价
技术、认证技术、监视技术、识别技术等,实现网上银行系统的安全保护。
3、以口令及其他身份认证机制保护财产。
采取口令认证、数字签名
认证等机制,建立用户登录及业务交易的身份认证,保证网上银行系统的
安全。
4、保障数据完整性。
采用报文数字签名、报文数字摘要技术,建立
网上银行系统的数据完整性技术保障机制,确保网上银行系统的安全性。
5、强化系统安全管理。
建立内部安全管理机构及内部安全管理人员,实施网上银行系统安全管理体系,保障网上银行系统的安全性。
网上银行系统信息安全通用规范word版
附件网上银行系统信息安全通用规范(试行)中国人民银行目录1使用范围和要求........................................................................................ 错误!未定义书签。
2ﻩ规范性引用文件ﻩ错误!未定义书签。
3ﻩ术语和定义ﻩ错误!未定义书签。
4ﻩ符号和缩略语ﻩ45ﻩ网上银行系统概述 ........................................................................................ 错误!未定义书签。
5.1ﻩ系统标识ﻩ错误!未定义书签。
5.2ﻩ系统定义 ........................................................................................... 错误!未定义书签。
5.3ﻩ系统描述 ........................................................................................... 错误!未定义书签。
5.4ﻩ安全域ﻩ错误!未定义书签。
6ﻩ安全规范 ........................................................................................................ 错误!未定义书签。
6.1安全技术规范ﻩ错误!未定义书签。
6.2安全管理规范............................................................................ 错误!未定义书签。
6.3业务运作安全规范ﻩ错误!未定义书签。
附1 基本的网络防护架构参考图ﻩ错误!未定义书签。
《网上银行系统信息安全通用规范》概述及修订分析
《网上银行系统信息安全通用规范》概述及修订分析
《网上银行系统信息安全通用规范》是中国人民银行为了确保网上银行系统的信息安全性而制定的规范。
本规范的修订主要是基于对互联网及网络技术的发展和变化进行的,以适应新的网络安全威胁和风险。
该规范的主要目的是为了建立和维护网上银行系统的安全性和可靠性,保护客户的个人信息和资金安全。
规范包括了各项技术要求、风险控制措施、系统管理和监控等多个方面内容,以确保网上银行系统的信息安全。
该规范修订的主要内容包括以下几个方面:
1. 强化密码管理:要求银行采用强密码控制机制,包括密码长度、复杂度、有效期限等要求,以提高密码的安全性。
2. 身份认证措施:规范规定银行在用户登录和交易时应采用多种身份认证方式,如证书、动态口令等,以增加用户身份的唯一性和可信性。
3. 安全技术和防护措施:规范详细列出了网上银行系统应采用的安全技术和防护措施,包括防火墙、入侵检测系统、数据加密、安全审计等,以提升系统的安全性。
4. 风险控制措施:规范规定银行应对网上银行交易进行实时风险监测和分析,采取相应措施防范风险,例如交易限额、异常交易监测等。
5. 安全审计和监管:规范规定银行应定期进行安全审计和监管,确保系统的安全性和合规性。
《网上银行系统信息安全通用规范》概述及修订分析
《网上银行系统信息安全通用规范》概述及修订分析
《网上银行系统信息安全通用规范》是中国人民银行发行的旨在指导银行、金融机构
和相关机构加强网上银行系统信息安全保护的规范性文件。
该规范于2005年首次发布,2015年进行了修订,对于当前我国网络环境复杂、信息安全面临的挑战更为紧迫的情况下,修订《通用规范》具有重要意义。
《通用规范》修订的关键点主要包括三个方面:一是强化信息安全管理,包括完善安
全管理制度、加强用户认证和授权管理、严格访问控制和监控等;二是提高应对网络攻击
和恶意软件的能力,包括完善安全事件应急预案、建立应急响应机制以及加强对恶意软件
的防范和治理等;三是加强对移动金融的安全控制,包括增强移动设备的安全性、建立责
任追溯机制、加强对移动应用程序的安全审查等。
相对于原版《通用规范》而言,修订版更加注重信息安全管理与技术措施的结合,以
及注重金融机构应急响应的能力。
随着互联网金融业务的迅速发展,我国网上银行用户数量越来越多,信息安全问题也
不断暴露出来。
例如2018年12月,我国某银行因为信息泄露问题在网络上引起广泛关注。
因此,修订《通用规范》具有一定的迫切性。
总之,《网上银行系统信息安全通用规范》为银行、金融机构等提供了明确的指导标准,洞察了互联网金融时代的信息安全风险挑战,为实现移动互联网时代的银行业转型升
级提供了重要的保障。
《网上银行系统信息安全通用规范》概述及修订分析
《网上银行系统信息安全通用规范》概述及修订分析《网上银行系统信息安全通用规范》是中国银监会于2003年发布的指导性规范性文件,适用于所有银行机构的网上银行系统信息安全管理。
该规范旨在建立健全银行机构网上银行系统信息安全管理机制,确保网上银行系统安全稳定运行,防范各种网络安全风险。
2014年,中国银监会发布了修订后的《网上银行系统信息安全通用规范》。
修订后的规范主要是在原有框架的基础上对新技术、新业务、新风险,以及网络安全法等相关法规的变化做出的调整和完善。
修订后的规范内容主要包括:信息安全管理、系统安全、网络安全、业务安全、物理环境安全、人员安全等六个方面,其中最具代表性的改变是:一、加强安全策略规范要求银行机构应建立符合其网上银行系统的安全策略,并不断进行更新和维护。
在安全策略制定过程中,要考虑网上银行系统所面临的安全威胁和风险,及时对策应对。
同时,规范还要求银行机构加强对员工的安全教育和培训,提高员工的安全意识,确保他们对安全策略的理解和遵守。
二、加强风险评估和监测规范要求银行机构应定期开展网上银行系统的安全风险评估和监测,及时发现并处理潜在的安全问题。
同时,还要加强对系统的审计和监控,提高警惕,及时发现和处理黑客攻击、病毒侵入等安全事件。
规范对银行机构的网络安全提出了更高要求。
要求银行机构应该建立完善的网络安全管理制度和网络安全技术体系,采取多层次的安全防范措施,保障自己的内部网络安全。
同时,规范要求银行机构要与监管部门和其他金融机构建立起联合防范和信息共享的机制,以更好地应对网络安全风险。
综上所述,《网上银行系统信息安全通用规范》修订版增强了各项安全措施,适应了新技术和新业务的发展趋势,更好地保障了银行机构的信息安全。
对于广大用户来说,这也是一个令人放心的新闻。
《网上银行系统信息安全通用规范》概述及修订分析
《网上银行系统信息安全通用规范》概述及修订分析随着互联网的普及和发展,网上银行系统已经成为人们日常生活中不可或缺的一部分。
随之而来的安全风险也日益增多,包括网络钓鱼、恶意软件、数据泄露等问题。
为了保障网上银行系统的信息安全,国家制定了《网上银行系统信息安全通用规范》,并对其进行了多次修订。
本文将对该规范进行概述,同时对其最新一次修订进行分析。
《网上银行系统信息安全通用规范》是由国家相关部门制定的,旨在规范和保障网上银行系统的信息安全,以防范各类网络安全风险。
该规范包括了系统安全、网络安全、数据安全、身份认证、应急响应等多个方面的内容,具有较高的权威性和指导性。
其主要内容包括以下几个方面:1.系统安全:规定了网上银行系统的基本架构、安全配置、运行管理等方面的要求,以确保系统的安全稳定运行。
2.网络安全:对网上银行系统和网络设备的安全防护、网络隔离、入侵检测等进行了详细规定,以保障网络的安全。
3.数据安全:规范了网上银行系统中各类数据的加密、备份、存储、传输等安全要求,防止数据被篡改、泄露。
4.身份认证:对用户身份认证的方式、安全性要求进行了详细规范,以确保用户身份的真实性和安全性。
5.应急响应:规定了网上银行系统遇到安全事件时的响应和处理机制,包括安全事件的报告、处置等程序。
随着网络安全形势的不断变化和发展,为了进一步加强网上银行系统的信息安全保障,国家对《网上银行系统信息安全通用规范》进行了多次修订。
最新一次修订主要包括以下几个方面的内容:1.加强密码安全管理:随着密码破解技术的不断发展,密码安全问题日益突出。
新修订的规范对密码的生成、存储、传输、使用等方面进行了更加严格的规定,包括采用更加安全的加密算法、提高密码的复杂度、定期强制用户更新密码等措施,以加强密码的安全管理。
2.加强用户身份认证:为了防范网络钓鱼等攻击,新修订的规范对用户身份认证的要求更加严格,推荐采用多因素身份认证方式,如密码+动态口令、密码+指纹等,以提高认证的安全性和可靠性。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
附件网上银行系统信息安全通用规范(试行)中国人民银行目录1ﻩ使用范围和要求ﻩ错误!未定义书签。
2ﻩ规范性引用文件 ............................................................................................ 错误!未定义书签。
3ﻩ术语和定义 .................................................................................................... 错误!未定义书签。
4ﻩ符号和缩略语 ................................................................................................ 错误!未定义书签。
5网上银行系统概述ﻩ错误!未定义书签。
5.1ﻩ系统标识 ............................................................................................. 错误!未定义书签。
5.2系统定义.................................................................................... 错误!未定义书签。
5.3ﻩ系统描述 ........................................................................................ 错误!未定义书签。
5.4ﻩ安全域 .............................................................................................. 错误!未定义书签。
6ﻩ安全规范 ........................................................................................................ 错误!未定义书签。
6.1ﻩ安全技术规范 ................................................................................. 错误!未定义书签。
6.2ﻩ安全管理规范 ................................................................................... 错误!未定义书签。
6.3业务运作安全规范ﻩ错误!未定义书签。
附1基本的网络防护架构参考图......................................................... 错误!未定义书签。
附2增强的网络防护架构参考图ﻩ错误!未定义书签。
ﻬ前言1本规范是在收集、分析评估检查发现的网上银行系统信息安全问题和已发生过的网上银行案件的基础上,有针对性提出的安全要求,内容涉及网上银行系统的技术、管理和业务运作三个方面。
本规范分为基本要求和增强要求两个层次。
基本要求为最低安全要求,增强要求为本规范下发之日起的三年内应达到的安全要求,各单位应在遵照执行基本要求的同时,按照增强要求,积极采取改进措施,在规定期限内达标。
本规范旨在有效增强现有网上银行系统安全防范能力,促进网上银行规范、健康发展。
本规范既可作为网上银行系统建设和改造升级的安全性依据,也可作为各单位开展安全检查和内部审计的依据。
1使用范围和要求本规范指出了网上银行系统的描述、安全技术规范、安全管理规范、业务运作安全规范,适用于规范网上银行系统建设、运营及测评工作。
2规范性引用文件下列文件中的条款通过本规范的引用而成为本规范的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本规范,然而,鼓励根据本规范达成协议的各方研究是否可使用这些文件的最新版本。
凡是不注日期的引用文件,其最新版本适用于本规范。
GB/T20983-2008 信息安全技术网上银行系统信息安全保障评估准则GB/T 22239-2008信息安全技术信息系统安全等级保护基本要求GB/T20984-2007 信息安全技术信息系统风险评估规范GB/T 18336.1-2008 信息技术安全技术信息技术安全性评估准则第1部分:简介和一般模型GB/T 18336.2-2008 信息技术安全技术信息技术安全性评估准则第2部分:安全功能要求GB/T18336.3-2008信息技术安全技术信息技术安全性评估准则第3部分: 安全保证要求GB/T22080-2008信息技术安全技术信息安全管理体系要求GB/T 22081-2008信息技术安全技术信息安全管理使用规则GB/T14394-2008计算机软件可靠性和可维护性管理GB/T22239-2008信息安全技术信息系统安全等级保护基本要求《中国人民银行关于进一步加强银行业金融机构信息安全保障工作的指导意见》(银发〔2006〕123号)《中国人民银行中国银行业监督管理委员会公安部国家工商总局关于加强银行卡安全管理预防和打击银行卡犯罪的通知》(银发〔2009〕142号)《中国人民银行办公厅关于贯彻落实<中国人民银行中国银行业监督管理委员会公安部国家工商总局关于加强银行卡安全管理预防和打击银行卡犯罪的通知>的意见》(银办发〔2009〕149号)3术语和定义GB/T20274确立的以及下列术语和定义适用于本规范。
3.1 网上银行商业银行等金融机构通过互联网等公众网络基础设施,向其客户提供各种金融业务。
3.2 互联网因特网或其他类似形式的通用性公共计算机通信网络。
3.3敏感信息任何影响网上银行安全的密码、密钥以及交易数据等信息,密码包括但不限于转账密码、查询密码、登录密码、证书的PIN码等。
3.4客户端程序为网上银行客户提供人机交互功能的程序,以及提供必需功能的组件,包括但不限于:可执行文件、控件、静态链接库、动态链接库等。
3.5 USBKey一种USB接口的硬件设备。
它内置单片机或智能卡芯片,有一定的存储空间,可以存储用户的私钥以及数字证书。
3.6USB Key固件影响USB Key安全的程序代码。
3.7 强效加密一个通用术语,表示极难被破译的加密算法。
加密的强壮性取决于所使用的加密密钥。
密钥的有效长度应不低于可比较的强度建议所要求的最低密钥长度。
对于基于密钥的系统(例如3DES),应不低于80 位。
对于基于因子的公用密钥算法(例如RSA),应不低于1024 位。
4符号和缩略语以下缩略语和符号表示适用于本规范:CA数字证书签发和管理机构(Certification Authority)Cookies为辨别客户身份而储存在客户本地终端上的数据COS卡片操作系统(Card OperatingSystem)C/S 客户机/服务器(Client/Server)DOS/DDOS 拒绝服务/分布式拒绝服务(Denial of Service/Distributed of Service)IDS/IPS入侵检测系统/入侵防御系统(Intrusion Detection System/ Intru sion PreventionSystem)IPSEC IP安全协议OTP一次性密码(One Time Password)PKI 公钥基础设施(PublicKey Infrastructure)SSL安全套接字层(Secure Socket Layer)SPA/DPA 简单能量分析/差分能量分析(Simple Power Analysis/DifferentialPower Analysis)SEMA/DEMA简单电磁分析/差分电磁分析(Simple Electromagnetism Anal ysis/ Differential Electromagnetism Analysis) TLS 传输层安全(TransferLayer Secure)VPN虚拟专用网络(VirtualPrivate Network)5网上银行系统概述5.1系统标识在系统标识中应标明以下内容:―名称:XX 银行网上银行系统―所属银行5.2系统定义网上银行系统是商业银行等金融机构通过互联网等公众网络基础设施,向其客户提供各种金融业务服务的一种重要信息系统。
网上银行系统将传统的银行业务同互联网等资源和技术进行融合,将传统的柜台通过互联网向客户进行延伸,是商业银行等金融机构在网络经济的环境下,开拓新业务、方便客户操作、改善服务质量、推动生产关系变革等的重要举措,提高了商业银行等金融机构的社会效益和经济效益。
5.3系统描述网上银行系统主要由客户端、通信网络和服务器端组成。
5.3.1客户端网上银行系统客户端不具备或不完全具备专用金融交易设备的可信通讯能力、可信输出能力、可信输入能力、可信存储能力和可信计算能力,因此,需要辅助安全设备,并通过接受、减轻、规避及转移的策略来应对交易风险。
因此,网上银行系统客户端应包括基本交易终端和专用辅助安全设备。
基本交易终端目前主要为电脑终端,将来可包括手机、固定电话等。
专用辅助安全设备用于保护数字证书、动态口令和静态密码等,应按照其在交易中具备的可信通讯能力、可信输出能力、可信输入能力、可信存储能力和可信计算能力五种能力的组合对其进行分类分析,并制订与之适应的交易安全风险防范策略。
5.3.2通信网络网上银行借助互联网技术向客户提供金融服务,其通信网络的最大特点是开放性,开放性带来的优点是交易成本的降低和交易便利性的提高,缺点是交易易受到安全威胁及通讯稳定性降低。
因此,网上银行业务设计应充分利用开放网络低成本和便利的特点,有效应对开放网络通讯安全威胁,同时采取手段提高交易稳定性和成功率。
5.3.3服务器端网上银行系统服务器端用于提供网上银行应用服务和核心业务处理,应充分利用各种先进的物理安全技术、网络安全技术、主机安全技术、访问控制技术、密码技术、安全审计技术、系统漏洞检测技术和黑客防范技术,在攻击者和受保护的资源间建立多道严密的安全防线。
5.4安全域网上银行系统是一个涉及不同的应用系统、客户对象、数据敏感程度等的复杂信息系统。
在网上银行系统的描述中,应根据应用系统、客户对象、数据敏感程度等划分安全域。
安全域是一个逻辑的划分,它是遵守相同的安全策略的用户和系统的集合。
通过对安全域的描述和界定,就能更好地对网上银行系统信息安全保障进行描述。