网上银行信息系统安全通用规范
《网上银行系统信息安全通用规范》概述及修订分析
《网上银行系统信息安全通用规范》概述及修订分析随着互联网的飞速发展,网上银行已经成为人们日常生活中不可或缺的服务之一。
随之而来的信息安全问题也给网上银行带来了很大的挑战。
为了规范网上银行系统信息安全,保障用户的资金安全和个人信息安全,国家相关部门出台了《网上银行系统信息安全通用规范》,对网上银行系统的信息安全进行了全面规范和要求。
本文将对《网上银行系统信息安全通用规范》进行概述,并对其修订进行深入分析。
《网上银行系统信息安全通用规范》是由国家相关部门发布的一项关于网上银行系统信息安全的通用规范,其目的在于规范和加强网上银行系统的信息安全管理,保护用户的合法权益,维护金融秩序和国家安全。
该规范包括了网上银行系统的整体架构、安全管理、风险控制等方面的要求,是网上银行运营过程中的重要指导文件。
《规范》分为引言、术语和定义、信息安全管理、网上银行业务信息系统安全技术要求、风险控制与监测、安全事件和应急处置、监督管理等七个部分,细致而系统地规范了网上银行系统信息安全方面的各项工作。
《规范》要求网上银行系统要建立健全完善的信息安全管理制度,加强对用户身份的验证和保护,确保用户信息的保密性和完整性。
对于网络安全技术方面也有具体的要求,包括对数据加密、网络防火墙、访问控制等方面的要求。
还要求网上银行系统对安全风险进行评估和控制,并建立应急响应机制,及时处置各类安全事件,保障系统的稳定与安全。
整体来说,《规范》为网上银行系统的信息安全提供了详细而全面的指导,对于提高网上银行系统的信息安全水平具有重要意义。
中国的互联网金融市场发展迅速,不断出现新的业务模式和技术手段,这就对《网上银行系统信息安全通用规范》提出了新的挑战和要求。
及时对《规范》进行修订,使之能够适应新的市场环境和技术发展,对于保障网上银行系统的信息安全具有十分重要的意义。
在修订《规范》时,应该充分考虑到新兴的互联网金融业务,如移动支付、P2P借贷等,这些新业务在传统的《规范》中可能未能覆盖到。
网上银行系统信息安全通用规范
签名时有提示功能(指示灯、声音) 退出登录时应提示客户取下USB Key
防范USB Key远 程劫持
一段时间内无任何操作,自动关闭
增
强
要
屏幕显示或语音提示、按键确认功能 求
4、主要内容
4.1.2 安全技术—专用安全设备安全
时间机制的OTP令牌,时间窗口不 超过60秒
挑战应答的OTP令客户端程序应禁止在身份认证结束后存储敏感信息,防止敏感信息的泄露。
4、主要内容
4.1.1 安全技术—客户端安全
4.1.1 客户端安全 • 客户端程序安全
功能要求 防护功能:
客户端防分析: • 客户端程序应采取代码混淆等技术手段,防范攻击者对客户端程序的调试
、分析和篡改。 客户端防篡改: • 应对客户端程序进行签名,标识客户端程序的来源和发布者,保证客户所
4、主要内容
4.1.1安全技术—客户端安全
4.1.1 客户端安全 • 客户端环境安全:
采取有效措施提升客户端环境安全级别,例如在线杀毒服务、安全检测工具等。 发现移动终端平台的重大安全缺陷或安全威胁时,应在门户站点发布警示通知, 并通过短信、邮件等方式警示客户。
4、主要内容
4.1.2安全技术—专用安全设备安全
• 金融机构应采取有效技术措施保证客户端处理的敏感信息、客户端与服务器 交互的重要信息的机密性和完整性;应保证所提供的客户端程序的真实性和 完整性,以及敏感程序逻辑的机密性。
• 客户端程序应提供客户输入敏感信息的即时加密功能,例如,采用密码保护 控件。
• 客户端程序应提供敏感信息机密性、完整性保护功能,例如采取随机布放按 键位置、防范键盘窃听技术、计算MAC校验码等措施。
增强要求; • 使用获得国家主管部门认定的具有电子认证服务许可证的CA 证书及认证服务。
网上银行系统信息安全通用规范
网上银行系统信息安全通用规范
网上银行系统信息安全通用规范是针对网上银行系统信息安全要求研
制的一组统一的基本要求,目的是使网上银行搭建的信息安全管理体系更
加完善。
1、保护客户个人隐私。
保护客户个人隐私是网上银行系统信息安全
要求的基本原则,不能侵害客户的个人隐私,不得泄露客户的个人信息。
2、实施信息安全技术防护。
采用完善的防火墙技术、系统安全评价
技术、认证技术、监视技术、识别技术等,实现网上银行系统的安全保护。
3、以口令及其他身份认证机制保护财产。
采取口令认证、数字签名
认证等机制,建立用户登录及业务交易的身份认证,保证网上银行系统的
安全。
4、保障数据完整性。
采用报文数字签名、报文数字摘要技术,建立
网上银行系统的数据完整性技术保障机制,确保网上银行系统的安全性。
5、强化系统安全管理。
建立内部安全管理机构及内部安全管理人员,实施网上银行系统安全管理体系,保障网上银行系统的安全性。
条码支付业务规范=
条码支付业务规范第一章总则第一条为规范线下条码(二维码)支付(以下简称条码支付)业务经营行为,保护会员单位及消费者合法权益,促进条码支付业务健康发展,根据《电子支付指引(第一号)》、《非金融机构支付服务管理办法》、《非银行支付机构网络支付业务管理办法》等规定,制定本规范。
第二条本规范所称条码支付业务是指会员单位应用条码技术,向客户提供的、通过手机等移动终端实现收付款人之间货币资金转移的行为。
条码支付业务包括付款扫码和收款扫码。
付款扫码是指付款人通过移动终端读取收款人展示的条码完成支付的行为。
收款扫码是指收款人通过读取付款人移动终端展示的条码完成支付的行为。
第三条会员单位开展条码支付业务应遵循本规范。
会员单位开展条码支付业务应遵循依法合规、平等竞争、诚实守信、安全效率、合作共赢的基本原则。
第四条会员单位开展条码支付业务应取得相应的业务资质,并按照监管部门相关业务管理办法规范开展业务,加强风险防范,保障支付安全。
第五条会员单位开展条码支付业务应遵守客户实名制管理规定。
第六条会员单位开展条码支付业务应遵守反洗钱法律法规要求,履行反洗钱和反恐怖融资义务。
第七条会员单位应依法维护客户及相关主体的合法权益,采取有效措施切实保护消费者利益。
第八条会员单位应自觉遵守商业道德,不得以任何形式诋毁其他会员单位的商业信誉,不得利用任何不正当手段损害其他会员单位利益、干预或影响正常市场秩序。
第九条会员单位应遵守监管部门发布的相关技术标准与规范要求,包括但不限于《网上银行系统信息安全通用规范》( JR/T 0068-2012)、《中国金融移动支付技术标准》(JR/T 0088-0098 2012)系列标准、《非金融机构支付业务设施技术要求》( JR/T 0122-2014)等,以及中国支付清算协会(以下简称“协会’’)发布的《条码支付技术安全指引》和《条码支付受理终端技术指引》相关要求,保障条码支付业务的交易安全和信息安全。
个人金融信息保护技术规范标准
个人金融信息保护技术规1 围本标准规定了个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期各环节的安全防护要求,从安全技术和安全管理两个方面,对个人金融信息保护提出了规性要求。
本标准适用于提供金融产品和服务的金融业机构,并为安全评估机构开展安全检查与评估工作提供参考。
2 规性引用文件下列文件对于本文件的应用是必不可少的。
凡是注日期的引用文件,仅注日期的版本适用于本文件。
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 22239-2019信息安全技术网络安全等级保护基本要求GB/T 25069-2010信息安全技术术语GB/T 31186.2-2014银行客户基本信息描述规第2部分:名称GB/T 31186.3-2014银行客户基本信息描述规第3部分:识别标识GB/T 35273-2017信息安全技术个人信息安全规JR/T 0068-2020网上银行系统信息安全通用规JR/T 0071 金融行业信息系统信息安全等级保护实施指引JR/T 0092-2019移动金融客户端应用软件安全管理规JR/T 0149-2016中国金融移动支付支付标记化技术规JR/T 0167-2018云计算技术金融应用规安全技术要求3术语和定义GB/T 25069-2010,GB/T 35273-2017界定的以及下列术语和定义适用于本文件。
3.1金融业机构financial industry institutions本标准中的金融业机构是指由国家金融管理部门监督管理的持牌金融机构,以及涉及个人金融信息处理的相关机构。
3.2个人金融信息personal financial information金融业机构通过提供金融产品和服务或者其他渠道获取、加工和保存的个人信息。
注1:本标准中的个人金融信息包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息及其他反映特定个人某些情况的信息。
代码审查的政策及标准要求
代码审核的政策及标准要求根据IT研究与顾问咨询公司Gartner统计数据显示,75%的黑客攻击发生在应用层。
而由NIST的统计显示92%的漏洞属于应用层而非网络层。
因此,应用软件的自身的安全问题是我们信息安全领域最为关心的问题。
鉴于信息安全发展中所面临的软件安全问题,各个标准化组织及相关管理部门分别从法规、信息安全管理体系建设及行业安全标准等角度对软件进行规范,对软件安全的代码审查工作提出了相应的要求。
1、《信息安全等级保护基本要求》根据《基本要求》中关于外包软件开发的相关要求,一级要求开始就对外包开发软件在上线前进行恶意代码检测,“应在软件安装之前检测软件包中可能存在的恶意代码”。
在测试验收中,提出了对系统进行安全性测试,“应对系统进行安全性测试验收”。
在二级要求中,增加了对源代码进行后门检查的要求,“应要求开发单位提供软件源代码,并审查软件中可能存在的后门”。
三级要求中明确指出要求由第三方测试单位实施系统安全性测试,“应委托公正的第三方测试单位对系统进行安全性测试,并出具安全性测试报告”。
四级要求中增加了对源代码隐蔽信道的安全检查要求,从《基本要求》关于系统安全性测试要求的变化可以看出,系统安全性测试强度不断提高,在四级要求中增加了对“隐蔽信道”的安全检查,测试机构从无要求转向了三级要求中明确规定的第三方测试单位。
一级要求中的恶意代码检测和安全性测试,未明确要求进行源代码层面的安全测试,《基本要求》要求在测试验收时进行必要的软件安全性测试,代码审查可以作为软件安全性测试一项其重要手段,但未进行明确的规定。
在二级要求中增加了对源代码进行后门检查及四级要求中对源代码进行隐蔽信道检查,提供了源代码检测的必要依据。
2、萨班斯法案尽管萨班斯法案没有提及IT或者信息安全,但对绝大多数现代企业来说,财务报告无可避免地会与信息技术联系在一起;换句话说,如果某些关键系统失效了,企业正确报告其财务状况的能力就可能严重受限,甚至短期内丧失。
手机银行业务管理办法
手机银行业务管理办法第一章基本规定为推动手机银行业务的应用和发展,规范我行个人手机银行业务的内部操作和管理,更好地为客户提供金融服务,特制定本管理规定及操作规程。
第一条业务功能的内容手机银行作为电子银行业务的一个服务渠道,可以为客户提供查询服务、转账汇款、理财产品、基金买卖、第三方存管、信用卡服务、个人贷款、出国金融、理财专家、电子支付、代缴费等业务功能。
第二条业务种类的划分根据我行在电子银行渠道提供的各项业务功能的特点,将本人客户号下转账业务和基金买卖、第三方存管等只能转回到原购买账户的投资理财类业务定义为低风险业务;将非本人客户号下转账业务、跨行汇款、电子支付、代缴费等对外转账类业务定义为高风险类业务。
第三条版本的划分手机银行分为Wap版和客户端版,其中客户端版中包括iPhone版、iPad版和Android版。
第二章安全保障第四条手机银行业务要求客户身份信息与手机号码建立唯一绑定关系,一个客户只能签约一部手机号码。
第五条为防止数据伪造风险,WAP手机银行系统由移动运营商直接接入,处于相对封闭的移动数据网络,并限制为特定地址访问,不允许其它来源访问,客户必须使用其开通手机银行服务时所指定的手机号码。
第六条客户端手机银行系统可通过多种方式接入,在高风险交易中使用向其手机银行签约手机号发送动态密码或令牌动态密码保证交易安全。
第七条为避免因手机丢失而影响客户的资金安全,客户的交易信息和账户密码等内容只保存在银行的系统中,每次退出手机银行之后,手机内存中关于卡号、密码等关键信息将会被自动清除。
第八条限额管理为进一步降低业务风险,光大手机银行对于对外转账等风险业务进行了日累计交易限额的控制,以便降低客户资金风险。
第三章密码的使用第九条手机银行与网上银行共用8至14位登录密码。
第十条客户登录手机银行后对于一般低风险业务不需要再输入账户交易密码,对于开通手机银行、账户加挂手机银行以及对外转账、电子支付等高风险业务需要输入账户交易密码。
《网上银行系统信息安全通用规范》概述及修订分析
《网上银行系统信息安全通用规范》概述及修订分析随着互联网的普及和发展,网上银行系统已经成为人们日常生活中不可或缺的一部分。
随之而来的安全风险也日益增多,包括网络钓鱼、恶意软件、数据泄露等问题。
为了保障网上银行系统的信息安全,国家制定了《网上银行系统信息安全通用规范》,并对其进行了多次修订。
本文将对该规范进行概述,同时对其最新一次修订进行分析。
《网上银行系统信息安全通用规范》是由国家相关部门制定的,旨在规范和保障网上银行系统的信息安全,以防范各类网络安全风险。
该规范包括了系统安全、网络安全、数据安全、身份认证、应急响应等多个方面的内容,具有较高的权威性和指导性。
其主要内容包括以下几个方面:1.系统安全:规定了网上银行系统的基本架构、安全配置、运行管理等方面的要求,以确保系统的安全稳定运行。
2.网络安全:对网上银行系统和网络设备的安全防护、网络隔离、入侵检测等进行了详细规定,以保障网络的安全。
3.数据安全:规范了网上银行系统中各类数据的加密、备份、存储、传输等安全要求,防止数据被篡改、泄露。
4.身份认证:对用户身份认证的方式、安全性要求进行了详细规范,以确保用户身份的真实性和安全性。
5.应急响应:规定了网上银行系统遇到安全事件时的响应和处理机制,包括安全事件的报告、处置等程序。
随着网络安全形势的不断变化和发展,为了进一步加强网上银行系统的信息安全保障,国家对《网上银行系统信息安全通用规范》进行了多次修订。
最新一次修订主要包括以下几个方面的内容:1.加强密码安全管理:随着密码破解技术的不断发展,密码安全问题日益突出。
新修订的规范对密码的生成、存储、传输、使用等方面进行了更加严格的规定,包括采用更加安全的加密算法、提高密码的复杂度、定期强制用户更新密码等措施,以加强密码的安全管理。
2.加强用户身份认证:为了防范网络钓鱼等攻击,新修订的规范对用户身份认证的要求更加严格,推荐采用多因素身份认证方式,如密码+动态口令、密码+指纹等,以提高认证的安全性和可靠性。
电子银行业务管理办法
附件电子银行业务管理办法第一章总则第一条为加强本行电子银行业务管理,规范业务处理行为,防范风险发生,促进电子银行业务健康、持续、快速发展,根据《商业银行法》《电子签名法》《电子银行业务管理办法》《电子支付指引》《网上银行系统信息安全规范》《人民币银行结算账户管理办法》《支付结算办法》以及监管部门有关规定、规范性文件和相关业务制度,制定本办法。
第二条本办法所称的电子银行业务(简称“电子银行”)是指本行通过面向社会公众开放的通讯通道或开放型公众网络等方式,向客户提供的账户管理、信息查询、转账汇款、缴费支付、投资理财等离柜金融服务。
包括但不限于手机银行、微信银行及小程序、企业网上银行、电话银行、短信业务等电子渠道。
第三条开办电子银行业务均须执行本办法,凡符合办理电子银行业务条件的本行均应受理。
第二章基本规定第四条本行开展电子银行业务应坚持依法合规的原则,严禁弄虚作假、越权操作、玩忽职守、牟取私利等违规违纪违法行为。
第五条本行开展电子银行业务应遵循“合理规划、统一管理、统一开发”的原则,严格执行新业务、新产品的申请或报备制度,强化合规风险管理。
第六条本行通过电子银行业务平台对外提供产品或服务,应履行以下职责:(一)确保通过电子银行业务平台提供的产品或服务符合国家法律法规和监管要求;(二)对产品或服务进行风险识别和评估,控制相应风险;(三)制订相应业务制度和产品服务协议等法律文本,其中涉及电子银行业务平台的规定应与本办法相符。
第七条本行通过电子银行业务平台开展产品创新时,应将消费者权益保护要求融入产品开发、业务发展和经营管理的各个环节:(一)在产品研发环节,本着易于理解和接受的原则设计业务流程和交易规则,提升产品和服务的易用性;(二)在业务宣传材料制作环节,以通俗易懂的语言、形式介绍产品与服务的基本概念、业务规则、风险点与收费政策等;(三)在客户营销环节,详尽讲解产品和服务特征,充分揭示风险,根据客户实际需求、投资偏好、风险承受能力等有针对性地推介产品;(四)在业务签约环节,引导客户认真阅读有关产品和服务的重要协议条款、业务规则、操作注意事项等内容,帮助客户全面了解产品;(五)在客户服务环节,及时解答客户咨询,针对客户实际问题提供个性化解决方案;对于因客户理解偏差而产生的投诉事件,详细讲解银行业务规则,消除客户误解;(六)在产品和服务的售后环节,做好跟踪维护工作,对于因国家政策、监管规章等因素导致的合同条款、产品投向的变化及时告知和解释,将宣教工作贯穿产品和服务存续始终,引导客户合理行使权利、履行义务。
中华人民共和国行业标准备案公告2012年第8号(总第152号)--依法备案行业标准112项的公告
文章属性
【制定机关】国家标准化管理委员会
【公布日期】2012.08.21
【文 号】中华人民共和国行业标准备案公告2012年第8号[总第152号]
【施行日期】2012.03.21
【效力等级】部门规范性文件
【时效性】现行有效
2012-05-24
2012-11-01
工业和信息化部
21
36842-2012
WJ 9075.3-2012
民用爆破器材企业安全检查方法 检查表法 第3部分:工业炸药及其制品生产线
2012-05-24
2012-11-01
工业和信息化部
22
36843-2012
WJ 9075.4-2012
民用爆破器材企业安全检查方法 检查表法 第4部分:工业雷管生产线
2012-11-01
工业和信息化部
58
36879-2012
HG 30008-2012
β-型酞菁蓝(C.I.颜料蓝15:3)生产安全技术规范
HG A084-1983
2012-05-24
2012-11-01
工业和信息化部
59
36880-2012
HG 30009-2012
分散蓝2BLN(C.I.分散蓝56)生产安全技术规范
36833-2012
GM/T 0002012-03-21
国家密码管理局
13
36834-2012
WJ/T 9069-2012
工业炸药药卷自动包装机技术条件
2012-05-24
2012-11-01
工业和信息化部
14
网上银行系统信息安全通用规范(2020年最新版)
3.12 资金类交易 funds transaction
通过网上银行进行的资金操作交易。
注:例如,转账、订单支付、缴费等。本人名下的投资理财、托管账户以及本人签订委托代扣协议的委托代扣等风 险可控的资金变动不属于此范畴。
3.13 信息及业务变更类交易 information and business changing transaction
年版的 6.1.4、6.2); ——修改了客户端安全的表述,补充了自身防护、敏感信息保护等安全要求(见 6.2.1.1,2012 年
版的 6.1.1); ——增加了条码支付相关要求(见 6.2.1.1、6.2.4.3); ——修改了专用安全设备的安全要求,并改名为“专用安全机制”(见 6.2.2,2012 年版的 6.1.2); ——增加了安全单元和移动终端支付可信环境相关要求(见 6.2.2.1、6.2.2.5); ——增加了生物特征相关要求(见 6.2.2.5); ——增加了云计算安全相关要求(见 6.2.4.1、6.3.1); ——增加了 IPv6 相关要求(见 6.2.4.3); ——增加了虚拟化安全相关要求(见 6.2.4.4); ——增加了网上银行系统与外部系统连接安全的基本描述和安全要求(见 6.2.5); ——修改了业务连续性与灾难恢复安全要求(见 6.3.7,2012 年版的 6.2.6 中的 k、l); ——修改了安全事件与应急响应的安全要求(见 6.3.8,2012 年版的 6.2.6 中的 m、n); ——增加了Ⅱ、Ⅲ类银行结算账户及交易安全锁相关要求(见 6.4.1); ——删除了附录中的基本的网络防护架构参考图、增强的网络防护架构参考图和物理安全(2012
注1:本标准分为基本要求和增强要求两个层次,基本要求为最低安全要求,增强要求是进一步提升系统安全性的 要求。各单位应在遵照执行基本要求的同时,按照增强要求,积极采取改进措施,不断提高安全保障能力。
网上银行系统信息安全通用规范(试行)
5 5.1
网上银行系统概述
系统标识
在系统标识中应标明以下内容: ―名称:XX 银行网上银行系统 ―所属银行
第 6 页
网上银行系统信息安全通用规范
5.2
系统定义
网上银行系统是商业银行等金融机构通过互联网等公众网络基础设施, 向其客户提供各
种金融业务服务的一种重要信息系统。 网上银行系统将传统的银行业务同互联网等资源和技 术进行融合, 将传统的柜台通过互联网向客户进行延伸, 是商业银行等金融机构在网络经济 的环境下,开拓新业务、方便客户操作、改善服务质量、推动生产关系变革等的重要举措, 提高了商业银行等金融机构的社会效益和经济效益。
第 2 页网上银行系统源自息安全通用规范前言
本规范是在收集、 分析评估检查发现的网上银行系统信息安全问题和已发生过的网上银 行案件的基础上,有针对性提出的安全要求,内容涉及网上银行系统的技术、管理和业务运 作三个方面。 本规范分为基本要求和增强要求两个层次。 基本要求为最低安全要求, 增强要求为本规 范下发之日起的三年内应达到的安全要求, 各单位应在遵照执行基本要求的同时, 按照增强 要求,积极采取改进措施,在规定期限内达标。 本规范旨在有效增强现有网上银行系统安全防范能力,促进网上银行规范、健康发展。 本规范既可作为网上银行系统建设和改造升级的安全性依据, 也可作为各单位开展安全检查 和内部审计的依据。
《中国人民银行关于进一步加强银行业金融机构信息安全保障工作的指导意见》 (银发 〔2006〕123 号) 《中国人民银行 中国银行业监督管理委员会 公安部 国家工商总局关于加强银行卡安 全管理预防和打击银行卡犯罪的通知》 (银发〔2009〕142 号)
第 4 页
网上银行系统信息安全通用规范
《中国人民银行办公厅关于贯彻落实 <中国人民银行 中国银行业监督管理委员会 公 安部 国家工商总局关于加强银行卡安全管理预防和打击银行卡犯罪的通知>的意见》 (银办发〔2009〕149 号)
网商银行系统信息安全通用规范
网商银行系统信息安全通用规范网商银行系统信息安全通用规范为了保障网商银行系统的信息安全,防止系统被非法入侵和黑客攻击,制定了以下的系统信息安全通用规范。
1. 访问控制1.1 网商银行系统应该使用强密码来保护用户账户安全,密码应该包含字母、数字和特殊字符,定期更换密码。
1.2 用户应该使用多因素认证方式登录系统,如密码加指纹、短信验证码等。
1.3 系统管理员应该设定和管理用户权限,只给予必要的权限,且需要及时回收已离职员工的权限。
2. 数据安全2.1 数据应该进行加密传输和存储,确保数据不被窃取或篡改。
2.2 数据备份应该定期进行,备份数据应该存放在安全的地方,以防止数据丢失或受损。
2.3 网络通信中包含敏感信息的数据包必须使用加密算法进行加密,确保数据的机密性。
3. 系统更新和漏洞修复3.1 系统应该经常进行更新和漏洞修复,及时修复已发现的安全漏洞,以防止黑客入侵系统。
3.2 系统管理员应该及时关注系统厂商的公告,了解最新的安全补丁,并及时进行安装。
4. 安全审计和监控4.1 系统应该具备日志记录功能,记录用户的操作行为和系统的重要事件,以便进行安全审计。
4.2 系统应该部署入侵检测和防火墙等安全设备,及时发现并阻止非法入侵。
4.3 系统管理员应该定期对系统进行安全巡检,及时发现并解决潜在的安全问题。
5. 员工教育和安全意识培养5.1 网商银行应该定期开展员工安全教育和培训,提高员工的安全意识和对信息安全的重视程度。
5.2 网商银行应该制定明确的安全管理责任制度,并加强对员工的安全监管和管理。
总结:上述信息安全通用规范旨在提高网商银行系统的信息安全性能,规范用户的行为和系统管理员的操作,以确保用户的账户和数据的安全。
通过访问控制、数据安全、系统更新和漏洞修复、安全审计和监控以及员工教育和安全意识培养等措施的综合应用,可以有效地保障网商银行系统的信息安全。
中国人民银行关于印发《银行卡联网联合安全规范》行业标准的通知
中国人民银行关于印发《银行卡联网联合安全规范》行业标准的通知文章属性•【制定机关】中国人民银行•【公布日期】2001.12.13•【文号】银发[2001]405号•【施行日期】2001.12.13•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】标准化正文中国人民银行关于印发《银行卡联网联合安全规范》行业标准的通知(2001年12月13日银发[2001]405号)中国人民银行各分行、营业管理部,省会(首府)城市中心支行,国家外汇管理局,各国有独资商业银行、股份制商业银行,邮政储汇局:《银行卡联网联合安全规范》行业标准,业经全国金融标准化技术委员会审查通过,现予以印发,并就有关事项通知如下:一、标准的编号和名称:JR/T0003-2001《银行卡联网联合安全规范》二、凡中华人民共和国境内银行卡联网成员必须严格遵循本标准。
三、本标准由全国金融标准化技术委员会负责解释。
附:银行卡联网联合安全规范1.范围本标准规定了加入全国银行卡网络的相关入网设备、设施的安全技术要求,也规定了对持卡人、商户、卡片和终端机具供应商以及参加银行卡联合组织工作人员的安全管理要求。
本标准适用于银行卡联网成员。
本标准提出的技术要求是加入联网联合网络的基本安全要求。
2.规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。
凡是不注日期的引用文件,其最新版本适用于本标准。
GJB2256军用计算机安全术语GB/T2887电子计算机场地通用规范GB/T9361计算机场地安全要求GB/T9387.2信息处理系统开放系统互连基本参考模型第2部分:安全体系结构GB/T13543数字通讯设备环境实验要求GB17859计算机信息系统安全保护等级划分准则GB/T18336.3信息技术安全技术信息技术安全性评估准则第3部分:安全保证要求ANSIX9.8银行业——个人标识码的管理和安全银行卡联网联合业务规范银行卡联网联合技术规范银行计算机信息系统安全技术规范3.术语、定义和缩略语3.1 术语和定义下列术语和定义适用于本标准。
网上银行系统信息安全通用规范标准
附件网上银行系统信息安全通用规范(试行)中国人民银行1 使用范围和要求 (4)2 规范性引用文件 (4)3 术语和定义 (5)4 符号和缩略语 (6)5 网上银行系统概述 (6)5.1 系统标识 (6)5.2 系统定义 (7)5.3 系统描述 (7)5.4 安全域 (8)6 安全规范 (9)6.1 安全技术规范 (9)6.2 安全管理规范 (22)6.3 业务运作安全规范 (26)附1 基本的网络防护架构参考图 (30)附2 增强的网络防护架构参考图 (31).言本规范是在收集、分析评估检查发现的网上银行系统信息安全问题和已发生过的网上银行案件的基础上,有针对性提出的安全要求,内容涉及网上银行系统的技术、管理和业务运作三个方面。
本规范分为基本要求和增强要求两个层次。
基本要求为最低安全要求,增强要求为本规范下发之日起的三年内应达到的安全要求,各单位应在遵照执行基本要求的同时,按照增强要求,积极采取改进措施,在规定期限内达标。
本规范旨在有效增强现有网上银行系统安全防范能力,促进网上银行规范、健康发展。
本规范既可作为网上银行系统建设和改造升级的安全性依据,也可作为各单位开展安全检查和内部审计的依据。
1 使用范围和要求本规范指出了网上银行系统的描述、 安全技术规范、 安全管理规范、 业务运作安全规范, 适用于规范网上银行系统建设、运营及测评工作。
2 规范性引用文件列文件中的条款通过本规范的引用而成为本规范的条款。
随后所有的修改单(不包括勘误的内容)或修订版均不适用于本规范,然而,鼓励根据本规 范达成协议的各方研究是否可使用这些文件的最新版本。
版本适用于本规范。
模型要求中国人民银行关于进一步加强银行业金融机构信息安全保障工作的指导意见》 (银发 〔 2006〕123 号)中国人民银行 中国银行业监督管理委员会 公安部 国家工商总局关于加强银行卡安 全管理预防和打击银行卡犯罪的通知》 (银发〔 2009 〕142 号) 中国人民银行办公厅关于贯彻落实<中国人民银行 中国银行业监督管理委员会 公安部 国家工商总局关于加强银行卡安全管理预防和打击银行卡犯罪的通知>的意见》凡是注日期的引用文件, 其凡是不注日期的引用文件, 其最新GB/T 20983-2008 信息安全技术 网上银行系统信息安全保障评估准则 GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求 GB/T 20984-2007 信息安全技术信息系统风险评估规范GB/T 18336.1-2008 信息技术安全技术信息技术安全性评估准则第1 部分 : 简介和一般GB/T 18336.2-2008信息技术安全技术信息技术安全性评估准则第 2 部分 : 安全功能GB/T 18336.3-2008 信息技术安全技术信息技术安全性评估准则第 3 部分 : 安全保证要GB/T 22080-2008 信息技术 安全技术 信息安全管理体系要求 GB/T 22081-2008 信息技术 安全技术 信息安全管理使用规则 GB/T 14394-2008 计算机软件可靠性和可维护性管理GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求(银办发〔2009〕149 号)3 术语和定义GB/T 20274 确立的以及下列术语和定义适用于本规范。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
附件网上银行系统信息安全通用规范(试行)中国人民银行目录1 使用范围和要求 (4)2 规范性引用文件 (4)3 术语和定义 (5)4 符号和缩略语 (6)5 网上银行系统概述 (6)5.1 系统标识 (6)5.2 系统定义 (7)5.3 系统描述 (7)5.4 安全域 (8)6 安全规范 (9)6.1 安全技术规范 (9)6.2 安全管理规范 (22)6.3 业务运作安全规范 (26)附l 基本的网络防护架构参考图 (30)附2 增强的网络防护架构参考图 (31)前言本规范是在收集、分析评估检查发现的网上银行系统信息安全问题和已发生过的网上银行案件的基础上,有针对性提出的安全要求,内容涉及网上银行系统的技术、管理和业务运作三个方面。
本规范分为基本要求和增强要求两个层次。
基本要求为最低安全要求,增强要求为本规范下发之日起的三年内应达到的安全要求,各单位应在遵照执行基本要求的同时,按照增强要求,积极采取改进措施,在规定期限内达标。
本规范旨在有效增强现有网上银行系统安全防范能力,促进网上银行规范、健康发展。
本规范既可作为网上银行系统建设和改造升级的安全性依据,也可作为各单位开展安全检查和内部审计的依据。
1使用范围和要求本规范指出了网上银行系统的描述、安全技术规范、安全管理规范、业务运作安全规范,适用于规范网上银行系统建设、运营及测评工作。
2规范性引用文件下列文件中的条款通过本规范的引用而成为本规范的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本规范,然而,鼓励根据本规范达成协议的香方研究是否可使瑚这些文件的最新版本。
凡是不注日期的引用文件,其最新版本适用于本规范。
GB/'IT20983-2008信息安全技术网上银行系统信息安全保障评估准则GB/T22239-2008信息安令技术信息系统安全等级保护基本要求GB/T 20984-2007信息安全技术信息系统风险评估规范GB/T 1 8336.1-2008信息技术安全技术信息技术安全性评估准则第1部分:简介和一般模型GB/T 1 8336.2-2008信息技术安全技术信息技术安全性评估准则第2部分:安全功能要求GB/T l 8336.3-2008信息技术安全技术信息技术安全性评估准则第3部分:安全保证要求GB/T 22080-2008信息技术安全技术信息安全管理体系要求GB/T 22081-2008信息技术安全技术信息安全管理使用规则GB/T 14394-2008计算机软件可靠性和可维护性管理GB/T 22239-2008信息安全技术信息系统安全等级保护基本要求《中围人民银行关丁进一步加强银行业金融机构信息安全保障工作的指导意见》(银发(2006) 123号)《中国人民银行中国银行业监督管理委员会公安部国家工商总局关于加强银行卡安全管理预防和打击银行卡犯罪的通知》(银发(2009) 142号)《中国人民银行办公厅关于贯彻落实<中国人民银行中国银行业监督管理委员会公安部国家工商总局关于加强银行卡安全管理预防和打击银行卡犯罪的通知>的意见》(银办发〔2009〕149号)3术语和定义GB/T 20274确立的以及下列术语和定义适用于本规范。
3.1网上银行商业银行等金融机构通过互联网等公众网络基础设施,向其客户提供各种金融业务。
3.2互联网因特网或其他类似形式的通用性公共计算机通信网络。
3.3敏感信息任何影响网上银行安全的密码、密钥以及交易数据等信息,密码包括但不限于转账密码、查询密码、登录密码、证书的PIN码等。
3.4客户端程序为随上银行客户提供人机交互功能的程序,以及提供必需功能的组件,包括但不限于:可执行文件、控件、静态链接库、动态链接库等。
3.5 USB Key一种USB接口的硬件设备。
它内置单片机或智能卡芯片,有一定的存储空间,可以存储用户的私钥以及数字证书。
3.6 USB Key固件影响USB Key安全的程序代码。
3.7强效加密一个通用术语,表示极难被破译的加密算法。
加密的强壮性取决于所使用的加密密钥。
密钥的有效长度应不低于可比较的强度建议所要求的最低密钥长度。
对于基于密钥的系统(例如3DES),应不低于80位。
对于基于因子的公用密钥算法(例如RSA),应不低于1024位。
4符号和缩略语以下缩略语和符号表示适用于本规范:CA 数字证书签发和管理机构(Certification Authority) Cookies 为辨别客户身份而储存在客户本地终端上的数据COS 卡片操作系统(Card Operating System)C/S 客户机/服务器(Client/Server)DOS/DDOS 拒绝服务/分布式拒绝服务(Denial of Service/Distributed of Service)IDS/IPS 入侵检测系统/入侵防御系统(Intrusion DetectionSystem/Intrusion Prevention System)IPSEC IP安全协议OTP 一次性密码(One Time Password)PKI 公钥基础设旅(Public Key Infrastructure)SSL 安全套接字层(Secure Socket Layer)SPA/DM 简单能繁分析/差分能量分析(Simple Power Analysis/Differential Power Analysis)SEMA/DEMA 简单电磁分析/差分电磁分析(Simple Electromagnetism Analysis Differential Electromagnetism Analysis)TLS 传输层安全(Transfer Layer Secure)VPN 虚拟专用网络(Virtual Private Network)5 网上银行系统概述5.1 系统标识在系统标识中应标明以下内容:一名称:XX银行网上银行系统一所属银行5.2 系统定义网上银行系统是商业银行等金融机构通过互联网等公众网络基础设施,向其客户提供各种金融业务服务的一种重要信息系统。
网上银行系统将传统的银行业务同互联网等资源和技术进行融合,将传统的柜台通过互联网向客户进行延伸,是商业银行等金融机构在网络经济的环境下,开拓新业务、方便客户操作、改善服务质量、推动生产关系变革等的重要举措,提高了商业银行等金融机构的社会效益和经济效益。
5.3 系统描述网上银行系统主要由客户端、通信网络和服务器端组成。
5.3.1客户端网上银行系统客户端不具备或不完全具备专用金融交易设备的可信通讯能力、可信输出能力、可信输入能力、可信存储能力和可信计算能力,因此,需要辅助安全设备,并通过接受、减轻、规避及转移的策略来应对交易风险。
因此,网上银行系统客户端应包括基本交易终端和专用辅助安全设备。
基本交易终端目前主要为电脑终端,将来可包括手机、固定电话等。
专用辅助安全设备用于保护数字证书、动态口令和静态密码等,应按照其在交易中具备的可信通讯能力、可信输出能力、可信输入能力、可信存储能力和可信计算能力等五种能力的组合对其进行分类分析,并制订与之适应的交易安全风险防范策略。
5。
3.2通信网络网上银行借助互联网技术向客户提供金融服务,其通信网络的最大特点是开放性,开放性带来的优点是交易成本的降低和交易便利性的提高,缺点是交易易受到安全威胁及通讯稳定性降低。
因此,网上银行业务设计应充分利用开放网络低成本和便利的特点,有效应对开放网络通讯安全威胁,同时采取手段提高交易稳定性和成功率。
5.3.3服务器端:网上银行系统服务器端用于提供网上银行应用服务和核心业务处理,应充分利用各种先进的物理安全技术、网络安全技术、主机安全技术、访问控制技术、密码技术、安全审计技术、系统漏洞检测技术和黑客防范技术,在攻击者和受保护的资源间建立多道严密的安全防线。
5.4 安全域网上银行系统是一个涉及不同的应用系统、客户对象、数据敏感程度等的复杂信息系统。
在网上银行系统的描述中,应根据应用系统、客户对象、数据敏感程度等划分安全域。
安全域是一个逻辑的划分,它是遵守相同的安全策略的用户和系统的集合。
通过对安全域的描述和界定,就能更好地对网上银行系统信息安全保障进行描述。
具体而言,网上银行系统主要包括:客户端、网上银行访问子网、网上银行业务系统、中间隔离设备和安全认证设备等。
如图1所示:.外部区域:网上银行的用户,安装网上银行客户端,通过互联网访问网上银行业务系统;安全区域一:网上银行访问子网,主要提供客户的Web访问;安全区域二:网上银行业务系统,主要进行网上银行的业务处理;银行内部系统:银行处理系统,主要进行银行内部的数据处理。
6 安全规范作为金融机构IT业务应用系统之一,网上银行系统需要与其他业务应用系统一起纳入金融机构全面的风险管理体系中。
网上银行信息安全规范可分为安全技术规范、安全管理规范和业务运作安全规范。
安全技术规范从客户端安全、专用辅助安全设备安全、网络通信安全和网上银行服务器端安全几个方面提出;安全管理规范从组织结构、管理制度、人员及文档管理和系统运行管理几个方面提出,业务运作安全规范从业务申请及开通、业务安全交易机制、客户教育几个力面提出。
下面将分别对其进行阐述。
6.1安全技术规范6.1.1客户端安全6.1.1.1客户端程序A.基本要求:a) 客户端程序上线前应进行严格的代码安全测试,如果客户端程序是外包给第三方机构开发的,金融机构应要求开发商进行代码安全测试。
金融机构应建立定期对客户端程序进行安全检测的机制。
b) 客户端程序应通过指定的第三方中立测试机构的安全检测。
c) 客户端程序应具有抗逆向分析、抗反汇编等安全性防护措施,防范攻击者对客户端程序的调试、分析和篡改。
d) 客户端程序的临时文件中不应出现敏感信息,临时文件包括但不限于Cookies。
客户端程序应禁止在身份认证结束后存储敏感信息,防止敏感信息的泄露。
e) 客户端程序应防范键盘窃听敏感信息,例如防范采用挂钩Windows键盘消息等方式进行键盘窃听,并应具有对通过挂钩窃听键盘信息进行预警的功能。
f) 客户端程序应防范恶意程序获取或篡改敏感信息,例如使用浏览器接口保护控件进行防范。
B.增强要求:a) 客户端程序应保护在客户端启动的用于访问网上银行的进程,防止非法程序获取该进程的访问权限。
b) 进行转账类交易时,客户端程序应采取防范调试跟踪的措施,例如开启新的进程。
c) 客户端程序应采用反屏幕录像技术,防止非法程序获取敏感信息。
6.1.1.2密码保护A.基本要求:a) 禁止明文显示密码,府使心相同位数的同一特殊字符(例如*和#)代替。
b) 密码应有复杂度的要求,包括:·长度至少6位,支持字母和数字共同组成。