网上银行系统信息安全通用规范word版
网上银行系统信息安全通用规范
签名时有提示功能(指示灯、声音) 退出登录时应提示客户取下USB Key
防范USB Key远 程劫持
一段时间内无任何操作,自动关闭
增
强
要
屏幕显示或语音提示、按键确认功能 求
4、主要内容
4.1.2 安全技术—专用安全设备安全
时间机制的OTP令牌,时间窗口不 超过60秒
挑战应答的OTP令客户端程序应禁止在身份认证结束后存储敏感信息,防止敏感信息的泄露。
4、主要内容
4.1.1 安全技术—客户端安全
4.1.1 客户端安全 • 客户端程序安全
功能要求 防护功能:
客户端防分析: • 客户端程序应采取代码混淆等技术手段,防范攻击者对客户端程序的调试
、分析和篡改。 客户端防篡改: • 应对客户端程序进行签名,标识客户端程序的来源和发布者,保证客户所
4、主要内容
4.1.1安全技术—客户端安全
4.1.1 客户端安全 • 客户端环境安全:
采取有效措施提升客户端环境安全级别,例如在线杀毒服务、安全检测工具等。 发现移动终端平台的重大安全缺陷或安全威胁时,应在门户站点发布警示通知, 并通过短信、邮件等方式警示客户。
4、主要内容
4.1.2安全技术—专用安全设备安全
• 金融机构应采取有效技术措施保证客户端处理的敏感信息、客户端与服务器 交互的重要信息的机密性和完整性;应保证所提供的客户端程序的真实性和 完整性,以及敏感程序逻辑的机密性。
• 客户端程序应提供客户输入敏感信息的即时加密功能,例如,采用密码保护 控件。
• 客户端程序应提供敏感信息机密性、完整性保护功能,例如采取随机布放按 键位置、防范键盘窃听技术、计算MAC校验码等措施。
增强要求; • 使用获得国家主管部门认定的具有电子认证服务许可证的CA 证书及认证服务。
网上银行系统信息安全通用规范
网上银行系统信息安全通用规范
网上银行系统信息安全通用规范是针对网上银行系统信息安全要求研
制的一组统一的基本要求,目的是使网上银行搭建的信息安全管理体系更
加完善。
1、保护客户个人隐私。
保护客户个人隐私是网上银行系统信息安全
要求的基本原则,不能侵害客户的个人隐私,不得泄露客户的个人信息。
2、实施信息安全技术防护。
采用完善的防火墙技术、系统安全评价
技术、认证技术、监视技术、识别技术等,实现网上银行系统的安全保护。
3、以口令及其他身份认证机制保护财产。
采取口令认证、数字签名
认证等机制,建立用户登录及业务交易的身份认证,保证网上银行系统的
安全。
4、保障数据完整性。
采用报文数字签名、报文数字摘要技术,建立
网上银行系统的数据完整性技术保障机制,确保网上银行系统的安全性。
5、强化系统安全管理。
建立内部安全管理机构及内部安全管理人员,实施网上银行系统安全管理体系,保障网上银行系统的安全性。
银行计算机信息系统安全管理工作规定模版
银行计算机信息系统安全管理工作规定(暂行)第一章总则第一条为了加强银行计算机信息系统的安全管理工作,防范计算机犯罪,保证计算机系统安全、稳定地运行,根据《商业银行信息科技风险管理指引》等有关法律、法规,特制定本规定。
第二条本规定适用于我行各级机构,包括总行各部门及各分支行。
第三条我行计算机信息系统安全保护工作实行谁主管、谁负责,预防为主、人员防范与技术防范相结合的原则,逐级建立安全保护责任制。
第四条我行各部门的分支行负责人为本部门和分支行计算机信息系统安全保护工作的第一责任人。
第五条本规定所称计算机信息系统安全防范设施包括计算机中心机房的构筑防护设施和计算机信息系统及其相关配套设备的技术防护设施。
第二章计算机机房安全防范设施及安全管理第六条我行的计算机中心机房应当符合下列基本要求:(一)中心机房在建筑内应为独立区域。
(二)中心机房周围100米内不得有危险建筑,如加油站、煤气站等。
(三)中心机房必须按照有关标准配置防火、防水、防盗设施。
(四)中心机房必须采用双回路供电,配备发电机、UPS等设施。
第七条重要的通讯控制装置及通讯线路必须有备份。
网络通讯设施要有安全技术措施。
第八条中心机房其他安全设施及管理按照《银行中心机房管理制度》和其他相关规定执行。
第三章计算机普通用户安全管理第九条计算机普通用户安全管理包括各类操作系统、数据库系统、应用系统、网络设备、其他计算机设备的用户管理。
第十条所有计算机使用者负责维护和妥善保管自己的计算机用户密码。
对于可疑情况,必须向信息技术部报告备案。
第十一条各类用户应坚持一人一用户原则,严禁使用他人的计算机用户登录计算机系统;严禁将自己的计算机用户给他人使用。
计算机用户的使用者在用户登录期间因故离开或使用结束后必须及时退出系统。
第十二条严格控制各类用户密码长度(至少6位);密码不能和用户名相同,也不能使用本人姓名、生日、身份证号码、电话号码等容易被猜出的数字或字母。
第十三条计算机使用者每三个月必须更改用户密码一次。
《网上银行系统信息安全通用规范》概述及修订分析
《网上银行系统信息安全通用规范》概述及修订分析
《网上银行系统信息安全通用规范》是中国人民银行发行的旨在指导银行、金融机构
和相关机构加强网上银行系统信息安全保护的规范性文件。
该规范于2005年首次发布,2015年进行了修订,对于当前我国网络环境复杂、信息安全面临的挑战更为紧迫的情况下,修订《通用规范》具有重要意义。
《通用规范》修订的关键点主要包括三个方面:一是强化信息安全管理,包括完善安
全管理制度、加强用户认证和授权管理、严格访问控制和监控等;二是提高应对网络攻击
和恶意软件的能力,包括完善安全事件应急预案、建立应急响应机制以及加强对恶意软件
的防范和治理等;三是加强对移动金融的安全控制,包括增强移动设备的安全性、建立责
任追溯机制、加强对移动应用程序的安全审查等。
相对于原版《通用规范》而言,修订版更加注重信息安全管理与技术措施的结合,以
及注重金融机构应急响应的能力。
随着互联网金融业务的迅速发展,我国网上银行用户数量越来越多,信息安全问题也
不断暴露出来。
例如2018年12月,我国某银行因为信息泄露问题在网络上引起广泛关注。
因此,修订《通用规范》具有一定的迫切性。
总之,《网上银行系统信息安全通用规范》为银行、金融机构等提供了明确的指导标准,洞察了互联网金融时代的信息安全风险挑战,为实现移动互联网时代的银行业转型升
级提供了重要的保障。
《网上银行系统信息安全通用规范》概述及修订分析
《网上银行系统信息安全通用规范》概述及修订分析《网上银行系统信息安全通用规范》是中国银监会于2003年发布的指导性规范性文件,适用于所有银行机构的网上银行系统信息安全管理。
该规范旨在建立健全银行机构网上银行系统信息安全管理机制,确保网上银行系统安全稳定运行,防范各种网络安全风险。
2014年,中国银监会发布了修订后的《网上银行系统信息安全通用规范》。
修订后的规范主要是在原有框架的基础上对新技术、新业务、新风险,以及网络安全法等相关法规的变化做出的调整和完善。
修订后的规范内容主要包括:信息安全管理、系统安全、网络安全、业务安全、物理环境安全、人员安全等六个方面,其中最具代表性的改变是:一、加强安全策略规范要求银行机构应建立符合其网上银行系统的安全策略,并不断进行更新和维护。
在安全策略制定过程中,要考虑网上银行系统所面临的安全威胁和风险,及时对策应对。
同时,规范还要求银行机构加强对员工的安全教育和培训,提高员工的安全意识,确保他们对安全策略的理解和遵守。
二、加强风险评估和监测规范要求银行机构应定期开展网上银行系统的安全风险评估和监测,及时发现并处理潜在的安全问题。
同时,还要加强对系统的审计和监控,提高警惕,及时发现和处理黑客攻击、病毒侵入等安全事件。
规范对银行机构的网络安全提出了更高要求。
要求银行机构应该建立完善的网络安全管理制度和网络安全技术体系,采取多层次的安全防范措施,保障自己的内部网络安全。
同时,规范要求银行机构要与监管部门和其他金融机构建立起联合防范和信息共享的机制,以更好地应对网络安全风险。
综上所述,《网上银行系统信息安全通用规范》修订版增强了各项安全措施,适应了新技术和新业务的发展趋势,更好地保障了银行机构的信息安全。
对于广大用户来说,这也是一个令人放心的新闻。
网上银行信息系统安全通用规范检查结果
序号
1
检查点
应建立与金融机构发展战略相适应的网上银行信息安全保障及风险管理组织架 构,建立由董事会、高级管理层负责、相关各部门负责人及内部专家参与的网上 银行信息安全领导协调机制,明确各个部门职责,对其所负责的安全保障及风险 管理内容进行管理,明确各部门章程并详细定义各部门人员配置。 应设立网上银行信息安全保障及风险管理工作的主要负责部门,由该部门组织制 定、发布相关制度、规范,协调处置网上银行信息安全管理工作中的关键事项, 组织跨部门应急演练等工作,应合理设立部门内部岗位及人员职责,明确该部门 岗位设置 和其他各相关部门的职责范围、工作流程和沟通协调机制。 应设置网上银行产品设计,系统研发、测试、集成、运行维护、管理,内部审计 等部门或团队,业务部门、技术、审计等各部门应明确本部门网上银行信息安全 保障及风险管理职责,执行相应的风险评估、规划实施、应急管理、监督检查、 跟踪整改等工作。相关人员应详细了解本部门网上银行相关的职责设置、信息安 全保障机制等基本情况。(信息技术部项目管理组管理,验收报告) 应坚持三分离原则,实现前后台分离、开发与操作分离、技术与业务部门分离。 应配备一定数量的专职安全管理员、系统管理员、网络管理员等。 人员配备 应配备专职信息安全管理人员,实行A、B 岗制度,不可兼任其他岗位。 应实现关键岗位的多人共同管理。 应根据网上银行相关部门、岗位的职责明确上下级间和各部门间的授权审批事项 、审批部门和批准人等。 应针对网上银行业务部门及技术规划、架构及策略、网上银行新产品推出、网上 银行重要技术路线选择、网上银行系统重要变更操作、物理访问和网上银行系统 接入等事项建立审批程序,必须提交高层管理层审批,并按照审批程序执行审批 过程,对重要活动建立逐级审批制度。 应定期审查审批事项,及时更新需授权和审批的项目、审批部门和审批人等信息 授权和审批 。 应记录审批过程并保存审批文档。 用户应被授予完成所承担任务所需的最小权限,重要岗位的员工之间应形成相互 制约的关系。权限变更应执行相关审批流程,并有完整的变更记录。 应建立系统用户及权限清单,定期对员工权限进行检查核对,发现越权用户要查 明原因并及时调整,同时清理过期用户权限,做好记录归档。 应加强网上银行系统管理人员之间、组织内部机构之间以及信息安全职能部门内 部的合作与沟通,定期或不定期召开协调会议,共同协作处理信息安全问题。 应建立与相关金融机构、公安机关、电信公司的合作、沟通以及应急协调机制, 有效处置DDoS、网络钓鱼等网络与信息安全事件。 应加强与供应商、业界专家、专业的安全公司、安全组织的合作与沟通,增强日 沟通和合作 常安全防护、突发事件处置、故障处理等方面的能力。 应建立外联单位联系列表,包括外联单位名称、合作内容、联系人和联系方式等 信息。 应聘请信息安全专家作为常年的安全顾问,指导网上银行信息系统的信息安全建 设、参与安全规划和安全评审等。 安全管理员应负责定期进行安全检查,检查内容包括系统日常运行、系统漏洞和 数据备份等情况。 应制定安全审核和安全检查制度规范安全审核和安全检查工作,按照制度要求进 行安全审核和安全检查活动。应保证至少每年开展一次网上银行全面安全检查, 检查内容至少包括现有安全技术措施的有效性、安全配置与安全策略的一致性、 安全管理制度的执行情况等。 审核和检查 应制定安全检查方案并进行安全检查,形成安全检查汇总表、安全检查报告,并 将安全检查报告上报人民银行等金融机构主管部门。 内部审计部门应至少每两年对网上银行开展一次审计,审计内容至少包括相关管 理制度的完备性及其执行的有效性,相关操作流程的合理性与合规性,信息安全 保障体系的完备性和有效性,信息安全风险管理、规划实施、信息系统运行的安 全性及重要客户信息和交易数据的安全性、应急管理、外包管理的有效性以及其 它重要信息安全保障的情况。
网上银行系统信息安全通用规范(2020年最新版)
3.12 资金类交易 funds transaction
通过网上银行进行的资金操作交易。
注:例如,转账、订单支付、缴费等。本人名下的投资理财、托管账户以及本人签订委托代扣协议的委托代扣等风 险可控的资金变动不属于此范畴。
3.13 信息及业务变更类交易 information and business changing transaction
年版的 6.1.4、6.2); ——修改了客户端安全的表述,补充了自身防护、敏感信息保护等安全要求(见 6.2.1.1,2012 年
版的 6.1.1); ——增加了条码支付相关要求(见 6.2.1.1、6.2.4.3); ——修改了专用安全设备的安全要求,并改名为“专用安全机制”(见 6.2.2,2012 年版的 6.1.2); ——增加了安全单元和移动终端支付可信环境相关要求(见 6.2.2.1、6.2.2.5); ——增加了生物特征相关要求(见 6.2.2.5); ——增加了云计算安全相关要求(见 6.2.4.1、6.3.1); ——增加了 IPv6 相关要求(见 6.2.4.3); ——增加了虚拟化安全相关要求(见 6.2.4.4); ——增加了网上银行系统与外部系统连接安全的基本描述和安全要求(见 6.2.5); ——修改了业务连续性与灾难恢复安全要求(见 6.3.7,2012 年版的 6.2.6 中的 k、l); ——修改了安全事件与应急响应的安全要求(见 6.3.8,2012 年版的 6.2.6 中的 m、n); ——增加了Ⅱ、Ⅲ类银行结算账户及交易安全锁相关要求(见 6.4.1); ——删除了附录中的基本的网络防护架构参考图、增强的网络防护架构参考图和物理安全(2012
注1:本标准分为基本要求和增强要求两个层次,基本要求为最低安全要求,增强要求是进一步提升系统安全性的 要求。各单位应在遵照执行基本要求的同时,按照增强要求,积极采取改进措施,不断提高安全保障能力。
《网上银行系统信息安全通用规范(试行)》技术解读
《网上银行系统信息安全通用规范(试行)》技术解读发表于:2010-5-14为加强我国网上银行安全管理,促进网上银行业务健康发展,有效增强网上银行系统信息安全防范能力,2010年1月19日中国人民银行向银行业金融机构发布了《网上银行系统信息安全通用规范(试行)》(以下简称《规范》),本文将就《规范》的内容和技术特点做重点解读。
一、《规范》出台的背景自1998年招商银行率先在国内推出“一网通”领跑网上金融业以来,国内已有近百家国有银行和城市商业银行加入了网上银行行列,纷纷开通网络转账、付款、贷款和投资等业务。
据中国银行业协会发布的《2009年度中国银行业服务改进情况报告》数据显示,截止2009年底,我国网上银行注册用户数达到 1.89 亿,网银交易额达404.88万亿元。
网上银行交易快捷、方便和操作简单的特性,极大地满足了网民的交易需求,因而倍受网民的青睐。
但是,由于互联网的开放性,网上银行系统的安全性问题令人担忧。
目前,犯罪分子作案手段层出不穷,通过木马、钓鱼网站等威胁客户资金安全,甚至对网银系统进行恶意渗透破坏和拒绝服务攻击。
网上银行趋利性犯罪的高发态势,不仅会损害广大用户的经济利益,也将成为网上银行业务进一步发展的掣肘。
因此,我国金融行业亟需出台一项网上银行系统安全方面的标准,从技术标准层面引导网银业务的发展。
二、《规范》的基本内容众所周知,网上银行系统在客户端、认证介质、网银后台三个主要安全点可能存在安全隐患,而将这三个安全点串联起来的交易传输网络也可能存在一定的安全风险,由此构成了整个网上银行系统的安全风险链。
在《信息安全技术网上银行系统信息安全保障评估准则(GB/T 20983-2007 )》的基础上,结合网上银行系统的技术和业务特点,人民银行及时出台了该《规范》。
该《规范》共分为安全技术、安全管理和业务运作三部分,各部分又分别包含基本要求和增强要求两个层次,基本要求为最低安全要求,增强要求为三年内应达到的安全要求。
网上银行系统信息安全通用规范word版
附件网上银行系统信息安全通用规范(试行)中国人民银行目录1使用范围和要求 (4)2规范性引用文件 (4)3术语和定义 (5)4符号和缩略语 (5)5网上银行系统概述 (6)5.1系统标识 (6)5.2系统定义 (6)5.3系统描述 (7)5.4安全域 (8)6安全规范 (9)6.1安全技术规范 (9)6.2安全管理规范 (22)6.3业务运作安全规范 (26)附1 基本的网络防护架构参考图 (30)附2 增强的网络防护架构参考图 (31)前言1本规范是在收集、分析评估检查发现的网上银行系统信息安全问题和已发生过的网上银行案件的基础上,有针对性提出的安全要求,内容涉及网上银行系统的技术、管理和业务运作三个方面。
本规范分为基本要求和增强要求两个层次。
基本要求为最低安全要求,增强要求为本规范下发之日起的三年内应达到的安全要求,各单位应在遵照执行基本要求的同时,按照增强要求,积极采取改进措施,在规定期限内达标。
本规范旨在有效增强现有网上银行系统安全防范能力,促进网上银行规范、健康发展。
本规范既可作为网上银行系统建设和改造升级的安全性依据,也可作为各单位开展安全检查和内部审计的依据。
1使用范围和要求本规范指出了网上银行系统的描述、安全技术规范、安全管理规范、业务运作安全规范,适用于规范网上银行系统建设、运营及测评工作。
2规范性引用文件下列文件中的条款通过本规范的引用而成为本规范的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本规范,然而,鼓励根据本规范达成协议的各方研究是否可使用这些文件的最新版本。
凡是不注日期的引用文件,其最新版本适用于本规范。
GB/T 20983-2008 信息安全技术网上银行系统信息安全保障评估准则GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求GB/T 20984-2007 信息安全技术信息系统风险评估规范GB/T 18336.1-2008 信息技术安全技术信息技术安全性评估准则第1部分:简介和一般模型GB/T 18336.2-2008 信息技术安全技术信息技术安全性评估准则第2部分: 安全功能要求GB/T 18336.3-2008信息技术安全技术信息技术安全性评估准则第3部分: 安全保证要求GB/T 22080-2008 信息技术安全技术信息安全管理体系要求GB/T 22081-2008 信息技术安全技术信息安全管理使用规则GB/T 14394-2008 计算机软件可靠性和可维护性管理GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求《中国人民银行关于进一步加强银行业金融机构信息安全保障工作的指导意见》(银发〔2006〕123号)《中国人民银行中国银行业监督管理委员会公安部国家工商总局关于加强银行卡安全管理预防和打击银行卡犯罪的通知》(银发〔2009〕142号)《中国人民银行办公厅关于贯彻落实<中国人民银行中国银行业监督管理委员会公安部国家工商总局关于加强银行卡安全管理预防和打击银行卡犯罪的通知>的意见》(银办发〔2009〕149号)3术语和定义GB/T 20274确立的以及下列术语和定义适用于本规范。
网上银行系统信息安全通用规范(试行)
5 5.1
网上银行系统概述
系统标识
在系统标识中应标明以下内容: ―名称:XX 银行网上银行系统 ―所属银行
第 6 页
网上银行系统信息安全通用规范
5.2
系统定义
网上银行系统是商业银行等金融机构通过互联网等公众网络基础设施, 向其客户提供各
种金融业务服务的一种重要信息系统。 网上银行系统将传统的银行业务同互联网等资源和技 术进行融合, 将传统的柜台通过互联网向客户进行延伸, 是商业银行等金融机构在网络经济 的环境下,开拓新业务、方便客户操作、改善服务质量、推动生产关系变革等的重要举措, 提高了商业银行等金融机构的社会效益和经济效益。
第 2 页网上银行系统源自息安全通用规范前言
本规范是在收集、 分析评估检查发现的网上银行系统信息安全问题和已发生过的网上银 行案件的基础上,有针对性提出的安全要求,内容涉及网上银行系统的技术、管理和业务运 作三个方面。 本规范分为基本要求和增强要求两个层次。 基本要求为最低安全要求, 增强要求为本规 范下发之日起的三年内应达到的安全要求, 各单位应在遵照执行基本要求的同时, 按照增强 要求,积极采取改进措施,在规定期限内达标。 本规范旨在有效增强现有网上银行系统安全防范能力,促进网上银行规范、健康发展。 本规范既可作为网上银行系统建设和改造升级的安全性依据, 也可作为各单位开展安全检查 和内部审计的依据。
《中国人民银行关于进一步加强银行业金融机构信息安全保障工作的指导意见》 (银发 〔2006〕123 号) 《中国人民银行 中国银行业监督管理委员会 公安部 国家工商总局关于加强银行卡安 全管理预防和打击银行卡犯罪的通知》 (银发〔2009〕142 号)
第 4 页
网上银行系统信息安全通用规范
《中国人民银行办公厅关于贯彻落实 <中国人民银行 中国银行业监督管理委员会 公 安部 国家工商总局关于加强银行卡安全管理预防和打击银行卡犯罪的通知>的意见》 (银办发〔2009〕149 号)
银行信息安全制度模板
三、信息系统安全管理
第八条 本行应建立健全信息系统安全管理制度,包括但不限于:
(一)信息系统安全保护管理制度;
(二)信息系统安全事件的报告和调查处理制度;
(三)信息系统Biblioteka 全审计制度;(四)信息系统安全培训和宣传教育制度;
七、附则
第二十一条 本制度自发布之日起施行。
第二十二条 本制度的解释权归本行信息安全领导小组。
(五)信息系统安全考核和奖惩制度。
第九条 本行应对信息系统进行安全评估,确定信息系统安全保护等级,并根据安全保护等级采取相应的安全保护措施。
第十条 本行应建立健全信息系统安全防护体系,包括但不限于:
(一)物理安全防护措施;
(二)网络安全防护措施;
(三)应用安全防护措施;
(四)数据安全防护措施;
(五)信息安全应急响应措施。
第四条 本行应建立健全信息安全组织机构,明确信息安全职责,制定信息安全制度,落实信息安全措施。
二、组织管理
第五条 本行应设立信息安全领导小组,负责全行信息安全工作的领导。信息安全领导小组由行长担任组长,其他相关负责人担任副组长和成员。
第六条 本行应设立信息安全管理部门,负责全行信息安全的日常管理工作。信息安全管理部门负责制定信息安全政策、制度、流程和标准,组织信息安全培训和宣传,监督信息安全工作的实施。
银行信息安全制度模板
一、总则
第一条 为了加强银行信息安全,保障银行信息安全,根据《中华人民共和国网络安全法》、《信息安全技术商业银行信息系统安全保护基本要求》等相关法律法规,制定本制度。
第二条 本制度适用于本行信息系统的建设、运行、维护和管理,以及与信息系统安全有关的活动。
网络银行服务规范
网络银行服务规范在当今数字化的时代,网络银行已经成为我们日常生活中不可或缺的一部分。
它为我们提供了便捷、高效的金融服务,让我们能够随时随地处理财务事务。
然而,随着网络银行的普及,一系列服务规范的问题也逐渐凸显出来。
为了保障用户的权益,提升服务质量,建立健全的网络银行服务规范显得尤为重要。
一、网络银行的安全保障网络银行首要的服务规范就是确保用户的资金和信息安全。
这需要银行采取多重安全措施,如加密技术、身份验证、防火墙等,以防止黑客攻击和数据泄露。
首先,银行应使用先进的加密算法对用户的交易数据进行加密传输,确保数据在网络中的安全性。
同时,严格的身份验证机制也是必不可少的。
这可以包括用户密码、短信验证码、指纹识别、面部识别等多种方式,以确保只有合法用户能够访问其账户。
此外,银行还应建立实时的监控系统,及时发现和应对潜在的安全威胁。
一旦发现异常交易或登录行为,应立即采取措施,如冻结账户、通知用户等,以减少用户的损失。
二、用户信息保护用户在使用网络银行服务时,会向银行提供大量的个人信息,如姓名、身份证号、银行卡号、联系方式等。
银行有责任妥善保护这些信息,防止其被滥用或泄露。
银行应制定严格的信息管理制度,明确信息的收集、存储、使用和销毁流程。
只有在必要的情况下,才能收集用户的敏感信息,并且要明确告知用户信息的用途。
同时,银行内部员工应签署保密协议,禁止未经授权访问和使用用户信息。
对于因工作需要接触用户信息的员工,应进行严格的背景审查和培训,提高其信息安全意识。
在与第三方合作时,银行也要确保合作方遵守相同的信息保护标准,签订保密协议,明确责任和义务。
三、服务的可用性和稳定性网络银行应保证服务的持续可用和稳定运行,避免因系统故障或维护给用户带来不便。
银行要投入足够的资源进行系统的建设和维护,采用高可靠性的硬件设备和软件系统,定期进行系统升级和漏洞修复。
同时,建立备份和恢复机制,以应对突发情况,确保用户数据的安全和完整。
网上银行系统信息安全通用规范标准
附件网上银行系统信息安全通用规范(试行)中国人民银行1 使用范围和要求 (4)2 规范性引用文件 (4)3 术语和定义 (5)4 符号和缩略语 (6)5 网上银行系统概述 (6)5.1 系统标识 (6)5.2 系统定义 (7)5.3 系统描述 (7)5.4 安全域 (8)6 安全规范 (9)6.1 安全技术规范 (9)6.2 安全管理规范 (22)6.3 业务运作安全规范 (26)附1 基本的网络防护架构参考图 (30)附2 增强的网络防护架构参考图 (31).言本规范是在收集、分析评估检查发现的网上银行系统信息安全问题和已发生过的网上银行案件的基础上,有针对性提出的安全要求,内容涉及网上银行系统的技术、管理和业务运作三个方面。
本规范分为基本要求和增强要求两个层次。
基本要求为最低安全要求,增强要求为本规范下发之日起的三年内应达到的安全要求,各单位应在遵照执行基本要求的同时,按照增强要求,积极采取改进措施,在规定期限内达标。
本规范旨在有效增强现有网上银行系统安全防范能力,促进网上银行规范、健康发展。
本规范既可作为网上银行系统建设和改造升级的安全性依据,也可作为各单位开展安全检查和内部审计的依据。
1 使用范围和要求本规范指出了网上银行系统的描述、 安全技术规范、 安全管理规范、 业务运作安全规范, 适用于规范网上银行系统建设、运营及测评工作。
2 规范性引用文件列文件中的条款通过本规范的引用而成为本规范的条款。
随后所有的修改单(不包括勘误的内容)或修订版均不适用于本规范,然而,鼓励根据本规 范达成协议的各方研究是否可使用这些文件的最新版本。
版本适用于本规范。
模型要求中国人民银行关于进一步加强银行业金融机构信息安全保障工作的指导意见》 (银发 〔 2006〕123 号)中国人民银行 中国银行业监督管理委员会 公安部 国家工商总局关于加强银行卡安 全管理预防和打击银行卡犯罪的通知》 (银发〔 2009 〕142 号) 中国人民银行办公厅关于贯彻落实<中国人民银行 中国银行业监督管理委员会 公安部 国家工商总局关于加强银行卡安全管理预防和打击银行卡犯罪的通知>的意见》凡是注日期的引用文件, 其凡是不注日期的引用文件, 其最新GB/T 20983-2008 信息安全技术 网上银行系统信息安全保障评估准则 GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求 GB/T 20984-2007 信息安全技术信息系统风险评估规范GB/T 18336.1-2008 信息技术安全技术信息技术安全性评估准则第1 部分 : 简介和一般GB/T 18336.2-2008信息技术安全技术信息技术安全性评估准则第 2 部分 : 安全功能GB/T 18336.3-2008 信息技术安全技术信息技术安全性评估准则第 3 部分 : 安全保证要GB/T 22080-2008 信息技术 安全技术 信息安全管理体系要求 GB/T 22081-2008 信息技术 安全技术 信息安全管理使用规则 GB/T 14394-2008 计算机软件可靠性和可维护性管理GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求(银办发〔2009〕149 号)3 术语和定义GB/T 20274 确立的以及下列术语和定义适用于本规范。
银行主机安全保护要求
银行主机安全保护要求2012年5月,中国人民银行关于发布发布了《网上银行系统信息安全通用规范》(JR/T 0068—2012)。
虽然该规范是针对网上银行系统,但主机安全部分具有普遍适应性,可作为银行业主机信息安全的通用规范。
1.基本要求(1)身份鉴别1)应对登录操作系统和数据库的用户进行身份标识和鉴别,严禁匿名登录。
2)为不同的操作系统和数据库访问用户分配不同的账号并设置不同的初始密码,禁止账号和密码共享。
3)应要求系统的静态密码在8位以上,由字母、数字、符号等混合组成。
4)首次登录系统时应强制修改密码,至少每90天更改一次密码,不允许提交与上次相同的新密码。
5)在收到用户重置密码的请求后,应先对用户身份进行核实再进行后续操作。
6)应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施:通过锁定用户的方式限制连续的访问企图(最多不允许超过6次)。
锁定时间至少设定为30分钟或直至管理员为其解锁。
7)应确保对密码进行强效加密保护,不允许明文密码出现。
8)对服务器进行远程管理时,如果数据通过不可信网络传输,应采取加密通信方式,防止认证信息在网络传输过程中被窃听。
9)应采用两种或两种以上的组合鉴别技术对管理用户进行身份鉴别,并且身份鉴别信息至少有一种是不可伪造的,如以密钥证书、动态口令卡、生物特征等作为身份鉴别信息。
10)系统和设备的口令密码设置应在安全的环境下进行,必要时应将口令密码纸质密封交相关部门保管,未经主管领导许可,任何人不得擅自拆阅密封的口令密码,拆阅后的口令密码使用后应立即更改并再次密封存放。
(2)访问控制1)根据“业务必需”原则授予不同用户为完成各自承担任务所需的最小权限,并在它们之间形成相互制约的关系。
2)应根据管理用户的角色(例如,系统管理员、安全管理员、安全审计员等)分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限。
3)应实现操作系统和数据库系统特权用户的权限分离。
银行信息安全制度模板范文
银行信息安全制度模板范文一、总则第一条为了加强我行计算机信息系统的信息和安全管理,规范中心机房的各项操作,保证计算机系统正常、安全、稳定地运行,根据《中华人民共和国网络安全法》等相关法律法规,制定本制度。
第二条本制度适用于我行计算机信息系统的建设和运行管理,以及信息安全的组织、实施和监督。
第三条我行信息安全工作的目标是:确保信息系统安全可靠、保密性、完整性、可用性,防范信息安全风险,保障银行业务的正常运行和客户信息的安全。
第四条我行信息安全工作的原则是:预防为主、全面防护、技术与管理相结合、责任明确、应急处理。
二、组织管理第五条我行设立信息安全领导小组,负责全行信息安全的领导工作。
信息安全领导小组由行长担任组长,相关部门负责人为成员。
第六条信息安全领导小组下设信息安全管理部门,负责信息安全的组织、实施和监督工作。
信息安全管理部门具体职责如下:(一)制定信息安全策略、管理制度和应急预案;(二)组织信息安全风险评估和安全检查;(三)监督信息安全措施的实施,协调解决信息安全问题;(四)组织信息安全培训和宣传,提高员工信息安全意识;(五)建立健全信息安全考核机制。
三、信息安全防护第七条我行应建立健全信息安全防护体系,包括物理安全、网络安全、主机安全、应用安全、数据安全和信息安全意识等方面。
第八条物理安全:确保中心机房的安全,限制无关人员进入;机房内应设有防火、防盗、防潮、防电磁干扰等设施;重要设备应采取双电源、双网络等措施。
第九条网络安全:采取防火墙、入侵检测、安全审计等技术手段,保护网络系统的安全;建立网络访问控制制度,限制无关人员的访问。
第十条主机安全:安装防病毒、防恶意软件、访问控制等安全防护软件;定期更新操作系统和应用软件,修补安全漏洞。
第十一条应用安全:开发和采购的安全应用程序;对应用程序进行安全审查和测试;定期对应用程序进行安全漏洞扫描和修复。
第十二条数据安全:对敏感数据进行加密存储和传输;建立数据备份和恢复机制;对数据访问进行权限控制。
2023年网上银行管理制度范本
2023年网上银行管理制度范本第一章总则第一条为规范网络银行的管理行为,维护银行和客户的合法权益,加强信息安全,提高网络银行服务质量,根据相关法律法规,制定本管理制度。
第二条本管理制度适用于我行设立的网络银行业务,包括但不限于个人网上银行、企业网上银行,并适用于我行与合作伙伴提供的网络银行服务。
第三条网络银行应当遵守国家有关法律法规和监管部门的规定,按照市场化原则、自愿原则、公平原则和公开原则开展业务,依法合规经营。
第四条网络银行应当建立健全广告宣传监管制度,确保宣传内容真实、准确、完整,不得误导客户。
第二章信息安全管理第五条网络银行应当建立健全信息安全管理制度,确保客户信息的安全性和隐私保护。
网络银行应当加强对信息系统的监控和防护,严格控制信息系统的访问权限,定期进行安全漏洞扫描和风险评估,并及时修复和处理漏洞和风险。
第六条网络银行应当加强对客户身份验证的管理,采用多种身份验证手段,确保客户身份的真实性和可信性。
网络银行应当建立健全客户身份认证机制,防止非法入侵、信息泄露和欺诈行为。
第七条网络银行应当加强对交易风险的管理,建立健全交易风险评估和防控机制。
网络银行应当对高风险交易进行特殊审批和监控,及时发现并阻止异常交易行为。
第三章客户权益保护第八条网络银行应当加强对客户权益的保护,采取有效措施防止客户的合法权益受到侵害。
网络银行应当向客户提供权益保护指引,明确客户的权益和责任。
第九条网络银行应当建立健全客户投诉处理机制,及时处理客户投诉,并向客户提供满意的答复。
网络银行应当对客户投诉情况进行统计和分析,及时改进服务质量。
第四章业务风险管理第十条网络银行应当建立健全业务风险管理制度,对业务风险进行评估和防控。
网络银行应当建立健全业务流程和适当的内控措施,确保业务的合规性和安全性。
第十一条网络银行应当建立健全风险管理和控制机制,及时发现并处理风险事件。
网络银行应当制定完善的风险控制策略,建立风险监测和预警机制,确保业务的顺利进行。
解读《网上银行系统信息安全通用规范》 统一规范能否一统安全
48 /中国信息安全/2011.08修改,形成《规范》征求意见第一稿。
两轮征求商业银行意见,召开意见反馈现场讨论会,特邀总参三部专家共同研究,逐条修订,完成《规范》发文稿(银发[2010] 19号文件)。
《规范》的主要内容分为安全技术、安全管理和业务运作3部分。
其中,安全技术规范内容包括:客户端安全、专用辅助安全设备、网络通信安全和银行服务器端安全4个方面;安全管理规范内容包括:组织机构、管理制度、安全策略、人员及文档管理和系统运行管理5个方面;业务运作安全内容包括:业务申请及开通、业务安全交易机制和客户宣传教育3个方面。
《规范》的主要特点是:对目前已知的网银犯罪案例、网银常见交易认证机制存在问题进行挖掘和分析,结合对商业银行网银安全检查的深入分析和总结,从正面提出规范性要求,具有较强的针对性和可操作性;不仅针对网银现实问题,而且针对潜在风险点均提出了应对措施,具有前瞻性;同时内容涵盖了网银系统各个部分、交易的全过程,具有全面性。
为了使网银安全能够得到显著提升,《规范》在以下几方面提出了要求:明确规定禁止仅使用文件证书或使用文件证书加静态密码的方式进行转账类操作。
使用文件证书作为认证方式时,用户的私钥保存在客户端计算机内,而且签名等涉及私钥的敏感操作也在客户的计算机上进行,目前大部分对于文件年来,随着网络的商务交易类应用增长,针对网银的趋利性犯罪呈高发态势,网银安全问题突出,严重阻碍了网银未来的健康规范发展。
针对这些问题,中国人民银行近年来,通过各种措施,多次联合公安部、工信部等部委联合打击网上银行犯罪行为,规范网银安全,从制度建设与技术规范入手,加强网银系统的建设、运维和关键业务的风险防范。
2009年,中国人民银行决定起草《网上银行系统信息安全通用规范》(以下简称《规范》),有针对性地解决网银系统漏洞隐患问题,全面预防网银系统存在的安全问题,系统性地提高网银系统安全水平,增强网银系统的信息安全防范能力,促进网银业务健康发展。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
附件网上银行系统信息安全通用规范(试行)中国人民银行目录1使用范围和要求 (4)2规范性引用文件 (4)3术语和定义 (5)4符号和缩略语 (6)5网上银行系统概述 (6)5.1系统标识 (6)5.2系统定义 (7)5.3系统描述 (7)5.4安全域 (8)6安全规范 (9)6.1安全技术规范 (9)6.2安全管理规范 (22)6.3业务运作安全规范 (26)附1 基本的网络防护架构参考图 (30)附2 增强的网络防护架构参考图 (31)前言1本规范是在收集、分析评估检查发现的网上银行系统信息安全问题和已发生过的网上银行案件的基础上,有针对性提出的安全要求,内容涉及网上银行系统的技术、管理和业务运作三个方面。
本规范分为基本要求和增强要求两个层次。
基本要求为最低安全要求,增强要求为本规范下发之日起的三年内应达到的安全要求,各单位应在遵照执行基本要求的同时,按照增强要求,积极采取改进措施,在规定期限内达标。
本规范旨在有效增强现有网上银行系统安全防范能力,促进网上银行规范、健康发展。
本规范既可作为网上银行系统建设和改造升级的安全性依据,也可作为各单位开展安全检查和内部审计的依据。
1使用范围和要求本规范指出了网上银行系统的描述、安全技术规范、安全管理规范、业务运作安全规范,适用于规范网上银行系统建设、运营及测评工作。
2规范性引用文件下列文件中的条款通过本规范的引用而成为本规范的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本规范,然而,鼓励根据本规范达成协议的各方研究是否可使用这些文件的最新版本。
凡是不注日期的引用文件,其最新版本适用于本规范。
GB/T 20983-2008 信息安全技术网上银行系统信息安全保障评估准则GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求GB/T 20984-2007 信息安全技术信息系统风险评估规范GB/T 18336.1-2008 信息技术安全技术信息技术安全性评估准则第1部分:简介和一般模型GB/T 18336.2-2008 信息技术安全技术信息技术安全性评估准则第2部分: 安全功能要求GB/T 18336.3-2008信息技术安全技术信息技术安全性评估准则第3部分: 安全保证要求GB/T 22080-2008 信息技术安全技术信息安全管理体系要求GB/T 22081-2008 信息技术安全技术信息安全管理使用规则GB/T 14394-2008 计算机软件可靠性和可维护性管理GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求《中国人民银行关于进一步加强银行业金融机构信息安全保障工作的指导意见》(银发〔2006〕123号)《中国人民银行中国银行业监督管理委员会公安部国家工商总局关于加强银行卡安全管理预防和打击银行卡犯罪的通知》(银发〔2009〕142号)《中国人民银行办公厅关于贯彻落实<中国人民银行中国银行业监督管理委员会公安部国家工商总局关于加强银行卡安全管理预防和打击银行卡犯罪的通知>的意见》(银办发〔2009〕149号)3术语和定义GB/T 20274确立的以及下列术语和定义适用于本规范。
3.1 网上银行商业银行等金融机构通过互联网等公众网络基础设施,向其客户提供各种金融业务。
3.2 互联网因特网或其他类似形式的通用性公共计算机通信网络。
3.3 敏感信息任何影响网上银行安全的密码、密钥以及交易数据等信息,密码包括但不限于转账密码、查询密码、登录密码、证书的PIN码等。
3.4 客户端程序为网上银行客户提供人机交互功能的程序,以及提供必需功能的组件,包括但不限于:可执行文件、控件、静态链接库、动态链接库等。
3.5 USBKey一种USB接口的硬件设备。
它内置单片机或智能卡芯片,有一定的存储空间,可以存储用户的私钥以及数字证书。
3.6 USB Key固件影响USB Key安全的程序代码。
3.7 强效加密一个通用术语,表示极难被破译的加密算法。
加密的强壮性取决于所使用的加密密钥。
密钥的有效长度应不低于可比较的强度建议所要求的最低密钥长度。
对于基于密钥的系统(例如3DES),应不低于80 位。
对于基于因子的公用密钥算法(例如RSA),应不低于1024 位。
4符号和缩略语以下缩略语和符号表示适用于本规范:CA 数字证书签发和管理机构(Certification Authority)Cookies 为辨别客户身份而储存在客户本地终端上的数据COS 卡片操作系统(Card Operating System)C/S 客户机/服务器(Client/Server)DOS/DDOS 拒绝服务/分布式拒绝服务(Denial of Service/Distributed of Service)IDS/IPS 入侵检测系统/入侵防御系统(Intrusion Detection System/ Intrusion Prevention System)IPSEC IP安全协议OTP 一次性密码(One Time Password)PKI 公钥基础设施(Public Key Infrastructure)SSL 安全套接字层(Secure Socket Layer)SPA/DPA 简单能量分析/差分能量分析(Simple Power Analysis/ Differential Power Analysis)SEMA/DEMA 简单电磁分析/差分电磁分析(Simple Electromagnetism Analysis/ Differential Electromagnetism Analysis)TLS 传输层安全(Transfer Layer Secure)VPN 虚拟专用网络(Virtual Private Network)5网上银行系统概述5.1系统标识在系统标识中应标明以下内容:―名称:XX 银行网上银行系统―所属银行5.2系统定义网上银行系统是商业银行等金融机构通过互联网等公众网络基础设施,向其客户提供各种金融业务服务的一种重要信息系统。
网上银行系统将传统的银行业务同互联网等资源和技术进行融合,将传统的柜台通过互联网向客户进行延伸,是商业银行等金融机构在网络经济的环境下,开拓新业务、方便客户操作、改善服务质量、推动生产关系变革等的重要举措,提高了商业银行等金融机构的社会效益和经济效益。
5.3系统描述网上银行系统主要由客户端、通信网络和服务器端组成。
5.3.1客户端网上银行系统客户端不具备或不完全具备专用金融交易设备的可信通讯能力、可信输出能力、可信输入能力、可信存储能力和可信计算能力,因此,需要辅助安全设备,并通过接受、减轻、规避及转移的策略来应对交易风险。
因此,网上银行系统客户端应包括基本交易终端和专用辅助安全设备。
基本交易终端目前主要为电脑终端,将来可包括手机、固定电话等。
专用辅助安全设备用于保护数字证书、动态口令和静态密码等,应按照其在交易中具备的可信通讯能力、可信输出能力、可信输入能力、可信存储能力和可信计算能力五种能力的组合对其进行分类分析,并制订与之适应的交易安全风险防范策略。
5.3.2通信网络网上银行借助互联网技术向客户提供金融服务,其通信网络的最大特点是开放性,开放性带来的优点是交易成本的降低和交易便利性的提高,缺点是交易易受到安全威胁及通讯稳定性降低。
因此,网上银行业务设计应充分利用开放网络低成本和便利的特点,有效应对开放网络通讯安全威胁,同时采取手段提高交易稳定性和成功率。
5.3.3服务器端网上银行系统服务器端用于提供网上银行应用服务和核心业务处理,应充分利用各种先进的物理安全技术、网络安全技术、主机安全技术、访问控制技术、密码技术、安全审计技术、系统漏洞检测技术和黑客防范技术,在攻击者和受保护的资源间建立多道严密的安全防线。
5.4安全域网上银行系统是一个涉及不同的应用系统、客户对象、数据敏感程度等的复杂信息系统。
在网上银行系统的描述中,应根据应用系统、客户对象、数据敏感程度等划分安全域。
安全域是一个逻辑的划分,它是遵守相同的安全策略的用户和系统的集合。
通过对安全域的描述和界定,就能更好地对网上银行系统信息安全保障进行描述。
具体而言,网上银行系统主要包括:客户端、网上银行访问子网、网上银行业务系统、中间隔离设备和安全认证设备等。
如图1所示:图1网上银行系统子安全域划分示例图外部区域:网上银行的用户,安装网上银行客户端,通过互联网访问网上银行业务系统;安全区域一:网上银行访问子网,主要提供客户的Web访问;安全区域二:网上银行业务系统,主要进行网上银行的业务处理;银行内部系统:银行处理系统,主要进行银行内部的数据处理。
6安全规范作为金融机构IT业务应用系统之一,网上银行系统需要与其他业务应用系统一起纳入金融机构全面的风险管理体系中。
网上银行信息安全规范可分为安全技术规范、安全管理规范和业务运作安全规范。
安全技术规范从客户端安全、专用辅助安全设备安全、网络通信安全和网上银行服务器端安全几个方面提出;安全管理规范从组织结构、管理制度、人员及文档管理和系统运行管理几个方面提出,业务运作安全规范从业务申请及开通、业务安全交易机制、客户教育几个方面提出。
下面将分别对其进行阐述。
6.1安全技术规范6.1.1客户端安全6.1.1.1客户端程序A. 基本要求:a)客户端程序上线前应进行严格的代码安全测试,如果客户端程序是外包给第三方机构开发的,金融机构应要求开发商进行代码安全测试。
金融机构应建立定期对客户端程序进行安全检测的机制。
b)客户端程序应通过指定的第三方中立测试机构的安全检测。
c)客户端程序应具有抗逆向分析、抗反汇编等安全性防护措施,防范攻击者对客户端程序的调试、分析和篡改。
d)客户端程序的临时文件中不应出现敏感信息,临时文件包括但不限于Cookies。
客户端程序应禁止在身份认证结束后存储敏感信息,防止敏感信息的泄露。
e)客户端程序应防范键盘窃听敏感信息,例如防范采用挂钩Windows键盘消息等方式进行键盘窃听,并应具有对通过挂钩窃听键盘信息进行预警的功能。
f)客户端程序应防范恶意程序获取或篡改敏感信息,例如使用浏览器接口保护控件进行防范。
B. 增强要求:a)客户端程序应保护在客户端启动的用于访问网上银行的进程,防止非法程序获取该进程的访问权限。
b)进行转账类交易时,客户端程序应采取防范调试跟踪的措施,例如开启新的进程。
c)客户端程序应采用反屏幕录像技术,防止非法程序获取敏感信息。
6.1.1.2密码保护A. 基本要求:a)禁止明文显示密码,应使用相同位数的同一特殊字符(例如*和#)代替。
b)密码应有复杂度的要求,包括:•长度至少6位,支持字母和数字共同组成。