网上银行系统信息安全通用规范标准

附件 网上银行系统信息安全通用规范 （试行） 中国人民银行 1 2 3 4 5 使用范围和要求 .4 规范性引用文件 .4 术语和定义.5 符号和缩略语 .6 网上银行系统概述 .6 5.1 5.2 5.3 5.4 6 6.1 6.2 6.3 系统标识 .6 系统定义 .7 系统描述 .7 安全域 .8 安全规范 .9 安全技术规范 9 安全管理规范 .22 业务运作安全规范 26 附1基本的网络防护架构参考图 .30 附2增强的网络防护架构参考图 .31 .言 本规范是在收集、分析评估检查发现的网上银行系统信息安全问题和已发生过的网上银 行案件的基础上，有针对性提出的安全要求，内容涉及网上银行系统的技术、 作三个方面。 本规范分为基本要求和增强要求两个层次。 基本要求为最低安全要求， 增强要求为本规 范下发之日 起的三年内应达到的安全要求， 各单位应在遵照执行基本要求的同时， 按照增强 要求，积极采取改进措 施，在规定期限内达标。 本规范旨在有效增强现有网上银行系统安全防范能力，促进网上银行规范、健康发展。 本规范既可作 为网上银行系统建设和改造升级的安全性依据， 和内部审计的依据。 也可作为各单位开展安全检查 管理和业务运 1使用范围和要求 本规范指出了网上银行系统的描述、 安全技术规范、 安全管理规范、 业务运作安全规范， 适用于规 范网上银行系统建设、运营及测评工作。 2规范性引用文件 列文件中的条款通过本规范的引用而成为本规范的条款。凡是注日期的引用文件， 其 随后所有的修改单（不包括勘误的内容）或修订版均不适用于本规范，然而，鼓励根据本规 范达成协议的各方研究是否可使用这些文件的最新版本。 版本适用于本规范。 凡是不注日期的引用文件， 其最新 GB/T 20983-2008信息安全技术 GB/T 22239-2008信息安全技术 GB/T 20984-2007信息安全技术 网上银行系统信息安全保障评估准则 信息系统安全等级保护基本要求 信息系统风险评估规范 GB/T 18336.1-2008信息技术安全技术信息技术安全性评估准则第1部分:简介和一般 模型 GB/T 18336.2-2008信息技术安全技术信息技术安全性评估准则第2部分:安全功能 要求 GB/T 18336.3-2008信息技术安全技术信息技术安全性评估准则第3部分:安全保证要 GB/T 22080-2008信息技术 安全技术 信息安全管理体系要求 GB/T 22081-2008信息技术 安全技术 信息安全管理使用规则 GB/T 14394-2008计算机软件可靠性和可维护性管理 GB/T 22239-2008信息安全技术 信息系统安全等级保护基本要求 中国人民银行关于进一步加强银行业金融机构信息安全保障工作的指导意见》 （银发 〔2006〕 123号） 中国人民银行 中国银行业监督管理委员会 公安部 国家工商总局关于加强银行卡安 全管理预防和打 击银行卡犯罪的通知》 （银发〔2009〕142号） 中国人民银行办公厅关于贯彻落实＜中国人民银行 中国银行业监督管理委员会 公 ＞的意见》安部 国家工商总局关于加强银行卡安全管理预防和打击银行卡犯罪的通知 （银办发〔2009〕149号） 3术语和定义 GB/T 20274确立的以及下列术语和定义适用于本规范。 3.1网上银行 商业银行等金融机构通过互联网等公众网络基础设施，向其客户提供各种金融业务。 3.2互联网 因特网或其他类似形式的通用性公共计算机通信网络。 3.3敏感信息 任何影响网上银行安全的密码、 密钥以及交易数据等信息， 密码包括但不限于转账密码、 查询密码、登录密码、证书的PIN码等。 3.4客户端程序 为网上银行客户提供人机交互功能的程序，以及提供必需功能的组件，包括但不限于： 可 执行文件、控件、静态链接库、动态链接库等。 3.5 USBKey 一种USB接口的硬件设备。它内置单片机或智能卡芯片，有一定的存储空间，可以存储 用户的私钥以 及数字证书。 3.6 USB Key固件 影响USB Key安全的程序代码。 3.7强效加密 一个通用术语，表示极难被破译的加密算法。加密的强壮性取决于所使用的加密密钥。 密钥的有效长度应不低于可比较的强度建议所要求的最低密钥长度。对于基于密钥的系统 （例如3DES），应不低于80位。对于基于因子的公用密钥算法 位。 （例如RSA），应不低于1024 4符号和缩略语 以下缩略语和符号表示适用于本规范： CA数字证书签发和管理机构(Certification Authority) Cookies为辨别客户身份而储存在客户本地终端上的数据 卡片操作系统(Card Operating SystemCOS C/S客户机/服务器(Client/Server) ) DOS/DDOS拒绝服务/分布式拒绝服务(Denial of Service/Distributed IDS/IPS of Service 入侵检测系统/入侵防御系统(IntrusionDetection System/ Intrusion Prevention System) IPSEC IP OTP 安全协议 一次性密码 (One Time Password) 公钥基础设施(Public Key Infrastructure 安全套接字层(Secure Socket Layer) 简单能量分析/差分能量分析(Simple Power Analysis/ Differential )PKI SSL SPA/DPA Power Analysis) SEMA/DEMA简单电磁分析/差分电磁分析(Simple Electromagnetism Analysis/ )Differential Electromagnetism Analysis 传输层安全(Transfer Layer Secure 虚拟专用网络(Virtual Private Network ) ) TLS VPN 5网上银行系统概述 5.1 系统标识 在系统标识中应标明以下内容： ―名称：XX银行网上银行系统 ―所属银行 5.2 系统定义 网上银行系统是商业银行等金融机构通过互联网等公众网络基础设施， 向其客户提供各 种金融业务服 务的一种重要信息系统。 网上银行系统将传统的银行业务同互联网等资源和技 术进行融合， 将传统的柜台 通过互联网向客户进行延伸， 是商业银行等金融机构在网络经济 的环境下，开拓新业务、方便客户操作、改 善服务质量、推动生产关系变革等的重要举措， 提高了商业银行等金融机构的社会效益和经济效益。 5.3 系统描述 网上银行系统主要由客户端、通信网络和服务器端组成。 5.3.1 客户端 网上银行系统客户端不具备或不完全具备专用金融交易设备的可信通讯能力、 可信输出 能力、可信输 入能力、可信存储能力和可信计算能力，因此，需要辅助安全设备，并通过接 受、减轻、规避及转移的策略 来应对交易风险。 因此，网上银行系统客户端应包括基本交易终端和专用辅助安全设备。 基本交易终端目前主要为电脑 终端，将来可包括手机、固定电话等。 专用辅助安全设备用于保护数字证书、 动态口令和静态密码等， 应 按照