网上银行系统信息安全保障评估准则

ICS35.040L80中华人民共和国国家标准GB/T××××—××××信息安全技术网上银行系统信息安全保障评估准则Informationsecuritytechnology-Evaluationcriteriaforonlinebankinginformationsystemssecurityassurance（报批稿）××××-××-××发布国家质量监督检验检疫总局发布华人民共和国建设部发布××××-××-××实施GB/T××××—××××I目次前言............................................................................III引言.............................................................................IV1范围................................................................................12规范性引用文件......................................................................13术语和定义..........................................................................14系统描述............................................................................14.1网上银行系统描述...................................................................14.2使命描述...........................................................................34.3系统概述...........................................................................34.4系统详细描述.......................................................................65系统安全环境........................................................................85.1假设...............................................................................85.2威胁...............................................................................95.3组织安全策略......................................................................116安全保障目的.......................................................................146.1安全保障技术目的..................................................................146.2安全保障管理目的..................................................................156.3安全保障工程目的..................................................................157安全保障要求.......................................................................167.1技术保障要求......................................................................167.2管理保障要求......................................................................487.3工程保障要求......................................................................60附录A（规范性附录）网上银行系统信息安全保障符合性..............................77A.1安全保障目的符合性声明...........................................................77A.2安全保障要求符合性声明...........................................................86参考文献.............................................................................96图1网上银行系统描述框架..............................................................2图2网上银行系统评估边界和接口描述示意图..............................................4图3网上银行系统子安全域划分示例......................................................5图4网上银行系统逻辑层次结构..........................................................7表1网上银行系统威胁描述.............................................................10表2网上信息流控制策略...............................................................17表3可审计安全事件类型...............................................................21表4可查阅的审计记录.................................................................22表5安全角色对系统安全功能行为的管理权限.............................................23表6授权人员对系统安全属性的管理权限表举例...........................................24表7主体对客体采取的操作对照表举例...................................................37表8网上信息流控制策略举例...........................................................37GB/T××××—××××II表9可审计安全事件类型...............................................................40表9（续）............................................................................41表10可查阅的审计记录................................................................41表11安全角色对系统安全功能行为的管理权限............................................42表12可审计安全事件类型..............................................................46表13可查阅的审计记录................................................................47表A.1安全环境和安全技术保障目的对应表（一）.........................................78表A.2安全环境和安全管理、安全工程保障目的对应表（二）...............................84表A.3安全保障技术目的和安全保障技术要求映射（一）...................................87表A.4安全保障技术目的和安全保障技术要求映射（二）...................................90表A.5安全保障管理目的和安全保障管理要求.............................................94表A.6安全保障工程目的和安全保障工程要求.............................................95GB/T××××—××××III前言本标准的附录A为规范性附录。本标准由全国信息安全标准化技术委员会提出并归口。本标准凡涉及密码算法相关内容，按国家有关法规实施，具体使用时均须采用国家商用密码管理委员会批准的相应算法。本标准起草单位：中国信息安全产品测评认证中心、中国工商银行。本标准主要起草人：吴世忠、王海生、陈晓桦、王贵驷、李守鹏、江常青、彭勇、张利、张燕、史有恒、黄大为、黄朝锋、邹琪、钱伟明、李娟、李静、班晓芳、王庆、江典盛、陆丽、姚轶崭、孙成昊、门雪松、杜宇鸽、杨再山。GB/T××××—××××IV引言0.1网上银行系统信息安全保障的含义网上银行业务是指商业银行等银行业金融机构利用计算机和互联网为客户提供的银行服务。网上银行是银行传统业务的电子化表现形式，拓展了银行服务的时间和空间。网上银行是现代信息技术在银行管理及其金融服务中的拓展，是促使金融服务组织机构与服务形式创新的重要成果之一。网上银行通过国际互联网这一公共资源及其相关技术实现银行与客户之间安全、方便、友好连接，为客户提供多种金融服务。信息安全保障是网上银行系统建设和运行中必须解决的基础和根本性问题，它关系到客户与银行的切身利益。网上银行系统是一种特定的信息系统（即用于采集、处理、存储、传输、分发和部署信息的整个基础设施、组织结构、人员和组件的总和），它的信息安全保障工作必须结合银行行业的特点，以风险和策略为出发点和核心，即从网上银行系统所面临的风险和所处的环境出发制定网上银行系统的安全保障策略，通过在网上银行系统的整个生命周期中从技术、工程、管理和人员等方面提出安全保障要求，确保信息的保密性、完整性和可用性特征，实现和贯彻组织机构策略并将风险降低到可接受的程度，达到保护网上银行的信息和信息系统资产，从而保障网上银行业务安全、可靠开展的最终目的。网上银行系统信息安全保障涵盖以下几个方面：a)网上银行系统信息安全保障应贯穿网上银行系统的整个生命周期，包括规划组织、开发采购、实施交付、运行维护和废弃五个阶段，以获得网上银行系统信息安全保障能力的持续性；b)网上银行系统信息安全保障不仅涉及安全技术，还应综合考虑安全管理、安全工程和人员安全等，以全面保障网上银行系统安全。在安全技术上，不仅要考虑具体的产品和技术，更要考虑网上银行系统的安全技术体系架构；