附件网上银行系统信息安全通用规范(试行)中国人民银行网上银行系统信息安全通用规范第2页目录1使用范围和要求.......................................................................................................................42规范性引用文件.......................................................................................................................43术语和定义...............................................................................................................................54符号和缩略语...........................................................................................................................65网上银行系统概述...................................................................................................................65.1系统标识...................................................................................................................65.2系统定义...................................................................................................................75.3系统描述...................................................................................................................75.4安全域......................................................................................................................86安全规范...................................................................................................................................96.1安全技术规范...........................................................................................................96.2安全管理规范.........................................................................................................226.3业务运作安全规范.................................................................................................26附1基本的网络防护架构参考图.......................................................................................30附2增强的网络防护架构参考图.......................................................................................31网上银行系统信息安全通用规范第3页前言本规范是在收集、分析评估检查发现的网上银行系统信息安全问题和已发生过的网上银行案件的基础上,有针对性提出的安全要求,内容涉及网上银行系统的技术、管理和业务运作三个方面。本规范分为基本要求和增强要求两个层次。基本要求为最低安全要求,增强要求为本规范下发之日起的三年内应达到的安全要求,各单位应在遵照执行基本要求的同时,按照增强要求,积极采取改进措施,在规定期限内达标。本规范旨在有效增强现有网上银行系统安全防范能力,促进网上银行规范、健康发展。本规范既可作为网上银行系统建设和改造升级的安全性依据,也可作为各单位开展安全检查和内部审计的依据。网上银行系统信息安全通用规范第4页1使用范围和要求本规范指出了网上银行系统的描述、安全技术规范、安全管理规范、业务运作安全规范,适用于规范网上银行系统建设、运营及测评工作。2规范性引用文件下列文件中的条款通过本规范的引用而成为本规范的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本规范,然而,鼓励根据本规范达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本规范。GB/T20983-2008信息安全技术网上银行系统信息安全保障评估准则GB/T22239-2008信息安全技术信息系统安全等级保护基本要求GB/T20984-2007信息安全技术信息系统风险评估规范GB/T18336.1-2008信息技术安全技术信息技术安全性评估准则第1部分:简介和一般模型GB/T18336.2-2008信息技术安全技术信息技术安全性评估准则第2部分:安全功能要求GB/T18336.3-2008信息技术安全技术信息技术安全性评估准则第3部分:安全保证要求GB/T22080-2008信息技术安全技术信息安全管理体系要求GB/T22081-2008信息技术安全技术信息安全管理使用规则GB/T14394-2008计算机软件可靠性和可维护性管理GB/T22239-2008信息安全技术信息系统安全等级保护基本要求《中国人民银行关于进一步加强银行业金融机构信息安全保障工作的指导意见》(银发〔2006〕123号)《中国人民银行中国银行业监督管理委员会公安部国家工商总局关于加强银行卡安全管理预防和打击银行卡犯罪的通知》(银发〔2009〕142号)网上银行系统信息安全通用规范第5页《中国人民银行办公厅关于贯彻落实中国人民银行中国银行业监督管理委员会公安部国家工商总局关于加强银行卡安全管理预防和打击银行卡犯罪的通知的意见》(银办发〔2009〕149号)3术语和定义GB/T20274确立的以及下列术语和定义适用于本规范。3.1网上银行商业银行等金融机构通过互联网等公众网络基础设施,向其客户提供各种金融业务。3.2互联网因特网或其他类似形式的通用性公共计算机通信网络。3.3敏感信息任何影响网上银行安全的密码、密钥以及交易数据等信息,密码包括但不限于转账密码、查询密码、登录密码、证书的PIN码等。3.4客户端程序为网上银行客户提供人机交互功能的程序,以及提供必需功能的组件,包括但不限于:可执行文件、控件、静态链接库、动态链接库等。3.5USBKey一种USB接口的硬件设备。它内置单片机或智能卡芯片,有一定的存储空间,可以存储用户的私钥以及数字证书。3.6USBKey固件影响USBKey安全的程序代码。3.7强效加密一个通用术语,表示极难被破译的加密算法。加密的强壮性取决于所使用的加密密钥。密钥的有效长度应不低于可比较的强度建议所要求的最低密钥长度。对于基于密钥的系统(例如3DES),应不低于80位。对于基于因子的公用密钥算法(例如RSA),应不低于1024位。网上银行系统信息安全通用规范第6页4符号和缩略语以下缩略语和符号表示适用于本规范:CA数字证书签发和管理机构(CertificationAuthority)Cookies为辨别客户身份而储存在客户本地终端上的数据COS卡片操作系统(CardOperatingSystem)C/S客户机/服务器(Client/Server)DOS/DDOS拒绝服务/分布式拒绝服务(DenialofService/DistributedofService)IDS/IPS入侵检测系统/入侵防御系统(IntrusionDetectionSystem/IntrusionPreventionSystem)IPSECIP安全协议OTP一次性密码(OneTimePassword)PKI公钥基础设施(PublicKeyInfrastructure)SSL安全套接字层(SecureSocketLayer)SPA/DPA简单能量分析/差分能量分析(SimplePowerAnalysis/DifferentialPowerAnalysis)SEMA/DEMA简单电磁分析/差分电磁分析(SimpleElectromagnetismAnalysis/DifferentialElectromagnetismAnalysis)TLS传输层安全(TransferLayerSecure)VPN虚拟专用网络(VirtualPrivateNetwork)5网上银行系统概述5.1系统标识在系统标识中应标明以下内容:―名称:XX银行网上银行系统―所属银行网上银行系统信息安全通用规范第7页5.2系统定义网上银行系统是商业银行等金融机构通过互联网等公众网络基础设施,向其客户提供各种金融业务服务的一种重要信息系统。网上银行系统将传统的银行业务同互联网等资源和技术进行融合,将传统的柜台通过互联网向客户进行延伸,是商业银行等金融机构在网络经济的环境下,开拓新业务、方便客户操作、改善服务质量、推动生产关系变革等的重要举措,提高了商业银行等金融机构的社会效益和经济效益。5.3系统描述网上银行系统主要由客户端、通信网络和服务器端组成。5.3.1客户端网上银行系统客户端不具备或不完全具备专用金融交易设备的可信通讯能力、可信输出能力、可信输入能力、可信存储能力和可信计算能力,因此,需要辅助安全设备,并通过接受、减轻、规避及转移的策略来应对交易风险。因此,网上银行系统客户端应包括基本交易终端和专用辅助安全设备。基本交易终端目前主要为电脑终端,将来可包括手机、固定电话等。专用辅助安全设备用于保护数字证书、动态口令和静态密码等,应按照其在交易中具备的可信通讯能力、可信输出能力、可信输入能力、可信存储能力和可信计算能力五种能力的组合对其进行分类分析,并制订与之适应的交易安全风险防范策略。5.3.2通信网络网上银行借助互联网技术向客户提供金融服务,其通信网络的最大特点是开放性,开放性带来的优点是交易成本的降低和交易便利性的提高,缺点是交易易受到安全威胁及通讯稳定性降低。因此,网上银行业务设计应充分利用开放网络低成本和便利的特点,有效应对开放网络通讯安全威胁,同时采取手段提高交易稳定性和成功率。网上银行系统信息安全通用规范第8页5.3.3服务器端网上银行系统服务器端用于提供网上银行应用服务和核心业务处理,应充分利用各种先进的物理安全技术、网络安全技术、主机安全技术、访问控制技术、密码技术、安全审计技术、系统漏洞检测技术和黑客防范技术,在攻击者和受保护的资源间建立多道严密的安全防线。5.4安全域网上银行系统是一个涉及不同的应用系统、客户对象、数据敏感程度等的复杂信息系统。在网上银行系统的描述中,应根据应用系统、客户对象、数据敏感程度等划分安全域。安全域是一个逻辑的划分,它是遵守相同