网上银行系统信息安全通用规范.doc-资料库

85ca6c85-57a8-47b7-9b79-537cd2231751.doc.pdf-第1页.png

第1页 / 共43页

85ca6c85-57a8-47b7-9b79-537cd2231751.doc.pdf-第2页.png

第2页 / 共43页

85ca6c85-57a8-47b7-9b79-537cd2231751.doc.pdf-第3页.png

第3页 / 共43页

85ca6c85-57a8-47b7-9b79-537cd2231751.doc.pdf-第4页.png

第4页 / 共43页

85ca6c85-57a8-47b7-9b79-537cd2231751.doc.pdf-第5页.png

第5页 / 共43页

85ca6c85-57a8-47b7-9b79-537cd2231751.doc.pdf-第6页.png

第6页 / 共43页

85ca6c85-57a8-47b7-9b79-537cd2231751.doc.pdf-第7页.png

第7页 / 共43页

85ca6c85-57a8-47b7-9b79-537cd2231751.doc.pdf-第8页.png

第8页 / 共43页

附件 ICS 35.240.40 A 11 备案号：中华人民共和国金融行业标准 JR JR/T 0068—2012 网上银行系统信息安全通用规范 General specification of information security for internet banking system 2012 - 05 -08 发布 2012 - 05 -08 实施中国人民银行发布

JR/T 0068—2012 目次前言 ................................................................................. II 引言 ................................................................................ III 1 范围 ............................................................................... 1 2 规范性引用文件 ..................................................................... 1 3 术语和定义 ......................................................................... 1 4 符号和缩略语 ....................................................................... 2 5 网上银行系统概述 ................................................................... 3 6 安全规范 ........................................................................... 6 附录 A（资料性附录）基本的网络防护架构参考图 ........................................35 附录 B（资料性附录）增强的网络防护架构参考图 ........................................36 附录 C（规范性附录）物理安全 ........................................................37 参考文献 ............................................................................. 39 I

JR/T 0068—2012 前言本标准按照GB/T 1.1—2009给出的规则起草。本标准由中国人民银行提出。本标准由全国金融标准化技术委员会（SAC/TC 180）归口。本标准起草单位：中国人民银行、银行卡检测中心。本标准主要起草人：王永红、李晓枫、杨竑、郭全明、王小青、王梅、董贞良、田朝阳、刘志刚、杜磊、李海滨、刘红波、孙茂增。本标准为首次发布。 II

JR/T 0068—2012 引言本标准是在收集、分析评估检查发现的网上银行系统信息安全问题和已发生过的网上银行案件的基础上，有针对性提出的安全要求，内容涉及网上银行系统的技术、管理和业务运作三个方面。本标准分为基本要求和增强要求两个层次，基本要求为最低安全要求，增强要求为本标准下发之日起的三年内应达到的安全要求。各单位应在遵照执行基本要求的同时，按照增强要求，积极采取改进措施，在规定期限内达标。本标准旨在有效增强现有网上银行系统安全防范能力，促进网上银行规范、健康发展。本标准既可作为网上银行系统建设和改造升级的安全性依据以及各单位开展安全检查和内部审计的依据，也可作为行业主管部门、专业检测机构进行检查、检测及认证的依据。 III

JR/T 0068—2012 网上银行系统信息安全通用规范 1 范围本标准包含了网上银行系统的描述、安全技术规范、安全管理规范、业务运作安全规范。本标准适用于网上银行系统建设、运营及测评。 2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 25069 信息安全技术术语 3 术语和定义 GB/T 25069确立的以及下列术语和定义适用于本文件。 3.1 网上银行 Internet banking 商业银行等金融机构通过互联网、移动通信网络、其他开放性公众网络或专用网络基础设施向其客户提供网上金融业务的服务。 3.2 3.3 互联网 Internet 因特网或其他类似形式的通用性公共计算机通信网络。敏感信息 sensitive information 主要指影响网上银行安全的密码、密钥以及交易敏感数据等信息，密码包括但不限于转账密码、查询密码、登录密码、证书的PIN等，密钥包括但不限于用于确保通讯安全、报文完整性等的密钥，交易敏感数据包括但不局限于完整磁道信息、有效期、CVN、CVN2、证件号码等。 3.4 客户端程序 client program 为网上银行客户提供人机交互功能的程序，以及提供必需功能的组件，包括但不限于：可执行文件、控件、静态链接库、动态链接库等，不包括IE等通用浏览器。 3.5 USB Key 1

一种USB接口的硬件设备。它内置单片机或智能卡芯片，有一定的存储空间，可以存储用户的私钥以及数字证书。 JR/T 0068—2012 USB Key 固件 USB Key firmware 影响USB Key安全的内置在USB Key内的程序代码。移动终端 mobile terminal 本标准中特指区别于传统PC机方式，以手机、平板电脑等通过通信网络访问网上银行的移动设备。 3.6 3.7 3.8 强效加密 strong encryption 一个通用术语，表示极难被破译的加密算法。加密的强壮性取决于所使用的加密密钥。密钥的有效长度应不低于可比较的强度建议所要求的最低密钥长度。 3.9 资金类交易 funds transaction 指通过网上银行进行资金操作交易，如转账、订单支付、缴费等。本人名下的投资理财、托管账户以及本人签订委托代扣协议的委托代扣等风险可控的资金变动不属于此范畴。 3.10 信息及业务变更类交易 information & business changing transaction 通过网上银行变更客户相关信息或开通、取消业务的交易，如客户修改基本信息、调整交易额度、授权委托交易、修改交易订单、开通（签订）新业务、取消某项业务、电子合同签署、电子保单等。 3.11 企业网银 corporate banking 指商业银行等金融机构面向企事业单位和其他组织提供的网上金融服务。 4 符号和缩略语以下缩略语和符号表示适用于本标准： CA Cookies COS C/S DoS/DDoS IDS/IPS 数字证书签发和管理机构（Certification Authority）为辨别客户身份而储存在客户本地终端上的数据卡片操作系统（Card Operating System）客户机/服务器 (Client/Server) 拒绝服务/分布式拒绝服务（Denial of Service/Distributed Denial of Service）入侵检测系统/入侵防御系统（Intrusion Detection System/ Intrusion Prevention System） IPSEC OTP PKI IP安全协议（Internet Protocol Security）一次性密码（One Time Password）公钥基础设施（Public Key Infrastructure） 2

JR/T 0068—2012 SSL SPA/DPA 安全套接字层（Secure Socket Layer）简单能量分析 / 差分能量分析 (Simple Power Analysis/ Differential Power Analysis) SEMA/DEMA 简单电磁分析/差分电磁分析（Simple Electromagnetism Analysis/ Differential Electromagnetism Analysis） TLS WTLS VPN IMEI IMSI 传输层安全（Transport Layer Security）无线传输层安全（Wireless Transport Layer Security）虚拟专用网络（Virtual Private Network）国际移动设备身份码（International Mobile Equipment Identity）国际移动用户识别码（International Mobile Subscriber Indentification Number） 5 网上银行系统概述 5.1 系统标识在系统标识中应标明以下内容： ―名称：XX 银行网上银行系统 ―所属银行 5.2 系统定义网上银行系统是商业银行等金融机构通过互联网、移动通信网络、其他开放性公众网络或专用网络基础设施向其客户提供各种金融服务的信息系统。网上银行系统将传统的银行业务同互联网等资源和技术进行融合，将传统的柜台通过互联网、移动通信网络、其他开放性公众网络或专用网络向客户进行延伸，是商业银行等金融机构在网络经济的环境下，开拓新业务、方便客户操作、改善服务质量、推动生产关系变革等的重要举措，提高了商业银行等金融机构的社会效益和经济效益。 5.3 系统描述网上银行系统主要由客户端、通信网络和服务器端组成。本标准所指网上银行系统，不仅包括传统方式的网上银行系统，还包括以手机、平板电脑等移动终端方式访问网上银行系统。网上银行系统包括个人网银和企业网银。本标准条款中如无特别指明“企业网银”，则同时适用于个人网银和企业网银。 5.3.1 客户端（含专用安全设备）网上银行系统客户端主要包括客户端交易终端和客户端程序。客户端交易终端不具备或不完全具备专用金融交易设备的可信通讯能力、可信输出能力、可信输入能力、可信存储能力和可信计算能力，因此，需要专用安全设备，并通过接受、减轻、规避及转移的策略来应对交易风险。目前，客户端交易终端主要包括PC客户端和手机、平板电脑等移动终端客户端，将来可能包括其他形式的终端产品。专用安全设备用于保护数字证书、动态口令和静态密码等，应按照其在交易中具备的可信通讯能力、可信输出能力、可信输入能力、可信存储能力和可信计算能力五种能力的组合对其进行分类分析，并制订与之适应的交易安全风险防范策略。客户端程序是指为网上银行客户提供人机交互功能的程序，以及提供必需功能的组件，包括但不限于：可执行文件、控件、静态链接库、动态链接库等。 5.3.2 通信网络 3

JR/T 0068—2012 网上银行借助互联网、移动通信网络等技术向客户提供金融服务，其最大特点是开放性，开放性带来的优点是交易成本的降低和交易便利性的提高，缺点是交易易受到安全威胁及通讯稳定性降低。因此，网上银行业务设计应充分利用开放网络低成本和便利的特点，有效应对开放网络通讯安全威胁，同时采取手段提高交易稳定性和成功率。 5.3.3 服务器端网上银行系统服务器端用于提供网上银行应用服务和核心业务处理，应充分利用各种先进的物理安全技术、网络安全技术、主机安全技术、访问控制技术、密码技术、安全审计技术、系统漏洞检测技术和黑客防范技术，在攻击者和受保护的资源间建立多道严密的安全防线。 5.4 安全性描述网上银行系统是一个涉及相关业务流程、不同的应用系统、客户对象、数据敏感程度等的复杂信息系统。网上银行系统信息安全保障以保障国家安全、金融稳定及公众利益为目标，遵循“纵深防御”战略，在人员通过技术实施操作的各个层面，采取控制措施保障交易全过程安全性，保障交易双方的双向可信、交易信息的安全性及交易授权的不可抵赖性。网上银行系统信息安全保障是一个涵盖风险管理、策略制定、规划实施、监督检查、改进完善的动态运作过程，需要网上银行高级管理层的高度重视以及业务、技术、风险管理、审计等相关部门协调配合，共同构建、实施全面性、系统性的保障体系。在网上银行系统的描述中，应根据应用系统、客户对象、数据敏感程度等划分安全域。安全域是一个逻辑的划分，它是遵守相同的安全策略的用户和系统的集合。通过对安全域的描述和界定，可更好地对网上银行系统信息安全保障进行描述。具体而言，网上银行系统主要包括：客户端、网上银行访问子网、网上银行业务系统、中间隔离设备和安全认证设备等。如图1所示。 4

资料库

网上银行系统信息安全通用规范.doc

相关推荐

安全技术

热门标签

最新资料