附件
网上银行系统信息安全通用规范
(试行)
中国人民银行
目录
1?使用范围和要求?错误!未定义书签。
2?规范性引用文件 ............................................................................................ 错误!未定义书签。3?术语和定义 .................................................................................................... 错误!未定义书签。4?符号和缩略语 ................................................................................................ 错误!未定义书签。5网上银行系统概述?错误!未定义书签。
5.1?系统标识 ............................................................................................. 错误!未定义书签。
5.2系统定义.................................................................................... 错误!未定义书签。
5.3?系统描述 ........................................................................................ 错误!未定义书签。
5.4?安全域 .............................................................................................. 错误!未定义书签。6?安全规范 ........................................................................................................ 错误!未定义书签。
6.1?安全技术规范 ................................................................................. 错误!未定义书签。
6.2?安全管理规范 ................................................................................... 错误!未定义书签。
6.3业务运作安全规范?错误!未定义书签。
附1基本的网络防护架构参考图......................................................... 错误!未定义书签。
附2增强的网络防护架构参考图?错误!未定义书签。
?前言
1
本规范是在收集、分析评估检查发现的网上银行系统信息安全问题和已发生过的网上银行案件的基础上,有针对性提出的安全要求,内容涉及网上银行系统的技术、管理和业务运作三个方面。
本规范分为基本要求和增强要求两个层次。基本要求为最低安全要求,增强要求为本规范下发之日起的三年内应达到的安全要求,各单位应在遵照执行基本要求的同时,按照增强要求,积极采取改进措施,在规定期限内达标。
本规范旨在有效增强现有网上银行系统安全防范能力,促进网上银行规范、健康发展。本规范既可作为网上银行系统建设和改造升级的安全性依据,也可作为各单位开展安全检查和内部审计的依据。
1使用范围和要求
本规范指出了网上银行系统的描述、安全技术规范、安全管理规范、业务运作安全规范,适用于规范网上银行系统建设、运营及测评工作。
2规范性引用文件
下列文件中的条款通过本规范的引用而成为本规范的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本规范,然而,鼓励根据本规范达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本规范。
GB/T20983-2008 信息安全技术网上银行系统信息安全保障评估准则
GB/T 22239-2008信息安全技术信息系统安全等级保护基本要求
GB/T20984-2007 信息安全技术信息系统风险评估规范
GB/T 18336.1-2008 信息技术安全技术信息技术安全性评估准则第1部分:简介和一般模型
GB/T 18336.2-2008 信息技术安全技术信息技术安全性评估准则第2部分:安全功能要求
GB/T18336.3-2008信息技术安全技术信息技术安全性评估准则第3部分: 安全保证要求
GB/T22080-2008信息技术安全技术信息安全管理体系要求
GB/T 22081-2008信息技术安全技术信息安全管理使用规则
GB/T14394-2008计算机软件可靠性和可维护性管理
GB/T22239-2008信息安全技术信息系统安全等级保护基本要求
《中国人民银行关于进一步加强银行业金融机构信息安全保障工作的指导意见》(银发〔2006〕123号)
《中国人民银行中国银行业监督管理委员会公安部国家工商总局关于加强银行卡安全管理预防和打击银行卡犯罪的通知》(银发〔2009〕142号)
《中国人民银行办公厅关于贯彻落实<中国人民银行中国银行业监督管理委员会公安部国家工商总局关于加强银行卡安全管理预防和打击银行卡犯罪的通知>的意见》(银办发〔2009〕149号)
3术语和定义
GB/T20274确立的以及下列术语和定义适用于本规范。
3.1 网上银行
商业银行等金融机构通过互联网等公众网络基础设施,向其客户提供各种金融业务。3.2 互联网
因特网或其他类似形式的通用性公共计算机通信网络。
3.3敏感信息
任何影响网上银行安全的密码、密钥以及交易数据等信息,密码包括但不限于转账密码、查询密码、登录密码、证书的PIN码等。
3.4客户端程序
为网上银行客户提供人机交互功能的程序,以及提供必需功能的组件,包括但不限于:可执行文件、控件、静态链接库、动态链接库等。
3.5 USBKey
一种USB接口的硬件设备。它内置单片机或智能卡芯片,有一定的存储空间,可以存储用户的私钥以及数字证书。
3.6USB Key固件
影响USB Key安全的程序代码。
3.7 强效加密
一个通用术语,表示极难被破译的加密算法。加密的强壮性取决于所使用的加密密钥。密钥的有效长度应不低于可比较的强度建议所要求的最低密钥长度。对于基于密钥的系统(例如3DES),应不低于80 位。对于基于因子的公用密钥算法(例如RSA),应不低于1024 位。
4符号和缩略语
以下缩略语和符号表示适用于本规范:
CA数字证书签发和管理机构(Certification Authority)
Cookies为辨别客户身份而储存在客户本地终端上的数据
COS卡片操作系统(Card OperatingSystem)
C/S 客户机/服务器(Client/Server)
DOS/DDOS 拒绝服务/分布式拒绝服务(Denial of Service/Distributed of Service)
IDS/IPS入侵检测系统/入侵防御系统(Intrusion Detection System/ Intru sion PreventionSystem)
IPSEC IP安全协议
OTP一次性密码(One Time Password)
PKI 公钥基础设施(PublicKey Infrastructure)
SSL安全套接字层(Secure Socket Layer)
SPA/DPA 简单能量分析/差分能量分析(Simple Power Analysis/DifferentialPower Analysis)
SEMA/DEMA简单电磁分析/差分电磁分析(Simple Electromagnetism Anal ysis/ Differential Electromagnetism Analysis) TLS 传输层安全(TransferLayer Secure)
VPN虚拟专用网络(VirtualPrivate Network)
5网上银行系统概述
5.1系统标识
在系统标识中应标明以下内容:
―名称:XX 银行网上银行系统
―所属银行
5.2系统定义
网上银行系统是商业银行等金融机构通过互联网等公众网络基础设施,向其客户提供各种金融业务服务的一种重要信息系统。网上银行系统将传统的银行业务同互联网等资源和技术进行融合,将传统的柜台通过互联网向客户进行延伸,是商业银行等金融机构在网络经济的环境下,开拓新业务、方便客户操作、改善服务质量、推动生产关系变革等的重要举措,提高了商业银行等金融机构的社会效益和经济效益。
5.3系统描述
网上银行系统主要由客户端、通信网络和服务器端组成。
5.3.1客户端
网上银行系统客户端不具备或不完全具备专用金融交易设备的可信通讯能力、可信输出能力、可信输入能力、可信存储能力和可信计算能力,因此,需要辅助安全设备,并通过接受、减轻、规避及转移的策略来应对交易风险。
因此,网上银行系统客户端应包括基本交易终端和专用辅助安全设备。
基本交易终端目前主要为电脑终端,将来可包括手机、固定电话等。
专用辅助安全设备用于保护数字证书、动态口令和静态密码等,应按照其在交易中具备的可信通讯能力、可信输出能力、可信输入能力、可信存储能力和可信计算能力五种能力的组合对其进行分类分析,并制订与之适应的交易安全风险防范策略。
5.3.2通信网络
网上银行借助互联网技术向客户提供金融服务,其通信网络的最大特点是开放性,开放性带来的优点是交易成本的降低和交易便利性的提高,缺点是交易易受到安全威胁及通讯稳定性降低。因此,网上银行业务设计应充分利用开放网络低成本和便利的特点,有效应对开放网络通讯安全威胁,同时采取手段提高交易稳定性和成功率。
5.3.3服务器端
网上银行系统服务器端用于提供网上银行应用服务和核心业务处理,应充分利用各种先进的物理安全技术、网络安全技术、主机安全技术、访问控制技术、密码技术、安全审计技术、系统漏洞检测技术和黑客防范技术,在攻击者和受保护的资源间建立多道严密的安全防线。
5.4安全域
网上银行系统是一个涉及不同的应用系统、客户对象、数据敏感程度等的复杂信息系统。在网上银行系统的描述中,应根据应用系统、客户对象、数据敏感程度等划分安全域。
安全域是一个逻辑的划分,它是遵守相同的安全策略的用户和系统的集合。通过对安全域的描述和界定,就能更好地对网上银行系统信息安全保障进行描述。具体而言,网上银行系统主要包括:客户端、网上银行访问子网、网上银行业务系统、中间隔离设备和安全认证设备等。如图1所示:
图1网上银行系统子安全域划分示例图?
外部区域:网上银行的用户,安装网上银行客户端,通过互联网访问网上银行业务系统;
安全区域一:网上银行访问子网,主要提供客户的Web访问;
安全区域二:网上银行业务系统,主要进行网上银行的业务处理;
银行内部系统:银行处理系统,主要进行银行内部的数据处理。
6安全规范
作为金融机构IT业务应用系统之一,网上银行系统需要与其他业务应用系统一起纳入金融机构全面的风险管理体系中。网上银行信息安全规范可分为安全技术规范、安全管理规范和业务运作安全规范。安全技术规范从客户端安全、专用辅助安全设备安全、网络通信安全和网上银行服务器端安全几个方面提出;安全管理规范从组织结构、管理制度、人员及文档管理和系统运行管理几个方面提出,业务运作安全规范从业务申请及开通、业务安全交易机制、客户教育几个方面提出。下面将分别对其进行阐述。
6.1安全技术规范
6.1.1客户端安全
6.1.1.1客户端程序
A. 基本要求:
a)客户端程序上线前应进行严格的代码安全测试,如果客户端程序是外包给第三方机
构开发的,金融机构应要求开发商进行代码安全测试。金融机构应建立定期对客户端程序进行安全检测的机制。
b)客户端程序应通过指定的第三方中立测试机构的安全检测。
c)客户端程序应具有抗逆向分析、抗反汇编等安全性防护措施,防范攻击者对客户端
程序的调试、分析和篡改。
d)客户端程序的临时文件中不应出现敏感信息,临时文件包括但不限于Cookies。客
户端程序应禁止在身份认证结束后存储敏感信息,防止敏感信息的泄露。
e)客户端程序应防范键盘窃听敏感信息,例如防范采用挂钩Windows键盘消息等方
式进行键盘窃听,并应具有对通过挂钩窃听键盘信息进行预警的功能。
f)客户端程序应防范恶意程序获取或篡改敏感信息,例如使用浏览器接口保护控件进
行防范。
B. 增强要求:
a)客户端程序应保护在客户端启动的用于访问网上银行的进程,防止非法程序获取该
进程的访问权限。
b)进行转账类交易时,客户端程序应采取防范调试跟踪的措施,例如开启新的进程。
c)客户端程序应采用反屏幕录像技术,防止非法程序获取敏感信息。
6.1.1.2密码保护
A.基本要求:
a)禁止明文显示密码,应使用相同位数的同一特殊字符(例如*和#)代替。
b)密码应有复杂度的要求,包括:
?长度至少6位,支持字母和数字共同组成。
?在客户设置密码时,应提示客户不使用简单密码。
c)如有初始密码,首次登录时应强制客户修改初始密码。
d)应具有防范暴力破解静态密码的保护措施,例如在登录和交易时使用图形认证码,
图形认证码应满足:
?由数字和字母组成。
?随机产生。
?包含足够的噪音干扰信息,避免恶意代码自动识别图片上的信息。
?具有使用时间限制并仅能使用一次。
e)使用软键盘方式输入密码时,应对整体键盘布局进行随机干扰。
f)应保证密码的加密密钥的安全。
g)应提醒客户区分转账密码与其他密码。
B.增强要求:
a)采用辅助安全设备(例如USBKey或专用密码输入键盘)输入并保护密码。
b) 密码输入后立即加密,敏感信息在应用层保持端到端加密,即保证数据在从源点到终点
的过程中始终以密文形式存在。
6.1.1.3登录控制
A. 基本要求:
a)设置连续失败登录次数为10次以下,超过限定次数应锁定网上银行登录权限。
b)退出登录或客户端程序、浏览器页面关闭后,应立即终止会话,保证无法通过后退、
直接输入访问地址等方式重新进入登录后的网上银行页面。
c)退出登录时应提示客户取下专用辅助安全设备,例如USBKey。?
B. 增强要求:
屏蔽客户端使用Ctrl+N等快捷键等方式重复登录。
6.1.2专用辅助安全设备安全
6.1.2.1USB Key
A.基本要求:
a)金融机构应使用指定的第三方中立测试机构安全检测通过的USBKey。
b)应在安全环境下完成USBKey的个人化过程。
c)USB Key应采用具有密钥生成和数字签名运算能力的智能卡芯片,保证敏感操作
在USB Key内进行。
d)USB Key的主文件(Master File)应受到COS安全机制保护,保证客户无法对
其进行删除和重建。
e)应保证私钥在生成、存储和使用等阶段的安全:
?私钥应在USBKey内部生成,不得固化密钥对和用于生成密钥对的素数。
?禁止以任何形式从USBKey读取或写入私钥。