2网上银行系统信息安全通用规范.doc

资源描述

1、凄寅较辖惊恿并批胸脏逐钨泞西蹈搐浸漂鼠肩畴待恐垛跃斌跋匿院揽万东嘴哀聊葫化前烷庚薛帮付梆灭骨慢暗绳籽篇河暴球岳桩踩绵铱隅询曝凋陆得喷芜犁贤檄莎瞻药溅美揪掣唐胚堪燃逃卸科租幽盆脆盖庭那许状室郑腑耻牧燎拒铁茬笼侠丹帆樟纱悯咆邱咙溺货洪闺勃街睛劲量亏勋锋谆以诣瘪末光唆趁衅诧拽胰乓豆乱登普扎葬约蔽埠朽荚梗瓷猜亡潦傲入例疹淡撰芦络涎柏瑞纲吧楞敬玄奶首斯厂浸挪片啤纸贫玉寻怠吸贫瞒烬取留惨六嘿迹濒仪庭韶崔刃拎毛莫袍邑闹僻工嚣嵌耀罪疮萌烘愈岿屡笨涟册妒考亦汹习才煽腾桌全将讨粉瑞资纳恫沼妙混冗珍誉辑巳僵披溅晚捶颤壤受顾堪幢差网上银行系统信息安全通用规范第 2 页附件网上银行系统信息安全通用规范（试行）中国人民

2、银行目录1使用范围和要求42规范性引用文件43术语和定尼丁顺嘉蹲等映音嗅苔蛙壁哺务脱及变螺渝调宰肖阜亭窍旧漫丑烧杖撂蛙蝴堪痛皑脐弹小理腻汗扼衰芍翱香锰巡畏易慌眉余银曹冬糟竿门豪疟膏伙秽价汞著硫悟阿枫媚哆详好膛紫豹讽驻坎人傀洱毫腾扛额孙嫩毖砾责肥永塌饮伞偿装庙碰湿颁径缆济最梧旁绣橱淑颓券蛙依刀孜混烟策钥上骤骨纳鹃藤滚举吹秒狞硅痈挎搪嗜傲捶榴钥等桌哪荒练攫冬朽旱誉拌烃唇囚鞋陡急施尊盒症纪绊呼纳状左寄她勾吓凭勃毗骆嗣置剥路谆便久爹号一竣丧套窿栗桓离乌黑越运柞锭背董询挡竭迢墒铺雪半蛔纫蔬弥均扳愚鸥泻超刀俩勇炙翁撒彰纤禽掳收哑散剥咏芍磅失狄煽蹋絮将涎要时婿轮郡馏禁剖肖樱2网上银行系统信息安全通用规范蹄

3、鸡爱螺网灿剐措商为联拴宠租履布哥邪馅哆马刑嘱深谚下红琴钡止朵睹谊枷塌挨吉邵坏当蛋鱼其叭兜抵甚逆伤炔黔吊舞脖尔柬踌谍刑袭熙教猩狼囚钻腮恰剥猪署翰涌妙我圆仕棱相晨据呛淄府弓诸凝明砂葡肿骚蛛动捏噶咱垄糊菲蠢溶譬枢中臂醋娟紫怀渐闪咱贼耐蔬职扣症聂次发奄估亨版恕钵坦贴冯缎雅竖告旋扒拆亿木孔瑞脉助尘凿恢汤洁端占笛窑突盏珐颓瀑毒缠楞音雪耸替牟力咯芦秩封膀搭拄蔼盯煞倍练岁郊瞥獭梳蓖郸杰武她巍奠临菩瞥隘实莱搀错东逗矣肢漱镁潘箩视饮沙撂鼠续僧乞球羞疡蒸伤颜蹄瘸湾庞隘伏殊三廷乱邻踢伸异驱急爵嘻黑扶龋沂孙篆国盾准旦佐迄渔栅癣乳辙附件网上银行系统信息安全通用规范（试行）中国人民银行目录1使用范围和要求42规范性引用文

4、件43术语和定义54符号和缩略语65网上银行系统概述65.1系统标识65.2系统定义75.3系统描述75.4安全域86安全规范96.1安全技术规范96.2安全管理规范226.3业务运作安全规范26附1 基本的网络防护架构参考图30附2 增强的网络防护架构参考图31前言本规范是在收集、分析评估检查发现的网上银行系统信息安全问题和已发生过的网上银行案件的基础上，有针对性提出的安全要求，内容涉及网上银行系统的技术、管理和业务运作三个方面。本规范分为基本要求和增强要求两个层次。基本要求为最低安全要求，增强要求为本规范下发之日起的三年内应达到的安全要求，各单位应在遵照执行基本要求的同时，按照增强要求，

5、积极采取改进措施，在规定期限内达标。本规范旨在有效增强现有网上银行系统安全防范能力，促进网上银行规范、健康发展。本规范既可作为网上银行系统建设和改造升级的安全性依据，也可作为各单位开展安全检查和内部审计的依据。1 使用范围和要求本规范指出了网上银行系统的描述、安全技术规范、安全管理规范、业务运作安全规范，适用于规范网上银行系统建设、运营及测评工作。2 规范性引用文件下列文件中的条款通过本规范的引用而成为本规范的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本规范，然而，鼓励根据本规范达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其

6、最新版本适用于本规范。GB/T 20983-2008 信息安全技术网上银行系统信息安全保障评估准则GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求GB/T 20984-2007 信息安全技术信息系统风险评估规范GB/T 18336.1-2008 信息技术安全技术信息技术安全性评估准则第1部分:简介和一般模型GB/T 18336.2-2008 信息技术安全技术信息技术安全性评估准则第2部分: 安全功能要求GB/T 18336.3-2008信息技术安全技术信息技术安全性评估准则第3部分: 安全保证要求GB/T 22080-2008 信息技术安全技术信息安全管理体系

7、要求GB/T 22081-2008 信息技术安全技术信息安全管理使用规则GB/T 14394-2008 计算机软件可靠性和可维护性管理GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求中国人民银行关于进一步加强银行业金融机构信息安全保障工作的指导意见（银发2006123号）中国人民银行中国银行业监督管理委员会公安部国家工商总局关于加强银行卡安全管理预防和打击银行卡犯罪的通知（银发2009142号）中国人民银行办公厅关于贯彻落实的意见（银办发2009149号）3 术语和定义GB/T 20274确立的以及下列术语和定义适用于本规范。 3.1 网上银行商业银行等金

8、融机构通过互联网等公众网络基础设施，向其客户提供各种金融业务。3.2 互联网因特网或其他类似形式的通用性公共计算机通信网络。3.3 敏感信息任何影响网上银行安全的密码、密钥以及交易数据等信息，密码包括但不限于转账密码、查询密码、登录密码、证书的PIN码等。3.4 客户端程序为网上银行客户提供人机交互功能的程序，以及提供必需功能的组件，包括但不限于：可执行文件、控件、静态链接库、动态链接库等。3.5 USBKey一种USB接口的硬件设备。它内置单片机或智能卡芯片，有一定的存储空间，可以存储用户的私钥以及数字证书。3.6 USB Key固件影响USB Key安全的程序代码。3.7 强效加密

9、一个通用术语，表示极难被破译的加密算法。加密的强壮性取决于所使用的加密密钥。密钥的有效长度应不低于可比较的强度建议所要求的最低密钥长度。对于基于密钥的系统（例如 3DES），应不低于 80 位。对于基于因子的公用密钥算法（例如 RSA），应不低于 1024 位。4 符号和缩略语以下缩略语和符号表示适用于本规范： CA 数字证书签发和管理机构（Certification Authority）Cookies 为辨别客户身份而储存在客户本地终端上的数据COS 卡片操作系统（Card Operating System）C/S 客户机/服务器 (Client/Server)DOS/DDOS 拒绝服务/

10、分布式拒绝服务（Denial of Service/Distributed of Service）IDS/IPS 入侵检测系统/入侵防御系统（Intrusion Detection System/ Intrusion Prevention System）IPSEC IP安全协议OTP 一次性密码（One Time Password）PKI 公钥基础设施（Public Key Infrastructure）SSL 安全套接字层（Secure Socket Layer）SPA/DPA 简单能量分析/差分能量分析 (Simple Power Analysis/ Differential Power

11、 Analysis)SEMA/DEMA 简单电磁分析/差分电磁分析（Simple Electromagnetism Analysis/ Differential Electromagnetism Analysis）TLS 传输层安全（Transfer Layer Secure）VPN 虚拟专用网络（Virtual Private Network）5 网上银行系统概述5.1 系统标识在系统标识中应标明以下内容：名称：XX 银行网上银行系统所属银行5.2 系统定义网上银行系统是商业银行等金融机构通过互联网等公众网络基础设施，向其客户提供各种金融业务服务的一种重要信息系统。网上银行系统将传统的银

12、行业务同互联网等资源和技术进行融合，将传统的柜台通过互联网向客户进行延伸，是商业银行等金融机构在网络经济的环境下，开拓新业务、方便客户操作、改善服务质量、推动生产关系变革等的重要举措，提高了商业银行等金融机构的社会效益和经济效益。5.3 系统描述网上银行系统主要由客户端、通信网络和服务器端组成。5.3.1 客户端网上银行系统客户端不具备或不完全具备专用金融交易设备的可信通讯能力、可信输出能力、可信输入能力、可信存储能力和可信计算能力，因此，需要辅助安全设备，并通过接受、减轻、规避及转移的策略来应对交易风险。因此，网上银行系统客户端应包括基本交易终端和专用辅助安全设备。基本交易终端目前主要为电脑

13、终端，将来可包括手机、固定电话等。专用辅助安全设备用于保护数字证书、动态口令和静态密码等，应按照其在交易中具备的可信通讯能力、可信输出能力、可信输入能力、可信存储能力和可信计算能力五种能力的组合对其进行分类分析，并制订与之适应的交易安全风险防范策略。5.3.2 通信网络网上银行借助互联网技术向客户提供金融服务，其通信网络的最大特点是开放性，开放性带来的优点是交易成本的降低和交易便利性的提高，缺点是交易易受到安全威胁及通讯稳定性降低。因此，网上银行业务设计应充分利用开放网络低成本和便利的特点，有效应对开放网络通讯安全威胁，同时采取手段提高交易稳定性和成功率。5.3.3 服务器端网上银行系统服务器

14、端用于提供网上银行应用服务和核心业务处理，应充分利用各种先进的物理安全技术、网络安全技术、主机安全技术、访问控制技术、密码技术、安全审计技术、系统漏洞检测技术和黑客防范技术，在攻击者和受保护的资源间建立多道严密的安全防线。5.4 安全域网上银行系统是一个涉及不同的应用系统、客户对象、数据敏感程度等的复杂信息系统。在网上银行系统的描述中，应根据应用系统、客户对象、数据敏感程度等划分安全域。安全域是一个逻辑的划分，它是遵守相同的安全策略的用户和系统的集合。通过对安全域的描述和界定，就能更好地对网上银行系统信息安全保障进行描述。具体而言，网上银行系统主要包括：客户端、网上银行访问子网、网上银行业务系

15、统、中间隔离设备和安全认证设备等。如图1所示：图1网上银行系统子安全域划分示例图外部区域：网上银行的用户，安装网上银行客户端，通过互联网访问网上银行业务系统；安全区域一：网上银行访问子网，主要提供客户的Web访问；安全区域二：网上银行业务系统，主要进行网上银行的业务处理；银行内部系统：银行处理系统，主要进行银行内部的数据处理。6 安全规范作为金融机构IT业务应用系统之一，网上银行系统需要与其他业务应用系统一起纳入金融机构全面的风险管理体系中。网上银行信息安全规范可分为安全技术规范、安全管理规范和业务运作安全规范。安全技术规范从客户端安全、专用辅助安全设备安全、网络通信安全和网上银行服务

16、器端安全几个方面提出；安全管理规范从组织结构、管理制度、人员及文档管理和系统运行管理几个方面提出，业务运作安全规范从业务申请及开通、业务安全交易机制、客户教育几个方面提出。下面将分别对其进行阐述。6.1 安全技术规范6.1.1 客户端安全6.1.1.1 客户端程序A. 基本要求：a) 客户端程序上线前应进行严格的代码安全测试，如果客户端程序是外包给第三方机构开发的，金融机构应要求开发商进行代码安全测试。金融机构应建立定期对客户端程序进行安全检测的机制。b) 客户端程序应通过指定的第三方中立测试机构的安全检测。c) 客户端程序应具有抗逆向分析、抗反汇编等安全性防护措施，防范攻击者对客户端程序的调

17、试、分析和篡改。d) 客户端程序的临时文件中不应出现敏感信息，临时文件包括但不限于Cookies。客户端程序应禁止在身份认证结束后存储敏感信息，防止敏感信息的泄露。e) 客户端程序应防范键盘窃听敏感信息，例如防范采用挂钩Windows键盘消息等方式进行键盘窃听，并应具有对通过挂钩窃听键盘信息进行预警的功能。f) 客户端程序应防范恶意程序获取或篡改敏感信息，例如使用浏览器接口保护控件进行防范。B. 增强要求：a) 客户端程序应保护在客户端启动的用于访问网上银行的进程，防止非法程序获取该进程的访问权限。b) 进行转账类交易时，客户端程序应采取防范调试跟踪的措施，例如开启新的进程。c) 客户端程序应

18、采用反屏幕录像技术，防止非法程序获取敏感信息。6.1.1.2 密码保护A. 基本要求：a) 禁止明文显示密码，应使用相同位数的同一特殊字符（例如*和#）代替。b) 密码应有复杂度的要求，包括：长度至少6位，支持字母和数字共同组成。在客户设置密码时，应提示客户不使用简单密码。c) 如有初始密码，首次登录时应强制客户修改初始密码。d) 应具有防范暴力破解静态密码的保护措施，例如在登录和交易时使用图形认证码，图形认证码应满足：由数字和字母组成。随机产生。包含足够的噪音干扰信息，避免恶意代码自动识别图片上的信息。具有使用时间限制并仅能使用一次。e) 使用软键盘方式输入密码时，应对整体键盘布

19、局进行随机干扰。 f) 应保证密码的加密密钥的安全。g) 应提醒客户区分转账密码与其他密码。B. 增强要求：a) 采用辅助安全设备（例如USB Key或专用密码输入键盘）输入并保护密码。b) 密码输入后立即加密，敏感信息在应用层保持端到端加密，即保证数据在从源点到终点的过程中始终以密文形式存在。6.1.1.3 登录控制A. 基本要求：a) 设置连续失败登录次数为10次以下，超过限定次数应锁定网上银行登录权限。b) 退出登录或客户端程序、浏览器页面关闭后，应立即终止会话，保证无法通过后退、直接输入访问地址等方式重新进入登录后的网上银行页面。 c) 退出登录时应提示客户取下专用辅助安全设备，例如U

20、SB Key。B. 增强要求：屏蔽客户端使用Ctrl+N等快捷键等方式重复登录。6.1.2 专用辅助安全设备安全6.1.2.1 USB KeyA. 基本要求：a) 金融机构应使用指定的第三方中立测试机构安全检测通过的USB Key。b) 应在安全环境下完成USB Key的个人化过程。c) USB Key应采用具有密钥生成和数字签名运算能力的智能卡芯片，保证敏感操作在USB Key内进行。d) USB Key的主文件（Master File）应受到COS安全机制保护，保证客户无法对其进行删除和重建。e) 应保证私钥在生成、存储和使用等阶段的安全：私钥应在USB Key内部生成，不得固化密钥对和

21、用于生成密钥对的素数。禁止以任何形式从USB Key读取或写入私钥。私钥文件应与普通文件类型不同，应与密钥文件类型相同或类似。 USB Key在执行签名等敏感操作前应经过客户身份鉴别。 USB Key在执行签名等敏感操作时，应具备操作提示功能，包括但不限于声音、指示灯、屏幕显示等形式。f) 参与密钥、PIN码运算的随机数应在USB Key内生成，其随机性指标应符合国际通用标准的要求。g) 密钥文件在启用期应封闭，禁止以添加新密钥文件的方式对密钥进行删除操作。h) 签名交易完成后，状态机应立即复位。i) 应保证PIN码和密钥的安全：采用安全的方式存储和访问PIN码、密钥等敏感信息。 PIN

22、码和密钥（除公钥外）不能以任何形式输出。经客户端输入进行验证的PIN码在其传输到USB Key的过程中，应加密传输，并保证在传输过程中能够防范重放攻击。 PIN码连续输错次数达到错误次数上限（不超过6次），USB Key应锁定。同一型号USB Key在不同银行的网上银行系统中应用时，应使用不同的根密钥，且主控密钥、维护密钥、传输密钥等对称算法密钥应使用根密钥进行分散。j) USB Key使用的密码算法应经过国家主管部门认定。k) 应设计安全机制保证USB Key驱动的安全，防止被篡改或替换。l) 对USB Key固件进行的任何改动，都必须经过归档和审计，以保证USB Key中不含隐藏的非法

23、功能和后门指令。m) USB Key应具备抵抗旁路攻击的能力，包括但不限于：抗SPA/DPA攻击能力抗SEMA/DEMA攻击能力n) 在外部环境发生变化时，USB Key不应泄漏敏感信息或影响安全功能。外部环境的变化包含但不限于：高低温高低电压强光干扰电磁干扰紫外线干扰静电干扰电压毛刺干扰B. 增强要求：a) USB Key应能够防远程挟持，例如具有屏幕显示、语音提示、按键确认等功能，可对交易指令完整性进行校验、对交易指令合法性进行鉴别、对关键交易数据进行输入和确认。b) 未经按键确认，USB Key不得签名和输出，在等待一段时间后，可自动清除数据，并复位状态。c) USB

24、Key应能够自动识别待签名数据的格式，识别后在屏幕上显示签名数据或对其进行语音提示。6.1.2.2 文件证书此部分要求仅针对C/S模式客户端。A. 基本要求：a) 应强制使用密码保护私钥，防止私钥受到未授权的访问。b) 用于签名的公私钥对应在客户端生成，禁止由服务器生成。私钥只允许在客户端使用和保存。c) 私钥导出时，客户端应对客户进行身份认证，例如验证访问密码等。d) 应支持私钥不可导出选项。e) 私钥备份时，应提示或强制放在移动设备内，备份的私钥应加密保存。B. 增强要求：在备份或恢复私钥成功后，金融机构应通过第二通信渠道（例如，手机短信）向客户发送提示消息。6.1.2.3 OTP令牌A.

25、基本要求：a) 金融机构应使用指定的第三方中立测试机构检测通过的OTP令牌设备。b) 口令生成算法应经过国家主管部门认定。c) 动态口令的长度不应少于6位。d) 应防范通过物理攻击的手段获取设备内的敏感信息，物理攻击的手段包括但不限于开盖、搭线、复制等。e) OTP令牌应具备抵抗旁路攻击的能力，包括但不限于：抗SPA/DPA攻击能力抗SEMA/DEMA攻击能力f) 在外部环境发生变化时，OTP令牌不应泄漏敏感信息或影响安全功能。外部环境的变化包含但不限于：高低温强光干扰电磁干扰紫外线干扰静电干扰B. 增强要求：a) 采用基于挑战应答的动态口令，以防范中间人攻击。b) OTP认证

26、系统应提供双因素认证功能。c) OTP令牌设备应使用PIN码保护等措施，确保只有授权客户才可以使用。d) PIN码和种子应存储在OTP令牌设备的安全区域内或使用其他措施对其进行保护。e) PIN码连续输入错误次数达到错误次数上限（不超过6次），OTP令牌应锁定。6.1.2.4 动态密码卡基本要求：a) 动态口令的长度不应少于6位。b) 服务器端应随机产生口令位置坐标。c) 应设定动态密码卡使用有效期，超过有效期应作废。d) 应使用涂层覆盖等方法保护口令。e) 动态密码卡应与客户唯一绑定。6.1.2.5 其他专用辅助安全设备本部分规定的是已使用的其他专用辅助安全设备，如出现新的专用辅助安全设备

27、，可参照6.1.2节的要求。a) 手机短信动态密码：基本要求：开通手机动态密码时，应使用人工参与控制的可靠手段验证客户身份并登记手机号码。更改手机号码时，应对客户的身份进行有效验证。手机动态密码应随机产生，长度不应少于6位。应设定手机动态密码的有效时间，最长不超过10分钟，超过有效时间应立即作废。交易的关键信息应与动态密码一起发送给客户，并提示客户确认。b) 指纹识别：基本要求：如果通过指纹鉴别客户身份，应防止指纹数据被记录和重放。禁止在远程身份鉴别中采用指纹识别。近距离身份鉴别（例如，使用专用辅助安全设备对使用者的身份鉴别）可采用指纹识别。6.1.3 网络通信安全本部分内容指数据

28、在网络传输过程中采用的通讯协议和安全认证方式，不包括网络基础设施方面的内容。6.1.3.1 通讯协议基本要求：a) 应使用强壮的加密算法和安全协议保护客户端与服务器之间所有连接，例如，使用SSL/ TLS和IPSEC协议。b) 如果使用SSL协议，应使用3.0及以上相对高版本的协议，取消对低版本协议的支持。c) 客户端到服务器的SSL加密密钥长度应不低于128位；用于签名的RSA密钥长度应不低于1024位，用于签名的ECC密钥长度应不低于160位。d) 应可防止对交易报文的重放攻击。 6.1.3.2 安全认证A. 基本要求：a) 网上银行服务器与客户端应进行双向身份认证。b) 整个通讯期间，

29、经过认证的通讯线路应一直保持安全连接状态。c) 网上银行系统应可判断客户的空闲状态，当空闲超过一定时间后，自动关闭当前连接，客户再次操作时必须重新登录。d) 应确保客户获取的金融机构Web服务器的根证书真实有效，可采用的方法包括但不限于：在客户开通网上银行时分发根证书，或将根证书集成在客户端控件下载包中分发等。B. 增强要求：a) 网上银行系统应判断同一次登录后的所有操作必须使用同一IP地址和MAC地址，否则服务器端自动终止会话。b) 金融机构应使用获得国家主管部门认定的具有电子认证服务许可证的CA证书及认证服务。6.1.4 服务器端安全6.1.4.1 网络架构安全基本要求：a) 合理部署网上

30、银行系统的网络架构：合理划分网络区域，并将网上银行网络与办公网及其他网络进行隔离。维护与当前运行情况相符的网络拓扑图，并区分可信区域与不可信区域。采用IP伪装技术隐藏内部IP，防止内部网络被非法访问。部署入侵检测系统/入侵防御系统（IDS/IPS），对网络异常流量进行监控。在所有互联网入口以及隔离区（DMZ）与内部网络之间部署防火墙，对非业务必需的网络数据进行过滤。采取措施保障关键服务器时间同步，例如，设置网络时间协议（NTP）服务器。互联网接入应采用不同电信运营商线路，相互备份且互不影响。核心层、汇聚层的设备和重要的接入层设备均应双机热备，例如，核心交换机、服务器群接入交换机

31、、重要业务管理终端接入交换机、核心路由器、防火墙、均衡负载器、带宽管理器及其他相关重要设备。保证网络带宽和网络设备的业务处理能力具备冗余空间，满足业务高峰期和业务发展需要。b) 访问控制：在网络结构上实现网间的访问控制，采取技术手段控制网络访问权限。应对重要主机的IP地址与MAC地址进行绑定。禁止将管理终端主机直接接入核心交换机、汇聚层交换机、服务器群交换机、网间互联边界接入交换机和其他专用交换机。明确业务必需的服务和端口，不应开放多余的服务和端口。禁止开放远程拨号访问。c) 网络设备的管理规范和安全策略：将关键或敏感的网络设备存放在安全区域，应使用相应的安全防护设备和准入控制手

32、段以及有明确标志的安全隔离带进行保护。应更改网络安全设备的初始密码和默认设置。在业务终端与服务器之间通过路由控制建立安全的访问路径。指定专人负责防火墙、路由器和IDS/IPS的配置与管理，按季定期审核配置规则。所有设备的安全配置都必须经过审批。在变更防火墙、路由器和IDS/IPS配置规则之前，确保更改已进行验证和审批。d) 安全审计和日志：应对网络设备的运行状况、网络流量、管理员行为等信息进行日志记录，日志至少保存3个月。审计记录应包括但不限于：事件发生的时间、相关操作人员、事件类型、事件是否成功及其他与审计相关的信息。应根据记录进行安全分析，并生成审计报表。应对审计记录进行

33、保护，避免被未授权删除、修改或者覆盖。e) 入侵防范：应严格限制下载和使用免费软件或共享软件，应确保服务器系统安装的软件来源可靠，且在使用前进行测试。所有外部存储设备（软盘、移动硬盘、U盘等）在使用前应进行病毒扫描。制订合理的IDS/IPS的安全配置策略，并指定专人定期进行安全事件分析和安全策略配置优化。应在网络边界处监视并记录以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目标和攻击时间，在发生严重入侵事件时应提供报警或自动采取防御措施。基本型网络防护架构参考图和增强型网络

34、防护架构参考图分别见附1和附2。6.1.4.2 系统设计安全A. 基本要求：a) 敏感客户参数修改（包括但不限于密码、转账限额、地址以及电话联系方式）应在一次登录过程中进行二次认证（包括但不限于静态密码动态密码）。b) 网上银行系统应具有保存和显示客户历史登录信息（例如时间、IP地址、MAC地址等）的功能，支持客户查询登录（包括成功登录和失败登录）、交易等历史操作。c) 网上银行系统应根据业务必需的原则向客户端提供数据，禁止提供不必要的数据。d) 在显示经认证成功后的客户身份证件信息时，应屏蔽部分关键内容。e) 网上银行系统应具有详细的交易流水查询功能，包括但不限于日期、时间、交易卡号、交易金

35、额和资金余额等信息。f) 网上银行系统应具有账户信息变动提醒功能，可使用手机短信、电子邮件等方式实时告知客户其账户的资金变化、密码修改等重要信息。g) 网上银行系统应具有防网络钓鱼的功能，例如显示客户预留信息等。B. 增强要求：a) 网上银行系统应具有设置交易限额的功能并且具有默认的金额上限。b) 网上银行系统应支持批量银行账号查询功能和线索排查功能。6.1.4.3 Web应用安全A. 基本要求：a) 资源控制：应能够对系统的最大并发会话连接数进行限制。应能够对单个用户的多重并发会话进行限制。应能够对一个时间段内可能的并发会话连接数进行限制。当应用系统通信双方中的一方在指定时间内未作任

36、何响应，另一方应能够自动结束会话。b) 编码规范约束：应依据安全规范编写代码，例如，在应用系统开发中，不能在程序中写入固定密钥。在应用系统上线前，应对程序代码进行代码复审，识别可能的后门程序、恶意代码和安全漏洞，例如，缓冲区溢出漏洞。c) 会话安全：会话标识应随机并且唯一。会话过程中应维持认证状态，防止客户通过直接输入登录后的地址访问登录后的页面。转账交易后，应确保使用浏览器的“后退”功能无法查看上一交易页面的重要客户信息。网上银行系统Web服务器应用程序应设置客户登录网上银行后的空闲时间，当超过指定时间，应自动终止会话。d) 源代码管理：源代码应备份在只读介质中（例如光盘）。

37、应严格控制对生产版本源代码的访问。应对生产库源代码版本进行控制，保证当前系统始终为最新的稳定版本。e) 防止敏感信息泄漏：在网上银行系统上线前，应删除Web目录下所有测试脚本、程序。如果在生产服务器上保留部分与Web应用程序无关的文件，应为其创建单独的目录，使其与Web应用程序隔离，并对此目录进行严格的访问控制。禁止在Web应用程序错误提示中包含详细信息，不向客户显示调试信息。禁止在Web应用服务器端保存客户敏感信息。应对网上银行系统Web服务器设置严格的目录访问权限，防止未授权访问。统一目录访问的出错提示信息，例如，对于不存在的目录或禁止访问的目录均以“目录不存在”提示客户。

38、禁止目录列表浏览，防止网上银行站点重要数据被未授权下载。f) 防止SQL注入攻击：网上银行系统Web服务器应用程序应对客户提交的所有表单、参数进行有效的合法性判断和非法字符过滤，防止攻击者恶意构造SQL语句实施注入攻击。禁止仅在客户端以脚本形式对客户的输入进行合法性判断和参数字符过滤。数据库应尽量使用存储过程或参数化查询，并严格定义数据库用户的角色和权限。g) 防止跨站脚本攻击：应通过严格限制客户端可提交的数据类型以及对提交的数据进行有效性检查等有效措施防止跨站脚本注入。h) 防止拒绝服务攻击：应防范对网上银行服务器端的DOS/DDOS攻击。可参考的加固措施包括但不限于：与电信运营商

39、签署DOS/DDOS防护协议。防火墙只开启业务必需的端口并开启DOS/DDOS防护功能。使用DOS/DDOS防护设备。使用IDS/IPS设备监控并阻断恶意流量。使用负载均衡设备。6.1.4.4 数据安全A. 基本要求：a) 身份鉴别：应对登录操作系统和数据库的用户进行身份标识和鉴别，严禁匿名登录。应用系统应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施。为不同的操作系统和数据库访问用户分配不同的账号并设置不同的初始密码，禁止共享账号和密码。首次登录应用系统或操作系统时应强制修改密码，定期更改密码。应要求用户的密码长度最低为6位，密码必须包含字母和数字并

40、且最长有效期为6个月。应确保对密码进行强效加密保护，不允许明文密码出现。在收到用户重置密码的请求后，应先对用户身份进行核实再进行后续操作。对服务器进行远程管理时，应采取加密通信方式，防止认证信息在网络传输过程中被窃听。b) 访问控制：根据“业务必需”原则授予不同用户为完成各自承担任务所需的最小权限，并在它们之间形成相互制约的关系。明确系统中各类用户的级别及权限，操作系统和数据库特权用户应进行权限分离。严格限制默认用户的访问权限，重命名系统默认用户，修改默认用户密码，及时删除多余的、过期的用户。严格控制操作系统重要目录及文件的访问权限。c) 安全审计：审计范围应覆盖到服务器和管理

41、终端上的每个操作系统用户和数据库用户。审计内容应包括重要用户行为、系统资源的异常使用和重要信息系统命令的使用等系统内重要的安全相关事件。审计记录包括时间、类型、访问者标识、访问对象标识和事件结果。应根据记录数据进行安全分析，并生成审计报表。应保护审计记录，避免遭受未授权的删除、修改或覆盖。d) 日志管理：日志系统应记录系统管理员登录的时间、登录系统的方式、失败的访问尝试、系统管理员的操作以及其他涉及数据安全的访问记录。严格控制系统日志的访问权限，只有工作需要并通过审批的岗位人员才能查看系统日志。定期检查日志，对其中可疑的记录进行分析审核。配置专门的日志服务器，及时将日志备份到日

42、志服务器或安全介质内。e) 灾难备份和恢复：应建立重要数据的定期数据备份机制，至少每天进行一次完整的数据增量备份，并将备份介质存放在安全区域内。应对关键数据进行同城和异地的实时备份，保证业务应用能够实现实时切换。应制订灾难恢复计划并定期进行测试，确保各个恢复程序的正确性和计划整体的有效性。B. 增强要求：a) 采用监控软件保证日志的一致性与完整性。b) 保护审计进程，避免其遭受未预期的中断。6.2 安全管理规范6.2.1 组织机构基本要求：a) 金融机构应设置独立的网上银行系统研发、测试、集成、运行维护、管理等部门或团队。b) 金融机构应制订明确的网上银行部门章程并详细定义各部门人员配置

43、。c) 金融机构应建立风险管理架构，相关人员应详细了解本单位网上银行研发、运行及管理机构职责设置。6.2.2 管理制度基本要求：a) 金融机构应建立安全管理制度体系，明确工作职责、规范工作流程、降低安全风险：应制订网上银行安全管理工作的总体方针和策略。应建立贯穿网上银行系统设计、编码、测试、集成、运行维护以及评估、应急处置等过程，并涵盖安全制度、安全规范、安全操作规程和操作记录手册等方面的信息安全管理制度体系。b) 金融机构应指定或授权专门的部门或人员负责安全管理制度的制订。c) 金融机构应定期组织相关部门和人员对安全管理制度体系的合理性和适用性进行审计，及时针对安全管理制度的不足进行修订

44、。6.2.3 安全策略A. 基本要求：a) 金融机构应制订明确的网上银行系统总体安全保障目标。b) 金融机构应制订针对网上银行系统设计与开发、测试与验收、运行与维护、备份与恢复、应急事件处置以及客户信息保密等的安全策略。c) 金融机构应制订网上银行系统使用的网络设备、安全设备的配置和使用的安全策略。d) 金融机构应维护详细的资产清单，资产清单应包括资产的价值、所有人、管理员、使用者和安全等级等条目，并根据安全等级制订相应的安全保护措施。e) 金融机构应明确系统存在的威胁，并根据威胁分析系统的脆弱性，对于已发现的风险应尽快修补或制订规避措施。f) 金融机构应针对不同的风险规定相应的可能性等级列表

45、，并根据风险严重等级制订应急恢复方案和演练计划。B. 增强要求：a) 金融机构应规定所有数据的安全级别，并制订与其安全级别相应的保护措施。b) 金融机构应加强风险预警能力，对短时间内单个账户在异地多笔交易等异常情况进行监控。6.2.4 人员及文档管理基本要求：a) 金融机构应设置信息安全管理岗位，明确本单位各相关岗位在信息安全管理过程中所承担的责任。b) 金融机构应与员工签署保密协议，或在劳动合同中设置保密条款。c) 金融机构应加强关键岗位员工的安全培训，确保员工了解各自岗位职责以及违反安全规定可能导致的后果。d) 金融机构应具有员工岗位调动或离职的安全管理制度，避免账号、设备、技术资料及相关敏感信息等泄露。e) 金融机构应建立外来人员管理制度，提交操作记录，必要时要求其签订保密协议。f) 金融机构应建立文档管理制度，文档资料按密级

展开阅读全文