解读《网上银行系统信息安全通用规范》--《中国信息安全》2013年04期
解读《网上银行系统信息安全通用规范》
【摘要】：正2012年5月,中国人民银行发布《网上银行系统信息安全通用规范》(以下简称《规范》),此《规范》通过了金融标准化委员会审批,作为金融行业标准正式发布执行,《规范》的发布,受到金融机构普遍欢迎,受到社会广泛关注。《规范》的制定,对推动我国网上银行安全快速发展,具有重要意义。主要包括四方面:一是《规范》源于对已知的网银犯罪案例、网银常见交易机制存在问题的深入挖掘和分析,具有很强的针对性和
【作者单位】：
【关键词】：
【分类号】：F830.49;TP309【正文快照】：
2012年5月,中国人民银行发布《网上银行系统信息安全通用规范》(以下简称《规范》),此《规范》通过了金融标准化委员会审批,作为金融行业标准正式发布执行,《规范》的发布,受到金融机构普遍欢迎,受到社会广泛关注。《规范》的制定,对推动我国网上银行安全快速发展,具有重要意
欢迎：、、)
支持CAJ、PDF文件格式，仅支持PDF格式
【相似文献】
中国期刊全文数据库
唐宁;[J];中国金融电脑;2002年09期
胡汝能;[J];中国金融电脑;2001年07期
尹德明;葛玮;;[J];计算机技术与发展;2007年03期
邱晓理;[J];华南金融电脑;2002年10期
杜文和;[J];中国金融电脑;1998年09期
杨旭;;[J];金融电子化;1999年09期
孙晓旻,裴亚民,冯大勤;[J];中国金融电脑;2000年12期
;[J];信息系统工程;2001年09期
杨国华,王岩;[J];锦州师范学院学报(自然科学版);2003年04期
吴宇;[J];计算机周刊;2002年01期
中国重要会议论文全文数据库
李鹤田;刘云;何德全;陈晓桦;;[A];通信理论与信号处理新进展——2005年通信理论与信号处理年会论文集[C];2005年
中国重要报纸全文数据库
;[N];计算机世界;2003年
农总行信息技术管理部提供;[N];中国城乡金融报;2010年
轶群;[N];中国财经报;2002年
中国博士学位论文全文数据库
何可;[D];天津大学;2010年
中国硕士学位论文全文数据库
张垒;[D];南京理工大学;2013年
王欢欢;[D];吉林大学;2013年
张继瑜;[D];重庆大学;2011年
张含玮;[D];天津大学;2012年
杨丽丽;[D];复旦大学;2011年
罗致力;[D];吉林大学;2013年
邓子云;[D];湖南大学;2006年
付光磊;[D];山东大学;2008年
林莺;[D];电子科技大学;2013年
涂清发;[D];电子科技大学;2012年
&快捷付款方式
&订购知网充值卡
400-819-9993孔夫子旧书网该图书“《网上银行系统信息安全通用规范》解读(4)”已经找不到了, 为您推荐一些相同图书。装订：平装开本：版次：18.00九品装订：平装开本：版次：122.00十品Copyright(C)
孔夫子旧书网
京ICP证041501号
海淀分局备案编号网上银行系统信息安全通用规范；a)应使用强壮的加密算法和安全协议保护客户端与服；b)如果使用SSL协议，应使用3.0及以上相对高；c)客户端到服务器的SSL加密密钥长度应不低于1；6.1.3.2安全认证；A.基本要求：；a)网上银行服务器与客户端应进行双向身份认证；b)整个通讯期间，经过认证的通讯线路应一直保持安；c)网上银行系统应可判断客户的空闲状态，当空
网上银行系统信息安全通用规范 a)
应使用强壮的加密算法和安全协议保护客户端与服务器之间所有连接，例如，使用SSL/ TLS和IPSEC协议。 b)
如果使用SSL协议，应使用3.0及以上相对高版本的协议，取消对低版本协议的支持。 c)
客户端到服务器的SSL加密密钥长度应不低于128位；用于签名的RSA密钥长度应不低于1024位，用于签名的ECC密钥长度应不低于160位。 d)
应可防止对交易报文的重放攻击。
安全认证 A. 基本要求： a)
网上银行服务器与客户端应进行双向身份认证。 b)
整个通讯期间，经过认证的通讯线路应一直保持安全连接状态。 c)
网上银行系统应可判断客户的空闲状态，当空闲超过一定时间后，自动关闭当前连接，客户再次操作时必须重新登录。 d)
应确保客户获取的金融机构Web服务器的根证书真实有效，可采用的方法包括但不限于：在客户开通网上银行时分发根证书，或将根证书集成在客户端控件下载包中分发等。 B. 增强要求： a)
网上银行系统应判断同一次登录后的所有操作必须使用同一IP地址和MAC地址，否则服务器端自动终止会话。 b)
金融机构应使用获得国家主管部门认定的具有电子认证服务许可证的CA证书及认证服务。 6.1.4
服务器端安全 6.1.4.1
网络架构安全 基本要求： 第 16 页
网上银行系统信息安全通用规范 a)
合理部署网上银行系统的网络架构： ? ? ? ? ? 合理划分网络区域，并将网上银行网络与办公网及其他网络进行隔离。 维护与当前运行情况相符的网络拓扑图，并区分可信区域与不可信区域。 采用IP伪装技术隐藏内部IP，防止内部网络被非法访问。 部署入侵检测系统/入侵防御系统（IDS/IPS），对网络异常流量进行监控。 在所有互联网入口以及隔离区（DMZ）与内部网络之间部署防火墙，对非业务必需的网络数据进行过滤。 ? ? ? 采取措施保障关键服务器时间同步，例如，设置网络时间协议（NTP）服务器。 互联网接入应采用不同电信运营商线路，相互备份且互不影响。 核心层、汇聚层的设备和重要的接入层设备均应双机热备，例如，核心交换机、服务器群接入交换机、重要业务管理终端接入交换机、核心路由器、防火墙、均衡负载器、带宽管理器及其他相关重要设备。 ? 保证网络带宽和网络设备的业务处理能力具备冗余空间，满足业务高峰期和业务发展需要。 b)
访问控制： ? ? ? 在网络结构上实现网间的访问控制，采取技术手段控制网络访问权限。 应对重要主机的IP地址与MAC地址进行绑定。 禁止将管理终端主机直接接入核心交换机、汇聚层交换机、服务器群交换机、网间互联边界接入交换机和其他专用交换机。 ? ? 明确业务必需的服务和端口，不应开放多余的服务和端口。 禁止开放远程拨号访问。 c)
网络设备的管理规范和安全策略： ? 将关键或敏感的网络设备存放在安全区域，应使用相应的安全防护设备和准入控制手段以及有明确标志的安全隔离带进行保护。 ? ? ? ? ? 应更改网络安全设备的初始密码和默认设置。 在业务终端与服务器之间通过路由控制建立安全的访问路径。 指定专人负责防火墙、路由器和IDS/IPS的配置与管理，按季定期审核配置规则。 所有设备的安全配置都必须经过审批。 在变更防火墙、路由器和IDS/IPS配置规则之前，确保更改已进行验证和审批。 第 17 页
网上银行系统信息安全通用规范 d)
安全审计和日志： ? 应对网络设备的运行状况、网络流量、管理员行为等信息进行日志记录，日志至少保存3个月。 ? 审计记录应包括但不限于：事件发生的时间、相关操作人员、事件类型、事件是否成功及其他与审计相关的信息。 ? ? 应根据记录进行安全分析，并生成审计报表。 应对审计记录进行保护，避免被未授权删除、修改或者覆盖。 e)
入侵防范： ? 应严格限制下载和使用免费软件或共享软件，应确保服务器系统安装的软件来源可靠，且在使用前进行测试。 ? ? 所有外部存储设备（软盘、移动硬盘、U盘等）在使用前应进行病毒扫描。 制订合理的IDS/IPS的安全配置策略，并指定专人定期进行安全事件分析和安全策略配置优化。 ? 应在网络边界处监视并记录以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。 ? 当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目标和攻击时间，在发生严重入侵事件时应提供报警或自动采取防御措施。
基本型网络防护架构参考图和增强型网络防护架构参考图分别见附1和附2。 6.1.4.2
系统设计安全 A. 基本要求： a)
敏感客户参数修改（包括但不限于密码、转账限额、地址以及电话联系方式）应在一次登录过程中进行二次认证（包括但不限于静态密码＋动态密码）。 b)
网上银行系统应具有保存和显示客户历史登录信息（例如时间、IP地址、MAC地址等）的功能，支持客户查询登录（包括成功登录和失败登录）、交易等历史操作。 c)
网上银行系统应根据业务必需的原则向客户端提供数据，禁止提供不必要的数据。 d)
在显示经认证成功后的客户身份证件信息时，应屏蔽部分关键内容。 第 18 页
网上银行系统信息安全通用规范 e)
网上银行系统应具有详细的交易流水查询功能，包括但不限于日期、时间、交易卡号、交易金额和资金余额等信息。 f)
网上银行系统应具有账户信息变动提醒功能，可使用手机短信、电子邮件等方式实时告知客户其账户的资金变化、密码修改等重要信息。 g)
网上银行系统应具有防网络钓鱼的功能，例如显示客户预留信息等。 B. 增强要求： a)
网上银行系统应具有设置交易限额的功能并且具有默认的金额上限。 b)
网上银行系统应支持批量银行账号查询功能和线索排查功能。 6.1.4.3
Web应用安全 A. 基本要求： a)
资源控制： ? ? ? ? 应能够对系统的最大并发会话连接数进行限制。 应能够对单个用户的多重并发会话进行限制。 应能够对一个时间段内可能的并发会话连接数进行限制。 当应用系统通信双方中的一方在指定时间内未作任何响应，另一方应能够自动结束会话。 b)
编码规范约束： ? 应依据安全规范编写代码，例如，在应用系统开发中，不能在程序中写入固定密钥。 ? 在应用系统上线前，应对程序代码进行代码复审，识别可能的后门程序、恶意代码和安全漏洞，例如，缓冲区溢出漏洞。 c)
会话安全： ? ? 会话标识应随机并且唯一。 会话过程中应维持认证状态，防止客户通过直接输入登录后的地址访问登录后的页面。 ? 转账交易后，应确保使用浏览器的“后退”功能无法查看上一交易页面的重要客户信息。 第 19 页
网上银行系统信息安全通用规范 ? 网上银行系统Web服务器应用程序应设置客户登录网上银行后的空闲时间，当超过指定时间，应自动终止会话。 d)
源代码管理： ? ? ? 源代码应备份在只读介质中（例如光盘）。 应严格控制对生产版本源代码的访问。 应对生产库源代码版本进行控制，保证当前系统始终为最新的稳定版本。 e)
防止敏感信息泄漏： ? ? 在网上银行系统上线前，应删除Web目录下所有测试脚本、程序。 如果在生产服务器上保留部分与Web应用程序无关的文件，应为其创建单独的目录，使其与Web应用程序隔离，并对此目录进行严格的访问控制。 ? ? ? ? 禁止在Web应用程序错误提示中包含详细信息，不向客户显示调试信息。 禁止在Web应用服务器端保存客户敏感信息。 应对网上银行系统Web服务器设置严格的目录访问权限，防止未授权访问。 统一目录访问的出错提示信息，例如，对于不存在的目录或禁止访问的目录均以“目录不存在”提示客户。 ? 禁止目录列表浏览，防止网上银行站点重要数据被未授权下载。 f)
防止SQL注入攻击： ? 网上银行系统Web服务器应用程序应对客户提交的所有表单、参数进行有效的合法性判断和非法字符过滤，防止攻击者恶意构造SQL语句实施注入攻击。 ? ? 禁止仅在客户端以脚本形式对客户的输入进行合法性判断和参数字符过滤。 数据库应尽量使用存储过程或参数化查询，并严格定义数据库用户的角色和权限。 g)
防止跨站脚本攻击： ? 应通过严格限制客户端可提交的数据类型以及对提交的数据进行有效性检查等有效措施防止跨站脚本注入。 h)
防止拒绝服务攻击： 应防范对网上银行服务器端的DOS/DDOS攻击。可参考的加固措施包括但不限于： ? 与电信运营商签署DOS/DDOS防护协议。 第 20 页 三亿文库包含各类专业文献、高等教育、外语学习资料、专业论文、各类资格考试、行业资料、网上银行系统信息安全通用规范word版46等内容。　
　认证机构、 物流中心、网上银行、电子商务服务商等。...技术和信息安全技术基础上的应 用性安全技术, 越来...通用密钥密码体制 D.凯撒 B.信息的完整性 C.信息... 　电子信息管理制度_制度/规范_工作范文_实用文档。...规范电 脑和网络系统应用操作和安全性,提高办公效率...除了专门银行网站外,本机不得使用即时通 讯软件和... 　网上银行系统信息安全通用规范word版_计算机硬件及网络_IT/计算机_专业资料。本规范是在收集、分析评估检查发现的网上银行系统信息安全问题和已发生过的网上银行案件的... 　中国银行电子银行岗位认证考题-安全防控_金融/投资_经管营销_专业资料。中国银行...以下哪些是人民银行在《网上银行系统信息安全通用规范(修订版) 》中对 认证工具... 　这一类标准包括人民银行颁发的《网上银行系统 信息安全通用规范》 (2012 年)《电子支付指引》 、(2006 年) ,以及银 监会颁发的《电子银行业务管理办法》 (2005 ... 　《信息查询工作流程》的规定,总行及一级分行电子银行部可查询的 信息包括(AC) ...以下哪些是人民银行在《网上银行系统信息安全通用规范(修订版) 》中对 认证工具... 　农业银行网上银行()在系统设计...有力的保证了电子银行 客户 的信息安全和资金安全。...更新功能,方便网银客户在客户端进行 驱动程序版本升级... 　电子商务课程教案(2011 版) 第1 章 电子商务概述 ...熟悉信息安全的技术,并对SSL、SET、 PKI 等安全 ...理解电子支付系统的概念结构以及支付网关、网上银行的...您所在位置： &
&nbsp&&nbsp&nbsp&&nbsp
网上银行系统信息安全通用规范.doc下载-支持高清免费浏览-max文档 44页
本文档一共被下载：
次 ,您可全文免费在线阅读后下载本文档。
下载提示
1.本站不保证该用户上传的文档完整性，不预览、不比对内容而直接下载产生的反悔问题本站不予受理。
2.该文档所得收入(下载+内容+预览三)归上传者、原创者。
3.登录后可充值，立即自动返金币，充值渠道很便利
需要金币：100 &&
你可能关注的文档：
··········
··········
ICS?35.240.40
中华人民共和国金融行业标准
网上银行系统信息安全通用规范
General specification of information security for internet banking system
2012 - 05 -08发布
2012 - 05 -08实施
中国人民银行??发布
2　规范性引用文件 1
3　术语和定义 1
4　符号和缩略语 2
5　网上银行系统概述 3
6　安全规范 6
附录A（资料性附录）　 35
附录B（资料性附录）　 36
附录C（规范性附录）　 37
参考文献 39
本标准按照GB/T 1.1—2009给出的规则起草。
本标准由中国人民银行提出。
本标准由全国金融标准化技术委员会（SAC/TC 180）归口。
本标准起草单位：中国人民银行、银行卡检测中心。
本标准主要起草人： 王永红、李晓枫、杨竑、郭全明、王小青、王梅、董贞良、田朝阳、刘志刚、杜磊、李海滨、刘红波、孙茂增。
本标准为首次发布。
本标准是在收集、分析评估检查发现的网上银行系统信息安全问题和已发生过的网上银行案件的基础上，有针对性提出的安全要求，内容涉及网上银行系统的技术、管理和业务运作三个方面。
本标准分为基本要求和增强要求两个层次，基本要求为最低安全要求，增强要求为本标准下发之日起的三年内应达到的安全要求。各单位应在遵照执行基本要求的同时，按照增强要求，积极采取改进措施，在规定期限内达标。
本标准旨在有效增强现有网上银行系统安全防范能力，促进网上银行规范、健康发展。本标准既可作为网上银行系统建设和改造升级的安全性依据以及各单位开展安全检查和内部审计的依据，也可作为行业主管部门、专业检测机构进行检查、检测及认证的依据。
网上银行系统信息安全通用规范
本标准包含了网上银行系统的描述、安全技术规范、安全管理规范、业务运作安全规范。
本标准适用于网上银行系统建设、运营及测评。
规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。
GB/T 25069 信息安全技术 术语
术语和定义
GB/T 25069确立的以及下列术语和定义适用于本文件。
网上银行 Internet banking
商业银行等金融机构通过互联网、移动通信网络、其他开放性公众网络或专用网络基础设施向其客户提供网上金融业务的服务。
互联网 Internet
因特网或其他类似形式的通用性公共计算机通信网络。
敏感信息 sensitive information
主要指影响网上银行安全的密码、密钥以及交易敏感数据等信息，密码包括但不限于转账密码、查询密码、登录密码、证书的PIN等，密钥包括但不限于用于确保通讯安全、报文完整性等的密钥，交易敏感数据包括但不局限于完整磁道信息、有效期、CVN、CVN2、证件号码等。
客户端程序 client program
为网上银行客户提供人机交互功能的程序，以及提供必需功能的组件，包括但不限于：可执行文件、控件、静态链接库、动态链接库等，不包括IE等通用浏览器。
一种USB接口的硬件设备。它内置单片机或智能卡芯片，有一定的存储空间，可以存储用户的私钥以及数字证书。
USB Key固件 USB Key firmware
影响USB Key安全的内置在USB Key内的程序代码。
移动终端 mobile terminal
本标准中特指区别于传统PC机方式，以手机、平板电脑等通过通信网络访问网上银行的移动设备。
强效加密 strong encryption
一个通用术语，表示极难被破译的加密算法。加密的强壮性取决于所使用的加密密钥。密钥的有效长度应不低于可比较的强度建议所要求的最低密钥长度。
资金类交易 funds transaction
指通过网上银行进行资金操作交易，如转账、订单支付、缴费等。本人名下的投资理财、托管账户以及本人签订委托代扣协议的委托代扣等风险可控的资金变动不属于此范畴。
信息及业务变更类交易 information & business changing transaction
通过网上银行变更客户相关信息或开通、取消业务的交易，如客户修改基本信息、调整交易额度、授权委托交易、修改交易订单、开通（签订）新业务、取消
正在加载中，请稍后...字号大小：
央行发布网上银行系统信息安全通用规范(试行)
发布时间: 日
《网上银行系统信息安全通用规范（试行）》，摘录如下：为加强网上银行管理，促进网上银行业务健康发展，有效增强网上银行系统的信息安全防范能力，日前，中国人民银行向银行业金融机构发布了《网上银行系统信息安全通用规范（试行）》（以下简称《规范》）。《规范》涉及网上银行系统的技术、管理和业务运作三个方面，分为基本要求和增强要求两个层次，基本要求为最低安全要求，增强要求为三年内应达到的安全要求。《规范》将作为网上银行系统安全建设、内部信息安全检查和合规性审计的依据，有效防范网上银行系统风险隐患。&&
《规范》要求，银行业金融机构现阶段要遵照执行基本要求，同时，积极采取改进措施，在规定期限内达到增强要求。银行业金融机构信息安全主管部门要以《规范》为依据，继续加大检查工作力度，使《规范》要求落到实处，促进网上银行业务规范、健康地发展。
另据报道，随着我国互联网技术的日臻成熟，越来越多商业银行纷纷开通网上银行，使得网银用户量及交易量高速增长。中国互联网络信息中心（CNNIC）报告显示，2008年我国共有5800万网银用户，同比增长45%；中国银行业协会报告显示，2008年我国电子银行交易金额为301.80万亿元，很多银行的网银业务已经占到传统柜台业务的30%以上，由此可见网上银行对于传统柜台业务的替代性正日益提升。&& &&&
然而，网上银行的安全性也正成为人们关注的焦点。有调查结果显示，无论对企业网上银行用户还是个人用户(包含活动用户和潜在用户)而言，网上银行的安全性仍然是他们选择网上银行时最看重的因素，网上银行的安全已经成为网上银行发展壮大的瓶颈。这种严峻形势迫切要求我们应加快制订网上银行安全标准，规范参与各方的交易行为，强化适合我国国情的网上银行交易安全技术。
目前，我国网上银行系统在客户端、认证介质、网银后台三个主要安全点均存在一些安全隐患，而将这三个安全点串联起来的交易传输网络也存在一定的安全风险，由此形成整个网上银行系统的安全风险链。《网上银行系统信息安全通用规范（试行）》在《信息安全技术网上银行系统信息安全保障评估准则（GB/T ）》的基础上，结合网上银行系统的业务特点，通过分析已发生的网上银行系统信息安全事件和问题，对网上银行系统的技术、管理和业务三个方面提出安全要求，为网上银行系统信息安全保障的设计、实施、建设、测评和审核提供规范的指导。&&
《网上银行系统信息安全通用规范（试行）》共包含网上银行系统描述、安全技术基本要求、安全管理基本要求、业务运作安全要求四部分内容，后三部分内容均按照基本型和增强型网络防护架构的不同，提出了不同的安全要求。其中，安全技术基本要求主要涵盖客户端、专用辅助安全设备、网络通信和网上银行服务器端的安全；安全管理要求主要涵盖组织结构、管理制度、人员及文档管理和系统运行管理安全；业务运作安全要求主要涵盖网上银行业务开通、业务安全交易机制、用户安全教育。
&来源：中国金融之声
光大欢迎您
请您就近选择服务网点：
黑龙江分行
石家庄分行
呼和浩特分行
乌鲁木齐分行
/site/fxtsywyy/index.html
24小时服务热线：95595
中国光大银行版权所有
互联网服务信息备案编号：京ICP备号}