网上银行信息系统安全通常规范标准.docx

1、网上银行信息系统安全通常规范标准附件网上银行系统信息安全通用规范（试行）中国人民银行1 使用范围和要求 42规范性引用文件 43术语和定义 54符号和缩略语 65网上银行系统概述 65. 1 系统标识 65. 2 系统定义 75. 3 系统描述 75. 4 安全域 86安全规范 96. 1 安全技术规范 96. 2 安全管理规范 226. 3 业务运作安全规范 26附1基本的网络防护架构参考图 30附2增强的网络防护架构参考图 31前言本规范是在收集、分析评估检查发现的网上银行系统信息安全问 题和已发生过的网上银行案件的基础上，有针对性提出的安全要求， 内容涉及网上银行系统的技术、管理和业务运

2、作三个方面。本规范分为基本要求和增强要求两个层次。基本要求为最低安全 要求，增强要求为本规范下发之日起的三年内应达到的安全要求，各 单位应在遵照执行基本要求的同时，按照增强要求，积极采取改进措 施，在规定期限内达标。本规范旨在有效增强现有网上银行系统安全防范能力，促进网上 银行规范、健康发展。本规范既可作为网上银行系统建设和改造升级 的安全性依据，也可作为各单位开展安全检查和内部审计的依据。1使用范围和要求本规范指出了网上银行系统的描述、安全技术规范、安全管理规 范、业务运作安全规范，适用于规范网上银行系统建设、运营及测评 工作。2规范性引用文件下列文件中的条款通过本规范的引用而成为本规范的条

3、款。凡是 注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订 版均不适用于本规范，然而，鼓励根据本规范达成协议的香方研究是 否可使瑚这些文件的最新版本。凡是不注日期的引用文件，其最新 版本适用于本规范。GB/IT20983-2008信息安全技术网上银行系统信息安全保障评估准则GB/T22239-2008信息安令技术信息系统安全等级保护基本要求GB/T 20984-2007信息安全技术信息系统风险评估规范GB/T 1 8336.1-2008信息技术安全技术信息技术安全性评估准则第1部分：简介和一般模型GB/T 1 8336.2-2008信息技术安全技术信息技术安全性评估准则第2部分：

4、安全功能要求GB/T 1 8336.3-2008信息技术安全技术信息技术安全性评估准则第3部分：安全保证要求GB/T 22080-2008信息技术安全技术信息安全管理体系要求GB/T 22081-2008信息技术安全技术信息安全管理使用规则GB/T 14394-2008计算机软件可靠性和可维护性管理GB/T 22239-2008信息安全技术信息系统安全等级保护基本要求中围人民银行关丁进一步加强银行业金融机构信息安全保障工作的指导意见（银发（2006） 123号）中国人民银行中国银行业监督管理委员会公安部国家工商总局 关于加强银行卡安全管理预防和打击银行卡犯罪的通知（银发（2009） 142 号

5、）中国人民银行办公厅关于贯彻落实v中国人民银行中国银行业监督管理委员会公安部国家工商总局关于加强银行卡安全管理预防 和打击银行卡犯罪的通知的意见（银办发（2009） 149号）3术语和定义GB/T20274确立的以及下列术语和定义适用于本规范。31网上银行商业银行等金融机构通过互联网等公众网络基础设施，向其客户 提供各种金融业务。32互联网因特网或其他类似形式的通用性公共计算机通信网络。33敏感信息任何影响网上银行安全的密码、密钥以及交易数据等信息，密码 包括但不限于转账密码、查询密码、登录密码、证书的PIN码等。3. 4客户端程序为随上银行客户提供人机交互功能的程序，以及提供必需功能的 组件

6、，包括但不限于：可执行文件、控件、静态链接库、动态链接库 等。3.5 USB Key一种USB接口的硬件设备。它内置单片机或智能卡芯片，有一 定的存储空间，可以存储用户的私钥以及数字证书。3. 6 USB Key 固件影响USB Key安全的程序代码。3. 7强效加密一个通用术语，表示极难被破译的加密算法。加密的强壮性取决 于所使用的加密密钥。密钥的有效长度应不低于可比较的强度建议所要求的最低密钥长度。对于基于密钥的系统(例如3DES),应不低于80位。对于基于因子的公用密钥算法(例如RSA),应不低于1024位。4符号和缩略语以下缩略语和符号表示适用于本规范:CA数字证书签发和管理机构(Ce

7、rtification Authority)Cookies为辨别客户身份而储存在客户本地终端上的数据COS卡片操作系统(Card Operating System)c/s客户机/服务器(Client/Server)DOS/DDOS拒绝服务/分布式拒绝服务(Denial of Service /Distributed of Seivice)IDS/IPS入侵检测系统/入侵防御系统(Intmsion DetectionSystem / Intmsion Prevention System)IPSECIP安全协议OTP一次性密码(One Time Password)PKI公钥基础设旅(Public

8、Key Infiastnictiue)SSL安全套接字层(Secure Socket Laver)SPA/DM简单能繁分析/差分能量分析(Simple Power Analysis/ Differential Power Analysis)SEMA/DEMA简单电磁分析/差分电磁分析 (SimpleElectromagnetism Analysis Differential Electromagnetism Analysis)TLS传输层安全(Tnrnsfbi Layer Secure)VPN虚拟专用网络(Viitiial Private Network)5网上银行系统概述5.1系统标识在系统

9、标识中应标明以下内容：一名称：XX银行网上银行系统一所属银行5.2系统定义网上银行系统是商业银行等金融机构通过互联网等公众网络基础 设施，向其客户提供各种金融业务服务的一种重要信息系统。网上银 行系统将传统的银行业务同互联网等资源和技术进行融合，将传统的 柜台通过互联网向客户进行延伸，是商业银行等金融机构在网络经济 的坏境下，开拓新业务、方便客户操作、改善服务质量、推动生产关 系变革等的重要举措，提高了商业银行等金融机构的社会效益和经济 效益。5. 3系统描述网上银行系统主要由客户端、通信网络和服务器端组成。5. 31客户端网上银行系统客户端不具备或不完全具备专用金融交易设备的 可信通讯能力、

10、可信输出能力、可信输入能力、可信存储能力和可信 计算能力，因此，需要辅助安全设备，并通过接受、减轻、规避及转 移的策略来应对交易风险。因此，网上银行系统客户端应包括基本交易终端和专用辅助安全 设备。基本交易终端目前主要为电脑终端，将来可包括手机、固定电话 等。专用辅助安全设备用于保护数字证书、动态口令和静态密码等， 应按照其在交易中具备的可信通讯能力、可信输出能力、可信输入能 力、可信存储能力和可信计算能力等五种能力的组合对其进行分类分 析，并制订与之适应的交易安全风险防范策略。5。3. 2通信网络网上银行借助互联网技术向客户提供金融服务，其通信网络的最 大特点是开放性，开放性带来的优点是交易

11、成本的降低和交易便利性 的提高，缺点是交易易受到安全威胁及通讯稳定性降低。因此，网上 银行业务设计应充分利用开放网络低成本和便利的特点，有效应对开 放网络通讯安全威胁，同时采取手段提高交易稳定性和成功率。533服务器端：网上银行系统服务器端用于提供网上银行应用服务和核心业务 处理，应充分利用各种先进的物理安全技术、网络安全技术、主机安 全技术、访问控制技术、密码技术、安全审计技术、系统漏洞检测技 术和黑客防范技术，在攻击者和受保护的资源间建立多道严密的安全 防线。5.4安全域网上银行系统是一个涉及不同的应用系统、客户对象、数据敏感 程度等的复杂信息系统。在网上银行系统的描述中，应根据应用系统、

12、 客户对象、数据敏感程度等划分安全域。安全域是一个逻辑的划分，它是遵守相同的安全策略的用户和系 统的集合。通过对安全域的描述和界定，就能更好地对网上银行系统 信息安全保障进行描述。具体而言，网上银行系统主要包括：客户端、 网上银行访问子网、网上银行业务系统、中间隔离设备和安全认证设 备等。如图1所不：图1网上银行系统子安全域划分示例图外部区域：网上银行的用户，安装网上银行客户端，通过互联网访问网上银行业务系统；安全区域一：网上银行访问子网，主要提供客户的Web访问；安全区域二：网上银行业务系统，主要进行网上银行的业务处理;银行内部系统：银行处理系统，主要进行银行内部的数据处理。6安全规范作为金

13、融机构IT业务应用系统之一，网上银行系统需要与其 他业务应用系统一起纳入金融机构全面的风险管理体系中。网上银行 信息安全规范可分为安全技术规范、安全管理规范和业务运作安全规 范。安全技术规范从客户端安全、专用辅助安全设备安全、网络通信 安全和网上银行服务器端安全几个方面提出；安全管理规范从组织结 构、管理制度、人员及文档管理和系统运行管理几个方面提出，业务 运作安全规范从业务申请及开通、业务安全交易机制、客户教育几个 力面提出。下面将分别对其进行阐述。6.1安全技术规范61. 1客户端安全6. 1. 1. 1客户端程序A.基本要求：a） 客户端程序上线前应进行严格的代码安全测试，如果客户端程

14、序是外包给第三方机构开发的，金融机构应要求开发商进行代 码安全测试。金融机构应建立定期对客户端程序进行安全检测 的机制。b） 客户端程序应通过指定的第三方中立测试机构的安全检测。c） 客户端程序应具有抗逆向分析、抗反汇编等安全性防护措施， 防范攻击者对客户端程序的调试、分析和篡改。d） 客户端程序的临时文件中不应出现敏感信息，临时文件包括但 不限于Cookieso客户端程序应禁止在身份认证结束后存储敏 感信息，防止敏感信息的泄露。e） 客户端程序应防范键盘窃听敏感信息，例如防范采用挂钩Windows键盘消息等方式进行键盘窃听，并应具有对通过挂钩 窃听键盘信息进行预警的功能。f）客户端程序应防范

15、恶意程序获取或篡改敏感信息，例如使用浏 览器接口保护控件进行防范。B.增强要求：a） 客户端程序应保护在客户端启动的用于访问网上银行的进程，防 止非法程序获取该进程的访问权限。b） 进行转账类交易时，客户端程序应采取防范调试跟踪的措施，例 如开启新的进程。c） 客户端程序应采用反屏幕录像技术，防止非法程序获取敏感信息。6.1.1.2密码保护A.基本要求：a） 禁止明文显示密码，府使心相同位数的同一特殊字符（例如*和#） 代替。b） 密码应有复杂度的要求，包括：长度至少6位，支持字母和数字共同组成。在客户设置密码时，应提示客户不使用简单密码。c） 如有初始密码，首次登录时应强制客户修改初始密码。

16、d） 应具有防范暴力破解静态密码的保护措施，例如在登录和交易时 使用图形认证码，图形认证码应满足：由数字和字母组成。 随机产生。包含足够的噪音干扰信息，避免恶意代码自动识别图片上的 信息。具有使用时间限制并仅能使用一次。e） 使用软键盘方式输入密码时，应对整体键盘布局进行随机干扰。f） 应保证密码的加密密钥的安全。g） 应提醒客户区分转账密码与其他密码。B.增强要求：a） 采用辅助安全设备（例如USB Key或专用密码输入键盘）输入并保 护密码。b） 密码输入后立即加密，敏感信息在应用层保持端到端加密，即保 证数据在从源点到终点的过程中始终以密文形式存在。A.基本要求：a） 设置连续失败登录次

17、数为10次以下，超过限定次数应锁定网上 银行登录权限。b） 退出登录或客户端程序、浏览器页面关闭后，应立即终止会话， 保证无法通过后退、直接输入访问地址等方式重新进入登录后的 网上银行页面。c） 退出登录时应提示客户取下专用辅助安全设备，例如USB KeyoB.增强要求：屏蔽客户端使刚Ctrl+N等快捷键等方式重复登录。6o 1. 2专用辅助安全设备安全6.1.2.1 USB KeyAo基本要求：a） 金融机构应使用指定的第三方中立测试机构安全检洲通过的USBKeyob） 应在安全环境下完成USB Key的个人化过程。c） USB Key应采用具有密钥生成和数字签名运算能力的智能卡芯 片，保证

18、敏感操作在USB Key内进行。d） USB Key的主文件（Master File）应受到COS安全机制保护，保证 客户无法对其进行删除和重建。e） 应保证私钥在生成、存储和使用等阶段的安全：私钥应在USB Key内部生成，不得固化密钥对和用于生成密钥 对的素数。禁止以任何形式从USB Key读取或写入私钥。私钥文件应与普通文件类型不同，应与密钥文件类型相同或类 似。USB Key在执行签名等敏感操作前应经过客户身份鉴别。USB Key在执行签名等敏感操作时，应具备操作提示功能，包 括但不限于声音、指示灯、屏幕显示等形式。f） 参与密钥、PIN码运算的随机数应在USB Key内生成，其随机性

19、 指标应符合国际通用标准的要求。g） 密钥文件在启用期应封闭，禁止以添加新密钥文件的方式对密钥进行删除操作。 h）签名交易完成后，状态机鹿立即复位。1）应保证PIN码和密钥的安全：采刚安全的方式存储和访问PIN码、密钥等敏感信息。PIN码和密钥（除公钥外）不能以任何形式输出。经客户端输入进行验证的PIN码在其传输到USB Key的过程中， 应加密传输，并保证在传输过程中能够防范重放攻击。PIN码连续输错次数达到错误次数上限（不超过6次），US8 Key 应锁定。同一型号USB Key在不同银行的网上银行系统中应用时，应使 用不同的根密钥，且主控密钥、维护密钥、传输密钥等对称算 法密钥应使用根密

20、钥进行分散。j） USB Key使用的密码算法应经过国家主管部门认定。k） 应设计安全机制保证USB Key驱动的安全，防止被篡改或替换。l） 对USB Key固件进行的任何改动，都必须经过归档和审计，以保 证USB Key中不含隐藏的非法功能和后门指令。in） USB Key应具备抵抗旁路攻击的能力，包括但不限于：抗SPA/DPA攻击能力抗SEMA/DEMA攻击能力n）外部环境发生变化时，USB Key不应泄漏敏感信息或影响安全功 能。外部环境的变化包含但不限于：高低温高低电压强光干扰 电磁干扰紫外线干扰静电干扰电压毛刺干扰B.增强要求：a） USB Key应能够防远程挟持，例如具有屏幕显示

21、、语音提示、按 键确认等功能，可对交易指令完整性进行校验、对交易指令合法 性进行鉴别、对关键交易数据进行输入和确认。b） 未经按键确认，USB Key不得签名和输出，在等待一段时间后， 可自动清除数据并复位状态。c） USB Key应能够自动识别待签名数据的格式，识别后在屏幕上是示 签名数据或对其语音提示。6.1.2.2文件证书此部分要求仅针对C/S模式客户端。A.基本要求：a） 应强制使用密码保护私钥，防止私钥受到未授权的访问。b） 用于签名的公私钥对应在客户端生成，禁止由服务器生成。私钥 只允许在客户端使用和保存。c） 私钥导出时，客户端应对客户进行身份认证，例如验证访问密码 等。d）应支

22、持私钥不可导出选项。e）私钥备份时，应提示或强制放在移动设备内，备份的私钥应加密 保存。B.增强要求：在备份或恢复私钥成功后，金融机构应通过第二通信渠道 （例如，手机短信）向客户发送提示消息。6.1.2.3 OTP 令牌A.基本要求：a） 金融机构应使用指定的第三方中立测试机构检测通过的OTP令牌 设备。b） 口令生成算法应经过国家主管部门认定。c） 动态口令的长度不应少于6位。d） 应防范通过物理攻击的手段获取设备内的敏感信息，物理攻击的 手段包括但不限于开盖、搭线、复制等。e） OTP令牌应具备抵抗旁路攻击的能力，包括但不限于：抗SPA / DPA攻击能力抗SEMA / DEMA攻击能力f

23、） 在外部环境发生变化时，OTP令牌不应泄漏敏感信息或影响安全 功能。外部环境的变化包含但不限于：高低温强光干扰电磁干扰紫外线干扰静电干扰B.增强要求：a） 采用基于挑战应答的动态口令，以防范中间人攻击。b） OTP认证系统应提供双因素认证功能。c） OTP令牌设备应使用PIN码保护等措施，确保只有授权客户才可 以使用。d） PIN码和种子应存储在OTP令牌设备的安全区域内或使用其他措 施对其进行保护。e） PIN码连续输入错误次数达到错误次数上限（不超过6次），OTP令 牌应锁定。6.1.2.4动态密码卡基本要求：a） 动态口令的长度不应少于6位。b） 服务器端应随机产生口令位置坐标。c）

24、应设定动态密码卡使用有效期，超过有效期应作废。d） 应使用涂层覆盖等方法保护口令。e） 动态密码卡应与客户唯一绑定。6.1.2.5其他专用辅助安全设备本部分规定的是已使用的其他专用辅助安全设备，如出现新的专用辅助安全设备，可参照6. 1. 2节的要求。a）手机短信动态密码：开通手机动态密码时，应使用人工参与控制的可靠手段验证客 户身份并登记手机号码。更改手机号码时，应对客户的身份进 行有效验证。 手机动态密码应随机产生，长度不应少于6位。应设定手机动态密码的有效时间，最长不超过10分钟，超过 有效时间应立即作废。交易的关键信息、应与动态密码一起发送给客户，并提示客户 确认。b）指纹识别：基本要

25、求：如果通过指纹鉴别客户身份，应防止指纹数据被记录和重放。禁止在远程身份鉴别中采用指纹识别。近距离身份鉴别（例如, 使用专用辅助安全设备对使用者的身份鉴别）可采用指纹识 别。6.1.3网络通信安全本部分内容指数据在网络传输过程中采用的通讯协议和安全认证 方式，不包括网络基础设施方面的内容。6.1.3.1通讯协议基本要求：a）应使用强壮的加密算法和安全协议保护客户端与服务器之间所有 连接,例如，使用SSL/TLS和IPSEC协议。b）如果使用SSL协议，应使用3.0及以上相对高版本的协议，取消对低版本协议的支持。C）客户端到服务器的SSL加密密钥长度应不低于128位；用于签名 的RSA密钥长度应

26、不低于1024位，用于签名的ECC密钥长度应 不低于160位。d）应可防止对交易报文攻击。6.1.3.2安全认证A.基本要求：a） 网上银行服务器与客户端应进行双向身份认证。b） 整个通讯期间，经过认证的通讯线路应一直保持安全连接状态。c） 网上银行系统应可判断客户的空闲状态，当空闲超过一定时间后, 自动关闭当前连接，客户再次操作时必须重新登录。d） 应确保客户获取的金融机构Web服务器的根证书真实有效，可采 用的方法包括但不限于：在客户开通网上银行时分发根证书，或 将根证书集成在客户端控件下载包中分发等。B.增强要求：a） 网上银行系统应判断同一次登录后的所有操作必须使用同一 IP地 址和M

27、AC地址，否则服务器端自动终止会话。b） 金融机构应使用获得国家主管部门认定的具有电子认证服务许可 证的CA证书及认证服务。6. 1. 4服务器端安全6. 1. 41网络架构安全a)合理部署网上银行系统的网络架构：合理划分网络区域，并将网上银行网络与办公网及其他网络进行 隔离。维护与当前运行情况相符的网络拓扑图，并区分可信区域与不可 信区域。采用IP伪装技术隐藏内部IP，防止内部网络被非法访问。部署入侵检测系统/入侵防御系统(IDS/IPS),对网络异常流量进 行监控。在所有互联网入口以及隔离区(DMZ)与内部网络之间部署防火 墙，对非业务必需的网络数据进行过滤。采取措施保障关键服务器时间同步

28、，例如，设置网络时间协议 (NTP)服务器。互联网接入应采用不同电信运营商线路，相互备份且互不影响。核心层、汇聚层的设备和重要的接入层设备均应双机热备，例如, 核心交换机、服务器群接入交换机、重要业务管理终端接入交换 机、核心路由器、防火墙、均衡负载器、带宽管理器及其他相关 重要设备。保证网络带宽和网络设备的业务处理能力具备冗余空间，满足业 务高峰期和业务发展需要。b)访问控制：在网络结构上实现网问的访问控制，采取技术手段控制网络访问权限。应对重要主机的IP地址与MAC地址进行绑定。禁止将管理终端主机直接接入核心交换机、汇聚层交换机、服务器群交换机、网间互联边界接入交换机和其他专用交换机。明确

29、业务必需的服务和端口，不应开放多余的服务和端口。禁止开放远程拨号访问。c） 网络设备的管理规范和安全策略：将关键或敏感的网络设备存放在安全区域，应使用相应的安全防护设备和准入控制手段以及有明确标志的安全隔离带进行保护。应更改网络安全设备的初始密码和默认设置。在业务终端与服务器之间通过路由控制建立安全的访问路径。指定专人负责防火墙、路由器和IDS/IPS的配置与管理，按季定 期审核配置规则。所有设备的安全配置都必须经过审批。在变更防火墙、路由器和IDS/IPS配置规则之前，确保更改已进 行验证和审批。d） 安全审计和日志：应对网络设备的运行状况、网络流量、管理员行为等信息进行 日志记录，日志至少

30、保存3个月。审计记录应包括但不限于：事件发生的时间、相关操作人员、 事件类型、事件是否成功及其他与审计相关的信息。应根据记录进行安全分析，并生成审计报表。应对审计记录进行保护，避免被未授权删除、修改或者覆盖。e）入侵防范:应严格限制下载和使用免费软件或共享软件，应确保服务器系 统安装的软件来源可靠，且在使刚前进行测试。所有外部存储设备（软盘、移动硬盘、U盘等）在使用前应进行 病毒扫描。制订合理的IDS/IPS的安全配置策略，并指定专人定期进行安 全事件分析和安全策略配置优化。应在网络边界处监视并记录以下攻击行为：端口扫描、强力攻 击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片 攻击和网络蠕虫攻击等。当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目标和 攻击时间，在发生严重入侵事件时应提供报警或自动采取防御 措施。基本型网络防护架构参考图和增强型络防护架构参考图分别见附1 和附2。6.1.4.2系统设计安全A.基本要求：A）敏感客户参数修改（包括但不限于密码、转账限额、地址以及电话 联系方式）应在一次登录过程中进行二次认证（包括但不限于静态 密码+动态密码）。b）网上银行系统应具有保存和显示客户历史登录信息（例如时间、IP 地址、MAC地址等）的功能，支持客户查询登录（包括成功登录和失败登录）、交易