网上银行系统信息安全通用规范word版.doc

网上银行系统信息安全通用规范 第 PAGE 3 页 附件 网上银行系统信息安全通用规范 （试行） 中国人民银行 目 录 TOC \o 1-2 \u 1 使用范围和要求 PAGEREF _Toc249791025 \h 4 2 规范性引用文件 PAGEREF _Toc249791026 \h 4 3 术语和定义 PAGEREF _Toc249791027 \h 5 4 符号和缩略语 PAGEREF _Toc249791028 \h 6 5 网上银行系统概述 PAGEREF _Toc249791029 \h 6 5.1 系统标识 PAGEREF _Toc249791030 \h 6 5.2 系统定义 PAGEREF _Toc249791031 \h 7 5.3 系统描述 PAGEREF _Toc249791032 \h 7 5.4 安全域 PAGEREF _Toc249791033 \h 8 6 安全规范 PAGEREF _Toc249791034 \h 9 6.1 安全技术规范 PAGEREF _Toc249791035 \h 9 6.2 安全管理规范 PAGEREF _Toc249791036 \h 22 6.3 业务运作安全规范 PAGEREF _Toc249791037 \h 26 附1 基本的网络防护架构参考图 PAGEREF _Toc249791038 \h 30 附2 增强的网络防护架构参考图 PAGEREF _Toc249791039 \h 31 前 言 1 本规范是在收集、分析评估检查发现的网上银行系统信息安全问题和已发生过的网上银行案件的基础上，有针对性提出的安全要求，内容涉及网上银行系统的技术、管理和业务运作三个方面。 本规范分为基本要求和增强要求两个层次。基本要求为最低安全要求，增强要求为本规范下发之日起的三年内应达到的安全要求，各单位应在遵照执行基本要求的同时，按照增强要求，积极采取改进措施，在规定期限内达标。 本规范旨在有效增强现有网上银行系统安全防范能力，促进网上银行规范、健康发展。本规范既可作为网上银行系统建设和改造升级的安全性依据，也可作为各单位开展安全检查和内部审计的依据。 使用范围和要求 本规范指出了网上银行系统的描述、安全技术规范、安全管理规范、业务运作安全规范，适用于规范网上银行系统建设、运营及测评工作。 规范性引用文件 下列文件中的条款通过本规范的引用而成为本规范的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本规范，然而，鼓励根据本规范达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本规范。 GB/T 20983-2008 信息安全技术 网上银行系统信息安全保障评估准则 GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求 GB/T 20984-2007 信息安全技术 信息系统风险评估规范 GB/T 18336.1-2008 信息技术安全技术信息技术安全性评估准则第1部分:简介和一般模型 GB/T 18336.2-2008 信息技术安全技术信息技术安全性评估准则第2部分: 安全功能要求 GB/T 18336.3-2008信息技术安全技术信息技术安全性评估准则第3部分: 安全保证要求 GB/T 22080-2008 信息技术 安全技术 信息安全管理体系要求 GB/T 22081-2008 信息技术 安全技术 信息安全管理使用规则 GB/T 14394-2008 计算机软件可靠性和可维护性管理 GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求 《中国人民银行关于进一步加强银行业金融机构信息安全保障工作的指导意见》（银发〔2006〕123号） 《中国人民银行 中国银行业监督管理委员会 公安部 国家工商总局关于加强银行卡安全管理预防和打击银行卡犯罪的通知》（银发〔2009〕142号） 《中国人民银行办公厅关于贯彻落实中国人民银行 中国银行业监督管理委员会 公安部 国家工商总局关于加强银行卡安全管理预防和打击银行卡犯罪的通知的意见》 （银办发〔2009〕149号） 术语和定义 GB/T 20274确立的以及下列术语和定义适用于本规范。 3.1 网上银行 商业银行等金融机构通过互联网等公众网络基础设施，向其客户提供各种金融业务。 3.2 互联网 因特网或其他类似形式的通用性公共计算机通信网络。 3.3 敏感信息 任何影响网上银行安全的密码、密钥以及交易数据等信息，密码包括但不限于转账密码、查询密码