网上银行信息系统安全通用规范.docVIP

附件 网上银行系统信息安全通用规范 (试行) 中国人民银行 目 录 1 使用范围和要求……………………………………………4 2 规范性引用文件……………………………………………4 3 术语和定义…………………………………………………5 4 符号和缩略语………………………………………………6 5 网上银行系统概述…………………………………………6 5．1 系统标识…………………………………………6 5．2 系统定义…………………………………………7 5．3 系统描述…………………………………………7 5．4 安全域……………………………………………8 6 安全规范……………………………………………………9 6．1 安全技术规范……………………………………9 6．2 安全管理规范……………………………………22 6．3 业务运作安全规范………………………………26 附l 基本的网络防护架构参考图……………………………30 附2 增强的网络防护架构参考图……………………………31 前 言 本规范是在收集、分析评估检查发现的网上银行系统信息安全问题和已发生过的网上银行案件的基础上，有针对性提出的安全要求，内容涉及网上银行系统的技术、管理和业务运作三个方面。 本规范分为基本要求和增强要求两个层次。基本要求为最低安全要求，增强要求为本规范下发之日起的三年内应达到的安全要求，各单位应在遵照执行基本要求的同时，按照增强要求，积极采取改进措施，在规定期限内达标。 本规范旨在有效增强现有网上银行系统安全防范能力，促进网上银行规范、健康发展。本规范既可作为网上银行系统建设和改造升级的安全性依据，也可作为各单位开展安全检查和内部审计的依据。 1使用范围和要求 本规范指出了网上银行系统的描述、安全技术规范、安全管理规范、业务运作安全规范，适用于规范网上银行系统建设、运营及测评工作。 2规范性引用文件 下列文件中的条款通过本规范的引用而成为本规范的条款。凡是注日期的引用文件，其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本规范，然而，鼓励根据本规范达成协议的香方研究是否可使瑚这些文件的最新版本。凡是不注日期的引用文件，其最新 版本适用于本规范。 GB/IT20983-2008信息安全技术网上银行系统信息安全保障评估准则 GB/T22239-2008信息安令技术信息系统安全等级保护基本要求 GB/T 20984-2007信息安全技术信息系统风险评估规范 GB/T 1 8336.1-2008信息技术安全技术信息技术安全性评估准则第1部分：简介和一般模型 GB/T 1 8336.2-2008信息技术安全技术信息技术安全性评估准则第2部分：安全功能要求 GB/T l 8336.3-2008信息技术安全技术信息技术安全性评估准则第3部分：安全保证要求 GB/T 22080-2008信息技术安全技术信息安全管理体系要求 GB/T 22081-2008信息技术安全技术信息安全管理使用规则 GB/T 14394-2008计算机软件可靠性和可维护性管理 GB/T 22239-2008信息安全技术信息系统安全等级保护基本要求 《中围人民银行关丁进一步加强银行业金融机构信息安全保障工作的指导意见》(银发(2006) 123号) 《中国人民银行 中国银行业监督管理委员会 公安部 国家工商总局关于加强银行卡安全管理预防和打击银行卡犯罪的通知》(银发(2009) 142号) 《中国人民银行办公厅关于贯彻落实中国人民银行 中国银行业监督管理委员会 公安部 国家工商总局关于加强银行卡安全管理预防和打击银行卡犯罪的通知的意见》 （银办发〔2009〕 149号） 3术语和定义 GB/T 20274确立的以及下列术语和定义适用于本规范。 3．1网上银行 商业银行等金融机构通过互联网等公众网络基础设施，向其客户提供各种金融业务。 3．2互联网 因特网或其他类似形式的通用性公共计算机通信网络。 3．3敏感信息 任何影响网上银行安全的密码、密钥以及交易数据等信息，密码包括但不限于转账密码、查询密码、登录密码、证书的PIN码等。 3．4客户端程序 为随上银行客户提供人机交互功能的程序，以及提供必需功能的组件，包括但不限于：可执行文件、控件、静态链接库、动态链接库等。 3．5 USB Key 一种USB接口的硬件设备。它内置单片机或智能卡芯片，有一定的存储空间，可以存储用户的私钥以及数字证书。 3．6 USB Key固件 影响USB Key安全的程序代码。 3．