网上银行服务 应用安全规范.pdfVIP

网上银行服务 应用安全规范 1 范围 本文件规定了网上银行系统在应用安全设计方面的要求，包括密码技术、身份鉴别、访问控制、安 全审计、数据安全性、客户个人信息保护、交易安全性、移动金融客户端安全、逻辑安全测评、系统运 营安全等方面的相关规范要求。 本文件适用于中华人民共和国境内设立的银行业金融机构所提供的网上银行服务。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T 27912—2011 金融服务 生物特征识别 安全框架 GB/T 35273—2020 信息安全技术 个人信息安全规范 GB/T 37036.1—2018 信息技术 移动设备生物特征识别 第1部分：通用要求 JR/T 0068—2020 网上银行系统信息安全通用规范 JR/T 0092—2019 移动金融客户端应用软件安全管理规范 JR/T 0171—2020 个人金融信息保护技术规范 3 术语与定义 JR/T 0068—2020、JR/T 0092—2019和JR/T 0171—2020界定的以及下列术语和定义适用于本文件。 3.1 密钥 key 控制密码变换操作的符号序列。 注：加密、解密、密码校验函数计算、签名生成或签名验证。 [来源：GB/T 15843.1—2017，3.16] 3.2 对称加密算法 symmetric encryption algorithm 源发者和接收者使用同一秘密密钥进行变换的加密算法。 [来源：GB/T 15843.1—2017，3.34] 3.3 数字签名 digital signature 1 附加在数据单元上的一些数据，或是对数据单元做密码变换，这种附加数据或密码变换被数据单元 的接收者用以确认数据单元的来源和完整性，达到保护数据，防止被人 （例如接收者）伪造的目的。 [来源：GB/T 15843.1—2017，3.11] 3.4 双因素认证 （2FA） two-factor authentication （2FA） 除静态密码外，采用动态密码、数字证书等技术，通过双重认证的方式加强身份管理的认证方式。 [来源：JR/T 0088.1—2012，2.43] 3.5 角色 role 一组预先确定的规则，规定在用户和对象之间许可的交互。 4 缩略语 下列缩略语适用于本文件。 MAC：消息认证码（Message Authentication Code） OTP：一次性口令 （One Time Password） SDK：软件开发工具包 （Software Development Kit） VPN：虚拟专用网络（Virtual Private Network） PIN：个人识别码 （Personal Identification Number） SSL：安全套接层（Secure Sockets Layer） CVV：卡效验值（Card Verification Value） CVN：卡效验号 （Card Verification Number） 5 身份鉴别 5.1 身份鉴别技术要求 5.1.1 概述 身份鉴别按照实现方式可分为静态口令、第二信道设备 （如手机动态验证码）、OTP设备 （如软实 现、硬件OTP）、数字证书（如软数字证书、硬数字证书）和生物特征识别等技术。 5.1.2 静态口令 生成要求 口令生成的要求如下： a) 长度不低于6 个字符，宜采用8 个字符以上的口令； b) 对于非设备绑定用户的账户，应采用非纯数字的口令，宜包含字母、数字、特殊字符混合输入, 不宜出现连续6 位数字或者身份证号、手机号中连续6 位等弱口令； c) 对于手势密码等其他静态密码，应满足一定复杂度要求； d) 认证系统应能够对用户输入的口令强度进行分析，给出口令强度的反馈； e) 对于低强度的口令能够警示用户更换更高强度的口令