网上银行系统信息安全通用规范(试行)技术解读.pdfVIP

《网上银行系统信息安全通用规范（试行）》技术解读

发表于:2010-5-14

为增强我国网上银行安全管理，增进网上银行业务健康进展，有效增强网上

银行系统信息安全防范能力，2010年1月19日中国人民银行向银行业金融机构

发布了《网上银行系统信息安全通用规范（试行）》（以下简称《规范》），

本文将就《规范》的内容和技术特点做重点解读。

一、《规范》出台的背景

自1998年招商银行率先在国内推出“一网通”领跑网上金融业以来，国

内已有近百家国有银行和城市商业银行加入了网上银行行列，纷纷开通网络转

账、付款、贷款和投资等业务。据中国银行业协会发布的《2009年度中国银行

业服务改进情况报告》数据显示，截止2009年底，我国网上银行注册用户数达

到亿，网银交易额达万亿元。网上银行交易快捷、方便和操作简单的特性，极

大地满足了网民的交易需求，因而倍受网民的青睐。

但是，由于互联网的开放性，网上银行系统的安全性问题令人担忧。目前，

犯罪分子作案手段层出不穷，通过木马、钓鱼网站等威胁客户资金安全，甚至对

网银系统进行恶意渗透破坏和拒绝服务攻击。网上银行趋利性犯罪的高发态势，

不仅会损害广大用户的经济利益，也将成为网上银行业务进一步发展的掣肘。因

此，我国金融行业亟需出台一项网上银行系统安全方面的标准，从技术标准层

面引导网银业务的发展。

二、《规范》的大体内容

众所周知，网上银行系统在客户端、认证介质、网银后台三个主要安全点

可能存在安全隐患，而将这三个安全点串联起来的交易传输网络也可能存在必然

的安全风险，由此组成了整个网上银行系统的安全风险链。在《信息安全技术

网上银行系统信息安全保障评估准则（GB/T20983-2007）》的基础上，结合网

上银行系统的技术和业务特点，人民银行及时出台了该《规范》。

该《规范》共分为安全技术、安全管理和业务运作三部份，各部份又别离

包括大体要求和增强要求两个层次，大体要求为最低安全要求，增强要求为三年

内应达到的安全要求。其中，安全技术规范内容包括：客户端安全、专用辅助

设备安全、网络通信安全、银行服务器端安全四个方面；安全管理规范内容包括：

组织机构、管理制度、安全策略、人员/文档管理和系统运行管理五个方面；业

务运作安全内容包括：业务申请及开通、业务安全交易机制和客户宣布道育三个

方面。

《规范》要求银行业金融机构现阶段要遵照执行基本要求，同时积极采取

改进措施，在规定期限内达到增强要求。

三、《规范》的技术特点

《规范》对目前已知的网上银行犯罪案例、网上银行常见交易认证机制存

在的问题进行挖掘和分析，通过对商业银行网上银行安全检查进行深入分析和总

结，从正面提出规范性要求，具有较强的针对性和可操作性；不仅针对网上银

行现实问题，而且针对潜在风险点均提出了应对措施，具有前瞻性；同时内容涵

盖了网上银行系统各个部分、交易的全过程，具有全面性。《规范》的主要技

术特点包括：

（1）明确规定禁止仅使用文件证书或文件证书加静态密码的方式进行转

账类操作

目前，用户使用文件证书作为认证方式时，其私钥保存在客户端计算机内，

而且签名等涉及私钥的敏感操作也在客户的计算机上进行。大部分对于文件证书

的保护机制都依赖于浏览器，而浏览器对于文件证书的保护机制已经不足以抵

御目前的各种攻击。因此，《规范》明确禁止仅使用文件证书进行转账类操作，

从而能够有效规避不法分子对客户资金安全的直接威胁，约束金融机构更好地

保护客户利益。

（2）强调客户端的安全性

目前，绝大多数网上银行安全事件源于客户端安全隐患。由于客户端受到

网上银行木马程序、网上钓鱼等黑客技术的侵害，且客户端程序基于通用浏览器

开发，这会存在利用通用浏览器的漏洞获取客户的网上银行登录信息的风险，

另外客户端采用的安全控件防护强度较弱等问题都有可能导致其无法抵御一些

常见攻击，因此对客户端程序的检测就显得十分重要。

《规范》要求在客户端程序上线前要进行严格的代码测试，并关注最新的

安全技术和安全漏洞，定期对客户端程序进行检查，从而能够及时发现客户端程

序存在的漏洞并采取相应的规避措施。同时，金融机构应通过专业的第三方测

试机构对客户端程序进行安全检测，目的是通过内部和外部的检测，能够公正、

及时、全面地反映客户端程序存在的问题，从而尽可能地保证其防范常见的针

对网上银行客户端的攻击，例