返回
《网上银行系统信息安全通用规范(试行)》技术解读

《网上银行系统信息安全通用规范(试行)》技术解读

ID:19101677

大小:20.00 KB

页数:4页

时间:2018-09-28

《网上银行系统信息安全通用规范(试行)》技术解读_第1页
《网上银行系统信息安全通用规范(试行)》技术解读_第2页
《网上银行系统信息安全通用规范(试行)》技术解读_第3页
《网上银行系统信息安全通用规范(试行)》技术解读_第4页
资源描述:

《《网上银行系统信息安全通用规范(试行)》技术解读》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、《网上银行系统信息安全通用规范(试行)》技术解读发表于:2010-5-14为加强我国网上银行安全管理,促进网上银行业务健康发展,有效增强网上银行系统信息安全防范能力,2010年1月19日中国人民银行向银行业金融机构发布了《网上银行系统信息安全通用规范(试行)》(以下简称《规范》),本文将就《规范》的内容和技术特点做重点解读。 一、《规范》出台的背景 自1998年招商银行率先在国内推出“一网通”领跑网上金融业以来,国内已有近百家国有银行和城市商业银行加入了网上银行行列,纷纷开通网络转账、付款、贷款和投资等业务。据中国银行业协会发布的《2009年度中国银

2、行业服务改进情况报告》数据显示,截止2009年底,我国网上银行注册用户数达到1.89亿,网银交易额达404.88万亿元。网上银行交易快捷、方便和操作简单的特性,极大地满足了网民的交易需求,因而倍受网民的青睐。 但是,由于互联网的开放性,网上银行系统的安全性问题令人担忧。目前,犯罪分子作案手段层出不穷,通过木马、钓鱼网站等威胁客户资金安全,甚至对网银系统进行恶意渗透破坏和拒绝服务攻击。网上银行趋利性犯罪的高发态势,不仅会损害广大用户的经济利益,也将成为网上银行业务进一步发展的掣肘。因此,我国金融行业亟需出台一项网上银行系统安全方面的标准,从技术标准层面

3、引导网银业务的发展。 二、《规范》的基本内容 众所周知,网上银行系统在客户端、认证介质、网银后台三个主要安全点可能存在安全隐患,而将这三个安全点串联起来的交易传输网络也可能存在一定的安全风险,由此构成了整个网上银行系统的安全风险链。在《信息安全技术网上银行系统信息安全保障评估准则(GB/T20983-2007)》的基础上,结合网上银行系统的技术和业务特点,人民银行及时出台了该《规范》。 该《规范》共分为安全技术、安全管理和业务运作三部分,各部分又分别包含基本要求和增强要求两个层次,基本要求为最低安全要求,增强要求为三年内应达到的officiallye

4、stablishedonJuly1,2013,Yibincity,formerlyknownasthebus,integratedoriginalrongzhoubuscompanyinYibincityandMetrobuscompany,formedonlyinYibincityofaState-ownedpublictransportenterprises,thecompanyconsistsofoneortwo,thirdDivision.Integrationofpublictransportservicesisnotyetestablis

5、hed安全要求。其中,安全技术规范内容包括:客户端安全、专用辅助设备安全、网络通信安全、银行服务器端安全四个方面;安全管理规范内容包括:组织机构、管理制度、安全策略、人员/文档管理和系统运行管理五个方面;业务运作安全内容包括:业务申请及开通、业务安全交易机制和客户宣传教育三个方面。 《规范》要求银行业金融机构现阶段要遵照执行基本要求,同时积极采取改进措施,在规定期限内达到增强要求。 三、《规范》的技术特点 《规范》对目前已知的网上银行犯罪案例、网上银行常见交易认证机制存在的问题进行挖掘和分析,通过对商业银行网上银行安全检查进行深入分析和总结,从正面提

6、出规范性要求,具有较强的针对性和可操作性;不仅针对网上银行现实问题,而且针对潜在风险点均提出了应对措施,具有前瞻性;同时内容涵盖了网上银行系统各个部分、交易的全过程,具有全面性。《规范》的主要技术特点包括: (1)明确规定禁止仅使用文件证书或文件证书加静态密码的方式进行转账类操作 目前,用户使用文件证书作为认证方式时,其私钥保存在客户端计算机内,而且签名等涉及私钥的敏感操作也在客户的计算机上进行。大部分对于文件证书的保护机制都依赖于浏览器,而浏览器对于文件证书的保护机制已经不足以抵御目前的各种攻击。因此,《规范》明确禁止仅使用文件证书进行转账类操作,

7、从而能够有效规避不法分子对客户资金安全的直接威胁,约束金融机构更好地保护客户利益。 (2)强调客户端的安全性 目前,绝大多数网上银行安全事件源于客户端安全隐患。由于客户端受到网上银行木马程序、网上钓鱼等黑客技术的侵害,且客户端程序基于通用浏览器开发,这会存在利用通用浏览器的漏洞获取客户的网上银行登录信息的风险,另外客户端采用的安全控件防护强度较弱等问题都有可能导致其无法抵御一些常见攻击,因此对客户端程序的检测就显得十分重要。 officiallyestablishedonJuly1,2013,Yibincity,formerlyknownastheb

8、us,integratedoriginalrongzhoubuscompanyinYibincityandM

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。