网上银行系统信息安全通用规范word版

《网上银行系统信息安全通用规范word版》由会员上传分享，免费在线阅读，更多相关内容在工程资料-天天文库。

1、附件网上银行系统信息安全通用规范（试行）中国人民$艮行1使用范围和要求42规范性引用文件43术语和定义54符号和缩略语65网上银行系统概述65.1系统标识65.2系统定义75.3系统描述75.4安全域8696.1安全技术规范96.2安全管理规范226.3业务运作安全规范26附1基本的网络防护架构参考图30附2增强的网络防护架构参考图31本规范是在收集、分析评估检查发现的网上银行系统信息安全M题和已发生过的网上银行案件的基础上，有针对性提出的安全要求，内容涉及网上银行系统的技术、管理和业务运作三个方面。本规范分为基本要求和增强要求两个层次。基本要求为最低安全要求，增强要求为本规范下发之日起的三

2、年内应达到的安企要求，各单位应在遵照执行基本要求的同时，按照增强要求，积极采取改进措施，在规定期限内达标。本规范旨在有效增强现有网上银行系统安全防范能力，促进网上银行规范、健康发展。本规范既可作为网上银行系统建设和改造升级的安全性依据，也可作为各单位开展安全检查和内部审计的依据。1使用范围和要求本规范指出了网上银行系统的描述、安全技术规范、安全管理规范、业务运作安全规范,适用于规范网上银行系统建设、运营及测评工作。2规范性引用文件下列文件中的条款通过本规范的引用而成为本规范的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本规范，然而，鼓励根据本规范达成协

3、议的各方研究是否可使用这些文件的最新版本。凡是不注円期的引用文件，其最新版本适川于本规范。GB/T20983-2008信息安全技术网上银行系统信息安全保障评估准则GB/T22239-2008信息安全技术信息系统安全等级保护基本要求GB/T20984-2007信息安全技术信息系统风险评估规范GB/T18336.1-2008信息技术安全技术信息技术安全性评估准则第1部分:简介和一般模型GB

4、B/T22081-2008GB/T14394-2008GB/T22239-2008信息技术安全技术信息安全管理体系要求信息技术安全技术信息安全管理使用规则计算机软件可靠性和可维护性管理信息安全技术信息系统安全等级保护基本要求《中国人民银行关于进一步加强银行业金融机构信息安全保障工作的指导意见》（银发（2006）123号）《中国人民银行中国银行业监督管理委员会公安部国家工商总局关于加强银行卡安全管理预防和打击银行卡犯罪的通知》（银发〔2009〕142号）《中国人民银行办公厅关于贯彻落实＜中国人民银行中国银行业监督管理委员会公安部国家工商总局关于加强银行卡安全管理预防和打击银行卡犯罪的通知〉的意

5、见》（银办发（2009〕149号）3术语和定义GB/T20274确立的以及下列术语和定义适用于本规范。3.1网上银行商业银行等金融机构通过互联网等公众网络基础设施，向其客户提供各种金融业务。3.2互联网因特网或其他类似形式的通用性公共计算机通信网络。3.3敏感信息任何影响网上银行安全的密码、密钥以及交易数据等信息，密码包括但不限于转账密码、査询密码、登录密码、证书的HN码等。3.4客户端程序为网上银行客户提供人机交互功能的程序，以及提供必需功能的组件，包栝但不限于：可执行文件、控件、静态链接库、动态链接库等。USBKey一种USB接口的硬件设备。它内賈笮片机或智能卡芯片，有一定的存储空间，可

6、以存储用户的私钥以及数字证书。USBKey固件影响USBKey安全的程序代码。3.7强效加密一个通用术语，表示极难被破译的加密算法。加密的强壮性取决于所使用的加密密钥。密钥的有效度应不低丁•可比较的强度建议所要求的最低密钥度。对于基于密钥的系统（例如3DES）,应不低于80位。对于基于因子的公用密钥算法（例如RSA）,应不低于1024位。4符号和缩略语以下缩略语和符号表示适用于本规范:CA数字证书签发和管理机构(CertificationAuthority)Cookies为辨别客户身份而储存在客户本地终端上的数据COS卡片操作系统(CardOperatingSystem)c/s客户机/服务器

7、(Client/Server)DOS/DDOS拒绝服务/分布式拒绝服务(DenialofService/DistributedofService)IDS/IPS入侵检测系统/入侵防御系统(IntrusionDetectionSystem/IntrusionPreventionSystem)IPSECIP安全协议OTP一次性密码(OneTimePassword)PKI公钥基础设施(PublicKeyInfras