网上银行系统信息安全通用规范(2)

网上银行系统信息安全通用规范(2)

ID:23643487

大小:1.41 MB

页数:43页

时间:2018-11-09

网上银行系统信息安全通用规范(2)_第1页
网上银行系统信息安全通用规范(2)_第2页
网上银行系统信息安全通用规范(2)_第3页
网上银行系统信息安全通用规范(2)_第4页
网上银行系统信息安全通用规范(2)_第5页
资源描述:

《网上银行系统信息安全通用规范(2)》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、附件ICS 35.240.40A11备案号:JR中华人民共和国金融行业标准JR/T0068—2012网上银行系统信息安全通用规范Generalspecificationofinformationsecurityforinternetbankingsystem2012-05-08发布2012-05-08实施中国人民银行  发布JR/T0068—2012目    次前言II引言III1 范围12 规范性引用文件13 术语和定义14 符号和缩略语25 网上银行系统概述36 安全规范6附录A(资料性附录) 基本的网络防护架构参考图35

2、附录B(资料性附录) 增强的网络防护架构参考图36附录C(规范性附录) 物理安全37参考文献3938JR/T0068—2012前    言本标准按照GB/T1.1—2009给出的规则起草。本标准由中国人民银行提出。本标准由全国金融标准化技术委员会(SAC/TC180)归口。本标准起草单位:中国人民银行、银行卡检测中心。本标准主要起草人:王永红、李晓枫、杨竑、郭全明、王小青、王梅、董贞良、田朝阳、刘志刚、杜磊、李海滨、刘红波、孙茂增。本标准为首次发布。38JR/T0068—2012引    言本标准是在收集、分析评估检查发现的网

3、上银行系统信息安全问题和已发生过的网上银行案件的基础上,有针对性提出的安全要求,内容涉及网上银行系统的技术、管理和业务运作三个方面。本标准分为基本要求和增强要求两个层次,基本要求为最低安全要求,增强要求为本标准下发之日起的三年内应达到的安全要求。各单位应在遵照执行基本要求的同时,按照增强要求,积极采取改进措施,在规定期限内达标。本标准旨在有效增强现有网上银行系统安全防范能力,促进网上银行规范、健康发展。本标准既可作为网上银行系统建设和改造升级的安全性依据以及各单位开展安全检查和内部审计的依据,也可作为行业主管部门、专业检测机构

4、进行检查、检测及认证的依据。38JR/T0068—2012网上银行系统信息安全通用规范1 范围本标准包含了网上银行系统的描述、安全技术规范、安全管理规范、业务运作安全规范。本标准适用于网上银行系统建设、运营及测评。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T25069信息安全技术术语3 术语和定义GB/T25069确立的以及下列术语和定义适用于本文件。3.1 网上银行Internetban

5、king商业银行等金融机构通过互联网、移动通信网络、其他开放性公众网络或专用网络基础设施向其客户提供网上金融业务的服务。3.2 互联网Internet因特网或其他类似形式的通用性公共计算机通信网络。3.3 敏感信息sensitiveinformation主要指影响网上银行安全的密码、密钥以及交易敏感数据等信息,密码包括但不限于转账密码、查询密码、登录密码、证书的PIN等,密钥包括但不限于用于确保通讯安全、报文完整性等的密钥,交易敏感数据包括但不局限于完整磁道信息、有效期、CVN、CVN2、证件号码等。3.4 客户端程序clie

6、ntprogram为网上银行客户提供人机交互功能的程序,以及提供必需功能的组件,包括但不限于:可执行文件、控件、静态链接库、动态链接库等,不包括IE等通用浏览器。3.5 USBKey38JR/T0068—2012一种USB接口的硬件设备。它内置单片机或智能卡芯片,有一定的存储空间,可以存储用户的私钥以及数字证书。1.1 USBKey固件USBKeyfirmware影响USBKey安全的内置在USBKey内的程序代码。1.2 移动终端mobileterminal本标准中特指区别于传统PC机方式,以手机、平板电脑等通过通信网络访问

7、网上银行的移动设备。1.3 强效加密strongencryption一个通用术语,表示极难被破译的加密算法。加密的强壮性取决于所使用的加密密钥。密钥的有效长度应不低于可比较的强度建议所要求的最低密钥长度。1.4 资金类交易fundstransaction指通过网上银行进行资金操作交易,如转账、订单支付、缴费等。本人名下的投资理财、托管账户以及本人签订委托代扣协议的委托代扣等风险可控的资金变动不属于此范畴。1.5 信息及业务变更类交易information&businesschangingtransaction通过网上银行变更客

8、户相关信息或开通、取消业务的交易,如客户修改基本信息、调整交易额度、授权委托交易、修改交易订单、开通(签订)新业务、取消某项业务、电子合同签署、电子保单等。1.6 企业网银corporatebanking指商业银行等金融机构面向企事业单位和其他组织提供的网上金融服务。2 符号

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。