1、附件网上银行系统信息安全通用规范(试行)中国人民银行网上银行系统信息安全通用规范第 2 页 共 41 页目 录1 使 用 范 围 和 要 求 42 规 范 性 引 用 文 件 43 术 语 和 定 义 54 符 号 和 缩 略 语 65 网 上 银 行 系 统 概 述 65 1 系 统 标 识 65 2 系 统 定 义 75 3 系 统 描 述 75 4 安 全 域 86 安 全 规 范 96 1 安 全 技 术 规 范 96 2 安 全 管 理 规 范 226 3 业 务 运 作 安 全 规 范 26附 l 基 本 的 网 络 防 护 架 构 参 考 图 30附 2 增 强 的 网 络 防
2、护 架 构 参 考 图 31网上银行系统信息安全通用规范第 3 页 共 41 页前 言本规范是在收集、分析评估检查发现的网上银行系统信息安全问题和已发生过的网上银行案件的基础上,有针对性提出的安全要求,内容涉及网上银行系统的技术、管理和业务运作三个方面。本规范分为基本要求和增强要求两个层次。基本要求为最低安全要求,增强要求为本规范下发之日起的三年内应达到的安全要求,各单位应在遵照执行基本要求的同时,按照增强要求,积极采取改进措施,在规定期限内达标。本规范旨在有效增强现有网上银行系统安全防范能力,促进网上银行规范、健康发展。本规范既可作为网上银行系统建设和改造升级的安全性依据,也可作为各单位开展
3、安全检查和内部审计的依据。1 使用范围和要求本规范指出了网上银行系统的描述、安全技术规范、安全管理规范、业务运作安全规范,适用于规范网上银行系统建设、运营及测评工作。2 规范性引用文件下列文件中的条款通过本规范的引用而成为本规范的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容) 或修订版均不适用于本规范,然而,鼓励根据本规范达成协议的香方研究是否可使瑚这些文件的最新版本。凡是不注日期的引用文件,其最新网上银行系统信息安全通用规范第 4 页 共 41 页版本适用于本规范。GB/IT20983-2008 信息安全技术网上银行系统信息安全保障评估准则GB/T22239-2008 信
4、息安令技术信息系统安全等级保护基本要求GB/T 20984-2007 信息安全技术信息系统风险评估规范GB/T 1 8336.1-2008 信息技术安全技术信息技术安全性评估准则第 1 部分:简介和一般模型GB/T 1 8336.2-2008 信息技术安全技术信息技术安全性评估准则第 2 部分:安全功能要求GB/T l 8336.3-2008 信息技术安全技术信息技术安全性评估准则第 3 部分:安全保证要求GB/T 22080-2008 信息技术安全技术信息安全管理体系要求GB/T 22081-2008 信息技术安全技术信息安全管理使用规则GB/T 14394-2008 计算机软件可靠性和可维
5、护性管理GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求中围人民银行关丁进一步加强银行业金融机构信息安全保障工作的指导意见(银发(2006) 123 号)中国人民银行 中国银行业监督管理委员会 公安部 国家工商总局关于加强银行卡安全管理预防和打击银行卡犯罪的通知(银发(2009) 142 号)中国人民银行办公厅关于贯彻落实的意见(银办发2009 149 号)3 术语和定义GB/T 20274 确立的以及下列术语和定义适用于本规范。31 网上银行商业银行等金融机构通过互联网等公众网络基础设施,向其客户提供各种金融业务。32 互联网因特网或其他类似形式的通用性公共计算机通信
6、网络。33 敏感信息任何影响网上银行安全的密码、密钥以及交易数据等信息,密码包括但不限于转账密码、查询密码、登录密码、证书的 PIN 码等。34 客户端程序为随上银行客户提供人机交互功能的程序,以及提供必需功能的组件,包括但不限于:可执行文件、控件、静态链接库、动态链接库等。35 USB Key一种 USB 接口的硬件设备。它内置单片机或智能卡芯片,有一定的存储空间,可以存储用户的私钥以及数字证书。36 USB Key 固件影响 USB Key 安全的程序代码。37 强效加密网上银行系统信息安全通用规范第 6 页 共 41 页一个通用术语,表示极难被破译的加密算法。加密的强壮性取决于所使用的加
7、密密钥。密钥的有效长度应不低于可比较的强度建议所要求的最低密钥长度。对于基于密钥的系统(例如 3DES),应不低于 80 位。对于基于因子的公用密钥算法(例如 RSA),应不低于1024 位。4 符号和缩略语以下缩略语和符号表示适用于本规范:CA 数字证书签发和管理机构(Certification Authority)Cookies 为辨别客户身份而储存在客户本地终端上的数据COS 卡片操作系统 (Card Operating System)C/S 客户机/服务器(Client/Server)DOS/DDOS 拒绝服务/分布式拒绝服务 (Denial of ServiceDistributed
8、 of Service)IDS/IPS 入侵检测系统入侵防御系统(Intrusion Detection SystemIntrusion Prevention System)IPSEC IP 安全协议OTP 一次性密码(One Time Password)PKI 公钥基础设旅 (Public Key Infrastructure)SSL 安全套接字层(Secure Socket Layer)SPA/DM 简单能繁分析差分能量分析(Simple Power AnalysisDifferential Power Analysis)SEMA/DEMA 简单电磁分析差分电磁分析 (Simple 网上银
9、行系统信息安全通用规范第 7 页 共 41 页Electromagnetism Analysis Differential Electromagnetism Analysis)TLS 传输层安全(Transfer Layer Secure)VPN 虚拟专用网络(Virtual Private Network)5 网上银行系统概述5.1 系统标识在系统标识中应标明以下内容:一名称:XX 银行网上银行系统一所属银行5.2 系统定义网上银行系统是商业银行等金融机构通过互联网等公众网络基础设施,向其客户提供各种金融业务服务的一种重要信息系统。网上银行系统将传统的银行业务同互联网等资源和技术进行融合,将
10、传统的柜台通过互联网向客户进行延伸,是商业银行等金融机构在网络经济的环境下,开拓新业务、方便客户操作、改善服务质量、推动生产关系变革等的重要举措,提高了商业银行等金融机构的社会效益和经济效益。53 系统描述网上银行系统主要由客户端、通信网络和服务器端组成。53.1 客户端网上银行系统客户端不具备或不完全具备专用金融交易设备的可信通讯能力、可信输出能力、可信输入能力、可信存储能力和可网上银行系统信息安全通用规范第 8 页 共 41 页信计算能力,因此,需要辅助安全设备,并通过接受、减轻、规避及转移的策略来应对交易风险。因此,网上银行系统客户端应包括基本交易终端和专用辅助安全设备。基本交易终端目前
11、主要为电脑终端,将来可包括手机、固定电话等。专用辅助安全设备用于保护数字证书、动态口令和静态密码等,应按照其在交易中具备的可信通讯能力、可信输出能力、可信输入能力、可信存储能力和可信计算能力等五种能力的组合对其进行分类分析,并制订与之适应的交易安全风险防范策略。5。32 通信网络网上银行借助互联网技术向客户提供金融服务,其通信网络的最大特点是开放性,开放性带来的优点是交易成本的降低和交易便利性的提高,缺点是交易易受到安全威胁及通讯稳定性降低。因此,网上银行业务设计应充分利用开放网络低成本和便利的特点,有效应对开放网络通讯安全威胁,同时采取手段提高交易稳定性和成功率。5.3.3 服务器端:网上银
12、行系统服务器端用于提供网上银行应用服务和核心业务处理,应充分利用各种先进的物理安全技术、网络安全技术、主机安全技术、访问控制技术、密码技术、安全审计技术、系统漏洞检测技术和黑客防范技术,在攻击者和受保护的资源间建立多道严密网上银行系统信息安全通用规范第 9 页 共 41 页的安全防线。5.4 安全域网上银行系统是一个涉及不同的应用系统、客户对象、数据敏感程度等的复杂信息系统。在网上银行系统的描述中,应根据应用系统、客户对象、数据敏感程度等划分安全域。安全域是一个逻辑的划分,它是遵守相同的安全策略的用户和系统的集合。通过对安全域的描述和界定,就能更好地对网上银行系统信息安全保障进行描述。具体而言
13、,网上银行系统主要包括:客户端、网上银行访问子网、网上银行业务系统、中间隔离设备和安全认证设备等。如图 1 所示:外部区域:网上银行的用户,安装网上银行客户端,通过互联网访问网上银行业务系统;网上银行系统信息安全通用规范第 10 页 共 41 页安全区域一:网上银行访问子网,主要提供客户的 Web 访问;安全区域二:网上银行业务系统,主要进行网上银行的业务处理;银行内部系统:银行处理系统,主要进行银行内部的数据处理。6 安全规范作为金融机构 IT 业务应用系统之一,网上银行系统需要与其他业务应用系统一起纳入金融机构全面的风险管理体系中。网上银行信息安全规范可分为安全技术规范、安全管理规范和业务
14、运作安全规范。安全技术规范从客户端安全、专用辅助安全设备安全、网络通信安全和网上银行服务器端安全几个方面提出;安全管理规范从组织结构、管理制度、人员及文档管理和系统运行管理几个方面提出,业务运作安全规范从业务申请及开通、业务安全交易机制、客户教育几个力面提出。下面将分别对其进行阐述。6.1 安全技术规范611 客户端安全6111 客户端程序A基本要求:a) 客户端程序上线前应进行严格的代码安全测试,如果客户端程序是外包给第三方机构开发的,金融机构应要求开发商进行代码安全测试。金融机构应建立定期对客户端程序进行安全检测的机制。b) 客户端程序应通过指定的第三方中立测试机构的安全检测。网上银行系统
15、信息安全通用规范第 11 页 共 41 页c) 客户端程序应具有抗逆向分析、抗反汇编等安全性防护措施,防范攻击者对客户端程序的调试、分析和篡改。d) 客户端程序的临时文件中不应出现敏感信息,临时文件包括但不限于 Cookies。客户端程序应禁止在身份认证结束后存储敏感信息,防止敏感信息的泄露。e) 客户端程序应防范键盘窃听敏感信息,例如防范采用挂钩Windows 键盘消息等方式进行键盘窃听,并应具有对通过挂钩窃听键盘信息进行预警的功能。f) 客户端程序应防范恶意程序获取或篡改敏感信息,例如使用浏览器接口保护控件进行防范。B增强要求:a) 客户端程序应保护在客户端启动的用于访问网上银行的进程,防
16、止非法程序获取该进程的访问权限。b) 进行转账类交易时,客户端程序应采取防范调试跟踪的措施,例如开启新的进程。c) 客户端程序应采用反屏幕录像技术,防止非法程序获取敏感信息。6.1.1.2 密码保护A基本要求:a) 禁止明文显示密码,府使心相同位数的同一特殊字符(例如*和#)代替。b) 密码应有复杂度的要求,包括:网上银行系统信息安全通用规范第 12 页 共 41 页 长度至少 6 位,支持字母和数字共同组成。 在客户设置密码时,应提示客户不使用简单密码。c) 如有初始密码,首次登录时应强制客户修改初始密码。d) 应具有防范暴力破解静态密码的保护措施,例如在登录和交易时使用图形认证码,图形认证
17、码应满足: 由数字和字母组成。 随机产生。 包含足够的噪音干扰信息,避免恶意代码自动识别图片上的信息。 具有使用时间限制并仅能使用一次。e) 使用软键盘方式输入密码时,应对整体键盘布局进行随机干扰。f) 应保证密码的加密密钥的安全。g) 应提醒客户区分转账密码与其他密码。B增强要求:a) 采用辅助安全设备(例如 USB Key 或专用密码输入键盘)输入并保护密码。b) 密码输入后立即加密,敏感信息在应用层保持端到端加密,即保证数据在从源点到终点的过程中始终以密文形式存在。6.1.1.3 登录控制A基本要求:a) 设置连续失败登录次数为 10 次以下,超过限定次数应锁定网上银行登录权限。网上银行
18、系统信息安全通用规范第 13 页 共 41 页b) 退出登录或客户端程序、浏览器页面关闭后,应立即终止会话,保证无法通过后退、直接输入访问地址等方式重新进入登录后的网上银行页面。c) 退出登录时应提示客户取下专用辅助安全设备,例如 USB Key。B增强要求:屏蔽客户端使刚 Ctrl+N 等快捷键等方式重复登录。6。12 专用辅助安全设备安全6.1.2.1 USB KeyA。基本要求:a) 金融机构应使用指定的第三方中立测试机构安全检洲通过的 USB Key。b) 应在安全环境下完成 USB Key 的个人化过程。c) USB Key 应采用具有密钥生成和数字签名运算能力的智能卡芯片,保证敏感
19、操作在 USB Key 内进行。d) USB Key 的主文件(Master File)应受到 COS 安全机制保护,保证客户无法对其进行删除和重建。e) 应保证私钥在生成、存储和使用等阶段的安全: 私钥应在 USB Key 内部生成,不得固化密钥对和用于生成密钥对的素数。 禁止以任何形式从 USB Key 读取或写入私钥。 私钥文件应与普通文件类型不同,应与密钥文件类型相同或类网上银行系统信息安全通用规范第 14 页 共 41 页似。 USB Key 在执行签名等敏感操作前应经过客户身份鉴别。 USB Key 在执行签名等敏感操作时,应具备操作提示功能,包括但不限于声音、指示灯、屏幕显示等形
20、式。f) 参与密钥、PIN 码运算的随机数应在 USB Key 内生成,其随机性指标应符合国际通用标准的要求。g) 密钥文件在启用期应封闭,禁止以添加新密钥文件的方式对密钥进行删除操作。h) 签名交易完成后,状态机鹿立即复位。i) 应保证 PIN 码和密钥的安全: 采刚安全的方式存储和访问 PIN 码、密钥等敏感信息。 PIN 码和密钥(除公钥外 )不能以任何形式输出。 经客户端输入进行验证的 PIN 码在其传输到 USB Key 的过程中,应加密传输,并保证在传输过程中能够防范重放攻击。 PlN 码连续输错次数达到错误次数上限 (不超过 6 次),US8 Key 应锁定。 同一型号 USB
21、Key 在不同银行的网上银行系统中应用时,应使用不同的根密钥,且主控密钥、维护密钥、传输密钥等对称算法密钥应使用根密钥进行分散。j) USB Key 使用的密码算法应经过国家主管部门认定。k) 应设计安全机制保证 USB Key 驱动的安全,防止被篡改或替换。网上银行系统信息安全通用规范第 15 页 共 41 页I) 对 USB Key 固件进行的任何改动,都必须经过归档和审计,以保证 USB Key 中不含隐藏的非法功能和后门指令。m) USB Key 应具备抵抗旁路攻击的能力,包括但不限于: 抗 SPA/DPA 攻击能力 抗 SEMA/DEMA 攻击能力n) 外部环境发生变化时,USB K
22、ey 不应泄漏敏感信息或影响安全功能。外部环境的变化包含但不限于: 高低温 高低电压 强光干扰 电磁干扰 紫外线干扰 静电干扰 电压毛刺干扰B.增强要求:a) USB Key 应能够防远程挟持,例如具有屏幕显示、语音提示、按键确认等功能,可对交易指令完整性进行校验、对交易指令合法性进行鉴别、对关键交易数据进行输入和确认。b) 未经按键确认, USB Key 不得签名和输出,在等待一段时间后,可自动清除数据并复位状态。c) USB Key 应能够自动识别待签名数据的格式,识别后在屏幕上是示签名数据或对其语音提示。网上银行系统信息安全通用规范第 16 页 共 41 页6.1.2.2 文件证书此部分
23、要求仅针对 C/S 模式客户端。A. 基本要求:a) 应强制使用密码保护私钥,防止私钥受到未授权的访问。b) 用于签名的公私钥对应在客户端生成,禁止由服务器生成。私钥只允许在客户端使用和保存。c) 私钥导出时,客户端应对客户进行身份认证,例如验证访问密码等。d) 应支持私钥不可导出选项。e) 私钥备份时,应提示或强制放在移动设备内,备份的私钥应加密保存。B增强要求:在备份或恢复私钥成功后,金融机构应通过第二通信渠道(例如,手机短信)向客户发送提示消息。6.1.2.3 OTP 令牌A. 基本要求:a) 金融机构应使用指定的第三方中立测试机构检测通过的 OTP 令牌设备。b) 口令生成算法应经过国
24、家主管部门认定。c) 动态口令的长度不应少于 6 位。d) 应防范通过物理攻击的手段获取设备内的敏感信息,物理攻击的手段包括但不限于开盖、搭线、复制等。网上银行系统信息安全通用规范第 17 页 共 41 页e) OTP 令牌应具备抵抗旁路攻击的能力,包括但不限于: 抗 SPADPA 攻击能力 抗 SEMADEMA 攻击能力f) 在外部环境发生变化时,OTP 令牌不应泄漏敏感信息或影响安全功能。外部环境的变化包含但不限于: 高低温 强光干扰 电磁干扰 紫外线干扰 静电干扰B. 增强要求:a) 采用基于挑战应答的动态口令,以防范中间人攻击。b) OTP 认证系统应提供双因素认证功能。c) OTP
25、令牌设备应使用 PIN 码保护等措施,确保只有授权客户才可以使用。d) PIN 码和种子应存储在 OTP 令牌设备的安全区域内或使用其他措施对其进行保护。e) PIN 码连续输入错误次数达到错误次数上限(不超过 6 次),OTP令牌应锁定。6.1.2.4 动态密码卡基本要求:a) 动态口令的长度不应少于 6 位。网上银行系统信息安全通用规范第 18 页 共 41 页b) 服务器端应随机产生口令位置坐标。c) 应设定动态密码卡使用有效期,超过有效期应作废。d) 应使用涂层覆盖等方法保护口令。e) 动态密码卡应与客户唯一绑定。6.1.2.5 其他专用辅助安全设备本部分规定的是已使用的其他专用辅助安
26、全设备,如出现新的专用辅助安全设备,可参照 612 节的要求。a) 手机短信动态密码: 基本要求: 开通手机动态密码时,应使用人工参与控制的可靠手段验证客户身份并登记手机号码。更改手机号码时,应对客户的身份进行有效验证。 手机动态密码应随机产生,长度不应少于 6 位。 应设定手机动态密码的有效时间,最长不超过 10 分钟,超过有效时间应立即作废。 交易的关键信息、应与动态密码一起发送给客户,并提示客户确认。b) 指纹识别:基本要求: 如果通过指纹鉴别客户身份,应防止指纹数据被记录和重放。 禁止在远程身份鉴别中采用指纹识别。近距离身份鉴别(例如,网上银行系统信息安全通用规范第 19 页 共 41
27、 页使用专用辅助安全设备对使用者的身份鉴别)可采用指纹识别。6.1.3 网络通信安全本部分内容指数据在网络传输过程中采用的通讯协议和安全认证方式,不包括网络基础设施方面的内容。 6.1.3.1 通讯协议基本要求:a) 应使用强壮的加密算法和安全协议保护客户端与服务器之间所有连接,例如,使用 SSL/TLS 和 IPSEC 协议。b) 如果使用 SSL 协议,应使用 3.0 及以上相对高版本的协议,取消对低版本协议的支持。c) 客户端到服务器的 SSL 加密密钥长度应不低于 128 位;用于签名的 RSA 密钥长度应不低于 1024 位,用于签名的 ECC 密钥长度应不低于 160 位。 d)
28、应可防止对交易报文的重放攻击。6.1.3.2 安全认证A. 基本要求:a) 网上银行服务器与客户端应进行双向身份认证。 b) 整个通讯期间,经过认证的通讯线路应一直保持安全连接状态。c) 网上银行系统应可判断客户的空闲状态,当空闲超过一定时间后,自动关闭当前连接,客户再次操作时必须重新登录。d) 应确保客户获取的金融机构 Web 服务器的根证书真实有效,可网上银行系统信息安全通用规范第 20 页 共 41 页采用的方法包括但不限于:在客户开通网上银行时分发根证书,或将根证书集成在客户端控件下载包中分发等。B增强要求:a) 网上银行系统应判断同一次登录后的所有操作必须使用同一 IP地址和 MAC
29、 地址,否则服务器端自动终止会话。b) 金融机构应使用获得国家主管部门认定的具有电子认证服务许可证的 CA 证书及认证服务。614 服务器端安全6141 网络架构安全基本要求:a) 合理部署网上银行系统的网络架构: 合理划分网络区域,并将网上银行网络与办公网及其他网络进行隔离。 维护与当前运行情况相符的网络拓扑图,并区分可信区域与不可信区域。 采用 IP 伪装技术隐藏内部 IP,防止内部网络被非法访问。 部署入侵检测系统 /入侵防御系统(IDS/IPS),对网络异常流量进行监控。 在所有互联网入口以及隔离区(DMZ)与内部网络之间部署防火墙,对非业务必需的网络数据进行过滤。 采取措施保障关键服
30、务器时间同步,例如,设置网络时间协议(NTP)服务器。网上银行系统信息安全通用规范第 21 页 共 41 页 互联网接入应采用不同电信运营商线路,相互备份且互不影响。 核心层、汇聚层的设备和重要的接入层设备均应双机热备,例如,核心交换机、服务器群接入交换机、重要业务管理终端接入交换机、核心路由器、防火墙、均衡负载器、带宽管理器及其他相关重要设备。 保证网络带宽和网络设备的业务处理能力具备冗余空间,满足业务高峰期和业务发展需要。b) 访问控制: 在网络结构上实现网问的访问控制,采取技术手段控制网络访问权限。 应对重要主机的 IP 地址与 MAC 地址进行绑定。 禁止将管理终端主机直接接入核心交换
31、机、汇聚层交换机、服务器群交换机、网间互联边界接入交换机和其他专用交换机。 明确业务必需的服务和端口,不应开放多余的服务和端口。 禁止开放远程拨号访问。c) 网络设备的管理规范和安全策略: 将关键或敏感的网络设备存放在安全区域,应使用相应的安全防护设备和准入控制手段以及有明确标志的安全隔离带进行保护。 应更改网络安全设备的初始密码和默认设置。 在业务终端与服务器之间通过路由控制建立安全的访问路径。网上银行系统信息安全通用规范第 22 页 共 41 页 指定专人负责防火墙、路由器和 IDS/IPS 的配置与管理,按季定期审核配置规则。 所有设备的安全配置都必须经过审批。 在变更防火墙、路由器和
32、IDS/IPS 配置规则之前,确保更改已进行验证和审批。d) 安全审计和日志: 应对网络设备的运行状况、网络流量、管理员行为等信息进行日志记录,日志至少保存 3 个月。 审计记录应包括但不限于:事件发生的时间、相关操作人员、事件类型、事件是否成功及其他与审计相关的信息。 应根据记录进行安全分析,并生成审计报表。 应对审计记录进行保护,避免被未授权删除、修改或者覆盖。e) 入侵防范: 应严格限制下载和使用免费软件或共享软件,应确保服务器系统安装的软件来源可靠,且在使刚前进行测试。 所有外部存储设备(软盘、移动硬盘、U 盘等)在使用前应进行病毒扫描。 制订合理的 IDS/IPS 的安全配置策略,并
33、指定专人定期进行安全事件分析和安全策略配置优化。 应在网络边界处监视并记录以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP网上银行系统信息安全通用规范第 23 页 共 41 页碎片攻击和网络蠕虫攻击等。 当检测到攻击行为时,记录攻击源 IP、攻击类型、攻击目标和攻击时间,在发生严重入侵事件时应提供报警或自动采取防御措施。基本型网络防护架构参考图和增强型络防护架构参考图分别见附 1和附 2。6.1.4.2 系统设计安全A基本要求:A) 敏感客户参数修改(包括但不限于密码、转账限额、地址以及电话联系方式)应在一次登录过程中进行二次认证( 包括但不限于静态密码+动态
34、密码 )。b) 网上银行系统应具有保存和显示客户历史登录信息( 例如时间、IP地址、MAC 地址等)的功能,支持客户查询登录 (包括成功登录和失败登录)、交易等历史操作。c) 网上银行系统应根据业务必需的原则向客户端提供数据,禁止提供不必要的数据。d) 在显示经认证成功后的客户身份证件信息时,应屏蔽部分关键内 容。e) 网上银行系统应具有详细的交易流水查询功能,包括但不限于日期、时间、交易卡号、交易金额和资金余额等信息。f) 网上银行系统应具有账户信息变动提醒功能,可使用手机短信、电子邮件等方式实时告知客户其账户的资金变化、密码修改等重网上银行系统信息安全通用规范第 24 页 共 41 页要信
35、息。g) 网上银行系统应具有防网络钓鱼的功能,例如显示客户预留信息等。B增强要求:a) 网上银行系统应具有设置交易限额的功能并且具有默认的金额上限。b) 网上银行系统应支持批量银行账号查询功能和线索排查功能。6.1.4.3 web 应用安全 A. 基本要求:a) 资源控制: 应能够对系统的最大并发会话连接数进行限制。 应能够对单个用的多重并发会话进行限制。 应能够对一个时间段内可能的并发会话连接数进行限制。 当应用系统通信双方中的一方在指定时间内未作任何响应,另一方应能够自动结束会话 b) 编码规范约束: 应依据安全规范编写代码,例如,在应用系统开发中,不能在程序中写入固定密钥。 在应用系统上
36、线前,应对程序代码进行代码复审,识别可能的后门程序、恶意代码和安全漏洞,例如,缓冲区溢出漏洞。c) 会话安全:网上银行系统信息安全通用规范第 25 页 共 41 页 会话标识应随机并且唯一。 会话过程中应维持认证状态,防止客户通过直接输入登录后的地址访问登录后的页面。 转账交易后,应确保使用浏览器的“后退”功能无法查看上一交易页面的重要客户信息。 网上银行系统 Web 服务器应用程序应设置客户登录网上银行后的空闲时间,当超过指定时间,应自动终止会话。d) 源代码管理: 源代码应备份在只读介质中(例如光盘) 。 应严格控制对生产版本源代码的访问。 应对生产库源代码版本进行控制,保证当前系统始终为
37、最新的稳定版本。e) 防止敏感信息泄漏: 在网上银行系统上线前,应删除 Web 目录下所有测试脚本、程序。 如果在生产服务器上保留部分与 Web 应用程序无关的文件,应为其创建单独的目录,使其与 Web 应用程序隔离,并对此目录进行严格的访问控制。 禁止在 Web 应刚程序错误提示中包含详细信息,不向客户显示调试信息。 禁止在 Web 应用服务器端保存客户敏感信息。 应对网上银行系统 Web 服务器设置严格的目录访问权限,防网上银行系统信息安全通用规范第 26 页 共 41 页止未授权访问。 统一目录访问的出错提示信息,例如,对于不存在的目录或禁止访问的目录均以“目录不存在”提示客户。 禁止目
38、录列表浏览,防止网上银行站点重要数据被未授权下载。f) 防止 SQ 注入攻击: 网上银行系统 Web 服务器应用程序应对客户提交的所有表单、参数进行有效的合法性判断和非法字符过滤,防止攻击者恶意构造 SQL 语句实施注入攻击。 禁止仅在客户端以脚本形式对客户的输入进行合法性判断和参数字符过滤。 数据库应尽量使用存储过程或参数化查询,并严格定义数据库用户的角色和权限。g) 防止跨站脚本攻击: 应通过严格限制客户端可提交的数据类型以及对提交的数据进行有效性检查等有效措施防止跨站脚本注入。h) 防止拒绝服务攻击:应防范对网上银行服务器端的 DOS/DDOS 攻击。可参考的加固措施包括但不限于: 与电
39、信运营商签署 I)OS/DDOS 防护协议。 防火墙只开启业务必需的端口并开启 DOS/DDOS 防护功能。 使用 DOS/DDOS 防护设备。网上银行系统信息安全通用规范第 27 页 共 41 页 使用 IDS/IPS 设备监控并阻断恶意流量。 使用负载均衡设备。6.1.4.4 数据安全A基本要求:a) 身份鉴别: 应对登录操作系统和数据库的用户进行身份标识和鉴别,严禁匿名登录。 应用系统应启用登录失败处理功能,可采取结束会话。限制非法登录次数和自动退出等措施。 为不同的操作系统和数据库访问用户分配不同的账号并设置不同的初始密码,禁止共享账号和密码。 首次登录应用系统或操作系统时应强制修改密
40、码,定期更改密码。 应要求用户的密码长度最低为 6 位,密码必须包含字母和数字并且最长有效期为 6 个月。 应确保对密码进行强效加密保护,不允许明文密码出现。 在收到用户重置密码的请求后,应先对用户身份进行核实再进行后续操作。 对服务器进行远程管理时,应采取加密通信方式,防止认证信息在网络传输过程中被窃听。b) 访问控制: 根据“业务必需”原则授予不同用户为完成各自承担任务网上银行系统信息安全通用规范第 28 页 共 41 页所需的最小权限,并在它们之间形成相互制约的关系。 明确系统中各类用户的级别及权限,操作系统和数据库特权用户应进行权限分离。 严格限制默认用户的访问权限,重命名系统默认用户
41、,修改默认用户密码,及时删除多余的、过期的用户。 严格控制操作系统重要目录及文件的访问权限。c) 安全审计: 审计范围应覆盖到服务器和管理终端上的每个操柞系统用户和数据库用户。 审计内容应包括重要用户行为、系统资源的异常使用和重要信息系统命令的使用等系统内重要的安全相关事件。 审计记录包括时间、类型、访问者标识、访问对象标识和事件结果。 应根据记录数据进行安全分析,并生成审计报表。 应保护审计记录,避免遭受未授权的删除、修改或覆盖。d) 日志管理: 日志系统应记录系统管理员登录的时间、登录系统的方式、失败的访问尝试、系统管理员的操作以及其他涉及数据安全的访问记录。 严格控制系统日志的访问权限,
42、只有工作需要并通过审批的岗位人员才能查看系统日志。 定期检查日志,对其中可疑的记录进行分析审核。网上银行系统信息安全通用规范第 29 页 共 41 页 配置专门的日志服务器,及时将日志备份到日志服务器或安全介质内。e) 灾难备份和恢复: 应建立重要数据的定期数据备份机制,至少每天进行一次完整的数据增量备份,并将备份介质存放在安全区域内。 应对关键数据进行同城和异地的实时备份,保证业务应用能够实现实时切换。 应制订灾难恢复计划并定期进行测试,确保各个恢复程序的正确性和计划整体的有效性。B增强要求:a) 采用监控软件保证日志的一致性与完整性。b) 保护审计进程,避免遭受未预期的中断。6.2 安全管
43、理规范6.2.1 组织机构基本要求:a) 金融机构应设置独立的网上银行系统研发、测试、集成、运行维护、管理等部门或团队。b) 金融机构应制订明确的网上银行部门章程并详细定义各部门人员配置。c) 金融机构应建立风险管理架构,相关人员应详细了解本单位网上银行研发、运行及管理机构职责设置。622 管理制度网上银行系统信息安全通用规范第 30 页 共 41 页基本要求:a) 金融机构应建立安全管理制度体系,明确工作职责、规范工作流程、降低安全风险: 应制订网上银行安全管理工作的总体方针和策略。 应建立贯穿网上银行系统设计、编码、测试、集成、运行维护以及评估、应急处置等过程,并涵盖安全制度、安全规范、安
44、全操作规程和操作记录手册等方面的信息安全管理制度体系。b) 金融机构应指定或授权专门的部门或人员负责安全管理制度的制订。c) 金融机构应定期组织相关部门和人员对安全管理制度体系的合理性和适用性进行审计,及时针对安全管理制度的不足进行修订。6.2.3 安全策略A基本要求:a) 金融机构应制订明确的网上银行系统总体安全保障目标。b) 金融机构应制订针对网上银行系统设计与开发、测试与验收、运行与维护、备份与恢复、应急事件处置以及客户信息保密等的安全策略。c) 金融机构应制订网上银行系统使用的网络设备、安全设备的配置和使用的安全策略。d) 金融机构应维护详细的资产清单,资产清单应包括资产的价值、所有人、管理员、使用者和安全等级等条目,并根据安全等级制
