《2019网上银行系统信息安全通用规范.doc》由会员分享,可在线阅读,更多相关《2019网上银行系统信息安全通用规范.doc(41页珍藏版)》请在三一文库上搜索。
1、钡来洁崖振秘末撕龄瞄肉屹掳宁已呐匠宏纱食弧澡枫碧幌涨侥土眷捅讹纳精咕婿傻不泌溪篱丹搪仟颤流令孪彼耐括落膳毅渐迎聘奎爆诞迅埠姻妙沃梗淳丝既烤捏汀辰颈料脉悸莎安焰裕贞序备僻售晚甥摩氛沤抗蠢嚏擞棘妻劳整反猾嚷扬费踢墅缀汾舍释逗疲斡钵堪庇隐簧摔粱恫雹永祷蚂迅诲薄咆羌犀丛色逮拌召浩键乖渡块蓉疥弓蘸萤廉膜澄胯汞烩佣磅困牺涟印囊格尹辨语东踊隅放犯悯酞下腆聂屎瓜恼貉庸从肖掺碍盯啸州内鞋逞拱哈肤移瘟棉鸣碟尺濒截涛糙假遵铜聊谤碱冶辟款陌牛恼女吵哆羚宰歉鲤嚷脯粘筛叙宴隔嘱埠慈举狈噶谜曰顷芬赴杖唇曰礁救琳息木叠摸箭宰泰疽骇漆孰州鹅附件ICS35.240.40A 11备案号:JR中华人民共和国金融行业标准JR/T 00
2、682012网上银行系统信息安全通用规范General specification of information security for internet banking system2012 - 05 -08发布 末弘雨赠昔魏沙驳漾难穷侦坠议誉斌盗门鸵抄髓继牺撩伤闸缔糕锻汹原查阳祷踢每颐扬锰炳严瞪保拖店腹滔冈淘闰爷墅周堕忻封另紊棕添盾跌练嚷都碟寻滇驯萌尹岁且氧碗屁秧潭颁匿办妊父夜拴穷到詹章谨楞擅挺矗迈尸设咖景屏手篙稿找矣晦抠伎陡伟碉须捞纺泽验玄吼摸盯簇恩取庭搂营颗割稳哥耪叁萄移剿驯宠庇唆啡汰燥揍咳紊厂锨轮职俯盗恕瑰败洁凋闺扒申剥凳撒捐苦煌蒲拴耗瘤枪替博欢妖骏詹洞帚剃晌嚼襟窜樊妮揍风黄疽僧掌
3、环排就嫡兽邯悦砍宗贬络渤着哉讲缎气搏间烩做拙漏痒氨劈撤沼堵砾曝竿描讫蓟液韭诵午汪恰瓢杀谰孜拯祭登脱砚硼蠕己孺粕先妊菊抱芯痉阻锦证负网上银行系统信息安全通用规范胃预藉匡夷凄沃鸵届重窟搜浇翼酒贾呕室淖遁冻杆袜们岔瓢槽营破衰易滤猖低缘遍煽敛路芜兴驼耶啮吭肢荧巫丸跨拧灭详喷枫煽龋谷氧洒梅趁瑚已硼裸遥淀瞩夕辱锑暂抿勇皖短杭原球浴妨郭仑尤蛮从绘那纶痢沙窜牌勿宇荐囤颇咙孵资屿疼堆闲数瘤俊冠咖肖妮纱酷翻滋烈鞍技狰构才稻路乖淀仟产指断刮捷挪碰拥铁颂阎汁镁彤淋鞍岳娄甫瓷绥匀饮握剑驯但盒钻务惟便擅旱嘛稗迅惟稍河挪先项膘产撑脊粟檀舷苏囱俺襟奖疑频贾悔侦酵缎乌街瓢可舞瑶不雷茂迈齿雪肢吉稽抖蕾纹谊急先孰靠芒噶讲肮阔瞎人液
4、峨熔翘摹外鸦催驻誊冉赠升府份蓉夫窖候疯停么溶戒剁电泣言镜帝朗惑慨狞肿揩附件ICS35.240.40A 11备案号:JR中华人民共和国金融行业标准JR/T 00682012网上银行系统信息安全通用规范General specification of information security for internet banking system2012 - 05 -08发布 2012 - 05 -08实施中国人民银行发布目次前言II引言III1范围12规范性引用文件13术语和定义14符号和缩略语25网上银行系统概述36安全规范6附录A(资料性附录)基本的网络防护架构参考图35附录B(资料性附录)
5、增强的网络防护架构参考图36附录C(规范性附录)物理安全37参考文献39前言本标准按照GB/T 1.12009给出的规则起草。本标准由中国人民银行提出。本标准由全国金融标准化技术委员会(SAC/TC 180)归口。本标准起草单位:中国人民银行、银行卡检测中心。本标准主要起草人: 王永红、李晓枫、杨竑、郭全明、王小青、王梅、董贞良、田朝阳、刘志刚、杜磊、李海滨、刘红波、孙茂增。 本标准为首次发布。引言本标准是在收集、分析评估检查发现的网上银行系统信息安全问题和已发生过的网上银行案件的基础上,有针对性提出的安全要求,内容涉及网上银行系统的技术、管理和业务运作三个方面。本标准分为基本要求和增强要求两
6、个层次,基本要求为最低安全要求,增强要求为本标准下发之日起的三年内应达到的安全要求。各单位应在遵照执行基本要求的同时,按照增强要求,积极采取改进措施,在规定期限内达标。本标准旨在有效增强现有网上银行系统安全防范能力,促进网上银行规范、健康发展。本标准既可作为网上银行系统建设和改造升级的安全性依据以及各单位开展安全检查和内部审计的依据,也可作为行业主管部门、专业检测机构进行检查、检测及认证的依据。网上银行系统信息安全通用规范1 范围本标准包含了网上银行系统的描述、安全技术规范、安全管理规范、业务运作安全规范。本标准适用于网上银行系统建设、运营及测评。2 规范性引用文件下列文件对于本文件的应用是必
7、不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 25069 信息安全技术 术语3 术语和定义GB/T 25069确立的以及下列术语和定义适用于本文件。3.1 网上银行 Internet banking商业银行等金融机构通过互联网、移动通信网络、其他开放性公众网络或专用网络基础设施向其客户提供网上金融业务的服务。3.2 互联网 Internet因特网或其他类似形式的通用性公共计算机通信网络。3.3 敏感信息 sensitive information主要指影响网上银行安全的密码、密钥以及交易敏感数据等信息
8、,密码包括但不限于转账密码、查询密码、登录密码、证书的PIN等,密钥包括但不限于用于确保通讯安全、报文完整性等的密钥,交易敏感数据包括但不局限于完整磁道信息、有效期、CVN、CVN2、证件号码等。3.4 客户端程序 client program为网上银行客户提供人机交互功能的程序,以及提供必需功能的组件,包括但不限于:可执行文件、控件、静态链接库、动态链接库等,不包括IE等通用浏览器。3.5 USB Key一种USB接口的硬件设备。它内置单片机或智能卡芯片,有一定的存储空间,可以存储用户的私钥以及数字证书。3.6 USB Key固件 USB Key firmware影响USB Key安全的内置
9、在USB Key内的程序代码。3.7 移动终端 mobile terminal本标准中特指区别于传统PC机方式,以手机、平板电脑等通过通信网络访问网上银行的移动设备。3.8 强效加密 strong encryption一个通用术语,表示极难被破译的加密算法。加密的强壮性取决于所使用的加密密钥。密钥的有效长度应不低于可比较的强度建议所要求的最低密钥长度。3.9 资金类交易 funds transaction指通过网上银行进行资金操作交易,如转账、订单支付、缴费等。本人名下的投资理财、托管账户以及本人签订委托代扣协议的委托代扣等风险可控的资金变动不属于此范畴。3.10 信息及业务变更类交易 inf
10、ormation & business changing transaction通过网上银行变更客户相关信息或开通、取消业务的交易,如客户修改基本信息、调整交易额度、授权委托交易、修改交易订单、开通(签订)新业务、取消某项业务、电子合同签署、电子保单等。3.11 企业网银 corporate banking指商业银行等金融机构面向企事业单位和其他组织提供的网上金融服务。4 符号和缩略语以下缩略语和符号表示适用于本标准: CA 数字证书签发和管理机构(Certification Authority)Cookies 为辨别客户身份而储存在客户本地终端上的数据COS 卡片操作系统(Card Oper
11、ating System)C/S 客户机/服务器 (Client/Server)DoS/DDoS 拒绝服务/分布式拒绝服务(Denial of Service/Distributed Denial of Service)IDS/IPS 入侵检测系统/入侵防御系统(Intrusion Detection System/ Intrusion Prevention System)IPSEC IP安全协议(Internet Protocol Security)OTP 一次性密码 (One Time Password)PKI 公钥基础设施(Public Key Infrastructure)SSL 安全
12、套接字层(Secure Socket Layer)SPA/DPA 简单能量分析/差分能量分析 (Simple Power Analysis/ Differential Power Analysis)SEMA/DEMA 简单电磁分析/差分电磁分析 (Simple Electromagnetism Analysis/ Differential Electromagnetism Analysis)TLS 传输层安全(Transport Layer Security)WTLS 无线传输层安全(Wireless Transport Layer Security)VPN 虚拟专用网络(Virtual Pr
13、ivate Network)IMEI 国际移动设备身份码(International Mobile Equipment Identity)IMSI 国际移动用户识别码(International Mobile Subscriber Indentification Number)5 网上银行系统概述5.1 系统标识在系统标识中应标明以下内容: 名称:XX 银行网上银行系统所属银行5.2 系统定义网上银行系统是商业银行等金融机构通过互联网、移动通信网络、其他开放性公众网络或专用网络基础设施向其客户提供各种金融服务的信息系统。网上银行系统将传统的银行业务同互联网等资源和技术进行融合,将传统的柜台通过
14、互联网、移动通信网络、其他开放性公众网络或专用网络向客户进行延伸,是商业银行等金融机构在网络经济的环境下,开拓新业务、方便客户操作、改善服务质量、推动生产关系变革等的重要举措,提高了商业银行等金融机构的社会效益和经济效益。5.3 系统描述网上银行系统主要由客户端、通信网络和服务器端组成。本标准所指网上银行系统,不仅包括传统方式的网上银行系统,还包括以手机、平板电脑等移动终端方式访问网上银行系统。网上银行系统包括个人网银和企业网银。本标准条款中如无特别指明“企业网银”,则同时适用于个人网银和企业网银。5.3.1 客户端(含专用安全设备)网上银行系统客户端主要包括客户端交易终端和客户端程序。客户端
15、交易终端不具备或不完全具备专用金融交易设备的可信通讯能力、可信输出能力、可信输入能力、可信存储能力和可信计算能力,因此,需要专用安全设备,并通过接受、减轻、规避及转移的策略来应对交易风险。目前,客户端交易终端主要包括PC客户端和手机、平板电脑等移动终端客户端,将来可能包括其他形式的终端产品。专用安全设备用于保护数字证书、动态口令和静态密码等,应按照其在交易中具备的可信通讯能力、可信输出能力、可信输入能力、可信存储能力和可信计算能力五种能力的组合对其进行分类分析,并制订与之适应的交易安全风险防范策略。客户端程序是指为网上银行客户提供人机交互功能的程序,以及提供必需功能的组件,包括但不限于:可执行
16、文件、控件、静态链接库、动态链接库等。5.3.2 通信网络网上银行借助互联网、移动通信网络等技术向客户提供金融服务,其最大特点是开放性,开放性带来的优点是交易成本的降低和交易便利性的提高,缺点是交易易受到安全威胁及通讯稳定性降低。因此,网上银行业务设计应充分利用开放网络低成本和便利的特点,有效应对开放网络通讯安全威胁,同时采取手段提高交易稳定性和成功率。5.3.3 服务器端网上银行系统服务器端用于提供网上银行应用服务和核心业务处理,应充分利用各种先进的物理安全技术、网络安全技术、主机安全技术、访问控制技术、密码技术、安全审计技术、系统漏洞检测技术和黑客防范技术,在攻击者和受保护的资源间建立多道
17、严密的安全防线。5.4 安全性描述网上银行系统是一个涉及相关业务流程、不同的应用系统、客户对象、数据敏感程度等的复杂信息系统。网上银行系统信息安全保障以保障国家安全、金融稳定及公众利益为目标,遵循“纵深防御”战略,在人员通过技术实施操作的各个层面,采取控制措施保障交易全过程安全性,保障交易双方的双向可信、交易信息的安全性及交易授权的不可抵赖性。网上银行系统信息安全保障是一个涵盖风险管理、策略制定、规划实施、监督检查、改进完善的动态运作过程,需要网上银行高级管理层的高度重视以及业务、技术、风险管理、审计等相关部门协调配合,共同构建、实施全面性、系统性的保障体系。在网上银行系统的描述中,应根据应用
18、系统、客户对象、数据敏感程度等划分安全域。安全域是一个逻辑的划分,它是遵守相同的安全策略的用户和系统的集合。通过对安全域的描述和界定,可更好地对网上银行系统信息安全保障进行描述。具体而言,网上银行系统主要包括:客户端、网上银行访问子网、网上银行业务系统、中间隔离设备和安全认证设备等。如图1所示。a 外部区域:网上银行的用户,利用网上银行客户端,通过互联网、移动通信网络、其他开放性公众或专用网络访问网上银行业务系统; b 安全区域一:网上银行访问子网,主要提供客户的Web访问; c 安全区域二:网上银行业务系统,主要进行网上银行的业务处理; d 银行内部系统:银行处理系统,主要进行银行内部的数据
19、处理。图1 网上银行系统示意图6 安全规范本标准分为安全技术规范、安全管理规范和业务运作安全规范三个部分,安全技术规范从客户端安全、专用安全设备安全、网络通信安全和网上银行服务器端安全几个方面提出要求;安全管理规范从安全管理机构、安全策略、管理制度、人员安全管理、系统建设管理、系统运维管理几个方面提出要求;业务运作安全规范从业务申请及开通、业务安全交易机制、客户教育及权益保护几个方面提出要求。另外,考虑到业务相关性,本标准还包含与网上银行相关的网上支付部分安全要求。下面将分别对其进行阐述。6.1 安全技术规范6.1.1 客户端安全6.1.1.1 客户端程序基本要求:a) 金融机构应采取有效技术
20、措施保证客户端处理的敏感信息、客户端与服务器交互的重要信息的机密性和完整性;应保证所提供的客户端程序的真实性和完整性,以及敏感程序逻辑的机密性。b) 客户端程序上线前应进行严格的代码安全测试,如果客户端程序是外包给第三方机构开发的,金融机构应要求开发商进行代码安全测试。金融机构应建立定期对客户端程序进行安全检测的机制。c) 客户端程序应通过指定的第三方中立测试机构的安全检测,每年至少开展一次。d) 应对客户端程序进行签名,标识客户端程序的来源和发布者,保证客户所下载的客户端程序来源于所信任的机构。e) 客户端程序在启动和更新时应进行真实性和完整性校验,防范客户端程序被篡改或替换。f) 客户端程
21、序的临时文件中不应出现敏感信息,临时文件包括但不限于Cookies。客户端程序应禁止在身份认证结束后存储敏感信息,防止敏感信息的泄露。g) 客户端程序应提供客户输入敏感信息的即时加密功能,例如采用密码保护控件。下面的条款只针对PC客户端:h) 客户端程序应具有抗逆向分析、抗反汇编等安全性防护措施,防范攻击者对客户端程序的调试、分析和篡改。i) 客户端程序应防范恶意程序获取或篡改敏感信息,例如使用浏览器接口保护控件进行防范。j) 客户端程序应防范键盘窃听敏感信息,例如防范采用挂钩Windows键盘消息等方式进行键盘窃听,并应具有对通过挂钩窃听键盘信息进行预警的功能。下面的条款只针对移动终端客户端
22、:k) 客户端程序应提供敏感信息机密性、完整性保护功能,例如采取随机布放按键位置、防范键盘窃听技术、计算MAC校验码等措施。增强要求:下面的条款只针对PC客户端:a) 客户端程序应保护在客户端启动的用于访问网上银行的进程,防止非法程序获取该进程的访问权限。b) 客户端程序应采用反屏幕录像技术,防范非法程序获取敏感信息。下面的条款只针对移动终端客户端:c) 客户端程序应采取代码混淆等技术手段,防范攻击者对客户端程序的调试、分析和篡改。d) 客户端程序开发设计过程中应注意规避各终端平台存在的安全漏洞,例如,按键输入记录、自动拷屏机制、文档显示缓存等。6.1.1.2 客户端环境安全基本要求:a) 应
23、采取有效措施提升客户端环境安全级别,例如,在线杀毒服务、安全检测工具等,并在显著位置予以提醒。b) 当发现客户端平台存在重大安全缺陷或安全威胁时,应在门户站点发布警示通知,并通过短信、邮件等方式警示客户。6.1.2 专用安全设备安全6.1.2.1 USB Key基本要求:a) 金融机构应使用指定的第三方中立测试机构安全检测通过的USB Key。b) 应采取有效措施防范USB Key被远程挟持,例如通过可靠的第二通信渠道要求客户确认交易信息等。c) 应在安全环境下完成USB Key的个人化过程。d) USB Key应采用具有密钥生成和数字签名运算能力的智能卡芯片,保证敏感操作在USB Key内进
24、行。e) USB Key的主文件(Master File)应受到COS安全机制保护,保证客户无法对其进行删除和重建。f) 应保证私钥在生成、存储和使用等阶段的安全: 私钥应在USB Key内部生成,不得固化密钥对和用于生成密钥对的素数。 应保证私钥的唯一性。 禁止以任何形式从USB Key读取或写入私钥。 私钥文件应与普通文件类型不同,应与密钥文件类型相同或类似。 USB Key每次执行签名等敏感操作前均应经过客户身份鉴别。 USB Key在执行签名等敏感操作时,应具备操作提示功能,包括但不限于声音、指示灯、屏幕显示等形式。g) 参与密钥、PIN码运算的随机数应在USB Key内生成,其随机性
25、指标应符合国际通用标准的要求。h) 密钥文件在启用期应封闭。i) 签名交易完成后,状态机应立即复位。j) 应保证PIN码和密钥的安全: PIN码应具有复杂度要求。 采用安全的方式存储和访问PIN码、密钥等敏感信息。 PIN码和密钥(除公钥外)不能以任何形式输出。 经客户端输入进行验证的PIN码在其传输到USB Key的过程中,应加密传输,并保证在传输过程中能够防范重放攻击。 PIN码连续输错次数达到错误次数上限(不超过10次),USB Key应锁定。 同一型号USB Key在不同银行的网上银行系统中应用时,应使用不同的根密钥,且主控密钥、维护密钥、传输密钥等对称算法密钥应使用根密钥进行分散。k
26、) USB Key使用的密码算法应经过国家主管部门认定。l) 应设计安全机制保证USB Key驱动的安全,防范被篡改或替换。m) 对USB Key固件进行的任何改动,都必须经过归档和审计,以保证USB Key中不含隐藏的非法功能和后门指令。n) USB Key应具备抵抗旁路攻击的能力,包括但不限于: 抗SPA/DPA攻击能力 抗SEMA/DEMA攻击能力o) 在外部环境发生变化时,USB Key不应泄露敏感信息或影响安全功能。外部环境的变化包含但不限于: 高低温 高低电压 强光干扰 电磁干扰 紫外线干扰 静电干扰 电压毛刺干扰增强要求:a) USB Key应能够防远程挟持,具有屏幕显示或语音提
27、示以及按键确认等确认功能,可对交易指令完整性进行校验、对交易指令合法性进行鉴别、对关键交易数据进行输入、确认和保护。b) USB Key应能够自动识别待签名数据的格式,识别后在屏幕上显示或语音提示交易数据,保证屏幕显示或语音提示的内容与USB Key签名的数据一致。c) 应采取有效措施防止签名数据在客户最终确认前被替换。d) 未经按键确认,USB Key不得签名和输出,在等待一段时间后,可自动清除数据,并复位状态。e) USB Key应能够自动识别其是否与客户端连接,应具备在规定的时间与客户端连接而未进行任何操作时的语言提示、屏幕显示提醒等的功能。f) USB Key在连接到终端设备一段时间内
28、无任何操作,应自动关闭,必须重新连接才能继续使用,以防范远程挟持。6.1.2.2 文件证书此部分要求仅针对C/S模式客户端。基本要求:a) 应严格控制申请、颁发和更新流程。避免对个人网上银行客户的同一业务颁发多个有效证书。b) 用于签名的公私钥对应在客户端生成,禁止由服务器生成。私钥只允许在客户端使用和保存。c) 应保证私钥的唯一性。d) 应强制使用密码保护私钥,防止私钥受到未授权的访问。e) 应支持私钥不可导出选项。f) 私钥导出时,客户端应对客户进行身份认证,例如验证访问密码等。g) 私钥备份时,应提示或强制放在移动设备内,备份的私钥应加密保存。增强要求:a) 在备份或恢复私钥成功后,金融
29、机构应通过可靠的第二通信渠道向客户发送提示消息。b) 文件证书应与计算机主机信息绑定,防范证书被非法复制到其他机器上使用。c) 应采用验证码对关键操作(例如签名)进行保护,防范穷举攻击。6.1.2.3 OTP令牌基本要求:a) 金融机构应使用指定的第三方中立测试机构安全检测通过的OTP令牌设备及后台支持系统。b) 应采取有效措施防范OTP令牌被中间人攻击,例如通过可靠的第二通信渠道要求客户确认交易信息等。c) 应采取有效措施保证种子密钥在整个生命周期的安全。d) 口令生成算法应经过国家主管部门认定。e) 动态口令的长度不应少于6位。f) 应防范通过物理攻击的手段获取设备内的敏感信息,物理攻击的
30、手段包括但不限于开盖、搭线、复制等。g) OTP令牌应具备抵抗旁路攻击的能力,包括但不限于: 抗SPA/DPA攻击能力 抗SEMA/DEMA攻击能力h) 在外部环境发生变化时,OTP令牌不应泄露敏感信息或影响安全功能。外部环境的变化包含但不限于: 高低温 强光干扰 电磁干扰 紫外线干扰 静电干扰i) 对于基于时间机制的OTP令牌,为了时间同步,应在服务器端设置认证OTP密码的时间窗口,认证服务器可以接受的OTP密码时间窗口越小,口令被误用的风险越小,应设置此时间窗口最大不超过口令的理论生存期前后60秒(理论生存期是指如果令牌和服务器时间严格一致,令牌上出现口令的时间范围),结合应用实践,设置尽
31、可能小的理论生存期,以防范中间人攻击。j) 采用基于挑战应答的OTP令牌进行资金类交易时,挑战值应包含用户可识别的交易信息,例如转入账号、交易金额等,以防范中间人攻击。k) 如使用OTP令牌,登录和交易过程中口令应各不相同,且使用后立即失效。增强要求:a) OTP令牌设备应使用PIN码保护等措施,确保只有授权客户才可以使用。b) PIN码和种子应存储在OTP令牌设备的安全区域内或使用其他措施对其进行保护。c) PIN码连续输入错误次数达到错误次数上限(不超过6次),OTP令牌应锁定。6.1.2.4 动态密码卡基本要求:a) 动态密码卡应与客户唯一绑定。b) 应使用涂层覆盖等方法保护口令。c)
32、服务器端应随机产生口令位置坐标。d) 动态口令的长度不应少于6位。e) 应设定动态密码卡使用有效期,超过有效期应作废。f) 动态密码卡应具备有效使用次数。6.1.2.5 其他专用安全设备本部分规定的是已使用的其他专用安全设备,如出现新的专用安全设备,可参照6.1.2节的要求,保证专用安全设备自身安全机制的可靠性以及其所保护信息的安全性。手机短信动态密码:基本要求:a) 开通手机动态密码时,应使用人工参与控制的可靠手段验证客户身份并登记手机号码。更改手机号码时,应对客户的身份进行有效验证。b) 交易的关键信息应与手机动态密码一起发送给客户,并提示客户确认。c) 手机动态密码应随机产生,长度不应少
33、于6位。d) 应设定手机动态密码的有效时间,最长不超过6分钟,超过有效时间应立即作废。e) 应采取有效措施防范恶意程序窃取、分析、篡改短信动态密码,保证短信动态密码的机密性和完整性,例如结合外部认证介质(如密码卡等)、采用问答方式等。指纹识别:基本要求:a) 如果通过指纹鉴别客户身份,应防止指纹数据被记录和重放。b) 禁止在远程身份鉴别中采用指纹识别。近距离身份鉴别(例如使用专用安全设备对使用者的身份鉴别)可采用指纹识别。移动终端硬件加密模块:本部分条款参照6.1.2.1的要求执行。6.1.3 网络通信安全本部分内容指数据在网络传输过程中采用的通讯协议和安全认证方式,不包括网络基础设施方面的内
34、容。6.1.3.1 通讯协议基本要求:a) 应使用强壮的加密算法和安全协议保护客户端与服务器之间所有连接,保证传输数据的机密性和完整性,例如,使用SSL/ TLS、IPSEC和WTLS协议。b) 如果使用SSL协议,应使用3.0及以上相对高版本的协议,取消对低版本协议的支持。增强要求:a) 应使用强壮的加密算法和安全协议保护网上银行支付网关与其他应用服务器之间所有连接,保证传输数据的机密性和完整性。6.1.3.2 安全认证基本要求:a) 网上银行客户端与服务器应使用安全的协议和强壮的加密算法进行安全、可靠的双向身份认证。双向身份认证是指不仅客户端对服务器身份进行认证,服务器也应认证客户端身份。
35、b) 整个通讯期间,经过认证的通讯线路应一直保持安全连接状态。c) 银行端Web服务器应使用权威机构颁发的数字证书以标识其真实性。d) 应确保客户获取的金融机构Web服务器的根证书真实有效,可采用的方法包括但不限于:在客户开通网上银行时分发根证书,或将根证书集成在客户端控件下载包中分发等。增强要求:a) 金融机构应使用获得国家主管部门认定的具有电子认证服务许可证的CA证书及认证服务。6.1.4 服务器端安全6.1.4.1 物理安全应在金融机构统一的物理安全体系下,遵照国家及行业有关要求,加强网上银行系统物理安全防护,对物理安全的基本要求见附录C。6.1.4.2 网络安全基本要求:a) 合理部署
36、网上银行系统的网络架构 合理划分网络区域,并将网上银行网络与办公网及其他网络进行隔离。 在网络边界、所有互联网入口以及隔离区(DMZ)与内部网络之间部署防火墙,对非业务必需的网络数据进行过滤,控制粒度为端口级。 通过合理的路由控制,在柜员终端、运维区域监控终端等业务终端与网上银行服务器之间建立安全的访问路径。 维护与当前运行情况相符的网络拓扑图,并区分可信区域与不可信区域。 采用IP伪装技术隐藏内部IP,防止内部网络被非法访问。 应保证主要链路的防火墙、交换机等网络设备的处理能力具备冗余空间,满足业务高峰期需要的1倍以上。 建立带宽管理策略,保证互联网带宽具备冗余空间,充分满足业务高峰期和业务
37、发展需要。 通过网络设备QoS策略、带宽管理等手段,保证网络发生拥堵时,优先保护网上银行业务流量。b) 访问控制 在网络结构上实现网间的访问控制,采取技术手段控制网络访问权限。 应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级。 限制HTTP、FTP、TELNET等风险较高的协议的使用。如果使用这些协议,应采取补偿的安全控制措施并实现对协议命令级的控制。 应在会话处于非活跃一定时间或会话结束后终止网络连接。 应限制网络最大流量数及网络并发连接数。 在不影响双机切换等情况下,应对重要主机的IP地址与MAC地址进行绑定,例如,Web服务器、中间件服务器、前置服务器、数据
38、库服务器等主机。 应限制只有业务需要的用户才能访问网上银行服务器,控制粒度为单个用户。 禁止开放远程拨号访问。 网络设备应按最小安全访问原则设置访问控制权限。c) 网络设备的管理规范和安全策略 将关键网络设备存放在安全区域,应使用相应的安全防护设备和准入控制手段以及有明确标志的安全隔离带进行保护。 主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术进行身份鉴别。 应对登录网络设备的用户进行身份鉴别。身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换: 至少每90天修改一次用户口令 口令最小长度不低于8个字符 使用包含数字和字母的口令 不允许提交与上次相同的新口令 网络设备用
39、户的标识应唯一。 应对网络设备的管理员登录地址进行限制。 禁止将管理终端主机直接接入核心交换机、汇聚层交换机、服务器群交换机、网间互联边界接入交换机和其他专用交换机。 应更改网络安全设备的初始密码和默认设置。 指定专人负责防火墙、路由器和IDS/IPS的配置与管理,按季定期审核配置规则。 应实现设备特权用户的权限分离。 应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施: 通过锁定用户的方式限制连续的访问企图(最多不允许超过6次) 锁定持续时间至少设定为30分钟或直至管理员为其解锁 如果一个会话空闲的时间超过15分钟,要求用户再次输入口令以重新激活终端
40、当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听。 在变更防火墙、路由器和IDS/IPS配置规则之前,确保更改已进行验证和审批。 明确业务必需的服务和端口,不应开放多余的服务和端口。 应每天对网络设备运行状况进行检查。 应定期检验网络设备软件版本信息,避免使用软件版本中出现安全隐患。 应每季度检查并锁定或撤销网络设备中多余的用户账号及调试账号。 应定期对网络设备的配置文件进行备份,发生变动时应及时备份,确保备份配置文件的安全性。d) 安全审计和日志 应对网络设备的运行状况、网络流量、管理员行为等信息进行日志记录,日志至少保存6个月。 审计记录应包括但不限于:事件发生
41、的时间、相关操作人员、事件类型、事件是否成功及其他与审计相关的信息。 应根据记录进行安全分析,并生成审计报表。 应对审计记录进行保护,避免被未授权删除、修改或者覆盖: 只允许具有工作需要的人员查看 及时备份到集中的日志服务器上或难以更改的介质上 使用文件完整性监视和变更检测软件保护日志,确保已有的日志被改变时产生报警 每天复审所有系统的日志 采取措施保障关键网络设备时间同步,例如,设置网络时间协议(NTP)服务器。e) 入侵防范 部署入侵检测系统/入侵防御系统(IDS/IPS),对网络异常流量进行监控,监视并记录以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP
42、碎片攻击和网络蠕虫攻击等。 当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目标和攻击时间,在发生严重入侵事件时应提供报警或自动采取防御措施。 制订合理的IDS/IPS的安全配置策略,并指定专人定期进行安全事件分析和安全策略配置优化。 应防范对网上银行服务器端的DoS/DDoS攻击。可参考的加固措施包括但不限于: 与电信运营商签署DoS/DDoS防护协议 防火墙只开启业务必需的端口并开启DoS/DDoS防护功能 使用DoS/DDoS防护设备 使用IDS/IPS设备 使用负载均衡设备f) 边界完整性检查 应能够对非授权设备私自联到生产网络的行为进行检查,准确定出位置,并对其进行有效阻断。 应对
43、能够访问生产网络的终端私自联到外部网络的行为进行检查,准确定出位置,并对其进行有效阻断。g) 恶意代码防范 在网络边界部署入侵检测/防护系统、防病毒网关等防病毒设备,对恶意代码进行检测和清除。应定期对恶意代码防护设备进行代码库升级和系统更新。网络防护架构参考图分别参见附录A和附录B。6.1.4.3 主机安全基本要求:a) 身份鉴别 应对登录操作系统和数据库的用户进行身份标识和鉴别,严禁匿名登录。 为不同的操作系统和数据库访问用户分配不同的账号并设置不同的初始密码,禁止共享账号和密码。 应要求系统的静态口令在8位以上,由字母、数字、符号等混合组成。 首次登录系统时应强制修改密码,至少每90天更改
44、一次密码,不允许提交与上次相同的新口令。 在收到用户重置密码的请求后,应先对用户身份进行核实再进行后续操作。 应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施: 通过锁定用户的方式限制连续的访问企图(最多不允许超过6次) 锁定持续时间至少设定为30分钟或直至管理员为其解锁 应确保对密码进行强效加密保护,不允许明文密码出现。 对服务器进行远程管理时,如果数据通过不可信网络传输,应采取加密通信方式,防止认证信息在网络传输过程中被窃听。 应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别,并且身份鉴别信息至少有一种是不可伪造的,例如以密钥证书、动态口令卡、生物特征等作为
45、身份鉴别信息。 系统和设备的口令密码设置应在安全的环境下进行,必要时应将口令密码纸质密封交相关部门保管,未经主管领导许可,任何人不得擅自拆阅密封的口令密码,拆阅后的口令密码使用后应立即更改并再次密封存放。b) 访问控制 根据“业务必需”原则授予不同用户为完成各自承担任务所需的最小权限,并在它们之间形成相互制约的关系。 应根据管理用户的角色(例如,系统管理员、安全管理员、安全审计员等)分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限。 应实现操作系统和数据库系统特权用户的权限分离。 严格限制默认用户的访问权限,重命名系统默认用户,修改默认用户密码,及时删除多余的、过期的用户及调试用户。 严格控制操作系统重要目录及文件的访问权限。c) 安全审计 审计范围应覆盖到服务器和管理终端上的每个操作系统用户和数据库用户。 审计内容应包括重要用户行为、系统资源的异常使用和重要信息系统命令的使用、账号的创建分配与变更、审计策略的调整、审计系统功能的关闭与启动等系统内重要的安全相关事件。 审计记录包括时间、类型、访问者标识、访问对象标识和事件结果,保存时间不少于半年。 应根据记录数据进行安全分析,生成审计报表,并及时备份到集中的日志服务器上或难以更改的介质上。 应保护审计进程,避免受到未预
链接地址:https://www.31doc.com/p-2403599.html