《网上银行系统信息安全通用规范》.pdfVIP

网网上上银银行行系系统统信信息息安安全全通通用用规规范范 General specification of information security for internet banking system 2012-05-08发布　　　　　 2012-05-08实施 中国人民银行发布 目次 前言 引言 1范围 2规范性引用文 3术语和定义 4符号和缩略语 5网上银行系统概述 6安全规范 附录A （资料性附录）基本的网络防护架构参考图 附录B （资料性附录）增强的网络防护架构参考图 附录 （规范性附录）物理安全 参考文献 前前言言 　　本标准按照GB/T 1.1-2009给出的规则起草。 　　本标准由中国人民银行提出。 　　本标准由全国金融标准化技术委员会 （SA /T 180）归口。 　　本标准起草单位：中国人民银行、银行卡检测中心。 　　本标准主要起草人：王永红、李晓枫、杨f、郭全明、王小青、 王梅、董贞良、田朝阳、刘志刚、杜磊、李海滨、刘红波、孙茂 增。 　　本标准为首次发布。 引引言言 　　本标准是在收集、分析评估检查发现的网上银行系统信息安全 问题和已发生过的网上银行案 的基础上，有针对性提出的安全要 求，内容涉及网上银行系统的技术、管理和业务运作三个方面。 　　本标准分为基本要求和增强要求两个层次，基本要求为最低安 全要求，增强要求为本标准下发之日起的三年内应达到的安全要 求。各单位应在遵照执行基本要求的同时，按照增强要求，积极采 取改进措施，在规定期限内达标。 　　本标准旨在有效增强现有网上银行系统安全防范能力，促进网 上银行规范、健康发展。本标准既可作为网上银行系统建设和改造 升级的安全性依据以及各单位开展安全检查和内部审计的依据，也 可作为行业主管部门、专业检测机构进行检查、检测及认证的依 据。 　　1范围 　　本标准包含了网上银行系统的描述、安全技术规范、安全管理 规范、业务运作安全规范。 　　本标准适用于网上银行系统建设、运营及测评。 　　2规范性引用文 　　下列文 对于本文 的应用是必不可少的。凡是注日期的引用 文 ，仅所注日期的版本适用于本文 。凡是不注日期的引用文 ，其必威体育精装版版本 （包括所有的修改单）适用于本文 。 　　GB/T 25069信息安全技术术语 　　3术语和定义 　　GB/T 25069确立的以及下列术语和定义适用于本文 。 　　3.1　网上银行Internet banking 　　商业银行等金融机构通过互联网、移动通信网络、其他开放性 公众网络或专用网络基础设施向其客户提供网上金融业务的服务。 　　3.2　互联网Internet 　　因特网或其他类似形式的通用性公共计算机通信网络。 　　3.3　敏感信息sensitive information 　　主要指影响网上银行安全的密码、密钥以及交易敏感数据等信 息，密码包括但不限于转账密码、查询密码、登录密码、证书的 PIN等，密钥包括但不限于用于确保通讯安全、报文完整性等的密 钥，交易敏感数据包括但不局限于完整磁道信息、有效期、 VN 、 VN2、证 号码等。 　　3.4　客户端程序client program 　　为网上银行客户提供人机交互功能的程序，以及提供必需功能 的组 ，包括但不限于：可执行文 、控 、静态链接库、动态链 接库等，不包括IE等通用浏览器。 　　3.5　USB Key 　　一种USB接口的硬 设备。它内置单片机或智能卡芯片，有一 定的存储空间，可以存储用户的私钥以及数字证书。 　　3.6　USB Key 固 USB Key firmware 　　影响USB Key安全的内置在USB Key 内的程序代码。 　　3.7　移动终端mobile terminal 　　本标准中特指区别于传统P 机方式，以手机、平板电脑等通过 通信网络访问网上银