1、網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范（試行）技術解讀發(fā)表于2010-5-14為增強我國網(wǎng)上銀行安全管理，增進網(wǎng)上銀行業(yè)務健康進展，有效增強網(wǎng)上銀行系統(tǒng)信息安全防范能力，2010年1月19日中國人民銀行向銀行業(yè)金融機構發(fā)布了網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范（試行）（以下簡稱規(guī)范），本文將就規(guī)范的內(nèi)容和技術特點做重點解讀。一、規(guī)范出臺的背景自1998年招商銀行率先在國內(nèi)推出“一網(wǎng)通”領跑網(wǎng)上金融業(yè)以來，國內(nèi)已有近百家國有銀行和城市商業(yè)銀行加入了網(wǎng)上銀行行列，紛紛開通網(wǎng)絡轉(zhuǎn)賬、付款、貸款和投資等業(yè)務。據(jù)中國銀行業(yè)協(xié)會發(fā)布的2009年度中國銀行業(yè)服務改進情況報告數(shù)據(jù)顯示，截止2009年底，我國網(wǎng)上銀行注冊用戶數(shù)達

2、到億，網(wǎng)銀交易額達萬億元。網(wǎng)上銀行交易快捷、方便和操作簡單的特性，極大地滿足了網(wǎng)民的交易需求，因而倍受網(wǎng)民的青睞。但是，由于互聯(lián)網(wǎng)的開放性，網(wǎng)上銀行系統(tǒng)的安全性問題令人擔憂。目前,犯罪分子作案手段層出不窮，通過木馬、釣魚網(wǎng)站等威脅客戶資金安全，甚至對網(wǎng)銀系統(tǒng)進行惡意滲透破壞和拒絕服務攻擊。網(wǎng)上銀行趨利性犯罪的高發(fā)態(tài)勢,不僅會損害廣大用戶的經(jīng)濟利益，也將成為網(wǎng)上銀行業(yè)務進一步發(fā)展的掣肘。因此，我國金融行業(yè)亟需出臺一項網(wǎng)上銀行系統(tǒng)安全方面的標準，從技術標準層面引導網(wǎng)銀業(yè)務的發(fā)展。二、規(guī)范的大體內(nèi)容眾所周知，網(wǎng)上銀行系統(tǒng)在客戶端、認證介質(zhì)、網(wǎng)銀后臺三個主要安全點可能存在安全隱患,而將這三個安全點串聯(lián)

3、起來的交易傳輸網(wǎng)絡也可能存在必然的安全風險，由此組成了整個網(wǎng)上銀行系統(tǒng)的安全風險鏈。在信息安全技術網(wǎng)上銀行系統(tǒng)信息安全保障評估準則(GB/T20983-2007)的基礎上，結合網(wǎng)上銀行系統(tǒng)的技術和業(yè)務特點，人民銀行及時出臺了該規(guī)范。該規(guī)范共分為安全技術、安全管理和業(yè)務運作三部份，各部份又別離包括大體要求和增強要求兩個層次，大體要求為最低安全要求，增強要求為三年內(nèi)應達到的安全要求。其中，安全技術規(guī)范內(nèi)容包括：客戶端安全、專用輔助設備安全、網(wǎng)絡通信安全、銀行服務器端安全四個方面；安全管理規(guī)范內(nèi)容包括:組織機構、管理制度、安全策略、人員/文檔管理和系統(tǒng)運行管理五個方面；業(yè)務運作安全內(nèi)容包括：業(yè)務申請

4、及開通、業(yè)務安全交易機制和客戶宣布道育三個方面。規(guī)范要求銀行業(yè)金融機構現(xiàn)階段要遵照執(zhí)行基本要求，同時積極采取改進措施，在規(guī)定期限內(nèi)達到增強要求。三、規(guī)范的技術特點規(guī)范對目前已知的網(wǎng)上銀行犯罪案例、網(wǎng)上銀行常見交易認證機制存在的問題進行挖掘和分析，通過對商業(yè)銀行網(wǎng)上銀行安全檢查進行深入分析和總結，從正面提出規(guī)范性要求，具有較強的針對性和可操作性；不僅針對網(wǎng)上銀行現(xiàn)實問題，而且針對潛在風險點均提出了應對措施，具有前瞻性；同時內(nèi)容涵蓋了網(wǎng)上銀行系統(tǒng)各個部分、交易的全過程，具有全面性。規(guī)范的主要技術特點包括：(1)明確規(guī)定禁止僅使用文件證書或文件證書加靜態(tài)密碼的方式進行轉(zhuǎn)賬類操作目前，用戶使用文件證書

5、作為認證方式時，其私鑰保存在客戶端計算機內(nèi)，而且簽名等涉及私鑰的敏感操作也在客戶的計算機上進行。大部分對于文件證書的保護機制都依賴于瀏覽器，而瀏覽器對于文件證書的保護機制已經(jīng)不足以抵御目前的各種攻擊。因此，規(guī)范明確禁止僅使用文件證書進行轉(zhuǎn)賬類操作，從而能夠有效規(guī)避不法分子對客戶資金安全的直接威脅，約束金融機構更好地保護客戶利益。(2)強調(diào)客戶端的安全性目前，絕大多數(shù)網(wǎng)上銀行安全事件源于客戶端安全隱患。由于客戶端受到網(wǎng)上銀行木馬程序、網(wǎng)上釣魚等黑客技術的侵害，且客戶端程序基于通用瀏覽器開發(fā)，這會存在利用通用瀏覽器的漏洞獲取客戶的網(wǎng)上銀行登錄信息的風險，另外客戶端采用的安全控件防護強度較弱等問題都

6、有可能導致其無法抵御一些常見攻擊，因此對客戶端程序的檢測就顯得十分重要。規(guī)范要求在客戶端程序上線前要進行嚴格的代碼測試，并關注最新的安全技術和安全漏洞，定期對客戶端程序進行檢查，從而能夠及時發(fā)現(xiàn)客戶端程序存在的漏洞并采取相應的規(guī)避措施。同時，金融機構應通過專業(yè)的第三方測試機構對客戶端程序進行安全檢測，目的是通過內(nèi)部和外部的檢測，能夠公正、及時、全面地反映客戶端程序存在的問題，從而盡可能地保證其防范常見的針對網(wǎng)上銀行客戶端的攻擊，例如防范采用掛鉤Windows鍵盤消息等方式進行鍵盤竊聽。(3)對硬件數(shù)字證書的應用提出規(guī)范要求USBKey作為專用輔助安全設備的主流產(chǎn)品，其相關安全測試和準入機制還不

7、完善，黑客可能利用USBKey設計上存在的缺陷獲得對Key的控制權。規(guī)范要求USBKey能夠防范常見的物理攻擊和邏輯攻擊，進行PIN碼加密傳輸,并在進行敏感操作時具有提示功能。同時規(guī)范要求對網(wǎng)上銀行上經(jīng)常使用的USBKey、OTP令牌、動態(tài)口令卡和其他專用輔助安全設笛進行安全性檢測，從源頭上解決專用輔助安全設得的安全缺陷所導致的網(wǎng)上銀行安全問題，有效防范應用中的漏洞隱患。(4)交易機制的規(guī)范化基于客戶計算機終端不安全的假定規(guī)范要求網(wǎng)上銀行系統(tǒng)應具有防范客戶端數(shù)據(jù)被篡改的機制，校驗客戶提交的數(shù)據(jù)之間的隸屬關系，并由客戶確認轉(zhuǎn)賬交易關鍵數(shù)據(jù)，以確保交易數(shù)據(jù)的真實有效。在進行確認時，推薦使用手機短信

8、或電話等第二通信渠道請求客戶反憒確認交易信息。同時，為了使客戶能夠及時獲取資金變化的信息并發(fā)現(xiàn)可疑交易，規(guī)范規(guī)定了轉(zhuǎn)賬交易中，金融機構應提供及時通知客戶資金變化的服務，通過采取有效措施，最大限度地保障客戶信息和資金安全。(5)關注Web應用安全大部分網(wǎng)上銀行系統(tǒng)都通過*cb向用戶提供服務，在正cb應用中，規(guī)范要求應注意防范SQL注入、跨站腳本攻擊、拒絕服務攻擊等，保障網(wǎng)上銀行系統(tǒng)能夠經(jīng)受黑客等不法分子的攻擊，從而保證系統(tǒng)持續(xù)、安全運行。四、規(guī)范出臺的意義規(guī)范是人民銀行多年來對銀行業(yè)網(wǎng)上銀行信息安全管理工作實踐與經(jīng)驗總結的提升，是對金融信息安全認識不斷深化的重要成果，也是有效降低金融網(wǎng)絡案件、維護金融穩(wěn)定的重要舉措。規(guī)范為金融機構開展網(wǎng)上銀行系統(tǒng)建設，內(nèi)部安全檢測和合規(guī)性審計提供了規(guī)范性依據(jù)，為行業(yè)主管部門、評估測試機構進行檢查、檢測提供了標準化依據(jù)。規(guī)范實施后，必將明顯提高網(wǎng)上銀行整體安全水平，特別是認證機制、交易機制安全性的完善提