ICS35.040L80中華人民共和國國家標準GB/T20983—2007信息安全技術網上銀行系統信息安全保障評估準則Informationsecuritytechnology-Evaluationcriteriaforonlinebankingsysteminformationsecurityassurance2007-06-14發布2007-11-01實施中華人民共和國國家質量監督檢驗檢疫總局愛布中國國家標準化管理委員會

GB/T20983-2007三次前言引言1范圍2規范性引用文件3術語和定義A系統描述4.1網上銀行系統概述4.2使命描述·………·.4.3系統概要描述4.4系統詳細描述5，系統安全環境5.1假設5.2威脅5.3組織安全策略…….6安全保障目的·126.1安全保障技術目標·6.2安全保障管理目標·13安全保障工程目標…6.3147安全保障要求…安全保障技術要求·…·…·…………·……·7.1安全保障管理要求.7.2安全保障工程要求….7.355附錄A（規范性附錄）網上銀行系統信息安全保障符合性060A.1安全保障目的符合性聲明A.2安全保障要求符合性聲明66參考文獻76圖1網上銀行系統描述框架圖2網上銀行系統評估邊界和接口描述示意圖圖3網上銀行系統子安全域劃分示例……圖4網上銀行系統邏輯層次結構……表1網上銀行系統威脅描述表2網上信息流控制策略15端到端安全保障技術要求的可審計安全事件類型19表4端到端安全保障技術要求的可查閱審計記錄端到端安全保障技術要求中安全角色對系統安全功能行為的管理權限表521表6端到端安全保障技術要求中授權人員對系統安全屬性的管理權限表舉例23

GB/T20983-2007表7系系統邊界安全保障技術要求中主體對客體采取的操作對照表舉例表8系統邊界安全保障技術要求的網上信息流控制肇略舉例·…………表9系統邊界安全保障技術要求的可審計安全事件類型·………………….37表10系統邊界安全保障技術要求的可查閱審計記錄·表11系統邊界安全保障技術要求中安全角色對系統安全功能行為的管理權限40表121支撐性基礎設施安全保障技術要求的可審計安全事件類型表13支撐性基礎設施安全保障技術要求的可查閱審計記錄·……………45表A.1安全保障技術目標和威脅、策略的對應表表A.2安全保障管理、安全保障工程目標和威脅、策略的對應表69表A.3安全保障技術目標和安全保障技術要求映射表A.4安全保障管理目標和安全保障管理要求映射表A.5安全保障工程目標和安全保障工程要求映射

GB/T20983—2007前本標準的附錄A為規范性附錄本標準由全國信息安全標準化技術委員會提出并歸口。本標準起草單位：中國信息安全產品測評認證中心、中國工商銀行。本標準主要起草人：吳世忠、王海生、陳曉樺、王貴驅、李守鵬、江常青、彭勇、張利、張燕、史有恒、黃大為、黃朝鋒、班曉芳、李靜、王慶、鄒琪、錢偉明、江典盛、陸麗、李娟、姚軼粉、孫成吳、門雪松、杜宇鴿、楊再山。

GB/T20983—20070.1網上銀行系統信息安全保障的含義網上銀行業務是指商業銀行等銀行業金融機構利用計算機和互聯網為客戶提供的銀行服務。網上銀行是銀行傳統業務的電子化表現形式，拓展了銀行服務的時間和空間。網上銀行是現代信息技術在銀行管理及其金融服務中的拓展,是促使金融服務組織機構與服務形式創新的重要成果之一。網上銀行通過國際互聯網這一公共資源及其相關技術實現銀行與客戶之間安全、方便、友好連接,為客戶提供多種金融服務、信息安全保障是網上銀行系統建設和運行中必須解決的基礎和根本性問題,它關系到客戶與銀行的切身利益。網上銀行系統是一種特定的信息系統(即用于采集、處理、存儲、傳輸、分發和部署信息的整個基礎設施、組織結構、人員和組件的總和).它的信息安全保障工作必須結合銀行行業的特點,以風險和策略為出發點和核心,即從網上銀行系統所面臨的風險和所處的環境出發制定網上銀行系統的安全保障策略,在網上銀行系統的整個生命周期中從技術、工程、管理和人員等方面提出安全保障要求，確保信息的保密性、完整性和可用性特征,實現和貫徹組織機構策略并將風險降低到可接受的程度.達到保護網上銀行的信息和信息系統資產,從而保障網上銀行業務安全、可靠開展的最終目的網上銀行系統信息安全保障涵蓋以下幾個方面：網上銀行系統信息安全保障應貫穿網上銀行系統的整個生命周期,包括規劃組織、開發采購實施交付、運行維護和廢棄五個階段,以獲得網上銀行系統信息安全保障能力的持續性。網上銀行系統信息安全保障不僅涉及安全技術.還應綜合考點安全管理、安全工程和人員安全等.以全面保障網上銀行系統安全。在安全技術上,不僅要考慮具體的產品和技術，更要考慮網上銀行系統的安全技術體系架構;在安全管理上,不僅要考慮基本安全管理實踐，更要結合組織的特點建立相應的安全保障管理體系,形成長效和持續改進的安全管理機制;在安全工程上，不僅要考慮網上銀行系統建設的最終結果，更要結合系統工程的方法，注重工程各個階段的規范化實施;在人員安全上，要考慮與網上銀行系統相關的所有人員包括規劃者、設計者、管理者、運營維護者、評估者、使用者等的安全意識以及安全專業技能和能力等。網上銀行系統信息安全保障是貫穿全過程的保障。通過風險識別、風險分析、風險評估、風險控制等風險管理活動，降低網上銀行系統的風險,從而實現網上銀行系統信息安全保障。網上銀行系統信息安全保障的目的不僅是保護信息和資產的安全，更重要的是通過保障網上銀行系統的安全，保障網上銀行系統所支持的業務,從而達到實現組織機構使命的目的。e）網上銀行系統信息安全保障是主觀和客觀的結合。通過在技術、管理、工程和人員方面客觀地評估安全保障措施，向網上銀行系統的所有者提供其現有安全保障工作是否滿足其安全保障目標的信心。因此,它是一種通過客觀證據向網上銀行系統所有者提供主觀信心的活動.是主觀和客觀綜合評估的結果保障網上銀行系統安全不僅是系統所有者自身的職責.而且需要社會各方參與.包括電信、電力、國家信息安全基礎設施等提供的支撐。保障網上銀行系統安全不僅要滿足系統所有者自身的安全需求，而且要滿足國家相關法律、政策的要求,包括為其他機構或個人提供保密、公共安全和國家安全等社會職責。

GB/T20983—20070.2網上銀行系統信息安全保障評估準則的編制目的和意義GB/T20274《信息安全技術信息系統安全保障評估框架》是建設、評估信息系統安全保障的基礎性和框架性標準,給出了對信息系統安全保障體系的通用要求。本標準是在GB/T20274的基礎之上·結合網上銀行系統的具體特點.給出了網上銀行系統的信息系統安全保障要求。制定本標準的意義在于：“）為網上銀行系統信息安全保障的設計、實施、建設、測評、審核提供規范的、通用的描述語言;b）有利于網上銀行系統所有者編制其信息系統的安全保障要求；有利于網上銀行系統安全集成商和安全服務提供商提供更為科學規范化的設計和服務.促進信息安全市場的發展；有利于有關行政管理部門、執法機構、測評認證機構對網上銀行系統進行安全檢查、檢測、審計、評估和認證，

GB/T20983—2007信息安全技術網上銀行系統信息安全保障評估準則范圍本標準規定了網上銀行系統的描述、安全環境、安全保障目的、安全保障要求及網上銀行系統信息安全保障目的和安全保障要求的符合性聲明。本標準適用于規范網上銀行系統在進行網上交易過程中涉及信息安全的評估工作規范性引用文件下列文件中的條款通過本標準的引用而成為本標準的條款。凡是注日期的引用文件,其隨后所有的修改單(不包括勒誤的內容)或修訂版均不適用于本標準,然而，鼓勵根據本標準達成協議的各方研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標準。GB/T20274(所有部分）信息安全技術信息系統安全保障評估框架術語和定義GB/T20274確立的以及下列術語和定義適用于本標準。網上銀行onlinebanking商業銀行通過互聯網等公眾網絡基礎設施，向其客戶提供各種金融業務系統描述網上銀行系統概述網上銀行系統是商業銀行通過互聯網等公眾網絡基礎設施,向其客戶提供各種金融業務服務的種重要的信息系統。在進行網上銀行系統的信息安全保障工作時,首先必須建立對網上銀行系統的充