网上银行系统信息安全通用规范(试行)技术解读

1、网上银行系统信息安全通用规范（试行）技术解读发表于2010-5-14为增强我国网上银行安全管理，增进网上银行业务健康进展，有效增强网上银行系统信息安全防范能力，2010年1月19日中国人民银行向银行业金融机构发布了网上银行系统信息安全通用规范（试行）（以下简称规范），本文将就规范的内容和技术特点做重点解读。一、规范出台的背景自1998年招商银行率先在国内推出“一网通”领跑网上金融业以来，国内已有近百家国有银行和城市商业银行加入了网上银行行列，纷纷开通网络转账、付款、贷款和投资等业务。据中国银行业协会发布的2009年度中国银行业服务改进情况报告数据显示，截止2009年底，我国网上银行注册用户数达

2、到亿，网银交易额达万亿元。网上银行交易快捷、方便和操作简单的特性，极大地满足了网民的交易需求，因而倍受网民的青睐。但是，由于互联网的开放性，网上银行系统的安全性问题令人担忧。目前,犯罪分子作案手段层出不穷，通过木马、钓鱼网站等威胁客户资金安全，甚至对网银系统进行恶意渗透破坏和拒绝服务攻击。网上银行趋利性犯罪的高发态势,不仅会损害广大用户的经济利益，也将成为网上银行业务进一步发展的掣肘。因此，我国金融行业亟需出台一项网上银行系统安全方面的标准，从技术标准层面引导网银业务的发展。二、规范的大体内容众所周知，网上银行系统在客户端、认证介质、网银后台三个主要安全点可能存在安全隐患,而将这三个安全点串联

3、起来的交易传输网络也可能存在必然的安全风险，由此组成了整个网上银行系统的安全风险链。在信息安全技术网上银行系统信息安全保障评估准则(GB/T20983-2007)的基础上，结合网上银行系统的技术和业务特点，人民银行及时出台了该规范。该规范共分为安全技术、安全管理和业务运作三部份，各部份又别离包括大体要求和增强要求两个层次，大体要求为最低安全要求，增强要求为三年内应达到的安全要求。其中，安全技术规范内容包括：客户端安全、专用辅助设备安全、网络通信安全、银行服务器端安全四个方面；安全管理规范内容包括:组织机构、管理制度、安全策略、人员/文档管理和系统运行管理五个方面；业务运作安全内容包括：业务申请

4、及开通、业务安全交易机制和客户宣布道育三个方面。规范要求银行业金融机构现阶段要遵照执行基本要求，同时积极采取改进措施，在规定期限内达到增强要求。三、规范的技术特点规范对目前已知的网上银行犯罪案例、网上银行常见交易认证机制存在的问题进行挖掘和分析，通过对商业银行网上银行安全检查进行深入分析和总结，从正面提出规范性要求，具有较强的针对性和可操作性；不仅针对网上银行现实问题，而且针对潜在风险点均提出了应对措施，具有前瞻性；同时内容涵盖了网上银行系统各个部分、交易的全过程，具有全面性。规范的主要技术特点包括：(1)明确规定禁止仅使用文件证书或文件证书加静态密码的方式进行转账类操作目前，用户使用文件证书

5、作为认证方式时，其私钥保存在客户端计算机内，而且签名等涉及私钥的敏感操作也在客户的计算机上进行。大部分对于文件证书的保护机制都依赖于浏览器，而浏览器对于文件证书的保护机制已经不足以抵御目前的各种攻击。因此，规范明确禁止仅使用文件证书进行转账类操作，从而能够有效规避不法分子对客户资金安全的直接威胁，约束金融机构更好地保护客户利益。(2)强调客户端的安全性目前，绝大多数网上银行安全事件源于客户端安全隐患。由于客户端受到网上银行木马程序、网上钓鱼等黑客技术的侵害，且客户端程序基于通用浏览器开发，这会存在利用通用浏览器的漏洞获取客户的网上银行登录信息的风险，另外客户端采用的安全控件防护强度较弱等问题都

6、有可能导致其无法抵御一些常见攻击，因此对客户端程序的检测就显得十分重要。规范要求在客户端程序上线前要进行严格的代码测试，并关注最新的安全技术和安全漏洞，定期对客户端程序进行检查，从而能够及时发现客户端程序存在的漏洞并采取相应的规避措施。同时，金融机构应通过专业的第三方测试机构对客户端程序进行安全检测，目的是通过内部和外部的检测，能够公正、及时、全面地反映客户端程序存在的问题，从而尽可能地保证其防范常见的针对网上银行客户端的攻击，例如防范采用挂钩Windows键盘消息等方式进行键盘窃听。(3)对硬件数字证书的应用提出规范要求USBKey作为专用辅助安全设备的主流产品，其相关安全测试和准入机制还不

7、完善，黑客可能利用USBKey设计上存在的缺陷获得对Key的控制权。规范要求USBKey能够防范常见的物理攻击和逻辑攻击，进行PIN码加密传输,并在进行敏感操作时具有提示功能。同时规范要求对网上银行上经常使用的USBKey、OTP令牌、动态口令卡和其他专用辅助安全设笛进行安全性检测，从源头上解决专用辅助安全设得的安全缺陷所导致的网上银行安全问题，有效防范应用中的漏洞隐患。(4)交易机制的规范化基于客户计算机终端不安全的假定规范要求网上银行系统应具有防范客户端数据被篡改的机制，校验客户提交的数据之间的隶属关系，并由客户确认转账交易关键数据，以确保交易数据的真实有效。在进行确认时，推荐使用手机短信

8、或电话等第二通信渠道请求客户反愦确认交易信息。同时，为了使客户能够及时获取资金变化的信息并发现可疑交易，规范规定了转账交易中，金融机构应提供及时通知客户资金变化的服务，通过采取有效措施，最大限度地保障客户信息和资金安全。(5)关注Web应用安全大部分网上银行系统都通过*cb向用户提供服务，在正cb应用中，规范要求应注意防范SQL注入、跨站脚本攻击、拒绝服务攻击等，保障网上银行系统能够经受黑客等不法分子的攻击，从而保证系统持续、安全运行。四、规范出台的意义规范是人民银行多年来对银行业网上银行信息安全管理工作实践与经验总结的提升，是对金融信息安全认识不断深化的重要成果，也是有效降低金融网络案件、维护金融稳定的重要举措。规范为金融机构开展网上银行系统建设，内部安全检测和合规性审计提供了规范性依据，为行业主管部门、评估测试机构进行检查、检测提供了标准化依据。规范实施后，必将明显提高网上银行整体安全水平，特别是认证机制、交易机制安全性的完善提