网上银行系统信息安全通用规范

附件 ICS 35.240.40 A 11 备案号： JR 中华人民共和国金融行业标准 JR/T 0068—2012 网上银行系统信息安全通用规范 General specification of information security fo r internet banking system 2012 - 05 -08发布 2012 - 05 -08实施中国人民银行发布 JR/T 0068—2012 I 目次前言 ................................ ................................ ................ II 引言 ................................ ................................ ............... III 1 范围 ................................ ................................ .............. 1 2 规范性引用文件 ................................ ................................ .... 1 3 术语和定义 ................................ ................................ ........ 1 4 符号和缩略语 ................................ ................................ ...... 2 5 网上银行系统概述 ................................ ................................ .. 3 6 安全规范 ................................ ................................ .......... 6 附录A（资料性附录）基本的网络防护架构参考图 ................................ ....... 35 附录B（资料性附录）增强的网络防护架构参考图 ................................ ....... 36 附录C（规范性附录）物理安全 ................................ ....................... 37 参考文献 ................................ ................................ ............ 39 JR/T 0068—2012 II 前言本标准按照GB/T 1.1 —2009给出的规则起草。本标准由中国人民银行提出。本标准由全国金融标准化技术委员会（ SAC/TC 180 ）归口。本标准起草单位：中国人民银行、银行卡检测中心。本标准主要起草人：王永红、李晓枫、杨竑、郭全明、王小青、王梅、董贞良、田朝阳、刘志刚、杜磊、李海滨、刘红波、孙茂增。本标准为首次发布。 JR/T 0068—2012 III 引言本标准是在收集、分析评估检查发现的网上银行系统信息安全问题和已发生过的网上银行案件的基础上，有针对性提出的安全要求，内容涉及网上银行系统的技术、管理和业务运作三个方面。本标准分为基本要求和增强要求两个层次，基本要求为最低安全要求，增强要求为本标准下发之日起的三年内应达到的安全要求。各单位应在遵照执行基本要求的同时，按照增强要求，积极采取改进措施，在规定期限内达标。本标准旨在有效增强现有网上银行系统安全防范能力，促进网上银行规范、健康发展。本标准既可作为网上银行系统建设和改造升级的安全性依据以及各单位开展安全检查和内部审计的依据，也可作为行业主管部门、专业检测机构进行检查、检测及认证的依据。 JR/T 0068—2012 1 网上银行系统信息安全通用规范 1 范围本标准包含了网上银行系统的描述、安全技术规范、安全管理规范、业务运作安全规范。本标准适用于网上银行系统建设、运营及测评。 2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 25069 信息安全技术术语 3 术语和定义 GB/T 25069 确立的以及下列术语和定义适用于本文件。 3.1 网上银行 Internet banking 商业银行等金融机构通过互联网、移动通信网络、其他开放性公众网络或专用网络基础设施向其客户提供网上金融业务的服务。 3.2 互联网 Internet 因特网或其他类似形式的通用性公共计算机通信网络。 3.3 敏感信息 sensitive information 主要指影响网上银行安全的密码、密钥以及交易敏感数据等信息，密码包括但不限于转账密码、查询密码、登录密码、证书的 PIN等，密钥包括但不限于用于确保通讯安全、报文完整性等的密钥，交易敏感数据包括但不局限于完整磁道信息、有效期、 CVN、CVN2、证件号码等。 3.4 客户端程序 client program 为网上银行客户提供人机交互功能的程序，以及提供必需功能的组件，包括但不限于：可执行文件、控件、静态链接库、动态链接库等，不包括 IE等通用浏览器。 3.5 USB Key JR/T 0068—2012 2 一种USB接口的硬件设备。它内置单片机或智能卡芯片，有一定的存储空间，可以存储用户的私钥以及数字证书。 3.6 USB Key固件 USB Key firmware 影响USB Key安全的内置在 USB Key内的程序代码。 3.7 移动终端 mobile terminal 本标准中特指区别于传统 PC机方式，以手机、平板电脑等通过通信网络访问网上银行的移动设备。 3.8 强效加密 strong encryption 一个通用术语，表示极难被破译的加密算法。加密的强壮性取决于所使用的加密密钥。密钥的有效长度应不低于可比较的强度建议所要求的最低密钥长度。 3.9 资金类交易 funds transact ion 指通过网上银行进行资金操作交易，如转账、订单支付、缴费等。本人名下的投资理财、托管账户以及本人签订委托代扣协议的委托代扣等风险可控的资金变动不属于此范畴。 3.10 信息及业务变更类交易 information & business changing transaction 通过网上银行变更客户相关信息或开通、取消业务的交易，如客户修改基本信息、调整交易额度、授权委托交易、修改交易订单、开通（签订）新业务、取消某项业务、电子合同签署、电子保单等。 3.11 企业网银 corporate bankin g 指商业银行等金融机构面向企事业单位和其他组织提供的网上金融服务。 4 符号和缩略语以下缩略语和符号表示适用于本标准： CA 数字证书签发和管理机构（ Certification Authority ） Cookies 为辨别客户身份而储存在客户本地终端上的数据 COS 卡片操作系统（ Card Operating System ） C/S 客户机/服务器 (Client/Server) DoS/DDoS 拒绝服务 /分布式拒绝服务（ Denial of Service/Distributed Denial of Service ） IDS/IPS 入侵检测系统 /入侵防御系统（ Intrusion Detection System/ Intrusion Prevention System） IPSEC IP 安全协议（Internet Protocol Security ） OTP 一次性密码（One Time Password ） PKI 公钥基础设施（ Public Key Infrastructure ） JR/T 0068—2012 3 SSL 安全套接字层（ Secure Socket Layer ） SPA/DPA 简单能量分析 /差分能量分析 (Simple Power Analysis/ Differential Power Analysis) SEMA/DEMA 简单电磁分析 /差分电磁分析（Simple Electromagneti