第一篇:----中国人民银行近日发布《网上银行系统信息安全通用规范(试行)》
中国人民银行近日发布
《网上银行系统信息安全通用规范(试行)》
来源:BCTC 时间;2010-02-01
随着我国互联网技术的日臻成熟,越来越多商业银行纷纷开通网上银行,使得网银用户量及交易量高速增长。中国互联网络信息中心(CNNIC)报告显示,2008年我国共有5800万网银用户,同比增长45%;中国银行业协会报告显示,2008年我国电子银行交易金额为301.80万亿元,很多银行的网银业务已经占到传统柜台业务的30%以上,由此可见网上银行对于传统柜台业务的替代性正日益提升。
然而,网上银行的安全性也正成为人们关注的焦点。有调查结果显示,无论对企业网上银行用户还是个人用户(包含活动用户和潜在用户)而言,网上银行的安全性仍然是他们选择网上银行时最看重的因素,网上银行的安全已经成为网上银行发展壮大的瓶颈。这种严峻形势迫切要求我们应加快制订网上银行安全标准,规范参与各方的交易行为,强化适合我国国情的网上银行交易安全技术。因此,在人民银行科技司安全处的组织领导下,银行卡检测中心积极参与了《网上银行系统信息安全通用规范(试行)》的编制工作。
目前,我国网上银行系统在客户端、认证介质、网银后台三个主要安全点均存在一些安全隐患,而将这三个安全点串联起来的交易传输网络也存在一定的安全风险,由此形成整个网上银行系统的安全风险链。《网上银行系统信息安全通用规范(试行)》在《信息安全技术网上银行系统信息安全保障评估准则(GB/T 20983-2007)》的基础上,结合网上银行系统的业务特点,通过分析已发生的网上银行系统信息安全事件和问题,对网上银行系统的技术、管理和业务三个方面提出安全要求,为网上银行系统信息安全保障的设计、实施、建设、测评和审核提供规范的指导。
《网上银行系统信息安全通用规范(试行)》共包含网上银行系统描述、安全技术基本要求、安全管理基本要求、业务运作安全要求四部分内容,后三部分内容均按照基本型和增强型网络防护架构的不同,提出了不同的安全要求。其中,安全技术基本要求主要涵盖客户端、专用辅助安全设备、网络通信和网上银行服务器端的安全;安全管理要求主要涵盖组织结构、管理制度、人员及文档管理和系统运行管理安全;业务运作安全要求主要涵盖网上银行业务开通、业务安全交易机制、用户安全教育。
中国人民银行科技司安全处自2009年3月以来多次召开标准编制工作组会议,广泛征求各商业银行、公安部、安全部等多方的意见和建议,目前《网上银行系统信息安全通用规范(试行)》已经于2010年1月28日正式发布。该要求发布后,各商业银行网上银行系统的建设和业务运作应依据该要求,在人民银行认可的第三方安全评估和扫描机构的咨询帮助下,找出存在的安全漏洞,并制订有效的安全防护措施,保障网上银行后台、客户端、业务流程、传输网络和协议以及认证介质的安全,提升我国网上银行系统的安全性,最终确保网上银行业务的持续高速发展。
第二篇:《网上银行系统信息安全通用规范(试行)》技术解读
《网上银行系统信息安全通用规范(试行)》技术解读
发表于:2010-5-1
4为加强我国网上银行安全管理,促进网上银行业务健康发展,有效增强网上银行系统信息安全防范能力,2010年1月19日中国人民银行向银行业金融机构发布 了《网上银行系统信息安全通用规范(试行)》(以下简称《规范》),本文将就《规范》的内容和技术特点做重点解读。
一、《规范》出台的背景
自1998年招商银行率先在国内推出“一网通”领跑网上金融业以来,国内已有近百家国有银行和城市商业银行加入了网上银行行列,纷纷开通网络转账、付款、贷款和投资等业务。据中国银行业协会发布的《2009中国银行业服务改进情况报告》数据显示,截止2009年底,我国网上银行注册用户数达到1.89 亿,网银交易额达404.88万亿元。网上银行交易快捷、方便和操作简单的特性,极大地满足了网民的交易需求,因而倍受网民的青睐。
但是,由于互联网的开放性,网上银行系统的安全性问题令人担忧。目前,犯罪分子作案手段层出不穷,通过木马、钓鱼网站等威胁客户资金安全,甚至对网银系统 进行恶意渗透破坏和拒绝服务攻击。网上银行趋利性犯罪的高发态势,不仅会损害广大用户的经济利益,也将成为网上银行业务进一步发展的掣肘。因此,我国金融 行业亟需出台一项网上银行系统安全方面的标准,从技术标准层面引导网银业务的发展。
二、《规范》的基本内容
众所周知,网上银行系统在客户端、认证介质、网银后台三个主要安全点可能存在安全隐患,而将这三个安全点串联起来的交易传输网络也可能存在一定的安全风 险,由此构成了整个网上银行系统的安全风险链。在《信息安全技术网上银行系统信息安全保障评估准则(GB/T 20983-2007)》的基础上,结合网上银行系统的技术和业务特点,人民银行及时出台了该《规范》。
该《规范》共分为安全技术、安全管理和业务运作三部分,各部分又分别包含基本要求和增强要求两个层次,基本要求为最低安全要求,增强要求为三年内应达到的 安全要求。其中,安全技术规范内容包括:客户端安全、专用辅助设备
安全、网络通信安全、银行服务器端安全四个方面;安全管理规范内容包括:组织机构、管理 制度、安全策略、人员/文档管理和系统运行管理五个方面;业务运作安全内容包括:业务申请及开通、业务安全交易机制和客户宣传教育三个方面。
《规范》要求银行业金融机构现阶段要遵照执行基本要求,同时积极采取改进措施,在规定期限内达到增强要求。
三、《规范》的技术特点
《规范》对目前已知的网上银行犯罪案例、网上银行常见交易认证机制存在的问题进行挖掘和分析,通过对商业银行网上银行安全检查进行深入分析和总结,从正面 提出规范性要求,具有较强的针对性和可操作性;不仅针对网上银行现实问题,而且针对潜在风险点均提出了应对措施,具有前瞻性;同时内容涵盖了网上银行系统 各个部分、交易的全过程,具有全面性。《规范》的主要技术特点包括:
(1)明确规定禁止仅使用文件证书或文件证书加静态密码的方式进行转账类操作
目前,用户使用文件证书作为认证方式时,其私钥保存在客户端计算机内,而且签名等涉及私钥的敏感操作也在客户的计算机上进行。大部分对于文件证书的保护机 制都依赖于浏览器,而浏览器对于文件证书的保护机制已经不足以抵御目前的各种攻击。因此,《规范》明确禁止仅使用文件证书进行转账类操作,从而能够有效规 避不法分子对客户资金安全的直接威胁,约束金融机构更好地保护客户利益。
(2)强调客户端的安全性
目前,绝大多数网上银行安全事件源于客户端安全隐患。由于客户端受到网上银行木马程序、网上钓鱼等黑客技术的侵害,且客户端程序基于通用浏览器开发,这会 存在利用通用浏览器的漏洞获取客户的网上银行登录信息的风险,另外客户端采用的安全控件防护强度较弱等问题都有可能导致其无法抵御一些常见攻击,因此对客 户端程序的检测就显得十分重要。
《规范》要求在客户端程序上线前要进行严格的代码测试,并关注最新的安全技术和安全漏洞,定期对客户端程序进行检查,从而能够及时发现客户端程序存
在的漏 洞并采取相应的规避措施。同时,金融机构应通过专业的第三方测试机构对客户端程序进行安全检测,目的是通过内部和外部的检测,能够公正、及时、全面地反映 客户端程序存在的问题,从而尽可能地保证其防范常见的针对网上银行客户端的攻击,例如防范采用挂钩Windows键盘消息等方式进行键盘窃听。
(3)对硬件数字证书的应用提出规范要求
USB Key作为专用辅助安全设备的主流产品,其相关安全测试和准入机制还不完善,黑客可能利用USB Key设计上存在的缺陷获得对Key的控制权。《规范》要求USB Key能够防范常见的物理攻击和逻辑攻击,进行PIN码加密传输,并在进行敏感操作时具有提示功能。同时《规范》要求对网上银行上经常使用的USB Key、OTP令牌、动态口令卡和其他专用辅助安全设备进行安全性检测,从源头上解决专用辅助安全设备的安全缺陷所导致的网上银行安全问题,有效防范应用 中的漏洞隐患。
(4)交易机制的规范化基于客户计算机终端不安全的假定
《规范》要求网上银行系统应具有防范客户端数据被篡改的机制,校验客户提交的数据之间的隶属关系,并由客户确认转账交易关键数据,以确保交易数据的真实有 效。在进行确认时,推荐使用手机短信或电话等第二通信渠道请求客户反馈确认交易信息。同时,为了使客户能够及时获取资金变化的信息并发现可疑交易,《规 范》规定了转账交易中,金融机构应提供及时通知客户资金变化的服务,通过采取有效措施,最大限度地保障客户信息和资金安全。
(5)关注Web应用安全
大部分网上银行系统都通过Web向用户提供服务,在Web应用中,《规范》要求应注意防范SQL注入、跨站脚本攻击、拒绝服务攻击等,保障网上银行系统能 够经受黑客等不法分子的攻击,从而保证系统持续、安全运行。
四、《规范》出台的意义
《规范》是人民银行多年来对银行业网上银行信息安全管理工作实践与经验总结的提升,是对金融信息安全认识不断深化的重要成果,也是有效降低金融网络案件、维护金融稳定的重要举措。
《规范》为金融机构开展网上银行系统建设,内部安全检测和合规性审计提供了规范性依据,为行业主管部门、评估测试机构进行检查、检测提供了标准化依
据。《规范》实施后,必将明显提高网上银行整体安全水平,特别是认证机制、交易机制安全性的完善提高,能够有效保障客户信息和资金的安全,增强客户信心,对推 动网上银行更好更快发展,具有里程碑意义。
作为《规范》起草工作的参与单位,银行卡检测中心将继续配合人民银行科技司制订相应的《网上银行安全检测大纲》,通过试点检测,进一步完善《规范》,形成 行业标准,并通过检查使标准落到实处。
第三篇:关于规范办公自动化系统信息发布的通知
关于规范办公自动化系统信息发布的通知
机关各部门,各市河务局:
我局新版办公自动化系统投入运用以来,经过不断改进和完善,内容更加丰富,信息量增大,在工作中发挥了重要作用。但信息上网方面存在着上网格式不规范,字词不准确的,更新时间长等问题。为规范办公自动化上网信息,根据目前办公自动化应用实际,提出如下意见,请认真遵照执行。
一、省局办公自动化系统上网信息由办公室统一管理,机关各部门负责本部门栏目信息的发布与管理,信息中心负责系统运行的技术支持。各部门各司其职,确保办公自动化系统信息发布真实有效,字词规范,安全可靠。
二、各部门要进一步加强对信息上网工作的领导,明确分管部门负责人,确定信息发布人员,采取积极措施,认真组织好本部门的信息发布与管理工作。
三、进一步严格信息的发布审查,对信息的起草、审核、发布等各个环节,各部门都要层层认真把关,确保上网信息内容真实可靠,字词标准规范。从即日起,凡上网信息、简报等一律注明
审核人、拟稿人或责任编辑姓名。
四、各部门出现误操作或发现不合适的信息,能自行删除的由本部门尽快删除。不能自行删除的请及时与信息中心 系统管理员联系,以便尽快从网上清除。
五、各部门要进一步强化保密意识,不适于上网发布的信息严禁上网。各类文件、会议纪要等如有不宜上网的内容,请在发文处理签上注明不上网,以便办公室办理。
六、各部门工作动态、情况要及时上网,保证办公自动化界面及时得到更新。
七、省局办公自动化网上栏目的设置与调整由省局办公室统一管理,有关部门如需新增、调整栏目需经办公室同意后方可实施。任何部门不得自行添加、调整栏目。
八、各市河务局参照省局做法,建立制度,明确责任,进一步加强对本单位信息上网的管理。
九、对机关各部门、各市河务局办公自动化上网的信息,省局办公室将适时组织检查评比,并纳入目标管理考核。
第四篇:关于规范办公自动化系统信息发布的通知
机关各部门,各市河务(管理)局:
我局新版办公自动化系统投入运用以来,经过不断改进和完善,内容更加丰富,信息量增大,在工作中发挥了重要作用。但信息上网方面存在着上网格式不规范,字词不准确的,更新时间长等问题。为规范办公自动化上网信息,根据目前办公自动化应用实际,提出如下意见,请认真遵照执行。
一、省局办公自动化系统上网信息由办公室统一管理,机关各部门负责本部门栏目信息的发布与管理,信息中心负责系统运行的技术支持。各部门(单位)各司其职,确保办公自动化系统信息发布真实有效,字词规范,安全可靠。
二、各部门要进一步加强对信息上网工作的领导,明确分管部门负责人,确定信息发布人员,采取积极措施,认真组织好本部门的信息发布与管理工作。
三、进一步严格信息的发布审查,对信息的起草、审核、发布等各个环节,各部门都要层层认真把关,确保上网信息内容真实可靠,字词标准规范。从即日起,凡上网信息、简报等一律注明
审核人、拟稿人或责任编辑姓名。
四、各部门出现误操作或发现不合适的信息,能自行删除的由本部门尽快删除。不能自行删除的请及时与信息中心系统管理员联系,以便尽快从网上清除。
五、各部门要进一步强化保密意识,不适于上网发布的信息严禁上网。各类文件、会议纪要等如有不宜上网的内容,请在发文处理签上注明不上网,以便办公室办理。
六、各部门(单位)工作动态、情况要及时上网,保证办公自动化界面及时得到更新。
七、省局办公自动化网上栏目的设置与调整由省局办公室统一管理,有关部门如需新增、调整栏目需经办公室同意后方可实施。任何部门不得自行添加、调整栏目。
八、各市河务(管理)局参照省局做法,建立制度,明确责任,进一步加强对本单位信息上网的管理。
九、对机关各部门、各市河务(管理)局办公自动化上网的信息,省局办公室将适时组织检查评比,并纳入目标管理考核。
第五篇:公安机关信息安全等级保护检查工作规范(试行)
公安机关信息安全等级保护检查工作规范(试行)
2009-06-29 10:13:18
来源:本站
网友评论 0条
第一条 为规范公安机关公共信息网络安全监察部门开展信息安全等级保护检查工作,根据《信息安全等级保护管理办法》(以下简称《管理办法》),制定本规范。
第二条 公安机关信息安全等级保护检查工作是指公安机关依据有关规定,会同主管部门对非涉密重要信息系统运营使用单位等级保护工作开展和落实情况进行检查,督促、检查其建设安全设施、落实安全措施、建立并落实安全管理制度、落实安全责任、落实责任部门和人员。
第三条 信息安全等级保护检查工作由市(地)级以上公安机关公共信息网络安全监察部门负责实施。每年对第三级信息系统的运营使用单位信息安全等级保护工作检查一次,每半年对第四级信息系统的运营使用单位信息安全等级保护工作检查一次。
第四条 公安机关开展检查工作,应当按照“严格依法,热情服务”的原则,遵守检查纪律,规范检查程序,主动、热情地为运营使用单位提供服务和指导。
第五条 信息安全等级保护检查工作采取询问情况,查阅、核对材料,调看记录、资料,现场查验等方式进行。
第六条 检查的主要内容:
(一)等级保护工作组织开展、实施情况。安全责任落实情况,信息系统安全岗位和安全管理人员设置情况;
(二)按照信息安全法律法规、标准规范的要求制定具体实施方案和落实情况;
(三)信息系统定级备案情况,信息系统变化及定级备案变动情况;
(四)信息安全设施建设情况和信息安全整改情况;
(五)信息安全管理制度建设和落实情况;
(六)信息安全保护技术措施建设和落实情况;
(七)选择使用信息安全产品情况;
(八)聘请测评机构按规范要求开展技术测评工作情况,根据测评结果开展整改情况;
(九)自行定期开展自查情况;
(十)开展信息安全知识和技能培训情况。
第七条 检查项目:
(一)等级保护工作部署和组织实施情况
1.下发开展信息安全等级保护工作的文件,出台有关工作意见或方案,组织开展信息安全等级保护工作情况。
2.建立或明确安全管理机构,落实信息安全责任,落实安全管理岗位和人员。
3.依据国家信息安全法律法规、标准规范等要求制定具体信息安全工作规划或实施方案。
4.制定本行业、本部门信息安全等级保护行业标准规范并组织实施。
(二)信息系统安全等级保护定级备案情况
1.了解未定级、备案信息系统情况以及第一级信息系统有关情况,对定级不准的提出调整建议。
2.现场查看备案的信息系统,核对备案材料,备案单位提交的备案材料与实际情况相符合情况。
3.补充提交《信息系统安全等级保护备案登记表》表四中有关备案材料。
4.信息系统所承载的业务、服务范围、安全需求等发生变化情况,以及信息系统安全保护等级变更情况。
5.新建信息系统在规划、设计阶段确定安全保护等级并备案情况。
(三)信息安全设施建设情况和信息安全整改情况 1.部署和组织开展信息安全建设整改工作。
2.制定信息安全建设规划、信息系统安全建设整改方案。
3.按照国家标准或行业标准建设安全设施,落实安全措施。
(四)信息安全管理制度建立和落实情况
1.建立基本安全管理制度,包括机房安全管理、网络安全管理、系统运行维护管理、系统安全风险管理、资产和设备管理、数据及信息安全管理、用户管理、备份与恢复、密码管理等制度。
2.建立安全责任制,系统管理员、网络管理员、安全管理员、安全审计员是否与本单位签订信息安全责任书。
3.建立安全审计管理制度、岗位和人员管理制度。
4.建立技术测评管理制度,信息安全产品采购、使用管理制度。
5.建立安全事件报告和处置管理制度,制定信息系统安全应急处置预案,定期组织开展应急处置演练。
6.建立教育培训制度,定期开展信息安全知识和技能培训。
(五)信息安全产品选择和使用情况
1.按照《管理办法》要求的条件选择使用信息安全产品。
2.要求产品研制、生产单位提供相关材料。包括营业执照,产品的版权或专利证书,提供的声明、证明材料,计算机信息系统安全专用产品销售许可证等。
3.采用国外信息安全产品的,经主管部门批准,并请有关单位对产品进行专门技术检测。
(六)聘请测评机构开展技术测评工作情况
1.按照《管理办法》的要求部署开展技术测评工作。对第三级信息系统每年开展一次技术测评,对第四级信息系统每半年开展一次技术测评。
2.按照《管理办法》规定的条件选择技术测评机构。
3.要求技术测评机构提供相关材料。包括营业执照、声明、证明及资质材料等。
4.与测评机构签订保密协议。
5.要求测评机构制定技术检测方案。
6.对技术检测过程进行监督,采取了哪些监督措施。
7.出具技术检测报告,检测报告是否规范、完整,检查结果是否客观、公正。
8.根据技术检测结果,对不符合安全标准要求的,进一步进行安全整改。
(七)定期自查情况
1.定期对信息系统安全状况、安全保护制度及安全技术措施的落实情况进行自查。第三级信息系统是否每年进行一次自查,第四级信息系统是否每半年进行一次自查。
2.经自查,信息系统安全状况未达到安全保护等级要求的,运营、使用单位进一步进行安全建设整改。
第八条 各级公安机关按照“谁受理备案,谁负责检查”的原则开展检查工作。具体要求是:
对跨省或者全国联网运行、跨市或者全省联网运行等跨地域的信息系统,由部、省、市级公安机关分别对所受理备案的信息系统进行检查。对辖区内独自运行的信息系统,由受理备案的公安机关独自进行检查。
第九条 对跨省或者全国联网运行的信息系统进行检查时,需要会同其主管部门。因故无法会同的,公安机关可以自行开展检查。
第十条 公安机关开展检查前,应当提前通知被检查单位,并发送《信息安全等级保护监督检查通知书》。
第十一条 检查时,检查民警不得少于两人,并应当向被检查单位负责人或其他有关人员出示工作证件。第十二条 检查中应当填写《信息系统安全等级保护监督检查记录》(以下简称 《监督检查记录》)。检查完毕后,《监督检查记录》应当交被检查单位主管人员阅后签字;对记录有异议或者拒绝签名的,监督、检查人员应当注明情况。《监督检查记录》应当存档备查。[!--empirenews.page--] 第十三条 检查时,发现不符合信息安全等级保护有关管理规范和技术标准要求,具有下列情形之一的,应当通知其运营使用单位限期整改,并发送《信息系统安全等级保护限期整改通知书》(以下简称《整改通知》)。逾期不改正的,给予警告,并向其上级主管部门通报:
(一)未按照《管理办法》开展信息系统定级工作的;
(二)信息系统安全保护等级定级不准确的;
(三)未按《管理办法》规定备案的;
(四)备案材料与备案单位、备案系统不符合的;
(五)未按要求及时提交《信息系统安全等级保护备案登记表》表四的有关内容的;
(六)系统发生变化,安全保护等级未及时进行调整并重新备案的;
(七)未按《管理办法》规定落实安全管理制度、技术措施的;
(八)未按《管理办法》规定开展安全建设整改和安全技术测评的;
(九)未按《管理办法》规定选择使用信息安全产品和测评机构的;
(十)未定期开展自查的;
(十一)违反《管理办法》其他规定的。
第十四条 检查发现需要限期整改的,应当出具《整改通知》,自检查完毕之日起10个工作日内送达被检查单位。
第十五条 信息系统运营使用单位整改完成后,应当将整改情况报公安机关,公安机关应当对整改情况进行检查。
第十六条 公安机关实施信息安全等级保护监督检查的法律文书和记录,应当统一存档备查。
第十七条 受理备案的公安机关应该配备必要的警力,专门负责信息安全等级保护监督、检查和指导。从事检查工作的民警应当经过省级以上公安机关组织的信息安全等级保护监督检查岗位培训。
第十八条 公安机关对检查工作中涉及的国家秘密、工作秘密、商业秘密和个人隐私等应当予以保密。
第十九条 公安机关进行安全检查时不得收取任何费用。
第二十条 本规范所称“以上”包含本数(级)。
第二十一条 本规范自发布之日起实施。