中国人民银行关于印发《网上银行系统信息安全通用规范(试行)》的通知
文章属性
∙【制定机关】中国人民银行
∙【公布日期】2010.01.18
∙【文 号】银发[2010]19号
∙【施行日期】2010.01.18
∙【效力等级】部门规范性文件
∙【时效性】失效
∙【主题分类】银行业监督管理
正文
中国人民银行关于印发《网上银行系统信息安全通用规范(试行)》的通知
(2010年1月18日 银发[2010]19号)
中国人民银行上海总部,各分行、营业管理部,各省会(首府)城市中心支行,副省级城市中心支行;各政策性银行、国有商业银行、股份制商业银行,中国邮政储蓄银行:
为加强网上银行管理,促进网上银行业务健康发展,有效增强网上银行系统的信息安全防范能力,中国人民银行制定了《网上银行系统信息安全通用规范(试行)》,现印发给你们,请遵照执行。
请中国人民银行上海总部,各分行、营业管理部、省会(首府)城市中心支行,副省级城市中心支行将本通知转发至辖区内各城市商业银行、农村商业银行、城市信用社和农村信用社。
执行中如遇问题,请及时告知中国人民银行科技司。
开通邮政网上银行 附件:网上银行系统信息安全通用规范(试行)
附件
网上银行系统信息安全通用规范(试行)
(中国人民银行)
前言
本规范是在收集、分析评估检查发现的网上银行系统信息安全问题和已发生过的网上银行案件的基础上,有针对性提出的安全要求,内容涉及网上银行系统的技术、管理和业务运作三个方面。
本规范分为基本要求和增强要求两个层次。基本要求为最低安全要求,增强要求为本规范下发之日起的三年内应达到的安全要求,各单位应在遵照执行基本要求的同时,按照增强要求,积极采取改进措施,在规定期限内达标。
本规范旨在有效增强现有网上银行系统安全防范能力,促进网上银行规范、健康发展。本规范既可作为网上银行系统建设和改造升级的安全性依据,也可作为各单位开展安全检查和内部审计的依据。
1使用范围和要求
2规范性引用文件
3术语和定义
3.1网上银行
3.2互联网
3.3敏感信息
3.4客户端程序
3.5 USBKey
3.6 USBKey 固件
3.7强效加密
4符号和缩略语
5网上银行系统概述
5.1系统标识
5.2系统定义
5.3系统描述
5.4安全域
6安全规范
6.1安全技术规范
6.2安全管理规范
6.3业务运作安全规范
附1 基本的网络防护架构参考图
附2 增强的网络防护架构参考图
1使用范围和要求
本规范指出了网上银行系统的描述、安全技术规范、安全管理规范、业务运作安全规范,适用于规范网上银行系统建设、运营及测评工作。
2规范性引用文件
下列文件中的条款通过本规范的引用而成为本规范的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本规范,然而,鼓励根据本规范达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本规范。
GB/T 20983-2008信息安全技术 网上银行系统信息安全保障评估准则
GB/T 22239-2008信息安全技术 信息系统安全等级保护基本要求
GB/T 20984-2007信息安全技术 信息系统风险评估规范
GB/T 18336.1-2008信息技术 安全技术 信息技术安全性评估准则第1部分:简介和一般模型
GB/T 18336.2-2008信息技术 安全技术 信息技术安全性评估准则第2部分:安全功能要求
GB/T 18336.3-2008信息技术 安全技术 信息技术安全性评估准则第3部分:安全保证要求
GB/T 22080-2008信息技术 安全技术 信息安全管理体系要求
GB/T 22081-2008信息技术 安全技术 信息安全管理使用规则
GB/T 14394-2008计算机软件可靠性和可维护性管理
GB/T 22239-2008信息安全技术信息系统安全等级保护基本要求
《中国人民银行关于进一步加强银行业金融机构信息安全保障工作的指导意见》(银发[2006]123号)
《中国人民银行 中国银行业监督管理委员会 公安部 国家工商总局关于加强银行卡安全管理预防和打击银行卡犯罪的通知》(银发[2009]142号)
《中国人民银行办公厅关于贯彻落实〈中国人民银行 中国银行业监督管理委员会 公安部 国家工商总局关于加强银行卡安全管理预防和打击银行卡犯罪的通知〉的意见》(银办发[2009]149号)
3术语和定义
GB/T 20274确立的以及下列术语和定义适用于本规范。
3.1网上银行
商业银行等金融机构通过互联网等公众网络基础设施,向其客户提供各种金融业务。
3.2互联网
因特网或其他类似形式的通用性公共计算机通信网络。
3.3敏感信息
任何影响网上银行安全的密码、密钥以及交易数据等信息,密码包括但不限于转账密码、查询密码、登录密码、证书的PIN 码等。
3.4客户端程序
为网上银行客户提供人机交互功能的程序,以及提供必需功能的组件,包括但不限于:可执行文件、控件、静态链接库、动态链接库等。
3.5 USBKey
一种USB接口的硬件设备。它内置单片机或智能卡芯片,有一定的存储空间,可以存储用户的私钥以及数字证书。
3.6 USBKey 固件
影响USBKey安全的程序代码。
3.7强效加密
一个通用术语,表示极难被破译的加密算法。加密的强壮性取决于所使用的加密密钥。密钥的有效长度应不低于可比较的强度建议所要求的最低密钥长度。对于基于密钥的系统(如3DES),应不低于80位。对于基于因子的公用密钥算法(如 RSA),应不低于1024位。
4符号和缩略语
以下缩略语和符号表示适用于本规范:
┌──────────────┬────────────────────────────────────┐
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论