中国人民银行关于发布《网上银行系统信息安全通用规范》行业标准的通...
中国人民银行关于发布《网上银行系统信息安全通用规范》行业标准的通知
文章属性
【制定机关】中国人民银行
【公布日期】2012.05.08
【文 号】银发[2012]121号
【施行日期】2012.05.08
【效力等级】部门规范性文件
【时效性】失效
【主题分类】标准化
正文
中国人民银行关于发布《网上银行系统信息安全通用规范》行业标准的通知
  (银发[2012]121号)
  中国人民银行上海总部,各分行、营业管理部,各省会(首府)城市中心支行,各副省级城市中心支行,国家开发银行,政策性银行、国有商业银行,股份制商业银行,中国邮政储蓄银行,清算总中心,金电公司,中国银联,交易商协会,支付清算协会:
  《网上银行系统信息安全通用规范》行业标准已经全国金融标准化技术委员会审查通过,现予以发布,并就有关事项通知如下:
  一、标准的编号及名称
  JR/T0068-2012《网上银行系统信息安全通用规范
  》
  二、本标准自发布之日起实施,《网上银行系统信息安全通用规范(试行)》(银发[2010]19号文印发)自本标准发布之日起废止。
  请人民银行分支机构将本通知转发至辖区内地方性金融机构。
  联系人;董贞良 曲维民
  电 话:(010)66194640 (010)66194552
  附件:网上银行系统信息安全通用规范
中国人民银行 
  二0一二年五月八日
  附件
  ICS 35.240.40
  A 11
  备案号:
  JR
  中华人民共和国金融行业标准
  JR/T 0068-2012
  ----------------------------------------------------------------------------------------------------------
网上银行系统信息安全通用规范
  General specification of information security for internet banking system
  2012-05-08发布                                  2012-05-08实施
  ----------------------------------------------------------------------------------------------------------
  中国人民银行 发布
  目次
  前言
  引言
  1 范围
  2 规范性引用文件
  3 术语和定义
  4 符号和缩略语
  5 网上银行系统概述
  6 安全规范
  附录A(资料性附录) 基本的网络防护架构参考图
  附录B(资料性附录) 增强的网络防护架构参考图
  附录C(规范性附录) 物理安全
  参考文献
  前言
  本标准按照GB/T 1.1-2009给出的规则起草。
  本标准由中国人民银行提出。
  本标准由全国金融标准化技术委员会(SAC/TC 180)归口。
  本标准起草单位:中国人民银行、银行卡检测中心。
  本标准主要起草人: 王永红、李晓枫、杨竑、郭全明、王小青、王梅、董贞良、田朝阳、刘志刚、杜磊、李海滨、刘红波、孙茂增。
  本标准为首次发布。
  引言
  本标准是在收集、分析评估检查发现的网上银行系统信息安全问题和已发生过的网上银行案件的基础上,有针对性提出的安全要求,内容涉及网上银行系统的技术、管理和业务运作三个方面。
  本标准分为基本要求和增强要求两个层次,基本要求为最低安全要求,增强要求为本标准下发之日起的三年内应达到的安全要求。各单位应在遵照执行基本要求的同时,按照增强
要求,积极采取改进措施,在规定期限内达标。
  本标准旨在有效增强现有网上银行系统安全防范能力,促进网上银行规范、健康发展。本标准既可作为网上银行系统建设和改造升级的安全性依据以及各单位开展安全检查和内部审计的依据,也可作为行业主管部门、专业检测机构进行检查、检测及认证的依据。
  网上银行系统信息安全通用规范
1 范围
  本标准包含了网上银行系统的描述、安全技术规范、安全管理规范、业务运作安全规范。
  本标准适用于网上银行系统建设、运营及测评。
2 规范性引用文件
  下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
  GB/T 25069 信息安全技术 术语
3 术语和定义
  GB/T 25069确立的以及下列术语和定义适用于本文件。
  3.1网上银行 Internet banking
  商业银行等金融机构通过互联网、移动通信网络、其他开放性公众网络或专用网络基础设施向其客户提供网上金融业务的服务。
  3.2互联网 Internet
  因特网或其他类似形式的通用性公共计算机通信网络。
  3.3敏感信息 sensitive information
  主要指影响网上银行安全的密码、密钥以及交易敏感数据等信息,密码包括但不限于转账密码、查询密码、登录密码、证书的PIN等,密钥包括但不限于用于确保通讯安全、报文完
整性等的密钥,交易敏感数据包括但不局限于完整、有效期、CVN、CVN2、证件号码等。
  3.4客户端程序 client program
  为网上银行客户提供人机交互功能的程序,以及提供必需功能的组件,包括但不限于:可执行文件、控件、静态链接库、动态链接库等,不包括IE等通用浏览器。
  3.5USB Key
  一种USB接口的硬件设备。它内置单片机或智能卡芯片,有一定的存储空间,可以存储用户的私钥以及数字证书。
  3.6USB Key固件 USB Key firmware
  影响USB Key安全的内置在USB Key内的程序代码。
  3.7移动终端 mobile terminal
邮政网银登陆
  本标准中特指区别于传统PC机方式,以手机、平板电脑等通过通信网络访问网上银行的移动设备。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。