网上银行系统信息安全通用规范

网上银行系统信息安全通用规范

外部区域：网上银行的用户，安装网上银行客户端，通过互联网访问网上银行业务系统； 安全区域一：网上银行访问子网，主要提供客户的Web访问； 安全区域二：网上银行业务系统，主要进行网上银行的业务处理； 银行内部系统：银行处理系统，主要进行银行内部的数据处理。

6 安全规范

作为金融机构IT业务应用系统之一，网上银行系统需要与其他业务应用系统一起纳入金融机构全面的风险管理体系中。网上银行信息安全规范可分为安全技术规范、安全管理规范和业务运作安全规范。安全技术规范从客户端安全、专用辅助安全设备安全、网络通信安全和网上银行服务器端安全几个方面提出；安全管理规范从组织结构、管理制度、人员及文档管理和系统运行管理几个方面提出，业务运作安全规范从业务申请及开通、业务安全交易机制、客户教育几个方面提出。下面将分别对其进行阐述。

6.1 安全技术规范 6.1.1 客户端安全 6.1.1.1 客户端程序

A. 基本要求：

a) 客户端程序上线前应进行严格的代码安全测试，如果客户端程序是外包给第三方机构开发的，金融机构应要求开发商进行代码安全测试。金融机构应建立定期对客户端程序进行安全检测的机制。

b) 客户端程序应通过指定的第三方中立测试机构的安全检测。

c) 客户端程序应具有抗逆向分析、抗反汇编等安全性防护措施，防范攻击者对客户端程序的调试、分析和篡改。

d) 客户端程序的临时文件中不应出现敏感信息，临时文件包括但不限于Cookies。客户端程序应禁止在身份认证结束后存储敏感信息，防止敏感信息的泄露。

第 9 页

网上银行系统信息安全通用规范

e) 客户端程序应防范键盘窃听敏感信息，例如防范采用挂钩Windows键盘消息等方式进行键盘窃听，并应具有对通过挂钩窃听键盘信息进行预警的功能。

f) 客户端程序应防范恶意程序获取或篡改敏感信息，例如使用浏览器接口保护控件进行防范。 B. 增强要求：

a) 客户端程序应保护在客户端启动的用于访问网上银行的进程，防止非法程序获取该进程的访问权限。 b) 进行转账类交易时，客户端程序应采取防范调试跟踪的措施，例如开启新的进程。 c) 客户端程序应采用反屏幕录像技术，防止非法程序获取敏感信息。

6.1.1.2 密码保护

A. 基本要求：

a) 禁止明文显示密码，应使用相同位数的同一特殊字符（例如*和#）代替。 b) 密码应有复杂度的要求，包括： ? ?

长度至少6位，支持字母和数字共同组成。 在客户设置密码时，应提示客户不使用简单密码。

c) 如有初始密码，首次登录时应强制客户修改初始密码。

d) 应具有防范暴力破解静态密码的保护措施，例如在登录和交易时使用图形认证码，图形认证码应满足： ? ? ? ?

由数字和字母组成。 随机产生。

包含足够的噪音干扰信息，避免恶意代码自动识别图片上的信息。 具有使用时间限制并仅能使用一次。

e) 使用软键盘方式输入密码时，应对整体键盘布局进行随机干扰。 f) 应保证密码的加密密钥的安全。 g) 应提醒客户区分转账密码与其他密码。 B. 增强要求：

第 10 页

网上银行系统信息安全通用规范

a) 采用辅助安全设备（例如USB Key或专用密码输入键盘）输入并保护密码。 b) 密码输入后立即加密，敏感信息在应用层保持端到端加密，即保证数据在从源点到终点的过程中始终以密文形式存在。

6.1.1.3 登录控制

A. 基本要求：

a) 设置连续失败登录次数为10次以下，超过限定次数应锁定网上银行登录权限。 b) 退出登录或客户端程序、浏览器页面关闭后，应立即终止会话，保证无法通过后退、直接输入访问地址等方式重新进入登录后的网上银行页面。 c) 退出登录时应提示客户取下专用辅助安全设备，例如USB Key。 B. 增强要求：

屏蔽客户端使用Ctrl+N等快捷键等方式重复登录。

6.1.2 专用辅助安全设备安全 6.1.2.1 USB Key

A. 基本要求：

a) 金融机构应使用指定的第三方中立测试机构安全检测通过的USB Key。 b) 应在安全环境下完成USB Key的个人化过程。

c) USB Key应采用具有密钥生成和数字签名运算能力的智能卡芯片，保证敏感操作在USB Key内进行。

d) USB Key的主文件（Master File）应受到COS安全机制保护，保证客户无法对其进行删除和重建。

e) 应保证私钥在生成、存储和使用等阶段的安全： ? ?

私钥应在USB Key内部生成，不得固化密钥对和用于生成密钥对的素数。 禁止以任何形式从USB Key读取或写入私钥。

第 11 页

网上银行系统信息安全通用规范

? ? ?

私钥文件应与普通文件类型不同，应与密钥文件类型相同或类似。 USB Key在执行签名等敏感操作前应经过客户身份鉴别。

USB Key在执行签名等敏感操作时，应具备操作提示功能，包括但不限于声音、指示灯、屏幕显示等形式。

f) 参与密钥、PIN码运算的随机数应在USB Key内生成，其随机性指标应符合国际通用标准的要求。

g) 密钥文件在启用期应封闭，禁止以添加新密钥文件的方式对密钥进行删除操作。 h) 签名交易完成后，状态机应立即复位。 i) 应保证PIN码和密钥的安全： ? ? ?

采用安全的方式存储和访问PIN码、密钥等敏感信息。 PIN码和密钥（除公钥外）不能以任何形式输出。

经客户端输入进行验证的PIN码在其传输到USB Key的过程中，应加密传输，并保证在传输过程中能够防范重放攻击。 ? ?

PIN码连续输错次数达到错误次数上限（不超过6次），USB Key应锁定。 同一型号USB Key在不同银行的网上银行系统中应用时，应使用不同的根密钥，且主控密钥、维护密钥、传输密钥等对称算法密钥应使用根密钥进行分散。

j) USB Key使用的密码算法应经过国家主管部门认定。

k) 应设计安全机制保证USB Key驱动的安全，防止被篡改或替换。

l) 对USB Key固件进行的任何改动，都必须经过归档和审计，以保证USB Key中不含隐藏的非法功能和后门指令。

m) USB Key应具备抵抗旁路攻击的能力，包括但不限于： ? ?

抗SPA/DPA攻击能力 抗SEMA/DEMA攻击能力

n) 在外部环境发生变化时，USB Key不应泄漏敏感信息或影响安全功能。外部环境的变化包含但不限于： ? ?

高低温 高低电压

第 12 页