网上银行系统信息安全通用规范(试行)技术解读

网上银行系统信息安全通用规范(试行)技术解读

《网上银行系统信息安全通用规范(试行)》技术解读 发表于:2010-5-14

为加强我国网上银行安全管理，促进网上银行业务健康发展，有效增强网上银行系统信息安全防范能力，2010年1月19日中国人民银行向银行业金融机构发布 了《网上银行系统信息安全通用规范(试行)》(以下简称《规范》)，本文将就《规范》的内容和技术特点做重点解读。

一、《规范》出台的背景

自1998年招商银行率先在国内推出“一网通”领跑网上金融业以来，国内已有近百家国有银行和城市商业银行加入了网上银行行列，纷纷开通网络转账、付款、 贷款和投资等业务。据中国银行业协会发布的《2009年度中国银行业服务改进情况报告》数据显示，截止2009年底，我国网上银行注册用户数达到1.89 亿，网银交易额达404.88万亿元。网上银行交易快捷、方便和操作简单的特性，极大地满足了网民的交易需求，因而倍受网民的青睐。

但是，由于互联网的开放性，网上银行系统的安全性问题令人担忧。目前，犯罪分子作案手段层出不穷，通过木马、钓鱼网站等威胁客户资金安全，甚至对网银系统 进行恶意渗透破坏和拒绝服务攻击。网上银行趋利性犯罪的高发态势，不仅会损害广大用户的经济利益，也将成为网上银行业务进一步发展的掣肘。因此，我国金融 行业亟需出台一项网上银行系统安全方面的标准，从技术标准层面引导网银业务的发展。

二、《规范》的基本内容

众所周知，网上银行系统在客户端、认证介质、网银后台三个主要安全点可能存在安全隐患，而将这三个安全点串联起来的交易传输网络也可能存在一定的安全风 险，由此构成了整个网上银行系统的安全风险链。在《信息安全技术网上

2007)》的基础上，结合网上银银行系统信息安全保障评估准则(GB/T 20983- 行系统的技术和业务特点，人民银行及时出台了该《规范》。

该《规范》共分为安全技术、安全管理和业务运作三部分，各部分又分别包含基本要求和增强要求两个层次，基本要求为最低安全要求，增强要求为三年内应达到的 安全要求。其中，安全技术规范内容包括:客户端安全、专用辅助设备安全、网络通信安全、银行服务器端安全四个方面;安全管理规范内容包括:组织机构、管理 制度、安全策略、人员/文档管理和系统运行管理五个方面;业务运作安全内容包括:业务申请及开通、业务安全交易机制和客户宣传教育三个方面。

《规范》要求银行业金融机构现阶段要遵照执行基本要求，同时积极采取改进措施，在规定期限内达到增强要求。

三、《规范》的技术特点

《规范》对目前已知的网上银行犯罪案例、网上银行常见交易认证机制存在的问题进行挖掘和分析，通过对商业银行网上银行安全检查进行深入分析和总结，从正面 提出规范性要求，具有较强的针对性和可操作性;不仅针对网上银行现实问题，而且针对潜在风险点均提出了应对措施，具有前瞻性;同时内容涵盖了网上银行系统 各个部分、交易的全过程，具有全面性。《规范》的主要技术特点包括:

(1)明确规定禁止仅使用文件证书或文件证书加静态密码的方式进行转账类操作

目前，用户使用文件证书作为认证方式时，其私钥保存在客户端计算机内，而且签名等涉及私钥的敏感操作也在客户的计算机上进行。大部分对于文件证书的保护机 制都依赖于浏览器，而浏览器对于文件证书的保护机制已经不足以抵御目前

的各种攻击。因此，《规范》明确禁止仅使用文件证书进行转账类操作，从而能够有效规 避不法分子对客户资金安全的直接威胁，约束金融机构更好地保护客户利益。

(2)强调客户端的安全性

目前，绝大多数网上银行安全事件源于客户端安全隐患。由于客户端受到网上银行木马程序、网上钓鱼等黑客技术的侵害，且客户端程序基于通用浏览器开发，这会 存在利用通用浏览器的漏洞获取客户的网上银行登录信息的风险，另外客户端采用的安全控件防护强度较弱等问题都有可能导致其无法抵御一些常见攻击，因此对客 户端程序的检测就显得十分重要。

《规范》要求在客户端程序上线前要进行严格的代码测试，并关注最新的安全技术和安全漏洞，定期对客户端程序进行检查，从而能够及时发现客户端程序存在的漏 洞并采取相应的规避措施。同时，金融机构应通过专业的第三方测试机构对客户端程序进行安全检测，目的是通过内部和外部的检测，能够公正、及时、全面地反映 客户端程序存在的问题，从而尽可能地保证其防范常见的针对网上银行客户端的攻击，例如防范采用挂钩Windows键盘消息等方式进行键盘窃听。

(3)对硬件数字证书的应用提出规范要求

USB Key作为专用辅助安全设备的主流产品，其相关安全测试和准入机制还不完善，黑客可能利用USB Key设计上存在的缺陷获得对Key的控制权。《规范》要求USB Key能够防范常见的物理攻击和逻辑攻击，进行PIN码加密传输，并在进行敏感操作时具有提示功能。同时《规范》要求对网上银行上经常使用的USB Key、OTP令牌、动态口令卡和其他专用辅助安全设备进行安全性检测，从源头上解决专用辅助安全设备的安全缺陷所导致的网上银行安全问题，有效防范应用 中的漏洞隐患。

(4)交易机制的规范化基于客户计算机终端不安全的假定