论坛公告:应用容器安全指南(SP800-190)中文版   美国政府宣布禁用卡巴斯基软件   《中华人民共和国网络安全法》讨论帖   新手报到专用帖   【论坛公告】关于本站广告贴泛滥问题的整理通知   

当前时区为 UTC + 8 小时


发表新帖 回复这个主题  [ 33 篇帖子 ]  前往页数 1, 2, 3  下一页
作者 内容
 文章标题 : 网上银行系统信息安全通用规范(试行)
帖子发表于 : 2010-08-30 12:33 
离线
中级用户

注册: 2010-03-09 11:55
最近: 2017-11-29 11:35
拥有: 3,021.00 安全币

奖励: 53 安全币
在线: 7136 点
帖子: 97
网上银行系统信息安全通用规范(试行)


附件:
银发2010 19号 网上银行系统信息安全通用规范(试行).pdf [1.06 MiB]

注意:所有附件下载均需支付10安全币,不足10安全币不能下载!重复下载以前下载过的附件不再需要安全币。


--------本帖迄今已累计获得51安全币用户奖励--------
回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 网上银行系统信息安全通用规范(试行)
帖子发表于 : 2010-08-30 12:59 
离线
中级用户

注册: 2006-11-24 17:35
最近: 2011-08-26 18:05
拥有: 36.00 安全币

奖励: 0 安全币
在线: 647 点
帖子: 60
做板凳了。谢谢分享!!!!


--------本帖迄今已累计获得10安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 网上银行系统信息安全通用规范(试行)
帖子发表于 : 2010-08-30 13:21 
离线
高级用户

注册: 2008-09-19 14:14
最近: 2013-06-14 12:49
拥有: 1,233.40 安全币

奖励: 0 安全币
在线: 1321 点
帖子: 185
下载了 谢谢分享


--------本帖迄今已累计获得2安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 网上银行系统信息安全通用规范(试行)
帖子发表于 : 2010-09-07 09:56 
离线
高级用户

注册: 2007-08-24 11:00
最近: 2013-03-05 12:53
拥有: 809.10 安全币

奖励: 0 安全币
在线: 1689 点
帖子: 174
谢谢楼主分享!!!


--------本帖迄今已累计获得10安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 网上银行系统信息安全通用规范(试行)
帖子发表于 : 2010-09-09 21:21 
离线
中级用户

注册: 2007-09-28 09:30
最近: 2012-05-26 12:41
拥有: 681.90 安全币

奖励: 4 安全币
在线: 935 点
帖子: 80
谢谢


--------本帖迄今已累计获得8安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 网上银行系统信息安全通用规范(试行)
帖子发表于 : 2010-09-09 22:30 
离线
顶级用户

注册: 2004-01-18 22:51
最近: 2016-03-06 08:44
拥有: 15,693.50 安全币

奖励: 21073 安全币
在线: 15455 点
帖子: 1956
为加强我国网上银行安全管理,促进网上银行业务健康发展,有效增强网上银行系统信息安全防范能力,2010年1月19日中国人民银行向银行业金融机构发布了《网上银行系统信息安全通用规范(试行)》(以下简称《规范》),本文将就《规范》的内容和技术特点做重点解读。
一、《规范》出台的背景
自1998年招商银行率先在国内推出“一网通”领跑网上金融业以来,国内已有近百家国有银行和城市商业银行加入了网上银行行列,纷纷开通网络转账、付款、贷款和投资等业务。据中国银行业协会发布的《2009年度中国银行业服务改进情况报告》数据显示,截止2009年底,我国网上银行注册用户数达到1.89亿,网银交易额达404.88万亿元。网上银行交易快捷、方便和操作简单的特性,极大地满足了网民的交易需求,因而倍受网民的青睐。
但是,由于互联网的开放性,网上银行系统的安全性问题令人担忧。目前,犯罪分子作案手段层出不穷,通过木马、钓鱼网站等威胁客户资金安全,甚至对网银系统进行恶意渗透破坏和拒绝服务攻击。网上银行趋利性犯罪的高发态势,不仅会损害广大用户的经济利益,也将成为网上银行业务进一步发展的掣肘。因此,我国金融行业亟需出台一项网上银行系统安全方面的标准,从技术标准层面引导网银业务的发展。

二、《规范》的基本内容
众所周知,网上银行系统在客户端、认证介质、网银后台三个主要安全点可能存在安全隐患,而将这三个安全点串联起来的交易传输网络也可能存在一定的安全风险,由此构成了整个网上银行系统的安全风险链。在《信息安全技术网上银行系统信息安全保障评估准则(GB/T 20983-2007)》的基础上,结合网上银行系统的技术和业务特点,人民银行及时出台了该《规范》。
该《规范》共分为安全技术、安全管理和业务运作三部分,各部分又分别包含基本要求和增强要求两个层次,基本要求为最低安全要求,增强要求为三年内应达到的安全要求。其中,安全技术规范内容包括:客户端安全、专用辅助设备安全、网络通信安全、银行服务器端安全四个方面;安全管理规范内容包括:组织机构、管理制度、安全策略、人员/文档管理和系统运行管理五个方面;业务运作安全内容包括:业务申请及开通、业务安全交易机制和客户宣传教育三个方面。
《规范》要求银行业金融机构现阶段要遵照执行基本要求,同时积极采取改进措施,在规定期限内达到增强要求。

三、《规范》的技术特点
《规范》对目前已知的网上银行犯罪案例、网上银行常见交易认证机制存在的问题进行挖掘和分析,通过对商业银行网上银行安全检查进行深入分析和总结,从正面提出规范性要求,具有较强的针对性和可操作性;不仅针对网上银行现实问题,而且针对潜在风险点均提出了应对措施,具有前瞻性;同时内容涵盖了网上银行系统各个部分、交易的全过程,具有全面性。《规范》的主要技术特点包括:
(1)明确规定禁止仅使用文件证书或文件证书加静态密码的方式进行转账类操作
目前,用户使用文件证书作为认证方式时,其私钥保存在客户端计算机内,而且签名等涉及私钥的敏感操作也在客户的计算机上进行。大部分对于文件证书的保护机制都依赖于浏览器,而浏览器对于文件证书的保护机制已经不足以抵御目前的各种攻击。因此,《规范》明确禁止仅使用文件证书进行转账类操作,从而能够有效规避不法分子对客户资金安全的直接威胁,约束金融机构更好地保护客户利益。
(2)强调客户端的安全性
目前,绝大多数网上银行安全事件源于客户端安全隐患。由于客户端受到网上银行木马程序、网上钓鱼等黑客技术的侵害,且客户端程序基于通用浏览器开发,这会存在利用通用浏览器的漏洞获取客户的网上银行登录信息的风险,另外客户端采用的安全控件防护强度较弱等问题都有可能导致其无法抵御一些常见攻击,因此对客户端程序的检测就显得十分重要。
《规范》要求在客户端程序上线前要进行严格的代码测试,并关注最新的安全技术和安全漏洞,定期对客户端程序进行检查,从而能够及时发现客户端程序存在的漏洞并采取相应的规避措施。同时,金融机构应通过专业的第三方测试机构对客户端程序进行安全检测,目的是通过内部和外部的检测,能够公正、及时、全面地反映客户端程序存在的问题,从而尽可能地保证其防范常见的针对网上银行客户端的攻击,例如防范采用挂钩Windows键盘消息等方式进行键盘窃听。
(3)对硬件数字证书的应用提出规范要求
USB Key作为专用辅助安全设备的主流产品,其相关安全测试和准入机制还不完善,黑客可能利用USB Key设计上存在的缺陷获得对Key的控制权。《规范》要求USB Key能够防范常见的物理攻击和逻辑攻击,进行PIN码加密传输,并在进行敏感操作时具有提示功能。同时《规范》要求对网上银行上经常使用的USB Key、OTP令牌、动态口令卡和其他专用辅助安全设备进行安全性检测,从源头上解决专用辅助安全设备的安全缺陷所导致的网上银行安全问题,有效防范应用中的漏洞隐患。
(4)交易机制的规范化基于客户计算机终端不安全的假定
《规范》要求网上银行系统应具有防范客户端数据被篡改的机制,校验客户提交的数据之间的隶属关系,并由客户确认转账交易关键数据,以确保交易数据的真实有效。在进行确认时,推荐使用手机短信或电话等第二通信渠道请求客户反馈确认交易信息。同时,为了使客户能够及时获取资金变化的信息并发现可疑交易,《规范》规定了转账交易中,金融机构应提供及时通知客户资金变化的服务,通过采取有效措施,最大限度地保障客户信息和资金安全。
(5)关注Web应用安全
大部分网上银行系统都通过Web向用户提供服务,在Web应用中,《规范》要求应注意防范SQL注入、跨站脚本攻击、拒绝服务攻击等,保障网上银行系统能够经受黑客等不法分子的攻击,从而保证系统持续、安全运行。

四、《规范》出台的意义
《规范》是人民银行多年来对银行业网上银行信息安全管理工作实践与经验总结的提升,是对金融信息安全认识不断深化的重要成果,也是有效降低金融网络案件、维护金融稳定的重要举措。
《规范》为金融机构开展网上银行系统建设,内部安全检测和合规性审计提供了规范性依据,为行业主管部门、评估测试机构进行检查、检测提供了标准化依据。《规范》实施后,必将明显提高网上银行整体安全水平,特别是认证机制、交易机制安全性的完善提高,能够有效保障客户信息和资金的安全,增强客户信心,对推动网上银行更好更快发展,具有里程碑意义。
作为《规范》起草工作的参与单位,银行卡检测中心将继续配合人民银行科技司制订相应的《网上银行安全检测大纲》,通过试点检测,进一步完善《规范》,形成行业标准,并通过检查使标准落到实处。


--------本帖迄今已累计获得48安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : 《2009年度中国银行业服务改进情况报告》发布稿
帖子发表于 : 2010-09-10 08:57 
离线
顶级用户

注册: 2004-01-18 22:51
最近: 2016-03-06 08:44
拥有: 15,693.50 安全币

奖励: 21073 安全币
在线: 15455 点
帖子: 1956
报告从服务环境改进情况、服务流程改进情况、服务手段改进情况、服务理念转变情况、服务质量管理改进情况、系列服务规范形成情况六个方面客观地介绍了2009年度中国银行业改进服务所做的努力和所带来的新变化。

在服务环境改进方面,2009年中国银行业金融机构共对23955家网点进行了改造,占网点总数的14.67%;新增自助银行11231个,增幅为32%。通过优化改造,银行服务环境更加优美,服务设施更加齐备,服务体验更加惬意。与此同时,电话银行和网络银行发展迅猛,2009年末,新增电话银行个人客户7905万户,增幅为34.53%;新增电话银行企业客户88.8万户,增幅为57.89%。新增网络银行个人客户6153.82万户,增幅为51.2%。新增网络银行企业客户数110万户,增幅为37.94%。电话银行、网络银行的飞速发展,延伸了柜台、方便了客户,为客户提供了快捷、高效的服务。

在服务流程改进方面,中国银行业继续推进客户分层服务体系建设,强化网点功能分区,并加强了大堂服务和个性化服务。截至2009年末,中国银行业各网点机构共新增大堂经理11136人、新增理财师16438人,同比分别增加了19.26%和27.24%。大堂经理和理财师的大量配置,大大增强了银行前台服务和个性化服务能力。

在服务手段改进方面,银行业金融机构不断推进业务创新,打造新平台,开发新产品,完善产品功能,进行系统升级;服务精心化、管理精细化、运作流程化,有效提高了银行服务能力。

在服务理念转变方面,中国银行业以打造"最受信赖的友好型银行"为载体,以文明规范服务示范单位创建评选活动为抓手,倡导树立公平对待消费者的核心理念,并将其纳入银行企业文化建设,积极开展文明规范服务,保护消费者合法权益。


在服务质量管理改进方面,银行业金融机构把服务质量作为专项指标纳入经营绩效和业务发展考评中,同时成立服务管理专门机构,积极开展岗位练兵,加强客户投诉处理,有针对性地改善服务质量,化解声誉风险,树立了银行服务新形象。

在行业系列服务规范形成方面,中国银行业协会积极推进行业自律制度建设,制定形成了《中国银行业零售业务服务规范》等五项行业标准,进一步完善了行业自律制度体系,为银行服务提供了行业相关标准与指导。

服务改进永无止境,我们相信,在消费者的关心与社会的监督下,经过银行业的不懈努力,中国银行业的服务改进年年有翻新。 (摘自中国银行业协会网站)


--------本帖迄今已累计获得20安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : 文中提到的评估准则!
帖子发表于 : 2010-09-10 09:00 
离线
顶级用户

注册: 2004-01-18 22:51
最近: 2016-03-06 08:44
拥有: 15,693.50 安全币

奖励: 21073 安全币
在线: 15455 点
帖子: 1956
文中提到的评估准则!


附件:
文件注释: 信息安全技术网上银行系统信息安全保障评估准则-GBT 20983-2007
信息安全技术网上银行系统信息安全保障评估准则-GBT 20983-2007.doc [2.78 MiB]

注意:所有附件下载均需支付10安全币,不足10安全币不能下载!重复下载以前下载过的附件不再需要安全币。


--------本帖迄今已累计获得26安全币用户奖励--------
回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 网上银行系统信息安全通用规范(试行)
帖子发表于 : 2010-09-11 11:17 
离线
新手

注册: 2004-07-07 23:42
最近: 2012-06-21 17:30
拥有: 216.50 安全币

奖励: 0 安全币
在线: 1009 点
帖子: 14
说实话,很多内容要是真测试起来,还是很麻烦的。
比如6.1.2专用辅助安全设备安全。
另外有些说法不太好理解,不好验证。
应该有个专门的一条一条的解读文章!


--------本帖迄今已累计获得12安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 文中提到的评估准则!
帖子发表于 : 2010-10-01 15:12 
离线
新手

注册: 2009-09-18 12:35
最近: 2012-08-19 07:11
拥有: 227.00 安全币

奖励: 0 安全币
在线: 80 点
帖子: 18
linkenpark 写道:
文中提到的评估准则!


不错!是DOC版本,虽然是“报批稿”,内容同正式版应该差不多吧,可以对照地看。


--------本帖迄今已累计获得9安全币用户奖励--------


回到顶部
  用户资料  
 
 文章标题 : Re: 网上银行系统信息安全通用规范(试行)
帖子发表于 : 2010-11-20 21:35 
离线
新手

注册: 2006-05-19 10:42
最近: 2011-10-24 21:46
拥有: 20.00 安全币

奖励: 0 安全币
在线: 758 点
帖子: 9
可惜我的安全币不够啊


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 网上银行系统信息安全通用规范(试行)
帖子发表于 : 2010-11-24 09:46 
离线
新手

注册: 2009-06-11 11:48
最近: 2015-06-23 14:49
拥有: 502.00 安全币

奖励: 0 安全币
在线: 424 点
帖子: 7
觊觎了很久的宝贝材料,一直搞不到,终于得偿所愿,拜谢楼主。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 网上银行系统信息安全通用规范(试行)
帖子发表于 : 2010-12-13 17:21 
离线
新手

注册: 2004-12-26 23:20
最近: 2012-01-11 15:16
拥有: 32.10 安全币

奖励: 0 安全币
在线: 560 点
帖子: 16
不错。。。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 网上银行系统信息安全通用规范(试行)
帖子发表于 : 2010-12-19 12:04 
离线
中级用户

注册: 2004-08-20 09:49
最近: 2012-05-29 10:14
拥有: 99.50 安全币

奖励: 0 安全币
在线: 2022 点
帖子: 63
不错,同样是扫描的版本,要清楚不少,感谢


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 网上银行系统信息安全通用规范(试行)
帖子发表于 : 2010-12-19 12:58 
离线
初级用户

注册: 2008-09-13 13:45
最近: 2017-06-19 15:58
拥有: 234.60 安全币

奖励: 76 安全币
在线: 1058 点
帖子: 30
谢谢分享,pdf的。。。


回到顶部
 奖励本帖 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 33 篇帖子 ]  前往页数 1, 2, 3  下一页

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 1 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
华安信达(CISPS.org) ©2003 - 2012