48 /中国信息安全/2011.08
修改,形成《规范》征求意见第一稿。两轮征求商业银行意见,召开意见反馈现场讨论会,特邀总参三部专家共同研究,逐条修订,完成《规范》发文稿(银发[2010] 19号文件)。
《规范》的主要内容分为安全技术、安全管理和业务运作3部分。其中,安全技术规范内容包括:客户端安全、专用辅助安全设备、网络通信安全和银行服务器端安全4个方面;安全管理规范内容包括:组织机构、管理制度、安全策略、人员及文档管理和系统运行管理5个方面;业务运作安全内容包括:业务申请及开通、业务安全交易机制和客户宣传教育3个方面。
《规范》的主要特点是:对目前已知的网银犯罪案例、网银常见交易认证机制存在问题进行挖掘和分析,结合对商业银行网银安全检查的深入分析和总结,从正面提出规范性要求,具有较强的针对性和可操作性;不仅针对网银现实问题,而且针对潜在风险点均提出了应对措施,具有前瞻性;同时内容涵盖了网银系统各个部分、交易的全过程,具有全面性。
为了使网银安全能够得到显著提升,《规范》在以下几方面提出了要求:
明确规定禁止仅使用文件证书或使用文件证书加静态密码的方式进行转账类操作。使用
文件证书作为认证方式时,用户的私钥保存在客户端计算机内,而且签名等涉及私钥的敏感操作也在客
户的计算机上进行,目前大部分对于文件
年来,随着网络的商务交易类应用增
长,针对网银的趋利性犯罪呈高发态势,网银安全问题突出,严重阻碍了网银未来的健康规范发展。针对这些问题,中国人民银行近年来,通过各种措施,多次联合公安部、工信部等部委联合打击网上银行犯罪行为,规范网银安全,从制度建设与技术规范入手,加强网银系统的建设、运维和关键业务的风险防范。
2009年,中国人民银行决定起草《网上银行系统信息安全通用规范》(以下简称《规范》),有针对性地解决网银系统漏洞隐患问题,全面预防网银系统存在的安全问题,系统性地提高网银系统安全水平,增强网银系统的信息安全防范能力,促进网银业务健康发展。中国人民银行安全控件下载安装
《规范》制定条例的主要依据来源于三个方面:一是依据人民银行多年来对网银信息安全管理工作实践与经验的总结和提升;二是依据近三年来网银安全案件形成的调研报告;三是依据人民银行对国内商业银行网银系统的安全检查评估中发现的问题有针对性提出要求。
在中国人民银行科技司的统一组织和协调下,《规范》出台经过了以下几个阶段:一是归纳总结经验阶段。通过调研与分析,汇总、整理国家专业测评机构在网银研究与评估检测中发现问题及漏洞隐患,
对全国银行业金融机构网银系统进行现场检查,分析检查发现的问题。二是起草并征询意见阶段。在前期工作基础上,经过多次内部讨论、
统一规范能否一统安全
文/王梅 董贞良
解读《网上银行系统信息安全通用规范》
近
C N I T S E C
焦 点Focus
证书的保护机制都依赖于浏览器,而浏览器对于文件证书的保护机制已经不足以抵抗目前的各种攻击。禁止仅使用文件证书进行转账类操作,能够有效规避不法分子对客户资金安全的直接威胁,约束金融机构更好地保护客户利益。
规避客户端认证机制风险。目前,绝大多数网银安全事件源于客户端安全隐患。由于客户端受到网上
银行木马程序、网上钓鱼等黑客技术的侵害,且客户端程序基于通用浏览器开发,造成利用通用浏览器的漏洞获取客户网上银行登录信息的风险。另外,客户端采用的安全控件防护强度较弱等问题都有可能导致其无法抵御一些常见攻击。因此,对客户端程序的检测十分重要。《规范》要求:在客户端程序上线前要进行严格的代码测试,并关注最新的安全技术和安全漏洞,定期对客户端程序进行检查,从而能够及时发现客户端程序存在的漏洞并采取相应的规避措施。同时,金融机构应通过专业的测试机构对客户端程序进行安全检测。通过相关的检测,保证能够公正的、及时的、全面的反映客户端程序存在的问题,从而防范针对网银客户端的攻击。
针对硬件数字证书的应用提出了规范性要求。USB Key作为专用辅助安全设备的主流产品,其相关安全测试和准入机制还不完善,黑客可能利用USB Key设计上存在的缺陷获得对Key的控制权。《规范》要求USB Key能够防范常见的物理攻击和逻辑攻击,PIN码加密传输,并在进行敏感操作时具有提示功能。推动具有防远程劫持功能的USB Key广泛应用。同时,《规范》要求对网上银行经常使用的USB Key、OTP令牌、动态口令卡和其他专用辅助安全设备进行安全性检测,从源头上解决专用辅助安全设备的安全问题导致的网银安全问题,有效防范漏洞隐患。
对交易机制提出了规范要求。《规范》要求网银系统应具有防范客户端数据被篡改的机制,校验客户提交的数据之间的隶属关系,并由客户确认转账交易关键数据,以确保交易数据的真实有效。在进行确认时,推荐使用手机短信或电话等第二通信渠道请求客户反馈确认交易信息。同时,为了使客户能
够及时获取资金变化的信息,发现可疑交易,《规范》还规定了转账交易中,金融机构应提供及时通知客户资金变化的服务。通过采取有效措施,最大限度地保障客户信息和资金安全。
强调Web应用安全。大部分的网银系统都有通过Web向用户提供服务的功能。在Web应用
中,《规范》要求应注意防范SQL注入、跨站脚
本攻击、拒绝服务攻击等攻击,保障网上银行系
统能够经受黑客等不法分子的攻击,从而保证系
统持续、安全提供业务服务。此外,考虑到目前
国内金融机构的网上银行水平不一、实现方式各
异和改造周期长等特点,《规范》把内容分为基
本要求和增强要求两个层次。基本要求为最低安
全要求,增强要求为规范下发之日起的三年内应
达到的安全要求。金融机构现阶段要遵照执行基
本要求,同时,积极采取改进措施,在规定的三
年期限内达到增强要求,推动网银又好又快地发
展。各金融机构信息安全主管部门要以《规范》
为依据,继续加大检查工作力度,使《规范》要
求落到实处,促进网上银行规范、健康地发展。
此《规范》的制定,源于对目前已知的网银
犯罪案例、网银常见交易认证机制存在问题的深
入挖掘和分析,具有很强的针对性。实施后,必
将有效促进网银整体安全水平的提升,特别是对
认证机制、交易机制安全性的完善提高,达到有
效保障客户信息和资金的安全,增强客户信心的
目的,对推动我国网上银行更好更快的发展,具
有里程碑意义。
《规范》为金融机构开展网银系统建设,内
部安全检测和合规性审计提供了法规依据,为行
业主管部门、评估测试机构进行检查、检测提供
了标准化依据。
2010年,人民银行依据《规范》,制定了相
应的检测大纲;2011年,根据网银信息安全新
形势,结合国家信息安全等级保护要求,进
一步修订《规范》,《规范》修订版主要在
以下几方面:一是将等级保护基本要求具体
于网银系统上,推动等级保护工作的同时,
减少商业银行网银系统等级保护测评、《规
范》合规性检测的次数,减少测评及整改的
成本。二是根据网银业务发展现状,将规范
中的客户端由个人计算机终端扩展为个人计
算机终端、手机、平板电脑等有线及无线客
户终端,以期在移动终端类电子银行业务发
展初期,进行规范、引导;三是围绕网银安
全热点问题,加强应用控制措施的要求、增
补与网银相关的网上支付安全要求。现已完
成《规范》修订版征求意见稿。后续,将征
求《规范》修订版意见,形成行业标准,并
通过“合规性检测”,使之落到实处。
唐朝钱币
C
N
I
T
S
E
C
2011.08/中国信息安全/49
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论