第一篇：----中國人民銀行近日發布《網上銀行系統信息安全通用規范(試行)》

中國人民銀行近日發布

《網上銀行系統信息安全通用規范（試行）》

來源:BCTC 時間;2010-02-01

隨著我國互聯網技術的日臻成熟，越來越多商業銀行紛紛開通網上銀行，使得網銀用戶量及交易量高速增長。中國互聯網絡信息中心（CNNIC）報告顯示，2008年我國共有5800萬網銀用戶，同比增長45%；中國銀行業協會報告顯示，2008年我國電子銀行交易金額為301.80萬億元，很多銀行的網銀業務已經占到傳統柜臺業務的30%以上，由此可見網上銀行對于傳統柜臺業務的替代性正日益提升。

然而，網上銀行的安全性也正成為人們關注的焦點。有調查結果顯示，無論對企業網上銀行用戶還是個人用戶(包含活動用戶和潛在用戶)而言，網上銀行的安全性仍然是他們選擇網上銀行時最看重的因素，網上銀行的安全已經成為網上銀行發展壯大的瓶頸。這種嚴峻形勢迫切要求我們應加快制訂網上銀行安全標準，規范參與各方的交易行為，強化適合我國國情的網上銀行交易安全技術。因此，在人民銀行科技司安全處的組織領導下，銀行卡檢測中心積極參與了《網上銀行系統信息安全通用規范（試行）》的編制工作。

目前，我國網上銀行系統在客戶端、認證介質、網銀后臺三個主要安全點均存在一些安全隱患，而將這三個安全點串聯起來的交易傳輸網絡也存在一定的安全風險，由此形成整個網上銀行系統的安全風險鏈。《網上銀行系統信息安全通用規范（試行）》在《信息安全技術網上銀行系統信息安全保障評估準則（GB/T 20983-2007）》的基礎上，結合網上銀行系統的業務特點，通過分析已發生的網上銀行系統信息安全事件和問題，對網上銀行系統的技術、管理和業務三個方面提出安全要求，為網上銀行系統信息安全保障的設計、實施、建設、測評和審核提供規范的指導。

《網上銀行系統信息安全通用規范（試行）》共包含網上銀行系統描述、安全技術基本要求、安全管理基本要求、業務運作安全要求四部分內容，后三部分內容均按照基本型和增強型網絡防護架構的不同，提出了不同的安全要求。其中，安全技術基本要求主要涵蓋客戶端、專用輔助安全設備、網絡通信和網上銀行服務器端的安全；安全管理要求主要涵蓋組織結構、管理制度、人員及文檔管理和系統運行管理安全；業務運作安全要求主要涵蓋網上銀行業務開通、業務安全交易機制、用戶安全教育。

中國人民銀行科技司安全處自2009年3月以來多次召開標準編制工作組會議，廣泛征求各商業銀行、公安部、安全部等多方的意見和建議，目前《網上銀行系統信息安全通用規范（試行）》已經于2010年1月28日正式發布。該要求發布后，各商業銀行網上銀行系統的建設和業務運作應依據該要求，在人民銀行認可的第三方安全評估和掃描機構的咨詢幫助下，找出存在的安全漏洞，并制訂有效的安全防護措施，保障網上銀行后臺、客戶端、業務流程、傳輸網絡和協議以及認證介質的安全，提升我國網上銀行系統的安全性，最終確保網上銀行業務的持續高速發展。

第二篇：《網上銀行系統信息安全通用規范(試行)》技術解讀

《網上銀行系統信息安全通用規范（試行）》技術解讀

發表于:2010-5-1

4為加強我國網上銀行安全管理，促進網上銀行業務健康發展，有效增強網上銀行系統信息安全防范能力，2010年1月19日中國人民銀行向銀行業金融機構發布 了《網上銀行系統信息安全通用規范（試行）》（以下簡稱《規范》），本文將就《規范》的內容和技術特點做重點解讀。

一、《規范》出臺的背景

自1998年招商銀行率先在國內推出“一網通”領跑網上金融業以來，國內已有近百家國有銀行和城市商業銀行加入了網上銀行行列，紛紛開通網絡轉賬、付款、貸款和投資等業務。據中國銀行業協會發布的《2009中國銀行業服務改進情況報告》數據顯示，截止2009年底，我國網上銀行注冊用戶數達到1.89 億，網銀交易額達404.88萬億元。網上銀行交易快捷、方便和操作簡單的特性，極大地滿足了網民的交易需求，因而倍受網民的青睞。

但是，由于互聯網的開放性，網上銀行系統的安全性問題令人擔憂。目前，犯罪分子作案手段層出不窮，通過木馬、釣魚網站等威脅客戶資金安全，甚至對網銀系統 進行惡意滲透破壞和拒絕服務攻擊。網上銀行趨利性犯罪的高發態勢，不僅會損害廣大用戶的經濟利益，也將成為網上銀行業務進一步發展的掣肘。因此，我國金融 行業亟需出臺一項網上銀行系統安全方面的標準，從技術標準層面引導網銀業務的發展。

二、《規范》的基本內容

眾所周知，網上銀行系統在客戶端、認證介質、網銀后臺三個主要安全點可能存在安全隱患，而將這三個安全點串聯起來的交易傳輸網絡也可能存在一定的安全風 險，由此構成了整個網上銀行系統的安全風險鏈。在《信息安全技術網上銀行系統信息安全保障評估準則（GB/T 20983-2007）》的基礎上，結合網上銀行系統的技術和業務特點，人民銀行及時出臺了該《規范》。

該《規范》共分為安全技術、安全管理和業務運作三部分，各部分又分別包含基本要求和增強要求兩個層次，基本要求為最低安全要求，增強要求為三年內應達到的 安全要求。其中，安全技術規范內容包括：客戶端安全、專用輔助設備

安全、網絡通信安全、銀行服務器端安全四個方面；安全管理規范內容包括：組織機構、管理 制度、安全策略、人員/文檔管理和系統運行管理五個方面；業務運作安全內容包括：業務申請及開通、業務安全交易機制和客戶宣傳教育三個方面。

《規范》要求銀行業金融機構現階段要遵照執行基本要求，同時積極采取改進措施，在規定期限內達到增強要求。

三、《規范》的技術特點

《規范》對目前已知的網上銀行犯罪案例、網上銀行常見交易認證機制存在的問題進行挖掘和分析，通過對商業銀行網上銀行安全檢查進行深入分析和總結，從正面 提出規范性要求，具有較強的針對性和可操作性；不僅針對網上銀行現實問題，而且針對潛在風險點均提出了應對措施，具有前瞻性；同時內容涵蓋了網上銀行系統 各個部分、交易的全過程，具有全面性?！兑幏丁返闹饕夹g特點包括：

（1）明確規定禁止僅使用文件證書或文件證書加靜態密碼的方式進行轉賬類操作

目前，用戶使用文件證書作為認證方式時，其私鑰保存在客戶端計算機內，而且簽名等涉及私鑰的敏感操作也在客戶的計算機上進行。大部分對于文件證書的保護機 制都依賴于瀏覽器，而瀏覽器對于文件證書的保護機制已經不足以抵御目前的各種攻擊。因此，《規范》明確禁止僅使用文件證書進行轉賬類操作，從而能夠有效規 避不法分子對客戶資金安全的直接威脅，約束金融機構更好地保護客戶利益。

（2）強調客戶端的安全性

目前，絕大多數網上銀行安全事件源于客戶端安全隱患。由于客戶端受到網上銀行木馬程序、網上釣魚等黑客技術的侵害，且客戶端程序基于通用瀏覽器開發，這會 存在利用通用瀏覽器的漏洞獲取客戶的網上銀行登錄信息的風險，另外客戶端采用的安全控件防護強度較弱等問題都有可能導致其無法抵御一些常見攻擊，因此對客 戶端程序的檢測就顯得十分重要。

《規范》要求在客戶端程序上線前要進行嚴格的代碼測試，并關注最新的安全技術和安全漏洞，定期對客戶端程序進行檢查，從而能夠及時發現客戶端程序存

在的漏 洞并采取相應的規避措施。同時，金融機構應通過專業的第三方測試機構對客戶端程序進行安全檢測，目的是通過內部和外部的檢測，能夠公正、及時、全面地反映 客戶端程序存在的問題，從而盡可能地保證其防范常見的針對網上銀行客戶端的攻擊，例如防范采用掛鉤Windows鍵盤消息等方式進行鍵盤竊聽。

（3）對硬件數字證書的應用提出規范要求

USB Key作為專用輔助安全設備的主流產品，其相關安全測試和準入機制還不完善，黑客可能利用USB Key設計上存在的缺陷獲得對Key的控制權?！兑幏丁芬骍SB Key能夠防范常見的物理攻擊和邏輯攻擊，進行PIN碼加密傳輸，并在進行敏感操作時具有提示功能。同時《規范》要求對網上銀行上經常使用的USB Key、OTP令牌、動態口令卡和其他專用輔助安全設備進行安全性檢測，從源頭上解決專用輔助安全設備的安全缺陷所導致的網上銀行安全問題，有效防范應用 中的漏洞隱患。

（4）交易機制的規范化基于客戶計算機終端不安全的假定

《規范》要求網上銀行系統應具有防范客戶端數據被篡改的機制，校驗客戶提交的數據之間的隸屬關系，并由客戶確認轉賬交易關鍵數據，以確保交易數據的真實有 效。在進行確認時，推薦使用手機短信或電話等第二通信渠道請求客戶反饋確認交易信息。同時，為了使客戶能夠及時獲取資金變化的信息并發現可疑交易，《規 范》規定了轉賬交易中，金融機構應提供及時通知客戶資金變化的服務，通過采取有效措施，最大限度地保障客戶信息和資金安全。

（5）關注Web應用安全

大部分網上銀行系統都通過Web向用戶提供服務，在Web應用中，《規范》要求應注意防范SQL注入、跨站腳本攻擊、拒絕服務攻擊等，保障網上銀行系統能 夠經受黑客等不法分子的攻擊，從而保證系統持續、安全運行。

四、《規范》出臺的意義

《規范》是人民銀行多年來對銀行業網上銀行信息安全管理工作實踐與經驗總結的提升，是對金融信息安全認識不斷深化的重要成果，也是有效降低金融網絡案件、維護金融穩定的重要舉措。

《規范》為金融機構開展網上銀行系統建設，內部安全檢測和合規性審計提供了規范性依據，為行業主管部門、評估測試機構進行檢查、檢測提供了標準化依

據?！兑幏丁穼嵤┖?，必將明顯提高網上銀行整體安全水平，特別是認證機制、交易機制安全性的完善提高，能夠有效保障客戶信息和資金的安全，增強客戶信心，對推 動網上銀行更好更快發展，具有里程碑意義。

作為《規范》起草工作的參與單位，銀行卡檢測中心將繼續配合人民銀行科技司制訂相應的《網上銀行安全檢測大綱》，通過試點檢測，進一步完善《規范》，形成 行業標準，并通過檢查使標準落到實處。

第三篇：關于規范辦公自動化系統信息發布的通知

關于規范辦公自動化系統信息發布的通知

機關各部門，各市河務局：

我局新版辦公自動化系統投入運用以來，經過不斷改進和完善，內容更加豐富，信息量增大，在工作中發揮了重要作用。但信息上網方面存在著上網格式不規范，字詞不準確的，更新時間長等問題。為規范辦公自動化上網信息，根據目前辦公自動化應用實際，提出如下意見，請認真遵照執行。

一、省局辦公自動化系統上網信息由辦公室統一管理，機關各部門負責本部門欄目信息的發布與管理，信息中心負責系統運行的技術支持。各部門各司其職，確保辦公自動化系統信息發布真實有效，字詞規范，安全可靠。

二、各部門要進一步加強對信息上網工作的領導，明確分管部門負責人，確定信息發布人員，采取積極措施，認真組織好本部門的信息發布與管理工作。

三、進一步嚴格信息的發布審查，對信息的起草、審核、發布等各個環節,各部門都要層層認真把關，確保上網信息內容真實可靠，字詞標準規范。從即日起，凡上網信息、簡報等一律注明

審核人、擬稿人或責任編輯姓名。

四、各部門出現誤操作或發現不合適的信息，能自行刪除的由本部門盡快刪除。不能自行刪除的請及時與信息中心 系統管理員聯系，以便盡快從網上清除。

五、各部門要進一步強化保密意識，不適于上網發布的信息嚴禁上網。各類文件、會議紀要等如有不宜上網的內容，請在發文處理簽上注明不上網，以便辦公室辦理。

六、各部門工作動態、情況要及時上網，保證辦公自動化界面及時得到更新。

七、省局辦公自動化網上欄目的設置與調整由省局辦公室統一管理，有關部門如需新增、調整欄目需經辦公室同意后方可實施。任何部門不得自行添加、調整欄目。

八、各市河務局參照省局做法，建立制度，明確責任，進一步加強對本單位信息上網的管理。

九、對機關各部門、各市河務局辦公自動化上網的信息，省局辦公室將適時組織檢查評比，并納入目標管理考核。

第四篇：關于規范辦公自動化系統信息發布的通知

機關各部門，各市河務（管理）局：

我局新版辦公自動化系統投入運用以來，經過不斷改進和完善，內容更加豐富，信息量增大，在工作中發揮了重要作用。但信息上網方面存在著上網格式不規范，字詞不準確的，更新時間長等問題。為規范辦公自動化上網信息，根據目前辦公自動化應用實際，提出如下意見，請認真遵照執行。

一、省局辦公自動化系統上網信息由辦公室統一管理，機關各部門負責本部門欄目信息的發布與管理，信息中心負責系統運行的技術支持。各部門（單位）各司其職，確保辦公自動化系統信息發布真實有效，字詞規范，安全可靠。

二、各部門要進一步加強對信息上網工作的領導，明確分管部門負責人，確定信息發布人員，采取積極措施，認真組織好本部門的信息發布與管理工作。

三、進一步嚴格信息的發布審查，對信息的起草、審核、發布等各個環節,各部門都要層層認真把關，確保上網信息內容真實可靠，字詞標準規范。從即日起，凡上網信息、簡報等一律注明

審核人、擬稿人或責任編輯姓名。

四、各部門出現誤操作或發現不合適的信息，能自行刪除的由本部門盡快刪除。不能自行刪除的請及時與信息中心系統管理員聯系，以便盡快從網上清除。

五、各部門要進一步強化保密意識，不適于上網發布的信息嚴禁上網。各類文件、會議紀要等如有不宜上網的內容，請在發文處理簽上注明不上網，以便辦公室辦理。

六、各部門（單位）工作動態、情況要及時上網，保證辦公自動化界面及時得到更新。

七、省局辦公自動化網上欄目的設置與調整由省局辦公室統一管理，有關部門如需新增、調整欄目需經辦公室同意后方可實施。任何部門不得自行添加、調整欄目。

八、各市河務（管理）局參照省局做法，建立制度，明確責任，進一步加強對本單位信息上網的管理。

九、對機關各部門、各市河務（管理）局辦公自動化上網的信息，省局辦公室將適時組織檢查評比，并納入目標管理考核。

第五篇：公安機關信息安全等級保護檢查工作規范(試行)

公安機關信息安全等級保護檢查工作規范（試行）

2009-06-29 10:13:18

來源：本站

網友評論 0條

第一條 為規范公安機關公共信息網絡安全監察部門開展信息安全等級保護檢查工作，根據《信息安全等級保護管理辦法》（以下簡稱《管理辦法》），制定本規范。

第二條 公安機關信息安全等級保護檢查工作是指公安機關依據有關規定，會同主管部門對非涉密重要信息系統運營使用單位等級保護工作開展和落實情況進行檢查，督促、檢查其建設安全設施、落實安全措施、建立并落實安全管理制度、落實安全責任、落實責任部門和人員。

第三條 信息安全等級保護檢查工作由市（地）級以上公安機關公共信息網絡安全監察部門負責實施。每年對第三級信息系統的運營使用單位信息安全等級保護工作檢查一次，每半年對第四級信息系統的運營使用單位信息安全等級保護工作檢查一次。

第四條 公安機關開展檢查工作，應當按照“嚴格依法，熱情服務”的原則，遵守檢查紀律，規范檢查程序，主動、熱情地為運營使用單位提供服務和指導。

第五條 信息安全等級保護檢查工作采取詢問情況，查閱、核對材料，調看記錄、資料，現場查驗等方式進行。

第六條 檢查的主要內容：

（一）等級保護工作組織開展、實施情況。安全責任落實情況，信息系統安全崗位和安全管理人員設置情況；

（二）按照信息安全法律法規、標準規范的要求制定具體實施方案和落實情況；

（三）信息系統定級備案情況，信息系統變化及定級備案變動情況；

（四）信息安全設施建設情況和信息安全整改情況；

（五）信息安全管理制度建設和落實情況；

（六）信息安全保護技術措施建設和落實情況；

（七）選擇使用信息安全產品情況；

（八）聘請測評機構按規范要求開展技術測評工作情況，根據測評結果開展整改情況；

（九）自行定期開展自查情況；

（十）開展信息安全知識和技能培訓情況。

第七條 檢查項目：

（一）等級保護工作部署和組織實施情況

1．下發開展信息安全等級保護工作的文件，出臺有關工作意見或方案，組織開展信息安全等級保護工作情況。

2．建立或明確安全管理機構，落實信息安全責任，落實安全管理崗位和人員。

3．依據國家信息安全法律法規、標準規范等要求制定具體信息安全工作規劃或實施方案。

4．制定本行業、本部門信息安全等級保護行業標準規范并組織實施。

（二）信息系統安全等級保護定級備案情況

1．了解未定級、備案信息系統情況以及第一級信息系統有關情況，對定級不準的提出調整建議。

2．現場查看備案的信息系統，核對備案材料，備案單位提交的備案材料與實際情況相符合情況。

3．補充提交《信息系統安全等級保護備案登記表》表四中有關備案材料。

4．信息系統所承載的業務、服務范圍、安全需求等發生變化情況，以及信息系統安全保護等級變更情況。

5．新建信息系統在規劃、設計階段確定安全保護等級并備案情況。

（三）信息安全設施建設情況和信息安全整改情況 1．部署和組織開展信息安全建設整改工作。

2．制定信息安全建設規劃、信息系統安全建設整改方案。

3．按照國家標準或行業標準建設安全設施，落實安全措施。

（四）信息安全管理制度建立和落實情況

1．建立基本安全管理制度，包括機房安全管理、網絡安全管理、系統運行維護管理、系統安全風險管理、資產和設備管理、數據及信息安全管理、用戶管理、備份與恢復、密碼管理等制度。

2．建立安全責任制，系統管理員、網絡管理員、安全管理員、安全審計員是否與本單位簽訂信息安全責任書。

3．建立安全審計管理制度、崗位和人員管理制度。

4．建立技術測評管理制度，信息安全產品采購、使用管理制度。

5．建立安全事件報告和處置管理制度，制定信息系統安全應急處置預案，定期組織開展應急處置演練。

6．建立教育培訓制度，定期開展信息安全知識和技能培訓。

（五）信息安全產品選擇和使用情況

1．按照《管理辦法》要求的條件選擇使用信息安全產品。

2．要求產品研制、生產單位提供相關材料。包括營業執照，產品的版權或專利證書，提供的聲明、證明材料，計算機信息系統安全專用產品銷售許可證等。

3．采用國外信息安全產品的，經主管部門批準，并請有關單位對產品進行專門技術檢測。

（六）聘請測評機構開展技術測評工作情況

1．按照《管理辦法》的要求部署開展技術測評工作。對第三級信息系統每年開展一次技術測評，對第四級信息系統每半年開展一次技術測評。

2．按照《管理辦法》規定的條件選擇技術測評機構。

3．要求技術測評機構提供相關材料。包括營業執照、聲明、證明及資質材料等。

4．與測評機構簽訂保密協議。

5．要求測評機構制定技術檢測方案。

6．對技術檢測過程進行監督，采取了哪些監督措施。

7．出具技術檢測報告，檢測報告是否規范、完整，檢查結果是否客觀、公正。

8．根據技術檢測結果，對不符合安全標準要求的，進一步進行安全整改。

（七）定期自查情況

1．定期對信息系統安全狀況、安全保護制度及安全技術措施的落實情況進行自查。第三級信息系統是否每年進行一次自查，第四級信息系統是否每半年進行一次自查。

2．經自查，信息系統安全狀況未達到安全保護等級要求的，運營、使用單位進一步進行安全建設整改。

第八條 各級公安機關按照“誰受理備案，誰負責檢查”的原則開展檢查工作。具體要求是：

對跨省或者全國聯網運行、跨市或者全省聯網運行等跨地域的信息系統，由部、省、市級公安機關分別對所受理備案的信息系統進行檢查。對轄區內獨自運行的信息系統，由受理備案的公安機關獨自進行檢查。

第九條 對跨省或者全國聯網運行的信息系統進行檢查時，需要會同其主管部門。因故無法會同的，公安機關可以自行開展檢查。

第十條 公安機關開展檢查前，應當提前通知被檢查單位，并發送《信息安全等級保護監督檢查通知書》。

第十一條 檢查時，檢查民警不得少于兩人，并應當向被檢查單位負責人或其他有關人員出示工作證件。第十二條 檢查中應當填寫《信息系統安全等級保護監督檢查記錄》（以下簡稱 《監督檢查記錄》）。檢查完畢后，《監督檢查記錄》應當交被檢查單位主管人員閱后簽字；對記錄有異議或者拒絕簽名的，監督、檢查人員應當注明情況?！侗O督檢查記錄》應當存檔備查。[!--empirenews.page--] 第十三條 檢查時，發現不符合信息安全等級保護有關管理規范和技術標準要求，具有下列情形之一的，應當通知其運營使用單位限期整改，并發送《信息系統安全等級保護限期整改通知書》（以下簡稱《整改通知》）。逾期不改正的，給予警告，并向其上級主管部門通報：

（一）未按照《管理辦法》開展信息系統定級工作的；

（二）信息系統安全保護等級定級不準確的；

（三）未按《管理辦法》規定備案的；

（四）備案材料與備案單位、備案系統不符合的；

（五）未按要求及時提交《信息系統安全等級保護備案登記表》表四的有關內容的；

（六）系統發生變化，安全保護等級未及時進行調整并重新備案的；

（七）未按《管理辦法》規定落實安全管理制度、技術措施的；

（八）未按《管理辦法》規定開展安全建設整改和安全技術測評的；

（九）未按《管理辦法》規定選擇使用信息安全產品和測評機構的；

（十）未定期開展自查的；

（十一）違反《管理辦法》其他規定的。

第十四條 檢查發現需要限期整改的，應當出具《整改通知》，自檢查完畢之日起10個工作日內送達被檢查單位。

第十五條 信息系統運營使用單位整改完成后，應當將整改情況報公安機關，公安機關應當對整改情況進行檢查。

第十六條 公安機關實施信息安全等級保護監督檢查的法律文書和記錄，應當統一存檔備查。

第十七條 受理備案的公安機關應該配備必要的警力，專門負責信息安全等級保護監督、檢查和指導。從事檢查工作的民警應當經過省級以上公安機關組織的信息安全等級保護監督檢查崗位培訓。

第十八條 公安機關對檢查工作中涉及的國家秘密、工作秘密、商業秘密和個人隱私等應當予以保密。

第十九條 公安機關進行安全檢查時不得收取任何費用。

第二十條 本規范所稱“以上”包含本數（級）。

第二十一條 本規范自發布之日起實施。