发布时间 : 2024/5/21 1:22:59 星期二 文章网上银行系统信息安全通用规范更新完毕开始阅读68b304a0284ac850ad024270

网上银行系统信息安全通用规范

? ? ? ? ?

强光干扰 电磁干扰 紫外线干扰 静电干扰 电压毛刺干扰

B. 增强要求：

a) USB Key应能够防远程挟持，例如具有屏幕显示、语音提示、按键确认等功能，可对交易指令完整性进行校验、对交易指令合法性进行鉴别、对关键交易数据进行输入和确认。 b) 未经按键确认，USB Key不得签名和输出，在等待一段时间后，可自动清除数据，并复位状态。 c) USB Key应能够自动识别待签名数据的格式，识别后在屏幕上显示签名数据或对其进行语音提示。

6.1.2.2 文件证书

此部分要求仅针对C/S模式客户端。 A. 基本要求：

a) 应强制使用密码保护私钥，防止私钥受到未授权的访问。

b) 用于签名的公私钥对应在客户端生成，禁止由服务器生成。私钥只允许在客户端使用和保存。

c) 私钥导出时，客户端应对客户进行身份认证，例如验证访问密码等。 d) 应支持私钥不可导出选项。

e) 私钥备份时，应提示或强制放在移动设备内，备份的私钥应加密保存。 B. 增强要求：

在备份或恢复私钥成功后，金融机构应通过第二通信渠道（例如，手机短信）向客户发送提示消息。

6.1.2.3 OTP令牌

A. 基本要求：

第 13 页

网上银行系统信息安全通用规范

a) 金融机构应使用指定的第三方中立测试机构检测通过的OTP令牌设备。 b) 口令生成算法应经过国家主管部门认定。 c) 动态口令的长度不应少于6位。

d) 应防范通过物理攻击的手段获取设备内的敏感信息，物理攻击的手段包括但不限于开盖、搭线、复制等。

e) OTP令牌应具备抵抗旁路攻击的能力，包括但不限于： ? ?

抗SPA/DPA攻击能力 抗SEMA/DEMA攻击能力

f) 在外部环境发生变化时，OTP令牌不应泄漏敏感信息或影响安全功能。外部环境的变化包含但不限于： ? ? ? ? ?

高低温 强光干扰 电磁干扰 紫外线干扰 静电干扰

B. 增强要求：

a) 采用基于挑战应答的动态口令，以防范中间人攻击。 b) OTP认证系统应提供双因素认证功能。

c) OTP令牌设备应使用PIN码保护等措施，确保只有授权客户才可以使用。

d) PIN码和种子应存储在OTP令牌设备的安全区域内或使用其他措施对其进行保护。 e) PIN码连续输入错误次数达到错误次数上限（不超过6次），OTP令牌应锁定。

6.1.2.4 动态密码卡

基本要求：

a) 动态口令的长度不应少于6位。 b) 服务器端应随机产生口令位置坐标。

c) 应设定动态密码卡使用有效期，超过有效期应作废。

第 14 页

网上银行系统信息安全通用规范

d) 应使用涂层覆盖等方法保护口令。 e) 动态密码卡应与客户唯一绑定。

6.1.2.5 其他专用辅助安全设备

本部分规定的是已使用的其他专用辅助安全设备，如出现新的专用辅助安全设备，可参照6.1.2节的要求。 a) 手机短信动态密码： 基本要求： ?

开通手机动态密码时，应使用人工参与控制的可靠手段验证客户身份并登记手机号码。更改手机号码时，应对客户的身份进行有效验证。 ? ?

手机动态密码应随机产生，长度不应少于6位。

应设定手机动态密码的有效时间，最长不超过10分钟，超过有效时间应立即作废。 ?

交易的关键信息应与动态密码一起发送给客户，并提示客户确认。

b) 指纹识别： 基本要求： ? ?

如果通过指纹鉴别客户身份，应防止指纹数据被记录和重放。

禁止在远程身份鉴别中采用指纹识别。近距离身份鉴别（例如，使用专用辅助安全设备对使用者的身份鉴别）可采用指纹识别。

6.1.3 网络通信安全

本部分内容指数据在网络传输过程中采用的通讯协议和安全认证方式，不包括网络基 础设施方面的内容。

6.1.3.1 通讯协议

基本要求：

第 15 页

网上银行系统信息安全通用规范

a) 应使用强壮的加密算法和安全协议保护客户端与服务器之间所有连接，例如，使用SSL/ TLS和IPSEC协议。

b) 如果使用SSL协议，应使用3.0及以上相对高版本的协议，取消对低版本协议的支持。

c) 客户端到服务器的SSL加密密钥长度应不低于128位；用于签名的RSA密钥长度应不低于1024位，用于签名的ECC密钥长度应不低于160位。 d) 应可防止对交易报文的重放攻击。

6.1.3.2 安全认证

A. 基本要求：

a) 网上银行服务器与客户端应进行双向身份认证。

b) 整个通讯期间，经过认证的通讯线路应一直保持安全连接状态。

c) 网上银行系统应可判断客户的空闲状态，当空闲超过一定时间后，自动关闭当前连接，客户再次操作时必须重新登录。

d) 应确保客户获取的金融机构Web服务器的根证书真实有效，可采用的方法包括但不限于：在客户开通网上银行时分发根证书，或将根证书集成在客户端控件下载包中分发等。 B. 增强要求：

a) 网上银行系统应判断同一次登录后的所有操作必须使用同一IP地址和MAC地址，否则服务器端自动终止会话。 b) 金融机构应使用获得国家主管部门认定的具有电子认证服务许可证的CA证书及认证服务。

6.1.4 服务器端安全 6.1.4.1 网络架构安全

基本要求：

第 16 页