央行发布网上银行系统信息安全通用规范(试行)

  

《网上银行系统信息安全通用规范（试行）》，摘录如下：
为加强网上银行管理，促进网上银行业务健康发展，有效增强网上银行系统的信息安全防范能力，日前，中国人民银行向银行业金融机构发布了《网上银行系统信息安全通用规范（试行）》（以下简称《规范》）。《规范》涉及网上银行系统的技术、管理和业务运作三个方面，分为基本要求和增强要求两个层次，基本要求为最低安全要求，增强要求为三年内应达到的安全要求。《规范》将作为网上银行系统安全建设、内部信息安全检查和合规性审计的依据，有效防范网上银行系统风险隐患。
  

 

《规范》要求，银行业金融机构现阶段要遵照执行基本要求，同时，积极采取改进措施，在规定期限内达到增强要求。银行业金融机构信息安全主管部门要以《规范》为依据，继续加大检查工作力度，使《规范》要求落到实处，促进网上银行业务规范、健康地发展。

   

另据报道，随着我国互联网技术的日臻成熟，越来越多商业银行纷纷开通网上银行，使得网银用户量及交易量高速增长。中国互联网络信息中心（CNNIC）报告显示，2008年我国共有5800万网银用户，同比增长45%；中国银行业协会报告显示，2008年我国电子银行交易金额为301.80万亿元，很多银行的网银业务已经占到传统柜台业务的30%以上，由此可见网上银行对于传统柜台业务的替代性正日益提升。  
   

 

然而，网上银行的安全性也正成为人们关注的焦点。有调查结果显示，无论对企业网上银行用户还是个人用户(包含活动用户和潜在用户)而言，网上银行的安全性仍然是他们选择网上银行时最看重的因素，网上银行的安全已经成为网上银行发展壮大的瓶颈。这种严峻形势迫切要求我们应加快制订网上银行安全标准，规范参与各方的交易行为，强化适合我国国情的网上银行交易安全技术。

   

目前，我国网上银行系统在客户端、认证介质、网银后台三个主要安全点均存在一些安全隐患，而将这三个安全点串联起来的交易传输网络也存在一定的安全风险，由此形成整个网上银行系统的安全风险链。《网上银行系统信息安全通用规范（试行）》在《信息安全技术网上银行系统信息安全保障评估准则（GB/T 20983-2007）》的基础上，结合网上银行系统的业务特点，通过分析已发生的网上银行系统信息安全事件和问题，对网上银行系统的技术、管理和业务三个方面提出安全要求，为网上银行系统信息安全保障的设计、实施、建设、测评和审核提供规范的指导。
  

 

《网上银行系统信息安全通用规范（试行）》共包含网上银行系统描述、安全技术基本要求、安全管理基本要求、业务运作安全要求四部分内容，后三部分内容均按照基本型和增强型网络防护架构的不同，提出了不同的安全要求。其中，安全技术基本要求主要涵盖客户端、专用辅助安全设备、网络通信和网上银行服务器端的安全；安全管理要求主要涵盖组织结构、管理制度、人员及文档管理和系统运行管理安全；业务运作安全要求主要涵盖网上银行业务开通、业务安全交易机制、用户安全教育。

 

 

 来源：中国金融之声