出版社:中国金融出版社
出版日期:2013-2
ISBN:9787504966810
作者:李东荣 编
页数:203页
章节摘录
版权页: (原文)网上银行系统主要由客户端、通信网络和服务器端组成。本标准所指网上银行系统,不仅包括传统方式的网上银行系统,还包括以手机、平板电脑等移动终端方式访问网上银行系统。网上银行系统包括个人网银和企业网银。本标准条款中如无特别指明“企业网银”,则同时适用于个人网银和企业网银。 (解读)本条对《规范》中网上银行系统组成进行说明。 本条从四个角度对网上银行系统的组成进行说明: (1)从物理组成角度,网上银行系统主要由客户端、通讯网络和服务器端组成。而随着信息技术和电子商务的快速发展,客户端也由传统的PC机终端逐渐拓展为包括手机、平板电脑等多种终端并行的新局面。 (2)从广义组成角度,不仅包含通过电脑连接互联网访问网上银行系统的传统方式,还包括通过手机、平板电脑甚至网络电视以及未来会产生的其他渠道访问网上银行系统的新兴方式。因此网上银行系统的客户端在将来的发展中会存在多种多样的形式。 (3)从业务组成角度,网上银行系统包含个人网银和企业网银。个人网银是金融机构面向个人用户开发的一种网上银行服务,主要包含账户查询、转账、理财等业务,主要针对个人业务办理。企业网银是金融机构面向企业用户开发的一种网上银行服务,主要包括企业账户资金查询、企业资金的划拨等业务,主要针对企业的业务办理。 (4)从条款适用角度,除非在条款中明确指明只适用于企业网银外,其余条款均适用于企业网银和个人网银。 5.3.1客户端(含专用安全设备) (原文)网上银行系统客户端主要包括客户端交易终端和客户端程序。 (解读)本条对《规范》中网上银行系统客户端组成进行说明。 网上银行系统客户端由硬件和软件两个方面组成。硬件主要是客户端交易终端,指客户用来开展网上银行交易的硬件系统,如PC机、手机、平板电脑等。客户端程序是指为使用网上银行系统而在客户交易终端安装的人机交互功能的程序,如:网上银行密码安全控件、网上银行系统客户端、手机网上银行系统客户端等。 (原文)客户端交易终端不具备或不完全具备专用金融交易设备的可信通讯能力、可信输出能力、可信输入能力、可信存储能力和可信计算能力,因此,需要专用安全设备,并通过接受、减轻、规避及转移的策略来应对交易风险。 (解读)本条对《规范》中网上银行系统客户端使用安全设备的原因进行说明。 网上银行系统客户端在遇到木马、钓鱼网站、通讯劫持等诸多不安全因素时,其客户端自身无法提供全面的安全防护,因此需要使用专用安全设备增强交易的安全性,规避可能发生的交易风险。网上银行系统客户端应配合专用安全设备,实现以下特性: (1)可信通讯能力,如:防止网络传输过程中被监听。 (2)可信输出能力,如:在访问钓鱼网站后,进行相应提示和屏蔽。 (3)可信输入能力,如:防止用户输入的账号在提交过程中被木马修改为其他人的账号。 (4)可信存储能力,如:确保数据安全存储,避免未授权的访问。 (5)可信计算能力,如:确保计算准确、可靠。 (原文)目前,客户端交易终端主要包括PC客户端和手机、平板电脑等移动终端客户端,将来可能包括其他形式的终端产品。 (解读)本条对《规范》中的网上银行交易终端种类进行说明。 随着信息技术和电子商务快速发展,网上银行系统终端趋向于多样化。从目前普及的PC机、手机和平板电脑等交易终端,到电视接入网络后实现的电视银行,都在不断推动着网上银行的发展。
书籍目录
引言 1范围 2规范性引用文件 3术语和定义 3.1网上银行(Internet Banking) 3.2互联网(Internet) 3.3敏感信息(Sensitive Information) 3.4客户端程序(Client Program) 3.5 USB Key 3.6 USB Key固件(USB Key Firmware) 3.7移动终端(Mobile Terminal) 3.8强效加密(Strong Encryption) 3.9资金类交易(Funds Transaction) 3.10信息及业务变更类交易(Information&Business Changing Transaction) 3.11企业网银(Corporate Banking) 4符号和缩略语 5网上银行系统概述 5.1系统标识 5.2系统定义 5.3系统描述 5.3.1客户端(含专用安全设备) 5.3.2通信网络 5.3.3服务器端 5.4安全性描述 6安全规范 6.1安全技术规范 6.1.1客户端安全 6.1.2专用安全设备安全 6.1.3网络通信安全 6.1.4服务器端安全 6.2安全管理规范 6.2.1安全管理机构 6.2.2安全策略 6.2.3管理制度 6.2.4人员安全管理 6.2.5系统建设管理 6.2.6系统运维管理 6.3业务运作安全规范 6.3.1业务申请及开通 6.3.2业务安全交易机制 6.3.3客户教育及权益保护 附录A (资料性附录)基本的网络防护架构参考图 附录B (资料性附录)增强的网络防护架构参考图 参考文献
编辑推荐
《解读》能方便大家理解网上银行系统信息安全通用规范,并对网上银行系统的建设、改造、测评、检查、审计工作有所帮助,也希望为社会大众普及网上银行系统安全知识等方面起到积极作用。
作者简介
《 解读》中第1章至第4章从网上银行系统适用的范围、参考和引用的规范、使用的术语、涉及的符号和缩略语等方面进行解读;第5章对网上银行系统的各个组成部分应实现的功能和应达到的安全目标进行要求,并从系统结构方面进行详细解读;第6章从安全技术、安全管理、业务运作三个方面对网上银行系统从管理到建设到运维提出的详细要求进行解读。