中国人民银行科技司副司长 李晓枫

近年来，我国网上银行业务呈现出快速增长态势，在市场交易额方面，据艾瑞咨询报告显示，2010年我国网银市场交易额达到548万亿元，比2009年增长48.6%，比2008年增长73.8%。网银用户数量迅速递增，2010年个人网银用户数达到3亿，比2009年增长58.7%，比2008年增长96.9%。

随着网络的商务交易类应用增长，针对网银的趋利性犯罪呈高发态势，网银安全问题突出，对社会产生了很大影响，严重阻碍了网银的健康规范发展。

在网银高度依赖的互联网中，既有商业银行、用户， 也有犯罪集团、黑客团伙、趋利组织和敌对势力。网银安全问题是“ 道高一尺， 魔高一丈” 。从犯罪分子作案手段来看，2007、2008、2009年主要通过两种方式实施犯罪：一是挂马盗取用户网银账号、关键账户信息等敏感信息来盗取资金；二是通过网银存在的一些交易机制上的缺陷以及用户计算机终端上的软硬件漏洞实施犯罪。2010~2011年主要是通过钓鱼网站骗取用户的敏感信息，进而威胁用户资金安全。当然，还包括一些敌对势力或黑客组织对网银服务器端发起的分布式拒绝服务攻击。

针对上述问题，近年来，中国人民银行（以下简称“ 人民银行”）通过各种措施，多次联合公安部、工信部等部委联合打击网上银行犯罪行为，规范网银安全，从制度建设和技术规范入手，加强网银系统的建设、运维和关键业务的风险防范。

2009 年， 人民银行决定起草《网上银行系统信息安全通用规范》（以下简称《规范》），有针对性地解决网银系统漏洞隐患问题，全面预防网银系统存在的安全问题，系统性地提高网银系统安全水平，增强网银系统的信息安全防范能力，促进网银业务健康发展。

《规范》制定的条例主要依据来源于三个方面： 一是依据人民银行多年来对网银信息安全管理工作实践与经验的总结和提升； 二是依据近三年来网银安全案件形成的调研报告； 三是依据人民银行对国内商业银行网银系统的安全检查评估中发现的问题有针对性提出要求。

一、《规范》出台过程

在人民银行科技司的统一组织和协调下，《规范》出台经过了以下几个阶段。

⑴归纳总结经验阶段

2009年2~5月，进行前期的调研与分析，总结人民银行工作中掌握的网银情况，汇集整理了总参三部、公安部、安全部近年来在网银研究与评估检测中发现的问题及漏洞隐患，并通过公安部收集了近三年来网银安全案件，形成《网上银行安全问题汇总及研究报告》。

2009年6~8月，对全国所有66家网银系统进行了信息安全现场检查，结合人民银行近年来处置的网银安全事件和2008年奥运安保现场检查发现的问题， 形成《网上银行现场检查发现问题汇总分析报告》。

⑵起草并征询意见阶段

2009年8~10月，在前期工作基础上，进行了《规范》起草工作。通过全面总结人民银行实际工作中发现的问题，深入分析收集整理的网银案件和漏洞隐患，逐条梳理、分类归纳，经过多次内部讨论、修改，形成《规范》征求意见第一稿。

2009年11月，发函征求了13家全国性商业银行、1家地方性商业银行电子银行部、信息科技部以及人民银行相关部门的意见，对反馈的264条意见，召集14家商业银行人员，逐条讨论修改，形成《规范》征求意见第二稿。

⑶修订和发布阶段

2009年12月， 以人民银行厅发文形式，全面征求各国有商业银行、股份制商业银行、中国邮政储蓄银行的意见，对反馈的120条意见，召集部分商业银行人员，并特邀总参三部专家共同研究，逐条修订，完成《规范》发文稿。

2010年1月19日，在征求人民银行条法司等部门意见的基础上，人民银行正式对外发布《规范》。

二、《规范》的主要内容和特点

《规范》的主要内容分为安全技术、安全管理和业务运作3部分。其中，安全技术规范包括：客户端安全、专用辅助安全设备、网络通信安全、银行服务器端安全4个方面；安全管理规范包括：组织机构、管理制度、安全策略、人员及文档管理、系统运行管理5个方面；业务运作安全包括：业务申请及开通、业务安全交易机制、客户宣传教育3个方面。

《规范》的主要特点是：对目前已知的网银犯罪案例、网银常见交易认证机制存在问题进行挖掘和分析，结合对商业银行网银安全检查的深入分析和总结，提出规范性要求，具有较强的针对性和可操作性； 对网银现存问题和潜在风险点均提出了应对措施，具有前瞻性；内容涵盖了网银系统各个部分、交易的全过程， 具有全面性。

三、《规范》提出的具体要求

为了使网银安全能够得到显著提升，《规范》在以下几方面提出了要求。

①明确规定禁止仅使用文件证书或使用文件证书加静态密码的方式进行转账类操作。使用文件证书作为认证方式时， 用户的私钥保存在客户端计算机内，而且签名等涉及私钥的敏感操作也在客户的计算机上进行，目前大部分对于文件证书的保护机制都依赖于浏览器，而浏览器对于文件证书的保护机制已经不足以抵抗目前的各种攻击。禁止仅使用文件证书进行转账类操作，能够有效规避不法分子对客户资金安全的直接威胁，约束金融机构更好地保护客户利益。

②规避客户端认证机制风险。目前，绝大多数网银安全事件源于客户端安全隐患。客户端易受到木马程序、网上钓鱼等黑客技术的侵害；客户端程序基于通用浏览器开发，存在黑客利用通用浏览器的漏洞获取客户网上银行登录信息的风险；客户端采用的安全控件防护强度较弱等因素都有可能导致其无法抵御一些常见攻击。因此，对客户端程序的检测十分重要。《规范》要求：在客户端程序上线前要进行严格的代码测试，并关注最新的安全技术和安全漏洞，定期对客户端程序进行检查，从而及时发现客户端程序存在的漏洞并采取相应的规避措施。同时，金融机构应通过专业的第三方测试机构对客户端程序进行安全检测。通过内部和外部的检测，保证能够公正的、及时的、全面的反映客户端程序存在的问题，从而有效防范针对网银客户端的攻击。

③针对硬件数字证书的应用提出了规范性要求。USB Key作为专用辅助安全设备的主流产品，其相关安全测试和准入机制还不完善，黑客可能利用USB Key设计上存在的缺陷获得对Key的控制权。《规范》要求USB Key能够防范常见的物理攻击和逻辑攻击，PIN码加密传输，并在进行敏感操作时具有提示功能。同时，《规范》要求对网上银行经常使用的USB Key、OTP令牌、动态口令卡和其他专用辅助安全设备进行安全性检测，从源头上解决专用辅助安全设备的安全问题导致的网上银行安全问题，有效防范应用中的漏洞隐患。

④ 对交易机制提出了规范要求。《规范》要求网银系统应具有防范客户端数据被篡改的机制，校验客户提交的数据之间的隶属关系，并由客户确认转账交易关键数据，以确保交易数据的真实有效。在进行确认时，推荐使用手机短信或电话等第二通信渠道请求客户反馈确认交易信息。同时，为了使客户能够及时获取资金变化的信息，发现可疑交易，《规范》还规定了转账交易中，金融机构应提供及时通知客户资金变化的服务。通过采取有效措施，最大限度地保障客户信息和资金安全。

⑤强调Web应用安全。大部分的网银系统都有通过Web向用户提供服务的功能。在Web 应用中，《规范》要求应注意防范SQL注入、跨站脚本攻击、拒绝服务攻击等攻击，保障网上银行系统能够经受黑客等不法分子的攻击，从而保障系统持续、安全提供业务服务。此外，考虑到目前国内金融机构的网上银行水平不一、实现方式各异和改造周期长等特点，《规范》把内容分为基本要求和增强要求两个层次。基本要求为最低安全要求，增强要求为《规范》下发之日起的三年内应达到的安全要求。金融机构现阶段要遵照执行基本要求，同时，积极采取改进措施，在规定的三年期限内达到增强要求，推动网银又好又快地发展。各金融机构信息安全主管部门要以《规范》为依据， 继续加大检查工作力度， 使《规范》要求落到实处，促进网上银行规范、健康地发展。

四、《规范》的意义

《规范》的制定，源于对目前已知的网银犯罪案例、网银常见交易认证机制存在问题的深入挖掘和分析， 具有很强的针对性。《规范》实施后，必将有效促进网银整体安全水平的提升，特别是对认证机制、交易机制安全性的完善提高， 达到有效保障客户信息和资金的安全，增强客户信心的目的，对推动我国网上银行更好更快的发展，具有里程碑意义。

《规范》为金融机构开展网银系统建设，内部安全检测和合规性审计提供了法规依据，为行业主管部门、评估测试机构进行检查、检测提供了标准化依据。

2010年，人民银行依据《规范》， 制定了相应的检测大纲；2011 年， 将根据网银安全新形势，结合国家信息安全等级保护要求，进一步修订《规范》，形成行业标准，并通过现场检查和信息系统信息安全等级保护测评，使之落到实处。