网上银行系统信息安全保障评估准则.docx

信息安全技术 网上银行系统信息安全保障评估准则 Information security technology-Evaluation criteria for online banking system information security assurance 言 弓1 0. 1 网上银行系统信息安全保障的含义 网上银行业务是指商业银行等银行业金融机构利用计算机和互联网为客户提供的银行服务，网上 银行 是银行传统业务的电 子化表现形式 ，拓展了银行服务的时间 和空间 。网上银 行是现代信息 技术在银行管理及其金融服务中的拓 展．一是促使金融 服务组织 机构与服务形式创新的 项要成果之- -, 网上银行通过国际互联网这一公共资源及其相关技术实现银行与客户之间安全、方便、友好连接，为客户提供 多种金恐服务。 信息安全保啼是网上银行系统建设和运行中必须解决的基础和根木性问题，它关系到客户与银行 的切身利益。网上银行系统是一种特定的信息系统（即用于采栠、处理、存储｀传输、分发和部署信息的 整个基础设施、组织结构、人员和组件的总和）．它的信息安全保障工作必须结合银行行业的特点，以风 险和策略为出发点和核心．即从网上银行系统所面临的风险和所处的环境出发制定网上银行系统的安 全保障策略．在网上银行系统的整个生命周期中从技术、上程、管理和人员等方面提出安全保障要求，确 保伯息的保密性、完整性和可用性特征·实现和贯彻组织机构策略并将风险降低到可接受的程度，达到保护网上银行的信息和信息系统资产，从而保跻网上银行业务安全、可靠开展的最终目的． 网上银行系统信息安全保障活盖以下几个方而： a) 网上银行系统信息安全保院应贯穿网上银行系统的整个生命周期．包括规划组织、开发采购、实施交付、运行维护和废弃五个阶段，以获得网上银行系统信息安全保隙能力的持续性心 b) 网上银行系统信息安全保陀不仅涉及安全技术，还府综合考虑安令管理、安全工程和人员安 全等．以全面保降网上银行系统安全口在安全技术上．不仅要考虑具体的产品和技术．更要考 虑网上银行系统的安全技术体系架构；在安全管理上、不仅要考虑基本安全管理实践，更要结 合组织的特点建立相应的安全保阱管理体系，形成长效和持续改进的安全管理机制，在安全工 程＿七，不仅要考虑网上银行系统建设的奻终结果．更要结合系统工程的方法．注重工程各个阶 段的规范化实施 ； 在人员 安全上·婓考虑与网 ＿I 银 行系统相关的所有人员包括规划者、设计者 、管理者、运营维护者、评估者、使用者等的安全，意识以及安全专业技能和能力等， c) 网上银行系统信息安全保降是贯穿全过程的保隙。通过风险识别、风险分析、风险评估｀风险控制等风险管理活动．降低网上银行系统的风险，从而实现网上银行系统信息安全保障． d) 网上银行系统信息安全保璋的目的不仅是保护信息和资产的安全，更重要的是通过保陓网上银行系统的安全．保障网上银行系统所支持的业务｀从而达到实现组织机构使命的目的． e) 网上银行系统信息安全保障是主观和客观的结合，通过在技术｀管理、工程和人员方面客观地评估安全保障措施，向网上银行系统的所有者提供其现有安全保障工作是否满足其安全保陷 目标的信心。因此，它是一种通过客观证据向网上银行系统所有者提供主观信心的活动，是主观和客观综合评估的结果， f) 保障网上银行系统安全不仅是系统所有者自身的职资，而且俙要社会各方参与，包括电信、电力、国家信息安全基础设施等提供的支撑。保啼网上银行系统安全不仅要满足系统所有者自 身的安全需求，而且要滞足国家相关法律、政策的要求．包括为其他机构或个人提供保密｀公共 安全和国家安全等社会职责． I\I 信息安全技术 网上银行系统信息安全保障评估准则 ． 范即 本标准规定了网上银行系统的描述、安全环境、安全保障目的、安全保隙要求及网上银行系统信息安全保障目的和安全保陀要求的符合性声明。 本标准适用于规范网上银行系统在进行网上交易过程中涉及信息安全的评估工作。 2 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标 准的条款。凡是注日期的引用文件 ，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准 ，然而，鼓励根据本标准达成 协议的各方研究是否可使用这些文件的 最新版本。凡是不注日期的引 用文件，其最新版本适用 于本标 准， GBJT 202 74（ 所有部分） 信息安全技术 信息系统安全保障评估框架 3 术语和定义 GB / T 20274 确立的以及下列术 语和定义适用于本标准。网上银行 online banking 商业银行通过互联 网等公众网络基础设施 ，向其客户提供各种金融业务 。 4 系统描述 4. 1 网上银行系统概述 网上银行系统是商业银行通过互联网等公众网络基础设施，向其客户提供各种金融业务服务的一种重要的信息系统，在进行网上银行系统的信息安全保障工作时．首先必须建立对网上银行系统的充 分了解和理解。本标准 所使用的网上银行系统的描述框架如图 ］。 信息系统使命 信息系统概述 信息系统标识 信息系统环境描述 信息系统评估边界和接口描述信息系统安全域描述 组织机构描述 管理制度、法规描述系统资产描述 信息系统详细描述 ·管理体系 ·技术体系 ·业务体系 网络基础设施描述 技术应用描述 适用技术标准描述 主类业务应用描述 业务流程描述廿务信息流描述 图 1 网上银行系统描述框架 GB/T 20983 一2007 — 所屈银行： X X 银行 — 版本, X X X — 时间，x x x x - x x- x x — 版权信息、，x x 4. 3. 2 系统环境描述 描述系统运行 环奖以及系统 开发、棠成和维护的 环境。在网上银行系统信息安全保障目标中用户 （系统的 使用方）应给出其 所评估的网上银行系统的详细环挠描述。 4. 3. 3 评估边界和接口描述 描述所要评估系统的边界和接口。应根括所需 评估的 系统的 实际情况，综合考虑安全域等原则进行边界划分 ，在具体描述时必须用图 表或文字清晰地描述和界定所要评 估的系统边界和接口。 图 2 给出了网上银行 系统的一个通用 概念 化的图 表描述实例，具 体特 定的网上银行系统可以 参考此图对其评估边界和接口进 行详细描述。 网上银行信息系统安全域通常由五个部分组成： — 外部区域 网上银行的公众用户和第三方系统可以通过互 联网或专用网访问网上银行业务系统； 一网上银行业务系统； —银行内部其他系统； 一各银行内部核心业务系统； 一公钥基础设施七 ：雀 其中评估边界 不包括客户端、互联网、公钥基础设施和核 心业务系统 。 · - .......... ............... ． 安全评估区域 ； ｀三、互、-－联－·一网产 客户埮 ：广一一一飞； 图 2 网上银行系统评估边界和接口描述示意图 4. 3. 4 安全域描述 网上银行系统是一个涉及多种不同的应用系统、用户对象、数据敏感程度、主管部门等的复杂信息系统。在网上银行系统的描述中，应根据应用系统、用户对象、数据敏感程度、主管部门等划分安全域。 安全域是 一种逻辑的 划分，它是逍可相同的安全策略的用户和系统的棠合。通过对安全域的描述和界定，就能更好对网上银行系统的信息系统安全保陬进行描述。 以OO 2 网 上银行 系统评估边界和接口示意图为例，在安全评估区域内的网上银行业务系统的安全 域可根据需要进一步划分子安全域 。图 3 为网上 银行 系统的子安全域划分示例。 具体而言 ，网上银行 系统主要包括：客户端 、网上银行访问 子网和网上银行业务系统 、CA 和中间隔离设备。如图 3 所示： 一—外部区域：网上银行的用户，安装网上银行客户端，通过互联网访问网上银行业务系统； ' 安全域 1 : 网上银行访问子网．主要提供客户的 we b 访问和证书认 证； ' 一一安全域 2· 网上银行业务系统 ，主要 进行网上银行的业务处 理， －银行内部系统：银行处理系统，主要进行银行内部的数据处理。 图中 CA 是证书颁发和管理机构 ，它主要为银 行客户、银行工作人员 以及网上银行 we b 服务器等设备提供公开密钥 证书 服务。某些银行安全区域 1 和安全区域 2 合为一 个安全 区域。 GB/T 20983一2007 这个载体才能 影响网上银行系统使命的实现。 在网上银行 系统中，资产分为物理资 产和信 息资产。 4. 4. 1. 3. 1 物理资产 物理资产：指网上银行系统中的各种硬件、软件和物理 设施．例如．系统 的各种网络设 备和软件资产． 在网上银行系统信息安全保障目标中，应详细列 出所评估的特定网上银行系统中的所有重要资产。下面仅列出在网上银行 系统中所包含的部分物理资产示例作为参 考· a) 物理设施 物理设 施包括场地、机房、电力供给（负荷量 及冗余、备份、净化）、灾 难应急（防水、火、地贮、雷击等）、文档及介质存储。 b) 硬件资产 硬件资产包括： l) 计莫机： 包括大／中／小型计算 机、个人计算机； 2) 网络设备 包括交换机、集线 器、网关设备 或路由器、中 继器、桥接设备、调制 解悯器／ Modem 池、配线架｝ 3) 传 输介质及转换器：包括同轴电缆（粗／细）、双绞线、光缆／光端机、卫屋信道（收／发转换装置）、微波信道（收／发转换装置）； 4) 输入／输出设备：包括键盘、电话机、传真机、扫描仪、打印机（激光／针式／喷墨）、显示器、 终端（数据／图像）； 5) 存 储介质 ：包括纸介质、磁盘、磁光盘、光盘（只读／一次写 入／多 次擦写 ) 、磁带、录音／ 录像带； 6) 监控设备：包括摄像机、监视器、电视机、报菩装置。 c) 软件资产 软件资产包括； 1) 计摔 机揉作系统 l 2) ) 网络操作系统： 3 ) 网络管理软件； 4 ) 数据库管理软件； 5) 业务应用 软件 。 4. 4. 1. 3. 2 信息资产 信息资产：指在网上银行系统计划组织、开发采购、实施交付、运行维护和废弃这一网上银行系统生 命周期过程中产生的同网上银行系统 本身相关的有价值的信息以及网 上银行系统 所存储、处理和传输的各种相关的业务、管理和维 护等信息。例如，系统的网络 配笐信息、各种维护升级记录、各种业务应 用信息等。下面仅列出在网上银行系统中所包含的 部分信息资产示例作为参考： —网上银行业务信息；客户档案信息、客户操作记录、安全信息和交易业务数据等； — 网上银行业务管理信息：柜员档案信息、柜员操作记录、安全信息 ： —系统维护管理信息：包括系统运行日志、系统审计日志、系统监督日志、人侵检测记录、系统口 令、系统权限设置 、数据存储分 配、内部网络地址 、系统配置数据、网络设备 的配贺信息、路由信息、IP 地址分配信息 、设备采购信息 、设备维护及升级 记录、布线图纸、布线系统维护及升级记录、通信线路参数、以及其他信息等。 4. 4. 2 网上银行系统技术体系 -3 技术体系是信息系统描述的基础，斋要对现有的各种应用、相应的网络基础设施和所使用的技术标 准进行描述，这些描述将帮助了 解网 上银行系统并为进 一步描述业务系统 提供基础和支待。技术体系描述包括业务支持层、系统服务层 和基础设施层的描述。见图 4。 ： 系统安全环境  : . 1 假设 假设 建 立在网上银行系统 环境所预期的应用环境 和使用方式上。假设按 A- 1、A-2··.. ·· A- N 编号， 亏设一般分两类： a) 网上银行信息系统的开发环境和运行环境的假设； b) 网上银行倍息系统 安全服务假设 。 5. 1. 1 系统环境安全倌设环境假设 主耍包括· A-1 可用性可能依赖于从通信线路提供商提供的通信质蜇和能力。自然或人为灾难对通信可用 性产生的 扰动 是在系统 之外的 。通信线路是作为系统 的一部分口 系统 必须提供足够的 保护以降低拒绝服务攻击达到一个可接受的水平， A-2 网上银行系统的开发应采用不断持续改进的方法。 A-3 网上银行系统 使用不 可信任的通信网络来 建设通 信能力 A-4 网上银行 系统用户有责任保护自己的口令，防止口令泄露。 A-5 网上银行系统的系统管理员有能力管理系统 ，信任 系统管理员不会滥用权限，能够遵守由系统安全管理文件所确定的安全策略 和程序 ，不会故意 破坏安全。 A-6 系统巳实现物理安全．系统内关键设备应位千受控的访问设备中，以阻止外部人员和内部非授权人员对其的物理访问， A-7 系统 可能受到粒通系统安全的高水平攻击者的有预谋 、有组织攻击。 5. 1. 2 系统安全服务假设 网上银行系统安全服务假设有： A-8 网上银行系统存在若 干不同 安全域： a) 每个安全域具有不同的管理和策略要求； b) 外部区坡是一个特殊的安全域，它没有管理｀、没有安全策略，是敌对行为主要来源， c) 连接 及使 用公众网受有关法令 、规范和制 度的管理乙 A-9 网上银行系统安全实行深度防卸。在适合时， 协 词机构和系统 管理者可以实现补充保护机制。 A-JO 其他系统的 接入不能降低网上银行信息的整体安全状态，必须针对潜在 的风险进行检查。 A-1] 在法帤执行调查过程中，为协涸机构提供网上银行系统单方的恁见。 5. 2 威胁 在系统描述中的资产部分描述了为保陌网上银行信息系统的安全需要保护的资产呵本条将描述在 网上银行信息系统的安全环境 中针对这些资产可能施加的相关威胁。需要指出的是，在木 标准中并没有列出 所有的 威胁｀而只 列出与网上 银行信息系统的 安全运行 相关的 主要威胁。 威胁指能够通过未 授权访问 、毁坏、暴露、数据修改 或拒绝服务对系统造成潜在危害的任何环境 或弟件。因此屈戈胁应通过已确定的威胁漁、脆弱性、资产、攻击方式和可能影响的程度进行描述。 5. 2. 1 威胁的分类 威胁是由多个威胁 要素组成，因此从不同 角度来看，威胁有不同的分类方式。 5. 2. 1. 1 根据威胁源主体的威胁分类 从威胁源主体来分 ，威胁分 为： — 自然威胁：洪水 、地翁、龙卷风、山崩、雪崩、电力风暴 以及其 他此类事件； — 人员威肋：由 人 产生或其激活的威胁，例如无意行动（偶然的数据访问 、误操作等）或有总 的行动（基千网络的攻击、恶意软件上传和机密数 据的非授权访间等）； CB/T 20983 一2007 ］） 修改数据； 2) 收集信息； 3) 偷窃； 4) 物理破坏。 e) 分发攻击 分发攻击是指在网上银行软件和硬件的开发、生产、运输、安装阶段，攻击者恶意修改设计、配置等 行为。典型的分发攻击有： —利用开发制造商的设备修改软硬件配览； —在产品分发、安装时修改软硬件配置。 5. 2. 1. 3 根据威胁造成的影响结果的威胁分类 从威胁造成的影响结果来分·威胁分为 ： —－可忽略的威胁； —造成一定影响的威胁； — 造成严重影响的威胁； —造成异常严重影响的威胁。 5.2. 2 威胁描述 综合上述威胁分类和分析，网 上银行系统安全评估准则的威胁将主要根据威胁源、攻击方 式、资产、影响方式 和影响结果进行 分析，参照表 1。 表 1 网上银行系统威胁描述 威胁源 攻击方式 资 产 影响方式 l 彩响结果 —若通公众一银行客户 一内部人员攻击 —袚动攻击 -－主动攻击 一物理临近攻击一分发攻击 一信息资产 ！一保密性 —影一物埋资产 —完整性 一可用性一其他 i ： 响结果可忽略一一定影响结果一严业影响结果 -－异赏严重影响结果 人 一政府 · —普通员工一系统七埋员 自 然 环 境 从上表可以看出，网上银行系统的安全威胁是多级别的，因此，网上银行系统整体上必须具有应对 这些攻 击的能力，但具体 到每一 个应用系统则需要区别对待，认真分析e 5.2. 3 具体的信息系统安全保陓威胁 基于前面的威胁分类和威胁模型，结合网上银行系统的特点，列出网上银行系统的基于威胁源进行 分类的主要 威胁表。为方便 参考 ，尤其是方便补充和描 述，威胁按 T-1、T -2··· ··· T -N 方式编号。 a) 人员威胁 T-] 未授权用户可能获得对网上银行系统的逻辑访问。 T-2 授权用户（内部用户）或伪装成授权用户的未授权用户可能访问禁止其访问的网上银行系统资源或执行未获准的访问权限的操作。 T-3 某些人进行拒绝服务攻击，攻击可能导致网上银行系统资源不可用． T-4 某些人可能物理地攻击网上银行系统 从而危及它的 信息安全保蹄。T-5 安全相关的事件可能没有记录或不可追踪。 T-6 外部用户可能侵 害网上银行系统的通信能力 。 T-7 网上银行系统的体系结构、设计、实现和维护缺陷可能导致信息安全保陓失效。 9 GB/T 20983 一2007 5. 3. l 系统高层安全策略商层安全策略有： P-] 建立网上银行系统高层策略：网上银行系统的商层安全策略是对信息安全保障问题的最高层次论述。表述组织机构最高领导层对 信息安 全保障的支持 ．定义网上银行系统所要实 现的总体安全保障目 标。网上银行商层安全策略要求 用梢炼的 语言对网上银行 系统的 安全保 席目标进行概括性论述，规定策略适用池围和应建立的安全保院管理组织及其相关职责。恸级管理人员将以身作则来支持信息安全保陷的建设及其相关的规定，并且明确将对违反信息安全保院规范的行为做出惩戒． 5.3.2 系统及子系统级策略 系统及子系统级策略服从于高层安全策略所制定的网上银行系统的总体安全保赔目标。它指导具体技术控制措施和管理控制措施的选用和实施。在网上银行系统．典型的系统及子系统级策略主要包 括以下方面： P-2 标识与鉴别策咯：网上银行系统应能够对每个授权网络用户（包括人、设备和过程）进行唯一 的标识；在允许任何用户执行任何橾作（亭先定义好的操作除外．如浏览公共网站）之前，网上银行系统应 能够鉴别每个用户（人或其他的 信息系统 ）身份 ； 如果采用口令 进行鉴别 ，网上银行系统应该能够主动维护“强壮“口令设究，而不允许使用单词、代表日期的数字或其他弱的、易猜测的口令 1 如果口令还不能提供足 够的鉴别强 度．在允许任何用户执行任何操作（事先定 义好的操作除外，如浏览公共网站）之前，网上银行系统应能够提供更强的鉴别机制对用户身 份进行鉴别 1 口令应该设置使用期限 ，过期的口令不能亟复 使用等笭 。 P-3 访间控制策略：访间控制包含登录安全、口令、用户界面、访问控制、远程办公和远程访间．例如网上银行系统应该对网络用户实施强鉴别机制；网上银行系统应能够在达到管理员预设的 失败登录尝试 次数后 自动锁定用户账号 ，网上银行系统应该 在用户登 录时依据上级机构的要求显示标准的 登 录笘告旗标” 。 P-4 公众网安全策略 ：公众网安全策略 包括公 众网 入口、VP N 、l n tra net 、E xu a net 及其 他通 道、 WWW 应用 、Modem 的安全策略 。 P-5 备份和恢复策 略。 P-6 恶意代码策略·应建立恶意代码（包括病毒、蠕虫、特洛伊木马）的安全策略（例如理立病毒防护类型、第三方软件的处理规则｀与病器责任相关的用户）。 P-7 加密策略．基于法律依据．加密管理、加密数据处理、密钥生成机密、密铝管理等洼立相应的加密策略。 P-8 软件开发策略·软件开发策略包括对软件开发程序、测试文档、修改控制以及配笠管理、第三 方开发 、知识产权等方面制定软件开发的相关 策略。 P-9 安全审计策略 。P-10 风险评估策略 。P-11 外包服务策略 。 P-12 人事策略 ： 例如网上银行系统的 授权的管理者和用户必须 经过适当的 培训．以使他们能够： 一 有效地遵守组织安全饺略 I — 正确执行组织 安全策略所规定安 全控制措施。应该包括定 期的教育计划和培训活动 。 P-13 事件响应策略。 P-14 业务持续性策略 。 P-15 灾难恢反策略。 5.3. 3 安全产品级策略 安全产品级策略需要满足系统及子系统级安全策略。安全产品级策略直接指导制订安全产品的配 11 GD/T 20983一2007 OT-17 当某一安全功能没有成功执行时，信息系统能自动恢复到一个安全状态。 OT-18 当一个或多个系统组件失效时系统能继续运行。 OT-19 确保系统 能够袚直构 。 6睿 1. 3 系统的边界安全保障目标 为了 从专用或公共网络 t 获得信息和服务 ，许多机构通过其 信息基础设施与这些 网络连 接。因此， 这些机构必须对其信息基础设施实施保护，例如 保 护其本地计算机环境不受入侵， 一次 成功的人侵可能会导致对于可用性、完整性或保密性的损坏。其安全目标如下· OT-20 确保在边界间或通过远程访间进行交换的数据得到保护并免受不适宜的泄涌。 OT-21 确保物理和逻辑边界得到充 分的保护。 OT-22 确保受保护边界内的系统和网络维待在可接受的可用性并得到充分保席以避免拒绝 服务 6 OT-23 为那些 在边界内的由于技术或配置问题而不能保护自己的 系统提供边界防御。 OT-24 对系统边界发生的安全行为进行检测、审计及响应。 6. 1. 4 网络和基础设施的安全保隐目标 为维护信息服务，并对各种信息进行保护，避免无意中泄端或更改这些信息．网上银行组织机构必须保护其网络和基础设施。其安全保赔目标如下： OT-25 保护局域网和广域网通信网络（例如：免受拒绝服务攻击）。 OT-26 为这些网 络上传送的数据提供保密性和完整性的保护（例如使 用加密和流社流安全措施以抵抗被动监控）。 OT-27 确保广域网上所交换的所有数据得到保护．不会泄泥给任何未授权的网络访问者。OT-28 确保支持使命关键和使命支持数据的广域网提供合适的保护免受拒绝服务的攻击。OT-29 保护受保护信息免受延时、误传或未传送的破坏。 OT-30 保护下列流监免受流豐流分析：用 户流抵·网络基础设 施控制信息。 OT-3] 确保保 护机制不会 千扰同 其他授权骨 干网 络和封闭网络间的无缝操作。 6. 1. S 支撑性基础设施安全保障目标 支撑性基础设施为信息技术系统安全提供了支撑性的平台，它为信息技术系统提供了密钥管理、监 测和响应功能 ' 所岱要虳能 够进行 检测与响应的支撑性基础设施组件包括,.A f曼 监测 系统付；计、配置系统．以及调查所需信息的收集．其安全目标如下： OT-32 提供用以支待密钥、优先权与证书管理的密码基础设施：并能够积极识别使用网络服务的实体。 OT-33 提供一种能够对入侵和其他违规事件快速进行检测与响应并能够支持操作环境的人侵检 视叭报 告、分析、评估和响应基础设施。 6,2 安全保降管理目标 网上银行系统信息安全保障管理的目标就是根据通过稷盖信息系统生命周期的各阶段的管理域来 标准化建立完善 的信息安全保院管理体系 ．从而在实 现信息能够充分 共享的基础上，同 时保障信息和其他资产保证业务的持续性并使业务的损失酘小化。信息系统安全保陌管理的各管理域的安全目标如 下．安全保璋管 理目标按 OM-］、OM-2······0 M-N 编号。 OM-1 安全组织机构·实施信息安全保陷管理。 OM-2 信息安全策略制度；为网上银行系统捉供信息安全保障活动的管理方向及支持。 OM-3 人员安全：确保网上银行系统的合法用户（特别是关键的系统安全保院管理人员）索质可信、能力可氮确保网上银行系统的有效运行，减少有总和无意的人为威胁。 OM-4 信息 安全保障战略规划确 保网 上银行系统的1合息 技术 厮银 行的使命和业务 战路相— 致； 确保网 上银行系统的 建设能够有序、持续的进行 ，并保持运行的 高效性。 13 GB/T 20983 一2007 FOP_ACF. l. 3 系统 安全功能将执行网上访间控制策略· 拒绝主 休对 客体的访问。 当用户账号被锁定时，系统所指定的 特定实 体之外 的所有实体（包括用户）都不能使用该账号。只有授权管理员才能解锁该账号。 7.1.1.1.3 数据鉴别 CF DP DAU) 7.1.1.1.3.1 伴有保证者身 份的数据鉴别 ( FOP _DAU. 2) 系统安全功能应具有相应的能 力，保证主体的 程实身份，并承担 信息 真实性的责任（如，通过数 字签名），用 来保证指定的数据单元的有效性．进而验证 静怂的信息没有被伪造或笠改 ， FDP_DAu. 2. 1 系统 安全功能将提供产生 保证客体（详见F DP_ACF. 1 ) 的有效性证据的能力。 FDP_DAU. 2. 2 系统安全功能将为客户和银行提供验证网上交易有关数据和指令真实有效的证 据和产生该 证据的 真实身份的 能力 C 7.1.1.1.4 信息流控 制策略 CF DP _IFC) 7.1.1.1.4.1 完全信 息流控制( F DP—l FC. 2) FOP_lFC. 2. l 对已确定的主体、信息流及所有导致信息流人流出安全功能策略稷盖的主体的橾 作，系统安全功能应执 行网上信息 流控制泼略。 FDP_IFC. 2. 2 系统安全功能应确保所有导致安全控制范围内的任何信息流人流出安全控制范 即内的任何 主体的 操作被网上信息流控制 策略所覆 盖（ 如表 2 )。 表 2 网上信息流控制策略 | | 允 许 不允 许 客户到银行 合法的交易指令 未加 密的行悄查 询指令 未经数字签名的交易指令 不符合格式耍求的数据包 银行到客户 未经加密和完整性保护的历史成交记录查 经过 加密和完熬 性保护的 合法交易结果 | 询结果 7. 1. 1. 1. 5 信息流控 制功 能CF DP_ IF F) 7. 1. 1. 1. 5. ） 简单安全屈 性( F DP_l FF. 1) FOP_TFF. 1.] 系统安全功能应在主体和最小数目和类型的信息安全质性的基础上执行网上信息流控制策略。 FOP_!FF. 1. 2 对每一个操作．如果在主体和信息之间必须有基于安全屈性的关系，系统安全功 能应允许受控主体和受控信息之间存在经由受控橾作的信息直FDP_IFF. l. 5 系统安全功能应根据基于安全屈性的规则·明 确授权 信息流。FOP_IFF. l. 6 系统安全功能应根据基于安全屈性的规则·明确拒绝信息流。 7. 1. 1. 1. 5. 2 无非 法信息流( FDP—IF F. 5) FDP_IF F. S. 1 系统安全功能应确保 没有规避网上信息流控制策略的非法信息流存在 C 7.1.1.1.6 从安全功 能控 制之外 输入 CF DP_JTC) 7. 1. 1. 1. 6. 1 有安全属性的 用户数 据输入( FDP —IT C. 2) 此功能要求安 全屈性能正确反映用 户数据．并与从 系统安全控制范围之外瑜入的数据正确无歧义地联 系在一 起。 FDP_ITC. 2. ] 在系统安全功能策略控制下．从系统安全控制范围之外输入用户数据时，应执行 网上信息流控 制策略。 FDP_ITC. 2. 2 系统安全功能应使用与输入的数据相关联的安全屈性、 FDP_ITC. 2. 3 系统安全功能应 确保使用的 协议在安全屈性 和接收的用户数据之间提供明啪的联 系。 . J FDP_ITC. 2. 4 系统安全功能应确保对输入的用户数据的安全屈性的解释与用户数据源的解释 是一致的。 GB/T 20983一2007 - . 1. 1. 2. 4. 4 重鉴别<FJ A_U A U. 6l FIA_UAU. 6. 1 系统应在下列条件下雪新鉴别用户：交易消求失败后，及其他重鉴别条件． : . 1. 1. 2. 4. 5 受保护的鉴别反馈( FI A_UAU. 7) FIA_UAU. 7. ］ 当鉴别在进行时，系统 应仅仅将鉴 别是否成功反馈 给用户 。 7. 1. 1. 2. 5 鉴别失败 ( FIA _AFU 7. I. 1. 2. 5. 1 鉴别失败处理( FIA_AF L. l) FIA._AFL. 1. 1 系统应检测何时与交易申请鉴别相关的不成功鉴别尝 试达到门限 值。 FIA._AFL 1. 2 当达到或超过定义了的不成功鉴别尝试的次数时，系统将拒绝交易并记录。 7. 1. 1. 2. 6 用户一主体绑定( FIA_US B) 7. 1. 1. 2. 6. 1 用户一 主体绑定( FIA_USB . 1) FIA_USB. 1. 1 系统将把合适的用户安全屈性关联到代表用户活动的主体上。 7. 1. 1. 3 抗抵赖 7. 1 . 1. 3. 1 原发抗 抵赖( FCO_N RO) 7. 1. 1. 3. 1. 1 强制原 发证明( FCO- NRO. 2) FCO_NRO . 2. l 系统在任何时 候都将对交易数据强 制产生原发证据。 FCO_NRO. 2. 2 系统应能将信息原发者的身份与适用于证据的信息数字签名和证书相关联。 FCO_NRO. 2. 3 系统应能为给定证书、数字签名的接收者、相关检查部门提供验证信息原发证据的能力。 7. 1. 1. 3.2 接收抗抵赖ff CO_NRR) 7. 1. 1. 3. 2. 1 强制接收证明( FCO_NRR. 2) FCO_NRR. 2. I 系统对收到的交易数据强制产生接收证据。 FCO_NRR. 2. 2 系统应能将信息收信者的身份与适用千证据的信息数字签名和证书相关联。 FCO_NRR. 2. 3 系统应能为给定数字签名、证书接收者、相关检查部门提供验证接收证据的能力。 7. 1. 1. 4 安全功能保护 7. 1. 1. 4. 1 安全功能 数据输出的保密性( FPT_ITC) 7. 1. 1. 4. 1. 1 传输过程中 安全功能 间的保密性( FPT_IT C. l) 要求 系统安全功能 确保 安全功 能数据在系统 与远程可信 lT 产品问的传牺不被泄潞。 FPT _ITC. 1. l 网上银行 系统应保护所有的安全功 能数据从系统到远程可信 IT 产品的传输过程中不被禾经 授权的 池密。 7. 1. 1. 4. 2 安全功 能数据输出的完整性( FPT_IT I) 7. 1. 1. 4. 2. 1 安全功能间的修改检测C FPT _!Tl. 1) 提供在远 和可信 IT 袚产品 知道所使用的机制的 假设 下．检测安 全功能数据在系统 与远程可信 IT 产品传输过 芹中修 改的能力， FPT_ITI. 1. I 网 卜 银行系统 应能 够检测系统与远程可信 IT 产品 间传输 的所有安全功能数据的修改。 FPT _ITI. 1. 2 应 验证在系统与远程可信 IT 产品间传输的所有安 全功能数据的完整性 ，如果 检测到数据修改时应及 时通知数据的拥有者 3 7. 1. l. 4. 3 亟放检测 (F PT_RPU 7. 1. I. 4. 3. 1 重放检 测ff PT_RPL. 1) 要求网上银行系统 能够检测出鉴别数据和交易数据的重放。FPT_RPL. I. l 网上银行系统应能检测鉴别数据和交易数据的重放。FPT_RPL. I. 2 检测到重放时 ，系统 应及时通知 系统管理员。 l7 GB/T 2098 3一2007 7. 1. I. 6. 1 安全审计 自动响应( F A U ..A RP ) -. 1. 1. 6. l. 1 安全警告 (F AU_ARP. 1) 安全芒告功能描述了当检测到可能的安全侵害时，系统将采取的行动，包括报努或系统自动响应。 FAU_ARP. 1.] 当检测到潜在的安全侵害时，系统将通知授权管理员．使产生潜在安全侵害的主体失效，或采取其他由授权管理负确定的行动。 例如，系统安全功能能够生成实时报密、终止违例进程、取消服务、断开用户账号以及使用户账号失 效等。 应用注释： 如果—个审计罕件由 F A U _S A A 组件指出．那么这个事件将衱定义为是“潜在的安全 侵害事 件” C 7. 1. 1. 6. 2 安全审计数 据产生( F A U _G E N > 本条要求发生安全相关事件时应记录其出现，列举出网上银行系统可审计的事件类型，以及应在各审计记录内提供的审计相关信息 的鼓小集合。 7. 1. I. 6. 2. ＼ 审计数 据产生( F A U_GE N. I) 网上银行系统的审计数据产生功能只产生簸小级审计事件记录，并规定进行每项记录的数据表。 FAU_GE'.\i. l. 1 系统应能为下述可审计事件产生审计记录： a) 审计功能的启动和关闭； b) 所有蔽小级的可审计事件； c) 其他专门定义的可审汁车件由银行自行定义。 FAU_GE . 1. 2 系统将在每个市计记录中至少记录如下信息： a) 事件的日期和时间、挛件类型、主体身份、事件的结果（成功或失败）； b) 晟小级 可审计 事件类 型见 表 3, 表 3 端到端安全保障技术要求的可审计安全事件类型 组件标识 l 市汁级别 可审计平（牛 FAU_ARP. l 奻小级 当即将 发生安 全侵害时采取的 行动。 FAU_SAA . I 最小级最小级 开启和关闭 任何分析 机制． 由工具完成的自动响应． FCO_NRO. 2 最小级 尚用抗抵粕 服务． FCO_:'--IRR. Z 簸小级 优］用抗抵 赖服务． FDP_ACF. 1 最小级 成功的 请求在某个被安全功能策路覆盖 的客体上执行 某操作。 FDP_DAU. 2 垃小级 成功的产生有效 证据。 FDP_ETC. 1 最小级 成功的 信息舫出． FDP_ETC. 2 最小级 成功的 信息柏出乙 FDP_IFF. l 祭小级 判定允许请求的信息流。 FDP_IFF. 5 最小级 判定允许诅求的信息，流。 FDP_ITC. 2 最小级 成功瑜人用户数据．包括任何安全凤性， FDP_SDI. 2 岛小级 成功尝 试检机用户数据的 完整性．包括指示捡浏结果。 FDP_UCT . l 枭小级 使用数据交换 机制的任何用户或 主体的身份 ． FDP_UIT. 1 砓小级 二 使用数据交换机制 的任何用户或主体的身份 。 FIA_AF I.. l 汲小级 获取失败鉴别的 阔值和