安全規范

6.1概述

本規范分為安全技術規范、安全管理規范和業務運營安全規范三個部分。金融機構應針對不同的業務類型采取相應級別的安全保障措施。考慮到業務相關性，本規范還包含針對網上銀行系統外部連接的安全要求。網上銀行系統應按照網絡安全等級保護第三級安全要求進行建設與運維管理。

6.2安全技術規范

6.2.1客戶端安全

6.2.1.1客戶端程序

基本要求：

a)客戶端程序開發設計過程中應注意規避各系統組件、第三方組件、SDK存在的安全風險， 應對開發框架和技術路線進行嚴格的論證，必要時應進行選型安全測試。

b)客戶端程序應具有明確的應用標識符和版本序號，設計合理的更新接口，當某一版本被證明存在重大安全隱患時，提示并強制要求用戶更新客戶端。

c)客戶端程序的每次更新、升級，應進行源代碼審計、安全活動審查和嚴格歸檔，以保證客戶端程序不存在隱藏的非法功能和后門。

d)應采用安全的方式對客戶端程序進行簽名，標識客戶端程序的來源和發布者，保證客戶所下載的客戶端程序來源于所信任的機構。

e)客戶端程序在啟動和更新時應進行真實性、完整性校驗(例如，聯機動態校驗等)，防范客戶端程序被篡改或替換。

f)客戶端程序應采取代碼混淆、加殼等安全機制，防止客戶端程序被逆向分析，確保客戶端的敏感邏輯及數據的機密性、完整性。

g)客戶端程序應保證自身的安全性，避免代碼注入、緩沖區溢出、非法提權等漏洞。

h)客戶端程序應采取進程保護措施，防止非法程序獲取該進程的訪問權限，掃描內存中的敏感數據或替換客戶端頁面等。

i)客戶端程序應對關鍵界面采用反錄屏等技術，防范非法程序通過拷屏等方式獲取支付敏感信息。

j)客戶端程序應提供客戶輸入支付敏感信息的即時防護功能，并對內存中的支付敏感信息進行保護，例如，采取逐字符加密、自定義軟鍵盤、防范鍵盤竊聽技術等措施。

k)客戶端軟件不應以任何形式在本地存儲用戶的支付敏感信息，存儲位置包括但不限于Cookies、本地臨時文件和移動數據庫文件等。

l)客戶端程序應采取有效措施保證所涉及密鑰的機密性和完整性。

m)客戶端程序應采取措施對密碼復雜度進行校驗，保證用戶設置的密碼達到一定的強度。

n)客戶端程序密碼框應禁止明文顯示密碼，應使用同一特殊字符(例如，*或·)代替。

o)客戶端程序登錄后在一段時間內無任何操作，應自動登出，重新登錄才能繼續使用。

p)客戶端程序應配合服務器端采取有效措施，對登錄請求、服務請求以及數據庫查詢等資源消耗較高行為的頻率進行合理限制。

q)客戶端程序具備條碼生成、展示或識讀解析功能時，應符合《條碼支付安全技術規范(試行)》(銀辦發(2017〕242號文印發)要求。

r)客戶端程序應能夠有效屏蔽系統技術錯誤信息，不將系統產生的錯誤信息直接反饋給客戶。

s)客戶端程序應支持通過IPv 6連接訪問網絡服務， 在IPv 4/IPv 6雙棧支持的情況下， 優先采用IPv 6連接訪問。

t)客戶端程序應具備隱私政策。

u)客戶端程序在收集、使用客戶信息之前，應明示收集、使用信息的目的、方式和范圍，公開其收集、使用規則，并取得客戶的明示同意。在采集客戶個人敏感信息前應對采集的用途和必要性進行提醒。

v)客戶端程序應禁止訪問終端中非業務必需的文件和數據。應根據最小權限原則申請系統權限(例如，申請讀取通訊錄、地理位置等權限)，并取得用戶的明示同意。

w)客戶端應保留最少的客戶信息，并限制數據存儲量和保留時間。

x)客戶端程序退出時，應清除非業務功能運行所必須留存的業務數據，保證客戶信息的安全性。

y)應采取渠道監控等措施對仿冒客戶端程序進行監測。

6.2.1.2客戶端環境

基本要求：

a)應對客戶端運行環境的安全狀況進行檢測并向后臺系統反饋，并將此作為風控策略的依據。

b)應采取有效措施提升客戶端環境安全級別，針對不同的安全等級采取相應的風險控制措施。

c)應在門戶站點等渠道發布客戶端環境安全的提示。

d)當發現客戶端環境存在重大安全缺陷或安全威脅時，應采取必要措施對用戶進行警示或拒絕交易。

6.2.2專用安全機制

6.2.2.1智能密碼鑰匙

本標準所涉及的智能密碼鑰匙包含目前網上銀行系統普遍應用的USB Key、藍牙Key、音頻Key、SDKey等基于硬件的Key產品， 也包括將來可能出現的其他基于硬件的Key產品。

基本要求：

a)金融機構應使用經國家或行業主管部門認可的第三方專業測評機構檢測通過的智能密碼鑰匙。

b)應在安全環境下完成智能密碼鑰匙的個人化過程。

c)智能密碼鑰匙應采用具有密鑰生成和數字簽名運算能力的智能卡芯片，保證敏感操作在智能密碼鑰匙內進行。

d)智能密碼鑰匙的主文件(MasterFile) 應受到COS安全機制保護， 防止非授權的刪除和重建。

e)密鑰文件在啟用期應封閉。

f)應保證私鑰在生成、存儲和使用等階段的安全：

• 簽名私鑰應在智能密碼鑰匙內部生成，不得固化密鑰對和用于生成密鑰對的素數。

• 應保證私鑰的唯一性。

• 禁止以任何形式從智能密碼鑰匙讀取私鑰或寫入簽名私鑰。

• 私鑰文件應與普通文件類型不同，應與密鑰文件類型相同或類似。

• 在每次執行簽名等敏感操作前，均應首先進行認證。

• 智能密碼鑰匙在執行簽名等敏感操作時，應具備操作提示功能，包括但不限于聲音、指示燈、屏幕顯示等形式。

• 智能密碼鑰匙內部產生的私鑰，不再需要時應及時銷毀。

g)簽名交易完成后，狀態機應立即復位。

h)應保證PIN碼和密鑰的安全：

• PIN碼應具有復雜度要求。

• 采用安全的方式存儲和訪問PIN碼、密鑰等支付敏感信息。

• PIN碼和密鑰(除公鑰外) 不能以任何形式輸出。

• 經客戶端輸入進行驗證的PIN碼在其傳輸到智能密碼鑰匙的過程中， 應進行加密， 并保證在傳輸過程中能夠防范重放攻擊。

• PIN碼連續驗證失敗次數達到上限(不超過10次) 時， 智能密碼鑰匙應主動鎖定。

• 同一型號智能密碼鑰匙在不同銀行的網上銀行系統中應用時，應使用不同的根密鑰，且智能密碼鑰匙中的對稱算法密鑰應使用根密鑰進行分散。

• 參與密鑰、PIN碼運算的隨機數應在智能密碼鑰匙內生成， 其隨機性指標應符合國家密碼主管部門的要求。

i)借助SE與TEE技術結合實現智能密碼鑰匙的相關功能時， 應保證SE與TEE的安全：

• SE的使用應符合JR/T0098.5的要求。

• TEE的使用應符合JR/T 0156-2017的要求。

• 智能密碼鑰匙所需的顯示、PIN輸入等可信功能應在TEE中實現。

• 智能密碼鑰匙所需的簽名驗簽、密鑰與根密鑰存儲等敏感服務應在SE中實現。

• 應保證僅有網上銀行系統客戶端或相關的客戶端程序能夠訪問SE中與其相對應的功能與數據。

• 應使用經國家或行業主管部門認可的第三方專業測評機構安全檢測通過的SE、TEE產品。

j)智能密碼鑰匙使用的密碼算法應符合國家密碼主管部門的要求。

k)對智能密碼鑰匙固件進行的任何改動，都應經過歸檔和審計，以保證智能密碼鑰匙中不含隱藏的非法功能和后門指令。

l)智能密碼鑰匙加密芯片應具備抵抗旁路攻擊的能力，包括但不限于：

• 抗SPA/DPA攻擊能力。

• 抗SEMA/DEMA攻擊能力。

m)在外部環境發生變化時，智能密碼鑰匙不應泄露支付敏感信息或造成安全風險。外部環境的變化包含但不限于：

• 高低溫。

• 高低電壓。

• 強光干擾。

• 電磁干擾。

• 紫外線干擾。

• 靜電干擾。

• 電壓毛刺干擾。

n)應設計安全機制保證智能密碼鑰匙驅動程序的安全，防范被劫持、篡改或替換。

o)應采取有效措施防范智能密碼鑰匙被遠程挾持帶來的風險，例如，采用具備客戶主動確認功能的智能密碼鑰匙或通過可靠的第二通信渠道要求客戶確認交易信息等。

p)如智能密碼鑰匙不具備確認功能，則連接到終端設備一段時間內無任何操作后應自動關閉，應重新連接才能繼續使用，以降低遠程挾持的風險。

q)具有屏幕顯示、語音提示、按鍵確認等提示確認功能的智能密碼鑰匙，應符合下列要求：

• 應對交易指令的完整性進行校驗、對交易指令的合法性進行鑒別、對關鍵交易數據進行輸入、確認和保護，應采取有效措施防止確認環節被繞過。

• 應能夠自動識別待簽名數據的格式，識別后在屏幕上顯示或語音提示關鍵交易數據，保證屏幕顯示或語音提示的內容與智能密碼鑰匙簽名的關鍵數據一致。

• 應采取有效措施防止簽名數據在客戶最終確認前被替換。

• 未經按鍵確認等操作，智能密碼鑰匙不得簽名和輸出，在等待一段時間后，自動清除數據，并復位狀態。

增強要求：

智能密碼鑰匙應能夠自動識別其是否與客戶端連接，應具備在規定的時間與客戶端連接而未進行任何操作時的語音提示、屏幕顯示提醒等功能。

6.2.2.2文件證書

文件證書的使用應符合國家密碼主管部門與行業主管部門的相關要求，同時應滿足以下要求：

基本要求：

a)應嚴格控制申請、頒發和更新流程，避免對個人網銀客戶的同一業務頒發多個有效證書。

b)用于簽名的公私鑰對應由客戶端生成，不應由服務器生成。私鑰只允許在客戶端(包括智能密碼鑰匙等安全設備)使用和保存。

c)應保證私鑰的唯一性。

d)應強制使用密碼保護私鑰，防止私鑰受到未授權的訪問。

e)應支持私鑰不可導出選項。

f)私鑰導出時，客戶端應對客戶進行身份認證，例如，驗證訪問密碼等。

g)私鑰備份時，應提示或強制放在移動設備內，備份的私鑰應加密保存。

h)文件證書的發放宜使用離線或專線方式，確需通過公眾網絡發放的，應提供一次性鏈接下載。

i)文件證書應與終端信息綁定，防范證書被非法復制到其他終端上使用。

j)應對關鍵操作(例如，簽名)進行保護，防止證書被非授權調用。

增強要求：

在備份或恢復私鑰成功后，金融機構應通過可靠的第二通信渠道向客戶發送提示消息。

6.2.2.3動態口令令牌

網上銀行系統的動態口令令牌應優先選用符合 GM/T 0021-2012 的產品。

基本要求：

a)金融機構使用的動態口令令牌設備及后臺支持系統，應經過認可的第三方專業測評機構安全檢測通過。

b)應采取有效措施防范動態口令機制被中間人攻擊，例如，通過可靠的第二通信渠道要求客戶確認交易信息等。

c)應采取有效措施保證種子密鑰或相關變形在整個生命周期的安全。

d)動態口令生成算法、密鑰長度和密鑰管理方式應符合國家密碼主管部門的要求。

e)動態口令的長度不應少于6位。

f)應防范通過物理攻擊的手段獲取設備內的支付敏感信息，物理攻擊的手段包括但不限于開蓋、搭線、復制等。

對于基于時間機制的動態口令令牌，應設置此時間窗口最大不超過動態口令的理論生g)存期前后60s(理論生存期是指如果令牌和服務器時間嚴格一致，令牌上出現動態口令的時間范圍)，結合應用實踐，設置盡可能小的理論生存期，以防范中間人攻擊。

h)采用基于挑戰應答的動態口令令牌進行資金類交易時，挑戰值應包含用戶可識別的交易信息(例如，轉入賬號、交易金額等)，以防范中間人攻擊。

i)如使用動態口令機制，登錄和交易過程中的動態口令應各不相同，系統應具備防重放、防猜解功能。

增強要求：

a)動態口令令牌設備應使用PIN碼保護等措施， 確保只有授權客戶才可以使用。

b)PIN碼和種子應存儲在動態口令令牌設備的安全區域內， 或使用其他措施對其進行保護。

c)PIN碼連續輸入錯誤次數達到錯誤次數上限(不超過10次) ， 動態口令令牌應鎖定。

d)PIN碼輸入錯誤次數達到上限導致動態口令令牌鎖定后， 動態口令令牌系統應具備相應的自動或手動解鎖機制。

e)動態口令令牌加密芯片應具備抵抗旁路攻擊的能力，包括但不限于：

• 抗SPA/DPA攻擊能力。

• 抗SEMA/DEMA攻擊能力。

f)在外部環境發生變化時，動態口令令牌不應泄露支付敏感信息或影響安全功能。外部環境的變化包含但不限于：

• 高低溫。
• 強光干擾。
• 電磁干擾。
• 紫外線干擾。
• 靜電干擾。

g)動態口令令牌設備應具備一定的抗跌落功能，防止意外跌落導致種子密鑰丟失。

6.2.2.4短信驗證碼

基本要求：

a)開通短信驗證碼時，應使用人工參與控制的可靠手段驗證客戶身份并登記手機號碼。更改手機號碼時，應對客戶的身份進行有效驗證。

b)交易的關鍵信息應與短信驗證碼一起發送給客戶，并提示客戶確認。

c)短信驗證碼應隨機產生，長度不應少于6位。

d)短信驗證碼應具有時效性，最長不超過6分鐘，超過有效時間應立即作廢。

e)短信驗證碼在使用完畢后應立刻失效，應采取措施防范對驗證碼的暴力猜解攻擊。

f)短信驗證碼的關鍵信息不應由客戶定制，例如，金額、卡號。

g)應基于終端特性采取有效措施防止驗證碼被分析、竊取、篡改，保證短信驗證碼的機密性和完整性，例如，對驗證碼進行加密處理、結合外部認證介質、采用挑戰應答等。

6.2.2.5生物特征

金融機構在網上銀行系統中使用生物特征技術進行身份確認或識別(不包含賬戶開戶環節)，遵循如下要求。

基本要求：

a)應符合國家相關法律法規及主管部門有關管理要求，采用的生物特征解決方案應通過經國家或行業主管部門認可的第三方專業測評機構檢測。

b)應充分評估所使用的生物特征技術的特點及存在的風險，按照GB/T27912-2011的要求建立完整的生物特征安全應用與管理體系。

c)應采取適當的措施阻止已知的偽造攻擊手段，降低偽造身份通過確認或識別的可能性。

d)應確定合理的生物特征數據采集、傳輸、處理、存儲的方式，采取適當的措施避免生物特征數據或相關信息被非法泄露或非法使用。

e)當所使用的生物特征技術尚未經過充分驗證時，應把生物特征技術作為安全增強手段，并與其他身份認證技術相結合，增強交易安全。

f)采集的生物特征數據不得用于除預期業務外的其他用途。

g)在移動終端上， 如借助TEE技術實現生物特征的相關功能， 要求如下：

• TEE的使用應符合JR/T 0156一2017的要求。
• 生物特征數據的計算、活檢、比對和存儲等可信功能應在TEE中實現。
• 應使用經國家或行業主管部門認可的第三方專業測評機構安全檢測通過的TEE產品。

h)如借助SE技術實現生物特征的相關功能，要求如下：

• SE的使用應符合 JR/T 0098.5 的要求。
• 生物特征功能所需的密鑰、根密鑰存儲、密碼學運算等高安全服務應在SE中實現。
• 應保證僅有相關的客戶端程序及生物特征數據采集模塊能夠訪問SE中與其相對應的功能與數據。
• 應使用經國家或行業主管部門認可的第三方專業測評機構安全檢測通過的SE產品。

6.2.2.6其他機制

對于不明確屬于上述分類的其他機制或在本標準發布后新出現的專用安全機制，應根據自身特點參照上述分類的部分或全部要求，保證專用安全機制自身的可靠性以及其所保護信息的安全性。

6.2.3通信網絡安全

6.2.3.1通訊協議

基本要求：

a)應在客戶端程序與服務器之間建立安全的信息傳輸通道，采用的安全協議應及時更新至安全穩定版本，取消對存在重大安全隱患版本協議的支持。

b)應采用每次交易會話采取獨立不同密鑰的加密方式對業務數據進行加密處理，防止業務數據被竊取或者篡改。

c)根據數據傳輸的安全要求，應使用安全的算法組合。

增強要求：

應使用加密算法和安全協議保護網上銀行服務器與其他應用服務器之間所有連接，保證傳輸數據的機密性和完整性。

6.2.3.2安全認證

基本要求：

a)通過公開網絡進行數據傳輸時，應通過密鑰、證書等密碼技術手段進行雙向認證。

b)客戶端程序應對服務器端證書的合法性進行驗證。

c)整個通訊期間，經過認證的通訊線路應一直保持安全連接狀態。

d)銀行端Web服務器應使用權威機構頒發的數字證書以標識其真實性。

e)應確保客戶獲取的金融機構Web服務器的根證書真實有效， 例如， 可在客戶開通網上銀行時分發根證書，或將根證書集成在客戶端程序安裝包中分發等。

增強要求：

客戶端程序和本地其他實體(指除支付軟件自身外的其他軟件及硬件)間的數據通信應采用安全的方式，確保通信數據不被監聽和篡改。

6.2.3.3通信鏈路

基本要求：

a)網上銀行客戶端和服務端之間的通訊，若通信數據中包含支付敏感信息，則應對支付敏感信息加密，支付敏感信息不應以明文形式出現。

b)客戶端和服務端之間的通訊如經過第三方服務器且通信數據中包含支付敏感信息時，應建立服務端和客戶端之間的安全通道(例如， VPN等) 避免信息被第三方獲取或修改。

6.2.4服務器端安全

6.2.4.1等級保護要求

網上銀行系統應滿足 JR/T 0071“安全通用要求”中有關安全技術要求。網上銀行系統采用云計算技術的，應滿足 JR/T 0071“云計算安全擴展要求”中有關安全技術要求。采用移動互聯相關技術的，應滿足 JR/T 0071“移動互聯安全擴展要求”中有關安全技術要求。

6.2.4.2安全通信網絡

基本要求：

• 應使用前置設備實現跨機構聯網系統與入網金融機構業務主機系統的隔離，防止外部系統直接對入網金融機構業務主機的訪問和操作。

• 應對進出網絡的數據包進行過濾，識別可疑的數據包并進行處置。

• 應加強對于運維區、監控區等網段的安全防護，防止攻擊者通過特權網段進行跳轉。

• 應定期對無線訪問點進行排查，應在連接無線訪問點的網絡和其他網絡之間采取隔離等有效的防護措施，避免訪問者滲透到其他網絡。

• 應具備自動或快速封禁IP的技術措施。

• 具備互聯網訪問入口的測試環境，網絡安全防護要求應同生產環境保持一致。

b)訪問控制：

• 網絡設備應按最小安全訪問原則設置訪問控制權限。
• 應定期對網絡設備、安全設備、堡壘機、VPN等設備的密碼進行排查， 避免使用默認密碼、常見弱口令以及包含個人、機構和設備等信息的口令，避免使用存在一定規律的口令。
• 應對設備管理界面的訪問地址進行嚴格限定，對異常的訪問請求進行記錄和預警。
• 應采取有效措施防范無線網絡接入風險， 例如， 綁定無線網絡終端的MAC地址、除靜態密碼外采用動態因素二次認證等方式。
• 應在與分支機構、合作單位等網絡邊界設置基于協議及應用內容的訪問控制措施。

c)入侵防范：

• 制定合理的IDS/IPS的安全策略配置， 并指定專人定期進行安全事件分析和安全策略配置優化。

• 應防范對網上銀行服務器端的異常流量攻擊。可參考的防護措施包括但不限于：

  • 與電信運營商簽署DoS/DDoS防護協議。
  • 防火墻開啟DoS/DDoS防護功能。
  • 使用DoS/DDoS防護設備。
  • 使用IDS/IPS設備。
  • 使用負載均衡設備。
  • 使用惡意流量清洗技術。
  • 使用具備安全防護能力的CDN。

d)網絡設備防護：

• 將關鍵網絡設備存放在安全區域，應使用相應的安全防護設備和準入控制手段以及有明確標志的安全隔離帶進行保護。

• 不應將管理終端主機直接接入核心交換機、匯聚層交換機、服務器群交換機、網間互聯邊界接入交換機和其他專用交換機。

• 應更改設備的初始密碼和默認設置，并定期采用技術手段進行檢測等方式以識別不安全的配置。

• 指定專人負責防火墻和路由器的配置與管理，并指定他人定期(不超過6個月)審核配置規則。

• 在變更防火墻、路由器和IDS/IPS配置規則之前， 確保變更已進行驗證和審批。

• 應對網絡設備運行狀況進行日常監控和檢查，發現異常應及時報警和處理。

• 應采取沙箱、蜜罐、防病毒等措施，對網絡攻擊進行預防、監測和處置。

• 應不定期組織針對開源系統或組件的安全測評，及時進行漏洞修復和加固處理。

• 應對VPN、堡壘機的操作行為進行監控和審計， 對異常的賬戶創建、設備訪問等行為進行監控和預警。

• 應定期對軟硬件資產進行核查，對設備進行人工、自動化排查探測，對己棄用設備進行下線處理。

e)惡意代碼防范：

• 應對網絡流量進行安全分析，分析可疑的網絡攻擊與入侵行為、僵尸網絡、病毒和蠕蟲的網絡傳播等。

增強要求：

網絡設備防護：

• 宜使用帶外管理的方式對網絡設備進行管理，以保障數據網絡和管理網絡的物理信道分離。
• 網絡設備應支持IPv 6， 針對IPv 6的防護強度應不弱于針對IPv 4的防護強度。

6.2.4.3安全計算環境

基本要求：

a)身份鑒別：

• 應使用符合國家密碼主管部門要求的加密算法對密碼進行加密保護，在傳輸和存儲過程中不允許明文密碼出現。

• 系統和設備的口令密碼設置應在安全的環境下進行，必要時應將口令密碼紙質密封交相關部門保管，未經主管領導許可，任何人不得擅自拆閱密封的口令密碼，拆閱后的口令密碼經使用后應立即更改并再次密封存放。

• 應對登錄主機的地址進行限制，對于違規的登錄嘗試進行報警。

• 應防范口令暴力破解攻擊，記錄攻擊源地址，并報警。

• 不應明文顯示密碼，應使用同一特殊字符(例如，*或?）代替。

• 應引導用戶設置不易猜解的密碼，應采取技術手段對脆弱密碼進行檢測。

• 針對批量或高頻登錄等異常行為，應利用IP地址、終端設備標識等信息進行綜合識別，及時采取附加驗證、拒絕請求等手段。

• 應采取有效措施防范登錄操作的重放攻擊，例如，在登錄交互過程提交的認證數據中增加服務器生成的隨機信息成分。

• 應使用即時加密等安全措施降低惡意軟件竊取用戶支付敏感信息的風險，使用軟鍵盤方式輸入密碼時，應采取自定義鍵盤等措施防范密碼被竊取。

• 應保證密碼的加密密鑰的安全。

• 會話標識應隨機并且唯一，會話過程中應維持認證狀態，防止客戶通過直接輸入登錄后的地址訪問登錄后的頁面。

• 不得在客戶端緩存密碼、密鑰等支付敏感信息，不應在日志中記錄支付敏感信息，例如，在包含上述信息的頁面設置禁止緩存參數，防范未授權用戶通過瀏覽器后退等方式獲取支付敏感信息。

• 退出登錄或客戶端程序、瀏覽器頁面關閉后，應立即終止會話，保證無法通過后退、直接輸入訪問地址等方式重新進入登錄后的網上銀行頁面。

• 退出登錄時應提示客戶取下(或斷開)專用安全設備，例如，智能密碼鑰匙。

• 修改客戶敏感參數(例如，密碼、轉賬限額等)時，應再次認證客戶身份。

• 顯示客戶身份證件信息時，應屏蔽部分關鍵內容，例如，屏蔽身份證后六位信息等。

b)訪問控制：

• 應實現操作系統和數據庫系統特權用戶的權限分離，系統管理員只具備操作系統的運維管理權限，數據庫管理員只具備數據庫的運維管理權限。

• 應根據業務必需和最小權限原則，對主機系統的訪問控制規則進行精細化配置，例如，通過系統防火墻對允許訪問本機的地址和端口進行限制，對異常的訪問請求進行攔截和報警。

• 應對統一身份認證系統、運維終端管理系統，域控、補丁升級、防病毒、郵件、文件中轉共享服務器等提供集中管控或基礎服務的設施進行嚴格的訪問控制，對異常的訪問請求進行攔截和報警。

• 企業網銀可支持客戶選擇使用管理員和操作員兩類用戶，管理員用戶初始登錄密碼應在銀行柜臺設置，操作員用戶由管理員用戶設置或在柜臺設置，操作員用戶權限應根據錄入、復核、授權職責分離的原則設置。

• 應建立完善的交易驗證機制，每次處理的客戶信息均以服務器端數據為準，當服務器端檢測到客戶提交的信息被篡改時，應當及時中斷交易，并對客戶請求指令的邏輯順序進行合理控制。

• 應每季度檢查并鎖定或撤銷應用系統及數據庫中多余的、過期的用戶及調試用戶。

• 應對開放的API接口進行統一準入管理。

c)安全審計：

• 應合理分配交易日志的管理權限，禁止修改日志，確保日志的機密性、完整性和可用性。
• 應及時對中間件日志、應用日志、錯誤日志等文件進行分析，識別異常的訪問行為。

d)入侵防范：

• 應嚴格限制下載和使用免費軟件或共享軟件，確保軟件來源可靠，且在使用前應經過嚴格測試。

• 應建立允許使用的軟件列表，對軟件安裝包進行統一管理，定期對列表中軟件的安全狀況進行跟蹤。

• 應采取技術手段對攻擊活動進行檢測和報警，例如，文件完整性監控、主機型入侵檢測、進程白名單、父子進程關聯檢測、攻擊腳本檢測等。

e)Web應用安全：

• 防范支付敏感信息泄露：

  • 在網上銀行系統上線前， 應刪除Web目錄下所有測試腳本、程序。

  • 如在生產服務器上保留部分與Web應用程序無關的文件， 應為其創建單獨的目錄， - 使其與Web應用程序隔離， 并對此目錄進行嚴格的訪問控制。

  • 不應在Web應用程序錯誤提示中包含詳細信息， 不向客戶顯示調試信息。

  • 不應在Web應用服務器端保存客戶支付敏感信息。

  • 應對網上銀行系統Web服務器設置嚴格的目錄訪問權限， 防止未授權訪問。

  • 統一目錄訪問的出錯提示信息，例如，對于不存在的目錄或禁止訪問的目錄均以“目錄不存在”提示客戶。

  • 禁止目錄列表瀏覽，防止網上銀行站點重要數據被未授權下載。

• 防范SQL注入攻擊：

  • 網上銀行系統Web服務器應用程序應對客戶提交的所有表單、參數進行有效的合法性判斷和非法字符過濾， 防止攻擊者惡意構造SQL語句實施注入攻擊。

  • 不應僅在客戶端以腳本形式對客戶的輸入進行合法性判斷和特殊字符過濾。

  • 數據庫應盡量使用存儲過程或參數化查詢，并嚴格定義數據庫用戶的角色和權限。

• 防范跨站腳本攻擊：

  • 應通過嚴格限制客戶端可提交的數據類型、對提交數據進行有效性檢查、設置響應頭防護參數、對輸出信息進行編碼等措施防范跨站腳本注入攻擊。

• 應對Web頁面提供的鏈接和內容進行控制， 定期檢查外部鏈接和引用內容的安全性。

• 應對開放的API接口進行安全評估與測試， 保證接口的安全性和可靠性。

• 應采取網站頁面防篡改措施， 應具備對Web后門進行檢測和報警的能力。

• 應采取有效措施防范由于客戶使用第三方瀏覽器(例如，手機平臺瀏覽器)、第三方輸入法帶來的支付敏感信息泄露、交易數據篡改等重要信息安全風險。

• 應對條碼中包含的網址等信息進行校驗，對非法地址和惡意請求進行攔截。

• 應加強對開源及商業應用系統或組件的安全管理，進行安全評估并及時修復安全洞。

• 應對文件的上傳和下載進行訪問控制，避免攻擊者執行惡意文件或發起未授權訪問。

• 應采取有效措施防范針對服務器端應用層的拒絕服務攻擊。

f)圖形驗證碼：

• 應隨機產生。
• 應采取圖片底紋干擾、顏色變換、設置非連續性及旋轉圖片字體、變異字體顯示樣式、交互式認證等有效方式，防止驗證碼被自動識別。
• 應具有使用時間限制并僅能使用一次。
• 圖形驗證碼應由服務器生成，客戶端源文件中不應包含驗證碼文本。

g)防釣魚：

• 應具有防網絡釣魚的功能，例如，顯示客戶預留信息、使用預留信息卡、客戶自定義個性化界面等。

• 用于訪問應用以外的程序或系統的身份認證憑據應采取加密等方式進行保護。

• 應采取防釣魚網站控件、釣魚網站監控工具、釣魚網站發現服務等技術措施，及時監測發現釣魚網站，并建立釣魚網站案件報告及快速關閉釣魚網站的處置機制。

• 應加強防釣魚的應用控制和風險監控措施，例如，增加客戶端提交的頁面來源地址信息的校驗、設置轉賬白名單等。

• 應采用已有和瀏覽器相關聯的可信網址認證機制， 保證登錄的URL經過第三方權威機構的安全認證。

h)域名解析服務：

• 域名解析系統應不間斷運行，在排除不可抗力的情況下，按月統計，權威服務器和遞歸服務器業務可用性均應大于99.99%。

• 遞歸服務器自身不應同時兼備權威服務器功能，不應提供除域名服務之外的其他服務。

• 權威域名服務系統，應保持主服務器對輔服務器(組)的記錄信息的更新頻率，保證數據同步。

• 應建立對關鍵數據和重要信息進行備份和恢復的管理和控制機制。關鍵數據包括但不限于域名系統架構、域名解析軟件及配置、域名區文件、域名解析日志、域名系統監控數據。

• 如采用委托第三方運營的域名解析系統，應要求其提供與自建域名解析系統相同的安全防護能力。

• 應支持IPv 6訪問與解析。

i)數據庫服務安全：

• 應采用技術手段控制非授權用戶訪問。
• 應采用技術手段對異常連接和請求進行控制和審計。

j)關鍵組件應采取多點部署方式，不因單臺服務器發生故障影響業務連續性。

k)應用系統支持條碼支付業務時，應符合《條碼支付安全技術規范(試行)》要求。

l)應對客戶端的標識信息進行記錄，并判斷同一次登錄后的重要操作使用的是否為同一終端，采用技術手段對風險進行識別， 例如， 驗證客戶端的IP地址、MAC地址、機器碼等， 如發生變化，應再次對客戶身份進行認證。

m)數據保護：

• 應落實《中國人民銀行關于進一步加強銀行卡風險管理的通知》(銀發(2016)170號)等相關要求，按照JR/T0149一2016要求，對銀行卡卡號、卡片驗證碼、支付賬戶等信息進行脫敏，支持基于支付標記化技術的交易處理，采取技術手段從源頭控制信息泄露和欺詐交易風險。

• 對客戶辦理金融業務時留存的身份信息與相關影像資料、個人財產信息、征信信息等敏感客戶資料，應參照國家及行業個人信息、個人金融信息相關保護要求，加強信息安全管理。

n)數據備份和恢復：

• 應提供本地數據備份與恢復功能，增量數據備份每天一次，完全數據備份每周一次，備份介質場外存放，數據保存期限依照國家相關規定。

• 應具備異地實時備份或異步備份功能，對關鍵數據進行同城和異地的實時備份，保證業務應用能夠實現及時切換。

• 數據備份存放方式應以多冗余方式，完全數據備份至少保證以1個月為周期的數據冗余。

增強要求：

a)不應使用系統管理員賬號進行業務操作。

b)應保證操作系統和數據庫的用戶鑒別信息、重要業務數據所在的存儲空間，被釋放或再分配給其他用戶前得到完全清除，無論這些信息是存放在硬盤上還是在內存中。

c)支付敏感信息在應用層保持端到端加密，即保證數據在從源點到終點的過程中始終以密文形式存在。

d)應支持數據庫審計， 并對SQL注入等攻擊進行監控和報警。

e)應對非法攻擊行為進行監控，對其終端特征(例如，終端標識、軟硬件特征等)、網絡特征(例如， MAC、IP、WIFI標識等) 、用戶特征(例如， 賬戶標識、手機號等) 、行為特征、物理位置等信息進行識別、標記和關聯分析，并與風險監控系統實現聯動，及時采取封禁等防護措施。

f)應對惡意攻擊行為進行分析，對惡意攻擊事件按照網絡安全相關要求及時進行上報處理。

g)應探索采用運行時應用自我保護等技術手段，對惡意行為進行識別、阻斷，多層次增強應用的安全防護能力。

6.2.4.4虛擬化安全

如果網上銀行系統部署在虛擬化環境中，應滿足JR/T0167-2018有關技術要求，同時還應當滿足以下安全要求。

基本要求：

a)虛擬化環境加固：

• 應通過必要的安全配置、安裝必要預置軟件等措施實現安全加固，確保宿主機、虛擬機管理器、虛擬機安全穩定運行。

• 應規范虛擬機管理器和虛擬機的更新管理策略，及時對存在重大安全隱患的系統組件等進行更新，并在更新前對軟件包進行兼容性和穩定性測試。

b)虛擬化隔離：

• 應劃分多個安全域，不同安全級別的應用和服務運行在不同的安全域中，防止不同安全級別的應用和服務互相干擾。

• 應采用技術手段，隔離虛擬機與宿主機物理資源，保證虛擬機對宿主機物理資源的使用由虛擬機管理器完成，滿足安全隔離的要求。

• 應采用技術手段對不同虛擬機進行隔離，防止虛擬機間的互相干擾。

c)虛擬化審計：

• 應采用適當的技術手段對虛擬機管理器、虛擬網絡等審計對象進行安全審計，采集和存儲操作日志。

d)應對采集的審計操作日志進行安全分析、處理，發現系統中存在的安全隱患、違規事件等問題，并及時進行下一步處理。

e)虛擬機鏡像文件安全：

• 應制定合理的補丁更新策略，及時為虛擬機鏡像文件更新補丁程序。
• 應定期檢查鏡像文件中關鍵組件是否被篡改，是否存在病毒、木馬等惡意程序。
• 應確保部分數據損壞不會影響鏡像文件的正常使用，損壞的數據應可恢復。
• 應保證鏡像和快照文件具備容災措施。

f)虛擬機生命周期管理：

• 虛擬機銷毀時，應徹底清除所有相關數據。

• 應按需處理業務系統在虛擬機中生成的應用數據，防止敏感數據泄露或非法恢復該虛擬機。

• 應限制對快照文件的訪問，對快照文件的使用進行監測與審計，防止快照文件被非法竊取。

增強要求：

a)虛擬化環境加固：

• 應對虛擬機管理器進行完整性檢查，確保虛擬機管理器加載的功能模塊的完整性和真實性。

b)虛擬機生命周期管理：

• 應嚴格保證虛擬機遷移過程中重要數據的機密性和完整性。
• 應防止虛擬機的跨安全域遷移。

6.2.5與外部系統連接安全

6.2.5.1傳輸安全

金融機構與外部機構間的數據傳輸可采用專線、VPN、Internet方式， 應符合下列安全要求。

基本要求：

a)專線方式：

• 專線傳輸敏感信息時，應對報文進行加密或對信道加密。
• 在租用專線時，備份線路和主線應選用不同的電信運營商。

b)VPN方式：

• 應采用雙因素驗證方式對用戶身份進行鑒別，例如，使用動態口令、客戶端證書等驗證方式。

• 應嚴格限制具有VPN管理權限的用戶， 對增加、修改和刪除用戶的操作進行記錄， 并定期對相關記錄進行審計。

• 應建立VPN口令策略， 對口令進行控制， 設定口令復雜度要求及定期更換策略。

• 應對VPN客戶端按照“最小權限”的原則進行授權， 并對VPN客戶端的權限進行定期審查。

• VPN客戶端應設置空閑超時時間限制， 超過時間限制后應斷開VPN連接。

c)Internet方式：

• 應使用安全傳輸通道進行通訊，傳輸關鍵數據時應進行雙向認證。
• 采用的安全協議應不包含已知的公開漏洞。
• 傳輸會話應加入超時機制，并依據安全策略要求定時重新協商會話密鑰。
• 應采用固定IP、域名、白名單、數字證書等方式， 防止DNS欺騙、流量劫持等攻擊。

6.2.5.2數據安全

基本要求：

a)金融機構應遵照有關法律法規和行業制度規定，嚴格遵照客戶意愿和指令進行支付，不得泄露用戶支付敏感信息。

b)金融機構與外部機構應對發送的報文計算摘要或進行簽名，保證數據報文的完整性，計算摘要或進行簽名運算的數據應包含報文中的關鍵信息。

c)金融機構與外部機構均應對發往對方的報文進行傳輸加密，加密信息應包括報文中的關鍵信息和客戶敏感信息。

d)金融機構與外部機構應擁有具有電子認證服務許可證的證書頒發機構頒發的數字證書，并使用符合國家密碼主管部門要求的簽名算法，對報文摘要數據進行規范化處理后，進行數字簽名，保證交易行為的不可抵賴性。

e)應依據《中國人民銀行關于進一步加強銀行卡風險管理的通知》等文件要求，對支付敏感信息的采集、展示、傳輸、存儲、使用等環節制定保護策略，并定期開展支付敏感信息安全的內部審計。

6.3安全管理規范

6.3.1等級保護要求

網上銀行系統應滿足JR/T0071“安全通用”中有關安全管理要求。網上銀行系統采用云計算技術的，應滿足 JR/T 0071“云計算安全擴展要求”中有關安全管理要求。網上銀行系統采用移動互聯相關技術的，應滿足 JR/T 0071“移動互聯安全擴展要求”中有關安全管理要求。

6.3.2安全管理機構

基本要求：

a)崗位設置：

• 應建立與金融機構發展戰略相適應的網上銀行信息安全保障及風險管理組織架構，建立由董事會、高級管理層負責、相關各部門負責人及內部專家參與的網上銀行信息安全領導協調機制，明確各個部門職責，對其所負責的安全保障及風險管理內容進行管理，明確各部門章程并詳細定義各部門人員配置。

• 應設立網上銀行信息安全保障及風險管理工作的主要負責部門，由該部門組織制定、發布相關制度、規范，協調處置網上銀行信息安全管理工作中的關鍵事項，組織跨部門應急演練等工作，應合理設立部門內部崗位，明確人員職責，明確該部門和其他各相關部門的職責范圍、工作流程和溝通協調機制。

• 應設置網上銀行產品設計、系統研發、測試、集成、運行維護、管理、內部審計等部門或團隊，業務、技術、審計等各部門應明確本部門網上銀行信息安全保障及風險管理職責，執行相應的風險評估、規劃實施、應急管理、監督檢查、跟蹤整改等工作。相關人員應詳細了解本部門網上銀行相關的職責設置、信息安全保障機制等基本情況。

b)授權和審批：

• 應針對網上銀行業務及技術規劃、架構及策略、網上銀行新產品推出、網上銀行重要技術路線選擇、網上銀行系統重要變更操作、物理訪問和網上銀行系統接入等事項建立審批程序，應提交高級管理層審批，并按照審批程序執行審批過程，對重要活動建立逐級審批制度。

c)溝通和合作：

• 應建立與相關金融機構、公安機關、電信公司的合作和溝通以及應急協調機制，有效處置DDoS、網絡釣魚等網絡安全事件。

• 應加強與供應商、業界專家、專業安全公司、安全組織的合作與溝通，增強日常安全防護、突發事件處置、故障處理等方面的能力。

d)審核和檢查：

• 應制定安全審核和安全檢查制度，規范安全審核和安全檢查工作，按照制度要求進行安全審核和安全檢查活動。應保證至少每年開展一次網上銀行全面安全檢查，檢查內容至少包括現有安全技術措施的有效性、安全配置與安全策略的一致性、安全管理制度的執行情況等。

• 應制定安全檢查方案并進行安全檢查，形成安全檢查匯總表和安全檢查報告。

• 內部審計部門應至少每兩年對網上銀行開展一次審計，審計內容至少包括相關管理制度的完備性及其執行的有效性，相關操作流程的合理性與合規性，信息安全保障體系的完備性和有效性，信息安全風險管理、規劃實施、信息系統運行的安全性，重要客戶信息和交易數據的安全性，應急管理和外包管理的有效性以及其他重要信息安全保障的情況。

• 應制定針對違反和拒不執行安全管理措施規定行為的處罰細則。

6.3.3安全管理制度

基本要求：

a)應制定明確的網上銀行系統總體安全保障目標、網上銀行信息安全管理工作的總體方針和策略，將網上銀行信息安全保障及信息安全風險管理納入金融機構全面風險管理體系。

b)應結合金融機構網上銀行發展戰略及業務特點，建立網上銀行信息安全保障以及信息安全風險管理框架、策略及流程，制定針對網上銀行系統設計與開發、測試與驗收、運行與維護、備份與恢復、應急事件處置以及客戶信息保密等的安全策略。應制定網上銀行系統使用的網絡設備、主機設備、安全設備的配置和使用的安全策略。

c)應建立貫穿網上銀行業務運營、網上銀行系統需求分析、可行性分析、設計、編碼、測試、集成、運行維護以及評估、應急處置等過程，并涵蓋安全制度、安全規范、安全操作規程和操作記錄手冊等方面的信息安全管理制度體系。

d)應做好網上銀行相關的新產品(業務)設計以及主要技術路線選擇等關鍵環節的深入論證工作，關注產品及技術路線的合規性、相關業務及技術規則的一致性和延續性以及產品間、系統間的關聯性、依賴性，平衡客戶體驗和安全性，通過增加關鍵控制機制等措施防范潛在重大安全隱患，避免潛在的信息安全風險。

e)應建立網上銀行信息安全風險管理策略，至少包括風險評價和定級、風險偏好、容忍度及參數制定、風險控制、成本及效益評價、控制措施有效性評價策略等，應根據網上銀行發展及檢查審計結果，定期修訂策略。

f)應采取科學的分析方法開展覆蓋風險識別及評價、風險監測及控制、審計和評估等過程的網上銀行信息安全風險管理工作。

g)在進行網上銀行信息安全風險識別時，應明確保護對象，進行資產分類，識別、評估資產的重要性，綜合分析其面臨的內外部威脅，以及可被威脅利用的脆弱性，識別并評估已有的控制措施，準確界定由此產生影響的可能性，正確識別對國家安全、金融穩定、公眾利益、金融機構聲譽造成影響的信息安全風險。

h)應制定安全風險分級標準，評定風險等級，針對不同的風險制定相應的可能性等級列表，對于已發現的風險應盡快修補或采取規避措施。

i)應建立網上銀行信息安全風險的持續監測機制，建立風險預警、報告、響應和處理機制，明確風險報告的內容、流程、主客體以及頻率，建立符合金融機構實際狀況的關鍵風險指標體系，實現信息安全風險監測的自動化，保證高級管理層和相關部門可及時獲取網上銀行信息安全風險變化，驗證現有控制措施的有效性。

j)應根據網上銀行信息安全風險評估發現的不同等級風險，以及風險監測獲取的風險變化情況，制定風險控制措施、應急處置及恢復方案以及相關的演練計劃。

k)對于衍生的網上銀行信息安全風險以及未按計劃達到的控制目標，應重新啟動信息安全風險評估流程，制定和選擇新的風險控制措施，對已接受的風險，定期進行再評估。

l)應結合網上銀行業務種類、發展規模以及信息安全新形勢，關注與網上銀行相關的新威脅以及隱患，調整風險控制措施以及風險評估方案。

m)應每年至少開展一次對網上銀行系統的信息安全風險評估及深度信息安全檢測工作，評估方式不限于自評估和外部評估，自評估應由金融機構內獨立于網上銀行系統設計、開發、運行和管理的部門進行，外部評估機構應選擇熟悉信息安全和金融行業相關標準、國家認證認可管理部門認可的專業機構，評估依據應覆蓋本標準要求，并基于評估結果，妥善選擇、實施整改措施。

n)在選擇外部評估機構時，并對其加強安全管理，簽訂保密協議或在相關服務協議中明確保密條款。

o)應按照國家及行業網絡安全等級保護工作有關要求，開展網上銀行系統網絡安全等級測評及整改工作。

p)金融機構如提供跨境網上銀行服務，應依據國家與行業主管、監管部門有關法律法規、監管要求，充分考慮境內外法律法規、監管要求等的差異性，在深入評估相關風險的基礎上，妥善選擇相應的安全控制措施。

q)應主動跟蹤行業主管、監管部門與信息安全行業技術組織(例如，國家互聯網應急中心等)發布的安全公告、漏洞通知等信息，并及時采取安全檢查、修復漏洞、調整系統配置、加強安全管理等應對手段，以保障網上銀行系統不受已知安全漏洞的影響。

r)應指定或授權專門的部門或人員負責安全管理制度的制定。

增強要求：

應梳理與網上銀行相關的信息資產，劃定其安全級別，并制定與安全級別相對應的保護措施。

6.3.4安全管理人員

基本要求：

a)應具有員工崗位調動或離職的安全管理制度，應取回各種工作證件、鑰匙、徽章等以及金融機構提供的軟硬件設備，避免系統賬號、設備配置信息、技術資料及相關敏感信息等泄漏。

b)應建立網上銀行相關的員工培訓機制，制定明確的培訓計劃，對網上銀行相關管理人員、業務操作人員、開發設計人員、運維人員、風險管理人員、審計人員等進行安全意識教育培訓以及崗位技能在職專業培訓，培訓方式不限于內部培訓或參加第三方機構的專業培訓，培訓內容應關注網上銀行相關的信息安全法律法規、監管要求、標準規范、網上銀行的關鍵技術、業務操作風險、網絡安全攻防、社會工程學等，以保持相關人員與工作崗位相匹配的安全意識與專業能力。每年的專業培訓應覆蓋所有信息科技人員，關鍵崗位人員的人均培訓時間不低于48個學時。

c)應對培訓的開展情況和效果進行監督，對安全教育和培訓的情況和結果進行記錄并歸檔保存。

d)應建立外來人員管理制度，在外來人員訪問網上銀行相關的區域、系統、設備、信息等內容時，提出書面申請并獲得批準后應由專人陪同或監督，并登記備案，必要時簽署保密協議。對允許被外部人員訪問的系統和網絡資源建立存取控制機制、認證機制，列明所有用戶名單及其權限，其活動應受到監控。

e)針對長期或臨時聘用的技術人員和承包商，尤其是從事敏感性技術相關工作的人員，應制定嚴格的審查程序，包括身份驗證和背景調查，并簽署保密協議。

f)金融機構采用外部服務時，應與服務提供方簽訂安全保密協議，明確服務提供方不得進行任何未授權的增加、刪除、修改、查詢數據操作，不得復制和泄漏金融機構的任何信息。

6.3.5安全建設管理

基本要求：

a)安全方案設計：

• 應制定安全保障體系的總體安全策略、安全技術框架、安全管理策略、總體建設規劃和詳細設計方案，組織相關部門和有關安全技術專家對其合理性和正確性進行論證和審定，并且經過批準后，才能正式實施。

b)產品采購和使用：

• 應預先對產品進行選型測試，確定產品的候選范圍，并定期審定和更新候選產品名單。

c)自行軟件開發：

• 在應用系統上線前，應對程序代碼進行代碼復審，識別可能的后門程序、惡意代碼、邏輯缺陷和安全漏洞。

• 應嚴格控制對生產版本源代碼的訪問，避免代碼泄露。全部或部分源代碼如需交由本機構開發者之外的第三方使用或進行再次開發時，需執行嚴格的審批流程、明確相關責任并與第三方簽署保密協議。

• 應對生產庫源代碼版本進行控制，保證當前系統始終為最新的穩定版本。

• 應對源代碼管理系統的訪問日志進行審計，對異常行為進行識別。

d)外包軟件開發：

• 不得將信息科技管理責任外包，應合理謹慎監督外包職能的履行。

• 實現金融機構客戶資料與外包服務商其他客戶資料的有效隔離，確保在中止外包協議時收回或銷毀外包服務商保存的所有客戶資料。

• 按照“必需知道”和“最小授權”原則對外包服務商相關人員授權，并簽署保密協議。

• 嚴格控制外包服務商再次對外轉包，采取有效措施確保商業銀行相關信息的安全。

• 建立恰當的應急措施以應對外包服務商在服務中可能出現的重大缺失，尤其需要考慮外包服務商的重大資源損失，重大財務損失和重要人員的變動，以及外包協議的意外終止等情況。若需要外包人員進入進行現場實施時，應對外包人員的背景、能力和經驗進行審查，并應事先提交計劃操作內容，金融機構人員應在現場陪同外包人員，核對操作內容并記錄，涉及敏感操作(例如，輸入用戶口令等)應由金融機構人員進行操作，外包人員不得查看、復制或帶離任何敏感信息。

• 外包服務商應建立對缺陷的通報、跟蹤機制。

e)測試驗收：

• 系統上線前，應清除系統中與測試有關的代碼及數據。
• 系統上線前，應進行嚴格的代碼安全測試。若應用程序為委托外部機構開發時，金融機構應要求外部開發機構自行對交付版本應用程序進行安全測試，金融機構對交付版本的應用程序源代碼進行安全審計。
• 金融機構應建立對應用程序及源代碼進行定期安全檢測的機制。

6.3.6安全運維管理

基本要求：

a)環境管理：

• 機房應采用結構化布線系統，配線機柜內如果配備理線架，應做到跳線整齊，跳線與配線架統一編號，標記清晰。

• 應定期對機房設施進行維修保養，加強對易損、易失效設備或部件的維護保養。

• 弱電井應留有足夠的可擴展空間。

b)資產管理：

• 應制定資產的分類原則、方法與標識的基本要求，對信息資產與文檔化資產的使用、傳輸(或傳遞)、存儲等方面提出相應的安全管理要求。

• 應梳理網上銀行系統的信息資產，制定資產清單并定期進行盤點。資產清單應包括責任部門、使用部門、重要程度、所處位置等內容。

• 應做好公共文件存儲區文檔的訪問權限管理。

• 應對文檔化的資產實行有效期管理，對于超過保密期限的文檔降低保密級別，對已經失效的文檔定期清理，并嚴格執行文檔管理制度中的銷毀和監銷規定。

• 應定期對代碼倉庫、文件共享等網站進行檢索，對非授權公開的源代碼等敏感文件資產應進行刪除處理。

c)介質管理：

• 應根據數據備份的需要對某些介質實行異地存儲，存儲地的環境要求和管理措施應與本地相同。

• 應根據介質使用期限及時轉儲數據。

d)設備管理：

• 應建立標準化的設備配置文檔。
• 應加強對高權限終端的管理措施，例如，網絡管理員、系統管理員、安全管理員等特權用戶使用的終端，以及運維終端、內網掃描終端等。

e)監控管理和安全管理中心：

• 應對通信線路、主機、網絡設備和應用軟件的運行狀況、網絡流量、用戶行為等進行監測和報警，建立監測指標和監測模型，有效監測、預警網上銀行安全事件(風險)，形成記錄并妥善保存，保存期限應不小于6個月。

• 應及時采取控制措施，消除監測到的安全威脅。

• 應建立網絡與信息系統運行監測日報、周報、月報或季報制度，統計分析運行狀況。

• 應按重要程度進行分級報警，對重要報警應主動及時通知相關人員處置。

• 應制定網上銀行系統運行維護的服務管理規范以及相應的控制措施，包括事件處理、問題處理、變更管理等，明確崗位、職責、處理流程、升降級標準、處理時間、所需資源以及流程間的關聯和銜接等，及時預警、響應和處置運行監測中發現的問題，發現重大隱患和運行事故應及時協調解決。

f)網絡安全管理：

• 應指定專人對網絡進行管理，配備AB崗專(兼)職網絡管理員，負責運行日志、網絡監

• 控記錄的日常維護和報警信息分析、處理工作，并與負責網絡設備配置更改的人員職責分離。設備維護記錄應至少妥善保存6個月。

• 應對日志記錄或外發中斷、日志文件損壞等異常事件進行分析。

• 建立健全網各安全運行維護檔案，及時發現和解決網絡異常情況。

• 應實現設備的最小服務配置，并定期離線備份配置文件。

• 應根據安全策略控制便攜式和移動式設備的網絡接入。

• 應定期對系統進行漏洞掃描，及時修補發現的系統安全漏洞。

• 應定期檢查網絡設備的軟件，并在需要更新前對現有的重要文件進行備份。

g)系統安全管理：

• 應根據業務需求和系統安全分析確定系統的訪問控制策略。
• 應建立系統容量規劃，對設備運行關鍵指標進行日常監控與分析，注意監控、分析業務高峰時段業務壓力對系統的影響，合理設計、適時調整容量參數，及時提出、實施設備擴容。

h)惡意代碼防范管理：

• 應限制在可以訪問生產服務器的終端上使用U盤、移動硬盤等移動存儲設備，如需使用移動存儲設備，應在接入前進行病毒檢查。

• 應定期對病毒事件日志進行分析。

i)密鑰管理：

對于所有用于加密客戶數據的密鑰，金融機構應制定并實施全面的密鑰管理流程，包括：密鑰生成、密鑰分發、密鑰存儲、密鑰更換、密鑰銷毀、知識分割以及雙重控制密鑰、防止未授權的密鑰更換、更換已被知曉或可能被泄露的密鑰、收回過期或失效的密鑰等。

應在安全環境中進行關鍵密鑰的備份工作，并設置遇緊急情況下密鑰自動銷毀功能。

j)變更管理：

在網上銀行系統投產及系統的升級、改造等重大變更前，應經過科學的規劃、充分的論證和嚴格的技術審查，并在事后及時進行總結評價。

6.3.7業務連續性與災難恢復

基本要求：

a)業務運行連續性：

• 應制定網上銀行業務連續性策略及計劃。

• 應將網上銀行業務連續性管理整合到組織的流程和架構中，明確指定相關部門負責業務連續性的管理。

• 應制定員工在網上銀行業務連續性方面的培訓計劃和考核標準。

• 應定期或在網上銀行系統發生顯著變化時，測試并更新網上銀行業務連續性計劃與過程，以確保其持續有效。

• 應避免機房采用的多路市電輸入均來自于同一個變電站， 應對UPS等重要設備的報警日志進行及時審核和處理。

• 應提供冗余通信線路，并選擇與主用通信線路不同的電信運營商和不同的物理路徑。

• 核心層、匯聚層的設備和重要的接入層設備均應雙機熱備，例如，核心交換機、服務器群接入交換機、重要業務管理終端接入交換機、核心路由器、防火墻、均衡負載器、帶寬管理器及其他相關重要設備。

• Web服務器、中間件服務器、前置服務器、數據庫服務器等關鍵數據處理系統均應雙機熱備或多機集群，并設置磁盤冗余陣列或分布式多副本存儲技術，以避免單一部件故障影響設備運行的風險。

• 應梳理并維護關鍵的設備部件、備件清單，采取有效的措施防止因單個設備部件出現故障，導致冗余設備無法正常啟用或切換的風險。

b)備份與恢復管理：

• 應根據網上銀行系統的業務影響性分析結果，制定不同數據的備份策略，并實施應用級備份，以保證災難發生時，能盡快恢復業務運營。

• 應建立控制數據備份和恢復過程的程序，對備份過程進行記錄，所有文件和記錄應妥善保存，明確規定備份數據的保存期，做好備份數據的銷毀審查和登記工作，應定期導出網上銀行系統業務日志文件，并加以明確標識，日志文件應至少妥善保存6個月。

• 應定期執行恢復程序，檢查并測試備份介質的有效性，確保可以在恢復程序規定的時間內完成備份的恢復。

• 為滿足災難恢復策略的要求，應對技術方案中關鍵技術應用的可行性進行驗證測試，并記錄和保存驗證測試的結果。

• 應在金融機構統一的災難恢復策略下建立完善的網上銀行系統災難恢復體系，開展災難恢復需求分析、策略及計劃制定、災備系統建設及演練等工作，并根據實際情況對其進行分析和改進，確保各環節的正確性以及災難恢復體系的有效性。

• 對于同城數據備份中心，應保證可以接管所有核心業務的運行，與生產中心直線距離應滿足 JR/T 0071“數據備份恢復”中有關安全技術要求；對于異地數據備份中心，與生產中心直線距離應滿足 JR/T 0071“數據備份恢復”中有關安全技術要求。

6.3.8安全事件與應急響應

基本要求：

• 對于重大信息安全事件，各單位相關人員應注意保護事件現場，采取必要的控制措施。
• 應定期對本機構及同業發生的網上銀行信息安全事件及風險進行深入研判、分析，評估現有控制措施的脆弱性，及時整改發現的問題。

b)應急管理：

• 應建立業務和技術部門協調配合的網上銀行信息安全事件的應急處置機制，在任何場景下，選擇處置方案應充分考慮可能消耗的時間，探索采用事故現場遠程視頻會議等多種手段縮短供應商等參與方的響應時間，優先保障業務恢復、賬務正確以及數據安全，對于網絡和信息安全事件導致的賬務差錯或異常交易的處理，應嚴格按照程序做好轉人工處理等應急操作。

• 應建立應用系統緊急補丁(應急方案)的開發、發布流程，以備必要時提供緊急補丁或應急方案進行處理，以修補重要安全漏洞。

• 應建立應急預案演練制度，定期組織有業務部門參與的桌面演練和生產系統實戰演練，定期對雙機熱備系統進行切換演練，備份系統與生產系統的切換要至少每年演練一次。演練應考慮不同的中斷場景，例如單個或部分業務、系統中斷、機房整體供電或網絡中斷等場景。針對DDoS、網絡釣魚等重要安全威脅， 定期開展有相關單位、部門參與的聯合演練。

6.4業務運營安全規范

6.4.1業務申請及開通

基本要求：

a)應遵守相關法律法規，嚴格落實《中國人民銀行關于進一步加強銀行卡風險管理的通知》、《中國人民銀行關于加強支付結算管理防范電信網絡新型違法犯罪有關事項的通知》(銀發(2016〕261號)、《中國人民銀行關于進一步加強支付結算管理防范電信網絡新型違法犯罪有關事項的通知》(銀發(2019〕85號)等相關規定，嚴格落實關于賬戶實名制、賬戶分類管理等相關規定，確保網上銀行系統業務設施的安全穩定運行。

b)通過網上銀行渠道開立個人Ⅱ、Ⅲ類銀行結算賬戶時，應嚴格落實《中國人民銀行關于改進個人銀行賬戶服務加強賬戶管理的通知》(銀發(2015)392號)、《中國人民銀行關于落實個人銀行賬戶分類管理制度的通知》(銀發(2016)302號)、《中國人民銀行關于改進個人銀行賬戶分類管理有關事項的通知》(銀發(2018〕16號)等文件相關要求。

c)金融機構應充分考慮并采取有效技術措施防范網上銀行資金類交易開通的安全風險。個人網銀資金類交易的開通應由客戶本人到柜臺申請，申請時，金融機構應對其進行風險提示，驗證客戶的有效身份，并要求客戶書面確認。客戶通過已采取電子簽名驗證或同等安全級別認證方式的網上銀行渠道申請資金類交易的，視同客戶本人主動申請并書面確認。以下資金類交易可不受上述限制：開通同一客戶賬戶之間轉賬并且金融機構能有效識別轉入、轉出方為同一客戶賬戶的、客戶預先通過柜臺簽約對轉入賬戶進行綁定同時指定交易電話的。

d)網上銀行資金類業務關閉后，重新申請開通該功能，應要求客戶本人持有效身份證件到柜臺或采取電子簽名驗證的網上銀行渠道申請。采取網上銀行渠道申請時，應通過驗證發向可靠的預留手機號碼的短信驗證碼等方式，核實客戶身份和交易開通意愿。

e)企業網銀開通應由本企業人員到柜臺申請，金融機構應審查其申請材料的真實性、完整性和合規性。

f)企業網銀客戶加掛賬戶可通過柜臺或通過使用專用安全機制進行身份認證的雙人復核機制后方可增加，同時應通過有效方式請求企業聯系人確認。重置智能密碼鑰匙的密碼應到柜臺辦理。

g)通過手機終端訪問網上銀行的資金類交易開通應有效驗證客戶身份，客戶應通過柜臺或網上銀行渠道主動申請。在柜臺辦理簽約時，應驗證客戶有效身份信息、銀行賬戶密碼等信息。應建立手機號和銀行賬戶的關聯關系，例如，手機號與客戶身份證綁定、手機號與客戶銀行賬戶信息綁定等，采用移動終端硬件加密模塊的，應建立硬件加密模塊與客戶身份證或銀行賬戶信息的關聯關系。通過網上銀行渠道申請時，金融機構應采取包含電子簽名驗證在內的雙因素身份認證驗證客戶的真實身份及銀行卡交易密碼，并通過驗證發向可靠的預留手機號碼的短信驗證碼等方式，核實客戶身份和交易開通意愿。

h)如果網上銀行登錄密碼以密碼信封方式發送給客戶或者初始登錄密碼由金融機構設置，金融機構應強制客戶首次登錄時修改初始密碼。

i)客戶重置登錄密碼及支付密碼且保留資金類交易權限時，應通過柜臺或者通過已采取電子簽名驗證等安全認證手段的網上銀行渠道申請。通過網上銀行渠道申請時，金融機構應采取雙因素身份認證有效驗證客戶的真實身份，并通過驗證發向可靠的預留手機號碼的短信驗證碼等方式，請求客戶本人對密碼重置操作進行確認。

j)申請客戶數字證書時，應驗證公鑰的有效性，對證書簽名請求采取安全保護措施。

k)下載客戶數字證書時，應對客戶身份進行認證。通過提交授權碼和參考碼等方式保證客戶數字證書只能被下載一次，身份認證信息應設置有效期，超出有效期而未下載證書，應重新辦理。

l)客戶申請智能密碼鑰匙作為數字證書載體或其他安全設備時，應持有效身份證件到柜臺辦理。例如， 申請基于SE、TEE技術構建的新型智能密碼鑰匙， 其支付初始額度不能超過新型智能密碼鑰匙原申請渠道的額度上限，并應引導客戶通過柜臺、傳統智能密碼鑰匙輔助認證等渠道辦理額度提升。

m)金融機構應采取將安全設備序列號與客戶信息進行綁定等措施，如涉及數字證書應在客戶下載證書時將其作為客戶身份認證因素之一，以防止證書被非授權下載。如安全設備丟失，應持有效證件到柜臺重新辦理，將原有安全設備和客戶綁定關系解除。

n)網上銀行專用安全設備在暫停、終止、掛失或注銷后，如需要恢復、解除掛失需客戶本人持有效身份證件到柜臺或通過金融機構客服電話等辦理，金融機構應核實客戶信息、網銀賬戶信息并對預留手機號碼進行驗證。

6.4.2業務安全交易機制

6.4.2.1身份認證

基本要求：

a)金融機構應按照審慎原則，采取有效、可靠的身份認證手段，保證資金類交易安全。

b)應采取交易驗證強度與交易額度相匹配的技術措施，提高交易的安全性。高風險業務應組合選用下列三類要素對交易進行驗證：一是客戶知悉的要素，例如，靜態密碼等；二是僅客戶本人持有并特有的，不可復制或者不可重復利用的要素，如經過安全認證的數字證書、電子簽名，以及通過安全渠道生成和傳輸的一次性密碼等；三是客戶本人生物特征要素，例如，指紋、虹膜等。應確保采用的要素相互獨立，部分要素的損壞或者泄露不應導致其他要素損壞或者泄露。以下資金類交易可不受上述限制：同一客戶賬戶之間轉賬并且金融機構能有效識別轉入、轉出方為同一客戶賬戶的。

c)采用數字證書、電子簽名作為支付交易驗證要素的，數字證書及生成電子簽名的過程應符合《中華人民共和國電子簽名法》、JR/T0118-2015等有關規定，確保數字證書的唯一性、完整性及交易的抗抵賴性。

d)采用一次性密碼作為支付交易驗證要素的，應將一次性密碼有效期嚴格限制在最短的必要時間內。

e)使用企業網銀進行資金類交易時，應至少使用硬件承載的數字證書等方式進行身份認證。

f)應采取有效措施引導客戶設置與銀行卡交易密碼不同的網上銀行登錄、交易密碼，使用不相同的登錄密碼及交易密碼，避免設置易猜解的簡單密碼(例如，連續或相同字母數字、鍵盤順序、常見單詞短語等)，與常用軟件(例如，社交軟件)、網站(例如，社交平臺、論壇)、與客戶個人信息相似度過高的用戶名和密碼組合。

g)客戶登錄網上銀行或登錄后執行資金類交易時，若身份認證連續失敗超過一定次數(不超過10次)，應在短時間內鎖定該客戶網上銀行登錄權限或交易賬戶使用權限，并引導客戶采取隔日登錄、密碼重置等措施進行有關鎖定狀態解除操作。對于大數據分析認定的高風險行為，應通過短信或電話等可靠的方式通知客戶。

h)金融機構用于發送網上銀行交易提示短信、動態驗證碼等信息的客戶預留手機號碼變更時應符合下列要求之一：

• 客戶持有效身份證件到柜臺辦理。
• 客戶通過網上銀行渠道變更預留手機號碼，金融機構應采取雙因素身份認證驗證用戶的真實身份及銀行卡交易密碼，并通過驗證發向原預留手機號碼的短信驗證碼等可靠的方式，請求客戶本人對預留手機號碼變更操作進行確認。

如通過網上銀行系統開展網上支付業務，還應滿足以下條款：

a)網上銀行系統接受商戶或非銀行支付機構的系統建立連接請求時，應通過驗證其服務器數字證書、預留IP地址比對等方式認證其系統的身份。

b)應對網上銀行系統和商戶、非銀行支付機構的系統之間發送和接收的信息采用數字證書機制進行簽名及驗簽，保證交易數據的完整性和不可抵賴性。

6.4.2.2交易流程

基本要求：

a)金融機構應充分考慮、深入分析交易全流程的安全隱患，通過交易確認、交易提醒、限額設定等控制機制，有效防范交易風險。

b)應為客戶提供銀行卡交易安全鎖服務，并落實《中國人民銀行辦公廳關于強化銀行卡磁條交易安全管理的通知》(銀辦發(2017)120號)等文件的相關要求。

c)資金類交易中，應具有防范客戶端數據被篡改的機制，應由客戶確認資金類交易關鍵數據(至少包含轉入賬號和交易金額)，并采取有效確認方式以保證交易信息不被篡改，例如，使用挑戰應答型動態口令令牌產生的交易密碼、發送包含確認信息的短信驗證碼、在智能密碼鑰匙內完成確認等。

d)資金類交易中，如客戶端對交易數據簽名，簽名數據除流水號、交易金額、轉入賬號、交易日期和時間等要素外，還應包含由服務器生成的隨機數據。對于從網上銀行客戶端提交的交易數據，服務器應驗證簽名的有效性并安全存儲簽名。

e)金融機構應采取有效措施鑒別客戶身份，保證支付敏感信息和交易數據的機密性、完整性，并設置與安全防護能力相適應的交易限額以控制交易風險。

f)提交交易請求時， 應上送終端相關信息， 例如， 計算機終端可提交設備CPUID、硬盤序列號、瀏覽器指紋等； 移動終端設備可提交IMEI、IMSI、ME ID、ESN等。后臺服務器應對編號信息和登記信息進行一致性驗證。如對交易數據簽名，簽名數據應包含此類信息。

g)在客戶確認交易信息后，再次提交交易信息(例如，收款方、交易金額)時，應檢查客戶確認的信息與最終提交交易信息之間的一致性，防止在客戶確認后交易信息被非法篡改或替換。

h)資金類交易中，應對客戶端提交的交易信息間的隸屬關系進行嚴格校驗，例如，驗證提交的賬號和卡號間的隸屬關系以及賬號、卡號與登錄用戶之間的關系。

i)應在賬戶資金匯總頁面明確顯示包含所有子賬戶資金、在途資金等在內的全部資金狀況。

j)金融機構可根據自身情況界定高風險業務及其風險控制規則，對于資金類交易等觸發風險控制規則的情況，應使用其他身份認證方式進一步確認客戶身份。

k)對于資金類等高風險業務，金融機構應在確保客戶聯系方式有效的前提下，充分提示客戶相關的安全風險并提供及時通知客戶資金變化的服務，及時告知客戶其資金變化情況。

l)應對交易過程進行風險識別與干預，防范潛在的非法交易、欺詐交易。

m)對于大數據分析認定的高風險交易，應進行附加交易驗證，進一步校驗交易發起者的真實身份。

n)應采取適當的安全措施確保客戶對所做重要信息及業務變更類交易的抗抵賴，包括但不限于采用數字證書、電子簽名等技術手段。

o)應根據業務類別、開通渠道及身份驗證方式的不同設置不同的交易限額，同時允許客戶在銀行設定的限額下自主設定交易限額。條碼支付業務應按照《條碼支付安全技術規范(試行)》等文件要求，根據不同的風險防范能力設置相應的交易限額。

6.4.2.3交易監控

基本要求：

a)金融機構應根據自身業務特點，建立完善的網上銀行異常交易監控體系，識別并及時處理異常交易，交易監測范圍至少包括客戶簽約、登錄、查詢、資金類交易以及與交易相關的行為特征、客戶終端信息，應保證監控信息的安全性。

b)應制定網上銀行異常交易監測和處理的流程和制度。

c)應建立基于高風險交易特點和用戶行為特征等的風險評估模型，并根據風險等級實施差異化風險防控。

d)應通過交易行為分析、機器學習等技術不斷優化風險評估模型，結合生物探針、相關客戶行為分析等手段，建立并完善反欺詐規則，實時分析交易數據，根據風險高低產生報警信息，實現欺詐行為的偵測、識別、預警和記錄，提高欺詐交易攔截成功率，切實提升交易安全防護能力。

e)應建立風險交易監控系統，對具備頻次異常、賬戶非法、批量交易、用戶習慣偏離、用戶特征偏離、非法更正交易、報文重復、金額異常、掃庫或撞庫等特征的請求，以及外部欺詐、身份冒用、套現、洗錢等異常情況進行有效監控，對于風險較大、可疑程度較高的交易，應采取精準識別、實時攔截等措施。

f)對監測到的可疑或異常交易建立報告、復核、查結機制。應開展人工分析，識別攻擊源頭、進行影響分析并及時采取攔截措施，防止集中性風險事件發生。

g)應對存在異常交易的終端和商戶，采取調查核實、風險提示、延遲結算、拒絕服務等風險防控措施。

h)應根據審慎性原則，對于交易要素不完整、超過額度的轉賬支付和關注類賬戶的資金流動(例如，疑似違規資金變動)等交易進行人工審核。

i)針對疑似發生支付敏感信息泄露的客戶，應通過灰名單、登錄之后強制修改密碼、附加驗證等措施保證客戶賬戶的資金安全。

j)應建立異常交易識別規則和風險處置機制，對監控到的風險交易進行及時分析、處置并妥善留存違規行為線索和證據。

k)風險交易監控系統應能夠不斷更新反欺詐規則，建立和完善風險信息庫，及時從主管部門、公安機關、銀行卡清算組織等獲取黑名單等風險信息。

增強要求：

• 金融機構的風險交易監控系統應能夠實現與各金融機構、主管部門和公安機關等機構間的信息共享和信息交換。

6.4.3外部機構業務合作

金融機構通過網上銀行系統與外部機構開展業務合作時，應遵循如下安全要求。

基本要求：

a)金融機構應建立與外部機構業務合作的風險管理機制，明確技術、業務等相關部門職責，制定風險管理制度，建立安全技術標準，規范系統接入，并加強對業務開展情況的動態管理。

b)金融機構與外部機構應在合作協議中明確交易驗證、信息保護、差錯處理、風險賠付等方面的權利、義務和違約責任，切實保障持卡人資金安全和信息安全。

c)金融機構在與外部機構進行業務來往時，應采取有效的技術措施鑒別發生交易的銀行卡賬戶對應的客戶身份。

d)金融機構應保證與外部機構建立一次簽約、多次支付的業務合作關系的賬戶具有至少一種賬戶變動即時通知技術方式(通知信息中的內容應至少包括外部機構名稱、交易金額、交易時間等信息)。

e)金融機構應評估外部機構的技術風險承受能力，保證客戶與外部機構相關的賬戶關聯、業務類型、交易限額(包括單筆支付限額和日累計支付限額)應與其技術風險承受能力相匹配。

f)金融機構應將與外部機構的合作業務納入本機構業務運營風險監測系統的監控范圍，采取技術手段對商戶和客戶在本機構的賬戶資金活動情況進行實時監控，對達到風險標準的應組織核查。特別是對其中大額、異常的資金收付，應做到逐筆監測、認真核查、及時預警、及時控制。

g)金融機構應對客戶通過外部機構進行的交易建立自動化的交易監控機制和風險監控模型，及時發現和處置異常行為。

h)金融機構應完整地保留在與外部機構開展各項業務時的各類數據、指令、日志等信息。所保存的內容應在相關法律法規規定的期限內妥善保管，便于事后檢查和審計。不得留存非本機構的支付敏感信息，確有必要留存的，應取得客戶本人及賬戶管理機構的授權并進行加密或不可逆變換。

i)金融機構在與外部機構建立關聯業務時，應采用多因素身份認證方式，直接鑒別客戶身份，取得客戶授權，并保存記錄。應采取有效的技術措施保證交易指令的安全性，對于支付類交易應要求外部機構提供必要的訂單信息，以用于客戶進行交易確認，保障支付交易安全。

j)金融機構應對交易的唯一性進行檢查，防止重復支付；通過可靠的數字簽名等機制保證交易信息的真實性、完整性；驗證訂單的有效性并存儲訂單，防止交易篡改、偽造訂單等。

k)金融機構在資金撥付前，應與外部機構校驗、確認支付相關信息，防止支付或訂單信息被篡改、重放、替換等。

l)金融機構應要求、督促外部機構識別客戶所購買的商品類別，并根據商品類別對應的不同風險，采取有效的技術措施保障交易安全，降低交易風險。

m)金融機構應要求外部機構采用可靠的密鑰保護機制(例如，采用專門的硬件加密設備)，用來保存認證密鑰。

n)如外部機構參與支付敏感信息的處理，金融機構應要求、監督外部機構，禁止其存儲客戶的支付敏感信息，對因業務需要存儲的交易數據，應采取嚴格的訪問控制措施。

6.4.4客戶培訓及權益保護

基本要求：

a)金融機構應切實加強客戶培訓和風險提示，向客戶詳細解釋本機構網上銀行業務流程和安全控制措施，在網上銀行新產品(業務)推出、相關業務(操作)流程變更、安全控制措施變化時，及時告知客戶。

b)金融機構應通過各種宣傳渠道向大眾提供正確的網上銀行官方網址和呼叫中心號碼，提示客戶牢記金融機構官方網站地址和呼叫中心號碼。

c)金融機構應向客戶印發通俗、易懂的網上銀行信息安全宣傳手冊，在網上銀行官方網站首頁顯著位置開設信息安全培訓欄目。在顯著位置或關鍵操作界面，宜提醒客戶注意防范各類詐騙。

d)金融機構應按照相關法律法規要求，制定網上銀行系統隱私政策。

e)金融機構應向客戶明確提示網上銀行相關的安全風險和注意事項，并根據網上銀行安全形勢的變化，及時更新相關事項，包括但不限于提示客戶不在非自主可控的終端上登錄網上銀行，維護良好的客戶端環境，及時更新操作系統及瀏覽器補丁，安裝并更新客戶端防病毒軟件，避免設置與常用軟件(例如，社交軟件)、網站(例如，社交平臺、論壇)、與客戶個人信息相似度過高的用戶名和密碼組合，避免將本人網上銀行支付敏感信息告知他人，避免將本人的網上銀行安全設備轉借他人使用，在網上銀行操作完成后立即退出相關界面并及時斷開與終端相連的專用安全設備，不安裝或運行來歷不明的客戶端軟件和程序，不打開陌生人發送的電子郵件及其附件或網站鏈接，謹防虛假網上銀行鏈接，注意對網上銀行的支付敏感信息進行保護等內容。

f)應建立網上銀行相關的侵犯客戶權益行為的處置機制，開辟公眾舉報渠道，建立有效的問題處置機制，及時通過金融機構網站及其他可靠渠道向公眾通報提示釣魚網站、網絡欺詐等重要信息。

g)應建立網上銀行相關的客戶投訴、糾紛處理及輿情應對機制，嚴格按照行業、機構的相關規定和要求對外發布信息，有效維護客戶權益及金融機構聲譽。

h)應通過多種渠道及時公告網上銀行相關的服務內容、協議、資費標準等重大調整，可能影響服務的系統重要升級或變更等重大事項。