全球化时代银行信息系统建设

1.IT安全管理规范

实施IT安全管理，需要制定安全相关的管理规范和指引，实施安全管理策略，达到规范化、标准化、流程化控制。

主要规范包括以下几个方面：

1）应用系统安全管理规范。

2）应用系统安全开发管理指引。

3）信息系统敏感信息保护管理办法。

4）应用系统业务用户密码设置规定。

5）密码算法应用规范。

对于安全开发管理，一般需要区分不同的安全场景，针对不同的场景采用不同的安全策略。包含以下内容：

1）规范化应用安全场景划分标准。

2）明确各类应用安全场景的基本安全控制要求。

3）综合各项安全管理规定制定统一一致的安全要求。

4）提高应用系统安全控制水平，做到有法可依，有法必依。

安全场景划分如下：

1）高风险应用场景。此类系统支撑重要交易业务，涉及大量客户的资金交易，存储或处理大量客户敏感信息，面临安全风险高，一旦遭受安全破坏将产生重大影响。包括核心交易系统、重要交易渠道系统，例如网上银行系统、ATM处理系统、柜员前端系统、信用卡系统等。

2）中风险应用场景。此类系统支撑非核心交易业务或支持商业银行内部业务管理工作，涉及部分的客户数量，存储或处理部分客户敏感信息，面临安全威胁中等，遭受安全破坏时影响中等。包括非核心交易系统、业务管理和支持系统，例如门户网站、第三方CA系统、历史交易数据查询系统等。

3）低风险应用场景。此类系统不涉及面向客户的业务，不涉及客户信息，仅针对内部员工办公使用，安全威胁低，遭受安全破坏时对商业银行影响较低。包括内部办公辅助类系统，例如邮件系统、医疗管理、分析知识库系统、人力资源辅助系统等。

4）海外应用场景。涉及推广到海外的应用系统。

5）互联网应用场景。涉及通过互联网提供服务的应用系统。

一个产品可能涉及多个安全场景，产品需要全部满足，一个产品内不同子系统可能涉及多个安全场景，不同子系统可以分别满足。所有产品必须都满足“公共技术性安全需求”和“应用安全重点实施技术要求”。

针对不同的场景提出不同的具体化和标准化安全需求，便于实施对应的安全策略。安全需求可以作为非功能需求，在各IT项目中实施。

2.应用系统安全分类要求

通过划分不同的安全等级，对不同的应用场景，需要有不同的安全分类要求，并且需根据最新业务发展、技术进步和应用场景的变化而不断调整完善安全要求，不断提高系统安全性。目前常见的几类安全需求要点举例说明如下：

（1）高风险应用场景安全需求

1）身份鉴别

①用户登录控制要求。应用系统应具备登录控制能力对登录用户进行身份标识和鉴别。

②用户标识唯一性要求。应用系统应提供用户身份标识唯一和鉴别信息复杂度检查功能，保证应用系统中不存在重复用户身份标识。

③身份鉴别复杂度检查要求。为保证身份鉴别信息不易被冒用，应用系统至少实施以下机制：能够设置用户密码有效期限、能够设置用户密码错误尝试次数、能够限制历史密码重复使用，并提供设置次数、能够检测弱密码，包括：密码组成规则、密码长度、密码不能与用户名相同等。

④高风险交易采用双因子认证。应用系统应对涉及客户资金安全的交易和客户认证信息变更交易采用两种或两种以上组合的鉴别技术实现用户身份鉴别。目前可以选择的鉴别技术包括：静态口令、短信动态认证码、动态口令牌和USBKey数字证书。

⑤身份鉴别信息加密传输、存储。应用系统应保证身份鉴别信息在存储、传输过程中必须是以密文方式存在，需要实现用户身份鉴别信息端到端加密。其中以下几点需要关注：对于使用浏览器作为前端的应用可以使用加密控件进行加密处理、短信动态认证码在通过短信平台发送过程中可以不进行加密处理。

⑥口令输入显示保护。应用系统应避免用户输入的口令在屏幕上明文显示，对于数据内容建议使用∗号代换展示。

⑦用户认证尝试次数控制。应用系统需要具备用户认证尝试超限锁定功能，同时提供尝试次数参数设定功能，具体解锁业务流程需要与业务部门进行商讨确定。

⑧鉴别失败反馈信息控制。应用系统在鉴别期间只提供给用户必要的反馈信息，包括：不能透露用户ID是否存在、ID或密码长度等信息。

⑨具备用户登录环境或时间控制机制。要求应用系统能够限定用户登录环境或登录时间，仅允许用户在指定的环境或时间登录系统，具体限制规则需要与业务部门商讨确定。

2）会话管理。对于有用户管理的高风险应用系统需要提供会话管理功能，对于没有用户管理的不适用本“会话管理”章节的要求。

①用户会话并发控制。应用系统应具有限制同一用户并发会话数量的功能。

②用户会话闲置超时控制。用户登录应用系统后，如果在设定的时间内无任何操作或发生异常事件时，宜强制结束会话，并将用户强制退出登录状态。用户再次登录时需重新做身份鉴别：对于会话闲置超时情况，应用系统要求提供会话超时机制，在一定空闲时间后，客户再次接入需要强制其重新登录、对于异常事件发生情况，应用系统要求提供会话强制结束功能。

③敏感数据残留信息清除机制。应用系统在会话中断后，应能及时清理会话残留信息，实施上要求将会话残留信息置空后释放内存空间。

④上一次成功登录或登录失败信息展示。应用系统应在用户成功地建立会话后显示用户上一次成功建立会话或建立会话失败时的信息。

3）访问控制

①用户访问控制要求。应用系统应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户。对于没有用户管理的应用系统，应按照控制服务请求能够访问最小资源范围原则设计服务接口。

②第三方外连部署前置机要求。要求应用系统与第三方机构有信息交互时需要部署应用前置机，配合防火墙DMZ区进行访问控制管理。

③用户访问资源最小化要求。应用系统应具有访问控制功能，限制认证通过的用户仅可以访问被授权的资源和功能。对于没有用户管理的应用系统，应按照控制服务请求能够访问最小资源范围原则设计服务接口。

④限制默认账户访问权限。应用系统应严格限制默认账户的访问权限，用户使用前必须要求修改这些账户的默认口令。

⑤用户权限分配遵循职责分离原则。应用系统应授予不同用户为完成各自承担任务所需的最小权限，并应遵循职责分离的原则。如果在业务需求中存在同一用户拥有两个互斥的功能权限的情况，需要提示业务主管部门风险，例如：审批流程中申请人和审批人是同一人。

4）剩余信息保护。用户鉴别残留信息完全清除要求。应用系统应保证用户鉴别信息所在的存储空间被释放或再分配给其他用户前得到完全清除，即对于涉及用户鉴别信息的文件存储和数据库表字段，都需要进行内容赋空值后再释放空间。

5）交易安全，交易日志可追溯性要求

①为保证交易的可追溯。应用系统应选择指定的系统时钟为业务提供可信时钟，交易应具有可信的时间标记。实施上应用系统应记录服务器端交易时间标签，至于可信时钟同步由操作系统层面解决。

②交易重放检测功能。应用系统应具备交易重放检测功能，防止已经提交的交易内容被非法再次提交。

③高风险交易抗抵赖交易控制要求。要求渠道类应用系统应针对涉及客户资金安全和客户注册信息变更的高风险交易进行数字签名认证或抗抵赖交易日志记录。

6）数据安全

①身份鉴别信息端到端加密要求。针对客户身份鉴别信息应保证鉴别信息端到端加密，即从产生、传输到存储过程中全部要求以密文形式存在。

②敏感信息在外网加密保护要求。针对应用系统敏感信息应确保在银行网络以外传输过程中以加密形式存在。

③针对业务数据安全性记录审计日志。当应用系统发现业务数据完整性和保密性受到破坏时，需要记录安全审计日志，并立即中止客户会话。

④使用安全通信协议要求。应用系统不允许采用不安全通信协议来保证业务数据完整性和数据保密性。

7）安全审计

①审计日志记录范围要求。应用系统应提供覆盖到每个用户的安全审计功能，对应用系统中的身份鉴别、访问控制等重要安全事件进行审计，重要安全事件至少包括以下内容：用户登录、退出事件、用户认证失败事件、更改重要应用系统级参数事件、用户管理相关事件。

②审计日志记录要素项要求。审计记录应包括日期和时间、类型、主体标识、客体标识、事件的结果等。对于审计记录应用系统应在逻辑上单独存储，即存储为独立的文件或数据库表。

③审讯记录分析需求。应用系统应与主管业务部门进行商讨确定审计记录分析需求，如果没有业务需求，则提供按用户或时间查询审计记录功能。

④审计日志修改权限控制要求。应用系统在没有业务需求的情况下不提供审计记录删除和修改功能，至于审计记录归档功能可以通过控制台脚本方式提供。

（2）中风险应用场景安全需求

1）身份鉴别。对于有用户管理的中风险应用系统需要制定用户标识及鉴别规则，对于没有用户管理的不适用本“身份鉴别”章节的要求。

①用户登录控制要求。应用系统应具备登录控制能力对登录用户进行身份标识和鉴别。

②用户标识唯一性要求。应用系统应提供用户身份标识唯一和鉴别信息复杂度检查功能，保证应用系统中不存在重复用户身份标识，身份鉴别信息不易被冒用。

③身份鉴别复杂度检查要求。对于身份鉴别信息不易被冒用，应用系统至少实施以下机制：能够设置用户密码有效期限、能够设置用户密码错误尝试次数、能够限制历史密码重复使用，并提供设置次数、能够检测弱密码，包括密码组成规则、密码长度、密码不能与用户名相同等。

④身份鉴别信息加密传输、存储。应用系统应保证身份鉴别信息在存储、传输过程中必须是以密文方式存在，区别于高级安全需求，中级安全需求要求应用系统实现传输和存储加密，不需要做到点到点加密。例如：使用浏览器为操作前端的系统，可以不在浏览器上部署安全控件。

⑤口令输入显示保护。应用系统应避免用户输入的口令在屏幕上明文显示，对于数据内容建议使用∗号代换展示。

⑥用户认证尝试次数控制。应用系统需要具备用户认证尝试超限锁定功能，同时提供尝试次数参数设定功能，具体解锁业务流程需要与业务部门进行商讨确定。

⑦鉴别失败反馈信息控制。应用系统在鉴别期间只提供给用户必要的反馈信息，包括不能透露用户ID是否存在、ID或密码长度等信息。

2）会话管理。对于有用户管理的中风险应用系统需要提供会话管理功能，对于没有用户管理的不适用本“会话管理”章节的要求。

①用户会话并发控制。应用系统应具有限制同一用户并发会话数量的功能。

②用户会话闲置超时控制。用户登录应用系统后，如果在设定的时间内无任何操作或发生异常事件时，宜强制结束会话，并将用户强制退出登录状态。用户再次登录时需重新做身份鉴别：对于会话闲置超时情况，应用系统要求提供会话超时机制，在一定空闲时间后，客户再次接入需要强制其重新登录、对于异常事件发生情况，应用系统要求提供会话强制结束功能、敏感数据残留信息清除机制。应用系统在会话中断后，应能及时清理会话残留信息，实施上要求将会话残留信息置空后释放内存空间。

3）访问控制

①用户访问控制要求。应用系统应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户。对于没有用户管理的中风险应用系统，应按照控制服务请求能够访问最小资源范围原则设计服务接口。

②用户访问资源最小化要求。应用系统应具有访问控制功能，限制认证通过的用户仅可以访问被授权的资源和功能。对于没有用户管理的应用系统，应按照控制服务请求能够访问最小资源范围原则设计服务接口。

③第三方外连部署前置机要求。要求应用系统与第三方机构有信息交互时需要部署应用前置机，配合防火墙DMZ区进行访问控制管理。

④用户权限分配遵循职责分离原则。应用系统应授予不同用户为完成各自承担任务所需的最小权限，并应遵循职责分离的原则。如果在业务需求中存在同一用户拥有两个互斥的功能权限的情况，需要提示业务主管部门风险，例如：审批流程中申请人和审批人是同一人。

⑤限制默认账户访问权限。应用系统应严格限制默认账户的访问权限，用户使用前必须要求修改这些账户的默认口令。

4）剩余信息保护。用户鉴别残留信息完全清除要求应用系统保证用户鉴别信息所在的存储空间被释放或再分配给其他用户前得到完全清除，即对于涉及用户鉴别信息的文件存储和数据库表字段，都需要进行内容赋空值后再释放空间。

5）交易安全

①交易日志可追溯性要求。为保证交易的可追溯，应用系统应选择指定的系统时钟为业务提供可信时钟，交易应具有可信的时间标记。实施上应用系统应记录服务器端交易时间标签，至于可信时钟同步由操作系统层面解决。

②交易重放检测功能。应用系统应具备交易重放检测功能，防止已经提交的交易内容被非法再次提交。

③高风险交易抗抵赖交易控制要求。要求渠道类应用系统应针对涉及客户资金安全和客户注册信息变更的高风险交易进行数字签名认证或抗抵赖交易日志记录。

6）数据安全

①身份鉴别信息端到端加密要求。针对客户身份鉴别信息应保证鉴别信息端到端加密，即从产生、传输到存储过程中全部要求以密文形式存在。

②敏感信息在外网加密保护要求。针对应用系统敏感信息应确保在中国银行网络以外传输过程中以加密形式存在。

③针对业务数据安全性记录审计日志。当应用系统发现业务数据完整性和保密性受到破坏时，需要记录安全审计日志，并立即中止客户会话。

④通过操作权限控制数据访问范围。其他有效手段主要是指通过操作系统权限管理某些重要数据只能够专有用户才能够访问，如：软加密管理的配置文件只能特定应用维护人员才能访问。

7）安全审计

①审计日志记录范围要求。应用系统应提供覆盖到每个用户的安全审计功能，对应用系统中的身份鉴别、访问控制等重要安全事件进行审计，重要安全事件至少包括以下内容：用户登录、退出事件、用户认证失败事件、更改重要应用系统级参数事件、用户管理相关事件。

②审计日志记录要素项要求。审计记录应包括日期和时间、类型、主体标识、客体标识、事件的结果等。对于审计记录应用系统应在逻辑上单独存储，即存储为独立的文件或数据库表。

③审讯记录分析需求。应用系统应与主管业务部门进行商讨确定审计记录分析需求，如果没有业务需求，则提供按用户或时间查询审计记录功能。

④审计日志修改权限控制要求。应用系统在没有业务需求的情况下不提供审计记录删除和修改功能，至于审计记录归档功能可以通过控制台脚本方式提供。

（3）低风险应用场景安全需求

1）身份鉴别。对于有用户管理的低风险应用系统需要制定用户标识及鉴别规则，对于没有用户管理的不适用本“身份鉴别”章节的要求。

①用户登录控制要求。应用系统应具备登录控制能力对登录用户进行身份标识和鉴别。

②用户标识唯一性要求。应用系统应提供用户身份标识唯一和鉴别信息复杂度检查功能，保证应用系统中不存在重复用户身份标识，身份鉴别信息不易被冒用。

③身份鉴别复杂度检查要求。对于身份鉴别信息不易被冒用，应用系统至少实施以下机制：能够设置用户密码有效期限、能够设置用户密码错误尝试次数、能够限制历史密码重复使用，并提供设置次数、能够检测弱密码，包括：密码组成规则、密码长度、密码不能与用户名相同等。

④身份鉴别信息加密传输、存储。应用系统应保证身份鉴别信息在存储、传输过程中必须是以密文方式存在，区别于高级安全需求，中级安全需求要求应用系统实现传输和存储加密，不需要做到点到点加密。例如：使用浏览器为操作前端的系统，可以不在浏览器上部署安全控件。(https://www.xing528.com)

⑤口令输入显示保护。应用系统应避免用户输入的口令在屏幕上明文显示，对于数据内容建议使用∗号代换展示。

⑥用户认证尝试次数控制。应用系统需要具备用户认证尝试超限锁定功能，同时提供尝试次数参数设定功能，具体解锁业务流程需要与业务部门进行商讨确定。

⑦鉴别失败反馈信息控制。应用系统在鉴别期间只提供给用户必要的反馈信息，包括：不能透露用户ID是否存在、ID或密码长度等信息。

2）会话管理。对于有用户管理的低风险应用系统需要提供会话管理功能，对于没有用户管理的不适用本“会话管理”章节的要求。

①用户会话并发控制。应用系统应具有限制同一用户并发会话数量的功能。

②敏感数据残留信息清除机制。应用系统在会话中断后，应能及时清理会话残留信息，实施上要求将会话残留信息置空后释放内存空间。

3）访问控制

①用户访问控制要求。应用系统应具有访问控制功能，限制认证通过的用户仅可以访问被授权的资源和功能。对于没有用户管理的应用系统，应按照控制服务请求能够访问最小资源范围原则设计服务接口。

②用户访问资源最小化要求。应用系统应通过访问控制列表对系统资源实现允许或拒绝用户访问，控制粒度至少为用户组。

③用户权限分配遵循职责分离原则。应用系统应授予不同用户为完成各自承担任务所需的最小权限，并应遵循职责分离的原则。如果在业务需求中存在同一用户拥有两个互斥的功能权限的情况，需要提示业务主管部门风险，例如：审批流程中申请人和审批人是同一人。

④限制默认账户访问权限。应用系统应严格限制默认账户的访问权限，用户使用前必须要求修改这些账户的默认口令。

4）剩余信息保护。用户鉴别残留信息完全清除要求。应用系统应保证用户鉴别信息所在的存储空间被释放或再分配给其他用户前得到完全清除，即对于涉及用户鉴别信息的文件存储和数据库表字段，都需要进行内容赋空值后再释放空间。

5）交易安全。交易日志可追溯性要求。为保证交易的可追溯，应用系统应选择指定的系统时钟为业务提供可信时钟，交易应具有可信的时间标记。实施上应用系统应记录服务器端交易时间标签，至于可信时钟同步由操作系统层面解决。

6）数据安全

①身份鉴别信息端到端加密要求。针对客户身份鉴别信息应保证鉴别信息端到端加密，即从产生、传输到存储过程中全部要求以密文形式存在。

②敏感信息在外网加密保护要求。针对应用系统敏感信息应确保在银行网络以外传输过程中以加密形式存在。

③针对业务数据安全性记录审计日志。当应用系统发现业务数据完整性和保密性受到破坏时，需要记录安全审计日志，并立即中止客户会话。

④通过操作权限控制数据访问范围。其他有效手段主要是指通过操作系统权限管理某些重要数据只能够专有用户才能够访问，如：软加密管理的配置文件只能特定应用维护人员才能访问。

7）安全审计

①审计日志记录范围要求。应用系统应提供覆盖到每个用户的安全审计功能，对应用系统中的身份鉴别、访问控制等重要安全事件进行审计，重要安全事件至少包括以下内容：用户登录、退出事件、用户认证失败事件、更改重要应用系统级参数事件、用户管理相关事件。

②审计日志记录要素项要求。审计记录应包括日期和时间、类型、主体标识、客体标识、事件的结果等。对于审计记录应用系统应在逻辑上单独存储，即存储为独立的文件或数据库表。

③审计日志修改权限控制要求。应用系统在没有业务需求的情况下不提供审计记录删除和修改功能，至于审计记录归档功能建议通过控制台脚本方式提供。

（4）海外应用场景安全需求

1）信息分级

①身份认证信息加密要求。区别对待客户身份认证信息和客户其他信息，对于身份认证信息需要遵守“数据加密”章节要求。

②访问控制机制要求。系统必须具备访问控制机制，对于不同类型的客户及用户，可以分别设置系统访问权限。

③客户识别信息隐藏展示要求。应用系统在客户身份认证信息时，需要考虑使用隐藏技术进行密文显示，可以考虑使用∗号代换展示。

2）数据加密

①关键及敏感信息加密要求。对于关键及敏感信息需要保证加密存储过程使用硬件加密机，传输过程中需要做到从客户端到应用服务器端点对点加密传输。对于使用浏览器作为前端的应用可以考虑使用加密控件进行加密处理。

②加密算法选择要求。服务器端数据加密方法：原则上要求服务器端应该使用硬件加密机进行加解密处理，对于一些历史数据无法完成硬件加密迁移的情况，可以考虑使用原软件加密模块。

③加密设置选择要求。客户端数据加密方法：由于客户端无法部署硬件加密机，可以选择使用软件加密方法，对于没有条件进行加密的客户端可以选择在后续能够进行加密处理的环节进行加密处理。对于客户端无法进行硬加密的情况，后续传输过程中可以使用软件加密。

3）跨境传输

①客户敏感信息跨境加密传输要求。客户敏感信息涉及跨物理国境传输过程中需要进行加密传输：对于批量模块建议使用具有加密功能的传输软件保证客户信息安全，如C：D软件、对于联机模块建议使用中间件级别加密措施，如HTTPS、MQ加密通道等。

②客户信息跨分支机构访问控制要求。分支机构间或总行访问分行客户信息时，必须有明确的业务需求才能够提供最小化权限访问，否则绝对禁止。

③数据存储、客户信息分银行隔离存储要求。对于存储客户信息的应用系统需要将各个海外分支机构的客户信息隔离存储，实施建议按照银行号进行分区表存储。

4）审计日志

①非法操作日志记录。网上银行系统应开启审计功能对身份认证过程进行记录，以防止舞弊、洗钱、破译密码或其他非授权的活动。另外，应合理对审计日志进行保存。

②客户活动日志记录。银行应保留电子银行系统活动的系统日志，包括：用户账号及访问权限的新增、变更或注销、业务交易、超出系统限制交易的拦截或审批记录。

③日志文件信息保护。银行应严格控制和监控对日志文件的访问，包括：部署访问控制措施或加密手段，防止日志文件中的敏感信息被泄露、设置日志的参数配置，不允许对已经写入的数据进行任何修改。

注：要求所有系统不能明文记录身份认证信息，其他日志中包括的客户敏感信息，通过系统层面访问控制手段实现。

④电子银行交易日志范围。银行应保存一年内的电子银行系统交易日志，包括以下内容：电子渠道访问记录，包括客户身份、日期及时间，货币操作详细记录，包括日期、时间、访问渠道、金额、发款与收款账户，以及交易类型（借方/信贷）。针对网上银行，日志需要通过网络服务器进行收集，应至少包括HTTP服务请求方法（如GET/POST/HEAD等请求命令），统一资源标识符（URI）及相关参数的时间戳（Times Tamp）。

5）身份认证

①电子银行身份认证强度。银行对于电子银行系统的账号访问、银行间资金转移、账号维护、电子支付和企业现金管理等活动所涉及的系统及交易，应部署多因素认证，以确保认证强度（注：此规定只适用于美国，所以电话银行系统不适用此规定）。

②用户名密码强度。银行所有系统的用户名与密码认证机制时，应考虑以下因素：确保用户能够在没有任何其他人员（如服务台工作人员）协助的情况下选择密码，应强制要求客户修改初次登录时使用的非客户自设的临时密码，电子银行系统应经常更换密码，防止静态密码被键盘记录器记录。在用户更换密码时，系统不应允许用户重复使用最近用过的或已被破译的密码。对多次登录失败的登录尝试应锁定用户账号，登录的账号在一定时间内没有操作，系统应将账号自动退出。应用系统不应提供自动登录功能，退出屏幕保护需要用户进行重新认证。应对客户密码进行加密，防止包括系统安全管理员在内的任何人员查看或打印未加密的客户密码。

注：本条要求所指“用户名与密码”是针对银行外部客户的要求，对于银行内部操作员不适用此要求；关于改密不能使用最近使用过的密码次数，目前建议为不能和修改前的密码相同。对于新建立的系统，或有条件改造的系统建议实现为前3次密码不能重复使用。

③网银特殊规定。针对网上银行系统和手机银行系统，银行应至少实施以下安全措施：验证银行，可使用数字证书、客户端预览图像或其他方式便于客户在登录网银系统或手机银行系统时，能够确认为其提供服务的银行的身份。另外，在登录成功后，客户的完整姓名及上次登录时间必须显示给客户，作为参考；验证客户，使用高强度的身份验证方式，对于静态登录口令，则口令必须包含至少8位字母、数字或字符。对于动态口令，则应由系统自动生成长度至少6位的口令。

（5）互联网应用场景安全需求

1）会话安全

①会话标识唯一性要求。应用系统应确保会话标识随机并且唯一，建议应用系统使用中间件系统提供的会话标识生成机制。

②会话认证有效性要求。应用系统在会话过程中应维持认证状态，防止用户通过直接输入登录后的地址访问登录后的页面。实施上要求应用系统建立公共机制，对于有用户登录要求的页面全部需要检查客户认证状态。

③具备会话超时机制要求。应用系统要求提供会话超时机制，在一定空闲时间后，客户再次接入需要强制其重新登录。

2）防结构化查询语言（Structured Query Language，简称SQL）注入攻击

①具备SQL注入防范机制要求。要求应用系统从机制上解决恶意用户输入SQL注入数据的问题。

②数据合法性和业务要求完成性要求。应用系统应本着不信任客户端数据的原则，在服务器端进行数据合法性和业务完整性校验。

③限制提供数据库用户管理功能。限制应用系统提供数据库用户权限管理功能，这些功能应该由系统软件完成。

3）防跨站脚本。具备跨站点脚本防范机制要求。要求应用系统从机制上解决恶意用户输入跨站点脚本数据的问题。

4）并发控制

①系统最大并发会话数控制要求。应用系统应对系统的最大并发会话连接数进行限制。

②单用户最大并发会话数控制要求。应用系统应对单个用户的多重并发会话进行限制。

③具备会话超时控制机制。应用系统应提供会话超时机制，当超时发生后应结束当前会话。

5）其他应用安全

①提供预留用户信息认证功能要求。应用系统应提供预留用户信息认证功能，用户可以在登录环节验证服务器真伪，但要求在登录环节不能让用户输入无法与交易信息绑定的第二认证因子，如动态口令。

②内部管理与客户服务隔离能力要求。应用系统应具备将管理维护URL与客户互联网交易URL逻辑上分离部署的能力，以配合防火墙层面进行网络层限制维护URL从公网上访问。

③具备用户认证尝试超限锁定功能。应用系统需要具备用户认证尝试超限锁定功能，同时提供尝试次数参数设定功能，具体解锁业务流程需要与业务部门进行商讨确定。

④应用用户账号设置要求。应用系统应为不同的用户分配单独的账号并设置不同的初始密码，禁止共享账号和密码。

⑤上传文件安全性校验机制要求。对于提供文件上传功能的应用，应对上传文件的合法性实施校验，包括且不限于文件的类型、格式要求、上传位置、内容合法性等。服务器端应实现所有校验规则和校验机制，防止通过修改客户端程序绕开校验机制。

6）密码强度要求

①密码复杂度检测要求。静态密码长度至少8位，密码至少应同时包含字母和数字，禁止使用简单密码。简单密码检查机制至少包括不能与用户名相同。

②首次登录改密要求。用户首次登录时应强制修改密码，并应按安全需求强制定期更改密码。

③密码长度控制要求。动态密码长度应不少于6位。

7）密码保护机制

①密码输入保护要求。密码输入界面应采取安全保护措施，包括但不限于不以明文形式显示密码、利用图形验证码防止暴力拆解攻击等。

②软键盘随机性布局要求。使用软键盘方式输入密码时，应对整体键盘布局进行随机干扰。

8）数据加密

①敏感信息网络传输加密要求。敏感信息在网络传输前应先做加密处理，应用系统可以选择的技术包括HTTPS、SFTP、C：D等。

②用户认证信息加密存储要求。口令、密码、密钥等身份认证信息应实施加密存储。

③传输加密协议选择要求。应用系统应使用安全的加密协议，如SSLv3.0以上，TLSv1.0以上等。

9）数据完整性保护

①敏感信息网络传输防篡改要求。应用系统在互联网传输敏感信息时，需要使用加密传输方式，以防止数据被篡改。

②完整性保护密钥选择要求。完整性保护应采用安全、可靠的机制和密码算法，如密码算法需使用密钥，则应使用安全的密钥。

10）抗抵赖措施

①针对涉及资金变动和客户签约信息变更交易增加抗抵赖保护。应用系统针对涉及资金变动的交易和客户签约信息变更的交易实施抗抵赖保护。

②抗抵赖保护措施选择。抗抵赖保护措施包括USBKey数字证书签名、第二因子身份认证加交易记录。防重放攻击针对涉及资金变动和客户签约信息变更交易增加防重放保护，凡是涉及客户资金安全和客户敏感信息变更的交易都需要进行交易防重处理。

11）密钥管理

①签名密钥与数据加密密钥分离要求。密钥应按照其用途使用，在进行身份鉴别、保证信息的完整性和抗抵赖时使用签名密钥，在保证信息的机密性时使用加密密钥。

②主密钥使用硬件保护。应采取措施保护密钥和密码的安全，防止发生泄密。对于关键密钥，应采用硬件安全模块（HSM）实施保护，如加密机、加密卡、智能卡、USBKey等。

③软加密方案设计要求。关于应用系统软加密方案中密钥保护机制请参考“应用安全重点实施技术要求”。

12）防止敏感信息泄露

①应具备防止敏感信息泄露的机制。应用系统应对返回信息进行审核和过滤，防止因此造成敏感信息的泄露。审核内容包括：是否包含敏感信息（包括且不限于配置信息、版本信息、网络拓扑信息、密码、密钥口令、用户隐私信息等）、返回的信息量是否异常、返回信息是否过细等。

②日志记录内容不能包括敏感信息。对日志记录的内容进行审核，防止将敏感信息写入日志。日志记录中不得以任何形式保存密码、密钥等高敏感性数据，其他敏感型数据仅应在脱敏或加密的前提下保存。

③日志访问权限控制。严格控制日志的访问权限，仅允许有工作需要且经过授权的人员查看日志。

④敏感数据访问权限控制。应对敏感数据的访问权限进行严格限制，防止未授权访问。

⑤Cookie（储存在用户本地终端上的数据）保存信息范围要求。对于使用Cookie的应用，不应在Cookie中保存敏感信息，防止发生泄密。

13）安全审计

①审计日志记录范围要求。应用系统应提供覆盖到每个用户的安全审计功能，对应用系统中的身份鉴别、访问控制等重要安全事件进行审计，重要安全事件至少包括以下内容：用户登录、退出事件、用户认证失败事件、更改重要应用系统级参数事件、用户管理相关事件。

②审计日志记录要素项要求。对于每一个事件，其审计记录应包括事件的日期和时间、访问者标识、事件类型、事件结果、变更事项等内容。

③审计日志修改权限控制要求。应用系统在没有业务需求的情况下不提供审计记录删除和修改功能，至于审计记录归档功能可以通过控制台脚本方式提供。