T-NIPA 28-2022 網(wǎng)上銀行服務(wù)應(yīng)用安全規(guī)范

ICSCCS

A T/NIFA

28—2023

2023-11-10

T/NIFA

23—2023前言

.................................................................................

III引言

..................................................................................

IV1

范圍

.................................................................................

12

規(guī)范性引用文件

.......................................................................

13

術(shù)語(yǔ)與定義

...........................................................................

14

縮略語(yǔ)

...............................................................................

25

身份鑒別

.............................................................................

25.1

身份鑒別技術(shù)要求

.................................................................

25.2

身份鑒別安全要求

.................................................................

66

交易安全性

...........................................................................

86.1

抗抵賴機(jī)制

.......................................................................

86.2

重放檢測(cè)機(jī)制

.....................................................................

86.3

防撞庫(kù)及惡意查詢

.................................................................

96.4

交易合法性檢查

...................................................................

96.5

交易漏洞防范

....................................................................

107

數(shù)據(jù)安全性

..........................................................................

107.1

傳輸數(shù)據(jù)的機(jī)密性保護(hù)

............................................................

107.2

傳輸數(shù)據(jù)的完整性保護(hù)

............................................................

117.3

存儲(chǔ)數(shù)據(jù)的機(jī)密性保護(hù)

............................................................

117.4

存儲(chǔ)數(shù)據(jù)的完整性保護(hù)

............................................................

117.5

頁(yè)面展示信息的保護(hù)

..............................................................

117.6

與第三方合作時(shí)金融信息的保護(hù)

....................................................

128

客戶個(gè)人信息保護(hù)

....................................................................

128.1

客戶個(gè)人信息的屏蔽保護(hù)

..........................................................

128.2

客戶個(gè)人信息的訪問(wèn)控制

..........................................................

138.3

客戶個(gè)人信息的使用限制

..........................................................

139

移動(dòng)金融客戶端安全

..................................................................

139.1

客戶端程序安全保護(hù)

..............................................................

139.2

數(shù)據(jù)安全保護(hù)

....................................................................

149.3

其他安全要求

....................................................................

1410

邏輯安全測(cè)評(píng)

.......................................................................

1510.1

身份鑒別測(cè)評(píng)

...................................................................

1510.2

賬戶管理測(cè)試

...................................................................

1810.3

金融交易測(cè)試

...................................................................

1911

系統(tǒng)運(yùn)營(yíng)安全管理

...................................................................

2111.1

配置管理

.......................................................................

2111.2

變更管理

.......................................................................

2111.3

風(fēng)險(xiǎn)管理

.......................................................................

2111.4

備份與恢復(fù)管理

.................................................................

21T/NIFA

—2023附錄

A（規(guī)范性）密碼技術(shù)要求

..........................................................

23參考文獻(xiàn)..............................................................................

26IIT/NIFA

28—2023 本文件按照GB/T

—《標(biāo)準(zhǔn)化工作導(dǎo)則

第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》和GB/T20004.1—2016《團(tuán)體標(biāo)準(zhǔn)化

第1部分：良好行為指南》給出的規(guī)則起草。請(qǐng)注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任。本文件由中國(guó)互聯(lián)網(wǎng)金融協(xié)會(huì)提出。本文件由中國(guó)互聯(lián)網(wǎng)金融協(xié)會(huì)歸口。限公司、長(zhǎng)沙銀行股份有限公司。李曉、趙雪、趙重祺、張勇、杜寧波、陶振帥、趙晨陽(yáng)、尹智清、廖植群、劉幸。IIIT/NIFA

—2023 戶提供多種類、個(gè)性化的金融服務(wù)。網(wǎng)上銀行服務(wù)的便利性和開(kāi)放性也對(duì)其安全性提出了更高要求。地提出網(wǎng)上銀行服務(wù)應(yīng)用安全相關(guān)技術(shù)要求。范、健康發(fā)展。IVT/NIFA

28—2023

1 范圍營(yíng)安全等方面的相關(guān)規(guī)范要求。本文件適用于中華人民共和國(guó)境內(nèi)設(shè)立的銀行業(yè)金融機(jī)構(gòu)所提供的網(wǎng)上銀行服務(wù)。2 規(guī)范性引用文件下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成文件必不可少的條款。其中，注日期的引用文件，文件。GB/T

27912—2011

金融服務(wù)

生物特征識(shí)別

安全框架GB/T

35273—2020

信息安全技術(shù)

個(gè)人信息安全規(guī)范GB/T

—2018

信息技術(shù)

移動(dòng)設(shè)備生物特征識(shí)別

第1部分：通用要求JR/T

—2020

網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范JR/T

0092—2019

移動(dòng)金融客戶端應(yīng)用軟件安全管理規(guī)范JR/T

0171—2020

個(gè)人金融信息保護(hù)技術(shù)規(guī)范3 術(shù)語(yǔ)與定義JR/T

0068—2020、JR/T

—2019和JR/T

0171—2020界定的以及下列術(shù)語(yǔ)和定義適用于本文件。3.1密鑰 key控制密碼變換操作的符號(hào)序列。[來(lái)源：GB/T —，3.16]3.2對(duì)稱加密算法symmetric

encryption

algorithm源發(fā)者和接收者使用同一秘密密鑰進(jìn)行變換的加密算法。[來(lái)源：

—，3.34]3.3數(shù)字簽名 digital

signatureT/NIFA

—2023的接收者用以確認(rèn)數(shù)據(jù)單元的來(lái)源和完整性，達(dá)到保護(hù)數(shù)據(jù)，防止被人（例如接收者）偽造的目的。[來(lái)源：GB/T —，3.11]3.4雙因素認(rèn)證（） two-factor

authentication（2FA）除靜態(tài)密碼外，采用動(dòng)態(tài)密碼、數(shù)字證書(shū)等技術(shù)，通過(guò)雙重認(rèn)證的方式加強(qiáng)身份管理的認(rèn)證方式。[來(lái)源：

—，2.43]3.5角色 role一組預(yù)先確定的規(guī)則，規(guī)定在用戶和對(duì)象之間許可的交互。4 縮略語(yǔ)下列縮略語(yǔ)適用于本文件。MAC：消息認(rèn)證碼（

Authentication

Code）OTP：一次性口令（

Password）SDK：軟件開(kāi)發(fā)工具包（Software

Development

Kit）VPN：虛擬專用網(wǎng)絡(luò)（

）PIN：個(gè)人識(shí)別碼（

Identification

）SSL：安全套接層（

Sockets

Layer）CVVCard

Verification

Value）CVNCard

Verification

Number）5 身份鑒別5.1 身份鑒別技術(shù)要求5.1.1 概述身份鑒別按照實(shí)現(xiàn)方式可分為靜態(tài)口令、第二信道設(shè)備（如手機(jī)動(dòng)態(tài)驗(yàn)證碼）、OTP現(xiàn)、硬件）、數(shù)字證書(shū)（如軟數(shù)字證書(shū)、硬數(shù)字證書(shū)）和生物特征識(shí)別等技術(shù)。5.1.2 靜態(tài)口令 生成要求口令生成的要求如下：a)長(zhǎng)度不低于

6

個(gè)字符，宜采用

8

個(gè)字符以上的口令；b) ,不宜出現(xiàn)連續(xù)

6

位數(shù)字或者身份證號(hào)、手機(jī)號(hào)中連續(xù)

6

位等弱口令；c) 對(duì)于手勢(shì)密碼等其他靜態(tài)密碼，應(yīng)滿足一定復(fù)雜度要求；d) 認(rèn)證系統(tǒng)應(yīng)能夠?qū)τ脩糨斎氲目诹顝?qiáng)度進(jìn)行分析，給出口令強(qiáng)度的反饋；e) 對(duì)于低強(qiáng)度的口令能夠警示用戶更換更高強(qiáng)度的口令。T/NIFA

28—20 使用要求口令的使用應(yīng)滿足以下要求：a) 通過(guò)受理終端或支付客戶端應(yīng)用程序使用靜態(tài)口令時(shí)，應(yīng)采取屏蔽措施，避免出現(xiàn)口令明文；b) 次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時(shí)自動(dòng)退出等措施；c) 采取至少兩種方式進(jìn)行身份認(rèn)證。重置后的口令生成應(yīng)遵守口令的輸入要求；d) 口令在服務(wù)端驗(yàn)證過(guò)程中不應(yīng)出現(xiàn)明文，應(yīng)通過(guò)硬件密碼設(shè)備加密后進(jìn)行驗(yàn)證或存儲(chǔ)；e) 口令應(yīng)加密傳輸。 設(shè)備要求及安全要求輸入設(shè)備及安全措施應(yīng)滿足以下要求：a) 輸入設(shè)備應(yīng)具備一定的物理、邏輯安全機(jī)制，如應(yīng)具備入侵檢測(cè)機(jī)制，防止輸入過(guò)程被監(jiān)聽(tīng)，可安全存儲(chǔ)敏感信息，具備完整的密鑰體系；b) 在口令輸入設(shè)備和讀卡機(jī)之間傳輸

相關(guān)信息時(shí)，應(yīng)有效地保護(hù)所傳輸?shù)臄?shù)據(jù)；c) 輸入控件應(yīng)具備一定的安全機(jī)制，防止非法用戶采用鍵盤偵測(cè)手段獲取密碼；d) 在輸入控件和終端程序間傳輸靜態(tài)口令相關(guān)信息時(shí)，應(yīng)有效地保護(hù)所傳輸?shù)臄?shù)據(jù)。5.1.3 第二信道設(shè)備 生成要求當(dāng)用戶使用第二信道設(shè)備接收到的動(dòng)態(tài)驗(yàn)證碼作為鑒別因子時(shí)，動(dòng)態(tài)驗(yàn)證碼的生成應(yīng)滿足以下要求：a)動(dòng)態(tài)驗(yàn)證碼應(yīng)隨機(jī)生成，且長(zhǎng)度不低于

6

個(gè)字符；b) 動(dòng)態(tài)驗(yàn)證碼應(yīng)與交易實(shí)現(xiàn)一對(duì)一綁定；c) 動(dòng)態(tài)驗(yàn)證碼不應(yīng)與交易信息綁定。 使用要求使用第二信道設(shè)備接收到的動(dòng)態(tài)驗(yàn)證碼的要求如下：a) 應(yīng)設(shè)定認(rèn)證有效期，比如

60

秒，宜不超過(guò)

6

分鐘；b) 應(yīng)限制驗(yàn)證出錯(cuò)次數(shù)，若超過(guò)限制次數(shù)，則驗(yàn)證碼失效或賬戶鎖定；c) 重新獲取驗(yàn)證碼后，原先驗(yàn)證碼自動(dòng)失效。 設(shè)備要求及安全要求傳輸信道宜與交易信息傳輸?shù)男诺老喾蛛x。5.1.4 OTP

生成要求OTP令牌作為鑒別因子，的生成應(yīng)滿足以下要求：a) 應(yīng)使用經(jīng)第三方專業(yè)安全測(cè)評(píng)機(jī)構(gòu)檢測(cè)通過(guò)的軟件、OTP

令牌、客戶端模塊及后臺(tái)支持系統(tǒng)；b) OTP

的長(zhǎng)度應(yīng)不少于

6

位，且應(yīng)有復(fù)雜度要求；c) OTP

生成算法應(yīng)經(jīng)過(guò)國(guó)家密碼主管部門認(rèn)定。T/NIFA

—20 使用要求OTPa) 應(yīng)采取有效措施防范軟件、OTP

加固、軟件加殼、代碼混淆等；b) 不同業(yè)務(wù)中的

應(yīng)各不相同，且使用后立即失效；c) 可重新執(zhí)行激活操作，避免惡意的窮舉攻擊。 設(shè)備要求及安全要求輸入設(shè)備及安全措施的要求如下：a) 應(yīng)采取有效措施保證種子密鑰數(shù)據(jù)在整個(gè)生命周期的安全；b) 軟件

PIN

碼、生物特征信息等方式進(jìn)行保護(hù)；c) 復(fù)制等；d) 對(duì)于硬件

，令牌設(shè)備應(yīng)使用

PIN

碼保護(hù)等措施，確保只有授權(quán)客戶才可以使用；e) 對(duì)于硬件

，令牌加密芯片應(yīng)具備抵抗旁路攻擊的能力；f) 對(duì)于硬件

，在外部環(huán)境發(fā)生變化時(shí)，OTP

令牌不應(yīng)泄露敏感信息或影響安全功能；g) 對(duì)于硬件

，令牌設(shè)備應(yīng)具備一定的抗跌落功能，防止意外跌落導(dǎo)致種子密鑰丟失。5.1.5 數(shù)字證書(shū) 文件證書(shū).1 生成要求文件證書(shū)生成應(yīng)滿足JR/T

0068“文件證書(shū)”中有關(guān)安全技術(shù)的要求，同時(shí)應(yīng)滿足以下要求：a) 文件證書(shū)對(duì)應(yīng)私鑰的存儲(chǔ)應(yīng)與終端設(shè)備信息綁定，防范私鑰被非法復(fù)制到其他設(shè)備上使用；b)

IMEI、IMSI、MEID、ESN

等設(shè)計(jì)用于唯一標(biāo)識(shí)移動(dòng)終端的信息綁定，防范證書(shū)被非法復(fù)制到其他移動(dòng)終端使用。.2 使用要求使用文件證書(shū)應(yīng)滿足以下要求：a) 文件證書(shū)的發(fā)放宜使用離線或

接，且傳輸過(guò)程中的證書(shū)是加密的；b) PIN

碼連續(xù)輸入錯(cuò)誤次數(shù)達(dá)到上限，證書(shū)軟件應(yīng)被鎖定。.3 設(shè)備要求及安全要求輸入設(shè)備及安全措施應(yīng)滿足以下要求：a) 易失性存儲(chǔ)器上；b) 設(shè)備中；c) 密碼模塊應(yīng)鑒別并驗(yàn)證操作員的角色或身份，以確保其是否有權(quán)執(zhí)行對(duì)應(yīng)的服務(wù)；d) 采用驗(yàn)證碼對(duì)關(guān)鍵操作（如簽名）進(jìn)行保護(hù)，防范窮舉攻擊；T/NIFA

28—2023e) 文件證書(shū)軟件模塊具備軟件完整性檢測(cè)與關(guān)鍵功能自測(cè)試功能。 智能密碼鑰匙.1 生成要求應(yīng)能夠支持一個(gè)或多個(gè)應(yīng)用，并能提供和保持不同應(yīng)用之間的安全性。.2 使用要求使用智能密碼鑰匙應(yīng)滿足以下要求：a) 應(yīng)能夠保證一個(gè)應(yīng)用不會(huì)影響另一個(gè)應(yīng)用的安全操作；b) 須重新連接才能繼續(xù)使用，以防范遠(yuǎn)程挾持；c)行任何操作時(shí)的語(yǔ)言提示、屏幕顯示提醒等功能；d) 如智能密碼鑰匙不具備確認(rèn)功能，交易過(guò)程中應(yīng)使用雙因素認(rèn)證，以防范遠(yuǎn)程挾持。.3 設(shè)備要求及安全要求輸入設(shè)備及安全措施應(yīng)滿足JR/T

0068中有關(guān)安全技術(shù)要求，同時(shí)應(yīng)滿足以下要求：a) 應(yīng)使用通過(guò)第三方專業(yè)測(cè)評(píng)機(jī)構(gòu)安全檢測(cè)的證書(shū)存儲(chǔ)介質(zhì)；b)應(yīng)采取有效措施防范證書(shū)存儲(chǔ)介質(zhì)被遠(yuǎn)程挾持；c) 的安全芯片內(nèi)實(shí)施；d) 證書(shū)存儲(chǔ)介質(zhì)的主文件應(yīng)受到安全機(jī)制保護(hù)，保證客戶無(wú)法對(duì)其進(jìn)行刪除和重建；e)應(yīng)保證私鑰在生成、存儲(chǔ)和使用等階段的安全；f) 參與密鑰、PIN

部門的要求；g) 密鑰文件在啟用期應(yīng)封閉；h) 簽名交易完成后，狀態(tài)機(jī)應(yīng)立即復(fù)位；i) 應(yīng)保證

PIN

碼和密鑰的安全。5.1.6 生物特征識(shí)別 概述本文件中用于用戶身份識(shí)別的生物特征識(shí)別模態(tài)包括但不限于：a) 人臉識(shí)別；b) 指紋識(shí)別；c) 聲紋識(shí)別；d) 虹膜識(shí)別；e) 靜脈識(shí)別。 技術(shù)要求基于生物特征識(shí)別技術(shù)的用戶身份識(shí)別應(yīng)滿足GB/T

27912—2011的要求。此外，還遵循如下要求：攻擊示例防范目標(biāo)與措施攻擊者通過(guò)不斷猜測(cè)可能的驗(yàn)證信息來(lái)重復(fù)登攻擊者通過(guò)嘗試猜測(cè)用戶的用戶名和常用密碼來(lái)登試猜測(cè)來(lái)攻擊變得不可行。防范措施：限制失敗嘗試次數(shù)、驗(yàn)證對(duì)象通過(guò)公開(kāi)的圖靈測(cè)試T/NIFA

—2023a) GB/T

35273—2020以及JR/T

0171—中的相關(guān)要求；b)應(yīng)充分評(píng)估所使用的生物特征識(shí)別技術(shù)的特點(diǎn)及存在的風(fēng)險(xiǎn)，按照

GB/T

—2018

求合理的選擇遠(yuǎn)程模式或本地模式；c) 理機(jī)制,防止惡意偽造攻擊，檢測(cè)和處理的呈現(xiàn)攻擊手段要求如下：1) 形狀包括但不限于

、

等方式；2) 載體包括但不限于圖像、視頻、頭模、指紋膜等方式；3) 材質(zhì)包括但不限于紙質(zhì)、電子、硅膠等方式。d) 和傳輸過(guò)程中，用戶生物特征數(shù)據(jù)的機(jī)密性和完整性；e) 宜結(jié)合可信環(huán)境實(shí)現(xiàn)生物特征識(shí)別。5.1.7 手機(jī)號(hào)認(rèn)證SIM別等技術(shù)實(shí)現(xiàn)的一種移動(dòng)互聯(lián)網(wǎng)身份認(rèn)證方法，具體要求如下：a) 應(yīng)保障用戶實(shí)名手機(jī)號(hào)并完成相關(guān)注冊(cè)或登記；b) 驗(yàn)證時(shí)應(yīng)有移動(dòng)數(shù)據(jù)網(wǎng)絡(luò)信號(hào)覆蓋；c) 戶端的注冊(cè)、登錄等場(chǎng)景；d)一致的結(jié)果；e) 宜具備相關(guān)機(jī)制保障手機(jī)終端為手機(jī)號(hào)所有者所有并使用。5.2 身份鑒別安全要求注冊(cè)用戶，在通過(guò)身份鑒別后造成危害。表1列出了身份鑒別過(guò)程中常見(jiàn)的安全威脅以及相應(yīng)的防范措施。表

1

身份鑒別過(guò)程中常見(jiàn)的安全威脅以及相應(yīng)的防范措施要求防范目標(biāo)與措施注冊(cè)用戶被引誘與一個(gè)并被其欺騙泄露了所持可假扮成注冊(cè)用戶與真一個(gè)注冊(cè)用戶收到了一封郵件并被引導(dǎo)到了一個(gè)假冒的網(wǎng)上銀行，在該假冒網(wǎng)上銀行上登錄時(shí)泄露了其用戶名和密碼冊(cè)用戶進(jìn)行攻擊。基于密碼學(xué)原理的安全鑒權(quán)機(jī)注冊(cè)用戶在嘗試連接一DNS表的方式引導(dǎo)到攻擊者的網(wǎng)上銀行

冊(cè)用戶在登錄一個(gè)合法網(wǎng)上銀行時(shí)被引到了一個(gè)假冒網(wǎng)上銀行，在該假冒網(wǎng)上銀行上登錄時(shí)泄露了其攻擊者通過(guò)監(jiān)聽(tīng)認(rèn)證協(xié)后續(xù)假扮注冊(cè)用戶的信傳輸過(guò)程中的用戶密碼或者密碼哈希值分析出能夠讓攻擊者假扮成注

攻擊者通過(guò)重復(fù)使用此前獲取的報(bào)文信息來(lái)假扮注冊(cè)用戶到驗(yàn)證方進(jìn)攻擊者在此前的一個(gè)實(shí)際驗(yàn)證會(huì)話中獲取了注冊(cè)用戶的口令或者口令哈希值，并在后續(xù)使用該信息嘗試再到驗(yàn)證方進(jìn)行驗(yàn)證并重放此前的成功驗(yàn)證協(xié)議報(bào)文，來(lái)通過(guò)后續(xù)的身份認(rèn)證過(guò)機(jī)數(shù)或者挑戰(zhàn)值攻擊者將其自身嵌入到注冊(cè)用戶與驗(yàn)證方的通之面對(duì)驗(yàn)證方可模仿成攻擊者通過(guò)竊聽(tīng)手段拿到HTTP值，并非法使用該驗(yàn)證值都生成單獨(dú)的會(huì)話密鑰用于會(huì)T/NIFA

T/NIFA

28—2023攻擊示例防范目標(biāo)與措施攻擊者將其自身放置在注冊(cè)用戶與驗(yàn)證方之間，獲取并修改通訊報(bào)文中會(huì)同時(shí)面向注冊(cè)用戶模仿成驗(yàn)證方和面向驗(yàn)證方模仿成注冊(cè)用戶攻擊者通過(guò)侵入路由表轉(zhuǎn)的報(bào)文。轉(zhuǎn)發(fā)報(bào)文時(shí)，攻擊者使用自己的公鑰代替驗(yàn)證方的公鑰，注冊(cè)用戶被其欺騙后，攻擊者就可弱級(jí)別中間人攻擊的防范目標(biāo)：應(yīng)提供措施供注冊(cè)用戶判斷其注冊(cè)用戶的驗(yàn)證值用于假扮注冊(cè)用戶并能通過(guò)驗(yàn)證方驗(yàn)證；強(qiáng)級(jí)別中間人攻擊的防范目標(biāo)：應(yīng)能完全避免注冊(cè)用戶向攻擊者泄露可以供攻擊者用于假扮能夠利用該信息假扮注冊(cè)用戶通過(guò)驗(yàn)證方驗(yàn)證；

CA

T/NIFA

—2023T/NIFA

—20236.1抗抵賴機(jī)制應(yīng)用系統(tǒng)中如涉及資金轉(zhuǎn)移、開(kāi)戶類的交易，交易提交方應(yīng)采用以下任一種方式：a) 無(wú)法否認(rèn)交易；b) 交易接收方應(yīng)能夠?qū){證/存折打印簽名等方式作為交易的接收證據(jù)；c) 交易提交方采用數(shù)字簽名技術(shù)對(duì)交易數(shù)據(jù)進(jìn)行數(shù)字簽名：1) 客戶或第三方用私鑰簽名，并將簽名后數(shù)據(jù)、簽名證書(shū)發(fā)送給接收方；2)系統(tǒng)接收方使用發(fā)送方公鑰驗(yàn)證簽名數(shù)據(jù)，并保留簽名數(shù)據(jù)以便用于審計(jì)；3) 6.2 重放檢測(cè)機(jī)制定次數(shù)時(shí)，應(yīng)斷開(kāi)該用戶的連接并記錄日志。對(duì)于直接或間接涉及資金變化的交易，至少應(yīng)選用方式c至方式e中的某一種，以防范重復(fù)交易。a) 客戶端界面控制：客戶端提交交易后采取按鈕灰顯、遮罩等措施防止客戶重復(fù)提交；T/NIFA

28—2023b) 性；c)或與列表匹配檢測(cè)重放，可防止交易重復(fù)提交；d)息的有效性，再驗(yàn)證簽名的合法性，防止交易重復(fù)提交；e) 統(tǒng)中增加防止重放檢測(cè)機(jī)制，動(dòng)態(tài)密碼認(rèn)證一次有效，認(rèn)證后動(dòng)態(tài)密碼應(yīng)失效。6.3 防撞庫(kù)及惡意查詢息的一致性（例如是否已注冊(cè)、用戶名/密碼是否匹配、姓名/證件號(hào)/卡號(hào)是否匹配）等情況下，應(yīng)具有防范撞庫(kù)攻擊、惡意查詢的措施，具體要求如下：a)圖形驗(yàn)證碼技術(shù)及要求：1)母組成。當(dāng)驗(yàn)證失敗超過(guò)一定次數(shù)時(shí)，可采用漢字驗(yàn)證碼等方式增加自動(dòng)識(shí)別的難度；2)式，防范驗(yàn)證碼被攻擊程序自動(dòng)識(shí)別；3)具有使用時(shí)間限制并僅能使用一次。b) 其他驗(yàn)證碼技術(shù)：1) 滑塊驗(yàn)證碼；2) 動(dòng)態(tài)語(yǔ)義驗(yàn)證；3) 不同的驗(yàn)證方式。c)限制終端交易頻率：限制一定時(shí)間內(nèi)的交易執(zhí)行次數(shù)?？紤]到不同終端可能存在相同的內(nèi)網(wǎng)IP

IP

ID

可由不同的硬件信息或軟件信息組合而成，不宜單獨(dú)以

為維度進(jìn)行限制；d) 設(shè)置為不可信狀態(tài)；e) 動(dòng)態(tài)驗(yàn)證碼：限定使用動(dòng)態(tài)驗(yàn)證碼才能執(zhí)行交易，如手機(jī)短信驗(yàn)證碼、電子密碼器驗(yàn)證碼；f)數(shù)字簽名技術(shù)：限定使用數(shù)字簽名技術(shù)才能執(zhí)行交易，如

U

一種方式；對(duì)于用戶名及靜態(tài)密碼登錄后可直接執(zhí)行資金變動(dòng)交易的應(yīng)用系統(tǒng)，至少應(yīng)采用方式c式e中的一種。6.4 交易合法性檢查交易合法性檢查及漏洞防范的要求如下：a) 易的檢索要素、業(yè)務(wù)/技術(shù)標(biāo)識(shí)等；b) 等）、用戶權(quán)限合法性等技術(shù)及業(yè)務(wù)類規(guī)則；T/NIFA

—2023c)

SQL

擊；d)對(duì)于解析

XML

XML

體引用攻擊（）；如果不能禁用，則應(yīng)對(duì)

報(bào)文中的外部實(shí)體引用內(nèi)容進(jìn)行數(shù)據(jù)合法性檢查；e)越權(quán)；f) 合法性檢查：1) 上傳文件應(yīng)保存在

賬戶訪問(wèn)；2) 上傳必要的文件類型，禁止上傳可執(zhí)行文件及腳本；3) 應(yīng)對(duì)用戶提交的文件名進(jìn)行檢查，禁止包含非法字符，上傳后應(yīng)修改文件名；4) 上傳文件大小應(yīng)有最大值限制；5) 接收文件的服務(wù)器宜部署殺毒軟件對(duì)文件內(nèi)容進(jìn)行掃描。6.5交易漏洞防范交易漏洞防范的要求如下：a) 對(duì)于通過(guò)互聯(lián)網(wǎng)及專線對(duì)外服務(wù)的

應(yīng)用系統(tǒng)，應(yīng)對(duì)用戶提交參數(shù)進(jìn)行檢測(cè)，過(guò)濾存在危害的字符，防范跨站腳本攻擊（Cross-site

，XSS）；b) 對(duì)于通過(guò)互聯(lián)網(wǎng)及專線對(duì)外服務(wù)的

/協(xié)議調(diào)整的交攻擊（CSRF）偽造交易報(bào)文，在客戶不知情的情況下完成惡意交易；c) BS

應(yīng)用系統(tǒng)如使用

cookie

且

cookie

中包含登錄后的會(huì)話標(biāo)識(shí)，應(yīng)設(shè)置

的

HTTP

only屬性，對(duì)于采用

HTTPS

連接的，應(yīng)設(shè)置

的

secure

屬性；d) BS

應(yīng)用系統(tǒng)中服務(wù)端如涉及調(diào)用其他服務(wù)端

資源且該

URL

地址可被前端查看，應(yīng)采用服務(wù)器端拼接跳轉(zhuǎn)地址或別名映射等安全方式防范

IP、端口和路徑直接在

中顯示，避免服務(wù)端信息暴露而被利用。7 數(shù)據(jù)安全性7.1 傳輸數(shù)據(jù)的機(jī)密性保護(hù)應(yīng)用系統(tǒng)數(shù)據(jù)傳輸時(shí)，采取以下方式保證通信數(shù)據(jù)傳輸?shù)臋C(jī)密性：a) 片有效期、銀行卡密碼、網(wǎng)絡(luò)支付交易密碼等支付敏感信息進(jìn)行機(jī)密性保護(hù)；b) 支付敏感信息進(jìn)行機(jī)密性保護(hù)；10T/NIFA

28—2023c) 銀行卡密碼、網(wǎng)絡(luò)支付交易密碼等支付敏感信息以及個(gè)人身份信息進(jìn)行機(jī)密性保護(hù)；d)

HTTPS

碼、網(wǎng)絡(luò)支付交易密碼等支付敏感信息以及個(gè)人金融信息進(jìn)行機(jī)密性保護(hù)；e) 應(yīng)用系統(tǒng)數(shù)據(jù)傳輸時(shí)，采用的對(duì)稱密碼算法中的對(duì)稱密鑰、非對(duì)稱密碼算法中的非對(duì)稱密鑰，生成后的對(duì)稱密鑰、非對(duì)稱密鑰的傳輸。7.2 傳輸數(shù)據(jù)的完整性保護(hù)應(yīng)用系統(tǒng)數(shù)據(jù)傳輸時(shí)，采取以下方式保證敏感信息的完整性：a) 通過(guò)驗(yàn)證通信數(shù)據(jù)中各字段是否符合報(bào)文格式要求，檢查其完整性是否遭到破壞；b) 應(yīng)通過(guò)業(yè)務(wù)規(guī)則來(lái)檢查數(shù)據(jù)完整性是否遭到破壞，內(nèi)容包括但不限于：1) 統(tǒng)計(jì)交易記錄總數(shù)，并將記錄總數(shù)附在傳輸數(shù)據(jù)后，接收方做驗(yàn)證；2) 統(tǒng)計(jì)文件總數(shù)，并將文件總數(shù)附在傳輸數(shù)據(jù)后，接收方做驗(yàn)證。c) 否遭到破壞；d)應(yīng)在客戶端和服務(wù)器端進(jìn)行數(shù)據(jù)完整性校驗(yàn)，防止數(shù)據(jù)包被替換、字段被篡改。7.3 存儲(chǔ)數(shù)據(jù)的機(jī)密性保護(hù)存儲(chǔ)數(shù)據(jù)機(jī)密性保護(hù)的要求如下：a) 何用戶或授權(quán)用戶以任何未經(jīng)授權(quán)的方式訪問(wèn)；b) 中間環(huán)節(jié)應(yīng)用系統(tǒng)的服務(wù)器和終端設(shè)備中不應(yīng)存放本行和合作單位的客戶鑒別信息（如密碼、PIN、磁道信息、CVV、、CVN、CVN2

等）；c)應(yīng)對(duì)系統(tǒng)中的各類密碼、密鑰加密存放；d)進(jìn)行加密和授權(quán)；e) 密鑰的生成、存放、銷毀宜在加密機(jī)中進(jìn)行。7.4 存儲(chǔ)數(shù)據(jù)的完整性保護(hù)存儲(chǔ)數(shù)據(jù)完整性保護(hù)的要求如下：a)層字段校驗(yàn)和加密等措施有效應(yīng)對(duì)

注入、拖庫(kù)、DBA

篡改數(shù)據(jù)等攻擊；b) 可根據(jù)重要數(shù)據(jù)的業(yè)務(wù)關(guān)系，檢查其完整性是否遭到破壞，如賬務(wù)的總分核對(duì)等；c) 時(shí)也應(yīng)進(jìn)行核對(duì)，以檢查其完整性是否遭到破壞。7.5 頁(yè)面展示信息的保護(hù)頁(yè)面展示信息的要求如下：11T/NIFA

—2023a) 求采取相應(yīng)的系統(tǒng)保護(hù)。對(duì)于新增/修改的交易，如果業(yè)務(wù)部門未提出特殊需求，應(yīng)實(shí)施頁(yè)面信息保護(hù)需求，包括禁止頁(yè)面保存、禁止頁(yè)面復(fù)制、禁止頁(yè)面打印、禁止右鍵菜單等；b) 的內(nèi)容等方式對(duì)數(shù)據(jù)進(jìn)行標(biāo)記，防止信息泄露，支持文件溯源；c) 竊聽(tīng)、防截屏、防錄屏等安全防護(hù)措施，保證無(wú)法獲取支付敏感信息明文；d) 對(duì)于頁(yè)面上相關(guān)敏感信息的脫敏展示，脫敏應(yīng)在服務(wù)端實(shí)現(xiàn)。7.6 與第三方合作時(shí)金融信息的保護(hù)在與第三方機(jī)構(gòu)合作過(guò)程中，對(duì)金融信息的保護(hù)要求如下：a) 可參照

0185—2020，采用標(biāo)準(zhǔn)的應(yīng)用程序接口（API）與第三方合作機(jī)構(gòu)進(jìn)行業(yè)務(wù)交互；b) 以下要求：1) 銀行授權(quán)的檢測(cè)認(rèn)證機(jī)構(gòu)的認(rèn)證，或者符合當(dāng)?shù)乇O(jiān)管、行業(yè)規(guī)范相關(guān)要求；2) 客戶銀行卡

PIN、

等客戶鑒別信息在第三方合作機(jī)構(gòu)系統(tǒng)內(nèi)的保護(hù)應(yīng)符合當(dāng)?shù)乇O(jiān)管、行業(yè)規(guī)范的相關(guān)要求；3)

PINCVV、CVN

等客戶鑒別信息的明

加密設(shè)備。c) 不應(yīng)在第三方合作機(jī)構(gòu)頁(yè)面輸入客戶的銀行卡

PIN規(guī)范有明確要求的除外），避免因第三方合作機(jī)構(gòu)原因?qū)е驴蛻裘艽a泄漏；d) 務(wù)應(yīng)由物理網(wǎng)點(diǎn)、電子渠道或其他有效方式直接驗(yàn)證客戶身份。8 客戶個(gè)人信息保護(hù)8.1客戶個(gè)人信息的屏蔽保護(hù)客戶個(gè)人信息屏蔽應(yīng)滿足JR/T

0092—2019中本原則：a) 對(duì)于提供給客戶的電子/紙質(zhì)對(duì)賬單、交易憑證和手機(jī)短信，如果需求部門未提出特殊需求，應(yīng)對(duì)客戶姓名、地址、證件號(hào)碼、聯(lián)系電話、賬號(hào)等客戶信息屏蔽關(guān)鍵字段后顯示；b) 務(wù)部門、合作單位或監(jiān)管機(jī)構(gòu)未提出特殊需求，應(yīng)對(duì)客戶姓名、地址、證件號(hào)碼、聯(lián)系電話、賬號(hào)等客戶信息屏蔽關(guān)鍵字段后再提供；c) 對(duì)于行內(nèi)用戶或客戶操作的應(yīng)用系統(tǒng)，如果業(yè)務(wù)部門未提出特殊需求，應(yīng)對(duì)客戶姓名、地址、證件號(hào)碼、聯(lián)系電話、賬號(hào)等客戶信息在后臺(tái)服務(wù)器屏蔽關(guān)鍵字段后再傳輸?shù)角岸孙@示；d) 證碼、交易密碼、人臉識(shí)別等）后，方可向客戶展示個(gè)人信息。12T/NIFA

28—20238.2 客戶個(gè)人信息的訪問(wèn)控制客戶個(gè)人信息訪問(wèn)控制的要求如下：a) 保護(hù)和數(shù)據(jù)安全有關(guān)措施，如進(jìn)行個(gè)人信息保護(hù)相關(guān)安全需求評(píng)審、保護(hù)手段健壯性評(píng)估；b) 行授權(quán)，并對(duì)授權(quán)情況進(jìn)行記錄；c) 對(duì)個(gè)人信息的重要操作應(yīng)設(shè)置內(nèi)部審批流程，如進(jìn)行批量修改、拷貝、下載等；d) 對(duì)安全管理人員、數(shù)據(jù)操作人員、審計(jì)人員的角色進(jìn)行分離設(shè)置。8.3 客戶個(gè)人信息的使用限制客戶個(gè)人信息使用應(yīng)滿足以下要求：a) 保護(hù)措施，并且應(yīng)在獲取客戶授權(quán)時(shí)進(jìn)行說(shuō)明，或單獨(dú)申請(qǐng)授權(quán)；b) 開(kāi)發(fā)、測(cè)試等環(huán)節(jié)不應(yīng)使用能夠識(shí)別自然人身份的個(gè)人信息。9 移動(dòng)金融客戶端安全9.1 客戶端程序安全保護(hù)客戶端程序安全保護(hù)的要求如下：a) 應(yīng)采取有效措施防范逆向分析，保護(hù)靜態(tài)程序安全。包括但不限于以下措施：1) 客戶端應(yīng)進(jìn)行代碼混淆，對(duì)于無(wú)法混淆的類、變量名稱不宜采用簡(jiǎn)單易懂的方式命名；2) 敏感邏輯應(yīng)采用

Native

代碼實(shí)現(xiàn)，如果第三方

中涉及敏感邏輯，應(yīng)對(duì)其進(jìn)行單獨(dú)加固保護(hù)；3) 敏感數(shù)據(jù)應(yīng)采用變形、加密、分散存儲(chǔ)等方式保存，防止信息泄露或拷貝使用；4) 移動(dòng)金融客戶端在打包前應(yīng)去除調(diào)試代碼，且不應(yīng)在注釋代碼中出現(xiàn)敏感邏輯和信息；5) 客戶端可使用加固、沙盒等安全防護(hù)產(chǎn)品，實(shí)現(xiàn)程序邏輯機(jī)密性及完整性保護(hù)、反調(diào)試、反注入等安全功能。b) 以下措施：1) Root/提示用戶退出或結(jié)合業(yè)務(wù)風(fēng)險(xiǎn)承受能力進(jìn)行處置；2) 積累和證據(jù)；3)列表，監(jiān)測(cè)并處置當(dāng)前進(jìn)程的異常注入行為。c)止進(jìn)程：1)iOS

客戶端宜判斷客戶端是否被調(diào)試運(yùn)行，相關(guān)檢查可通過(guò)異步方式進(jìn)行；13T/NIFA

—20232) Android

客戶端宜限制程序調(diào)試。同時(shí)，檢查調(diào)試器是否已經(jīng)連接。d)編譯程序時(shí)，應(yīng)打開(kāi)安全相關(guān)的編譯選項(xiàng)。9.2 數(shù)據(jù)安全保護(hù)數(shù)據(jù)安全保護(hù)的要求如下：a) 輸入時(shí)數(shù)據(jù)保護(hù)應(yīng)滿足以下要求：1)移動(dòng)客戶端應(yīng)能對(duì)客戶輸入的支付敏感信息進(jìn)行即時(shí)防護(hù)，如在內(nèi)存中加密等；2)移動(dòng)客戶端應(yīng)通過(guò)有效手段防范截屏、錄屏、鍵盤劫持、按鍵記錄。b) 運(yùn)行時(shí)數(shù)據(jù)保護(hù)應(yīng)滿足以下要求：1) 移動(dòng)金融客戶端應(yīng)使用有效手段驗(yàn)證服務(wù)器的真實(shí)性。對(duì)于通過(guò)

HTTPS

協(xié)議連接的站點(diǎn)，移動(dòng)金融客戶端應(yīng)驗(yàn)證服務(wù)器站點(diǎn)證書(shū)的真實(shí)性；2)

層單獨(dú)加密；3) 行加密傳輸；4)應(yīng)通過(guò)字段加密或報(bào)文加密方式進(jìn)行保護(hù)；5) 證其完整性。c)存儲(chǔ)數(shù)據(jù)保護(hù)應(yīng)滿足以下要求：1) 移動(dòng)客戶端程序存儲(chǔ)數(shù)據(jù)應(yīng)與其他程序數(shù)據(jù)隔離存儲(chǔ)；2）

敏感數(shù)據(jù)不應(yīng)在客戶端明文存儲(chǔ)；3）

客戶端數(shù)據(jù)應(yīng)存放在私有數(shù)據(jù)存儲(chǔ)區(qū)；4）

臨時(shí)存放的數(shù)據(jù)宜在使用后及時(shí)清除。9.3 其他安全要求移動(dòng)金融客戶端的安全要求如下：a) 移動(dòng)金融客戶端應(yīng)通過(guò)應(yīng)用審核和操作系統(tǒng)架構(gòu)保證客戶端及數(shù)據(jù)的真實(shí)完整性；b) 真實(shí)完整性，包括但不限于以下措施：1) 移動(dòng)金融客戶端在啟動(dòng)和更新時(shí)應(yīng)檢查客戶端簽名；2) 移動(dòng)金融客戶端宜在下載其他客戶端后檢查客戶端簽名；3) 限控制防止交互接口被非法調(diào)用。c)權(quán)限控制應(yīng)滿足以下要求：1) 移動(dòng)金融客戶端的權(quán)限應(yīng)符合最小化原則；2) 自定義權(quán)限、設(shè)置調(diào)用方白名單等方法完成；3)移動(dòng)金融客戶端內(nèi)部使用的類、變量及接口應(yīng)私有化，防止外部非法調(diào)用；4) 身份定義及綁定策略，防范賬號(hào)冒用風(fēng)險(xiǎn)。d) 高風(fēng)險(xiǎn)方法調(diào)用應(yīng)滿足以下要求：14T/NIFA

28—20231) Android

移動(dòng)金融客戶端應(yīng)避免在

5

以下系統(tǒng)版本通過(guò)危險(xiǎn)的方法與未經(jīng)驗(yàn)證的站點(diǎn)頁(yè)面進(jìn)行交互；2) Android

移動(dòng)金融客戶端，應(yīng)規(guī)避通用型拒絕服務(wù)漏洞；3) iOS

客戶端應(yīng)防止

跳轉(zhuǎn)劫持風(fēng)險(xiǎn)。e)配置及提示應(yīng)滿足以下要求：1) 移動(dòng)金融客戶端應(yīng)默認(rèn)關(guān)閉有風(fēng)險(xiǎn)的功能選項(xiàng)，在提示客戶后由客戶選擇開(kāi)啟；2) 風(fēng)險(xiǎn)。10 邏輯安全測(cè)評(píng)10.1 身份鑒別測(cè)評(píng)10.1.1 用戶認(rèn)證測(cè)試 手勢(shì)密碼測(cè)試手勢(shì)密碼測(cè)試的要求如下：a) 手勢(shì)密碼應(yīng)加密存儲(chǔ)在服務(wù)器端，傳輸過(guò)程中應(yīng)進(jìn)行端到端加密；b) 繞過(guò)；c) 手勢(shì)密碼錯(cuò)誤次數(shù)應(yīng)有限制；d) 手勢(shì)密碼強(qiáng)度應(yīng)有要求，手勢(shì)密碼的鍵盤至少為

矩陣，手勢(shì)密碼至少為連續(xù)不間斷的

4個(gè)點(diǎn)；e)手勢(shì)密碼應(yīng)具有防重放機(jī)制；f) 手勢(shì)密碼在新設(shè)備首次啟用時(shí)應(yīng)對(duì)客戶身份進(jìn)行雙因素認(rèn)證。 指紋認(rèn)證測(cè)試本地指紋認(rèn)證過(guò)程中非業(yè)務(wù)必須組件應(yīng)設(shè)置為非導(dǎo)出，防止指紋認(rèn)證被繞過(guò)。 人臉識(shí)別測(cè)試.1人臉識(shí)別測(cè)試概述攻擊。.2 人臉識(shí)別測(cè)試方法人臉識(shí)別測(cè)試的要求如下：a) 如果人臉信息存儲(chǔ)于本地，應(yīng)采用

FIDO

等協(xié)議與服務(wù)端進(jìn)行聯(lián)合認(rèn)證；b) 照片、PS

照片、3D

建模圖形進(jìn)行測(cè)試；c)人臉識(shí)別應(yīng)當(dāng)進(jìn)行連續(xù)性檢測(cè)，驗(yàn)證人臉運(yùn)動(dòng)軌跡是否正常；d) 人臉識(shí)別應(yīng)當(dāng)進(jìn)行

檢測(cè)，驗(yàn)證是否為立體人像；e) 人臉識(shí)別在

App

的交易中不能作為唯一認(rèn)證手段；f)人臉識(shí)別功能應(yīng)為系統(tǒng)實(shí)現(xiàn)（如

Face

ID）或是組件方式實(shí)現(xiàn)。15T/NIFA

—2023g) 人臉識(shí)別錯(cuò)誤次數(shù)應(yīng)有限制。 設(shè)備綁定測(cè)試被竊取而受到損失。a) 進(jìn)行認(rèn)證；b) 用戶重要操作應(yīng)判斷

IP

地址、Mac

地址、設(shè)備唯一標(biāo)識(shí)是否發(fā)生變化，如果發(fā)生變化宜再次對(duì)用戶進(jìn)行身份認(rèn)證；c) 應(yīng)防止

被

Hook，如在圖像采集、活體識(shí)別、業(yè)務(wù)邏輯、加密解密環(huán)節(jié)被劫持、替換或者破壞，防止繞過(guò)人臉識(shí)別機(jī)制；d) 應(yīng)防止

App

通過(guò)代理的方式被捕獲業(yè)務(wù)請(qǐng)求數(shù)據(jù)，以防止非法替換其中的圖像或視頻數(shù)據(jù)；e)

的方式進(jìn)行的攻擊；f) 應(yīng)檢測(cè)

App

的活體識(shí)別功能是否進(jìn)行了隨機(jī)動(dòng)作序列檢測(cè)；g) 應(yīng)檢測(cè)

App

的活體識(shí)別功能是否使用隨機(jī)三色認(rèn)證；h) 應(yīng)檢測(cè)

App

是否通過(guò)音頻錄入輔助的方式阻止視頻預(yù)錄制。10.1.2用戶注冊(cè)測(cè)試 權(quán)限管理類風(fēng)險(xiǎn)測(cè)試.1 權(quán)限管理類風(fēng)險(xiǎn)測(cè)試概述權(quán)限管理類風(fēng)險(xiǎn)測(cè)試內(nèi)容如下：a) 通過(guò)抓包修改請(qǐng)求中用戶

ID、

等權(quán)限設(shè)置字段，若注冊(cè)成為管理員，則存在漏洞；b) 通過(guò)抓包修改請(qǐng)求中的用戶昵稱、ID、手機(jī)號(hào)等內(nèi)容，若覆蓋系統(tǒng)已有用戶，則存在漏洞；c) 請(qǐng)求中不應(yīng)存在用戶

ID、groupid

等權(quán)限設(shè)置字段。若存在風(fēng)險(xiǎn)，宜進(jìn)行風(fēng)險(xiǎn)提示。.2 權(quán)限管理類風(fēng)險(xiǎn)測(cè)試示例

：a) 配置工具對(duì)注冊(cè)請(qǐng)求進(jìn)行攔截；b) 進(jìn)入注冊(cè)頁(yè)面，填寫注冊(cè)信息并提交；c) 將請(qǐng)求中參數(shù)

operator

的值，修改為

userB，再發(fā)送；d) 觀察服務(wù)器處理結(jié)果，預(yù)期是返回操作失??；e) 如果參數(shù)是基于

GET

方式的

URL

傳遞，則不需要通過(guò)工具，直接在

URL

中進(jìn)行修改提交即可。 批量注冊(cè)類風(fēng)險(xiǎn)測(cè)試批量注冊(cè)類風(fēng)險(xiǎn)測(cè)試內(nèi)容如下：a) 在注冊(cè)時(shí)，應(yīng)具有驗(yàn)證碼或手機(jī)號(hào)校驗(yàn)等防止批量注冊(cè)的手段；b) 對(duì)于手機(jī)號(hào)可作為唯一用戶標(biāo)識(shí)的應(yīng)用，同一手機(jī)號(hào)不可注冊(cè)多個(gè)用戶；c) 冊(cè)用戶；d) 通過(guò)抓包工具的代理模塊截?cái)嗔鞒讨械纳蟼鲌?bào)文或響應(yīng)報(bào)文，篡改報(bào)文中控制流程分支的字段，或直接構(gòu)造業(yè)務(wù)最終執(zhí)行的報(bào)文，提交報(bào)文并驗(yàn)證業(yè)務(wù)流程。16T/NIFA

28—2023 密碼強(qiáng)度測(cè)試密碼強(qiáng)度測(cè)試的要求如下：a) 純數(shù)字密碼不應(yīng)使用簡(jiǎn)單密碼，如：111111、、654321；b) 要求用戶設(shè)置口令長(zhǎng)度不低于

8

位；c) 口令復(fù)雜度至少為大寫字母、小寫字母、數(shù)字和特殊字符四者中兩者的組合；d) 口令中不宜包含用戶

ID

或用戶名等；e) 程序應(yīng)對(duì)比新鍵入口令與歷史口令記錄，新口令不應(yīng)與近期歷史口令相同；f) 要求使用默認(rèn)口令，包括自動(dòng)分配用戶名、口令的信息系統(tǒng)，首次登錄強(qiáng)制修改口令；g) 系統(tǒng)宜提示用戶定期修改口令，并到期提醒。 密碼明文傳輸測(cè)試及要求密碼明文傳輸測(cè)試的要求如下：a) 口令、密碼關(guān)鍵字段應(yīng)加密；b) 密碼傳輸應(yīng)使用標(biāo)準(zhǔn)的安全協(xié)議進(jìn)行通信，例如：HTTPS，WS-Security

等協(xié)議；c) 前端加密腳本應(yīng)做混淆處理；d) 對(duì)于使用瀏覽器作為前端的應(yīng)用，應(yīng)使用加密控件進(jìn)行加密處理；e) 對(duì)于使用微信客戶端作為前端的應(yīng)用，應(yīng)使用前端軟加密；f) 密碼應(yīng)加密存儲(chǔ)，不可明文存儲(chǔ)。 用戶名枚舉測(cè)試用戶名枚舉測(cè)試的要求如下：a) 對(duì)于用戶名應(yīng)有接口頻率控制；b) 在鍵入賬戶名或其他用戶憑證時(shí)，鍵入有效憑證和無(wú)效憑證返回的信息長(zhǎng)度應(yīng)一致；c) 在注冊(cè)時(shí)，應(yīng)增加驗(yàn)證碼等方式避免批量探測(cè)。10.1.3 用戶信息保護(hù)測(cè)試測(cè)試等方法進(jìn)行解決。掩碼設(shè)置測(cè)試應(yīng)滿足以下要求：a) 對(duì)客系統(tǒng)在用戶口令及密碼輸入時(shí)，屏幕顯示信息應(yīng)對(duì)用戶口令及密碼進(jìn)行掩碼處理；b) 網(wǎng)上銀行對(duì)用戶隱私數(shù)據(jù)進(jìn)行保護(hù)時(shí)，數(shù)據(jù)庫(kù)存儲(chǔ)應(yīng)采用加密存儲(chǔ)；c) 網(wǎng)上銀行對(duì)用戶隱私數(shù)據(jù)進(jìn)行保護(hù)時(shí)，數(shù)據(jù)解密后應(yīng)進(jìn)行掩碼處理；d) 對(duì)于使用移動(dòng)金融客戶端作為前端的應(yīng)用，應(yīng)該使用安全密碼鍵盤。10.1.4 短信、語(yǔ)音、郵件驗(yàn)證碼攻擊等問(wèn)題。驗(yàn)證設(shè)備篡改測(cè)試概述.1 驗(yàn)證設(shè)備篡改測(cè)試驗(yàn)證碼校驗(yàn)應(yīng)當(dāng)對(duì)接收該驗(yàn)證碼的手機(jī)號(hào)、郵箱等認(rèn)證設(shè)備與用戶Session進(jìn)行綁定?？蓞⒖家韵虏僮鬟M(jìn)行測(cè)試：17T/NIFA

—2023a)

配置工具對(duì)請(qǐng)求進(jìn)行攔截；b)

點(diǎn)擊發(fā)送驗(yàn)證碼；c)

通過(guò)分析數(shù)據(jù)包發(fā)現(xiàn)，請(qǐng)求中帶有手機(jī)號(hào)字段；d)

將手機(jī)號(hào)字段修改為另一個(gè)手機(jī)號(hào)并發(fā)送；e)

查看另一個(gè)手機(jī)是否接收到短信驗(yàn)證碼，若成功獲取驗(yàn)證碼，則存在漏洞。 驗(yàn)證碼鎖定機(jī)制測(cè)試驗(yàn)證碼鎖定機(jī)制測(cè)試應(yīng)滿足以下要求：a) 驗(yàn)證碼應(yīng)設(shè)定最大錯(cuò)誤次數(shù)閾值；b) 重新發(fā)送驗(yàn)證碼后最大驗(yàn)證錯(cuò)誤次數(shù)閾值不可重置；c) 短信驗(yàn)證碼接口應(yīng)限制錯(cuò)誤次數(shù)。 驗(yàn)證碼繞過(guò)測(cè)試概述.1 驗(yàn)證碼繞過(guò)測(cè)試應(yīng)用程序應(yīng)基于動(dòng)態(tài)的參數(shù)值來(lái)判斷驗(yàn)證碼是否認(rèn)證成功?？蓞⒖家韵虏僮鬟M(jìn)行測(cè)試：a) 配置工具對(duì)請(qǐng)求進(jìn)行攔截；b) 點(diǎn)擊發(fā)送驗(yàn)證碼，并隨意填寫一個(gè)驗(yàn)證碼并提交；c) 通過(guò)分析數(shù)據(jù)包發(fā)現(xiàn)，請(qǐng)求中帶有

res_code

參數(shù)，且此時(shí)

res_code=1；d) 將

res_code

的值改為

0

并發(fā)送；e) 若成功通過(guò)認(rèn)證，則存在漏洞。 驗(yàn)證碼測(cè)試要求驗(yàn)證碼失效測(cè)試應(yīng)滿足以下要求：a) 驗(yàn)證碼在認(rèn)證一次后，無(wú)論對(duì)錯(cuò)，應(yīng)立即失效；b)

驗(yàn)證碼應(yīng)具有時(shí)效性。 驗(yàn)證碼復(fù)雜度測(cè)試驗(yàn)證碼圖片復(fù)雜度不合理，常規(guī)簡(jiǎn)單暴破即可直接識(shí)別。 驗(yàn)證碼回顯測(cè)試銀行會(huì)將發(fā)出的短信驗(yàn)證碼回顯在網(wǎng)上銀行JS虛設(shè)。10.2賬戶管理測(cè)試10.2.1 密碼修改 驗(yàn)證舊密碼測(cè)試要求驗(yàn)證舊密碼測(cè)試的要求如下：a) 對(duì)于提供重置密碼和找回密碼功能的互聯(lián)網(wǎng)系統(tǒng)，應(yīng)在用戶找回密碼或者重置密碼時(shí)通過(guò)短信、郵件、密碼提示問(wèn)題等方式驗(yàn)證操作方是否為用戶本人；18T/NIFA

28—2023b) 站請(qǐng)求偽造（CSRF

攻擊）或釣魚(yú)攻擊等方法誘導(dǎo)用戶在不知情的情況下更改自己的密碼；c) 戶原始密碼的風(fēng)險(xiǎn)；d) e)驗(yàn)證原始密碼時(shí)，應(yīng)增加圖形驗(yàn)證碼。 身份信息維護(hù)方式測(cè)試概述.1 身份信息維護(hù)方式測(cè)試用戶修改密碼時(shí)，對(duì)于用戶的身份信息應(yīng)當(dāng)取自于Session，不可由用戶自己提交?？蓞⒖家韵虏僮鬟M(jìn)行測(cè)試：a) 配置工具對(duì)請(qǐng)求進(jìn)行攔截；b) 進(jìn)行修改密碼操作，查看請(qǐng)求報(bào)文；c) 檢查請(qǐng)求中是否攜帶了與用戶身份相關(guān)的數(shù)據(jù)。如果有，修改身份信息；d) 如果服務(wù)器端以修改后的身份進(jìn)行操作，則說(shuō)明存在漏洞，完成測(cè)試。10.2.2 用戶設(shè)置測(cè)試方法概述 身份信息維護(hù)方式測(cè)試當(dāng)獲取或修改用戶個(gè)人設(shè)置時(shí)，應(yīng)當(dāng)校驗(yàn)用戶，請(qǐng)求中用戶身份信息不可修改?？蓞⒖家韵虏僮鬟M(jìn)行測(cè)試：a) 配置工具對(duì)請(qǐng)求進(jìn)行攔截；b) 進(jìn)行各類用戶設(shè)置，查看請(qǐng)求報(bào)文；c) 檢查請(qǐng)求中是否攜帶了與用戶身份相關(guān)的數(shù)據(jù)，如果有，則修改身份信息；d) 如果服務(wù)器端以修改后的身份進(jìn)行操作，則說(shuō)明存在漏洞，完成測(cè)試。 額度重置測(cè)試要求用戶在設(shè)置限額后，已使用額度被重置；快捷支付/小額免密功能的開(kāi)通和關(guān)閉應(yīng)當(dāng)進(jìn)行嚴(yán)格的用戶身份校驗(yàn)，若開(kāi)通或關(guān)閉不可以初始化用戶已使用的快捷支付額度。 金額篡改測(cè)試可參考以下操作進(jìn)行測(cè)試：a) 通過(guò)修改前端

或偽造請(qǐng)求等方式，將提交的金額修改為邏輯非法數(shù)據(jù)，例如負(fù)值、上溢下溢、非法類型等；b) 通過(guò)修改前端

或偽造請(qǐng)求等方式，提交不滿足精度要求的金額，未使用相同的取舍處理；c) 嘗試將金額修改為邏輯有效的數(shù)據(jù)。10.3 金融交易測(cè)試10.3.1 轉(zhuǎn)賬測(cè)試 金額篡改測(cè)試19T/NIFA

—202345.55645.55”，若使用四舍五入，取到的是“45.56”。若轉(zhuǎn)賬邏輯與實(shí)際支付邏輯不一致，則會(huì)存在用戶通過(guò)實(shí)際支付與到賬信息不一致進(jìn)行套利的風(fēng)險(xiǎn)。 身份認(rèn)證缺失測(cè)試可參考以下操作進(jìn)行測(cè)試：a) 資金轉(zhuǎn)賬時(shí)，若未使用短信或支付密碼等其他手段對(duì)身份進(jìn)行認(rèn)證；b) 若未對(duì)短信驗(yàn)證或支付密碼驗(yàn)證設(shè)置鎖定機(jī)制等防止暴力破解的手段；c) 能否通過(guò)抓包篡改驗(yàn)證碼手機(jī)號(hào)等手段，繞過(guò)身份驗(yàn)證。 重放攻擊測(cè)試要求用戶轉(zhuǎn)賬時(shí)，每次操作應(yīng)一次一驗(yàn)。校驗(yàn)值在驗(yàn)證一次后，無(wú)論對(duì)錯(cuò)，應(yīng)立即失效。10.3.2 支付測(cè)試 支付測(cè)試概述不嚴(yán)格、重放攻擊、工作流程逃逸、缺少訂單簽名等問(wèn)題。 金額篡改測(cè)試最大值進(jìn)行校驗(yàn)，避免用戶提交最大金額超過(guò)系統(tǒng)金額限制造成溢出。對(duì)于金額取舍應(yīng)當(dāng)保持一致。 幣種篡改測(cè)試對(duì)于允許外幣支付的場(chǎng)景，應(yīng)當(dāng)避免用戶自定義幣種，或用戶選擇幣種以后金額隨匯率發(fā)生改變。 支付狀態(tài)篡改測(cè)試情況。 余額校驗(yàn)測(cè)試.1 余額校驗(yàn)測(cè)試概述的數(shù)據(jù)，應(yīng)對(duì)余額進(jìn)行比對(duì)。10.3.3 在線風(fēng)險(xiǎn)評(píng)估用戶在風(fēng)險(xiǎn)評(píng)估時(shí)，可能存在評(píng)估流程逃逸、評(píng)估結(jié)果覆蓋等問(wèn)題。 工作流程逃逸測(cè)試品的等級(jí)。20T/NIFA

28—202311 系統(tǒng)運(yùn)營(yíng)安全管理11.1 配置管理配置管理要求包括：a) 和補(bǔ)丁信息、各個(gè)設(shè)備或軟件組件的配置參數(shù)等；b) 庫(kù)；c) 針對(duì)重要信息系統(tǒng)應(yīng)設(shè)置配置管理員崗位，必要時(shí)做到專人專崗。11.2 變更管理變更管理要求包括：a) 變更方案的測(cè)試、審批流程及實(shí)施策略，對(duì)有可能影響客戶利益的變更應(yīng)事先通知客戶；b) 應(yīng)明確變更需求，變更前根據(jù)變更需求制定變更方案，變更方案經(jīng)過(guò)評(píng)審、審批后方可實(shí)施；c) 應(yīng)建立變更的申報(bào)和審批控制程序，依據(jù)程序控制所有的變更，記錄變更實(shí)施過(guò)程；d) 程進(jìn)行演練；e) 變更前應(yīng)做好系統(tǒng)和數(shù)據(jù)的備份，風(fēng)險(xiǎn)較大的變更，應(yīng)在變更后對(duì)系統(tǒng)的運(yùn)行情況進(jìn)行跟蹤；f) 以確保生產(chǎn)系統(tǒng)的安全。11.3 風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)管理要求包括：a) 應(yīng)采取必要的措施識(shí)別安全風(fēng)險(xiǎn)，對(duì)發(fā)現(xiàn)的安全風(fēng)險(xiǎn)進(jìn)行評(píng)估，并及時(shí)修補(bǔ)；b)應(yīng)定期開(kāi)展安全測(cè)評(píng)，形成安全測(cè)評(píng)報(bào)告，并對(duì)發(fā)現(xiàn)的安全問(wèn)題采取應(yīng)對(duì)措施；c)應(yīng)定期進(jìn)行常規(guī)安全檢查，檢查內(nèi)容包括系統(tǒng)日常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備份情況等；d) 與安全策略的一致性、安全管理制度的執(zhí)行情況等；e)演練情況總結(jié)報(bào)告。11.4 備份與恢復(fù)管理備份與恢復(fù)管理要求包括：a) 應(yīng)規(guī)定備份信息的備份方式、備份頻度、存儲(chǔ)介質(zhì)、保存期等；b) 恢復(fù)程序等；c) 應(yīng)每季度對(duì)備份數(shù)據(jù)的有效性進(jìn)行檢查，備份數(shù)據(jù)要實(shí)行異地保存；d) 善保管；e) 21T/NIFA

—2023復(fù)策略；f) 新運(yùn)行操作指引、各系統(tǒng)災(zāi)難切換操作手冊(cè)；g) 應(yīng)定期開(kāi)展災(zāi)難恢復(fù)培訓(xùn)，并根據(jù)實(shí)際情況進(jìn)