T/NIFA 28-2023 网上银行服务 应用安全规范

ICS35.240.40

CCSA11

团体标准

T/NIFA28—2023

网上银行服务应用安全规范

Internetbankingservice—Specificationfor

applicationsecurity

2023-11-10发布2023-11-10实施

中国互联网金融协会发布

T/NIFA23—2023

目次

前言.................................................................................III

引言..................................................................................IV

1范围.................................................................................1

2规范性引用文件.......................................................................1

3术语与定义...........................................................................1

4缩略语...............................................................................2

5身份鉴别.............................................................................2

5.1身份鉴别技术要求.................................................................2

5.2身份鉴别安全要求.................................................................6

6交易安全性...........................................................................8

6.1抗抵赖机制.......................................................................8

6.2重放检测机制.....................................................................8

6.3防撞库及恶意查询.................................................................9

6.4交易合法性检查...................................................................9

6.5交易漏洞防范....................................................................10

7数据安全性..........................................................................10

7.1传输数据的机密性保护............................................................10

7.2传输数据的完整性保护............................................................11

7.3存储数据的机密性保护............................................................11

7.4存储数据的完整性保护............................................................11

7.5页面展示信息的保护..............................................................11

7.6与第三方合作时金融信息的保护....................................................12

8客户个人信息保护....................................................................12

8.1客户个人信息的屏蔽保护..........................................................12

8.2客户个人信息的访问控制..........................................................13

8.3客户个人信息的使用限制..........................................................13

9移动金融客户端安全..................................................................13

9.1客户端程序安全保护..............................................................13

9.2数据安全保护....................................................................14

9.3其他安全要求....................................................................14

10逻辑安全测评.......................................................................15

10.1身份鉴别测评...................................................................15

10.2账户管理测试...................................................................18

10.3金融交易测试...................................................................19

11系统运营安全管理...................................................................21

11.1配置管理.......................................................................21

11.2变更管理.......................................................................21

11.3风险管理.......................................................................21

11.4备份与恢复管理.................................................................21

I

T/NIFA28—2023

附录A（规范性）密码技术要求..........................................................23

参考文献..............................................................................26

II

T/NIFA28—2023

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》和GB/T

20004.1—2016《团体标准化第1部分：良好行为指南》给出的规则起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件由中国互联网金融协会提出。

本文件由中国互联网金融协会归口。

本文件起草单位：中国互联网金融协会、中国农业银行股份有限公司、中国民生银行股份有限公司、

北京银行股份有限公司、北银金融科技有限责任公司、济宁银行股份有限公司、奇安信科技集团股份有

限公司、长沙银行股份有限公司。

本文件主要起草人：单强、陆书春、朱勇、王新华、林松、国枫、蒋康定、王明月、邓康、袁丽欧、

李晓、赵雪、赵重祺、张勇、杜宁波、陶振帅、赵晨阳、尹智清、廖植群、刘幸。

III

T/NIFA28—2023

引言

网上银行是支撑银行业服务客户的重要系统，网上银行服务降低了银行经营成本，提高了银行盈利

能力，同时由于网上银行服务具有无时空限制的特性，有利于扩大客户群体，提升服务创新能力，向客

户提供多种类、个性化的金融服务。网上银行服务的便利性和开放性也对其安全性提出了更高要求。

本文件通过整理分析网上银行系统应用安全技术问题和已发生的网上银行应用安全事件，有针对性

地提出网上银行服务应用安全相关技术要求。

本文件旨在有效提升现有网上银行应用的安全技术水平，指导网上银行应用安全的设计工作，进一

步提升网上银行应用的安全性，从而为客户提供更加安全的线上金融服务，最终促进网上银行服务的规

范、健康发展。

IV

T/NIFA28—2023

网上银行服务应用安全规范

1范围

本文件规定了网上银行系统在应用安全设计方面的要求，包括密码技术、身份鉴别、访问控制、安

全审计、数据安全性、客户个人信息保护、交易安全性、移动金融客户端安全、逻辑安全测评、系统运

营安全等方面的相关规范要求。

本文件适用于中华人民共和国境内设立的银行业金融机构所提供的网上银行服务。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T27912—2011金融服务生物特征识别安全框架

GB/T35273—2020信息安全技术个人信息安全规范

GB/T37036.1—2018信息技术移动设备生物特征识别第1部分：通用要求

JR/T0068—2020网上银行系统信息安全通用规范

JR/T0092—2019移动金融客户端应用软件安全管理规范

JR/T0171—2020个人金融信息保护技术规范

3术语与定义

JR/T0068—2020、JR/T0092—2019和JR/T0171—2020界定的以及下列术语和定义适用于本文件。

3.1

密钥key

控制密码变换操作的符号序列。

注：加密、解密、密码校验函数计算、签名生成或签名验证。

[来源：GB/T15843.1—2017，3.16]

3.2

对称加密算法symmetricencryptionalgorithm

源发者和接收者使用同一秘密密钥进行变换的加密算法。

[来源：GB/T15843.1—2017，3.34]

3.3

数字签名digitalsignature

1

T/NIFA28—2023

附加在数据单元上的一些数据，或是对数据单元做密码变换，这种附加数据或密码变换被数据单元

的接收者用以确认数据单元的来源和完整性，达到保护数据，防止被人（例如接收者）伪造的目的。

[来源：GB/T15843.1—2017，3.11]

3.4

双因素认证（2FA）two-factorauthentication（2FA）

除静态密码外，采用动态密码、数字证书等技术，通过双重认证的方式加强身份管理的认证方式。

[来源：JR/T0088.1—2012，2.43]

3.5

角色role

一组预先确定的规则，规定在用户和对象之间许可的交互。

4缩略语

下列缩略语适用于本文件。

MAC：消息认证码（MessageAuthenticationCode）

OTP：一次性口令（OneTimePassword）

SDK：软件开发工具包（SoftwareDevelopmentKit）

VPN：虚拟专用网络（VirtualPrivateNetwork）

PIN：个人识别码（PersonalIdentificationNumber）

SSL：安全套接层（SecureSocketsLayer）

CVV：卡效验值（CardVerificationValue）

CVN：卡效验号（CardVerificationNumber）

5身份鉴别

5.1身份鉴别技术要求

5.1.1概述

身份鉴别按照实现方式可分为静态口令、第二信道设备（如手机动态验证码）、OTP设备（如软实

现、硬件OTP）、数字证书（如软数字证书、硬数字证书）和生物特征识别等技术。

5.1.2静态口令

生成要求

口令生成的要求如下：

a)长度不低于6个字符，宜采用8个字符以上的口令；

b)对于非设备绑定用户的账户，应采用非纯数字的口令，宜包含字母、数字、特殊字符混合输入,

不宜出现连续6位数字或者身份证号、手机号中连续6位等弱口令；

c)对于手势密码等其他静态密码，应满足一定复杂度要求；

d)认证系统应能够对用户输入的口令强度进行分析，给出口令强度的反馈；

e)对于低强度的口令能够警示用户更换更高强度的口令。

2

T/NIFA28—2023

使用要求

口令的使用应满足以下要求：

a)通过受理终端或支付客户端应用程序使用静态口令时，应采取屏蔽措施，避免出现口令明文；

b)应具备静态口令认证失败处理功能，可采取图形验证码、滑块验证、结束会话、限制非法登录

次数和当网络登录连接超时自动退出等措施；

c)应支持口令重置，在重置前，应在人脸识别、短信验证码、取款密码、设备指纹等认证方式中，

采取至少两种方式进行身份认证。重置后的口令生成应遵守口令的输入要求；

d)口令在服务端验证过程中不应出现明文，应通过硬件密码设备加密后进行验证或存储；

e)口令应加密传输。

设备要求及安全要求

输入设备及安全措施应满足以下要求：

a)输入设备应具备一定的物理、逻辑安全机制，如应具备入侵检测机制，防止输入过程被监听，

可安全存储敏感信息，具备完整的密钥体系；

b)在口令输入设备和读卡机之间传输PIN相关信息时，应有效地保护所传输的数据；

c)输入控件应具备一定的安全机制，防止非法用户采用键盘侦测手段获取密码；

d)在输入控件和终端程序间传输静态口令相关信息时，应有效地保护所传输的数据。

5.1.3第二信道设备

生成要求

当用户使用第二信道设备接收到的动态验证码作为鉴别因子时，动态验证码的生成应满足以下要

求：

a)动态验证码应随机生成，且长度不低于6个字符；

b)动态验证码应与交易实现一对一绑定；

c)动态验证码不应与交易信息绑定。

使用要求

使用第二信道设备接收到的动态验证码的要求如下：

a)应设定认证有效期，比如60秒，宜不超过6分钟；

b)应限制验证出错次数，若超过限制次数，则验证码失效或账户锁定；

c)重新获取验证码后，原先验证码自动失效。

设备要求及安全要求

传输信道宜与交易信息传输的信道相分离。

5.1.4OTP设备

生成要求

OTP令牌作为鉴别因子，OTP的生成应满足以下要求：

a)应使用经第三方专业安全测评机构检测通过的软件、OTP令牌、客户端模块及后台支持系统；

b)OTP的长度应不少于6位，且应有复杂度要求；

c)OTP生成算法应经过国家密码主管部门认定。

3

T/NIFA28—2023

使用要求

OTP的使用应满足以下要求：

a)应采取有效措施防范软件、OTP令牌被中间人攻击，采取的措施包括但不限于通过客户端安全

加固、软件加壳、代码混淆等；

b)不同业务中的OTP应各不相同，且使用后立即失效；

c)应具有激活尝试次数限制功能，当激活操作连续错误一定次数之后，将会被锁定一段时间，才

可重新执行激活操作，避免恶意的穷举攻击。

设备要求及安全要求

输入设备及安全措施的要求如下：

a)应采取有效措施保证种子密钥数据在整个生命周期的安全；

b)软件OTP令牌可使用PIN码、生物特征信息等方式进行保护；

c)应防范通过物理攻击的手段获取设备内的敏感信息，物理攻击的手段包括但不限于开盖、搭线、

复制等；

d)对于硬件OTP，令牌设备应使用PIN码保护等措施，确保只有授权客户才可以使用；

e)对于硬件OTP，令牌加密芯片应具备抵抗旁路攻击的能力；

f)对于硬件OTP，在外部环境发生变化时，OTP令牌不应泄露敏感信息或影响安全功能；

g)对于硬件OTP，令牌设备应具备一定的抗跌落功能，防止意外跌落导致种子密钥丢失。

5.1.5数字证书

文件证书

.1生成要求

文件证书生成应满足JR/T0068“文件证书”中有关安全技术的要求，同时应满足以下要求：

a)文件证书对应私钥的存储应与终端设备信息绑定，防范私钥被非法复制到其他设备上使用；

b)针对移动终端用户，文件证书应与移动终端的IMEI、IMSI、MEID、ESN等设计用于唯一标识移

动终端的信息绑定，防范证书被非法复制到其他移动终端使用。

.2使用要求

使用文件证书应满足以下要求：

a)文件证书的发放宜使用离线或VPN专线方式，确需通过公共网络发放的，应提供一次性下载链

接，且传输过程中的证书是加密的；

b)PIN码连续输入错误次数达到上限，证书软件应被锁定。

.3设备要求及安全要求

输入设备及安全措施应满足以下要求：

a)签名密钥应由软件模块内部生成，产生、使用、存储、销毁等过程中的任何时间均不以明文方

式出现在内存中，签名密钥、非对称加密密钥、对称密钥等密钥信息均不以明文方式存储在非

易失性存储器上；

b)使用密码技术保护私钥，应将签名私钥保存在签名验签服务器、密码机、智能密码钥匙等密码

设备中；

c)密码模块应鉴别并验证操作员的角色或身份，以确保其是否有权执行对应的服务；

d)采用验证码对关键操作（如签名）进行保护，防范穷举攻击；

4

T/NIFA28—2023

e)文件证书软件模块具备软件完整性检测与关键功能自测试功能。

智能密码钥匙

.1生成要求

应能够支持一个或多个应用，并能提供和保持不同应用之间的安全性。

.2使用要求

使用智能密码钥匙应满足以下要求：

a)应能够保证一个应用不会影响另一个应用的安全操作；

b)如智能密码钥匙不具备确认功能，在连接到终端设备一段时间内无任何操作，应自动关闭，必

须重新连接才能继续使用，以防范远程挟持；

c)证书存储介质应能够自动识别与客户端的连接状态，宜具备在规定的时间与客户端连接而未进

行任何操作时的语言提示、屏幕显示提醒等功能；

d)如智能密码钥匙不具备确认功能，交易过程中应使用双因素认证，以防范远程挟持。

.3设备要求及安全要求

输入设备及安全措施应满足JR/T0068中有关安全技术要求，同时应满足以下要求：

a)应使用通过第三方专业测评机构安全检测的证书存储介质；

b)应采取有效措施防范证书存储介质被远程挟持；

c)证书存储介质应采用具有密钥生成和数字签名运算能力的安全芯片，保证敏感操作在存储介质

的安全芯片内实施；

d)证书存储介质的主文件应受到安全机制保护，保证客户无法对其进行删除和重建；

e)应保证私钥在生成、存储和使用等阶段的安全；

f)参与密钥、PIN码运算的随机数应在证书存储介质内生成，其随机性指标应符合国家密码主管

部门的要求；

g)密钥文件在启用期应封闭；

h)签名交易完成后，状态机应立即复位；

i)应保证PIN码和密钥的安全。

5.1.6生物特征识别

概述

本文件中用于用户身份识别的生物特征识别模态包括但不限于：

a)人脸识别；

b)指纹识别；

c)声纹识别；

d)虹膜识别；

e)静脉识别。

技术要求

基于生物特征识别技术的用户身份识别应满足GB/T27912—2011的要求。此外，还遵循如下要求：

5

T/NIFA28—2023

a)根据个人信息分级分类管理的要求，对身份鉴别过程中涉及到的敏感生物特征信息的收集、传

输、存储、使用、委托处理、共享、转让、公开披露应遵循GB/T35273—2020以及JR/T0171—2020

中的相关要求；

b)应充分评估所使用的生物特征识别技术的特点及存在的风险，按照GB/T37036.1—2018的要

求合理的选择远程模式或本地模式；

c)处理高安全需求业务时（如网络支付等）应采取适当的措施检测呈现攻击手段并具备相应的处

理机制,防止恶意伪造攻击，检测和处理的呈现攻击手段要求如下：

1)形状包括但不限于2D、3D等方式；

2)载体包括但不限于图像、视频、头模、指纹膜等方式；

3)材质包括但不限于纸质、电子、硅胶等方式。

d)应具备有效的安全机制，确保生物特征样本采集、质量判断、呈现攻击检测、生物特征项提取

和传输过程中，用户生物特征数据的机密性和完整性；

e)宜结合可信环境实现生物特征识别。

5.1.7手机号认证

手机号认证是移动运营商提供，通过基于SIM卡进行手机号认证，采用“通信网关取号”及SIM卡识

别等技术实现的一种移动互联网身份认证方法，具体要求如下：

a)应保障用户实名手机号并完成相关注册或登记；

b)验证时应有移动数据网络信号覆盖；

c)一键授权应用场景下，应具备授权页面，经用户授权后方可获得手机号码，适用于移动金融客

户端的注册、登录等场景；

d)“本机号码校验”应用场景下，本机号码校验不返回号码，仅返回待校验号码与本机号码是否

一致的结果；

e)宜具备相关机制保障手机终端为手机号所有者所有并使用。

5.2身份鉴别安全要求

身份鉴别攻击过程中，攻击者通过获取用户所持有能够用以证明其身份的鉴别因子，假扮成合法的

注册用户，在通过身份鉴别后造成危害。表1列出了身份鉴别过程中常见的安全威胁以及相应的防范措

施。

表1身份鉴别过程中常见的安全威胁以及相应的防范措施要求

安全威胁描述攻击示例防范目标与措施

在线猜测/字典攻攻击者通过不断猜测可攻击者通过尝试猜测用户防范目标：让攻击者没有更多先

击能的验证信息来重复登的用户名和常用密码来登验知识的情况下，仅通过重复尝

录尝试录一个网上银行试猜测来攻击变得不可行。

暴力破解也称为“蛮力破解”或“穷攻击者通过穷举的方式来防范措施：限制失败尝试次数、

举攻击”，是一种特殊的试图获取到正确的密码登录失败后设置等待时间、要求

字典攻击。在暴力破解中验证对象通过公开的图灵测试

所使用的字典是字符串机制（如滑块验证）来防范机器

的全集，对可能存在的所人猜测等

有组合进行猜测，直至得

到正确的信息为止

键盘监听通过对用户的实体或虚按键记录软件以木马方式防范目标：让攻击者无法通过植

6

T/NIFA28—2023

安全威胁描述攻击示例防范目标与措施

拟键盘进行监听，获取用植入用户的计算机后，可入程序的方式进行键盘等输入

户输入信息以偷偷地记录下用户的每设备的监听

次按键动作，从而窃取用防范措施：客户端安装必要的杀

户输入的口令，并按预定毒软件并定期查杀；

的计划把收集到的信息通客户端使用定制的加密动态键

过电子邮件等方式发送出盘，打乱