1、书书书犐犆犛犔中华人民共和国密码行业标准犌犕犜银行卡信息系统密码应用技术要求犆狉狔狆狋狅犵狉犪狆犺狔狋犲犮犺狀犻犮犪犾狉犲狇狌犻狉犲犿犲狀狋狊犳狅狉犫犪狀犽犻狀犵犮犪狉犱犻狀犳狅狉犿犪狋犻狅狀狊狔狊狋犲犿狊发布实施国家密码管理局发布书书书目次前言引言 范围 规范引用文件 术语和定义 缩略语 银行卡信息系统模型 密码应用基本要求和密码应用功能要求 银行卡信息系统密码技术安全保护二级要求 基本要求 密码技术安全要求 物理和环境安全 网络和通信安全 设备和计算安全 应用和数据安全 密码配用策略要求 密钥安全与管理要求 总则 密钥安全 密钥管理 安全管理要求 概述 安全管理制度 人员管理要求 密码设备
2、管理 使用密码的业务终端要求 银行卡信息系统密码技术安全保护三级要求 基本要求 密码技术安全要求 物理和环境安全 网络和通信安全 设备和计算安全 应用和数据安全犌犕犜 密码配用策略要求 密钥安全与管理要求 总则 密钥安全 密钥管理 安全管理要求 概述 安全管理制度 人员管理要求 密码设备的安全管理 使用密码的业务终端要求 银行卡信息系统密码技术安全保护四级要求 基本要求 密码技术安全要求 物理和环境安全 网络和通信安全 设备和计算安全 应用和数据安全 密码配用策略要求 密钥安全与管理要求 总则 密钥安全 密钥管理 安全管理要求 概述 安全管理制度 人员管理要求 密码设备管理 使用密码的业务终端
3、要求附录(规范性附录)安全要求对照表参考文献犌犕犜前言本标准是信息安全等级保护银行业金融机构密码技术应用要求相关系列标准之一。与本标准相关的系列标准包括:手机银行信息系统密码应用技术要求银行信贷信息系统密码应用技术要求银行核心信息系统密码应用技术要求本标准按照给出的规则起草。本标准由密码行业标准化技术委员会提出并归口。本标准起草单位:国家密码管理局商用密码检测中心、中金金融认证中心有限公司、中国银行股份有限公司、中国民生银行股份有限公司。本标准主要起草人:邓开勇、谢宗晓、张大健、马瑶瑶、介磊、郭晶莹、张众、杨辰。犌犕犜引言本标准与信息系统密码应用基本要求、手机银行信息系统密码应用技术要求、银行
4、核心信息系统密码应用技术要求、银行信贷信息系统密码应用技术要求共同构成了信息系统安全等级保护密码技术要求的相关配套标准。其中信息系统密码应用基本要求是基础性标准,本标准、手机银行信息系统密码应用技术要求、银行核心信息系统密码应用技术要求及银行信贷信息系统密码应用技术要求是在基础上的进一步细化和扩展。本标准在信息系统密码应用基本要求、信息安全技术信息系统安全等级保护基本要求、金融行业信息系统信息安全等级保护实施指引等技术类标准的基础上,根据现有技术的发展水平,提出和规定了不同安全保护等级的银行卡系统保护要求,包括安全技术要求和安全管理要求,本标准适用于指导不同安全保护等级的银行业金融机构银行卡系
5、统中密码技术的安全建设、安全使用与监督管理。银行业金融机构应依据信息安全等级保护有关技术标准与国家、行业主管部门要求,对银行卡信息系统开展包括系统定级在内的信息安全等级保护工作。目前银行卡系统安全等级为二级、三级与四级,暂不存在安全级别为一级和五级的系统,故本标准暂不对第一级信息系统和第五级信息系统的提出具体的密码技术要求。银行卡系统应依据信息安全技术信息系统安全等级保护定级指南,以及国家主管部门有关要求,进行定级。等级确定后,依据本标准选择相应级别的密码技术保护措施。在本标准文本的各类安全要求中,“可”表示可以、允许;“宜”表示推荐、建议;“应”表示应该。犌犕犜银行卡信息系统密码应用技术要求
6、 范围本标准在、等标准基础上,结合银行业金融机构银行卡系统的特点及该类信息系统等级保护安全建设工作中密码技术的应用需要,从密码安全技术要求、密钥安全与管理要求、安全管理要求三方面,对不同安全保护等级的银行卡系统中密码技术的应用提出具体的要求。本标准适用于指导、规范和评估银行卡信息系统中的的商用密码应用。 规范引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 银行业务安全加密设备(零售)第部分:金融交易中设备安全符合性检测清单 银行业务个人识别码的管理与安全第部分:和系统中联机处理
7、的基本原则和要求 银行业务安全加密设备(零售)第部分:概念、要求和评估方法 技术规范 密码模块安全要求 采用非接触卡的门禁系统密码应用指南 信息系统密码应用基本要求 密码术语 术语和定义界定的以及下列术语和定义适用于本文件。身份鉴别实体鉴别犪狌狋犺犲狀狋犻犮犪狋犻狅狀犲狀狋犻狋狔犪狌狋犺犲狀狋犻犮犪狋犻狅狀确认一个实体所声称身份的过程。事件犲狏犲狀狋与信息系统安全策略相冲突的进程。密钥加密密钥犽犲狔犲狀犮狉狔狆狋犻狅狀犽犲狔;犓犈犓用于对密钥进行加密或解密的密钥。密码协议犮狉狔狆狋狅犵狉犪狆犺犻犮狆狉狅狋狅犮狅犾两个或两个以上参与者使用密码算法,按照约定的规则,为达到某种特定目的而采取的一系列
8、犌犕犜步骤。命令犮狅犿犿犪狀犱终端向卡发出的一条报文,该报文启动一个操作或请求一个响应。接口设备犻狀狋犲狉犳犪犮犲犱犲狏犻犮犲终端上插入卡的部分,包括其中的机械和电气部分。填充狆犪犱犱犻狀犵向数据串某一端添加附加位。密码键盘犘犐犖狆犪犱用于输入个人识别码的一组数字和命令按键。响应狉犲狊狆狅狀狊犲卡处理完成收到的命令报文后,返回给终端的报文。终端狋犲狉犿犻狀犪犾在交易点安装、用于与卡配合共同完成金融交易的设备。它应包括接口设备,也可包括其他的部件和接口(如与主机的通讯)。密钥组件犽犲狔犿狅犱狌犾犲将完整密钥分块分别保存的部分。银行卡系统犫犪狀犽犮犪狉犱狊狔狊狋犲犿由银行卡跨行支付系统以及发卡行内
9、银行卡支付系统组成的专门处理银行卡跨行的信息转接和交易清算业务的信息系统。生物识别犫犻狅犿犲狋狉犻犮犪狌狋犺犲狀狋犻犮犪狋犻狅狀利用人体固有的生理特性(如指纹、虹膜),与行为特征来进行个人身份的鉴定,是使用密码技术进行身份认证的辅助认证措施。 缩略语下列缩略语适用于本文件。 应用密文() 数据认证数据对象列表() 集成电路() 密钥加密密钥() 一次性口令() 个人识别码()犌犕犜 安全套接层() 安全套接层传输协议() 虚拟专用网络() 银行卡信息系统模型典型的银行卡信息系统由银行卡操作终端及银行卡信息处理服务端组成,如图所示。图 银行卡信息系统的基本架构用户:具有对银行卡操作终端进行操作行
10、为的主体。银行卡操作终端:指银行卡信息系统中使用主体为用户,且具备卡信息读取和操作能力的软硬件集合,是为用户提供银行卡信息服务的操作终端。银行卡信息处理服务端:指汇集和处理银行卡操作终端读取和操作的银行卡信息,并提供针对性服务的服务器端,本标准规定的服务端既包含软件程序,也包含承载和运行程序的硬件设备。边界:指主体之间互联互通的界限,包括交互边界、网络边界、物理边界等。 密码应用基本要求和密码应用功能要求手机银行信息系统密码应用基本要求和密码应用功能要求遵照第章、第章要求。 银行卡信息系统密码技术安全保护二级要求) 基本要求)该级别的全部安全要求与其他级别的对比请参照附录安全要求对照表,下同。
11、应满足中第二级指标要求。犌犕犜 密码技术安全要求 物理和环境安全 总则参照中物理和环境安全密码应用总则。 密码硬件安全“密码硬件安全”“物理环境安全”和“电子门禁系统”是银行卡信息系统“物理和环境安全”的组成部分。在银行卡信息系统密码技术安全保护二级要求中,对“物理和环境安全密码硬件安全”指标做如下要求:)系统的专用硬件或固件以及密码设备应具有有效的物理安全保护措施;注:本标准中“有效措施”是指能满足“保证项”要求的手段或能实现系统设定的安全目标的方法,以下注释同。)系统的专用硬件或固件以及密码设备应满足运行环境的可靠性要求。 物理环境安全“密码硬件安全”“物理环境安全”和“电子门禁系统”是银
12、行卡信息系统“物理和环境安全”的组成部分。在银行卡信息系统密码技术安全保护二级要求中,对“物理和环境安全物理环境安全”指标做如下要求:宜使用密码技术的真实性功能来保护物理访问控制身份鉴别信息,保证重要区域进入人员身份的真实性。 电子门禁系统“密码硬件安全”“物理环境安全”和“电子门禁系统”是银行卡信息系统“物理和环境安全”的组成部分。在银行卡信息系统密码技术安全保护二级要求中,对“物理和环境安全电子门禁系统”指标做如下要求:)宜使用密码技术的完整性功能来;)保证电子门禁系统进出记录的完整性;)采用的门禁系统资质、架构、部署应符合技术规范;)宜制定相应规章制度以确保门禁系统使用的合规性、正确性、
13、有效性。 网络和通信安全 总则参照中网络和通信安全密码应用总则。 通信安全“通信安全”和“身份鉴别”是银行卡信息系统“网络和通信安全”的组成部分。在银行卡信息系统密码技术安全保护二级要求中,对“网络和通信安全通信安全”指标做如下要求:)为防止访问通讯数据被篡改、截获、假冒和重用,宜使用密码技术的完整性服务、机密性服务和真实性服务对网络边界、系统资源访问控制信息进行保护;)在进行数据传输时,宜使用数字证书、加密解密等密码技术,建立安全的传输层会话通道。犌犕犜 身份鉴别“通信安全”和“身份鉴别”是银行卡信息系统“网络和通信安全”的组成部分。在银行卡信息系统密码技术安全保护二级要求中,对“网络和通信
14、安全身份鉴别”指标做如下要求:)在对登录网络设备的用户进行身份鉴别时,为防止鉴别信息被重用和假冒,宜使用密码技术的真实性服务对鉴别信息进行防重用和防假冒保护,其密码功能应确保正确、有效;)在执行网络远程管理时,为防止鉴别信息在传输过程中被泄露,宜使用密码技术的机密性服务对鉴别信息进行机密性保护,其密码功能应确保正确、有效;)网络设备系统管理用户身份标识应具有不易被冒用的特点,关键网络设备的静态密码应在位以上并由字母、数字、符号等混合组成并定期更换;)信息系统对通过身份认证后的实体,应使用密码技术生成唯一的随机的标识符,并确保该功能正确、有效。 设备和计算安全 总则参照中设备和计算安全密码应用总
15、则。 审计记录“审计记录”“访问控制”“身份鉴别”“验证码与动态口令”和“密码模块”是银行卡信息系统“设备和计算安全”的组成部分。在银行卡信息系统密码技术安全保护二级要求中,对“设备和计算安全审计记录”指标做如下要求:为防止审计记录被非法修改,宜使用密码技术的完整性服务对审计记录进行完整性保护,其密码功能应确保正确、有效。 访问控制“审计记录”“访问控制”“身份鉴别”“验证码与动态口令”和“密码模块”是银行卡信息系统“设备和计算安全”的组成部分。在银行卡信息系统密码技术安全保护二级要求中,对“设备和计算安全访问控制”指标做如下要求:)在访问控制机制方面,为防止系统资源访问控制信息被篡改,宜使用
16、密码技术的完整性服务对系统资源访问控制信息进行完整性保护,其密码功能应确保正确、有效;)宜使用密码技术的完整性功能来保证重要信息资源敏感标记的完整性。 身份鉴别“审计记录”“访问控制”“身份鉴别”“验证码与动态口令”和“密码模块”是银行卡信息系统“设备和计算安全”的组成部分。在银行卡信息系统密码技术安全保护二级要求中,对“设备和计算安全身份鉴别”指标做如下要求:)在进行身份鉴别时,为防止鉴别信息被假冒、重用,宜使用密码技术的真实性服务对鉴别信息进行防假冒和防重用保护,其密码功能应确保正确、有效;)在进行身份鉴别时,为防止鉴别信息在传输过程中被泄露,宜使用密码技术的机密性服务对鉴别信息进行机密性
17、保护,其密码功能应确保正确、有效;)操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,关键系统的静态口令应犌犕犜在位以上并由字母、数字、符号等混合组成并定期更换。 验证码与动态口令“审计记录”“访问控制”“身份鉴别”“验证码与动态口令”和“密码模块”是银行卡信息系统“设备和计算安全”的组成部分。在银行卡信息系统密码技术安全保护二级要求中,对“设备和计算安全验证码与动态口令”指标做如下要求:)使用手机短信或其他渠道发送验证码时,应使用正确的密码技术,确保发送的动态口令完全随机,不可预测;)使用手机短信或其他渠道发送验证码时,应确保不会泄露验证码的内容;)如果使用令牌进行身份校验,应使用
18、正确的密码技术,确保完全随机,不可预测。 密码模块“审计记录”“访问控制”“身份鉴别”“验证码与动态口令”和“密码模块”是银行卡信息系统“设备和计算安全”的组成部分。在银行卡信息系统密码技术安全保护二级要求中,对“设备和计算安全密码模块”指标做如下要求:应使用符合的二级及以上密码模块或通过国家密码管理部门核准的硬件密码产品实现密码运算和密钥管理:)系统的专用硬件或固件以及密码设备应实现授权控制、非授权访问的检测、运行状态指示等安全功能,保证密码模块能够在核准的工作模式下正确运行;)系统的专用硬件或固件以及密码设备应能够防止非授权地泄露模块的内容或关键安全参数;)系统的专用硬件或固件以及密码设备
19、应能够防止对密码模块和密码算法进行非授权或检测不到的修改。 应用和数据安全 总则参照中应用和数据安全密码应用总则。 数据传输“数据传输”“数据存储”和“终端应用”是银行卡信息系统“应用和数据安全”的组成部分。在银行卡信息系统密码技术安全保护二级要求中,对“应用和数据安全数据传输”指标做如下要求:)宜使用密码技术的完整性服务对重要用户数据和系统管理数据、鉴别信息等重要业务数据来实现在传输过程中完整性的检测,其密码功能应确保正确、有效;)应使用交易信息的安全通道传输协议(,且应符合要求)进行加密传输;)对于银行卡主账号、磁道(含芯片等效磁道信息)信息、卡验证码(、)个人身份识别码()、卡片有效期等
20、敏感账户信息,以及用户证件号码、手机号码等关键字段,应使用密码技术进行机密性保护。 数据存储“数据传输”“数据存储”和“终端应用”是银行卡信息系统“应用和数据安全”的组成部分。在银行卡信息系统密码技术安全保护二级要求中,对“应用和数据安全数据存储”指标做如下要求:在数据存储安全方面,可使用密码技术的完整性服务来实现对系统管理数据、鉴别信息、关键配置信息和重要业务数据在存储过程中完整性的检测,其密码功能应确保正确、有效。犌犕犜 终端应用“数据传输”“数据存储”和“终端应用”是银行卡信息系统“应用和数据安全”的组成部分。在银行卡信息系统密码技术安全保护二级要求中,对“应用和数据安全终端应用”指标做
21、如下要求:)宜使用密码技术的完整性服务来实现重要程序完整性校验,其密码功能应确保正确、有效;)终端应用不应明文或编码存储用户的口令、支付密码、等敏感信息;)终端应用在处理用户输入的敏感数据时,如口令、支付密码等,宜采取安全措施,保证敏感数据的机密性,确保不被非授权获取。 密码配用策略要求 密码算法配用“密码算法配用”“密码协议使用”“应用密文产生”“银行卡终端”“密码键盘”和“密码设备使用”是银行卡信息系统“密码配用策略要求”的组成部分。在银行卡信息系统密码技术安全保护二级要求中,对“密码配用策略要求密码算法配用”指标做如下要求:应采用国家密码管理主管部门批准使用的算法。 密码协议使用“密码算
22、法配用”“密码协议使用”“应用密文产生”“银行卡终端”“密码键盘”和“密码设备使用”是银行卡信息系统“密码配用策略要求”的组成部分。在银行卡信息系统密码技术安全保护二级要求中,对“密码配用策略要求密码协议使用”指标做如下要求:应采用通过家密码管理主管部门安全性评审的密码协议实现密码功能。 应用密文产生“密码算法配用”“密码协议使用”“应用密文产生”“银行卡终端”“密码键盘”和“密码设备使用”是银行卡信息系统“密码配用策略要求”的组成部分。应用密文应由基于以下数据生成的报文鉴别码组成:引用卡的并通过生成应用密文()命令或其他命令从终端传输到卡的数据;卡内部访问的数据。建议的应用密文生成中使用的最
23、小数据集如表所示,可选的应用密文生成数据源如表所示。表 建议的应用密文生成中使用的最小数据集值来源授权金额(数字)终端其他金额(数字)终端终端国家代码终端终端验证结果终端交易货币代码终端交易日期终端犌犕犜表(续)值来源交易类型终端不可预知数终端应用交互特征卡应用交易计数器卡表 可选的应用密文生成数据源值来源卡片验证结果卡 银行卡终端“密码算法配用”“密码协议使用”“应用密文产生”“银行卡终端”“密码键盘”和“密码设备使用”是银行卡信息系统“密码配用策略要求”的组成部分。对于受理银行卡业务的商用终端,如、等产品,其密码配用策略应满足如下要求:对于有人值守的终端(如),金额输入过程必须和输入过程分
24、开,以避免意外地将显示在终端的显示屏上。若在同一个键盘上输入金额和,那么金额输入和输入应是明显分开的两个操作,如果没有其他确认操作,持卡人输入的应被用于金额确认。 密码键盘“密码算法配用”“密码协议使用”“应用密文产生”“银行卡终端”“密码键盘”和“密码设备使用”是银行卡信息系统“密码配用策略要求”的组成部分。对于密码键盘,应满足如下要求:)密码键盘技术要求应符合国家密码管理主管部门与行业主管部门相关规定和标准。)密码键盘内部包含具有加密运算处理功能的专用器件,能够完成报文加密、解密、报文认证计算和验证。密码键盘应能够安全地存储密钥,防止被读取。应可存储、选用多组密钥。)交易金额需显示在密码键
25、盘的显示屏上。)持卡人键入口令时,密码键盘的显示屏上不能显示明文,只能显示星号。)密码键盘与终端之间的信息传送应以密文的形式进行。 密码设备使用“密码算法配用”“密码协议使用”“应用密文产生”“银行卡终端”“密码键盘”和“密码设备使用”是银行卡信息系统“密码配用策略要求”的组成部分。在银行卡信息系统密码技术安全保护二级要求中,对“密码配用策略要求密码设备使用”指标做如下要求:)选用国家密码管理主管部门批准的密码设备;)信源加密、完整性校验、身份鉴别应选用可信密码模块、智能密码钥匙、智能卡、密码卡、密码机等密码设备;)信道加密应选用链路密码机、网络密码机、安全网关等密码设备;)卡片密钥安全,用于
26、一种特定功能(如:密钥)的加密解密密钥不能被任何其他功能所使犌犕犜用,包括保存在卡中的密钥和用来产生、派生、传输这些密钥的密钥。 密钥安全与管理要求 总则参照中密钥管理总则。 密钥安全 密钥生成“密钥生成”“密钥存储”“密钥分发”和“密钥使用”是银行卡信息系统“密钥安全”的组成部分。在银行卡信息系统密码技术安全保护二级要求中,对“密钥安全密钥生成”指标做如下要求:)应使用符合国家标准的随机数发生器产生密钥;)密钥应在密码设备内部生产,不得以明文方式出现在密码设备之外;)应具备检查和剔除弱密钥的能力;)密钥对生成应由密钥对的所有者或其代理方完成;)非对称密钥对的生成方式应保证私钥的机密性以及公钥
27、的完整性;对用于不可否认服务的非对称密钥对的生成,应能向第三方来证明公钥的完整性。 密钥存储“密钥生成”“密钥存储”“密钥分发”和“密钥使用”是银行卡信息系统“密钥安全”的组成部分。在银行卡信息系统密码技术安全保护二级要求中,对“密钥安全密钥存储”指标做如下要求:)密钥应加密存储,并采取严格的安全防护措施,防止密钥被非法获取;)应通过口令保护系统中存储的密钥或其组件。 密钥分发“密钥生成”、“密钥存储”、“密钥分发”和“密钥使用”是银行卡信息系统“密钥安全”的组成部分。在银行卡信息系统密码技术安全保护二级要求中,对“密钥安全密钥分发”指标做如下要求:密钥分发应采取身份鉴别、数据完整性、数据机密
28、性等安全措施、应能够抗截取、假冒、篡改、重放等攻击,保证密钥的安全性。 密钥使用“密钥生成”“密钥存储”“密钥分发”和“密钥使用”是银行卡信息系统“密钥安全”的组成部分。在银行卡信息系统密码技术安全保护二级要求中,对“密钥安全密钥使用”指标做如下要求:)对于公钥密码体制,在使用公钥之前应对其进行验证。)在非对称密码系统中,密钥对中的每个密钥都用于单独的功能。除非另有说明,密钥对的两个密钥应满足下述要求:严格禁止私钥的非授权使用;公钥只有在其真实性与完整性通过验证后才可使用;应防止继续使用被怀疑泄露的密钥。)在对称密码系统中,应满足下述要求:一个密钥最多只应被两个通信方使用;应防止继续使用被怀疑
29、泄露的密钥。犌犕犜 密钥管理 密钥的导入与导出“密钥的导入与导出”“密钥的存储与保管”“密钥的使用与更换”“密钥的备份与恢复”是银行卡信息系统“密钥管理”的组成部分。在银行卡信息系统密码技术安全保护二级要求中,对“密钥管理密钥的导入与导出”指标做如下要求:)应在密钥管理员、密码设备操作员在场的情况下进行密钥导入与导出,安全审计员也宜在场,并记录操作备忘录,提交安全审计日志、安全审计文档等。)密钥的传输、导入与导出过程应按照双重控制、密钥分割的原则进行。如需使用密钥组件,则所需的密钥组件应由密钥组件持有者分别导入。)在传输和导入密钥时,应确认:只有当密码设备至少鉴别了两位以上的被授权人身份时,如
30、通过口令的方式,才可以传输密钥;对于人工方式分发的密钥,应使用管理流程,如纸质授权的方式,对被授权人的身份进行鉴别;只有确信密码设备在使用前没有受到任何可能导致密钥或敏感数据泄露的篡改时,才可以将私钥导入到密码设备中;只有确信密码设备接口处没有安装可能导致传输密钥的任何元素泄露的窃听装置时,才可以在密码设备之间进行私钥的传输;应使用密码设备在生成密钥和使用密钥的设备间传输私钥;在将密钥导入到目标设备后,密钥传送设备不应保留任何可能泄露该密钥的信息;当使用密钥传送设备时,密钥(如果使用显式密钥标识符,还包括密钥标识符)应从产生密钥的密码设备传输到密钥传送设备,这一设备应被物理运输到实际使用密钥的
31、密码设备所在处。)在使用密钥组件时,应确认:构成密钥的密钥组件应通过手工或密钥传输设备导入或导出到设备中,密钥组件的传输过程不应向任何非授权的个人泄露密钥组件的任何部分;当密钥组件以可读的形式分发时,每一个密钥组件都应通过在开启前不会泄露密钥组件值的密钥信封进行分发;在输入密钥组件之前,应检查密钥信封或密码设备有无被篡改的迹象。如果组件之一被篡改,这一套密钥组件就不应被使用,且应遵循说明的程序将其销毁;密钥组件应由密钥组件的每一个持有者单独输入并验证密钥组件的输入是否正确。)密钥管理员应负责检查密钥导入与导出时所生成校验值的一致性。)当密钥组件输入密码设备后,密钥信封应加以销毁或密封在另一个防
32、篡改的密钥信封内,以备将来可能的使用。)密钥注入后,将存储备份密钥的介质保存至密码信封中,由专人监督确认后,锁入保险柜中。 密钥的存储与保管“密钥的导入与导出”“密钥的存储与保管”“密钥的使用与更换”“密钥的备份与恢复”是银行卡信息系统“密钥管理”的组成部分。在银行卡信息系统密码技术安全保护二级要求中,对“密钥管理密钥的存储与保管”指标做如下要求:)应制定密钥存储与保管的文档化规定;犌犕犜)密钥资料须保存在保险柜内,保险柜钥匙由密钥管理员负责,保证只有指定的密钥管理人员能打开保管的设备;)密码只能存储在符合规定的密码设备中;)若使用密钥组件,应确保密钥组件通过特定的密钥信封或密钥传输设备传送给
33、被授权人。密钥信封的印刷,应保证信封在开启后才能看到密钥组件。信封应只显示将密钥信封递交给授权人所必需的最少信息。密钥信封的结构应使得意外的或欺骗性的开启易于被接收方发现,如果出现这种情况,密钥组件就不应再被使用。 密钥的使用与更换“密钥的导入与导出”“密钥的存储与保管”“密钥的使用与更换”“密钥的备份与恢复”是银行卡信息系统“密钥管理”的组成部分。在银行卡信息系统密码技术安全保护二级要求中,对“密钥管理密钥的使用与更换”指标做如下要求:)密钥应明确用途,并按用途正确使用;)应对密钥使用各环节建立跟踪与核查制度;)在密钥使用过程中,应有安全措施防止密钥的泄露和替换;)在密钥使用过程中,应按照密
34、钥更换周期要求更换密钥,密钥更换允许中断系统运行;)密钥泄露时,应立即停止使用,并启动相应的应急处理和响应措施;)对密码机、密码管理设备的系统管理员密码、用户密码、用户权限进行管理,一旦发生泄漏或者权限失控应启动核查跟踪程序,根据权限失控的情况进行事件等级评估,并适时更新相关密钥。 密钥的备份与恢复“密钥的导入与导出”“密钥的存储与保管”“密钥的使用与更换”“密钥的备份与恢复”是银行卡信息系统“密钥管理”的组成部分。在银行卡信息系统密码技术安全保护二级要求中,对“密钥管理密钥的备份与恢复”指标做如下要求:)应建立密钥恢复与修正工作流程,明确密钥替换、修正的触发情况,规定密钥替换、修正的标准作业
35、流程,并保留密钥替换、修正作业记录;)如怀疑密钥泄露或设备的安全性受到威胁,则应将密钥撤回或更换(例如销毁或废止);)应制定明确的密钥备份策略,采用安全可靠的密钥备份恢复机制,对密钥进行备份或恢复;)密钥备份或恢复应进行记录,并生成审计信息;审计信息包括备份或恢复的主体、备份或恢复的时间等;)应有安全措施防止密钥的泄露和替换;)应确保密钥储存位置和形式的安全,限制密钥的访问权限;)如果根据攻击者已经获得的信息,可以确认已经发生了未经授权的密钥替换,则应遵循下列步骤进行密钥更换:擦除任何已经确认被替代的存储密钥的加密版本,确认现存的所有加密的密钥是否合法;如果有不合法的密钥,则应被删除;由某个新
36、的密钥加密密钥对合法存储的加密的密钥重新加密;将旧的密钥加密密钥从所有运行位置上删除。犌犕犜 安全管理要求 概述应根据国家相关密码管理政策,遵循金融业数据安全保密的国家标准,结合组织实际情况,设立密钥管理人员、安全审计人员、密码设备操作人员岗位。 安全管理制度“安全管理制度”“人员管理要求”“密码设备管理”和“使用密码的业务终端要求”是银行卡信息系统“安全管理要求”的组成部分。在银行卡信息系统密码技术安全保护二级要求中,对“安全管理要求安全管理制度”指标做如下要求:)应对所有密钥的生成、存储、注入、使用、分发、备份、恢复、归档、销毁等方面建立管理制度。)应建立密码设备、密码系统的标准作业规程,明确各步骤的操作标准流程,各阶段操作应生成作业表格,并归档留存。)定期检查密码设备与密钥系统的安全管理状况,依据密钥安全管理制度要求,填报有关表格和报告。)宜制定密码安全管理制度及操作规范、安全操作规范。密码安全管理制度应包括密码建设、运维、人员、设备、密钥等密码管理相关内容。)宜定期对密码安全管理制度的合理性和适用性进行论证和审定,对存在不足或需要改进的安全管理制度进行修订。)宜明确相关管理制度发布流程。 人员管理要求“安全管理制度”“人员管理要求”“密码设备管理”和“使用密码的业务终端要求”
