1、书书书犐犆犛犔G21G22G23G24G25G26G27G28G29G2AG2BG2CG2D犌犕犜G2EG2AG2FG30G31G32G33G34G28G29G35G36G37G38G39G3A犆狉狔狆狋狅犵狉犪狆犺狔狋犲犮犺狀犻犮犪犾狉犲狇狌犻狉犲犿犲狀狋狊犳狅狉犮狅狉犲犫犪狀犽犻狀犵狊狔狊狋犲犿狊G3BG3CG3DG3EG27G3FG28G29G40G41G42 G3B G3C书书书目次前言引言 范围 规范引用文件 术语和定义 缩略语 银行核心系统模型 密码应用基本要求和密码应用功能要求 银行核心信息系统密码技术安全保护三级要求 基本要求 密码技术安全要求 物理和环境安全 网络和通信安全
2、设备和计算安全 应用和数据安全 密码配用策略要求 密钥安全与管理要求 总则 密钥安全 密钥管理 安全管理要求 概述 安全管理制度 人员管理要求 密码设备管理 使用密码的业务终端要求 银行核心信息系统密码技术安全保护四级要求 基本要求 密码技术安全要求 物理和环境安全 网络安全和通信安全 设备和计算安全 应用和数据安全 密码配用策略要求 密钥安全与管理要求犌犕犜 总则 密钥安全 密钥管理 安全管理要求 概述 安全管理制度 人员管理要求 密码设备管理 使用密码的业务终端要求附录(规范性附录)安全要求对照表参考文献犌犕犜前言本标准是信息安全等级保护银行业金融机构密码技术应用要求相关系列标准之一。与本
3、标准相关的系列标准包括:手机银行信息系统密码应用技术要求银行信贷信息系统密码应用技术要求银行卡信息系统密码应用技术要求本标准按照给出的规则起草。本标准由密码行业标准化技术委员会提出并归口。本标准起草单位:国家密码管理局商用密码检测中心、中金金融认证中心有限公司、中国银行股份有限公司、中国民生银行股份有限公司。本标准主要起草人:邓开勇、谢宗晓、张大建、马瑶瑶、介磊、郭晶莹、张众、杨辰。犌犕犜引言本标准与信息系统密码应用基本要求、手机银行信息系统密码应用技术要求、银行卡信息系统密码应用技术要求、银行信贷信息系统密码应用技术要求共同构成了信息系统安全等级保护密码技术要求的相关配套标准。其中信息系统密
4、码应用基本要求是基础性标准,本标准、手机银行信息系统密码应用技术要求、银行卡信息系统密码应用技术要求及银行信贷信息系统密码应用技术要求是在基础上的进一步细化和扩展。本标准在信息系统密码应用基本要求、信息安全技术信息系统安全等级保护基本要求、金融行业信息系统信息安全等级保护实施指引等技术类标准的基础上,根据现有技术的发展水平,提出和规定了不同安全保护等级的银行核心系统保护要求,包括安全技术要求和安全管理要求,本标准适用于指导不同安全保护等级的银行业金融机构核心系统中密码技术的安全建设、安全使用与监督管理。银行业金融机构应依据信息安全等级保护有关技术标准与国家、行业主管部门要求,对核心系统开展包括
5、系统定级在内的信息安全等级保护工作。目前银行业核心系统安全级别为三级、四级,暂不存在安全级别为一级、二级和五级系统,故本标准暂不对第一级信息系统、二级信息系统和五级信息系统提出具体的密码技术要求。银行核心信息系统应依据信息安全技术信息系统安全等级保护定级指南,以及国家主管部门有关要求,进行定级。等级确定后,依据本标准选择相应级别的密码技术保护措施。在本标准文本的各类安全要求中,“可”表示可以、允许;“宜”表示推荐、建议;“应”表示应该。犌犕犜银行核心信息系统密码应用技术要求 范围本标准在、等标准基础上,结合银行业金融机构核心系统的特点及该类信息系统等级保护安全建设工作中密码技术的应用需要,从密
6、码安全技术要求、密钥安全与管理要求、安全管理要求三方面,对不同安全保护等级的核心系统中密码技术应用提出具体的要求。本标准适用于指导、规范和评估银行、金融机构的核心信息系统。 规范引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 银行业务安全加密设备(零售)第部分:金融交易中设备安全符合性检测清单 银行业务个人识别码的管理与安全第部分:和系统中联机处理的基本原则和要求 银行业务安全加密设备(零售)第部分:概念、要求和评价方法 技术规范 密码模块安全要求 采用非接触卡的门禁系统密码应
7、用指南 信息系统密码应用基本要求 密码术语 术语和定义界定的以及下列术语和定义适用于本文件。 加密犲狀犮犻狆犺犲狉犿犲狀狋犲狀犮狉狔狆狋犻狅狀对数据进行密码变换以产生密文的过程。解密犱犲犮犻狆犺犲狉犿犲狀狋犱犲犮狉狔狆狋犻狅狀加密过程对应的逆过程。密码算法犮狉狔狆狋狅犵狉犪狆犺犻犮犪犾犵狅狉犻狋犺犿描述密码处理过程的运算规则。密钥犽犲狔控制密码算法运算的关键信息或参数。犌犕犜数字签名犱犻犵犻狋犪犾狊犻犵狀犪狋狌狉犲签名者使用私钥对待签名数据的杂凑值做密码运算得到的结果,该结果只能用签名者的公钥进行验证,用于确认待签名数据的完整性、签名者身份的真实性和签名行为的抗抵赖性。消息鉴别码犿犲狊狊犪犵犲
8、犪狌狋犺犲狀狋犻犮犪狋犻狅狀犮狅犱犲;犕犃犆消息鉴别算法的输出,又称消息认证码。真实性犪狌狋犺犲狀狋犻犮犻狋狔确保主体或资源的身份正是所声称的特性。真实性适用于用户、进程、系统和信息之类的实体。不可否认性狀狅狀狉犲狆狌犱犻犪狋犻狅狀证明一个已经发生的操作行为无法否认的性质。身份鉴别实体鉴别犪狌狋犺犲狀狋犻犮犪狋犻狅狀犲狀狋犻狋狔犪狌狋犺犲狀狋犻犮犪狋犻狅狀确认一个实体所声称身份的过程。授权狆狉犻狏犻犾犲犵犲犪狌狋犺狅狉犻狕犪狋犻狅狀在属性管理系统中,将主体与角色绑定的过程。机密性犮狅狀犳犻犱犲狀狋犻犪犾犻狋狔保证信息不被泄露给非授权的个人、进程等实体的性质。数据完整性犱犪狋犪犻狀狋犲犵狉犻狋狔
9、数据没有遭受以非授权方式所作的篡改或破坏的性质。抗抵赖性狀狅狀狉犲狆狌犱犻犪狋犻狅狀也称不可否认性,证明一个已经发生的操作行为无法否认的性质。事件犲狏犲狀狋与信息系统安全策略相冲突的进程。密钥加密密钥犽犲狔犲狀犮狉狔狆狋犻狅狀犽犲狔;犓犈犓用于对密钥进行加密或解密的密钥。明文狆犾犪犻狀狋犲狓狋未加密的数据或解密还原后的数据。密码协议犮狉狔狆狋狅犵狉犪狆犺犻犮狆狉狅狋狅犮狅犾两个或两个以上参与者使用密码算法,按照约定的规则,为达到某种特定目的而采取的一系列步骤。犌犕犜密钥管理犽犲狔犿犪狀犪犵犲犿犲狀狋根据安全策略,对密钥的产生、登记、认证、注销、分发、安装、存储、归档、撤销、衍生和销毁等操作制定
10、并实施一组确定的规则。密钥生命周期犽犲狔犾犻犳犲狋犻犿犲密钥的产生、登记、认证、注销、分发、安装、存储、归档、撤销、衍生和销毁的一系列完整事件周期。密钥生成犽犲狔犵犲狀犲狉犪狋犻狅狀按特定规则生成密钥的过程。密钥存储犽犲狔狊狋狅狉犪犵犲将密钥保存在指定受控空间的过程。密钥分发犽犲狔犱犻狊狋狉犻犫狌狋犻狅狀按照安全协议将密钥分配给对应实体的过程。密钥备份犽犲狔犫犪犮犽狌狆从密码设备中将密钥安全复制到存储载体的过程,备份的密钥用于密钥恢复。密钥恢复犽犲狔狉犲犮狅狏犲狉狔将归档或备份的密钥恢复到可用状态的过程。密钥归档犽犲狔犪狉犮犺犻狏犲将已分发且不再使用的密钥分类记录并安全保存的管理过程。密钥销毁
11、犽犲狔犱犲狊狋狉狌犮狋犻狅狀将密钥通过物理或逻辑的方式消除,使其无法再恢复。密钥信封犽犲狔犿犪犻犾犲狉用于向已授权人员传送密钥组件的“防篡改”信封。银行核心系统犫犪狀犽犻狀犵犮狅狉犲狊狔狊狋犲犿运行银行业关键核心业务的信息系统。动态口令狅狀犲狋犻犿犲狆犪狊狊狑狅狉犱(犗犜犘),犱狔狀犪犿犻犮狆犪狊狊狑狅狉犱基于时间、事件等方式动态生成的一次性口令。访问控制犪犮犮犲狊狊犮狅狀狋狉狅犾按照特定策略,允许或拒绝用户对资源访问的一种机制。生物识别犫犻狅犿犲狋狉犻犮犪狌狋犺犲狀狋犻犮犪狋犻狅狀利用人体固有的生理特性(如指纹、虹膜),与行为特征来进行个人身份的鉴定,是使用密码技术进行身份认证的辅助认证措施
12、。犌犕犜 缩略语下列缩略语适用于本文件。 消息鉴别码() 个人标识码() 安全套接层() 可信密码模块() 安全传输层协议() 虚拟专用网络() 银行核心系统模型典型的银行核心系统由物理云、业务云、用户应用系统组成。如图所示。图 银行核心系统基本架构物理云包括:服务器集群、灾难备份系统、网络设备群和其他辅助物理设备。业务云包括:业务子模块、数据库、流程中间件、操作系统集群等业务模块。主要用于银行内部工作流程的流程的流转。用户应用系统:是银行核心系统面向用户的交互的基本设备,包含与用户可直接对接的软、硬件。边界:指主体之间互联互通的界限,包括交互边界、网络边界、物理边界等。 密码应用基本要求和密
13、码应用功能要求银行核心信息系统密码应用基本要求和密码应用功能要求遵照第章、第章要求。 银行核心信息系统密码技术安全保护三级要求) 基本要求应满足中第三级指标要求。)该级别的全部安全要求与其他级别的对比请参照附录安全要求对照表,下同。 密码技术安全要求 物理和环境安全 总则参照中物理和环境安全密码应用总则。犌犕犜 密码硬件安全“密码硬件安全”“物理环境安全”和“电子门禁系统”是银行核心系统“物理和环境安全”的组成部分。在银行核心信息系统密码技术安全保护三级要求中,对“物理和环境安全密码硬件安全”指标做如下要求:)系统的专用硬件或固件以及密码设备应具有有效的物理安全保护措施;注:本标准中“有效措施
14、”是指能满足“保证项”要求的手段或能实现系统设定的安全目标的方法,以下注释同。)系统的专用硬件或固件以及密码设备应满足运行环境可靠性要求。 物理环境安全“密码硬件安全”“物理环境安全”和“电子门禁系统”是银行核心系统“物理和环境安全”的组成部分。在银行核心信息系统密码技术安全保护三级要求中,对“物理和环境安全物理环境安全”指标做如下要求:应使用密码技术的真实性功能来保护物理访问控制身份鉴别信息,保证重要区域进入人员身份的真实性。 电子门禁系统“密码硬件安全”“物理环境安全”和“电子门禁系统”是银行核心系统“物理和环境安全”的组成部分。在银行核心信息系统密码技术安全保护三级要求中,对“物理和环境
15、安全电子门禁系统”指标做如下要求:)在电子门禁系统中,应使用密码技术的完整性服务保证电子门禁系统进出记录的完整性,其密码功能应确保正确、有效;)门禁系统应使用非接触读卡方式,避免使用磁条卡;)当门禁系统检测到无法识别的卡片尝试非法进入时,应提供警告信息并能对非法尝试的卡片进行定位;)采用的门禁系统资质、架构、部署应符合要求的技术规范;)应制定相应规章制度以确保门禁系统使用的合规性、正确性、有效性;)应使用密码技术的完整性功能来保证视频监控音像记录的完整性;)采用的门禁系统资质、架构、部署应符合要求的技术规范;)应制定相应规章制度以确保门禁系统使用的合规性、正确性、有效性。 网络和通信安全 总则
16、参照中网络和通信安全密码应用总则。 通信安全“通信安全”“身份鉴别”“安全访问路径”和“审计记录”是银行核心系统“网络和通信安全”的组成部分。在银行核心信息系统密码技术安全保护三级要求中,对“网络和通信安全通信安全”指标做如下要求:)为防止访问通讯数据被篡改、截获、假冒和重用,应使用密码技术的完整性服务、机密性服务和真实性服务对网络边界、系统资源访问控制信息进行保护,其密码功能应确保正确、有效;)在进行数据传输时,应使用数字证书、加密解密等密码技术,建立安全的传输层会话通道;传输犌犕犜数据的主体应对客体的身份信息进行鉴别,保障数据的机密性;)应使用密码技术的真实性服务来实现通信双方会话初始化验
17、证,其密码功能应确保正确、有效;)宜使用密码技术的抗抵赖服务来提供数据原发证据和数据接收证据,实现数据原发行为的抗抵赖和数据接收行为的抗抵赖,其密码功能应确保正确、有效。 身份鉴别“通信安全”“身份鉴别”“安全访问路径”和“审计记录”是银行核心系统“网络和通信安全”的组成部分。在银行核心信息系统密码技术安全保护三级要求中,对“网络和通信安全身份鉴别”指标做如下要求:)在对登录网络设备的用户进行身份鉴别时,为防止鉴别信息被重用和假冒,应使用密码技术的真实性服务对鉴别信息进行防重用和防假冒保护,其密码功能应确保正确、有效;)在执行网络远程管理时,为防止鉴别信息在传输过程中被泄露,应使用密码技术的机
18、密性服务对鉴别信息进行机密性保护,其密码功能应确保正确、有效;)网络设备系统管理用户身份标识应具有不易被冒用的特点,关键网络设备的静态口令应在位以上并由字母、数字、符号等混合组成并定期更换;)信息系统对通过身份认证后的实体,应使用密码技术生成唯一的随机的标识符,并确保该功能正确、有效;)应设置鉴别警示信息,当出现越权访问或尝试非法访问时,系统会自动提示未授权访问;)宜采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别,并且身份鉴别信息至少有一种是不易伪造的,例如以密钥证书、动态口令卡、生物特征等作为身份鉴别信息。 安全访问路径“通信安全”“身份鉴别”“安全访问路径”和“审计记录”是银行核心
19、系统“安全访问路径”的组成部分。在银行核心信息系统密码技术安全保护三级要求中,对“网络和通信安全安全访问路径”指标做如下要求:)应在通信前基于密码技术对通信双方进行身份认证,使用密码技术的机密性和真实性功能来实现防截获、防假冒和防重用,保证传输过程中鉴别信息的机密性和网络设备实体身份的真实性;)在建立安全访问路径的过程中,应使用密码技术的真实性服务保证通信主体身份鉴别信息的可靠与真实性,其密码功能应确保正确、有效;)在建立安全访问路径的过程中,应使用密码技术的完整性服务保证安全访问路径中路由控制信息的完整性,其密码功能应确保正确、有效;)应采用密码技术保证通信过程中敏感信息数据字段或整个报文的
20、机密性;)应采用密码技术建立一条安全的信息传输通道,对网络中的安全设备或安全组件进行集中管理。 审计记录“通信安全”“身份鉴别”“安全访问路径”和“审计记录”是银行核心系统“安全访问路径”的组成部分。在银行核心信息系统密码技术安全保护三级要求中,对“网络和通信安全审计记录”指标做如下要求:应使用密码技术的完整性服务对审计记录进行完整性保护,其密码功能应确保正确、有效。犌犕犜 设备和计算安全 总则参照中设备和计算安全密码应用总则。 审计记录“审计记录”“身份鉴别”“访问控制”和“密码模块”是银行核心系统“设备和计算安全”的组成部分。在银行核心信息系统密码技术安全保护三级要求中,对“设备和计算安全
21、审计记录”指标做如下要求:)审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户;)应使用密码技术的完整性服务实现审计记录的完整性校验,其密码功能应确保正确、有效;)应使用密码技术的完整性功能来对日志记录进行完整性保护;)审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件;)审计记录应包括日期和时间、类型、主体标识、客体标识、事件的结果等。 身份鉴别“审计记录”“身份鉴别”“访问控制”和“密码模块”是银行核心系统“设备和计算安全”的组成部分。在银行核心信息系统密码技术安全保护三级要求中,对“设备和计算安全身份鉴别”指标做如下要求:)应使用
22、密码技术实现组合鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换,其密码功能应确保正确、有效;)应使用密码技术的真实性服务实现鉴别信息的防假冒和防重用功能,保证操作系统和数据库系统用户身份的真实性,其密码功能应确保正确、有效;)在远程管理时,应使用密码技术的机密性服务实现远程管理鉴别信息的防窃听功能,其密码功能应确保正确、有效;)主机系统应对与之相连的服务器或终端设备进行身份标识和鉴别,当网络对服务器进行远程管理时,宜采取加密措施,防止鉴别信息在网络传输过程中被窃听;)操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,关键系统的静态口令应在位以上,由字母、数字、符号等混
23、合组成并定期更换;)应设置鉴别警示信息,当出现越权访问或尝试非法访问时,系统会自动提示未授权访问;)应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别,并且身份鉴别信息至少有一种是不可伪造的,例如以密钥证书、动态口令卡、生物特征等作为身份鉴别信息。 访问控制“审计记录”“身份鉴别”“访问控制”和“密码模块”是银行核心系统“设备和计算安全”的组成部分。在银行核心信息系统密码技术安全保护三级要求中,对“设备和计算安全访问控制”指标做如下要求:)在访问控制机制方面,为防止系统资源访问控制信息被篡改,应使用密码技术的完整性服务实现系统资源访问控制信息及敏感标记的完整性保护,其密码功能应确保正确、
24、有效;)应根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限;)应采用可信计算技术建立从系统到应用的信任链,实现系统运行过程中重要程序或文件完整性保护。犌犕犜 密码模块“审计记录”“身份鉴别”“访问控制”和“密码模块”是银行核心系统“设备和计算安全”的组成部分。在银行核心信息系统密码技术安全保护三级要求中,对“设备和计算安全密码模块”指标做如下要求:宜使用符合的三级及以上密码模块或通过国家密码管理部门核准的硬件密码产品实现密码运算和密钥管理:)系统的专用硬件或固件以及密码设备应实现授权控制、非授权访问的检测、运行状态指示等安全功能,保证密码模块能够在核准的工作模式
25、下正确运行;)系统的专用硬件或固件以及密码设备应能够防止非授权地泄露模块的内容或关键安全参数;)系统的专用硬件或固件以及密码设备应能够防止对密码模块和密码算法进行非授权或检测不到的修改;)系统的专用硬件或固件以及密码设备应能检测出密码模块运行中的错误,并防止这些错误非授权地公开、修改或使用关键安全参数。 应用和数据安全 总则参照中应用和数据安全密码应用总则。 数据传输“数据传输”和“数据存储”是银行核心系统“应用和数据安全”的组成部分。在银行核心信息系统密码技术安全保护三级要求中,对“应用和数据安全数据传输”指标做如下要求:)应使用密码技术的完整性服务来实现对系统管理数据、鉴别信息和重要业务数
26、据在传输过程中完整性的检测,其密码功能应确保正确、有效;)应使用交易信息的安全通道传输协议(以上版本,且符合要求)进行加密传输;)对于通过互联网对外提供服务的系统,在通信过程中的整个报文或会话过程,应通过专用的通信协议或加密的方式保证通信过程的机密性;)应使用密码技术的机密性服务来实现系统管理数据、鉴别信息和重要业务数据的传输机密性保护,其密码功能应确保正确、有效。 数据存储“数据传输”和“数据存储”是银行核心系统“应用和数据安全”的组成部分。在银行核心信息系统密码技术安全保护三级要求中,对“应用和数据安全数据存储”指标做如下要求:)宜使用密码技术的完整性服务来实现对系统管理数据、鉴别信息和重
27、要业务数据在存储过程中完整性的检测,其密码功能应确保正确、有效;)宜使用密码技术的机密性服务来实现系统管理数据、鉴别信息和重要业务数据的存储机密性保护,其密码功能应确保正确、有效。 密码配用策略要求 密码算法配用“密码算法配用”“密码协议使用”和“密码设备使用”是银行核心系统“密码配用策略要求”的组成部分。在银行核心信息系统密码技术安全保护三级要求中,对“密码配用策略要求密码算法配用”指标做犌犕犜如下要求:应采用国家密码管理主管部门批准使用的算法。 密码协议使用“密码算法配用”“密码协议使用”和“密码设备使用”是银行核心系统“密码配用策略要求”的组成部分。在银行核心信息系统密码技术安全保护三级
28、要求中,对“密码配用策略要求密码协议使用”指标做如下要求:应采用通过国家密码管理主管部门安全性评审的密码协议实现密码功能。 密码设备使用“密码算法配用”“密码协议使用”和“密码设备使用”是银行核心系统“密码配用策略要求”的组成部分。在银行核心信息系统密码技术安全保护三级要求中,对“密码配用策略要求密码设备使用”指标做如下要求:)应选用国家密码管理主管部门批准的密码设备;)信源加密、完整性校验、身份鉴别、抗抵赖应选用可信密码模块、智能密码钥匙、智能卡、密码卡、密码机等密码设备;)信道加密应选用链路密码机、网络密码机、安全网关等密码设备;)需要配用独立的密钥管理系统或使用数字证书认证系统提供的密钥
29、管理服务,且应选用国家密码管理主管部门批准的系统;)应采用符合的三级及以上密码模块或通过国家密码管理部门核准的硬件密码产品实现密码运算和密钥管理。 密钥安全与管理要求 总则参照中密钥管理总则。 密钥安全 密钥生成“密钥生成”“密钥存储”“密钥分发”和“密钥使用”是银行核心系统“密钥安全”的组成部分。在银行核心信息系统密码技术安全保护三级要求中,对“密钥安全密钥生成”指标做如下要求:)应使用国家密码管理主管部门批准的硬件物理噪声源产生随机数;)密钥应在密码设备内部生产,不得以明文方式出现在密码设备之外;)应具备检查和剔除弱密钥的能力;)密钥对生成应由密钥对的所有者或其代理方完成;)非对称密钥对的
30、生成方式应保证私钥的机密性以及公钥的完整性,并能够向第三方证明;)若加密密钥与被加密的密钥形成上下级密钥关系,那么在密钥分级结构中,上级密钥与它们所保护的密钥相比,安全级别应相等或更高;)如果密钥对由不使用该密钥对的系统生成,则:在确认传输已经完成后,密钥对和所有相关的机密种子元素应被立即擦除;应确保私钥的完整性。犌犕犜 密钥存储“密钥生成”“密钥存储”“密钥分发”和“密钥使用”是银行核心系统“密钥安全”的组成部分。在银行核心信息系统密码技术安全保护三级要求中,对“密钥安全密钥存储”指标做如下要求:)密钥应加密存储,并采取严格的安全防护措施,防止密钥被非法获取;)密钥加密密钥应存储在符合的二级
31、及以上密码模块中;)密钥加密密钥应存储在专用硬件中;)应通过口令保护系统中存储的密钥或其组件;)应采用两种或两种以上组合的鉴别技术,保护存储在密钥传输设备里的密钥组件,例如以密钥证书、动态口令卡、生物特征等作为身份鉴别信息。 密钥分发“密钥生成”“密钥存储”“密钥分发”和“密钥使用”是银行核心系统“密钥安全”的组成部分。在银行核心信息系统密码技术安全保护三级要求中,对“密钥安全密钥分发”指标做如下要求:)密钥分发应采取身份鉴别、数据完整性、数据机密性等安全措施,应能够抗截取、假冒、篡改、重放等攻击,保证密钥的安全性;)如果密钥对由不使用该密钥对的系统生成,则:在确认传输已经完成后,密钥对和所有
32、相关的机密种子元素应被立即擦除;应确保私钥的完整性。 密钥使用“密钥生成”“密钥存储”“密钥分发”和“密钥使用”是银行核心系统“密钥安全”的组成部分。在银行核心信息系统密码技术安全保护三级要求中,对“密钥安全密钥使用”指标做如下要求:)密钥应明确用途,并按用途正确使用;)对于公钥密码体制,在使用公钥之前应对其进行验证;)在密钥使用过程中,应有安全措施防止密钥的泄露和替换;)在密钥使用过程中,应按照密钥更换周期要求更换密钥,密钥更换允许中断系统运行;)密钥疑似泄露时,必须停止使用,并启动相应的应急处理和响应措施;)在非对称密码系统中,密钥对中的每个密钥都用于单独的功能;除非另有说明,密钥对的两个
33、密钥应满足下述要求:严格禁止私钥的非授权使用;公钥只有在其真实性与完整性通过验证后才可以使用;应防止继续使用被怀疑泄露的密钥;)在对称密码系统中,应满足下述要求:一个密钥最多只应被两个通信方使用;应防止继续使用被怀疑泄露的密钥。 密钥管理 密钥的导入与导出“密钥的导入与导出”“密钥的存储与保管”“密钥的使用与更换”“密钥的备份与恢复”和“密钥的归档与销毁”是银行核心系统“密钥管理”的组成部分。在银行核心信息系统密码技术安全保护三级要求中,对“密钥管理密钥的导入与导出”指标做如下要求:犌犕犜)应在密钥管理员、安全审计员、密码设备操作员在场的情况下进行密钥注入,安全审计员也宜在场,并记录操作备忘录
34、,提交安全审计日志、安全审计文档等;)密钥的传输、导入与导出过程应按照双重控制、密钥分割的原则进行;如需使用密钥组件,则所需的密钥组件应由密钥组件持有者分别导入;)在传输和导入密钥时,应确认:只有当密码设备至少鉴别了两位以上的被授权人身份时,如通过口令的方式,才可以传输私钥;对于人工方式分发的密钥,应使用管理流程,如纸质授权的方式,对被授权人的身份进行鉴别;只有确信密码设备在使用前没有受到任何可能导致密钥或敏感数据泄露的篡改时,才可以将私钥导入到密码设备中;只有确信密码设备接口处没有安装可能导致传输密钥的任何元素泄露的窃听装置时,才可以在密码设备之间进行私钥的传输;在生成密钥和使用密钥的设备间
35、传输私钥时所使用的设备应是密码设备;在将密钥导入到目标设备后,密钥传送设备不应保留任何可能泄露该密钥的信息;当使用密钥传送设备时,密钥(如果使用显式密钥标识符,还包括密钥标识符)应从产生密钥的密码设备传输到密钥传送设备,这一设备应被物理运输到实际使用密钥的密码设备所在处;)在使用密钥组件时,应确认:构成密钥的密钥组件应通过手工或密钥传输设备导入到设备中,密钥组件的传输过程不应向任何非授权的个人泄露密钥组件的任何部分;当密钥组件以可读的形式分发时,每一个密钥组件都应通过在开启前不会泄露密钥组件值的密钥信封进行分发;在输入密钥组件之前,应检查密钥信封或密码设备有无被篡改的迹象。如果组件之一被篡改,
36、这一套密钥组件就不应被使用,且应遵循说明的程序将其销毁;密钥组件应由密钥组件的每一个持有者单独输入并验证密钥组件的输入是否正确;)密钥管理员应负责检查密钥注入时所生成校验值的一致性;)当密钥组件输入密码设备后,密钥信封应加以销毁或密封在另一个防篡改的密钥信封内,以备将来可能的使用;)密钥导入或导出后,将存储备份密钥的介质保存至密码信封中,由安全审计员监督确认后,锁入保险柜中;)密钥在导入或导出时应确定导入或导出的设备或者程序没有被非正常监控。 密钥的存储与保管“密钥的导入与导出”“密钥的存储与保管”“密钥的使用与更换”“密钥的备份与恢复”和“密钥的归档与销毁”是银行核心系统“密钥管理”的组成部
37、分。在银行核心信息系统密码技术安全保护三级要求中,对“密钥管理密钥的存储与保管”指标做如下要求:)应制定密钥存储与保管的文档化规定。)密钥资料须保存在保险柜内,保险柜钥匙由密钥管理员负责,保证只有指定的密钥管理人员能打开保管的设备,并将该规定落实在岗位责任制中,定期对该规定的落实情况进行检查。)密码只能存储在符合规定的密码设备中。)若使用密钥组件,应确保密钥组件通过特定的密钥信封或密钥传输设备传送给被授权人。密钥信封的印刷,应保证信封在开启后才能看到密钥组件。信封应只显示将密钥信封递交给授权人所必须的最少信息。密钥信封的结构应使得意外的或欺骗性的开启易于被接收方发现,犌犕犜如果出现这种情况,密
38、钥组件就不应再被使用。)应具有密钥可能泄露时的应急处理和响应措施。)应制定密钥存储与保管的文档化规定,对密钥的存储位置、传输方式、传输介质、导入与导出流程,以及存储于保管岗位人员与责任提出要求,定期对该规定的落实情况进行检查。)明文密钥只能存储在符合和规定的密码设备中。 密钥的使用与更换“密钥的导入与导出”“密钥的存储与保管”“密钥的使用与更换”“密钥的备份与恢复”和“密钥的归档与销毁”是银行核心系统“密钥管理”的组成部分。在银行核心信息系统密码技术安全保护三级要求中,对“密钥管理密钥的使用与更换”指标做如下要求:)密钥应明确用途,并按用途正确使用;)应对密钥使用各环节建立跟踪与核查制度;)在
39、密钥使用过程中,应有安全措施防止密钥的泄露和替换;)在密钥使用过程中,应按照密钥更换周期要求更换密钥,密钥更换允许中断系统运行;)密钥疑似泄露时,必须停止使用,并启动相应的应急处理和响应措施;)对密码机、密码管理设备的系统管理员密码、用户密码、用户权限进行管理,一旦发生泄漏或者权限失控应启动核查跟踪程序,根据权限失控的情况进行事件等级评估,并适时更新密钥,必要时应立即更换密钥;)应对密钥使用各环节建立跟踪与核查制度,并在日常工作中定期进行密钥状态审查。 密钥的备份与恢复“密钥的导入与导出”“密钥的存储与保管”“密钥的使用与更换”“密钥的备份与恢复”和“密钥的归档与销毁”是银行核心系统“密钥管理”的组成部分。在银行核心信息系统密码技术安全保护三级要求中,对“密钥管理密钥的备份与恢复”指标做如下要求:)应建立密钥恢复与修正工
