GB/T 20547.2-2006
标准分类号
标准ICS号:信息技术、办公机械设备>>信息技术应用>>35.240.40信息技术在银行中的应用
中标分类号:综合>>经济、文化>>A11金融、保险
出版信息
出版社:中国标准出版社
页数:平装16开 页数:30, 字数:53千字
标准价格:24.0 元
计划单号:20032217-T-320
出版日期:2007-03-01
相关单位信息
首发日期:2006-09-18
起草人:刘钟、黄发国、徐志忠、温永盛等
起草单位:中国银联公司、中国人民银行、中国工商银行、中国银行股份有限公司等
归口单位:全国金融标准化技术委员会
提出单位:中国人民银行
发布部门:中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会
主管部门:中国人民银行
标准简介
本标准规定了评估金融服务系统中安全加密设备的安全符合性检测清单。 GB/T 20547.2-2006 银行业务安全加密设备(零售)第2部分:金融交易中设备安全符合性检测清单 GB/T20547.2-2006 标准下载解压密码:www.bzxz.net
本标准规定了评估金融服务系统中安全加密设备的安全符合性检测清单。
标准内容
ICS 35.240.40
中华人民共和国国家标准
GB/T20547.2—2006
银行业务
安全加密设备(零售)
第2部分:金融交易中设备安全符合性检测清单
Banking—Secure cryptographic devices (retail)-Part 2: Security compliance checklists for devices used in financial transactions(ISO13491-2:2005,MOD)
2006-09-18发布
中华人民共和国国家质量监督检验检疫总局中国国家标准花管理委员会
2007-03-01实施
规范性引用文件
3术语和定义
4安全符合性检测清单的使用
附录A(规范性附录)
附录B(规范性附录)
附录C(规范性附录)
附录D(规范性附录)
附录E(规范性附录)
附录F(规范性附录)
附录G(规范性附录)
附录H(规范性附录)
安全加密设备基本的物理、逻辑和设备管理特性具有PIN输人功能的设备
具有PIN管理功能的设备·
具有报文鉴别功能的设备
具有密钥生成功能的设备
具有密钥传输和加载功的设备
具有数字签名功能的设备
环境分类
GB/T 20547.2—2006
GB/T20547《银行业务安全加密设备(零售)》分为如下部分:第1部分:概念、要求和评估方法-第2部分:金融交易中设备安全符合性检测清单本部分是GB/T20547的第2部分。GB/T20547.2-2006
本部分修改采用国际标准ISO13491-2:2005《银行业务安全加密设备(零售)第2部分:金融交易中设备安全符合性检测清单》(英文版)。本部分对ISO13491-2:2005所做的修改主要包括以下内容:1.将本部分中引用的国际标准改为国际标准和国内相关法规。2.删除目前国内不适用的部分规范性引用文件。本部分的附录 A、附录 B、附录 C、附录 D、附录 E、附录 F、附录 G和附录 H 为规范性附录。本部分由中国人民银行提出。
本部分由全国金融标准化技术委员会归口管理。本部分起草单位:中国银联股份有限公司、中国人民银行、中国工商银行、中国银行股份有限公司、中国建设银行股份有限公司、交通银行、北京银联金卡科技有限公司。本部分主要起草人:刘钟、孙平、黄发国、徐志忠、温永盛、陆书春、刘运、赵宏鑫、薛伟、张晓东、陈立群、钱菲、李曙光、刘志刚、任冠华、姜红、李洁。本标于2006年首次发布。
GB/T 20547.2—-2006
GB/T20547的本部分规定了金融零售业务中用于保护报文、密钥及其他敏感信息的安全加密设备的物理特性、逻辑特性和管理要求。电子银行零售业务的安全性在很大程度上依赖于加密设备的安全性。加密设备的安全性要求基于这样一些假设,即:计算机文件可能被非法访问和处理,通讯线路可能被“窃听”,合法的数据和控制指令可能被非法操作所取代。尽管某些加密设备(如主机安全模块)放置在安全性相对较高的处理中心,但大部分应用于零售银行业务的加密设备(如密码键盘等)都处在并不安全的环境中。因此,在这些加密设备上处理PIN(个人标识码)、MAC(报文鉴别码)、密钥和其他机密数据时,就存在设备受到入侵、数据泄漏或被篡改的风险。
通过合理使用以及正确管理具有特定物理和逻辑安全特性的安全加密设备,可确保降低金融风险。为保证安全加密设备具有恰当的物理和逻辑安全特性,应对其进行评估。本部分依据ISO13491-1中对金融服务系统中安全加密设备的要求,提供了用于评估安全加密设备的安全符合性检测清单。存在其他的评估框架,并且也适合用于正式安全评估,例如;ISO/IEC15408的1~3部分和ISO/IEC19790,但这些已超出ISO13491本部分的范围。加密设备应具有合适的特性以保证其具有适当的可操作性并能为内部数据提供足够保护。为确保设备的合法性,即设备不能被未授权的方法更改(如安装“侦听装置”等),并且设备中的敏感数据不会泄漏或被篡改,适当的设备管理是非常必要的。绝对的安全性实际上是无法达到的。加密安全性依赖于安全加密设备生命周期的每个阶段,以及适当的设备管理程序和安全加密特性两者的有效结合。管理程序可以通过防范措施降低设备安全防护被攻破的可能性。这些防护措施是为了在设备本身特性不能阻止或探测安全攻击的情况下,提高发现非法访问敏感数据或机密数据行为的可能性。V
1范围
银行业务安全加密设备(零售)第2部分:金融交易中设备安全符合性检测清单
GB/T 20547.2--2006
GB/T20347的本部分错合国际或国内相差法规中规定的加密设备所采用的加密算法,规定了评估金融服务系统中安全加密设备的安全符合性检测清革IC支付卡在发卡前应符合本部分的要求,发卡后作为一种个人设备不于本部分范围。本部分不涉及案
州密设备故障所产生的问题
在附录A~府暴年,不了
可行的,因为实靓这一政击所
益而攻击外,错对名誉的恶意
规范性引用文伤
下列文解
件,其随后所
协议的各方
条款通过
修改单(不包
否可使用要
部分。
ISO 95路H2002银行
PIN的保护原理要求
ISO 115
ISO 1349
ISO 16609
ISO 18031
3术语和定义
限有部分)
银行业务
薇业务
件的最新版本。
攻击在技术上是可能的,但在经济上是不暂然,除了为单纯的经济利
利益大得多。
纳本部分的繁款。凡是注日期的引用文用于本部分,然而鼓励根据本部分达成期的引用象件,其最新版本适用于本-部分:在ATM和POS系统中对联机:概念、要求和评估方法
争部分(ISO13491-1中定义的谱和定义在本部分中同栏适用)。下列术语和定义
审计师 auditor
代表发起者或审计机构做非正式评估的具有检查审计和评估能力的人员。数据完整性data integrity
数据未被非授权方式更改或被坏的特性。双重控制dual control
使用两个或多个实体(常为人员)互相配合来保护敏感功能或信息,以此亲保证任一单个实体不能单独存取或使用这些敏感功能或信息。3.4
异或exclusive or
同等长度二进制数的模2加。
GB/T 20547.2--2006
安全符合性检测清单securitycompliancechecklist依据本规范按照设备类型建立的审计要求的列表。3.6
敏感状态sensitive state
提供安全操作员界面、且仅在双重或多重控制下才能对该界面进行访问的设备状态。4安全符合性检测清单的使用
4.1概述
本部分中所列出的检测清单由希望评估加密设备可靠性的发起者使用,发起者应该采用附录中的部分内容或全部内容,用于:
a)认可系统供应商和参与方所选择的评估机构:b)成立一个审计机构来审计已完成的审计清单。附录A一附录H给出了用于评估加密设备可靠性的最少评估清单,可以进行附加测试,以反映设备评估时的技术水平。
正如本部分所述,评估既可以是“非正式的”,也可以是“谁正式的”,这取决于发起者认可的评估机构的性质。除非发起者决定进行一次“正式的”评估,否则这些评估结论不可直接使用,只能作为谁备“正式声明”的参考。
注:这些正式声明不在本部分的范围之内。个加密设备通过其内在特性和设备安装环境来实现安全性。在完成这些审计检测清单时,必须考虑设备的安装环境。例如,同一种设备,在公共环境下使用,比在受控环境下使用要求有高的内在安全性。本部分在附录H中给出了一个关于环境分类的建议,这样评估机构在评估时不需要调查评估设备可能放置的特定环境。可以将设备部署在一个指定的设施中,只要这个设施本身经过评估可以提供确定的环境,评估机构就可以对待评估设备在指定环境下的操作进行评估。当然,这些评估清单也可以用于附录H规定以外的环境类别。4.2、4.3和4.4描述了本部分中所规定的三种评估方法。4.2非正式评估
在非正式评估中,一个独立的审计师应该为待评估设备填写合适的检测清单。4.3准正式评估
在准正式评估中,生产厂商或发起者应该问评估机构提供一一台设备,用于根据合适的检测清单进行检测。
4.4正式评估
在正式评估中,生产厂商或发起者应该向有资质的评估机构提供一台设备,以针对正式声明的内容选择对应的检测清单逊行评估。2
A.1概述
附录A
(规范性附录)
安全加密设备基本的物理、逻辑和设备管理特性GB/T 20547.22006
本附录的内容可用于任何安全设备的评估,应在该设备的专有的安全符合性清单评估前完成。下列安全符合性检测清单都要求审计师用“符合(T)”“不符合(F)”和\不适用(N/A)\做出详细说明。“不符合”标记不表明该项在实际中不可接受,但应该给出书面解释。被标注为“不适用”的清单也应给出书面解释。
A.2设备特性
A.2.1物理安全性
A,2.1.1概述
所有安全加密设备都应该满足A,2.1.2一般安全性和A.2.1.3防攻击特性的要求。虽然很多设备还应满足A.2.1.4抗攻击性或A.2.1.5反攻击性的要求,但也有些设备只需满足一般安全性和防攻击特性,这些设备应符合如下要求:a)设备不能保留曾用于加密数据的安全密钥,以及可能推导出密钥的任何数据信息,甚至曾以明文形式存在的数据。
应采用如下方式管理设备:当设备失去连接或被明显损坏时,应能对相应情况进行及时通报。b)
当收到设备已经失去连接或者损坏的报告时,所有与该设备进行加密通讯的设施都不应再处理来自该设备的密文数据。
A.2.1.2—般安全性
评估机构在进行安全评估时,应清楚地了解对设备的物理和逻辑攻击的技术方法,这些坟击手段包括(但不限于)如下方式:
-化学攻击(各种溶剂);
扫描攻击(电子显微镜扫描):机械攻击(钻孔、切割、探针探查等),-温度攻击(高低温极限测试);
射线攻击(X射线);
-通过隐蔽(侧面)方式造成信息泄漏(如通过电量消耗、计时等方式);故障攻击
按照表A.1所示内容给出相应结论。表A.1
安全符合性声明
当设备在预期环境中工作时,不能被通过监控(例如在有/无设备操作员情况下设备的电磁辐射)来获得个人识别码(PIN)、密钥或其他秘密信息。
设备通风口和其他人口应被定位和保护使攻击者不能利用这些人口来探测该设备的内容,如明文PIN、存取代码和密钥,或者使设备的保护机制失灵。
不符合
不适用
GB/T 20547.2--2006
安全符合性声明
表A,1(续)
所有的敏感数据和加密密钥,包括剩余数据,都存储在安全模块中。
设备中的所有传输机制都要保证不能通过监控设备来获取未经许可的泄漏信息。
当设备处于可操作状态时,任何通往设备内部电路的存取人口都应由一个或多个防覆装置或类似安全装置锁住。设备设计应保证不能从商业上可得到的组件组装复制品如用于盖电子元件的外壳一般是不可得到的。A.2.1.3防攻击性
评估机构按照表A.2的内容给出相应丝表A.2
安鑫待哈健声明
设备应经过合理设计使通过侵人设行的:
a)对设备软件或硬律谨备添加、置换获得或修改任敏退信息(:个
密钥)。
在没有特殊技能利物的情况下,不患并且:
a)设备道损坏虚数发现;
设备从指定增的够走或移回的
被发现。
A.2.1.4抗攻击性
评估机构按照表A.3的
出相麻
设备采用的物理防护措施使
取代码和加密
履物理防护的企图是不可行的。即使能随意访问设备,也不能获单A. 2. 1. 5
反攻击性
设餐中的任何秘密信息。
评估机构按照表A.4的内容给出相应练论裴A
安全符合性声明
.Ey.o.
设各应具有如下防护功,即一且侦测到任何可能的破坏活动,就立即擦除全部密钥和敏感数据。在授权或非授权情况下取下设备外壳以及打开进人设备内部部件的任何入口时,设备都应立即自动擦除内部存放的密钥和敏感数据。
不符合
不符合
不符合
不适用
不适用
不适用
不适用
表A.4(续)
安全符合性声明
要有规定的方法保证当永久取下不再使用的加密单元时,应能确保其中的秘密数据和已使用过的密钥已被擦除,并砸保此单无中任何加密密钥对所有具有通信加密能力的设备都无效。所有人侵检测/密钥擦除机制在断电情况下也应有效。若设备不具备检测从操作场所被移动的安全机制,则应保证在没有对设备进行攻击所必需的工具和技能的前提下,即使将设备从运行环境中取下,也不能轻易破坏其人侵探测机制而获取目标设备机密信息。
注:例如,获取这些机密信息需要和当长时间,如背的准备时间一能包括分析其他设备的时间—一在已经可以随意进人月标设备后,至少仍需娶一一周的努力才能获得设备命的数据。若设备具备检测从操作场所被移动的安全机制,则应保证损坏设备人慢检测机制或从目标设备获取息是不可行的,还应保证对
高获取,并且这种破坏装置既不易设备进行被环的装置或技术承能在设备所在地使用,又不易恶蟋到慢备所在期注:例如,获取信息需要相当一尊时问,例好其他设备的时间,谁感可以随意进A.2.2逻辑安全性
评估机构按照表A.5内窄给出相应co
要全符合性声
设备应具备自检
手动或自动启动。
设备仅运行设计动能
以保证设备基
设备应被设计成
检过程完成前,
括不能装载所有必须的
和其他相关瓷
通过诊断或特殊的测
式获取设
息是不可行的。
运行正常。自检可以
可操作服务,也包
设备使用的加密算法,你模试、加静密钥长度应符答口病有关法规。
设备密钥管理依据国内相美法规个密钥仅能应用于一种加密
目的(密钥的变体可被用于不同目的,朗变体摸通过算法将密钥的一种形式变为另一种形式)。
设备的功能应保证:除授权的方法外,往何基他方法都不可能从设备中获取明文秘密信息(如:PIN或加密密钥)或者用不法的密销加密后的秘密信息。
如果设备由著干部件构成,应保证不能将高安全级别部件中的密钥转移到低安全级别部件中。
必须在如下情况时装载密钥:
设备处于敏感状态;
密钥装载行为使设备处于所有攻击防护机制激活模式。符合
GB/T 20547.2--2006
不符合
不符合
不适用
萧适用
GB/T 20547.2-2006
安全符合性声明
表A.5(续)
下述可能影响设备安余性的操作员功能只允许在设备处于敏感A24
状态即处于双重或多重控制状态下操作:一关闭或启动设备:
改变使设备进人敏感状态的口令或数据。安全操作员界面应设计为至少需要输人两组口令(或者等同的双重或多重控制机制)才能使设备进人敏感状态。安全操作员界面的设计应保证不能在无意的情况下使设备停留在敏感状态。
如果敏感状态设立了多重限制(例如,功能调用次数限制和时间限制),则当达到某一限制时,设备就应返回正常状态。使设备进人敏感状态的口令或其他明文数据应与其他保密、敏感数据受到同等保护。
如果密销因设备长期断电等任何其他原因丢失,设备将进入不可操作状态。
设备中的功能请求和敏感状态操作员功能都应得到发起者认可或被设备所应用的系统支持。
不允许将密钥从一种密钥变体加密的密文转化为另一种该密钥变体加密的密文。
A.3设备管理
基本要求
不符合
不适用
在每一生命周期阶段:负责填报本阶段检测清单的机构应向审计机构提供妇表A.8所示的函信材料。
安全符合性声明
为便于审计和控制,设备的标识(如序列号)能由以下方式确定:外部防伪商标或标签,或者用命令使标识显示在界面或显示屏上。当设备处于已加载加密密钥的某个生命周期阶段时,通过设备标识能容易地确定所包含密钥的标识(如果设备丢失或失窃可以使这些密钥无效)。
任何用来开启或运行设务的物理钥匙必须严格控制,只有授权者可以使用。
如果含有加密密钥的设备被攻击或者失窃,一经发现须立即通知负责设备安全的相关部门。
如果未加载安全加密密钥的设备被攻击或者失窃,应有适当的机制防止使用被攻击或失窃的设备替换其他尚未加载安全加密密钥的合法设备。
如果设备不存在敏感状态,则需在双重控制下进行明文密钥的装载。
不符合
不适用
A.3.2设备生产中的安全防护wwW.bzxz.Net
设备制造商或独立审计师需向审计机构提供如表A,7所示的可信材料。表A.7
安全符合性声明
设备中的软、硬件设计已经过认真仔细的评估,可保证设备提供的各项功能均提合法的、具有证明文件的。设备软件中不存在未授权功能(如特洛伊木马)。
设备本身包括软件在内,都应在可控环境下生产,由有资质的工作人员控制,以保证设备不能被未授权的物理修改或功能修改。A.3.3出厂后和使用前的设备安全防护符合
GB/T 20547.2—2006
不符合
不适用
设备制造商、负责运送、维修和存储设备的人员(在下载或重载初始密钥之前)以及独立审计师等均应向审计机构提供如表A.8所示的保证。表A.8
安全符合性声明
输人密钥明文、密钥分量或口令的传输机制应受到保护和/或检查,以防止可导致密钥、密钥分量或口令内容泄露的各类监视。设备在制造后和发运前应被存储在安全防护区域内或封装在防攻击包装内以防止未被发现的非法访问。设备装运时应使用防攻击包装,并检测是否存在非法访问:在设备下裁加密密钥之前,专业人员应严格检查以保证设备在物理上或功能上没有被修改;当运送已带有秘密信息的设备时如果发现受到攻击,则应删除秘密信息,以保证用户确认设备是真实的、未泄密的。注:秘密信息的一个例子是非对称加密算法中的私钥,设备的公钥由只有供货商才知道的私钥签名。
只有当合理确认设备在物理上和功能上没有被非法修改时,才能装载初始密钥。
A.3.4使用和安装设备前的安全防护符合
不符合
不适用
负责设备存储和运输人员、装载初始密钥人员以及已被核查机构认可的独立审计师应向审计机构提供如表A,9所示的保证。
安全符合性声明
任何未安装的设备都要受到控制以防范或发现非法访间,并保留记录进行审计,以便发现和报告设备失窃和丢失事件。设备安装后的安全防护
不符合
收货方、独立审计师应向审计机构提供已采用如表A.10所示措施的可信材料。不适朋
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。