GB/T 21079.1-2011 银行业务 安全加密设备(零售) 第1部分:概念、要求和评估方法 GB/T21079.1-2011 标准压缩包解压密码：www.bzxz.net
GB/T21079的本部分以ISO9564、ISO16609和ISO11568中定义的密码方法为基础,规定了对 安全密码设备的要求。 本部分有以下两个主要目的: a) 规定SCD的操作性要求和其在整个生命周期中的管理要求; b) 对上述要求的符合性检查方法进行标准化。
class="f14" style="padding-top:10px; padding-left:12px; padding-bottom:10px;"> GB/T21079《银行业务 安全加密设备(零售)》由以下两部分构成:
———第1部分:概念、要求和评估方法;
———第2部分:金融交易中设备安全符合性检测清单。
本部分为GB/T21079的第1部分。
本部分按照GB/T1.1—2009给出的规则起草。
本部分代替GB/T21079.1—2007《银行业务 安全加密设备(零售)第1部分:概念、要求和评估方法》,本部分与GB/T21079.1—2007相比主要变化如下:
———在SCD的物理安全要求中增加:物理安全设备及采用“每笔交易一个密钥”管理方式设备的描述(本版的6.2.5和6.2.6);
———在SCD的逻辑安全要求中增加:双重控制、每台设备采用惟一密钥要求(本版的6.3.1和6.3.2);
———为保证和本标准第2部分:金融交易中设备安全符合性检测清单(已做为GB/T20547.2—2006发布)的统一,将本部分评估方法中的“半正式评估”统一为“准正式评估”;
———对标准的结构进行了重新调整,去除了原标准中部分章节的悬置段(2007版的4、4.1、4.2、5.3、6、6.2、6.3、7、7.1、7.3、7.4;本版的5.1、5.2.1、5.3.1、7.1、7.3.1、7.4.1、8.1.1、8.3.1、8.4.1)。
本部分使用翻译法等同采用ISO13491-1:2007《银行业务 安全加密设备(零售)第1部分:概念、要求和评估方法》。
为便于使用,本部分做了下述编辑性修改:
———删除ISO 前言。
与本部分规范性引用的国际标准有一致性对应关系的我国标准如下:
GB/T20547.2 银行业务 安全加密设备(零售) 第2部分:金融交易中设备安全符合性检测清单(GB/T20547.2—2006,ISO13491-2:2005,MOD)
本部分由中国人民银行提出。
本部分由全国金融标准化技术委员会(SAC/TC180)归口。
本部分负责起草单位:中国金融电子化公司。
本部分参加起草单位:中国人民银行、中国工商银行、中国银行、中国建设银行、交通银行、中信银行、北京银联金卡科技有限公司。
本部分主要起草人:王平娃、陆书春、李曙光、杨倩、赵志兰、田洁、仲志晖、刘志刚、邵冠军、李延、杨宝辉、贾静、李孟琰、贾树辉、刘运、景芸。
本部分于2007年首次发布,本次为第一次修订。
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
ISO11568-1 银行业务 密钥管理(零售) 第1部分:一般原则(Banking—Keymanagement (retail)—Part1:Principles)
ISO11568-2:2005 银行业务 密钥管理(零售) 第2部分:对称密码系统及其密钥管理和生命周期(Banking—Keymanagement(retail)—Part2:Symmetricciphers,theirkeymanagementandlife cycle)
ISO11568-4 银行业务 密钥管理(零售) 第4部分:非对称密码系统及其密钥管理和生命周期(Banking—Keymanagement(retail)—Part4:Asymmetriccryptosystems—Keymanagementandlifecycle)
ISO13491-2 银行业务 安全加密设备(零售) 第2部分:金融交易中设备安全符合性检测清单(Securecryptographicdevices(retail)—Part2:Securitycompliancechecklistsfordevicesusedinfinancialtransactions)
前言 Ⅲ
引言 Ⅳ
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 缩略语 4
5 安全密码设备(SCD) 4
5.1 概述 4
5.2 攻击场景 4
5.3 防御措施 5
6 设备安全特性要求 6
6.1 概述 6
6.2 SCD的物理安全要求 7
6.3 SCD的逻辑安全要求 9
7 设备管理要求 10
7.1 概述 10
7.2 生命周期阶段 10
7.3 生命周期阶段的保护要求 11
7.4 生命周期阶段的保护方法 12
7.5 责任 14
7.6 设备管理的审计和控制原则 14
8 评估方法 15
8.1 概述 15
8.2 风险评估 16
8.3 非正式评估方法 17
8.4 准正式评估方法 19
8.5 正式评估方法 20
附录A (资料性附录) 有关系统安全级别的概念 21
参考文献 24

ICS 35.240.40
中华人民共和国国家标准
CB/T 21079.1—2011/1SO 13491-1:2007代费GB/T21070.1—2007
银行业务
安全加密设备（零售）
第部分：概念、要求和评估方法Banking--Secure cryptographic devices (retail)--Part 1 :Concepts, reguirements and evaluation methods(IS0 13491-1:2007,IDT)
2011-12-30发布
中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会
2012-02-01实施
规范性引用文件
术语和定义
缩略语
安全密码设备(SCD)
5.2攻击场景
5.3防御措施
6设备安全特性要求
SCD的物理安全要求
SCD的辑安全要求
7设备管理要求·
生命周期阶段
生命周期阶段的保护要求·
7.4生命周期阶段的保护方法
7.5赤任
7.6设备管理的审计和控制原则·8评估方法
8.2风险评估
8.3非正式评估方法
8.4准正式评方法·
8.5正式评估方
附录A（资料性附录）
有关系统安全级别的概念
参考文献
TTTKANTKACA
GB/T 21079.1--2011/ISO 13491-1:2007日
CB/T 21079.1——2011/ISO 13491-1:2007GB/T21079银行业务安全加密设备（零售）$由以下两部分构成：第1部分：概念、要求黏评估方法：第2部分，金融交易中设备安全符合性检測清单。本部分为GB/T 21079的第1部分。本部分按照GB/T1.1一2009给出的规则起草。本部分代GB/T21079.1—2007银行业务安全加密设备（零售）第1部分：概念、要求和评估方法3，本部分与GB/T21079.1—200了相比主要变化如下：在SCD的物理安全要求中增圳I:物理安全设备及采用“每笔交易一个密朗\管理方式设备的述（本版的6.2.5和6.2.6)
在SCD的逻辑安全要求中增加：双重控制、每台设备采用惟一密钥要求(本版的6.3.1和6.3.2)，—为保证和本标准第2部分：金融交易中设备安全符合性检测清单（已做为GB/T20547.22006发布的统一，将本部分评估方法中的“半正式评估”统一为“准正式评估”；一对标准的结构进行了重新调整，去除了原标准中部分章节的悬置段（2007版的 4,4.1,4.2、5.3,6,6.2、6. 3,7,7.1、7.3,7.4;本版的 5. 1、5. 2. 1、5. 3. 1,7.1.7.3. 1,7. 4. 1、8. 1. 1,8. 3. 18.4.1).
本部分使用翻详法等同采用ISO13491-1：2007《银行业务安全加密设备（零售）第1部分：概念，要求和评估方法》。
为便于使用，本部分做了下述编拇性修改：删除ISO前言。
与本部分规范性引用的国际标准有-一致性对应关系的我国标准如下：GB/T20547.2银行业务安全加案设备（基售）第2部分：金融交易中设备安全符合性检测清单(GB/T 20547.22006,ISO 13491-2:2005,MOD)本部分由中国人民银行提出。
本部分中全国金融标准化技术委员会（SAC/TC180)归口。本部分负声起草单位，中国金融电子化公司。本部分参加起草单位：中国人民银行、中国工商银行、中国银行、中国建设银行、交通银行、中宿银行、北京银联金卡科技有限公司。本部分主要起草人王平娃，陆书春、季曙光、杨倩，赵恋兰、田洁、仲志晖、刘志刚、邵冠军、李延、杨宝辉，贾静、李孟琰、贾树辉,刘运、景芸。本部分于2007年首次发布，本次为第一次修订。日
TTTKAONYKACA
CB/T21079.1—2011/S013491-1:2007引言
本部分规定了金融零售业务中用于保护报文，密销及其他感数据的安全密码设备(SCD)的物理特性、逻辑特性和管理要求.
零售电子支付系统的安全性在很大度上依赣于这些密码设备的安全性，安全性的提出是基于这样-·些假设：
计算机文件可能被非法访问和处理：通讯线路可能被“窃听”
一输人系统的合法的数据和控制指令可能被未授权替换。在这些密码设备上处理PIN（个人标识码）、MAE（报文鉴别码）、密钥和其地机密数据时，存在数据泄溺或被篡改的风险。
通过合理使拥，正确管理具有特定物理和邀辑安全特性的安全密码设备可降低金触风险。TTTKAONTKACA
1范围
GB/T 21079.1—2011/ISO 13491-1:2007银行业务安全加密设备（零售）第1部分：概念、要求和评估方法GB/T21079的本部分以IS09561、ISO16609和TS011568中定安的密码方法为基础，规定了对安全密码设备(以下简称 SCD)的要求，本部分有以两个主要目的：
a）规施SCD的操作性要求和其在整个生命周期中的管理要求：对上述要求的符合性检方法避行标准化。SCD应具有合适的设备特性平进行适当的设备算理，前者保证了SCD的操作性能以及为其内部数据提供足够的保护后者保证了SCI)的合法性，即SCD不会以非授权的方式更改（如安装“听装置”等）且其中的任何敏感数据（如加穿密钥）不会遭到泄或算改。绝对的安全性实际上是无法达到的。SCD的安全性依赖于在生命周期每个阶段中适当的管理和安全密码特性两者的有机结合，管理程序可以通过防范措施来降低SCD安全受到破坏的几率，目的是在设备本身特性不能阻止或检安全攻击的情况下，提高发现非法访向尚敏感数据或机密数据的可能性：附录 A以资料性信息的形式,描述了本部分提及的适用于 SCD安全级别的概念。本部分没有涉及由SCD拒绝服务引发的问题，也没有涉及在金融零售业务中，不同SCD在设备特性和管理方面的具体要求，该部分内容见[SO13491-2本部分适用手金融零售业务中安全密码设备的安全管理。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡忌注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。IS(）11568-l银行业务密钥管理（售）第1部分一般原则（Banking一Keymanagcment(retail)-Part l: Principles)IS011568-2,2005银行业务密钥臂理（零售）第2部分：对称密码系统及其密朗管理和生命周期(Banking—Key management(rctail)--Part 2:Symmetric ciphers,their key management and lifecyele)
IS011568·4银行业务密钥管理（零售）第4部分：非对称密码系统及其密钥管理和生命周期(Binking—Key management(retail)—Part 4:Asymmetric cryptosystems—Key management and life cycle)ISO13491-2银行业务安全加密设备（零）第2分：金融交易中设备安余符合性检测清单(Secure cryptographic devices(retail)Part 2,Security compliance cherklists for devices used in finan-cialtransactions)
3术语和定义Www.bzxZ.net
下列术语和定义适用于本文件。1
TTTKAONYKACA
CB/T 21079.1-2011/1SO 13491-1:20073. 1
认可机构acereditationauthority负责认可评估机构并且监督其工作以确保评估结果可再现的机构。3.2
经认可的评估机构
accreditedevaluationauthorits经认可机构根据相应规侧认可后，从事评站工作的机构。注：认可规则实例参见ISU/TEC17025。3.3
L assessment check-list
评估检测清单
接设备类型编制的声明表，详细介绍见JSO 13491-2。3.4
assessmentreport
非正式评估报告
进行非正式评估审核的析构根据评枯人的评粘结果出真的报告。3.5
非正式俘估审核机构
assessment review bndy
负责对评估人的评估结果进行核查审定的组织3. 6
评估人assessor
代表发起方或非正式评估审核机构以非正式方式对SCD进行检查，评估,复查和评估的人员。3.7
攻击attack
政击者尝试从设备中获取(修改)敏感数据，或尝试得到(修改)非投权的服务。3.8
认证报告tertification report评估审核机构根据经认可的评估机构的讼粘结果而出具的报告：3.9
管理者controller
负责 SCLD 安全管理的实体。
提交物dellverables
评估人在对SCD进行评估时需要的文档，设备和任何其他物品和信息。3.11
设备泄漏devicetomprnmise
对SCD所提供的物理或逻辑保护造成破坏，并造成机密信息的潜在泄露甜SCD的非授权使用，3.12
设备安全性devicesecurity
与特定操作环境无关,仅依赖于自身特性的 SCD的安全性。3,13
环境相关安全性environment-dependentsecuritySCD作为操作环境一部分的安全性。3.14
评估机构evaluation agency
SCI)的设计方、生产商以及发起方委托其依据本部分标准（应用专业技术和工具）对SCD的进行评2
TTTKONYKAA
估的组织。
评估报告 eval uation report
GB/T21079.T-2011/S013491-1:2007评估审核机构基于评估构或计员的评估结果而出其的报告。3. 16
评估审核机构
evaluation review hady
负责对评估机构的评估结果进行核查审定的组织，3. 17
正式声明formal elaim
SCD特性和功能的声明。
逻辑安全性lugleal security
设备在功能上抵御攻击的能力。3.19
操作环境operational environrmentSCD的使用环境。包括应用系统,使用场所，操作人员以及与其通识的设备等。3.20
physical security
物理安全性
设备在物理构造上抵御攻击的能力。包括的物理特性，如电磁辐射和电源动，以及对可导致旁路攻击的分析。
安全密码设备secure cryptograpbicdevice;ScD能提供一系列安全加密服务和存储并其备物理和逻辑保护功能的硬件设备（如PIN输人装暨或硬件安全模快）。
这些设备可集成到一个更大的系统，如自动柜员机(ATM)或考销售点终端中(P()S)3.22
敏感数据
sensitive data
sengitivcinformatior
嫩感信息
虚防止非授权泄露、更改或毁坏的数据，状态息和密钥等。3.23
敏感状态Sensitive state
提供对安全操作员界面进行访问的设备状态。在此状态下，只有在设备处于效重或多重控制时才能接受访问。
发起机构spoasoringauthority
发起入sponsor
中请对SCD进行评估的个人、公司或组织。3.25
tamper-evident characteristic防攻击性
能提供被攻击证据的特性。
抗攻击性tamper-resistant characteristic提供物理保护以抵御攻击的特性。3
GB/T 21079.1—2011/ISO 13491-1 :20073.27
反攻击性tanper-responsivecharacteristic针对已检测到的攻击，主动反应以阻止或击的特性。缩略语
automated tellermachinc自动柜员机messagt authrntication code 报文鉴别码persunalidentification number个人识别码pointof sele销售点终端
secure cryptograpaic device
安全密码设备
安全密码设备（SCD）
5.1概述
会融零售业务使用密码技术来确保：敏感数据的完整性和真实性,如：通过MAC交易细节；秘密信息的机密性，如：加密用户PIN，一密码密的机密性、究整性、真实性；其他敏感操作的安全性，如：PIN验证。为保证上述目标的实现，应防止密码过程中的下述安全威助：密钥和其他敏感数据的泄露或者筹改：一一密钥和服务的非授权使用。SCD是可提供密码服务，访问控制、密钥存储并具备物理和逻辑保护功能的硬件设备，可用以筋止上述所提到的威胁。本部分的要求只针对 SCD本身,不涉及集或 SCD 的系统。尽臂如此,分析 SCD和系统其他部分之间的接口对于确保SCD不被攻击具有重要的作用，由于绝对的安全实际上是无法达到的，所以把一个SCD描述为绝对“耐攻击”或者“物理安全\虑不现实的。事实上在投入足够的开销，精力和技术的条件下，任何一个安全方案都可能会被攻破。而且，随着技术不断发展，一个原先认为不易被攻破的系统可能受到新技术的攻击。所以，比较现实的做法为安全设备确定一个抵御攻击能力的安全级别，而一个可以接受的安全级别是：在分析了攻击方实施次成功攻击所需使用的设备、技术和其他成本以及从中可能获取的利益之后，认为足以阻止在设备运行周期内可预见的攻击。
季售支付系统的安全性要考虑到设备的物理和逻辑安全，运行环境的安全和设备的管理。这些因索结合起来组成了设备及其应用的安全性，安全性的需求来源丁对系统应用可能产生的风险的评估。安全特性的要求取决丁SCD的具体应用、运行环境以及成考虑到的攻击类型，评估设备安全能的最恰当方法是进行风险评估，根据评估结果决定能否在特定的应用和环境中使用该设备，第8章给出了标准的评估方法。
5.2攻击场景
5.2.1概述
SCD主要易受到下面五类攻击，这些攻击可能被综合使用：豫透
—监测，
——操控；
—-惨改；
—替换，
以下描述了这些攻击形式
CB/T21079.1—2011/IS0 13491-1:2007注：这里描的攻击景并不全面,指出的仅是应引起注意的王要景。5.2.2涨透
谬透是-一种包括使用物理的穿孔技术或者非授权打开设备米获取其中的敏感数据，如密钥的攻击。5.2. 3监测
监测是一种包括如监测电磁福射、差分能量分析、时间特性等来发现设备中的敏感数据，或者通过规觉、听觉或电子方式监测输人到设备的敏感数据的攻击。5.2.4操控
操控是指未经授权，向设备发送一系刻输人情息，改变设备的外部输人（如电源或时钟信号）或使设备接受北他的外界影响，从而导致设备中敲感数据的泄露或者以非接权的方或获得服务。如让设备进人“测适模式”，以泄漏嫩感数据或者被坏设备的壳整性。5.2.5修改
修改是指对设备物理或者遗辑持性的非接权修改或改变，始在PIN键盘中的PIV输入点种PIN加密点之间插入-个泄漏PIN的装置。注意，此改的目的是篡改设备而非立即泄漏设备中包含的信息，为成功实施攻击，参改后设备应进人（或保持)运行状态。对设备中密销的非授权替换是修政攻击的一种形式。
5.2.6替换
替换是指未经授权的设备替换。用于替换的设备可能只是一-个外观相像的匾品或者伤真设备，这些样换品包含原设断的全谦或者部分逻辑特性，或加上一-些末经投权的功能（如PIN泄露装置）。用下替换的设备还可能曾经是一个合法的设备，该设备在经过非授权的惨改后，已由另一个合法的设备替换。
秘除也是替换的一种，其H的是为了在-个更加适合的环境中进行渗透或修改攻击。替换可以看作是修改的一种特殊情况，攻击者实际上不修改目标设符，而是将其势换成另一个修改后的替代品。5.3防御措施
5.3.1概递
为防御上述讨论的攻击场景，结合使用以下三个要素可以提供所需的安全性：—…-设备特性;
设备管理：
.——环境。
虽然在一些情况下某个单一-要素，如设备特性可能占据主导地位，但一般情况下为获得希望的结架,上面所有的要素都是必需的。5
GB/T 21079.1—2011/ISO 13491-1:20075.3.2设备特性
SCD在设计和实施中应考虑到逻辑和物理上的安全性，以抵御5.2中描述的攻诈场景。物理安全特性川以分为以下兰类：.--防攻击性；
-抗攻击性；
反攻击性，
实现设备的物理安全通带是结合以上三种特性类型。其他的物理安全特性可用来抵御·些被动攻击，如监測。物理安全特性也可用来协助抵御修改和替代攻击。防攻击的目的是对试图进行的攻击以及攻击是否造成敏愿数据的非授权泄露、使用或修改提供证据。可以通过物理证据（如包装的破环）显示试图进行的攻击。证据也包括设备不在它虚在的位置。抗攻击的日的是通过被动的防御措施或逻辑特性阻止攻击。防御措施通常是单一的的，用于阻止某种特定的攻击，如参透攻卡，逻辑保护方法通常用于防止敏感数据的泄漏或用于防止应用系统或应用软件的非法修改。
反攻击的目的是来用主动的机制防止政击，当设备紊觉不正常的工作状态就会触发主动保护机制，这些机制可使受保护信息变为不可用的形式。各种保护特性的实现在很大程度上依赖十设计者对已知攻击的知识和经验。因此，攻击考通常把注意力放在发现是否存在防御者没有涉及的已知攻击，也会尝试寻找新的防御者末知的攻击方法。对于SCD安全性的评估困难且存在不确定，因为评估通常只能证明此设计针对当前已知的攻击进行了成功防御，而没有或者不能评估对未知攻击的防御能力，5.3.3设备管理
设备管理是指在设备生命周期和所处环境中对设备进行的外部控制（见第7章）。这些控制包括：-—外部密销管理方法；
安全措施；
操作程序。
在设备的生命周期中安全级别可以变化。设备萱理的一个主要目标是为了确保设备特性在生命周期中不会受到非授权的改变。
5.3.4环境
坏境安全的目标是控制对SCD及其服务的访问，由此防止威者至少检测到对SCD的攻击。在SCD的生命周期中，它可能在不同的环境中使用（见第7章）。这些环境可以通过受控程度的高低进行分类。一个高级受控的环境包括了由可信个体进行的持续监测，而一个最低受控环境可能不包含任何特殊的环境安全设施。如果一个SCD的安全依赖于受控环境的一些功能，则应充分证明此受控环境确实提供了这些功能。
6设备安全特性要求
6.1概述
SCD的设备待性可以分为物理的或逻辑的两类。物理持性描述了构成SCD的组件特性及组件构造设备的方式：逻辑特性描述了设备处理输人并产生输出或变换逻辑状态的方式。SCD的待性应确保设备或者它的接口中任何输人或者输出的敏感数据以及设备中存储或者处理6
的数据不被泄漏，
CB/T 21079.1—2011/IS0 13491-1:2007当SCD在个受控环境中运行时，对设备特性的要求依赖于由受控环境和设备管理提供的保护的程度。
6.2SCD的物理安全要求
6.2. 1—般要求
SCD应按如下要求设计：设备内组件的任何故障或者在设备规定范圖之外使用.不应适成感数据的泄避或者无法检测到的参改，SCD应按如下要求设计并构：对设备中输入、存储或处理的敏感数据（包括设备软件）的作授权访问或修改，只有通过对设备的物理渗透方可实现。注1：建议SI>应如此设计和构造，对于任何用于伪装目的裁取或替焕S)的输人输出数据的外部附加设备应有根高的检出几率，或识别出不是合法设备当D的设计允许对内部区域进行访问时《如用于维护），如采这样的访问会引发安全威胁并目不能以其他打式预防，则应存在这样的机制，使得这些访间会立即引发密钥和其他敏感数据的擦除，注2：本部分的设备维护应包括以下三种情形：一服务：为了确保设备正常操作状态的维护和保养；检查对设备的物理检查和实际操作状况的评估；修复：将设备恢复到正带工作状态，通过设计、构造及配置，SCD和它的数据输人功能应能防止受到直接的或者间接的监测，从而保证没有任何可行的攻卡导致机密或者敏感数据的泄漏，应确保抗攻击机制的完整性。该完整排可以通过使用另外的抗攻击机制来实现，如分层防衡。6.2.2防攻击性要求
6.2.2.1如果设备依赖子了防攻击性机制来抵御替换，渗遮或者修改攻击，这些设备抵御改击的方式可参照6.2.2.2~6.2.2. 1币描送的方式进行。6.2.2.2势换
为防止使用伪造的或者被算改的设备进行替换，设计设备时应该保证攻击者无法用通过商业途径获得的组件构造山1一个可能被误认为真实设备的复制品，6.2.2.3渗透
为保证可以检测到对SCD的诊透，设计及构造设备时应使任何成功的诊透必然会对设备造成物理损坏，或者致使基长时同搬离台法位置。这样的投备在重新进人原采的服务时尽能发现基受到毯逐攻击。
6.2.2.4改
为确保可以控诞出对的修改，设计及树造设备时虚使在何成切的修必然会对设备造成物理损环，或者教使其长时间搬离合法位實，这撑的设备在重新进人原来的服务时应能发现其受到修改攻击。
6.2.3抗攻击要求
6.2.3.1如果设备依赖于抗攻击性机制来抵御渗透、修改、监测或者替换/移除等攻击，那么这些设备据衡攻击的方式可参照6.2.3.26.2.3.5中销述的方式进行。6.2.3.2渗透
为防止设备受到渗透攻击，SC应达到以下的抗攻击程度：无论在设备的预定运行环境中还是将其放置到特殊设施中，如果企图使用特殊的设备对其进行渗透攻击，设备的被动防御足以使诊透不起7
GB,/T 21079.1—2011/IS0 13491-1:2007作册。
6.2.3. 3改
除非使用特殊装置破坏设备使其无法运行，否则无法非授权地修改SCD中存放的密钥或敏感数据，或者在设备中效置分接设备(如主动、被动、无线等设备)来记录放感数据。6.2.3.4蓝测
抗攻击设备特性应能抵御监测攻击。被动物理屏蔽应包括以下方面：屏蔽可能因监测而导致设备中机密信息泄漏的电磁辐射：私密屏蔽，在正常操作中，私密信息的输人不易被他人愉窥（如设备的设计和安装应便于用户身体的遮挡，防止其他人愉窥）。如果设备的部分组件无法通过适当保护以防止监测，则该部分设备不应保存、传输或处理敏感数据。
设备应按以下方式设计及构造在监测发生前，对监测敏感数据的非投权附加物应有狠高的检止概率。
6,2.3.5替换/移除
如果需要防止替换/移除攻击，改备应进行以下方式的安全保护，把设备从预定的运行地点上移除在经济上不可行。
6.2.4反攻击要求
6.2.4.1SCI)采用反攻击机制时应通过采用反攻击性和/或抗攻击性保证机制的完整性。如果设备依丁反攻击性机制来抵御渗透，惨故或者替换/移除等攻击，那么这些设备抵御攻击的方式可参照6.2.4.2~6.2.4.4中描述的方式进行6.2.4.2诊透
具备反攻击性的设备在设计及构造时应保证对设备的渗透攻击会导致立刻自动操除设备中所有密钥、其他敏感数据和敏感数据所有有用的残余数据。6.2.4.3修改
具备反政试性的设备在设计时应保证可以检测到任何未经授权的修改，并且导致文刻自动擦除设备中所有案钥、其他敏感数据和敏感数据所行有用的残余数据，6.2.4.4替换/移除
当设备移山它的操作环境时，设备的移除可能是实施攻击的第一步，如果设备的安全性依赖于它的操作环境，未经授权的移除成导致立刻自动擦除设备中所有密钥、其他敏感数据和敏感数据所有有用的残余数据。
6.2.5物理安全设备
物理安全设备应是一种不能通过渗透或某种操作造成任何有关密钥、PIN或者设备内其他机密数据被全部或者部分泄避的硬件设备。设备在遭到渗透攻击时应立刻白动擦除设备中所有PIN、密钥、其他机密数据及有用数据，即设备应具有反攻击性。
只有当确保设备的内部操作没有被基改以至于充许进行渗透攻击（如在设备内部加人主动或被动的“分接“装置》时，设备才应被视做物理安全设备来使用。6.2.6采用“每笔交易一个密钥\管理方式的设备所实施的翻钥管理技术应保证即使对SCD实施了渗透攻击也无法通过掌握的所行存储在设备中的数据以及任何存在于设备外的相关数据（除去存在于另一SCI）中的密或敏感数据·如密钥载人设8
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。