GB/T 27911-2011 银行业 安全和其他金融服务 金融系统的安全框架 GB/T27911-2011 标准压缩包解压密码：www.bzxz.net
本标准提供了金融业所必要的安全方面的标准框架。 本标准汇总了金融行业已出现的一些关键安全问题,以及针对每一个问题的相关现有标准。 本标准适用于金融机构在实施安全策略时的标准参考。
class="f14" style="padding-top:10px; padding-left:12px; padding-bottom:10px;"> 本标准按照GB/T1.1—2009给出的规则起草。
本标准使用重新起草法修改采用ISO/TR17944:2002《银行业 安全和其他金融服务 金融系统的安全框架》。
考虑到我国国情,并考虑了2002年以来国际上发布了一些新的与金融相关的信息安全类标准,在采用ISO/TR17944:2002时做了以下修改:
———2.2条的表1中,在“生物特征识别技术”中加入了近年来新发布的一些国际标准;
———2.3条的表2中,在“报文鉴别”中加入了ISO/IEC19772:2009;
———2.6条的表5中,在“灾难恢复”中加入了ISO/IEC24762:2008;
———2.7条的表6中,在“评估标准”中加入了ISO/IEC18045:2008、ISO/IECTR19791:2006、ISO/IEC21827:2008;
———2.9条的表8中,在“证书管理”中加入ISO21188;
———2.9条的表8中,在“安全管理”中加入ISO/IECTR18044、ISO/IEC27001、ISO/IEC27002、ISO/IEC18043:2006、ISO/IEC27000:2009、ISO/IEC27005:2008、ISO/IEC27006:2007、ISO/IEC27011:2008;
———2.10条的表9中,在“一般的”中加入了ISO/IEC18031:2005、ISO/IEC18032:2005、ISO/IEC18033-1:2005、ISO/IEC18033-2:2006、ISO/IEC18033-3:2005、ISO/IEC18033-4:2005、ISO/IEC19790:2006;
———2.10条的表9中,在“对称的”中加入了ISO19038;
———第3章表10中删除生物识别、灾难恢复两行,因为在正文中加入了这两个领域的ISO 标准,另外加入三行:“隐私和机密性”、“商业实体身份标识符”、“令牌”;
———各表格中,被引用的有年代号的标准,如有更新版本,用最新年代号标准替换;
———各表格中,删除已废止的国际标准。
为便于使用,本标准还做了下列编辑性修改:
———删除ISO 前言和引言;
———对于已经发布的标准,删除原文中的表注“即将发布”。
本标准由中国人民银行提出。
本标准由全国金融标准化技术委员会(SAC/TC180)归口。
本标准负责起草单位:中国金融电子化公司。
本标准参加起草单位:中国人民银行、中国工商银行、中国建设银行、交通银行、中信银行、北京银联金卡科技有限公司。
本标准主要起草人:王平娃、陆书春、李曙光、杨倩、田洁、刘运、赵志兰、邵冠军、李延、杨宝辉、贾静、李孟琰、刘志刚、仲志晖、贾树辉、景芸、张艳、马小琼。

前言 Ⅲ
1 范围 1
2 标准化的领域 1
2.1 概述 1
2.2 身份识别和鉴别 1
2.3 数据完整性 3
2.4 隐私和机密性 4
2.5 抗抵赖 4
2.6 服务的可用性 5
2.7 可追溯性和审计 6
2.8 互用性 7
2.9 安全管理 7
2.10 加密算法 9
3 ISO 空白的标准化领域 10
附录A (资料性附录) 补充信息 11
参考文献 12

ICs 03.060
中华人民共和国国家标准
GB/T 27911--2011
银行业
安全和其他金融服务
金融系统的安全框架
BankingSecurity and other financial services-Framework for security in financial systemsISO/TR 17944:2002.M0D)
2011-12-30发布
中华入民共和国国家质量监督检验检疫总局中国国家标准化管理委员会
2012-02-01实施
2标准化的领域
2.1概述
身份识别和鉴别
2.3数据完整性
私和机密性
抗抵赖
服务的可用性
2.7“可追溯性和审计
2.8互用性
2.9安全管理
2.10加密算法
ISO穿白的标准化领域
附录A（资料性附录）补充宿息
参考文献
TTTKONKACA
GB/T 27911-2011
本标准按照 GB/T 1.1—2009 给出的规则起草。GB/T 27911-2011
本标准使用重新起草法修改采用ISG/TR17944：2002银行业安全和具他金融服务金融系统的安全握架》。
考虑到我国国情，并考虑了2002年以来国际上发布了一些新的与金融相关的信息安全类标准，在采用ISO/TR17944：2002时做了以下修改：—2. 2系的表1 中,在“生物特征识别技术\中加入了近年来新发布的- -些国际标准，—2.3条的表2中，在“报文鉴别*中加人了ISO/IEC19772:2009；一2.6条的表5中，在灾难恢基中加人了IS0/1EC21762：2008：—2.7条的表 6 中，在*评估标准”中加人了 TSO/IEC 18045 2008、IS0/IFC TR19791:2006.ISO/IEC21827:2008;
2.9条的表8中,在证书管理\中加入IS0 21188；—2.9条的表8中，在安全管理”中加入IS0/IECTR18044,ISO/IEC27001、ISO/IEC27002、ISO/IEC 18043: 2006.IS0/IEC 27000; 2009.IS0/IEC 27005:2008,ISO/IEC 27006: 2007.IS(/IEC 27011:2008;
-2.10条的表9中，在—般的中加人了ISO/IEC18031：2005、1S0/IEC18032，2005、IS0/IEC 18033-1:2005,IS0/1EC 18033-2:2006,IS0/IEC 18033-3:2005,ISO/IEC 18033-4:2005ISO/IEC 19790:2006:
—2.10条的表9中,在“对称的\中加人了IS0 19038;一第 3章表10 中删除生物识别、灾难恢复两行，因为在正文中加入了这两个领域的ISO标准，另外加入三行“隐私和机密性”、“商业实体身份标识符”“令牌”一夺表格中，被引用的有年代号的标谁，如有更新版本，用最新年代号标雍誉换，一各表格中，删除已废止的国际标谁。为便于使用，本标准还做了下列编辑性修改：除ISO 前言和引言；
对于已经发布的标准，翻除源文中的表注“即将发布“。本标准由中国人民锥行提出。
本标准由全国金融标准化技术委员会（SAC/TC180)归口。本标推负责起草单位：中国金融电子化公司。本标准参加起草单位，中国人民银行、中国工商银行，中国建设银行、交通银行、中信银行、北京银联金卡科技有限公司。
本标准主要起草人：王平娃、陆书春、李瞬光、杨情田洁、刘运、赵志兰、邵冠军、李延、杨宝辉、贾静、李孟琰、刘志刚、志晖、贾树辉、景芸、张、马小琼。TTTKAONATKACA
1范围
银行业安全和其他金融服务
金融系统的安全框架
本标推提供了金融业所必要的安全方面的标准框架。GB/T 27911--2011
本标准汇,总了金融行业已出现的一些关键安全问题,以及针对每一个问题的相关现有标准。本标准适用于金融机构在实施安全策略时的标准参考。2标准化的领域
2.1概述
金融行业中，信息技术安全的需求体现在令牌、设备、加密技术、密销管理、应用程序接口（API)和协议等标准应用领域，这些不同领域可根据下面这些基础领域的基本业务需求进行分组。多数领域已经有了各种各样可用的标准，而在其他领域，标准或正在制定或有了（新）标准需求。第2章中提及了金融机构信息安全标准化的主要领城，其中表1到表9包含了这些领域可用的（有时是必需的）的标准。表中非在前面的国际标准来自国际标准化组织，跟随在其后的有关标准来自其他标推组织1》。基于这些表中缺少的标推，第3章概述了ISO空白的标准化领域。注：对于所提及标准的重加详细资料，可以联系象考的标准化组织(参见附录A)、2.2身份识别和鉴别
金融交易中涉及的所有实体的身份应被确定。鉴别确保一个实体的身份就是它声明的身份。金融机构应保证：只有授权的用户可以访问他们的信息技术系统。用于身份识别和鉴别的机制建立在使用身份标识、令牌、口令短语，个人身份识别码(PIN)、生物识别技术，数字签名和证书基础之上，相关标推见表1。衰 身份识别和鉴别
身份识别和鉴别
可用的标准
ISO/IEC:9798-1
ISO/IEC 9798-2
ISO/TEC 9798-3
ISO/IEC 9798-4
ISO/IEC 9798-5
ISO/IEC 9594-8
标题/描述
信息技术安全技术
第 1 部分;概
实体鉴别
信息技术安全技术
实体整别
密算法的机制
信意技术安全技术
实体整别
名技术的制
信息技术安全技术
实体鉴别
验随效的机制
信息技术安全技术
实体鉴别
技术的机制
信息技术，开放系统互连
证书框架
第 2 部分;采用对称如
第3部分：采用数字签
第4部分，采用密码校
第5部分：使用举知识
第 8 部分公销和属性
1本标准中非 ISO标难的引用仅用于资料首的1它们应理一个共识并互应该是被发表的或公认可用的。非 ISO标准的孔用并不表明ISO对这些非IS标准的议可1
TTKNTKACA
GB/T 27911—2011
商业实体身份标识符
口令短哥
个人识别码
生物特征试别技术
可用的标准
EBS111-1995
ISO9564-1
ISO 9564-2
ISO 9564·3
ISO/TR 9564-1
EBS105-1998
JSO 19092:2008
ISO/IEC 19784-1:2006
ISO/IEC 19784-2:2007
IS0/IEC19785-1:2006
IS0/IEC197852:2006
S0/IEC 19785-3;2007
IS0O/TEC 19794-1.2606
ISO/IEC 19794-2,2005
IS0/IEC19794-3,2006
IS0/IEC 19794-4:2005
ISO/IEC19794-5:20C5
1S0/IEC 19794-6:2005
表1（续）
标题/播述
欧洲银行业务标准：互用的金融电子钱包银行业务个人识别码的管理与安全第1部分：ATM和POS系统中联机PIN处理的基本原则和要求银行业务个人识别码的管理与安全第2部分：核的PIN加密算法
链行业务个人识别码的管理与安全第3部分，ATM和POS系统中脱机PIN处现的PIN保护的要求银行业务个人识别码的管理与安全：第4部分：开放网殊中PT2处理的最佳实哦
基于 PIN 的 POS系统<版本 2)
一第1部分：鉴别程序的最低的标准第2部分，帮有联机PIN确认的PUS系统一全和评估标准
一最低安
—-第3部分，错有脱机PLN确认的POS系统—一最低安
全和评估标准
金融服务生物特征识别安全框架信息技术生物特征应用接口第1部分:BioAFI 规范信息技术 生物特征应用接口 第 2 帮分;生物特征文档功能提供者接口
信息技术公共生物特征换格式框业第1部分：数据元规范
信息技术公共生物特征交换格式框架第2部分：生物特征注册机构操作程序
信息技术公共生物特征交换格式框架第3部分：客广格式规范
信息技术生物待征数据接口格式第I部分：框架信息技术生物特征数据接口格式第2部分：手指细节数据
信息技术生物特征数据接口格式第 3 部分：手指模式频谱数据
信息技术生物特征数据接口格式第小部分：手指图像数据
信技术生物特征数据接口格式第5部分：脸部图像数据
信息技术 生物特征数据接口格式 第 6部分;虹膜国像数据
TTTKANTKACA
生物特征识别技术
2. 3数据完整性
可用的标准
IS0/IEC19794-7:2007
ISO/IEC 19794-8:2006
ISO/1EC 10794-9:2007
IS0/IEC 19794-10 2007
150/IEC 19795-1:2006
ISO/IEC 19795-2:2007
表1【续】
标题/描递
GB/T 27911—2011
信息技术生物特征数据接口格式第7部分：签名/符号时间序列数据
信息技术生物特征数据接口格式 第 8 部分;手指模式轮痴数据
信息技术 生物特征数据接口格式 第 9 那分:血管图像数据
信息技术坐物特征数据接口格式第10部分,手形轮率数据
信息技术生物特征性能测试和振告第1部分：原则和橙架
信息技术生物特征性能测试和摄告第2部分：技术和场景评估的测试方法
ISO/IEC TR 19795-3 :2007
ISO/IEC19795-4-2008
IS0/IEC24708.2008
ISO/IEC 24709-1:2007
150/1EC 24709-2:2007
ISO/IEC 24713-1.2008
ISO/IEC24713-2:2008
IS0/1EC TR 24714-1:2008
IS0/IEC TR 24722,2007
ISO/IEC TR 24741.2007
ANSI X9. 84-2003
信息技术生物特征性能测试和报告第3部分：特定特征的测试
信息技术生物特征性能测试和报告第4部分：互操作性能测试
信息技术生物特征识别 Bio API 互作用协议信息技术生物待征应用程序接口(BiaAPI)符合性测试第 1 部分:方法和程序
信息技术生物特征应用程序接口（HioAPI)符合性测试第2部分：生物待征服务提供商测试声明信息技术互操作性和数据接口的生物特征轮廉第1部分：生物特征系统和生物特征轮席概证信息技术互操作性和数据接口的生物特征轮廉店第2部
分：机场瘤员身体访间控制
信息技术生物特征识别商业应用的司法和社会考虑第1部分：一段指南
倍息技术生物特征识别多种形式和其他多生物特征融合
信息技术生物特征识别指南
金融服务业的生物识别技术信总背理和安全数据完整性是指数据不会在未经授权的方式下被改变或者被破坏的特性。对于金融行业数据完整性是必要的。保证数据完整性的机制主要基于报文鉴别、哈希函数和数字签名，相关标准见表2。3
TTTKANTKACA
GB/T 27911—2011
可用的标准
IS()/IEC9797-1
:ISO/IEC 9797-2
报文鉴别
ISO16609
ISO/IEC19772:2009
ANSI X9, 71-2000
IS0/IEC 10118-1
IS0/IFC 10118-2
哈希西数
ISO/IEC1G1183
1S0/IEC 10118-4
2. 4随私和机密性
表 2 数据完整性
信息技术
标题/描述
第1部分：采用分维密码的
报文鉴别码
安全技术
信息技术安全技术报文篓别码第2部分：采用特定哈希函数的机制
银行业务使用对称技术的报文婆别要求信息技术安全技术鉴别加审
带密朗的咯希报文鉴别码
信息技术安金技术散列函数第 1部分;概述信息技术安全技术散列函数第2部分：采用n位块密码的敏列函数
信息技术安全技术散列函数第 3 部分:专用散列函数信息技术
安全技术散列函数第4部分；使用模运算的散列函数
隐私是个体保持其个人信息机密的一种权利。机密性是信息不被未授权的个体、实体或程序获得或揭露的一种特性。私和机密性越来越被金融业所关注。加密是用来确保隐秘和机密性的一种机制,相关标推见表3。轰 3隐私和机密性
2.5抗抵
可用的标准
抗抵赖是指防止金融交易中的抵赖（否认行为标题/描述
防止抵赖的机制基于时闻戴、数字签名、证书和公钥基础设施（PKI）技术，相关标准见表4表 4抗抵赖
抗抵赖
可用的标准
ISO/IEC 13888-1
ISO/IEC 13888-2
ISO/IEC 13888-3
标题/描递
信息技术安全技术抗抵赖第1部分：概述信息技术安全技术
的机制
信息技术安全技术
术的机制
TTTKNTKACA
第2部分，采用对称技术
抗抵整
第 3 部分；采用非对称技
数字签名
公朗基础设随（PKI)
2. 6 服务的可用性
可用的标准
1 IS0/IFC 18014
ETSITS101861-2001
ISO/ICE9796
IS0/IEC 14888
ANSI X9,31
ETSI TS 101 733
ANSI X9.55-1997
ANSI X9. 68 ;2-200I
ETS1 TS 101 862-2000
ANSI X9.77
ANSI X9. 79-2001
ETSI TS 101 456
表4（续）
标题/描述
信息技术安全技术时间凝服务
一第1部分：柜架
一第2部分，产生独立今牌的机制GB/T 27911—2011
一第3部分，产生连接的令的机制时间费娥述
信息技术安全技术带消息恢复的数字签名方案第1部分·使用几余的机制
第2部分:基于整数因数分解的机制第 日 部分:基于高散对数的机制信息技术安全技术带附录的数字签名第1部分，概述bZxz.net
一第2部分：基身份的机制
第3部分：基于证书的机制
金融服务行业中便用可逆的公销加密技术的数字笠名电子签名格式
金融服务行业的公制加密技术：扩展部分公钥证书和证书跨止列表
移动/无线和大交易金融系统数字证书：第2部分：域证书语法
合格证书简介
公钥基础设施协议
公钥基础设施(PKI)实贱和策府框架发行合格延书的以证机按的策略要求可用性是指随时根据授权实体的娶保持可访问和可使用的特性。对于金融机构而言，在业务连续性和金融行业的整体形象方面，务的可用性是重要的，用来确保可用性的机制基于余、备份、异地储存、备份场所和灾难恢复计划，相关标罹见表5。表 5 服务的可用性
灾难恢复
可用的标准
ISO/IEC 24762:2008
NIST 800-34·2002
标题/描述
信息技术安全技术信息和通信技术灾难恢复服务指南指定的出版物，信息技术系统意外事件计划指雨国家标准技术协会姓设书(草案)
TTTKNTKACA
GB/T 27911--2011
2.7可追溯性和审计
可追溯性是确保-个实体的活动能被唯一追溯到该实体的特性。显而易见·金融机构应能够向他们的客户和第三左证明交易的有效性。不同的安全方法，程序和产品应有一个合理的安全级别。系统或组织应建立一套最低限度的安全措施。可追潮性和审计机制是以审计露踪、目志，功能分类、保护轮廓、评估标推等为基础的，相关标准见表6。
衰 6 可追溯性和审计
功能分类
保护轮康
评估标准
可用的标推
Iso1018
ANSIX9,15-1999
ISO/IEC TR 154±6
ISQ/IFC 15292
ANS1 X9. 79
ISO 13491-1
ISO 13491-2
ISO/IEC 15408-1
IS0/IEC15408-2
ISO/IEC 15408-3
IS0/TEC 18045-2008
IS0/IECTR 19791:2006
IS0/IEC21827:2008
ANSI X9. 66
ANS1 X9, 74
标题/描述
信息技术开效系统互连开故系统安全框架：---第1部分：概述
一第2部分：鉴别框架
一第3部分；访向控制柜架
一第4部分：扰抵赖框架
一第5部分：机密性框架
使用数字签名和属性证书加强管理控制信息技术安全技术保护轮廊和安全目标的产生指南信息技术安全技术保护轮廉注册规程第2部分：证书发行和昏理系统的保护轮序（草案）银行业务安全加密设备（季告）第1部分：概念、需求和评估方法
银行业务安全加密设备零售）第2部分，金融交易中设备安全符合性检测清单
信慰技术安全技术信息技术安全性评估准厕第1部
分：简介和一般模型
信息技术安全技术信息技术安全性评估准则第2部
分安全功能要求
信息技术安全技术信息技术安全性评估准则第3部分：安全保证要求
信总技术安全技术IT安全评估方法信息技术安全术可操作系筑的安全评估信息技术安全技术系统安全工程能力成燕度模型(SSE-CMM
加密设备的安全
证书路径处趣的一致性测试
TTTKANTKACA
2. 8 互用性
GB/T 27911—2011
对于金融行业，无论是在批发环境，还是在零环境，瓦用性正在成为一个重要的同题。互用性机制基于数据元，协议和接口标准。然而，应该指出的是，互用性与现在单独存在的标相比是一个更显著的问题.相关标准见表7。表7互用性
互用性
数据元
2.9安全管理
可用的标准
EMV2000
ISO 13616
1S07064
ISO8583
ISO9992
[SO15668
1S07813
标题/描述
支付系统果成电路卡规范
一誉1：应用独立IC卡对终蜡孩口的要求卷2：安全和患钥管理
一卷 3:应用规范
卷1.持下人，柜风和收单行的接口要求安全电子交易规池
我1：交易描递
卷2:祸序员指南
卷3.正式协议定义
银行业务和相关会融服务国际银行账号(IBAN)信息技术安全技术数据处理校验码系统产生报文的金融交磊卡交换报文魏范第1部分：报文数据元和优码值
第2部分：机构标识码(正C)的应用及注册规程第3部分：报文、数据元和代码值的维护规程金融交氢卡案成电路卡与卡接受设备之间的报文一第I部分：熊念和结构
第2部分：功能、批文（命令与响应）数据元和结构银行业务安全文件传输(零售)
信息技术识别卡金融交易卡
金融机构使用的安全措施应得到管理。在密钥管理和证书管理领域，需要一些通用标准用来确保一.个基本的最低安全级别,相关标准见表8。TTTKONKACA
GB/T 27911—2011
安全管理
磐钥管理
可用的标准
表 8 安金管理
ISO/IEC 13335-1:1996
IS0/IECTR 18044
IS0/IEC27001
IS0/TEC 27002
ISO/TR13569
[SO/IEC 15-143
IS0/IEC15816
ISO15947
1S0/IEC 18043,2006
IS0/FC27000,2009
ISO/IEC27005:2008
ISO/IEC 27006:2007
IS0/IEC 27011.2008
ANSI X9. 11
BS 7799
ECBS TR 406
ISO 11568
ISO/TEC 11770
150 13492.1998
ANSI X9, 42-2001
ANSI X9. 44-2000
标题/摧述
信息技术信息技术安全管理措南第 1 部分;信息技术安全概念和模型
信息技术安会技术信息安全事件管理指南信息技术安全技术信息安全管理体系要求信息技术安全技术信息安全管理实用规则银行业务和相关金融服务信息安全指南信息技术安全接术信息技术安全课证据架信息技术安全技术访问控制的安全信息目标信息技术安全技术信息技术人径检测框架信息技术安全技术人侵检测系统的选择、部署和操作信意技术 安全技术信息安全管理体系概述和词汇信息技术：安全技术信息安全风险管理信总技术安全技术对提供信总安全管理体系的审计和鉴别的实体的要求
信息技术安全技术基于IS0/IEC 27002的电信组期的信息安全管理指南
金融服务行业安全服务管理
信息安全管理
算法用法和密销管理指南
银行业务密钥管理（零告）
—第1部分：一般原则
—第 2部分;对称密码及其密期管理和生命周期一第 4 部分:非对称密码系统及其密钥管理和生命周期信息技术安全技术密朗管理
—第 1 部分:框架
一第2部分：对称技术机
一第 3 部分;非对称技术机制
银行业务密钾管理相关数据元（零督）金融腰务行业公钥率装术：使用离散刘数加密技术的对称密协设
金融服务行业使用基于因式分解公钼加密技术的密钥建文《草）
密匙管理
证书誉理
可信任第三方音理
2. 10加密算法
可用的标准
ANSI X9. 63-2001
ANSI X9. 70
ECBS TR 405
ISO15782
ISO211BH:2006
ANSI X9. 57-1997
ANSI X9,79-2001
ECBS TR 402-1997
IETFRFC2527.1999
ISO/IEC TR 14516
ISO/IEC 15D45
表8 (续)
标题/描述
GB/T 27911—2011
金融服务行业公钥加密技术：使用糖阅曲线如密技术的密钥骨理和密钥传输
使用公钥算法的对称窖期管理
金融系统的密钥恢复
银行业务正书管理
一第1部分+公银证书
第2部分;证书扩展
用于金融服务的公切基研设施实施和策略框架金融服务行业的公钙加密技术：证书普理公翻基础设施实践和策略据架
数字证书认证机构（版本2)
互联网x.509公钥基研设施证书和证书废止列表(CRL)架
信息技术安全技术可信在第三方服务的使用和管理指南
息技术安全技术支持数字签名应用的TTP服务规范
金融机构便用的安全措施大部分基于加密技术，由子互用性和基本安全水平的原因，加密技术领域要一些通用标准和关标准见表 9。轰 9加密算法
可用的标准
ISO/IEC9979
IS/IEC 18031:2005
ISO/IEC 18032.2005
IS0/IEC 18033-1 :2005
ISO/1EC 18033-2:2006
ISO/IEC18033-3:2005
ISO/IEC18033-4:2005
IS0/IFC19790.2006
ANSIX9.B2
ANS1 X9. 8Q-2001
ANSITR9
标题/描
信息技术安全技术加密算法的注册程序信息技术安全技术随机数生成
信息技术安全技术 索数生成
信息技术安全技术加密算法第1部分，概述信息技术安全技术加密算法第2部分：非对称密码信息技术安全技术加密算法第3带分：分组密码信意技术安全技术加密算法第4部分，流密码信息技术安全技术
密码快的安全要求
随凯数生成
素数生成
金融行业标准的抽象句法符号和端码规则9
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。