標(biāo)準(zhǔn)解讀

GB/T 20547.2-2006是一項(xiàng)中國(guó)國(guó)家標(biāo)準(zhǔn),專注于銀行業(yè)的業(yè)務(wù)安全領(lǐng)域,特別是針對(duì)加密設(shè)備在零售環(huán)境中的應(yīng)用。該標(biāo)準(zhǔn)的第二部分詳細(xì)規(guī)定了金融交易中使用的安全加密設(shè)備必須滿足的安全合規(guī)性檢測(cè)項(xiàng)目,旨在確保這些設(shè)備能夠提供高度的安全保障,防止數(shù)據(jù)泄露和未經(jīng)授權(quán)的訪問(wèn),維護(hù)金融交易的完整性和機(jī)密性。

標(biāo)準(zhǔn)內(nèi)容概覽

  1. 適用范圍:本部分標(biāo)準(zhǔn)適用于在零售銀行業(yè)務(wù)中處理金融交易信息的安全加密設(shè)備,包括但不限于POS終端、自動(dòng)柜員機(jī)(ATM)、移動(dòng)支付設(shè)備等。它明確了這些設(shè)備在設(shè)計(jì)、實(shí)施和運(yùn)行過(guò)程中需要達(dá)到的安全技術(shù)要求和評(píng)估方法。

  2. 安全要求:標(biāo)準(zhǔn)詳細(xì)列出了多項(xiàng)安全要求,涵蓋了物理安全、邏輯安全、操作安全及通信安全等方面。例如,物理安全方面要求設(shè)備能夠抵抗物理破壞和非法入侵;邏輯安全則強(qiáng)調(diào)了對(duì)數(shù)據(jù)加密、認(rèn)證機(jī)制、訪問(wèn)控制的需求;操作安全關(guān)注于設(shè)備的管理、維護(hù)及故障恢復(fù)過(guò)程;通信安全確保數(shù)據(jù)在傳輸過(guò)程中的保密性和完整性。

  3. 合規(guī)性檢測(cè)清單:核心內(nèi)容之一是提供了一個(gè)詳盡的檢測(cè)清單,用于評(píng)估設(shè)備是否符合上述安全要求。這份清單包括了具體測(cè)試項(xiàng)、測(cè)試方法和合格判定準(zhǔn)則,如設(shè)備應(yīng)能抵抗已知的安全威脅和攻擊手段,確保軟件和固件更新的安全性,以及具備防止篡改交易信息的能力等。

  4. 評(píng)估與認(rèn)證:標(biāo)準(zhǔn)指導(dǎo)如何進(jìn)行設(shè)備的安全評(píng)估和認(rèn)證過(guò)程,包括由第三方機(jī)構(gòu)執(zhí)行的符合性測(cè)試。通過(guò)這些測(cè)試,設(shè)備供應(yīng)商或使用機(jī)構(gòu)可以證明其產(chǎn)品或服務(wù)滿足了國(guó)家對(duì)于金融信息安全的高標(biāo)準(zhǔn)要求。

實(shí)施意義

此標(biāo)準(zhǔn)的實(shí)施有助于提升銀行業(yè)務(wù)中使用的加密設(shè)備的安全水平,增強(qiáng)消費(fèi)者對(duì)電子金融服務(wù)的信任,同時(shí)為金融機(jī)構(gòu)選擇和部署安全解決方案提供了明確的技術(shù)參考和合規(guī)依據(jù)。通過(guò)標(biāo)準(zhǔn)化的安全檢測(cè)和認(rèn)證流程,促進(jìn)了整個(gè)行業(yè)的安全規(guī)范發(fā)展,有效降低了金融交易中的風(fēng)險(xiǎn),保護(hù)了用戶資金和個(gè)人信息安全。

結(jié)果強(qiáng)調(diào)

該標(biāo)準(zhǔn)通過(guò)具體的檢測(cè)清單和評(píng)估指南,為確保零售銀行業(yè)務(wù)中加密設(shè)備的安全性設(shè)立了全面且嚴(yán)格的標(biāo)準(zhǔn)框架,對(duì)提升金融交易安全性具有重要意義。


如需獲取更多詳盡信息,請(qǐng)直接參考下方經(jīng)官方授權(quán)發(fā)布的權(quán)威標(biāo)準(zhǔn)文檔。

....

查看全部

  • 現(xiàn)行
  • 正在執(zhí)行有效
  • 2006-09-18 頒布
  • 2007-03-01 實(shí)施
?正版授權(quán)
GB/T 20547.2-2006銀行業(yè)務(wù)安全加密設(shè)備(零售)第2部分:金融交易中設(shè)備安全符合性檢測(cè)清單_第1頁(yè)
GB/T 20547.2-2006銀行業(yè)務(wù)安全加密設(shè)備(零售)第2部分:金融交易中設(shè)備安全符合性檢測(cè)清單_第2頁(yè)
GB/T 20547.2-2006銀行業(yè)務(wù)安全加密設(shè)備(零售)第2部分:金融交易中設(shè)備安全符合性檢測(cè)清單_第3頁(yè)
GB/T 20547.2-2006銀行業(yè)務(wù)安全加密設(shè)備(零售)第2部分:金融交易中設(shè)備安全符合性檢測(cè)清單_第4頁(yè)
GB/T 20547.2-2006銀行業(yè)務(wù)安全加密設(shè)備(零售)第2部分:金融交易中設(shè)備安全符合性檢測(cè)清單_第5頁(yè)
免費(fèi)預(yù)覽已結(jié)束,剩余27頁(yè)可下載查看

下載本文檔

免費(fèi)下載試讀頁(yè)

文檔簡(jiǎn)介

ICS35.240.40A11中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)GB/T20547.2—2006銀行業(yè)務(wù)安全加密設(shè)備(零售)第2部分:金融交易中設(shè)備安全符合性檢測(cè)清單Banking-Securecryptographicdevices(retail)-Part2:Securitycompliancecheckiistsfordevicesusedinfinancialtransactions(ISO13491-2:2005.MOD)2006-09-18發(fā)布2007-03-01實(shí)施中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局愛(ài)布中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T20547.2—2006次前育引言池圍2規(guī)范性引用文件3術(shù)語(yǔ)和定義4安全符合性檢測(cè)清單的使用附錄A(規(guī)范性附錄)安全加密設(shè)備基本的物理、邏輯和設(shè)備管理特性附錄B(規(guī)范性附錄)具有PIN輸入功能的設(shè)備附錄C(規(guī)范性附錄)具有PIN管理功能的設(shè)備·附錄D(規(guī)范性附錄)具有報(bào)文鑒別功能的設(shè)備附錄E(規(guī)范性附錄)具有密鑰生成功能的設(shè)備附錄F(規(guī)范性附錄)具具有密鑰傳輸和加載功能的設(shè)備附錄G(規(guī)范性附錄)具有數(shù)字簽名功能的設(shè)備附錄日(規(guī)范性附錄)環(huán)境分類……23

GB/T20547.2—2006GB/T20547《銀行業(yè)務(wù)安全加密設(shè)備(零售)》分為如下部分:-第1部分:概念、要求和評(píng)估方法-第2部分:金融交易中設(shè)備安全符合性檢測(cè)清單本部分是GB/T20547的第2部分本部分修改采用國(guó)際標(biāo)準(zhǔn)ISO13491-2:2005《銀行業(yè)務(wù)安全加密設(shè)備(零售)第2部分:金融交易中設(shè)備安全符合性檢測(cè)清單》英文版)。本部分對(duì)ISO13491-2:2005所做的修改主要包括以下內(nèi)容1。將本部分中引用的國(guó)際標(biāo)準(zhǔn)改為國(guó)際標(biāo)準(zhǔn)和國(guó)內(nèi)相關(guān)法規(guī)。2,刪除目前國(guó)內(nèi)不適用的部分規(guī)范性引用文件。本部分的附錄A、附錄B、附錄C、附錄D、附錄E、附錄F、附錄G和附錄H為規(guī)范性附錄.本部分由中國(guó)人民銀行提出本部分由全國(guó)金融標(biāo)準(zhǔn)化技術(shù)委員會(huì)歸口管理本部分起草單位:中國(guó)銀聯(lián)股份有限公司、中國(guó)人民銀行、中國(guó)工商銀行、中國(guó)銀行股份有限公司中國(guó)建設(shè)銀行股份有限公司、交通銀行、北京銀聯(lián)金卡科技有限公司。本部分主要起草人:劉鐘、孫平、黃發(fā)國(guó)、徐志忠、溫永盛、陸書春、劉運(yùn)、趙宏鑫、薛偉、張曉東、陳立群、錢菲、李曙光、劉志剛、任冠華、姜紅、李潔。本標(biāo)準(zhǔn)于2006年首次發(fā)布。

GB/T20547.2-2006GB/T20547的本部分規(guī)定了金融零售業(yè)務(wù)中用于保護(hù)報(bào)文、密鑰及其他敏感信息的安全加密設(shè)備的物理特性、邏輯特性和管理要求。電子銀行零售業(yè)務(wù)的安全性在很大程度上依賴于加密設(shè)備的安全性。加密設(shè)備的安全性要求基于這樣一些假設(shè).即:計(jì)算機(jī)文件可能被非法訪問(wèn)和處理,通訊線路可能被“竊聽(tīng)”,合法的數(shù)據(jù)和控制指令可能被非法操作所取代。盡管某些加密設(shè)備(如主機(jī)安全模塊)放置在安全性相對(duì)較高的處理中心,但大部分應(yīng)用于零售銀行業(yè)務(wù)的加密設(shè)備(如密碼鍵盤等)都處在并不安全的環(huán)境中。因此,在這些加密設(shè)備上處理PIN(個(gè)人標(biāo)識(shí)碼)MAC(報(bào)文鑒別碼)密鑰和其他機(jī)密數(shù)據(jù)時(shí),就存在設(shè)備受到入侵、數(shù)據(jù)泄漏或被墓改的風(fēng)險(xiǎn)。通過(guò)合理使用以及正確管理具有特定物理和邏輯安全特性的安全加密設(shè)備,可確保降低金融鳳險(xiǎn)。為保證安全加密設(shè)備具有恰當(dāng)?shù)奈锢砗瓦壿嫲踩匦?,?yīng)對(duì)其進(jìn)行評(píng)估。本部分依據(jù)ISO13491-1中對(duì)金融服務(wù)系統(tǒng)中安全加密設(shè)備的要求,提供了用于評(píng)估安全加密設(shè)備的安全符合性檢測(cè)清單。存在其他的評(píng)估框架,并且也適合用于正式安全評(píng)估,例如:ISO/IEC15408的1~3部分和ISO/IEC19790,但這些已超出ISO13491本部分的范圍。加密設(shè)備應(yīng)具有合適的特性以保證其具有適當(dāng)?shù)目刹僮餍圆⒛転閮?nèi)部數(shù)據(jù)提供足夠保護(hù)。為確保設(shè)備的合法性,即設(shè)備不能被未授權(quán)的方法更改(如安裝“偵聽(tīng)裝置”等),并且設(shè)備中的敏感數(shù)據(jù)不會(huì)泄漏或被箕改·適當(dāng)?shù)脑O(shè)備管理是非常必要的。絕對(duì)的安全性實(shí)際上是無(wú)法達(dá)到的。加密安全性依賴于安全加密設(shè)備生命周期的每個(gè)階段,以及適當(dāng)?shù)脑O(shè)備管理程序和安全加密特性兩者的有效結(jié)合。管理程序可以通過(guò)防范措施降低設(shè)備安全防護(hù)被攻破的可能性。這些防護(hù)措施是為了在設(shè)備本身特性不能阻止或探測(cè)安全攻擊的情況下,提高發(fā)現(xiàn)非法訪問(wèn)敏感數(shù)據(jù)或機(jī)密數(shù)據(jù)行為的可能性

GB/T20547.2—2006銀行業(yè)務(wù)安全加密設(shè)備(零售)第2部分:金融交易中設(shè)備安全符合性檢測(cè)清單1范圍GB/T20547的本部分結(jié)合國(guó)際或國(guó)內(nèi)相關(guān)法規(guī)中規(guī)定的加密設(shè)備所采用的加密算法,規(guī)定了評(píng)估金融服務(wù)系統(tǒng)中安全加密設(shè)備的安全符合性檢測(cè)清單。IC支付卡在發(fā)卡前應(yīng)符合本部分的要求,發(fā)卡后作為一種個(gè)人設(shè)備不屬于本部分范圍本部分不涉及由安全加密設(shè)備故障所產(chǎn)生的問(wèn)題在附錄A~附錄日中,不可行"用于表示:盡管某些特定攻擊在技術(shù)上是可能的,但在經(jīng)濟(jì)上是不可行的.因?yàn)閷?shí)現(xiàn)這一攻擊所需的經(jīng)濟(jì)開(kāi)銷要比攻破后得到的利益大得多。當(dāng)然.除了為單純的經(jīng)濟(jì)利益而攻擊外.針對(duì)名譽(yù)的惡意攻擊也應(yīng)予以考虐。規(guī)范性引用文件下列文件中的條款通過(guò)GB/T20547的本部分的引用而成為本部分的條款。凡是注日期的引用文件,其隨后所有的修改單(不包括勒誤的內(nèi)容)或修訂版均不適用于本部分,然而,鼓勵(lì)根據(jù)本部分達(dá)成協(xié)議的各方研究是否可使用這些文件的最新版本。凡是不注日期的引用文件,其最新版本適用于本都分ISO9564-1:2002銀行業(yè)務(wù)個(gè)人識(shí)別碼管理和安全第一部分:在ATM和POS系統(tǒng)中對(duì)聯(lián)機(jī)PIN的保護(hù)原理與要求ISO11568(所有部分)銀行業(yè)務(wù)密鑰管理(零售業(yè)務(wù))ISO13491-1銀行業(yè)務(wù)安全加密設(shè)備(零售)第1部分:概念、要求和評(píng)估方法ISO16609銀行業(yè)務(wù)使用對(duì)稱技術(shù)的報(bào)文鑒別需求ISO18031信息技術(shù)隨機(jī)數(shù)的產(chǎn)生語(yǔ)和定義下列術(shù)語(yǔ)和定義適用于本部分(ISO13491-1中定義的術(shù)語(yǔ)和定義在本部分中同樣適用)3.1審計(jì)師auditor代表發(fā)起者或?qū)徲?jì)機(jī)構(gòu)做非正式評(píng)估的具有檢查、審計(jì)和評(píng)估能力的人員。3.2數(shù)據(jù)完整性datain

溫馨提示

  • 1. 本站所提供的標(biāo)準(zhǔn)文本僅供個(gè)人學(xué)習(xí)、研究之用,未經(jīng)授權(quán),嚴(yán)禁復(fù)制、發(fā)行、匯編、翻譯或網(wǎng)絡(luò)傳播等,侵權(quán)必究。
  • 2. 本站所提供的標(biāo)準(zhǔn)均為PDF格式電子版文本(可閱讀打?。?,因數(shù)字商品的特殊性,一經(jīng)售出,不提供退換貨服務(wù)。
  • 3. 標(biāo)準(zhǔn)文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁(yè),非文檔質(zhì)量問(wèn)題。

評(píng)論

0/150

提交評(píng)論