標(biāo)準(zhǔn)解讀

GB/T 20547.2-2006是一項(xiàng)中國(guó)國(guó)家標(biāo)準(zhǔn),專注于銀行業(yè)的業(yè)務(wù)安全領(lǐng)域,特別是針對(duì)加密設(shè)備在零售環(huán)境中的應(yīng)用。該標(biāo)準(zhǔn)的第二部分詳細(xì)規(guī)定了金融交易中使用的安全加密設(shè)備必須滿足的安全合規(guī)性檢測(cè)項(xiàng)目,旨在確保這些設(shè)備能夠提供高度的安全保障,防止數(shù)據(jù)泄露和未經(jīng)授權(quán)的訪問,維護(hù)金融交易的完整性和機(jī)密性。

標(biāo)準(zhǔn)內(nèi)容概覽

  1. 適用范圍:本部分標(biāo)準(zhǔn)適用于在零售銀行業(yè)務(wù)中處理金融交易信息的安全加密設(shè)備,包括但不限于POS終端、自動(dòng)柜員機(jī)(ATM)、移動(dòng)支付設(shè)備等。它明確了這些設(shè)備在設(shè)計(jì)、實(shí)施和運(yùn)行過程中需要達(dá)到的安全技術(shù)要求和評(píng)估方法。

  2. 安全要求:標(biāo)準(zhǔn)詳細(xì)列出了多項(xiàng)安全要求,涵蓋了物理安全、邏輯安全、操作安全及通信安全等方面。例如,物理安全方面要求設(shè)備能夠抵抗物理破壞和非法入侵;邏輯安全則強(qiáng)調(diào)了對(duì)數(shù)據(jù)加密、認(rèn)證機(jī)制、訪問控制的需求;操作安全關(guān)注于設(shè)備的管理、維護(hù)及故障恢復(fù)過程;通信安全確保數(shù)據(jù)在傳輸過程中的保密性和完整性。

  3. 合規(guī)性檢測(cè)清單:核心內(nèi)容之一是提供了一個(gè)詳盡的檢測(cè)清單,用于評(píng)估設(shè)備是否符合上述安全要求。這份清單包括了具體測(cè)試項(xiàng)、測(cè)試方法和合格判定準(zhǔn)則,如設(shè)備應(yīng)能抵抗已知的安全威脅和攻擊手段,確保軟件和固件更新的安全性,以及具備防止篡改交易信息的能力等。

  4. 評(píng)估與認(rèn)證:標(biāo)準(zhǔn)指導(dǎo)如何進(jìn)行設(shè)備的安全評(píng)估和認(rèn)證過程,包括由第三方機(jī)構(gòu)執(zhí)行的符合性測(cè)試。通過這些測(cè)試,設(shè)備供應(yīng)商或使用機(jī)構(gòu)可以證明其產(chǎn)品或服務(wù)滿足了國(guó)家對(duì)于金融信息安全的高標(biāo)準(zhǔn)要求。

實(shí)施意義

此標(biāo)準(zhǔn)的實(shí)施有助于提升銀行業(yè)務(wù)中使用的加密設(shè)備的安全水平,增強(qiáng)消費(fèi)者對(duì)電子金融服務(wù)的信任,同時(shí)為金融機(jī)構(gòu)選擇和部署安全解決方案提供了明確的技術(shù)參考和合規(guī)依據(jù)。通過標(biāo)準(zhǔn)化的安全檢測(cè)和認(rèn)證流程,促進(jìn)了整個(gè)行業(yè)的安全規(guī)范發(fā)展,有效降低了金融交易中的風(fēng)險(xiǎn),保護(hù)了用戶資金和個(gè)人信息安全。

結(jié)果強(qiáng)調(diào)

該標(biāo)準(zhǔn)通過具體的檢測(cè)清單和評(píng)估指南,為確保零售銀行業(yè)務(wù)中加密設(shè)備的安全性設(shè)立了全面且嚴(yán)格的標(biāo)準(zhǔn)框架,對(duì)提升金融交易安全性具有重要意義。


如需獲取更多詳盡信息,請(qǐng)直接參考下方經(jīng)官方授權(quán)發(fā)布的權(quán)威標(biāo)準(zhǔn)文檔。

....

查看全部

  • 現(xiàn)行
  • 正在執(zhí)行有效
  • 2006-09-18 頒布
  • 2007-03-01 實(shí)施
?正版授權(quán)
GB/T 20547.2-2006銀行業(yè)務(wù)安全加密設(shè)備(零售)第2部分:金融交易中設(shè)備安全符合性檢測(cè)清單_第1頁(yè)
GB/T 20547.2-2006銀行業(yè)務(wù)安全加密設(shè)備(零售)第2部分:金融交易中設(shè)備安全符合性檢測(cè)清單_第2頁(yè)
GB/T 20547.2-2006銀行業(yè)務(wù)安全加密設(shè)備(零售)第2部分:金融交易中設(shè)備安全符合性檢測(cè)清單_第3頁(yè)
GB/T 20547.2-2006銀行業(yè)務(wù)安全加密設(shè)備(零售)第2部分:金融交易中設(shè)備安全符合性檢測(cè)清單_第4頁(yè)
GB/T 20547.2-2006銀行業(yè)務(wù)安全加密設(shè)備(零售)第2部分:金融交易中設(shè)備安全符合性檢測(cè)清單_第5頁(yè)
免費(fèi)預(yù)覽已結(jié)束,剩余27頁(yè)可下載查看

下載本文檔

GB/T 20547.2-2006銀行業(yè)務(wù)安全加密設(shè)備(零售)第2部分:金融交易中設(shè)備安全符合性檢測(cè)清單-免費(fèi)下載試讀頁(yè)

文檔簡(jiǎn)介

ICS35.240.40A11中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)GB/T20547.2—2006銀行業(yè)務(wù)安全加密設(shè)備(零售)第2部分:金融交易中設(shè)備安全符合性檢測(cè)清單Banking-Securecryptographicdevices(retail)-Part2:Securitycompliancecheckiistsfordevicesusedinfinancialtransactions(ISO13491-2:2005.MOD)2006-09-18發(fā)布2007-03-01實(shí)施中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局愛布中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T20547.2—2006次前育引言池圍2規(guī)范性引用文件3術(shù)語和定義4安全符合性檢測(cè)清單的使用附錄A(規(guī)范性附錄)安全加密設(shè)備基本的物理、邏輯和設(shè)備管理特性附錄B(規(guī)范性附錄)具有PIN輸入功能的設(shè)備附錄C(規(guī)范性附錄)具有PIN管理功能的設(shè)備·附錄D(規(guī)范性附錄)具有報(bào)文鑒別功能的設(shè)備附錄E(規(guī)范性附錄)具有密鑰生成功能的設(shè)備附錄F(規(guī)范性附錄)具具有密鑰傳輸和加載功能的設(shè)備附錄G(規(guī)范性附錄)具有數(shù)字簽名功能的設(shè)備附錄日(規(guī)范性附錄)環(huán)境分類……23

GB/T20547.2—2006GB/T20547《銀行業(yè)務(wù)安全加密設(shè)備(零售)》分為如下部分:-第1部分:概念、要求和評(píng)估方法-第2部分:金融交易中設(shè)備安全符合性檢測(cè)清單本部分是GB/T20547的第2部分本部分修改采用國(guó)際標(biāo)準(zhǔn)ISO13491-2:2005《銀行業(yè)務(wù)安全加密設(shè)備(零售)第2部分:金融交易中設(shè)備安全符合性檢測(cè)清單》英文版)。本部分對(duì)ISO13491-2:2005所做的修改主要包括以下內(nèi)容1。將本部分中引用的國(guó)際標(biāo)準(zhǔn)改為國(guó)際標(biāo)準(zhǔn)和國(guó)內(nèi)相關(guān)法規(guī)。2,刪除目前國(guó)內(nèi)不適用的部分規(guī)范性引用文件。本部分的附錄A、附錄B、附錄C、附錄D、附錄E、附錄F、附錄G和附錄H為規(guī)范性附錄.本部分由中國(guó)人民銀行提出本部分由全國(guó)金融標(biāo)準(zhǔn)化技術(shù)委員會(huì)歸口管理本部分起草單位:中國(guó)銀聯(lián)股份有限公司、中國(guó)人民銀行、中國(guó)工商銀行、中國(guó)銀行股份有限公司中國(guó)建設(shè)銀行股份有限公司、交通銀行、北京銀聯(lián)金卡科技有限公司。本部分主要起草人:劉鐘、孫平、黃發(fā)國(guó)、徐志忠、溫永盛、陸書春、劉運(yùn)、趙宏鑫、薛偉、張曉東、陳立群、錢菲、李曙光、劉志剛、任冠華、姜紅、李潔。本標(biāo)準(zhǔn)于2006年首次發(fā)布。

GB/T20547.2-2006GB/T20547的本部分規(guī)定了金融零售業(yè)務(wù)中用于保護(hù)報(bào)文、密鑰及其他敏感信息的安全加密設(shè)備的物理特性、邏輯特性和管理要求。電子銀行零售業(yè)務(wù)的安全性在很大程度上依賴于加密設(shè)備的安全性。加密設(shè)備的安全性要求基于這樣一些假設(shè).即:計(jì)算機(jī)文件可能被非法訪問和處理,通訊線路可能被“竊聽”,合法的數(shù)據(jù)和控制指令可能被非法操作所取代。盡管某些加密設(shè)備(如主機(jī)安全模塊)放置在安全性相對(duì)較高的處理中心,但大部分應(yīng)用于零售銀行業(yè)務(wù)的加密設(shè)備(如密碼鍵盤等)都處在并不安全的環(huán)境中。因此,在這些加密設(shè)備上處理PIN(個(gè)人標(biāo)識(shí)碼)MAC(報(bào)文鑒別碼)密鑰和其他機(jī)密數(shù)據(jù)時(shí),就存在設(shè)備受到入侵、數(shù)據(jù)泄漏或被墓改的風(fēng)險(xiǎn)。通過合理使用以及正確管理具有特定物理和邏輯安全特性的安全加密設(shè)備,可確保降低金融鳳險(xiǎn)。為保證安全加密設(shè)備具有恰當(dāng)?shù)奈锢砗瓦壿嫲踩匦裕瑧?yīng)對(duì)其進(jìn)行評(píng)估。本部分依據(jù)ISO13491-1中對(duì)金融服務(wù)系統(tǒng)中安全加密設(shè)備的要求,提供了用于評(píng)估安全加密設(shè)備的安全符合性檢測(cè)清單。存在其他的評(píng)估框架,并且也適合用于正式安全評(píng)估,例如:ISO/IEC15408的1~3部分和ISO/IEC19790,但這些已超出ISO13491本部分的范圍。加密設(shè)備應(yīng)具有合適的特性以保證其具有適當(dāng)?shù)目刹僮餍圆⒛転閮?nèi)部數(shù)據(jù)提供足夠保護(hù)。為確保設(shè)備的合法性,即設(shè)備不能被未授權(quán)的方法更改(如安裝“偵聽裝置”等),并且設(shè)備中的敏感數(shù)據(jù)不會(huì)泄漏或被箕改·適當(dāng)?shù)脑O(shè)備管理是非常必要的。絕對(duì)的安全性實(shí)際上是無法達(dá)到的。加密安全性依賴于安全加密設(shè)備生命周期的每個(gè)階段,以及適當(dāng)?shù)脑O(shè)備管理程序和安全加密特性兩者的有效結(jié)合。管理程序可以通過防范措施降低設(shè)備安全防護(hù)被攻破的可能性。這些防護(hù)措施是為了在設(shè)備本身特性不能阻止或探測(cè)安全攻擊的情況下,提高發(fā)現(xiàn)非法訪問敏感數(shù)據(jù)或機(jī)密數(shù)據(jù)行為的可能性

GB/T20547.2—2006銀行業(yè)務(wù)安全加密設(shè)備(零售)第2部分:金融交易中設(shè)備安全符合性檢測(cè)清單1范圍GB/T20547的本部分結(jié)合國(guó)際或國(guó)內(nèi)相關(guān)法規(guī)中規(guī)定的加密設(shè)備所采用的加密算法,規(guī)定了評(píng)估金融服務(wù)系統(tǒng)中安全加密設(shè)備的安全符合性檢測(cè)清單。IC支付卡在發(fā)卡前應(yīng)符合本部分的要求,發(fā)卡后作為一種個(gè)人設(shè)備不屬于本部分范圍本部分不涉及由安全加密設(shè)備故障所產(chǎn)生的問題在附錄A~附錄日中,不可行"用于表示:盡管某些特定攻擊在技術(shù)上是可能的,但在經(jīng)濟(jì)上是不可行的.因?yàn)閷?shí)現(xiàn)這一攻擊所需的經(jīng)濟(jì)開銷要比攻破后得到的利益大得多。當(dāng)然.除了為單純的經(jīng)濟(jì)利益而攻擊外.針對(duì)名譽(yù)的惡意攻擊也應(yīng)予以考虐。規(guī)范性引用文件下列文件中的條款通過GB/T20547的本部分的引用而成為本部分的條款。凡是注日期的引用文件,其隨后所有的修改單(不包括勒誤的內(nèi)容)或修訂版均不適用于本部分,然而,鼓勵(lì)根據(jù)本部分達(dá)成協(xié)議的各方研究是否可使用這些文件的最新版本。凡是不注日期的引用文件,其最新版本適用于本都分ISO9564-1:2002銀行業(yè)務(wù)個(gè)人識(shí)別碼管理和安全第一部分:在ATM和POS系統(tǒng)中對(duì)聯(lián)機(jī)PIN的保護(hù)原理與要求ISO11568(所有部分)銀行業(yè)務(wù)密鑰管理(零售業(yè)務(wù))ISO13491-1銀行業(yè)務(wù)安全加密設(shè)備(零售)第1部分:概念、要求和評(píng)估方法ISO16609銀行業(yè)務(wù)使用對(duì)稱技術(shù)的報(bào)文鑒別需求ISO18031信息技術(shù)隨機(jī)數(shù)的產(chǎn)生語和定義下列術(shù)語和定義適用于本部分(ISO13491-1中定義的術(shù)語和定義在本部分中同樣適用)3.1審計(jì)師auditor代表發(fā)起者或?qū)徲?jì)機(jī)構(gòu)做非正式評(píng)估的具有檢查、審計(jì)和評(píng)估能力的人員。3.2數(shù)據(jù)完整性datain

溫馨提示

  • 1. 本站所提供的標(biāo)準(zhǔn)文本僅供個(gè)人學(xué)習(xí)、研究之用,未經(jīng)授權(quán),嚴(yán)禁復(fù)制、發(fā)行、匯編、翻譯或網(wǎng)絡(luò)傳播等,侵權(quán)必究。
  • 2. 本站所提供的標(biāo)準(zhǔn)均為PDF格式電子版文本(可閱讀打?。?,因數(shù)字商品的特殊性,一經(jīng)售出,不提供退換貨服務(wù)。
  • 3. 標(biāo)準(zhǔn)文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁(yè),非文檔質(zhì)量問題。

評(píng)論

0/150

提交評(píng)論