标准解读

GB/T 20547.2-2006是一项中国国家标准,专注于银行业的业务安全领域,特别是针对加密设备在零售环境中的应用。该标准的第二部分详细规定了金融交易中使用的安全加密设备必须满足的安全合规性检测项目,旨在确保这些设备能够提供高度的安全保障,防止数据泄露和未经授权的访问,维护金融交易的完整性和机密性。

标准内容概览

  1. 适用范围:本部分标准适用于在零售银行业务中处理金融交易信息的安全加密设备,包括但不限于POS终端、自动柜员机(ATM)、移动支付设备等。它明确了这些设备在设计、实施和运行过程中需要达到的安全技术要求和评估方法。

  2. 安全要求:标准详细列出了多项安全要求,涵盖了物理安全、逻辑安全、操作安全及通信安全等方面。例如,物理安全方面要求设备能够抵抗物理破坏和非法入侵;逻辑安全则强调了对数据加密、认证机制、访问控制的需求;操作安全关注于设备的管理、维护及故障恢复过程;通信安全确保数据在传输过程中的保密性和完整性。

  3. 合规性检测清单:核心内容之一是提供了一个详尽的检测清单,用于评估设备是否符合上述安全要求。这份清单包括了具体测试项、测试方法和合格判定准则,如设备应能抵抗已知的安全威胁和攻击手段,确保软件和固件更新的安全性,以及具备防止篡改交易信息的能力等。

  4. 评估与认证:标准指导如何进行设备的安全评估和认证过程,包括由第三方机构执行的符合性测试。通过这些测试,设备供应商或使用机构可以证明其产品或服务满足了国家对于金融信息安全的高标准要求。

实施意义

此标准的实施有助于提升银行业务中使用的加密设备的安全水平,增强消费者对电子金融服务的信任,同时为金融机构选择和部署安全解决方案提供了明确的技术参考和合规依据。通过标准化的安全检测和认证流程,促进了整个行业的安全规范发展,有效降低了金融交易中的风险,保护了用户资金和个人信息安全。

结果强调

该标准通过具体的检测清单和评估指南,为确保零售银行业务中加密设备的安全性设立了全面且严格的标准框架,对提升金融交易安全性具有重要意义。


如需获取更多详尽信息,请直接参考下方经官方授权发布的权威标准文档。

....

查看全部

  • 现行
  • 正在执行有效
  • 2006-09-18 颁布
  • 2007-03-01 实施
©正版授权
GB/T 20547.2-2006银行业务安全加密设备(零售)第2部分:金融交易中设备安全符合性检测清单_第1页
GB/T 20547.2-2006银行业务安全加密设备(零售)第2部分:金融交易中设备安全符合性检测清单_第2页
GB/T 20547.2-2006银行业务安全加密设备(零售)第2部分:金融交易中设备安全符合性检测清单_第3页
GB/T 20547.2-2006银行业务安全加密设备(零售)第2部分:金融交易中设备安全符合性检测清单_第4页
GB/T 20547.2-2006银行业务安全加密设备(零售)第2部分:金融交易中设备安全符合性检测清单_第5页
免费预览已结束,剩余27页可下载查看

下载本文档

免费下载试读页

文档简介

ICS35.240.40A11中华人民共和国国家标准GB/T20547.2—2006银行业务安全加密设备(零售)第2部分:金融交易中设备安全符合性检测清单Banking-Securecryptographicdevices(retail)-Part2:Securitycompliancecheckiistsfordevicesusedinfinancialtransactions(ISO13491-2:2005.MOD)2006-09-18发布2007-03-01实施中华人民共和国国家质量监督检验检疫总局爱布中国国家标准化管理委员会

GB/T20547.2—2006次前育引言池围2规范性引用文件3术语和定义4安全符合性检测清单的使用附录A(规范性附录)安全加密设备基本的物理、逻辑和设备管理特性附录B(规范性附录)具有PIN输入功能的设备附录C(规范性附录)具有PIN管理功能的设备·附录D(规范性附录)具有报文鉴别功能的设备附录E(规范性附录)具有密钥生成功能的设备附录F(规范性附录)具具有密钥传输和加载功能的设备附录G(规范性附录)具有数字签名功能的设备附录日(规范性附录)环境分类……23

GB/T20547.2—2006GB/T20547《银行业务安全加密设备(零售)》分为如下部分:-第1部分:概念、要求和评估方法-第2部分:金融交易中设备安全符合性检测清单本部分是GB/T20547的第2部分本部分修改采用国际标准ISO13491-2:2005《银行业务安全加密设备(零售)第2部分:金融交易中设备安全符合性检测清单》英文版)。本部分对ISO13491-2:2005所做的修改主要包括以下内容1。将本部分中引用的国际标准改为国际标准和国内相关法规。2,删除目前国内不适用的部分规范性引用文件。本部分的附录A、附录B、附录C、附录D、附录E、附录F、附录G和附录H为规范性附录.本部分由中国人民银行提出本部分由全国金融标准化技术委员会归口管理本部分起草单位:中国银联股份有限公司、中国人民银行、中国工商银行、中国银行股份有限公司中国建设银行股份有限公司、交通银行、北京银联金卡科技有限公司。本部分主要起草人:刘钟、孙平、黄发国、徐志忠、温永盛、陆书春、刘运、赵宏鑫、薛伟、张晓东、陈立群、钱菲、李曙光、刘志刚、任冠华、姜红、李洁。本标准于2006年首次发布。

GB/T20547.2-2006GB/T20547的本部分规定了金融零售业务中用于保护报文、密钥及其他敏感信息的安全加密设备的物理特性、逻辑特性和管理要求。电子银行零售业务的安全性在很大程度上依赖于加密设备的安全性。加密设备的安全性要求基于这样一些假设.即:计算机文件可能被非法访问和处理,通讯线路可能被“窃听”,合法的数据和控制指令可能被非法操作所取代。尽管某些加密设备(如主机安全模块)放置在安全性相对较高的处理中心,但大部分应用于零售银行业务的加密设备(如密码键盘等)都处在并不安全的环境中。因此,在这些加密设备上处理PIN(个人标识码)MAC(报文鉴别码)密钥和其他机密数据时,就存在设备受到入侵、数据泄漏或被墓改的风险。通过合理使用以及正确管理具有特定物理和逻辑安全特性的安全加密设备,可确保降低金融凤险。为保证安全加密设备具有恰当的物理和逻辑安全特性,应对其进行评估。本部分依据ISO13491-1中对金融服务系统中安全加密设备的要求,提供了用于评估安全加密设备的安全符合性检测清单。存在其他的评估框架,并且也适合用于正式安全评估,例如:ISO/IEC15408的1~3部分和ISO/IEC19790,但这些已超出ISO13491本部分的范围。加密设备应具有合适的特性以保证其具有适当的可操作性并能为内部数据提供足够保护。为确保设备的合法性,即设备不能被未授权的方法更改(如安装“侦听装置”等),并且设备中的敏感数据不会泄漏或被箕改·适当的设备管理是非常必要的。绝对的安全性实际上是无法达到的。加密安全性依赖于安全加密设备生命周期的每个阶段,以及适当的设备管理程序和安全加密特性两者的有效结合。管理程序可以通过防范措施降低设备安全防护被攻破的可能性。这些防护措施是为了在设备本身特性不能阻止或探测安全攻击的情况下,提高发现非法访问敏感数据或机密数据行为的可能性

GB/T20547.2—2006银行业务安全加密设备(零售)第2部分:金融交易中设备安全符合性检测清单1范围GB/T20547的本部分结合国际或国内相关法规中规定的加密设备所采用的加密算法,规定了评估金融服务系统中安全加密设备的安全符合性检测清单。IC支付卡在发卡前应符合本部分的要求,发卡后作为一种个人设备不属于本部分范围本部分不涉及由安全加密设备故障所产生的问题在附录A~附录日中,不可行"用于表示:尽管某些特定攻击在技术上是可能的,但在经济上是不可行的.因为实现这一攻击所需的经济开销要比攻破后得到的利益大得多。当然.除了为单纯的经济利益而攻击外.针对名誉的恶意攻击也应予以考虐。规范性引用文件下列文件中的条款通过GB/T20547的本部分的引用而成为本部分的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勒误的内容)或修订版均不适用于本部分,然而,鼓励根据本部分达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本都分ISO9564-1:2002银行业务个人识别码管理和安全第一部分:在ATM和POS系统中对联机PIN的保护原理与要求ISO11568(所有部分)银行业务密钥管理(零售业务)ISO13491-1银行业务安全加密设备(零售)第1部分:概念、要求和评估方法ISO16609银行业务使用对称技术的报文鉴别需求ISO18031信息技术随机数的产生语和定义下列术语和定义适用于本部分(ISO13491-1中定义的术语和定义在本部分中同样适用)3.1审计师auditor代表发起者或审计机构做非正式评估的具有检查、审计和评估能力的人员。3.2数据完整性datain

温馨提示

  • 1. 本站所提供的标准文本仅供个人学习、研究之用,未经授权,严禁复制、发行、汇编、翻译或网络传播等,侵权必究。
  • 2. 本站所提供的标准均为PDF格式电子版文本(可阅读打印),因数字商品的特殊性,一经售出,不提供退换货服务。
  • 3. 标准文档要求电子版与印刷版保持一致,所以下载的文档中可能包含空白页,非文档质量问题。

评论

0/150

提交评论