标准解读

《GB/T 21079.1-2011 银行业务 安全加密设备(零售) 第1部分:概念、要求和评估方法》与《GB/T 21079.1-2007 银行业务 安全加密设备(零售) 第1部分:概念、要求和评估方法》相比,主要存在以下几方面的更新与调整:

  1. 技术更新:2011版标准考虑了自2007年以来加密技术和信息安全领域的新发展,可能纳入了更先进的加密算法和技术要求,以应对不断变化的安全威胁环境。

  2. 安全要求增强:鉴于网络安全威胁的日益复杂化,2011版标准可能对安全控制措施提出了更为严格的要求,包括但不限于数据保护、访问控制、设备认证及加密处理等方面,确保银行业务在零售环节的安全性得到进一步加强。

  3. 评估方法优化:为适应新的安全挑战,新版标准可能修订了安全加密设备的评估方法和流程,引入了更科学、系统的评估指标和测试手段,以更准确地衡量设备的安全性能和合规性。

  4. 概念界定清晰化:针对随着技术进步而出现的新概念或术语,2011版标准可能提供了更加明确和详细的定义,帮助行业更好地理解和应用这些安全加密设备。

  5. 合规性指导:考虑到法律法规和行业规范的变化,新标准可能更新了与之相关的合规要求,确保银行业务安全加密设备的使用符合最新的政策导向和监管需求。

  6. 可操作性提升:为了便于实施,2011版标准可能对一些要求进行了细化和具体化,提供了更具体的实施指南和最佳实践建议,增强了标准的实用性和可执行性。


如需获取更多详尽信息,请直接参考下方经官方授权发布的权威标准文档。

....

查看全部

  • 现行
  • 正在执行有效
  • 2011-12-30 颁布
  • 2012-02-01 实施
©正版授权
GB/T 21079.1-2011银行业务安全加密设备(零售)第1部分:概念、要求和评估方法_第1页
GB/T 21079.1-2011银行业务安全加密设备(零售)第1部分:概念、要求和评估方法_第2页
GB/T 21079.1-2011银行业务安全加密设备(零售)第1部分:概念、要求和评估方法_第3页
GB/T 21079.1-2011银行业务安全加密设备(零售)第1部分:概念、要求和评估方法_第4页
GB/T 21079.1-2011银行业务安全加密设备(零售)第1部分:概念、要求和评估方法_第5页
免费预览已结束,剩余27页可下载查看

下载本文档

免费下载试读页

文档简介

ICS3524040

A11..

中华人民共和国国家标准

GB/T210791—2011/ISO13491-12007

.代替:

GB/T21079.1—2007

银行业务安全加密设备零售

()

第1部分概念要求和评估方法

:、

Bankin—Securecrtorahicdevicesretail—

gypgp()

Part1Concetsreuirementsandevaluationmethods

:p,q

(ISO13491-1:2007,IDT)

2011-12-30发布2012-02-01实施

中华人民共和国国家质量监督检验检疫总局发布

中国国家标准化管理委员会

GB/T210791—2011/ISO13491-12007

.:

目次

前言…………………………

引言…………………………

范围………………………

11

规范性引用文件…………………………

21

术语和定义………………

31

缩略语……………………

44

安全密码设备……………………

5(SCD)4

概述…………………

5.14

攻击场景……………

5.24

防御措施……………

5.35

设备安全特性要求………………………

66

概述…………………

6.16

的物理安全要求………………

6.2SCD7

的逻辑安全要求………………

6.3SCD9

设备管理要求……………

710

概述…………………

7.110

生命周期阶段………………………

7.210

生命周期阶段的保护要求…………

7.311

生命周期阶段的保护方法…………

7.412

责任…………………

7.514

设备管理的审计和控制原则………………………

7.614

评估方法…………………

815

概述…………………

8.115

风险评估……………

8.216

非正式评估方法……………………

8.317

准正式评估方法……………………

8.419

正式评估方法………………………

8.520

附录资料性附录有关系统安全级别的概念………

A()21

参考文献……………………

24

GB/T210791—2011/ISO13491-12007

.:

前言

银行业务安全加密设备零售由以下两部分构成

GB/T21079《()》:

第部分概念要求和评估方法

———1:、;

第部分金融交易中设备安全符合性检测清单

———2:。

本部分为的第部分

GB/T210791。

本部分按照给出的规则起草

GB/T1.1—2009。

本部分代替银行业务安全加密设备零售第部分概念要求和评估方

GB/T21079.1—2007《()1:、

法本部分与相比主要变化如下

》,GB/T21079.1—2007:

在的物理安全要求中增加物理安全设备及采用每笔交易一个密钥管理方式设备的描

———SCD:“”

述本版的和

(6.2.56.2.6);

在的逻辑安全要求中增加双重控制每台设备采用惟一密钥要求本版的和

———SCD:、(6.3.16.3.2);

为保证和本标准第部分金融交易中设备安全符合性检测清单已做为

———2:(GB/T20547.2—

发布的统一将本部分评估方法中的半正式评估统一为准正式评估

2006),“”“”;

对标准的结构进行了重新调整去除了原标准中部分章节的悬置段版的

———,(20074、4.1、4.2、

本版的

5.3、6、6.2、6.3、7、7.1、7.3、7.4;5.1、5.2.1、5.3.1、7.1、7.3.1、7.4.1、8.1.1、8.3.1、

8.4.1)。

本部分使用翻译法等同采用银行业务安全加密设备零售第部分概念

ISO13491-1:2007《()1:、

要求和评估方法

》。

为便于使用本部分做了下述编辑性修改

,:

删除前言

———ISO。

与本部分规范性引用的国际标准有一致性对应关系的我国标准如下

:

银行业务安全加密设备零售第部分金融交易中设备安全符合性检测清

GB/T20547.2()2:

(GB/T20547.2—2006,ISO13491-2:2005,MOD)

本部分由中国人民银行提出

本部分由全国金融标准化技术委员会归口

(SAC/TC180)。

本部分负责起草单位中国金融电子化公司

:。

本部分参加起草单位中国人民银行中国工商银行中国银行中国建设银行交通银行中信银

:、、、、、

行北京银联金卡科技有限公司

、。

本部分主要起草人王平娃陆书春李曙光杨倩赵志兰田洁仲志晖刘志刚邵冠军李延

:、、、、、、、、、、

杨宝辉贾静李孟琰贾树辉刘运景芸

、、、、、。

本部分于年首次发布本次为第一次修订

2007,。

GB/T210791—2011/ISO13491-12007

.:

引言

本部分规定了金融零售业务中用于保护报文密钥及其他敏感数据的安全密码设备的物理

、(SCD)

特性逻辑特性和管理要求

、。

零售电子支付系统的安全性在很大程度上依赖于这些密码设备的安全性安全性的提出是基于这

样一些假设

:

计算机文件可能被非法访问和处理

———;

通讯线路可能被窃听

———“”;

输入系统的合法的数据和控制指令可能被未授权替换

———。

在这些密码设备上处理个人标识码报文鉴别码密钥和其他机密数据时存在数据

PIN()、MAC()、,

泄漏或被篡改的风险

通过合理使用正确管理具有特定物理和逻辑安全特性的安全密码设备可降低金融风险

、。

GB/T210791—2011/ISO13491-12007

.:

银行业务安全加密设备零售

()

第1部分概念要求和评估方法

:、

1范围

的本部分以和中定义的密码方法为基础规定了对

GB/T21079ISO9564、ISO16609ISO11568,

安全密码设备以下简称的要求

(SCD)。

本部分有以下两个主要目的

:

规定的操作性要求和其在整个生命周期中的管理要求

a)SCD;

对上述要求的符合性检查方法进行标准化

b)。

应具有合适的设备特性并进行适当的设备管理前者保证了的操作性能以及为其内部数

SCD,SCD

据提供足够的保护后者保证了的合法性即不会以非授权的方式更改如安装侦听装置

;SCD,SCD(“”

等且其中的任何敏感数据如加密密钥不会遭到泄漏或篡改

)()。

绝对的安全性实际上是无法达到的的安全性依赖于在生命周期每个阶段中适当的管理和

。SCD

安全密码特性两者的有机结合管理程序可以通过防范措施来降低安全受到破坏的几率目的是

。SCD,

在设备本身特性不能阻止或检测安全攻击的情况下提高发现非法访问敏感数据或机密数据的可能性

,。

附录以资料性信息的形式描述了本部分提及的适用于安全级别的概念

A,SCD。

本部分没有涉及由拒绝服务引发的问题也没有涉及在金融零售业务中不同在设备特

SCD,,SCD

性和管理方面的具体要求该部分内容见

,ISO13491-2。

本部分适用于金融零售业务中安全密码设备的安全管理

温馨提示

  • 1. 本站所提供的标准文本仅供个人学习、研究之用,未经授权,严禁复制、发行、汇编、翻译或网络传播等,侵权必究。
  • 2. 本站所提供的标准均为PDF格式电子版文本(可阅读打印),因数字商品的特殊性,一经售出,不提供退换货服务。
  • 3. 标准文档要求电子版与印刷版保持一致,所以下载的文档中可能包含空白页,非文档质量问题。

评论

0/150

提交评论