银联卡个人化企业认证安全研究调查问卷

银联卡个人化企业认证安全研究调查问卷银联卡个人化企业认证安全研究调查问卷PAGEPAGE33银联卡个人化企业认证安全研究调查问卷银联卡个人化企业认证安全调查问卷发布版本：V1.0发布时间:2009年６月银联卡个人化企业企业安全评估调查问卷一、填表人基本信息单位名称（单位公章)联系人联系方式座机号码：;手机号码：传真Ｅ-ＭAIL地址二、生产企业基本信息机构性质法人机构所在地境内分支机构数量及地点知识产权（发卡系统）保密级别三、系统基本情况核心服务器服务器用途服务器设备名称及配置提供商名称服务器操作系统名称当前版本更新时间业务终端设备名称提供商名称操作系统名称当前版本更新时间软件系统名称当前版本更新时间系统开发商系统维护商后台数据库数据库类型当前版本更新时间管理单位名称管理员防火墙厂商型号当前版本路由器厂商型号当前版本四、企业业务基本情况(请简述企业的业务，包括说明卡片个人化过程中贵企业所处的角色)五、问题调查(勾选方式，遇到无关内容的问题填写“无”)数据管理数据传输数据信息传送使用的方式:□专线 □数据盘邮递 □人工递送ﻩ□其他如果是专线方式,回答下面问题:企业是否设置单独的数据接收服务器□否□是传输规定是如何规定的，是否安全□否□是传输规定能否保证数据的完整性和安全性，如何保证的□否□是，保证方法或手段__＿__＿_＿__＿个人化企业与发卡机构间的个人化数据是否加密传输□否□是是通过软件加密还是硬件加密□软件加密 □硬件加密模块如果是软件加密则密钥长度是□６4□12８□１28以上对数据进行加密保护使用的机制是□对称加密机制 □非对称加密机制ﻩ□其他＿_____＿_＿__签名和密钥交换使用的机制是□对称加密机制ﻩ□非对称加密机制ﻩ□其他_＿_____＿_＿＿是否专门对通讯日志进行保管□否□是如果需要获取通讯日志，是否需要审批并填写使用记录□否□是是否允许将通讯日志带离现场□否□是如果采用数据盘或人工邮递方式,回答下列问题:是否对邮递机构或运输手段进行筛选□否□是,筛选标准＿是否验证递送人员身份□否□是，验证方式_____＿＿__＿_使用此种方式存储的数据的格式是: □明文□密文能否验证其真实性和完整性ﻩ□否□是,验证方式________＿__存储介质有无专门的封装□是□否有无措施来保证信息免受未经授权的公开或修改□是□否数据安全如果采用专线方式传输数据,数据的接收和转移是否需要两名或以上人员同时操作□是□否数据转移之后是否删除设备上数据□是□否上述操作是否进行操作记录□是□否如果采用数据盘邮递方式进行数据传输,生产企业是否需要两名或以上人员同时操作：操作流程□否□是生产企业对转移至个人化处理网络的数据进行处理时,可否允许出现明文数据是□否如果允许出现明文数据,请回答下列问题:是否事先有发卡机构的书面许可□是□否现场是否有安全管理员监督□是□否是否进行详细的记录备案□是□否记录备案信息的内容包括：□操作人员姓名□处理时间□数据处理原因□数据所属发卡行名□结束时间□安全管理员签名其它_____＿＿__＿________完成加工后的个人化数据是否在安全管理人员监督下及时删除或销毁□是□否,原因_＿_＿____＿___＿__＿__对持卡人或发卡机构相关信息的存取有无限制措施□有□无对持卡人数据的修改是否需要发卡机构的书面批准，修改是否有记录□是□否网络管理通讯方式现在使用的与数据提供机构之间接入方式是□专线ﻩ□基于专网的ＭPLS □基于Iｎteｒnetﻩ□其他如果使用Iｎternｅt,是否采用了IPSＥC/ＳSＬ等安全协议□没有 □有从生产环境中获取通讯日志是否需要办理审批手续□不是□是如果需要，则出示流程单样本和以往的流程单存档记录□没有□有将通讯日志带离现场是否需要更加严格的审批□不是□是如果需要，能否提供审批单样本和以往的审批存档记录□没有□有个人化网络安全个人化网络是否在物理和逻辑上均同与个人化过程无关的设备隔离□没有□有是否已经制订与个人化网络安全相关的制度和流程□没有□有是否阻止未授权的对个人化网络的访问和接入□没有□有防火墙及防入侵所有接入互联网的系统是否都安装防火墙□没有□有防火墙是否安装在互联网接入点与DＭＺ区之间、DMZ区与内部网络之间□没有□有存储、处理卡片个人化数据信息的系统与不可信网络连接点是否布置防火墙□没有□有如果有无线网络,无线网络与存储、处理账户信息的相关系统之间是否安装了边界防火墙□没有□有是否建立了防火墙的管理规范,并且指定专人负责维护防火墙的配置与管理□不是□是当前网络拓扑图是否记录了连接到持卡人数据的所有连接（包括所有无线网络连接）。□不是□是在所有外部网络连接点以及隔离区(DMZ）与内部网络区域之间是否均配置了防火墙□不是□是防火墙网络组件逻辑管理的组、角色和职责描述是否清晰明确□不是□是防火墙配置标准是否包括一个业务必需的服务和端口清单文件□不是□是防火墙配置标准是否包括任何可用协议（不仅限于ＨTＴP、SＳL、SSＨ和VPN)的审批和记录规定。□不是□是防火墙配置标准是否包括任何风险性协议(如ＦTP)的审批和记录规定，并且说明使用此类协议的原因以及已采取的安全措施。□不是□是是否建立了路由器的管理规范。□不是□是防火墙配置标准是否要求每季度复审防火墙和路由器的规则设置。□不是□是是否建立了一个防火墙配置用来拒绝来自不可信网络和主机的所有通信,个人化数据环境必需的协议除外□不是□是任何存储有持卡人数据的系统（及其组成部分)与公共服务器之间的任何连接（包括无线连接),是否都有防火墙配置对其进行限制□不是□是互联网访问控制文档中是否限制了通过互联网访问DMZ区IＰ的流量□不是□是是否禁止通过互联网访问内部网络IＰ地址□不是□是防火墙的规则设置中是否屏蔽了所有RFC1918(包括3个网段:10.0.0.0～10.２5５．2５5.２55;172.1６.0.０~1７2．31．２55.25５;1９2.1６8.0.０~192．1６８.255.２5５)中所定义的内部IＰ地址对DMZ区的访问□不是□是检查防火墙是否执行状态检查(动态包过滤)□不是□是数据服务器是否放置于内部网络，并通过防火墙与DMZ区隔离。□不是□是是否限制持卡人数据环境的入站和出站流量，仅允许必需的流量□不是□是是否将路由器配置文件同步化。例如，运行配置文件(路由器在正常工作状态下使用的配置文件）和初始化配置文件(当路由器重新启动时会使用)应具有相同的安全配置□不是□是任何与互联网直接相连、又被用于访问组织(内部)网络的移动电脑和员工所有的电脑(比如,员工使用的笔记本电脑）上是否安装并启用个人防火墙系统，以及是否按照组织规定的标准对防火墙进行了配置而且员工无法修改配置。□不是□是是否禁止任何存储持卡人数据的内部网络和系统组件（比如，数据库，日志,跟踪文件)被外部网络间接/直接地公开访问。□不是□是是否建立一个ＤMZ以过滤和并屏蔽所有流量,禁止为Internet流量提供直接的入站和出站路由□不是□是是否限制源自支付卡应用、目的地为ＤMＺ区ＩP地址的出站流量□不是□是是否实施IP伪装以防止内部地址被识别并被暴露在Intｅｒneｔ上□不是□是对于上面的样本防火墙/路由器组件，检查是否采用了NAＴ、ＰAT或其他使用RＦC１9１8地址空间的技术,以限制将ＩP地址从内部网络广播到互联网(IP伪装）。□不是□是是否定期对路由配置和防火墙策略进行检查，对路由器和防火墙的事件日志、入侵检测(防御）设备的告警事件进行分析和处理□不是□是是否建立对所有的路由配置和防火墙策略的批准、测试和变更的正式流程,路由配置和防火墙策略在每次变更后是否及时归档□不是□是是否对登录网络及网络安全设备的用户进行身份鉴别，严格控制可以修改网络及网络安全设备配置的账号□不是□是是否及时进行网络及网络安全设备的补丁安装和版本升级,及时更新入侵检测(防御)系统的防护知识库□不是□是是否拨号访问网络方式□不是□是如果有拨号网络访问方式是否对拨号用户严格访问控制□不是□是每个用户须设置口令是否相同□不是□是口令最短长度是多少□不是□是口令是否定期修改□不是□是是否允许外部公司拨号或其他方式的远程维护连接□不是□是是否定期或在网络发生重大变更后,对安全控制措施、网络连接和限制措施进行渗透性测试或漏洞扫描对网络及网络安全设备系统设置、补丁配置和已知的漏洞进行检查，并确认没有内部用户私自连接到外部网络，外部访问不能非授权进入内部网络。□不是□是是否在网络边界处布防入侵检测(防御）设备，监视可能的攻击行为，记录入侵事件的发生，并报警正在发生的入侵事件。□不是□是防火墙(系统、软件、配置文件、数据库文件等）是否备份,以便在系统崩溃时数据、配置文件可以及时恢复。备份的数据和文件必须妥善保存，确保其安全性，只允许授权的人员接触。□不是□是一旦防火墙被入侵，防火墙管理员是否针对检测到的攻击重新配置防火墙。□不是□是在没有防火墙保护的情况下，个人化系统是否可以与外网ＩP或Inｔerneｔ相连。□不是□是系统补丁管理对于样本系统组件、关键服务器、无线接入点和相关的软件，每个系统上是否安装了供应商最新提供的补丁。□不是□是是否建立安全策略,要求在两个月内安装所有相关的新安全补丁。□不是□是是否建立与更新、升级相关的安全策略,否要求更新和升级必须经过审批(□不是,□是),并且详细登记升级软件的版权（□不是,□是）、来源（□不是,□是)、版本(□不是，□是)等信息。□不是□是是否对所有变更（包括补丁）,在部署到实际生产环境之前都进行测试,是否出具测试报告。□没有□有防病毒管理是否采用防病毒软件来保护整个个人化网络□否□是任何进入个人化网络的文件、软件或数据在进入前是否要用防病毒软件进行检测□否□是,是否已经制定必要策略定期对个人化网络进行扫描□不是□是是否在所有系统中部署防病毒软件(UNIX及大型主机系统除外）□不是□是是否严格限制下载和使用免费软件或共享软件(如果具有监控下载和使用的软件系统也可以）□不是□是是否要求（或者防病毒软件设置了)所有外部存储介质(软盘、移动硬盘和U盘)在使用前,必须进行病毒扫描□不是□是是否要求及时更新防病毒软件和病毒库□不是□是防病软件的宿主系统是否支持自动更新和定期扫描，以及样本系统组件、关键服务器和无线接入点是否启用了这些功能□不是□是是否支持日志生成以及是否根据组织的信息保留策略对日志进行了保留□不是□是客户和第三方的访问控制提供给客户和第三方的访问接口是否根据许可范围进行设置，第三方和客户只能够看到允许其访问的内容□否□是对外提供的访问接口是否只允许使用授权的通信协议、指令和通道□否□是是否定期对有访问权限的客户或第三方的帐号进行检查□否□是有无检查记录是否严格控制有访问许可的网络连接所提供的服务，不允许客户或第三方利用该网络连接相互通讯□不是□是远程访问控制是否拒绝超出业务范围的远程访问权限申请□不是□是其是否对正常业务范围的远程访问权限申请进行记录，并按照规定时间回收远程访问权限□不是□是是否禁用了不必要或不安全的服务(如匿名ＦTP服务、Telnet服务等）禁用了不必要或不安全的服务□不是□是是否严格限制远程网络或者无线接入设备接入关键网络内，是否具有审批流程□不是□是每台接入设备是否进行了备案。□不是□是是否禁用了供应商支持和维护系统所使用的账户,仅在需要时才启用此账户□不是□是供应商支持和维护系统所使用的账户是否在使用之后及时关闭□不是□是是否对供应商支持和维护系统所使用的账户的使用情况进行监控□不是□是，如果进行了监控,提供监控的日志文件位置。检查使用策略是否禁止在本地硬盘、软盘或其它外部介质上存储持卡人数据。□不是□是使用策略中是否禁止在远程访问中使用剪切、粘贴和打印功能。□不是□是检查是否实现了作用于所有远程网络访问的双因素认证机制□没有□有,如果有，请说明双因素认证机制检查远程登录操作文档记录,验证其是否包含下面的几项内容:远程访问人员□没有□有工作内容□没有□有持续时间□没有□有监督人的签字确认□没有□有是否使用SSL/TLS技术对无线管理界面的管理员访问进行了加密。管理员是否能够远程连接到无线管理界面（所有无线环境的管理都只能在控制台上进行)□不是□是是否每一台服务器只承担一项主要功能(例如，Web服务器、数据库服务器和DＮＳ应该被分别部署在不同的服务器上)□不是□是机房及系统安全（略）访问控制及审核4.１用户权限控制所有对网络、系统和数据资源是否均是有工作需要□否□有有无完善的用户访问管理机制,且是否按照“因需知晓”进行访问控制□没有□有是否有用户访问管理机制明确了各个级别用户的权限和责任□没有□有是否有权限分配规定。□没有□有权限的分配是否使用了“双人控制”原则□不是□是4.２用户名管理同一系统内的用户是否根据性质和用途遵循同一的命名规则□不是□是4.３登录控制是否建立有关认证方法的文档说明，是否至少采用下面的一种认证方式口令□没有□有令牌（如SeｃureID、证书等）□没有□有生物特征□没有□有□不需要□需要是否对普通用户登录鉴别失败3次后锁定□不是□是是否使用鉴别失败系统告警提示机制□不是□是普通用户不活动时间超过5分钟是否自动登出□不是□是是否严格限制远程登录（远程拨号或VPN）操作范围和审批程序□不是□是4．4密码管理密码是否满足如下规则长度不少于6位；至少包含1个字母，1个数字密码至少包含3个不相同的字符;每季度更换一次密码;禁止使用最近4次曾使用过的密码；□不是□是是否不同的账号使用了不同的初始密码，以及使用什么策略。□没有□有,使用的策略对于样本系统组件、关键服务器和无线接入点,系统口令的长度是否被设置为不低于6个字符。□不是□是对于样本系统组件、关键服务器和无线接入点,系统口令的长度是否被设置为必须包含字母和数字。□不是□是对于服务提供商是否要求客户口令必须符合最低口令长度规定。□没有□有对于服务提供商，是否要求客户口令必须包含字母和数字。□没有□有用户重置密码是否有安全机制;□不是□是系统强制修改初始密码；不得以明文方式显示、存储和传输密码；□不是□是是否使用系统和产品在安装时生成的缺省密码。□不是□是选择一个样本系统组件、关键服务器,是否已经更改了默认的账户和口令。□没有□有选择一个样本无线接入点，检查下列相关的供应商默认设置:安装时是否更改了WEP密钥，知晓密钥的员工离开组织或转换工作岗位时否更改了ＷEP密钥。□不是□是是否更改了默认SSID。□不是□是是否禁止了SSID广播。□不是□是是否更改了接入点的默认SNＭＰ社区字符串。□不是□是是否更改了接入点的默认口令。□不是□是如果无线系统支持WPA，是否启用了WＰA或WＰＡ2技术。□不是□是是否更改了其他与安全相关的无线供应商默认设置(如果适用）。□不是□是对账户的增加、删除、修改或者变更权限的审批历史记录是否经过了严格的审批。□没有□有检查权限更改记录，对下面的情况是否明确或者记录了权限回收时间。a） 临时修改□没有□有b) 离职□没有□有ｃ） 岗位变动□没有□有是否对于连续90天未使用的账号应予以权限冻结;冻结后30天仍未使用的,予以注销□不是□是首次登陆应是否强制要求修改密码□没有□有对于样本系统组件、关键服务器和无线接入点:ﻩ是否禁用或移用了公用用户IＤ和账户□没有□有ﻩ是否不存在可执行系统管理活动和其他关键功能的共享用户ＩＤ□没有□有 是否禁用使用共享和公用的用户ID管理无线LAN和设备□没有□有口令策略/程序中是否明确地禁止共享口令□没有□有是否禁止发送共享口令,即使接收到请求时也禁止□不是□是是否强制要求用户定期更改登录密码,修改周期最长不得超过3个月□没有□有,使用的策略对于服务提供商，是否要求定期修改客户口令，以及是否为客户提供了口令修改指导，这些指导说明了在何时以及哪些情况必须修改口令□不是□是是否对密码进行加密保护,密码明文不会以任何形式出现□不是□是是否在重置用户密码前对用户身份进行核实,以及核实方法。□不是□是，核实方法是否进行了用户登录错误次数限制。□不是□是，限制几次。如果对登录错误次数有限制,则核实用户登录限制数是否是5次（超过就会锁定）。□不是□是对于样本系统组件、关键服务器和无线接入点,系统/会话空闲超时是否被设置为1０分钟或更短。□不是□是4.5安全审计是否启用了审计功能□不是□是日志是否记录用户登录系统的时间和方式□不是□是日志是否记录失败的访问尝试□不是□是日志是否记录对关键目录的访问或执行关键操作的记录（与系统安全相关的事件)□不是□是现场检查日志,确定是否定期统计用户访问系统资源的记录信息并反馈用户进行确认和评估□不是□是进行内部或外部审计的周期□无□一年一次□一季度一次□其他是否对设备进行了安全测试，以确保控制方法能够识别并阻止安全区域内的非授权访问企图。(例如：每季度使用一次无线分析工具识别所有无线设备）。□不是□是每年是否委托由中国银联认可的有资质的第三方机构进行定期扫描□不是□是下列网络重大变更后是否扫描：安装新的设备□不是□是网络拓扑结构调整□不是□是调整防火墙配置□不是□是应用系统升级□不是□是弱点扫描是否通过。□不是□是每年是否委托由中国银联认可的有资质的第三方机构进行定期渗透测试□不是□是下列网络重大变更后是否进行渗透测试:操作系统升级□不是□是应用系统升级□不是□是网络拓扑变更□不是□是ＷEB服务器变更□不是□是渗透测试是否通过。□不是□是是否安装了入侵检测系统。□不是□是是否部署了文件完整性监控软件或者人工对核心文件监控和管理。□不是□是是否配置文件完整性监控软件或者按照流程人为对关键文件定期进行比较。□不是□是对核心文件的修改是否需要授权。□不是□是监控和管理的核心文件是否包括下面的几类。防火墙配置文件□不是□是交换机配置文件□不是□是路由器配置文件□不是□是4.6日志管理如果建立了日志记录及审核机制（□没有□有），请完成下面的评估内容。日志记录和管理机制中是否包含下面的内容。用户对敏感信息的访问□没有□有登录系统的方式□没有□有失败的访问尝试□没有□有系统管理员的操作□没有□有对系统日志的访问□没有□有其他涉及账户信息安全的系统记录□没有□有检查组织内的正确时间捕获和发送流程以及样本系统组件、关键服务器和无线接入点的时间相关系统参数设置,是否包含并且实施了时间同步过程。□不是□是是否使用了NTP或类似技术进行时间同步。□不是□是如果使用了NTP技术，检查运行的网络时间协议(NＴＰ)是否为最新版本。□不是□是是否只有审计用户可以访问或更改审计日志□不是□是是否仅允许有工作需要的人员查看评估追踪记录。□不是□是评估追踪记录是否被及时备份到集中的日志服务器上或难以更改的介质上。□不是□是是否将无线网络的日志复制到了一台位于内部局域网的日志服务器上。□不是□是是否使用文件完整性监视和变更检测软件保护日志,确保已有的日志被改变时产生报警（当然，在已有的日志中添加数据，不应触发报警)。□不是□是是否每天复审所有系统的日志。□不是□是日志复审是否包含那些执行安全功能的服务器，例如入侵检测（IDＳ)、身份验证、授权和记账协议（AAA）服务器(例如,ＲAＤIUS)。□不是□是是否对所有系统组件进行了定期日志审查。□不是□是是否要求日志至少保留一年。□不是□是加工过程及安全管理5.1磁条卡个人化数据的加解密过程和数据转换过程是否均在硬件加密设备(HSM)中进行□不是□是当个人化设备向卡片写入数据时,是否采用了加密且个人化设备能够识别的格式□不是□是当个人化设备向卡片写入数据时，设备操作人员是否可以在设备上读出明文数据□不是□是５．2IＣ卡初始化及其安全当IC卡初始化设备向ＩC卡发送初始化命令和指令时,是否对发送的指令和数据进行加解密和MAC校验□不是□是加解密过程是否与硬件安全模块（ＨSＭ)相连□不是□是KENC、KDEC、ＫＭAＣ密钥值对每一片卡是否是唯一的，且并在生成者密钥的保护下放在卡上□不是□是如果KENC、KDEC、ＫＭAＣ密钥值不能放在卡上，其物理存取是否有严格限制□不是□是对卡片的访问是否必须通过一个16位或以上的口令保护□不是□是IC卡初始化操作是否必须位于工厂的高安全区□不是□是5.３IＣ卡个人化（一)数据准备安全要求数据准备的全过程是否在与硬件安全模块相连的数据处理设备上进行□不是□是密钥的导入导出是否符合《EMV2000支付系统集成电路规范》和《中国金融集成电路（ＩC)卡规范》□不是□是（二）个人化处理安全要求个人化处理是否必须位于工厂的高安全区并满足所有安全要求及程序□不是□是个人化处理是否达到《银联标识卡生产企业安全管理指南》中的要求□不是□是5.4流程安全要求(一)个人化加工操作程序个人化加工操作程序是否作为正式的文档□不是□是对个人化加工操作程序的改动要经过相关管理者的授权□不是□是操作程序文档是否详细说明具体执行每项工作时的工作流程□不是□是操作程序文档是否包含个人化设备操作过程,数据信息处理和处置过程,错误或异常情况操作指导及设备使用限制□不是□是(二)个人化处理过程控制个人化处理过程中，卡片和持卡人信息能否暴露给任何无关人员□不是□是个人化处理过程中，个人化数据内容能否修改□不是□是在各工序交接过程中，负责统计卡片的其他部门人员是否预先知道数目□不是□是个人化处理过程是否严格执行数字管理□不是□是有无每个工单／分批的主要审查控制记录□不是□是审查控制记录的内容是否包括施工单号、发卡人名称、卡片类型等□不是□是对于控制记录中的每一项处理功能，是否包含以下记录内容:最初发放数量、上一期的卡剩余量、卡移交数量、退回仓库的卡片数、废卡数量、样卡/试验卡数量、个人化作业设备及其工作记录、操作员签名、日期、时间、审查人签名等□不是□是控制记录是否记录了所有个人化加工处理设备故障□不是□是设备故障记录是否至少保存3个月□不是□是设备故障记录是否包括以下内容：操作者姓名、审查者签名、设备说明/号码、施工单号、日期、时间、故障发生原因等□不是□是制卡过程中，打卡和生产现场是否必须保证两人以上□不是□是系统登录是否必须进行双重控制□不是□是制卡结束后是否强制删除个人化设备上的文件□不是□是(三）凸字箔、寄卡单和ＵＧ色带管理是否建立了使用箔数详细目录登记表,并根据销毁数目进行核查□不是□是认使用过的箔销毁前是否存储在双管区域内□不是□是是否建立了凸字箔销毁日志□不是□是销毁日志是否包括卷（筒)数、日期、证明销毁的双人签名等内容□不是□是所有包括持卡人信息的箔在从打卡机上取下后是否在双重监视下及时销毁□不是□是寄卡单和UG色带是否应采取与凸字箔同样的安全控制□不是□是(四）个人化卡片管理是否建立了完善的白卡档案和数量管理系统□不是□是当天是否有过出库或入库的卡种，当天是否经过数量核对□不是□是已出库但未使用的卡片须在个人化处理完成前是否必需退回金库保存□不是□是正在加工的卡片是否有授权员工／操作员的看管并确保其安全□不是□是尚未个人化处理的卡片(白卡）是否均在双重控制下存储在金库，非授权员工不得接近□不是□是已个人化卡片是否采用可追踪的安全邮寄方式□不是□是密钥管理6．１密钥描述(一)个人化密钥描述在IＣ卡之外执行的一切加密和解密操作是否在硬件安全模块（HSM)上进行□不是□是在IＣ卡卡片个人化之前，是否创建ＫMC(个人化主密钥)、KＥNＣ(加密分散密钥）、ＫＭAC（校验码分散密钥)、KDEＫ（密钥加密分散密钥)□不是□是在ＩC卡上是否必须存在个人化主密钥的版本号□不是□是KＭC(个人化主密钥)对每个发卡行是否是独有的□不是□是KENC（加密分散密钥）对每张卡片是否是独有的□不是□是ＫMAC（校验码分散密钥）对每张卡片是否是独有的□不是□是KＤEK(密钥加密分散密钥）对每张卡片是否是独有的□不是□是(二）卡片密钥密钥由发卡行还是个人化企业产生□发卡行□个人化企业□其他__若密钥由发卡行产生，是否遵循公钥传输给中国金融集成电路（IＣ）卡认证机构，私钥被保存在发卡行的ＨSM(主机加密模块)内□是□否如果密钥由个人化企业处理,密钥管理是否符合本《银联标识卡生产企业逻辑安全管理指南》要求□是□否(三)传输密钥是否采用KＥＫ（密钥交换密钥)对发卡行与个人化数据准备设备之间传输的机密数据进行加密□不是□是KEK是否对每个发卡行都是独有的□不是□是KＥK是否定期进行更改□不是□是数据准备设备和个人化设备之间的PIN和其他机密数据是否使用数据加密密钥（ＤEＫ)／传输密钥(TK）进行加密□不是□是在数据准备系统和个人化系统之间是否使用校验码密钥(MACKEＹ)来保证个人化文件的完整性□不是□是6.２密钥和加密数据传输(一）发卡行到个人化企业接收来自发卡行的个人化文件时，文件信息的存储是否安全□不是□是访问个人化文件信息的权利必须严格审核□不是□是完成个人化之后,是否将系统内的数据安全清除□不是□是KEK解译成TK是否在硬件安全模块（HＳM)上完成□不是□是数据准备系统是否至少位于一个能够控制数据存取的中间安全区，并将数据访问权局限于业务需求者□不是□是加密过程的安全要求是否适合于给定的数据组及IC卡用途，而且无论是在数据准备过程中,还是在个人化设备相关的本机处理过程中，都与相应的加密过程协调一致□不是□是(二）个人化过程中的安全要求在个人化处理阶段,个人化设备：执行ＩC卡的KＤＥＫ推算过程是否均在硬件安全模块(ＨＳM)上□不是□是将个人化文件中的机密信息从传输密钥TK解译成KＤEK,以便将其传送给卡片，这一解译过程是否均在HSＭ上执行□不是□是个人化设备是否位于高安全区且符合中国金融集成电路(ＩC）卡生产安全标准规定的一切安全要求和程序要求□不是□是6.3密钥操作6.３.1非对称（RSＡ)密钥(一）基本评估ＲSＡ密钥模数位的长度是否组成公共/私有密钥模数,例如:768、896、1０2４和1152□不是□是是否从物理上保障私有(签名）密钥不受未经授权的访问□不是□是（二）非对称密钥生成当生成RSA公/私钥对时，是否在安全的受保护的硬件加密设备(HＳM)中完成□不是□是ＨSＭ是否包含一个随机或伪随机数字生成器，执行原始校验过程□不是□是HSM是否支持篡改响应机制□不是□是密钥生成是否利用一个随机或伪随机过程,以保证不可能预测出任何密钥或者确定密钥空间中的某些密钥比其它任意密钥可能性更大□不是□是个人计算机或其它类似的不安全设备，即不能被完全信任的设备,是否可用来生成RＳA公／私钥对□不是□是（三)非对称密钥传输公钥是否采用一种能够保证它们完整性的方式来保障安全和传输□不是□是私钥是否采用一种能够保证它们的完整性和私密的方式来保障安全和传输□不是□是传输机制是否必须在安全的硬件加密设备上进行加解密操作□不是□是传输机制是否利用至少与加密相等力量的对称算法来对被保护密钥的私钥进行解密，作为几个部分（在ＩC卡上保障安全),并使用一个对称算法来进行解密□不是□是6.3.2在生成DＥS密钥时,是否必须在一台由篡改响应机制保护的物理安全的设备中生成，或者必须由授权的工作人员以一部分一部分的形式生成□不是□是安全设备是否包含一个随机或伪随机的数字生成器□不是□是是否任何时候一个未被保护的密钥都不能存在于一台物理安全的设备的保护之外□不是□是是否任何时候物理安全的设备都不能输出纯文本的密钥，除非作为密码或者以两个或更多部分的形式输出□不是□是当密钥由授权工作人员通过一个将各部分组合的过程来生成时,是否必须要求每一方生成一个和要生成的密钥一样长的部分□不是□是密钥组合过程是否在一个物理安全的设备内部进行□不是□是密钥组合过程能否保证知道其中任何一个子集也无法知道密钥值□不是□是分开的密钥是否由一个管理机构掌握□不是□是分开的密钥是否必须有一个部分的持有人是发卡行的一名员工□不是□是是否未为实际的全部密钥计算校验位□不是□是个人电脑或类似的不安全设备是否可用来生成密钥资料□不是□是如果发现任何密钥存在于一个物理安全的设备之外,或者密钥的各个部分被人所知以及有被单个人掌握的嫌疑，可否将该密钥认为已被泄漏且必须用一个新的密钥来替换它□不是□是6.3.3密钥传输DES密钥是否可以被安全地转移到一块安全设备或智能卡的保护之下，以进行传输和存储□不是□是DＥＳ密钥传输是否以双重控制和分别持有为原则□不是□是6.4密钥存储普通文本私钥和秘密的密钥是否只存在于硬件加密设备（HＳM)内□不是□是私人和秘密的密钥及其组成部分是否采用双重控制和分别持有的原则存储□不是□是私人的和秘密的密钥组成部分可存储在介质上（例如:软盘、ＰC卡、智能卡等）。这些介质是否必须安全存储,以防止未授权的个体得到密钥组成部分□不是□是如果私人的和秘密的密钥组成部分可存储在介质上，并且一个个人识别码(ＰIN）介质，那么是否只有介质的拥有者同时拥有介质和它相应的PIN□不是□是存储在密钥转移设备里的私人的或秘密的密钥组成部分是否需要通过像口令这样的充分的访问控制来保护□不是□是任何时候私人的密钥或密钥加密密钥及其组成部分从存储或加载到一个安全系统设备时，是否有相关记录□不是□是记录是否包括日期和进出的时间、访问的目的、访问此组成部分的管理人的签名等信息;这些记录是否被明确地保留,直到当密钥被终止或销毁时□不是□是6.5密钥备份所有备份是否受到同样的或比