【国家标准(GB)】 银行业务 安全加密设备(零售) 第1部分: 概念、需求和评估方法

本部分规定了银行零售业务中用于 保护报文、密钥及其他敏感信息的安全加密设备的要求，这些设备要求包含了ISO 9564、ISO 9807：1991和ISO 11568中定义的密码过程。 GB/T 21079.1-2007 银行业务 安全加密设备(零售) 第1部分: 概念、需求和评估方法 GB/T21079.1-2007
本部分规定了银行零售业务中用于 保护报文、密钥及其他敏感信息的安全加密设备的要求，这些设备要求包含了ISO 9564、ISO 9807：1991和ISO 11568中定义的密码过程。
class="f14" style="padding-top:10px; padding-left:12px; padding-bottom:10px;"> GB/T21079《银行业务 安全加密设备(零售)》分为两个部分:
---第1部分:概念、要求和评估方法;
---第2部分:金融交易中设备安全符合性检测清单。
本部分是GB/T21079的第1部分。
本部分修改采用国际标准ISO13491-1:1998《银行业务 安全加密设备(零售)第1部分:概念、要求和评估方法》(英文版)。
考虑到我国国情,在采用ISO13491-1:1998时做了下列修改:
因为ISO13491-1:1998原文7.5的第二段讲述全球国家和行业安全评估标准与ISO13491-1的符合情况,在采用为国标时予以删除。
为便于使用,对于ISO13491-1:1998,本部分还做了下列编辑性修改:
a) 规范性引用文件中所引用的国际标准,有相应国家标准的,改为引用国家标准;
b) 删除国际标准的前言。
本部分的附录A为资料性附录。
本部分由中国人民银行提出。
本部分由全国金融标准化技术委员会归口。
本部分负责起草单位:中国金融电子化公司。
本部分参加起草单位:中国人民银行、中国工商银行、中国农业银行、招商银行、中国银联股份有限公司、华北计算技术研究所、启明星辰有限公司。
本部分主要起草人:谭国安、陆书春、李曙光、王林立、周亦鹏、林中、张启瑞、史永恒、赵宏鑫、李红新、徐伟、张艳、董永乐、熊少军、黄发国、李建云。
本部分为首次制定。
下列文件中的条款通过GB/T21079的本部分的引用而成为本部分的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本部分,然而,鼓励根据本部分达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本部分。
GB/T9387.2-1995信息处理系统 开放系统互连基本参考模型 第2部分:安全体系结构(idtISO7498-2:1989)
ISO8908:1993 银行业务及相关金融服务 词汇和数据元
ISO9564-1 银行业务 个人识别码的管理与安全 第1部分:PIN 保护策略和技术
ISO9807:1991 银行业及相关金融服务 报文鉴别需求(零售)
ISO10202(所有部分) 使用集成电路卡的金融交易系统安全结构
ISO11568(所有部分) 银行业务 密钥管理(零售)
ISO13491-2:2000 银行业务 安全加密设备(零售) 第2部分:金融交易中设备安全符合性检测清单
前言Ⅰ
引言Ⅱ
1 范围1
2 规范性引用文件1
3 术语和定义1
4 安全加密设备概念3
4.1 攻击场景4
4.2 防御措施5
5 设备特性的要求6
5.1 引言6
5.2 SCD 的物理安全要求6
5.3 SCD 的逻辑安全要求7
6 设备管理要求8
6.1 生命周期阶段8
6.2 生命周期保护要求9
6.3 生命周期保护手段10
6.4 责任11
6.5 设备管理的审计和控制原则12
7 评估方法的选择13
7.1 评估方法13
7.2 风险评估14
7.3 非正式评估方法15
7.4 半正式评估方法16
7.5 正式评估方法17
附录A (资料性附录) 系统安全的安全级别概念18