GB/T 21079.1-2007 银行业务 安全加密设备(零售) 第1部分：概念、要求和评估方法

犐犆犛３５．２４０．４０

犃１１

中华人民共和国国家标准

／—

犌犅犜２１０７９．１２００７

银行业务安全加密设备（零售）

第部分：概念、要求和评估方法

１

国家标准ㅤ可打印ㅤ可复制ㅤ无水印ㅤ高清原版ㅤ去除空白页

—（）—

犅犪狀犽犻狀犛犲犮狌狉犲犮狉狋狅狉犪犺犻犮犱犲狏犻犮犲狊狉犲狋犪犻犾

犵狔狆犵狆

：，

犘犪狉狋１犆狅狀犮犲狋狊狉犲狌犻狉犲犿犲狀狋狊犪狀犱犲狏犪犾狌犪狋犻狅狀犿犲狋犺狅犱狊

狆狇

（：，）

ＩＳＯ１３４９１１１９９８ＭＯＤ

２００７０９０５发布２００７１２０１实施

中华人民共和国国家质量监督检验检疫总局

发布

中国国家标准化管理委员会

／—

犌犅犜２１０７９．１２００７

目次

前言Ⅰ

引言Ⅱ

１范围１

２规范性引用文件１

３术语和定义１

４安全加密设备概念３

４．１攻击场景４

４．２防御措施５

５设备特性的要求６

５．１引言６

５．２ＳＣＤ的物理安全要求６

５．３ＳＣＤ的逻辑安全要求７

６设备管理要求８

６．１生命周期阶段８

６．２生命周期保护要求９

６．３生命周期保护手段１０

责任国家标准ㅤ可打印ㅤ可复制ㅤ无水印ㅤ高清原版ㅤ去除空白页

６．４１１

６．５设备管理的审计和控制原则１２

７评估方法的选择１３

７．１评估方法１３

７．２风险评估１４

７．３非正式评估方法１５

７．４半正式评估方法１６

７．５正式评估方法１７

附录（资料性附录）系统安全的安全级别概念

Ａ１８

／—

犌犅犜２１０７９．１２００７

前言

／《银行业务安全加密设备（零售）》分为两个部分：

ＧＢＴ２１０７９

———第部分：概念、要求和评估方法；

１

———第部分：金融交易中设备安全符合性检测清单。

２

本部分是／的第部分。

ＧＢＴ２１０７９１

本部分修改采用国际标准：《银行业务安全加密设备（零售）第部分：概念、要

ＩＳＯ１３４９１１１９９８１

求和评估方法》（英文版）。

考虑到我国国情，在采用ＩＳＯ１３４９１１１９９８：时做了下列修改：

因为ＩＳＯ１３４９１１１９９８：原文７．５的第二段讲述全球国家和行业安全评估标准与ＩＳＯ１３４９１１的符

合情况，在采用为国标时予以删除。

为便于使用，对于ＩＳＯ１３４９１１１９９８：，本部分还做了下列编辑性修改：

ａ）规范性引用文件中所引用的国际标准，有相应国家标准的，改为引用国家标准；

ｂ）删除国际标准的前言。

本部分的附录为资料性附录。

Ａ

国家标准ㅤ可打印ㅤ可复制ㅤ无水印ㅤ高清原版ㅤ去除空白页

Ⅰ

／—

犌犅犜２１０７９．１２００７

引言

本部分规定了银行零售业务中用于保护报文、密钥及其他敏感信息的安全加密设备（）的物理

ＳＣＤ

特性、逻辑特性和管理要求。

电子银行零售业务的安全性在很大程度上依赖于加密设备的安全性。加密设备的安全性要求基于

这样一些假设：计算机文件可能被非法访问和处理，通讯线路可能被“窃听”，合法的数据和控制指令可

能被非法操作所取代。尽管某些加密设备（如主机安全模块）放置在安全性相对较高的处理中心，但大

部分应用于零售银行业务的加密设备（如密码键盘等）都处在并不安全的环境中。因此，在这些加密设

备上处理ＰＩＮ（个人标识码）、ＭＡＣ（报文鉴别码）、密钥和其他机密数据时，就存在设备受到入侵、数据

泄漏或被篡改的风险。通过合理使用、正确管理具有特定物理和逻辑安全特性的安全加密设备，可确保

降低金融风险。

国家标准ㅤ可打印ㅤ可复制ㅤ无水印ㅤ高清原版ㅤ去除空白页

Ⅱ

／—

犌犅犜２１０７９．１２００７

银行业务安全加密设备（零售）

第部分：概念、要求和评估方法

１

１范围

／的本部分规定了安全加密设备（以下简称）的要求，这些设备要求包含了

ＧＢＴ２１０７９ＳＣＤ

、：和中定义的密码过程。

ＩＳＯ９５６４ＩＳＯ９８０７１９９１ＩＳＯ１１５６８

本部分有以下两个主要目的：

ａ）规定ＳＣＤ的操作特性和ＳＣＤ整个生命周期管理方面的要求；

ｂ）对这些要求的一致性检查方法进行标准化。

加密设备应具有合适的特性以保证其具有适当的可操作性并能为内部数据提供足够保护。为确保

设备的合法性，即设备不能被未授权的方法更改（如安装“侦听装置”等），并且设备中的敏感数据不会泄

漏或篡改，适当的设备管理是非常必要的。

绝对的安全性实际上是无法达到的。加密安全性依赖于安全加密设备生命周期的每个阶段，以及

适当的设备管理程序和安全加密特性两者的有效结合。管理程序可以通过防范措施来降低设备安全防

护被攻破的可能性。这些防护措施是为了在设备本身特性不能阻止或检测安全攻击的情况下，提高发

现非法访问敏感数据或机密数据的可能性。

附录提供了本部分描述的安全等级在应用于安全加密设备时的说明。

Ａ

本部分没有涉及ＳＣＤ拒绝服务引发的问题。

国家标准ㅤ可打印ㅤ可复制ㅤ无水印ㅤ高清原版ㅤ去除空白页

在零售银行业务中使用具体类型的ＳＣＤ，对其特性和管理的要求在ＩＳＯ１１５６８２中说明。

２规范性引用文件

下列文件中的条款通过／的本部分的引用而成为本部分的条款。凡是注日期的引用文

ＧＢＴ２１０７９

件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本部分，然而，鼓励根据本部分达成

协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本

部分。

／—信息处理系统开放系统互连基本参考模型第部分：安全体系结构

ＧＢＴ９３８７．２１９９５２

（：）

ｉｄｔＩＳＯ７４９８２１９８９

ＩＳＯ８９０８１９９３：银行业务及相关金融服务词汇和数据元

银行业务个人识别码的管理与安全第部分：保护策略和技术

ＩＳＯ９５６４１１ＰＩＮ

ＩＳＯ９８０７１９９１：银行业及相关金融服务报文鉴别需求（零售）

ＩＳＯ１０２０２（所有部分）使用集成电路卡的金融交易系统安全结构

ＩＳＯ１１５６８（所有部分）银行业务密钥管理（零售）

：银行业务安全加密设备（零售）第部分：金融交易中设备安全符合性检

ＩＳＯ１３４９１２２０００２

测清单

３术语和定义

ＩＳＯ８９０８１９９３：中确立的以及下列术语和定义适用于本部分。

３．１

授权机构犪犮犮狉犲犱犻狋犪狋犻狅狀犪狌狋犺狅狉犻狋

狔

负责对评估机构授权并且监督其工作以确保评估结果可再现的权威机构。

１

／—

犌犅犜２１０７９．１２００７

３．２

有资质的评估机构犪犮犮狉犲犱犻狋犲犱犲狏犪犾狌犪狋犻狅狀犪狌狋犺狅狉犻狋

狔

根据一套规则，被权威机构授权从事评估的机构。

３．３

攻击犪狋狋犪犮犽

攻击者从设备中获取或修改敏感信息，或尝试得到未授权的服务。

３．４

审核检查列表犪狌犱犻狋犮犺犲犮犽犾犻狊狋

按设备类型组织的可审计声明列表，详细介绍见ＩＳＯ１１５６８２。

３．５

审核报告犪狌犱犻狋狉犲狅狉狋

狆

审核机构根据审计员的审计结果出具的报告。

３．６

审核机构犪狌犱犻狋狉犲狏犻犲狑犫狅犱

狔

负责对审计员的审计结果进行核查判定的组织。

３．７

审计员犪狌犱犻狋狅狉

代表发起者或审核机构对与非正式评估一致性进行评估、复查和评价的人员。

３．８

认证报告犮犲狉狋犻犳犻犮犪狋犻狅狀狉犲狅狉狋

狆

审查机构根据授权的评估机构出具的结果给出的报告。

国家标准ㅤ可打印ㅤ可复制ㅤ无水印ㅤ高清原版ㅤ去除空白页

３．９

管理员犮狅狀狋狉狅犾犾犲狉

负责ＳＣＤ安全管理的实体。

３．１０

可交付物品犱犲犾犻狏犲狉犪犫犾犲狊

评估人在对安全加密设备进行评估时需要的文档、设备和任何其他项目信息。

３．１１

设备安全性犱犲狏犻犮犲狊犲犮狌狉犻狋

狔

与特定操作环境无关，仅依赖于自身特性的安全加密设备安全性。

３．１２

环境相关安全性犲狀狏犻狉狅狀犿犲狀狋犱犲犲狀犱犲狀狋狊犲犮狌狉犻狋

狆狔

ＳＣＤ作为操作环境一部分时的安全性。

３．１３

评估机构犲狏犪犾狌犪狋犻狅狀犪犲狀犮

犵狔

ＳＣＤ的设计方、生产商以及发起者信任的，委托其依据本部分（应用专业技术和工具）对ＳＣＤ的安

全性进行评估的组织。

３．１４

评估报告犲狏犪犾狌犪狋犻狅狀狉犲狅狉狋

狆

评审机构基于评估机构或审计员的结果出具的报告。

３．１５

评审机构犲狏犪犾狌犪狋犻狅狀狉犲狏犻犲狑犫狅犱

狔

负责对评估机构的评估结果进行核查判定的组织。

２

／—

犌犅犜２１０７９．１２００７

３．１６

正式声明犳狅狉犿犪犾犮犾犪犻犿

安全加密设备特性和功能的声明。

３．１７

逻辑安全性犾狅犻犮犪犾狊犲犮狌狉犻狋

犵狔

设备在功能上抵御攻击的能力。

３．１８

操作环境狅犲狉犪狋犻狅狀犪犾犲狀狏犻狉狅狀犿犲狀狋

狆

ＳＣＤ的使用环境，包括应用系统、使用场所、操作人员以及与其通讯的设备等。

３．１９

物理安全性犺狊犻犮犪犾狊犲犮狌狉犻狋

狆狔狔

设备在物理构造上抵御攻击的能力。

３．２０

安全加密设备；

犛犲犮狌狉犲犆狉狋狅狉犪犺犻犮犇犲狏犻犮犲犛犆犇

狔狆犵狆

能提供一系列安全加密服务，具备物理和逻辑保护的硬件设备。

３．２１

犛犆犇界面犛犆犇犻狀狋犲狉犳犪犮犲

ＳＣＤ和运行环境交互的界面（比如：命令、控制面板、锁等）。

３．２２

敏感数据狊犲狀狊犻狋犻狏犲犱犪狋犪

敏感信息狊犲狀狊犻狋犻狏犲犻狀犳狅狉犿犪狋犻狅狀

国家标准ㅤ可打印ㅤ可复制ㅤ无水印ㅤ高清原版ㅤ去除空白页

应防止非授权泄露、更改或毁坏的数据，设计特性，状态信息和密钥等。

３．２３

软件狊狅犳狋狑犪狉犲

在ＳＣＤ内部使用或被ＳＣＤ下载使用的数据和／或程序。

３．２４

发起机构狊狅狀狊狅狉犻狀犪狌狋犺狅狉犻狋

狆犵狔

发起人狊狅狀狊狅狉

狆

要求ＳＣＤ接受评估的个人、公司或组织。

３．２５

防攻击性狋犪犿犲狉犲狏犻犱犲狀狋犮犺犪狉犪犮狋犲狉犻狊狋犻犮

狆

能提供被攻击证据的特性。

３．２６

抗攻击性狋犪犿犲狉狉犲狊犻狊狋犪狀狋犮犺犪狉犪犮狋犲狉犻狊狋犻犮

狆

提供物理保护以抵御攻击的特性。

３．２７

反攻击性狋犪犿犲狉狉犲狊狅狀狊犻狏犲犮犺犪狉犪犮狋犲狉犻狊狋犻犮

狆狆

针对已检测到的攻击，主动反应以阻止攻击的特性。

４安全加密设备概念

零售银行业务使用加密设备来确保：

———敏感数据的完整性，比如交易细节；

———秘密信息的机密性，比如用户ＰＩＮ；

３

／—

犌犅犜２１０７９．１２００７

———用以达到这些目标所使用密钥的机密性。

为保证上述目标的实现，必须抵御下面的威胁：

———泄露存储或输入到设备内部的敏感信息；

———修改敏感信息；

———设备的非授权使用；

———设备的非授权访问。

由于绝对的安全实际上是无法达到的，所以把一个ＳＣＤ描述为“耐攻击”或者“物理安全的”是不现

实的。事实上在投入足够的开销、努力和技术的情况下，任何一个安全方案都会被攻破。而且，随着技

术不断发展，一个原先认为不易被攻破的系统可能受到新技术的攻击。所以，比较现实的做法是为安全

设备确定一个抵御攻击能力的安全等级。而一个可以接受的安全等级是，在考虑到对手实施一次成功

的攻击所需使用的设备、技术和其他开销以及可以从攻击中获得的利益之后，认为足以阻止任何在设备

运行周期内可预见的攻击。

零售系统的安全性要考虑到设备物理和逻辑安全、运行环境安全和设备的管理。这些因素结合起

来组成了设备及其应用的安全性。安全性的需求来源于对应用的风险评估。

安全特性的要求取决于应用和运行环境，以及必须考虑到的攻击类型。评估设备安全性的最恰当

方法是进行风险评估，根据评估结果决定能否在特定