GA/T 1280-2024 银行自助设备安全性规范

ICS13.310

CCSA91

中华人民共和国公共安全行业标准

GA/T1280—2024

代替GA1280—2015

银行自助设备安全性规范

Securityspecificationsforself⁃servicebankdevices

2024⁃05⁃04发布2024⁃10⁃01实施

中华人民共和国公安部发布

GA/T1280—2024

目次

前言··························································································································Ⅲ

1范围·······················································································································1

2规范性引用文件········································································································1

3术语、定义和缩略语···································································································1

4设备分类·················································································································3

5结构安全性要求········································································································3

6模块安全性要求········································································································3

7网络接入安全性要求··································································································4

8操作系统安全性要求··································································································5

9应用系统安全性要求··································································································6

10数据安全性要求······································································································7

11试验方法···············································································································7

12检验规则··············································································································13

附录A（规范性）电子动态密码锁技术要求及测试方法························································16

Ⅰ

GA/T1280—2024

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规

定起草。

本文件代替GA1280—2015《自动柜员机安全性要求》，与GA1280—2015相比，除结构调整和编

辑性改动外，主要技术变化如下：

——更改了标准的名称，由《自动柜员机安全性要求》改为《银行自助设备安全性规范》；

——增加了部分术语（见3.1.1、3.1.11），更改了部分术语（见3.1.2，2015年版的3.1.3）删除了部分

术语（见2015年版的3.1.1、3.1.2、3.1.8）；

——增加了银行自助设备的分类（见第4章）；

——更改了加密键盘的防窥要求（见5.1，2015年版的4.2）；

——更改了孔位的要求（见5.2，2015年版的4.5）；

——更改了客户操作显示屏的防窥要求（见5.4，2015年版的4.3）；

——更改了外壳强度要求（见5.5，2015年版的4.9）；

——更改了显示屏防护钢板要求（见5.6，2015年版的4.4）；

——更改了现金类银行设备箱体柜门的锁具配置要求（见5.7，2015年版的4.6）；

——更改了摄像机要求（见5.8，2015年版的4.7）；

——更改了报警探测装置的要求（见5.9，2015年版的4.12）；

——更改了现金类银行设备的插卡口加装防盗读/侧录设计的要求（见5.10，2015年版的4.13）；

——更改了出钞模块要求（见6.2.1、6.2.5，2015年版的5.2.2、5.2.6），删除了部分要求（见2015年

版的5.1.1）；

——更改了存款模块要求（见6.3.1、6.3.2、6.3.5，2015年版的5.3.1、5.3.2、5.3.5），增加了取消存款

交易原钞退还要求（见6.3.6）；

——更改了出钞存款一体模块的要求（见6.4.1、6.4.3，2015年版的5.4.1、5.4.3）；

——更改了保险柜的安装要求（见6.6.1、6.6.2，2015年版的5.5.1、5.5.2）；

——更改了现金类银行设备的保险柜电子动态密码锁的要求（见6.6.3及附录A，2015年版

的5.5.3）；

——更改了加密键盘模块要求（见6.5，2015年版的5.6）；

——更改了网络访问要求（见7.1.1、7.1.3，2015年版的6.1.1、6.1.2），增加了部分要求（见

7.1.2、7.1.4）；

——更改了传输安全要求［见7.3a），2015年版的6.3a）］；

——删除了操作系统安全配置部分要求（见2015年版的7.1.1，7.1.5）；

——更改了Guest账户访问控制要求（见8.3.1，2015年版的7.3.1）；

——更改了操作系统控制密码复杂性要求策略机制（见8.3.3.3，2015年版的7.3.3.3）；

——更改了操作系统密码文件/文件目录防护要求（见8.3.4，2015年版的7.3.4）；

——更改了操作系统注册表防护要求（见8.3.5，2015年版的7.3.5）；

——更改了应用系统保护的时间同步与计时处理要求（见9.2，2015年版的8.2）；

——更改了数据保密性要求（见10.1，2015年版的9.1）；

——更改了账户信息安全要求（见10.2.1，2015年版的9.2.1）；

——更改了客户操作显示屏的防窥检验部分要求（见11.2.4，2015年版的10.3.2.1）；

Ⅲ

GA/T1280—2024

——更改了防盗读/侧录设计的测试方法（见11.2.10，2015年版的10.2.13）；

——删除了出钞模块检验部分要求（见2015年版的7.1.1，7.1.5）；

——增加了存款模块检验部分要求（见11.3.3.6）；

——更改了出钞存款一体模块检验部分要求（见11.3.4.3，2015年版的10.3.5.4）；

——更改了加密键盘模块检验部分要求（见11.3.5，2015年版的10.3.6）；

——更改了保险柜检验部分要求（见11.3.6.1、11.3.6.2，2015年版的10.3.5.1、10.3.5.2）；

——更改了访问控制检验要求（见11.4.1，2015年版的10.4.1）；

——删除了操作系统安全配置检验要求（见2015年版的10.5.1.1，10.5.1.5）；

——更改了Guest账户访问控制检验要求（见11.5.3.1，2015年版的10.5.3.1）；

——更改了注册表防护检验要求（见11.5.3.5，2015年版的10.5.3.5）；

——增加了故障策略检验要求（见11.6.1.2.2~11.6.1.2.4）；

——更改了时间同步与计时处理检验要求（见11.6.2，2015年版的10.6.2）；

——更改了数据保密性检验要求（见11.7.1，2015年版的10.7.1）；

——增加了账户信息安全检验要求（见11.7.2.1.3）；

——增加了电子动态密码锁技术要求及测试方法（见附录A）。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。

本文件由公安部治安管理局提出。

本文件由全国安全防范报警系统标准化技术委员会（SAC/TC100）归口。

本文件起草单位：公安部治安管理局、公安部第一研究所、公安部安全与警用电子产品质量检测中

心、广电运通集团股份有限公司、北京声迅电子股份有限公司、东方通信股份有限公司、珠海汇金科技

股份有限公司、深圳怡化电脑股份有限公司、恒银金融科技股份有限公司、长城信息股份有限公司、中

电金融设备系统（深圳）有限公司、中国工商银行、中国农业银行股份有限公司、中国银行、中国建设银

行、中国邮政集团有限公司、华夏银行。

本文件主要起草人：袁鹤、邱日祥、文弋、周鑫、李海涛、李叶东、聂蓉、张晓龙、高伟斌、张武松、

江浩然、黄毅、黄福平、任骥、韩涛、宋金磊、王健力、刘呈、姜慎威。

本文件及其所代替文件的历次版本发布情况为：

——2015年首次发布为GA1280—2015；

——本次为第一次修订。

Ⅳ

GA/T1280—2024

银行自助设备安全性规范

1范围

本文件规定了银行自助设备分类、结构安全性要求、模块安全性要求、网络接入安全性要求、操作

系统安全性要求、应用系统安全性要求和数据安全性要求，描述了试验方法，确立了检验规则。

本文件适用于银行自助设备的设计、制造和检验。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文

件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于

本文件。

GB10409防盗保险柜（箱）

GB/T18789.1—2013信息技术自动柜员机通用规范第1部分：设备

GB/T18789.2—2016信息技术自动柜员机通用规范第2部分：安全

GB/T19584银行卡磁条信息格式和使用规范

GB40560人民币现金机具鉴别能力技术规范

GA38—2021银行安全防范要求

GA374—2019电子防盗锁

GM/T0028密码模块安全技术要求

JR/T0002—2016银行卡自动柜员机（ATM）终端技术规范

JR/T0025.3中国金融集成电路（IC）卡规范第3部分：与应用无关的IC卡与终端接口规范

JR/T0025.8中国金融集成电路（IC）卡规范第8部分：与应用无关的非接触式规范

JR/T0120.5—2016银行卡受理终端安全规范第5部分：PIN输入设备

JR/T0187—2020银行非现金自助服务终端设备技术规范

3术语、定义和缩略语

3.1术语和定义

GB/T18789.1—2013、GB/T18789.2—2016、GA38—2021界定的以及下列术语和定义适用于本

文件。

3.1.1

银行自助设备self⁃servicebankdevice

银行提供给客户自行完成存款、取款、转账、缴费、开户、预约、信息查询等一种或多种金融业务的

专用设备。

[来源：GA38—2021，3.3，有修改]

3.1.2

前置处理系统front⁃endprocessingsystem

银行自助设备与管理中心建立通信连接的，能够接受、处理或转发设备的交易请求信息，并向设备

1

GA/T1280—2024

回送交易结果信息的处理系统。

[来源：GB/T18789.2—2016，3.2，有修改]

3.1.3

报文message

用于在网络中交换和传输的数据单元。

3.1.4

报文鉴别码messageauthenticationcode；MAC

在发送者和接受者之间用来证实报文来源和报文内容完整性的附加数据单元。

[来源：GB/T18789.2—2016，3.19，有修改]

3.1.5

个人标识码personalidentificationnumber

客户持有的用于身份验证的密码。

3.1.6

主账号primaryaccountnumber

由标识发卡机构和持卡者信息的号码及校验位组成的账号。

[来源：GB/T18789.2—2016，3.11，有修改]

3.1.7

卡处理模块cardreadermodule

对磁条卡、集成电路卡进行读写的卡处理部件单元。

[来源：GB/T18789.1—2013，3.4，有修改]

3.1.8

出钞模块cashdispensemodule

用于存放现金并实现取款交易时提取现金的部件单元。

[来源：GB/T18789.1—2013，3.7]

3.1.9

存款模块depositmodule

用于实现存入现金功能的部件单元。

[来源：GB/T18789.1—2013，3.8，有修改]

3.1.10

加密键盘encryptingPINpad

用于保护个人标识码输入安全并对其进行加密的密码输入键盘。

3.1.11

电子动态密码锁electronicdynamiccombinationlock

一种由硬件设备根据密钥、动态信息，以特定算法运算生成一次性有效动态密码并控制执行机构

实施启闭，且能与后台管理系统进行开锁信息在线交互的电子密码锁。

注：由锁体、锁舌、控制器、密码模块组成。

[来源：GB/T18789.2—2016，3.18，有修改]

3.2缩略语

下列缩略语适用于本文件。

BIOS：基本输入输出系统（BasicInputOutputSystem）

CMOS：互补金属氧化物半导体（ComplementaryMetalOxideSemiconductor）

IC：集成电路（IntegratedCircuit）

2

GA/T1280—2024

MAC：报文鉴别码（MessageAuthenticationCode）

PIN：个人标识码（PersonalIdentificationNumber）

PBOC：中国人民银行（ThePeople’sBankofChina）

4设备分类

银行自助设备分为现金类银行自助设备和非现金类银行自助设备。现金类银行自助设备包括自

动取款机、自动存款机、自动存取款一体机、外币兑换机等；非现金类银行自助设备包括查询机、票据打

印机、开卡机、排队机等。

5结构安全性要求

5.1银行自助设备加密键盘应有防窥视设计，防止他人窥视密码。如采用触屏式加密键盘，键盘的排

列顺序应能动态变化。

5.2从银行自助设备散热孔、穿线孔等整机孔位的外部应不能直接看清内部的数据信号线。

5.3现金类银行自助设备正面应安装防窥后视镜，使客户能够察觉到他人窥视。

5.4现金类银行自助设备客户操作显示屏应具有防窥视功能。在左、右侧视角为30°~90°时（以垂直

于屏幕的法线方向为0°），不应看清显示屏内容。

5.5银行自助设备箱体外壳及穿墙框应采用厚度大于或等于1.0mm、屈服强度在235MPa及以上的

钢板。

5.6现金类银行自助设备客户操作显示屏后方应具有防护钢板，钢板的屈服强度应在235MPa及以

上，厚度宜大于或等于3.0mm，尺寸大于或等于显示屏。

5.7不同现金类银行自助设备箱体柜门不应使用相同钥匙，同一现金类银行自助设备的不同柜门不

应使用相同钥匙。

5.8现金类银行自助设备箱体内应预留客户面部视频监控装置、存取款钞口视频监控装置的安装孔

位，安装的视频监控装置应符合GA38—2021的相关要求。

5.9现金类银行自助设备的上、下箱体内均应预留振动、异常开关门报警探测装置的安装孔位，入侵

报警系统应能实现对撬、砸等暴力破坏事件及异常开关门的探测报警。保险柜门开启时，设备应暂停

服务。

5.10现金类银行自助设备的插卡口应具有防盗读/防侧录功能，当探测到非法加装的盗读/侧录装置

时应能及时暂停服务并报警，并能对盗读/侧录装置实施电磁干扰，阻止银行卡的第二磁道信息被非法

读取。

6模块安全性要求

6.1卡处理模块

6.1.1接触式卡处理模块应具有断电退卡功能。

6.1.2接触式卡处理模块应具有吞卡功能，吞卡时能产生报警信号。

6.1.3接触式卡处理模块宜具备抖动进卡功能。

6.1.4接触式IC卡的卡处理模块应符合JR/T0025.3的相关规定，非接触式IC卡的卡处理模块应符

合JR/T0025.8的相关规