銀辦發[2011]152號
中國人民銀行上?����?偛?,各分行、營業管理部���,各省會(首府)城市中心支行�,各副省級城市中心支行�����;各國有商業銀行�����、股份制商業銀行,中國郵政儲蓄銀行��;中國銀聯股份有限公司:
根據《中國人民銀行關于推進金融IC卡應用工作的意見》(銀發[2011]64號)要求��,為提高金融IC卡應用安全管控水平�����,中國人民銀行組織制定了《中國金融集成電路(IC)卡密鑰體系管理規范》等6項制度規范���,現予以印發���,并就有關要求通知如下:
一、各單位應嚴格遵照規范要求對金融IC卡密鑰體系進行建設與檢測���。
二��、中國人民銀行將依據規范對相關單位進行檢查�����,各有關單位應按照檢查要點逐項落實并積極配合檢查工作���。
請中國人民銀行上??偛?���、各分行����、營業管理部、各省會(首府)城市中心支行�����、副省級城市中心支行將本通知轉發至轄區內地方性商業銀行及外資銀行��,中國銀聯股份有限公司將本通知轉發至中國金融認證中心����。
附件:1.中國金融集成電路(IC)卡密鑰體系管理規范.doc
2.中國金融集成電路(IC)卡發卡機構密鑰管理系統技術規范.doc
3.中國金融集成電路(IC)卡發卡機構密鑰管理系統檢測規范.doc
4.中國金融集成電路(IC)卡認證中心密鑰管理系統檢查要點.doc
5.中國金融集成電路(IC)卡發卡機構密鑰管理系統檢查要點.doc
6.中國金融集成電路(IC)卡收單機構密鑰管理檢查要點.doc
中國人民銀行
2011年7月21日
?
附件1
中國金融集成電路(IC)卡密鑰體系管理規范
前言
本規范規定了與金融IC卡密鑰體系管理相關的各機構,包括認證中心��、發卡機構�����、收單機構在密鑰管理方面應當符合的要求��,是各機構開展金融IC卡密鑰體系管理工作的依據。
本規范是中國人民銀行監管相關機構金融IC卡密鑰體系管理工作的依據�����。
本規范由中國人民銀行制定與修訂����。
中國金融集成電路(IC)卡密鑰體系管理規范
1 范圍
本規范規定了中國金融集成電路(IC)卡密鑰體系的管理規則及安全策略要求。
本規范用于指導金融IC卡密鑰管理及密鑰使用機構��,包括管理根密鑰的認證中心���、管理發卡機構密鑰和IC卡密鑰的發卡機構�,以及使用認證中心公鑰證書的收單機構對于密鑰體系的管理����。
2 規范性引用文件
下列文件中的條款通過本規范的引用而成為本規范的條款。凡是注日期的引用文件����,其隨后所有的修改單(不包括勘誤的內容)或修訂版均不適用于本規范,然而���,鼓勵根據本規范達成協議的各方研究是否可使用這些文件的最新版本�����。凡是不注日期的引用文件�,其最新版本適用于本規范�����。
JR/T 0025-2010中國金融集成電路(IC)卡規范
GB/T 25056-2010證書認證系統密碼及其相關安全技術規范
GB/T 17901.1-1999信息技術 安全技術 密鑰管理 第1部分 框架
GB/T 50174-2008電子信息系統機房設計規范
GB/T 2887-2000電子計算機場地通用規范
GB/T 9361-1988計算站場地安全要求
GB/T 6650-1986計算機機房用活動地板技術條件
GJBZ-20219-1994軍用電磁屏蔽室通用技術要求和檢驗方法
3 術語和定義
下列術語和定義適用于本規范�����。
3.1 認證 Authentication
確認一個實體所宣稱的身份的措施���。
3.2 非對稱密鑰 Asymmetric key
使用非對稱加密技術產生的一對密鑰����,包括公鑰和私鑰�����。非對稱加密技術是指采用兩種相關變換的加密技術:公開變換(由公鑰定義)和私有變換(由私鑰定義)��。這兩種變換存在在獲得公開變換的情況下是不能夠通過計算得出私有變換的特性。
3.3 收單機構Acquirer
開展金融IC卡收單業務的機構���。
3.4 證書 Certificate
由發行證書的認證中心使用其私鑰��,對實體的公鑰���、身份信息以及其他相關信息進行簽名,形成的不可偽造的數據���。
3.5 認證中心 Certification authority
證明公鑰和其他相關信息同其擁有者相關聯的可信的第三方機構���。
3.6 密文 Cryptogram
加密運算的結果。
3.7 泄露 Compromise
機密或安全被破壞���。
3.8 密鑰有效期Cryptoperiod
某個特定的密鑰被授權可以使用的時間段���,或者某個密鑰在給定的系統中有效的時間段。
3.9 發卡機構Issuer
開展金融IC卡發卡業務的機構�。
3.10 集成電路 Integrated circuit(s)
具有處理和/或存儲功能的電子器件。
3.11 集成電路卡 Integrated circuit(s) card
內部封裝一個或多個集成電路用于執行處理和存儲功能的卡片�����。
3.12 密鑰 Key
控制加密轉換操作的符號序列。
3.13 密鑰失效日期Key expiry date
用特定密鑰產生的簽名不再有效的最后期限���。用此密鑰簽名的發卡機構證書必須在此日期或此日期之前失效���。在此日期后,此密鑰可以從終端刪除����。
3.14 密鑰生命周期Key life cycle
密鑰管理的所有階段�����,包括生成�、存儲、備份����、恢復、更新��、撤銷�、存檔和銷毀等。
3.15 報文 Message
由終端向卡或卡向終端發出的���,不含傳輸控制字符的字節串���。
3.16 報文鑒別碼 Message authentication code
對交易數據及其相關參數進行運算后產生的代碼��,主要用于驗證報文的完整性�����。
3.17 私鑰 Private key
一個實體的非對稱密鑰對中含有的供實體自身使用的密鑰��,在數字簽名方案中�,私鑰用于簽名��。
3.18 公鑰 Public key
在一個實體使用的非對稱密鑰對中可以公開的密鑰�。在數字簽名方案中,公鑰用于驗證���。
3.19 公鑰證書 Public key Certificate
由認證中心簽名的不可偽造的某個實體的公鑰信息����。
3.20 明文 Plain text
未被加密的信息��。
3.21 安全報文 Security message
通過報文鑒別碼(MAC)來保障數據的完整性和對發卡機構的認證�,通過對數據域的加密來保障數據機密性的報文�����。
3.22 對稱密鑰 Symmetric key
使用對稱加密技術產生的密鑰�����。對稱加密技術是指發送方和接收方使用相同保密密鑰進行數據變換的加密技術��。在不掌握保密密鑰的情況下��,不可能推導出發送方或接收方的數據變換���。
3.23 終端 Terminal
在交易點安裝、用于與IC卡配合共同完成金融交易的設備����。它應包括接口設備�����,也可包括其他的部件和接口(如與主機的通訊)�。
4 縮略語
以下縮略語適用于本規范:
ARPC 授權響應密文(Authorization Response Cryptogram)
ARQC 授權請求密文(Authorization Request Cryptogram)
IC 集成電路(Integrated Circuit)
5 金融IC卡密鑰概述
5.1 密鑰類型
金融IC卡業務中應用的密鑰包括非對稱密鑰與對稱密鑰。
非對稱密鑰包括:認證中心根密鑰對���,發卡機構公私鑰對以及IC卡公私鑰對��。
與非對稱密鑰管理相關的機構包括:管理根密鑰的認證中心���、管理發卡機構公私鑰對以及IC卡公私鑰對的發卡機構��、使用認證中心公鑰的收單機構���。
對稱密鑰包括:發卡機構金融IC卡業務相關的對稱密鑰。
與對稱密鑰管理相關的機構包括:管理發卡機構對稱密鑰的發卡機構及卡組織�。
5.2 相關機構的密鑰管理職責
5.2.1認證中心的根密鑰管理職責
認證中心負責對根密鑰進行管理,其具體職責:
1.金融IC卡根密鑰系統的運營管理��;
2.認證中心根密鑰的生命周期管理�;
3.受理發卡機構的申請,向發卡機構簽發發卡機構證書�����。
5.2.2發卡機構的密鑰管理職責
發卡機構在非對稱密鑰管理方面的職責:
1.發卡機構非對稱密鑰管理系統或模塊的運營管理����;
2.發卡機構公私鑰對的生命周期管理;
3.向認證中心申請并管理發卡機構證書����;
4.生成IC卡公私鑰對�,簽發IC卡公鑰證書����,以及產生IC卡卡靜態數據簽名。
發卡機構在對稱密鑰管理方面的職責:
1.發卡機構對稱密鑰管理系統或模塊的運營管理�;
2.與卡組織進行密鑰交換。
發卡機構與相關卡組織簽訂了相關的代校驗(例如ARQC/生成ARPC)協議時,卡組織需要與發卡機構進行密鑰交換��,并負責管理該密鑰�。
5.2.3收單機構的密鑰管理職責
收單機構負責對終端中的認證中心公鑰進行管理,其具體職責:
1.將認證中心公鑰導入終端����;
2.認證中心公鑰在終端中的存儲與使用��;
3.從終端中撤回認證中心公鑰�。
6 認證中心根密鑰管理要求
6.1 基本要求
管理根密鑰的認證中心應符合以下基本要求:
1.具有10年以上的密鑰管理系統運營經驗,例如電子認證服務運營經驗�����;
2.具有國家密碼管理機構同意使用密碼的證明文件;
3.由中國人民銀行認可�。
6.2 根密鑰生命周期管理要求
根密鑰的生命周期包括密鑰生成����、密鑰存儲�、密鑰備份����、密鑰恢復、密鑰更新、密鑰有效期變更���、密鑰的停止使用����、密鑰撤銷��、密鑰歸檔���、密鑰銷毀等過程��。認證中心在根密鑰的生命周期管理中需遵循以下要求���。
6.2.1密鑰生成
認證中心在生成根密鑰之前應上報中國人民銀行,生成密鑰的過程應在中國人民銀行監督下進行��。
認證中心根密鑰應在國家密碼管理機構許可的硬件加密設備中生成��,生成過程應由2名以上(包括2名)的密鑰管理員同時到達現場進行操作��,并在安全管理員的監督下完成�。
根密鑰的生成過程應進行錄像監控并有書面操作記錄,錄像���、書面記錄等資料應妥善保存���,防止未授權的訪問,并至少應保存至密鑰失效以后�。
根密鑰生成后,認證中心應將自簽的公鑰證書上交中國人民銀行備案���。
6.2.2密鑰存儲
認證中心應將根密鑰存放于國家密碼管理機構許可的硬件加密設備中���,確保密鑰的完整性并防止密鑰泄露。
6.2.3密鑰備份
認證中心應采用秘密共享機制對根密鑰進行備份:根密鑰備份文件由密鑰管理員保管��,根密鑰備份文件的保護口令至少應為兩組以上�����,分別由不同的密鑰分管員保管��。
根密鑰備份文件及相應的保護口令應分別存放在智能IC卡或智能密碼鑰匙形式的密鑰卡中����,或具有更高安全等級的存儲介質中。IC卡����、密鑰卡等存儲介質應存儲在認證中心核心區的安全區域內�����,由密鑰管理員與密鑰分管員共同保管�。
認證中心還應對根密鑰進行異地備份����,并確保其安全性。
6.2.4密鑰恢復
認證中心恢復根密鑰時��,應在安全管理員的監督下進行����,密鑰管理員及至少2名密鑰分管員應同時到達現場,在硬件加密設備中實施恢復操作�����,并有書面操作記錄��。
6.2.5密鑰更新
當根密鑰到期后��、中國人民銀行要求生成新密鑰時��,認證中心應在新的根密鑰對生效年份前一年的10月31日前完成更新過程。
根密鑰的更新過程與根密鑰的生成過程要求相同�。
認證中心生成新的根密鑰后,應及時向發卡機構與收單機構發布密鑰更新說明��,并應確認發卡機構與收單機構已經接收�。
6.2.6密鑰有效期變更
中國人民銀行要求變更根密鑰有效期時���,認證中心應進行變更��,并重新自簽認證中心公鑰證書上交中國人民銀行備案�。
認證中心根密鑰有效期變更后���,應及時向發卡機構與收單機構發布密鑰有效期變更說明�����,并應確認發卡機構與收單機構已經接收(認證中心根密鑰有效期延期說明以及對發卡機構和收單機構的影響參見附錄A)�����。
6.2.7密鑰的停止使用
在認證中心根密鑰到期前一年��,認證中心應停止使用即將到期的根私鑰簽發發卡機構公鑰證書��,并應及時通知發卡機構與收單機構根密鑰即將到期�。
6.2.8密鑰撤銷
當出現以下情形時,認證中心應對根密鑰進行撤銷:
1.中國人民銀行進行安全評估后要求認證中心撤銷根密鑰時��;
2.證實認證中心根私鑰泄露或懷疑根私鑰泄露時�����;
3.影響根私鑰安全的其他情形�����。
根密鑰的撤銷過程與根密鑰的生成過程要求相同���。
根密鑰撤銷后�,認證中心應及時通知發卡機構及收單機構��。
6.2.9密鑰歸檔
當根密鑰到期后�,認證中心應按照國家保密規定的要求將其歸檔保存,歸檔期限至少為5年���,并應確保歸檔后的根密鑰不會再被使用����。
6.2.10密鑰銷毀
歸檔的根密鑰在其歸檔期結束后,認證中心應進行銷毀�,且備份的根密鑰也應一同銷毀。根密鑰的銷毀應在安全管理員的監督下��,由密鑰管理員與所有密鑰分管員共同參與完成�����。銷毀過程應有詳細的書面操作記錄�����,銷毀方式應符合國家保密規定要求�����。
6.3 密鑰泄露的應急處理
認證中心應制定根私鑰泄露的應急預案�����,明確根私鑰泄露的內部處理流程���、人員分工及對外通知處理流程。
認證中心懷疑或證實發生根私鑰泄露時����,應立即上報中國人民銀行��,說明發生根私鑰泄露的時間��、原因以及擬采取的應急處理措施��。認證中心應暫停使用懷疑或證實泄露的根私鑰簽發新的發卡機構證書�,并通知發卡機構暫停使用該私鑰簽發的證書發放新的金融IC卡�。
經中國人民銀行批準后,認證中心應立即撤銷遭泄露的根密鑰�����,并在撤銷前通知所有的發卡機構及收單機構���。
6.4 發卡機構證書管理要求
6.4.1發卡機構注冊
在發卡機構向認證中心申請發卡機構證書之前�����,認證中心應要求發卡機構的安全員持相應的注冊申請材料���,前往認證中心逬行注冊。
認證中心應驗證以上材料的真實性與有效性��,并將審核結果告知發卡機構。上述工作應在5個工作日內處理完成����。
6.4.2發卡機構證書的簽發
認證中心向發卡機構簽發生產型發卡機構證書之前,應要求發卡機構申請測試型發卡機構證書�����。當發卡機構的發卡測試系統經中國人民銀行批復通過���,且金融IC卡的測試卡片經中國人民銀行指定的檢測機構檢測通過后,認證中心方可受理發卡機構的生產型證書申請�����。
受理發卡機構證書申請時���,認證中心應指定安全的傳輸方式����,要求發卡機構的安全員以此方式提交證書申請信息及發卡機構公鑰輸入文件����。認證中心對發卡機構公鑰輸入文件驗證無誤后,方可簽發證書�。
6.4.3證書傳輸
認證中心應將簽發完成后的發卡機構證書以加密傳輸的方式發放給發卡機構的安全員。
6.4.4證書驗證
認證中心應要求發卡機構收到證書后進行驗證���,確認其內容完整無誤且信息源正確��。若發卡機構驗證未通過��,且經雙方確認證書有誤后���,認證中心應立即撤銷該證書����,重新簽發正確的證書�����。
6.4.5證書更新
當發卡機構申請證書更新時���,認證中心應按照證書初次發放的相同流程進行處理����。
6.5 物理環境要求
6.5.1物理建設標準
認證中心根密鑰系統所在的物理場所����,其物理環境至少應參照以下國家標準進行建設:
GB/T 50174-2008《電子信息系統機房設計規范》
GB/T 2887-2000《電子計算機場地通用規范》
GB/T 6650-1986《計算機機房用活動地板技術條件》
GB/T 9361-1988《計算站場地安全要求》
其中機房設計應符合《電子信息系統機房設計規范》中規定的A級標準�����,機房安全應符合《計算站場地安全要求》中的 A類要求�。
此外,認證中心根密鑰系統所在的物理場所應通過權威機構的電磁屏蔽效能測試�,滿足相關要求,例如《GJBZ-20219-1994軍用電磁屏蔽室通用技術要求和檢驗方法》中的C級要求。
6.5.2物理訪問控制
認證中心根密鑰系統所在的物理場所�����,需要建立四層以上的物理安全防護體系��,包括公共區�����、服務區���、管理區和核心區����。用于生成與存儲根密鑰的硬件加密設備應放置于核心區內��。核心區應配備24小時視頻監控設備進行實時監控�。
認證中心應為不同區域設置不同的安全級別,實施不同程度的物理安全防護措施�����,每個人員只能進入被授權訪問的物理區域���。
當認證中心內部人員進入核心區時�����,應通過兩道以上的訪問控制機制�。外部人員來訪需經過管理人員的批準,進行來訪登記后在內部人員的陪同下方可進入�。
認證中心的所有敏感操作應在受到物理保護的環境下進行,所采取的物理保護手段應能防止未授權的訪問���、敏感信息的泄露等�����。
6.5.3介質存儲
認證中心用于存儲敏感信息的存儲介質���,包括但不限于錄像資料、存儲卡等應放置在防磁���、防靜電干擾的環境中,應保證存儲介質不會被意外(如水�����、火和電磁干擾)破壞,不會被進行未授權的物理訪問��。
6.5.4廢物處理
認證中心應制定廢物處理流程����,對不再使用的、與根密鑰管理相關的敏感介質����、文件和其他廢物,應以安全的方式銷毀����,銷毀方法包括但不限于以下形式:
紙質的敏感信息需要通過粉碎、焚燒或其他不可恢復的方法處理���;廢棄的密碼設備需要根據制造商的指南進行物理銷毀或者實施不可恢復的數據刪除操作�����。
廢物銷毀過程中���,應至少有兩人同時參與,并有書面的操作記錄���。
6.6 人員管理要求
6.6.1人員角色劃分
認證中心應當為根密鑰的管理設定以下角色:
1.系統管理員
系統管理員由根密鑰管理系統在初始化時產生����,主要職責是在系統中設置密鑰管理員、操作員�、系統審計員等角色并進行管理。
2.密鑰管理員
密鑰管理員負責根密鑰的生成��、備份�、更新、撤銷��、歸檔���、銷毀等操作��,并負責對所有根密鑰備份進行統一管理�����,嚴格監督密鑰分管員按照要求保管密鑰備份口令���。
3.密鑰分管員
密鑰分管員負責妥善保管分管的密鑰備份口令,參與根密鑰的備份����、恢復、歸檔及銷毀等�����。
4.業務審核員
業務審核員負責對發卡機構提交的證書申請材料進行審核���。
5.操作員
操作員負責執行發放發卡機構證書的具體操作���,包括:
(1)錄入發卡機構證書申請信息;
(2)執行發卡機構證書的發放��、更新操作���;
(3)下發發卡機構證書��。
6.安全管理員
安全管理員負責對整個密鑰生命周期進行安全管理��,對物理環境的安全進行管理����,承擔系統審計員的職責對密鑰管理系統運營安全相關的日志或事件進行定期審計���,對系統進行定期的安全評估等��。
6.6.2職責分割要求
6.6.1中所述的任何兩個角色均不能由同一人員擔任����,應進行職責分割,并在滿足職責分割要求的前提下����,做好人員備份。
6.6.3人員錄用及管理要求
認證中心雇傭人員擔任6.6.1中所述的角色時�����,應要求應聘人員提供有關教育背景���、工作資格以及相關從業經歷的證明�����,如果需要�����,也應要求應聘人員提供無犯罪證明�。
認證中心應制定并執行嚴格的背景審查流程,對擔任以上角色的人員進行調查��,并定期進行復審�。
擔任以上角色的人員入職時應與認證中心簽訂相應的保密協議�,并執行輪崗、強制休假等管理制度�。
擔任以上角色的人員離職或調崗時,認證中心應取消其相應的訪問權限����,并做好工作交接。
6.6.4人員培訓要求
認證中心應定期對相關人員進行培訓�����,每年對擔任6.6.1中所述角色的人員����,其培訓時間不得少于10學時。培訓內容與相關人員的職責相對應����,包括:使用、操作和維護系統過程中的職責���、軟硬件操作規范��、安全策略要求����、金融IC卡密鑰管理最新發展趨勢等。
6.6.5未授權行為的處罰
認證中心應建立��、維護和實施相應的管理辦法����,對相關人員的未授權行為(如:對根密鑰管理系統的未授權訪問),根據相關規定和法律法規進行相應處罰�����,并及時補充和完善相應的內部管理制度�。
6.7 安全審計要求
6.7.1內部審計管理
1.審計日志要求
根密鑰管理系統中應設置日志審計模塊,對相關人員在系統中的操作日志進行全程記錄�。
安全管理員應定時調出審計記錄,制作統計分析表�����,對所有人員的操作記錄進行審計,在出現操作事故時迅速定位事故原因���。安全管理員可以處理但不能修改日志審計數據��。
被處理后的審計日志�,其保存期限不得少于一年�����。
認證中心應制定相關流程���,確保審計日志不被未授權的訪問、復制�、修改和刪除。
2.其他安全審計內容
安全管理員應定期進行安全審計�����,除了日志審計以外�����,還應包括:
人員審計:認證中心的人員應是可信任的���,必須理解安全策略和安全操作程序���;
物理安全審計:物理安全防護措施是否完善�;
通信安全審計:所有安全通信設備的使用是否符合認證中心的安全管理規定�;
系統安全審計:檢查根密鑰管理系統的操作系統、數據庫系統���、入侵檢測系統�����、漏洞掃描系統�、防病毒系統�、防火墻系統等的日志記錄,以確定系統是否異常�。
6.7.2外部審計要求
中國人民銀行可根據需要對認證中心的根密鑰管理進行審計。
認證中心應根據中國人民銀行的要求�,準備相關資料,作好接受審計的準備���。
6.8 文檔配備
要求認證中心應配備相關的文檔用于指導根密鑰管理系統的建設�����、運營和日常管理�����,文檔類型可分為技術實現�、物理建設、人事管理以及審計與評估四類���。
6.8.1技術實現類
此類文檔重點從技術方面描述根密鑰管理系統��,主要包括:
1.《系統設計》描述根密鑰管理系統的邏輯結構�、網絡結構�����、數據通信設計����、密鑰管理��、業務處理流程以及系統的軟硬件配置等�����;
2.《系統安全》描述根密鑰管理系統通過采用防火墻、入侵檢測���、漏洞掃描����、病毒防治��、訪問控制��、安全配置等措施���,保證系統的安全性����,同時���,從數據通訊��、密鑰管理�����、證書管理�、安全審計、物理安全等各個方面闡述系統安全措施的實現����;
3.《系統安裝與配置手冊》介紹根密鑰管理系統的安裝與配置;
4.《系統操作手冊》介紹各系統角色在系統中的職責及操作流程���。
6.8.2物理建設類
此類文檔重點從物理環境方面描述根密鑰管理系統的安全保障措施�,主要包括:
1.《物理場地安全手冊》描述物理場地的安全要求及實現等��;
2.《物理場地安全管理規定》描述人員進出各個區域的權限����、來訪者的接待和管理、門禁系統的使用���、監控報警系統的操作使用等管理規定����。
6.8.3人事管理類
此類文檔重點從人員的可信度鑒別等方面描述認證中心的人事管理制度���,主要包括:
1.《可信人員策略》描述可信人員策略及其如何進行可信人員調查;
2.《可信人員職位劃分原則與鑒別》描述可信人員職位劃分原則��,可信人員鑒別和背景調查及分析等。
6.8.4審計與評估類
此類文檔重點從安全審計與評估方面描述系統的安全性�����,主要包括:
《安全與審計規范》規定認證中心密鑰管理的審計范圍和評價標準����。
7 發卡機構密鑰管理要求
7.1 管理機構形式
發卡機構密鑰可以采用發卡機構自行管理或委托其他機構管理兩種方式。
當委托其他機構管理時�,被委托機構對于密鑰的管理應當符合本章的相同要求。
發卡機構應與被委托機構簽訂委托管理協議��,明確雙方的責任與義務�。
7.2 發卡機構非對稱密鑰生命周期管理要求
發卡機構非對稱密鑰生命周期包括密鑰生成、密鑰存儲�����、密鑰傳輸�、密鑰備份、密鑰恢復����、密鑰更新、密鑰停止使用���、密鑰歸檔��、密鑰銷毀等過程�。發卡機構非對稱密鑰的生命周期管理應遵循以下要求。
7.2.1密鑰生成
發卡機構公私鑰對應在國家密碼管理機構許可的硬件加密設備中生成���,密鑰的生成應由2名以上(包括2名)的密鑰管理員同時到達現場進行操作��,并在安全管理員的監督下完成��。
發卡機構公私鑰對的生成過程應進行錄像監控并有書面操作記錄����。
7.2.2密鑰存儲
發卡機構公私鑰對應存放于國家密碼管理機構許可的硬件加密設備中�����,或對密鑰中的保密信息以加密的形式存儲在其他安全介質中��,并采取嚴格的控制機制防止非授權的訪問����,以確保私鑰的完整性并防止泄露�����。
7.2.3密鑰傳輸
發卡機構申請發卡機構公鑰證書(包括測試型與生產型)之前,應由安全員將發卡機構公鑰輸入文件以認證中心指定的安全方式傳輸至認證中心�,并提供相應的證書申請材料交與認證中心審核。
發卡機構收到認證中心簽發的發卡機構證書后��,應驗證發卡機構證書中的相關信息�,以確認收到證書的信息完整性,以及信息源的正確性��。
7.2.4密鑰備份
當發卡機構公私鑰對存儲于硬件加密設備中時����,發卡機構應采用秘密共享機制對公私鑰對進行備份:密鑰備份文件由密鑰管理員保管;密鑰備份文件的保護口令至少應為兩組以上����,分別由不同的密鑰分管員保管。密鑰備份文件及相應的保護口令應分別存放在智能IC卡或智能密碼鑰匙形式的密鑰卡中�����,或具有更高安全等級的存儲介質中��。IC卡、密鑰卡等存儲介質應存放在發卡機構核心區的安全區域內���,由密鑰管理員與密鑰分管員共同保管�����。
當發卡機構公私鑰對存儲在數據庫或其他介質中時���,應通過安全存儲介質進行備份。存儲備份密鑰的介質應存放在發卡機構核心區的安全保管區域內�����,由密鑰管理員與2名以上(包括2名)的密鑰分管員同時控制��,并有嚴格的保管登記措施�����。
發卡機構應對發卡機構公私鑰對進行異地備份��,并確保其安全性��。
7.2.5密鑰恢復
當發卡機構公私鑰對以7.2.4中的第一種方式進行備份時���,密鑰的恢復應在安全管理員和密鑰管理員的監督下����,由2名以上(包括2名)的密鑰分管員在硬件加密設備中執行恢復操作��。
當發卡機構公私鑰對以7.2.4中的第二種方式進行備份時�����,密鑰的恢復應在安全管理員和密鑰管理員的監督下���,由2名以上(包括2名)的密鑰分管員共同使用密鑰備份進行恢復���。
發卡機構密鑰的恢復過程應有書面操作記錄。
7.2.6密鑰更新
當發卡機構接到認證中心根密鑰有效期變更的通知時���,可針對業務開展情況進行評估是否需要申請新的發卡行公鑰證書�,以保證發行的IC卡有效期能同步更新��。
當發卡機構接到根密鑰有效期到期的通知時�����,發卡機構應對發卡機構公鑰證書進行更新。
當需要更新時���,發卡機構應重新生成發卡機構公私鑰對��,并由安全員以認證中心指定的安全方式向認證中心提交證書更新申請以及更新后的公鑰輸入文件�����,申請更新發卡機構證書�����。
發卡機構證書更新后��,使用新的發卡機構私鑰簽發的金融?IC卡����,發卡機構應確保其有效期等于或小于發卡行公鑰證書的有效期��。
發卡機構公私鑰對的更新過程與生成過程的要求相同����。
7.2.7密鑰的停止使用
當出現以下情形時,發卡機構應立即撤銷發卡機構公私鑰對�,并停止使用相應的發卡機構私鑰簽發IC卡證書:
1.當發卡機構收到認證中心撤銷根密鑰的通知時����;
2.證實發卡機構私鑰泄露或懷疑發卡機構私鑰泄露時���;
3.影響發卡機構公私鑰對安全的其他情況���。
7.2.8密鑰歸檔
當發卡機構公私鑰對到期后��,發卡機構應按照國家保密規定的要求歸檔保存�����,歸檔期限至少為5年��,并應確保歸檔后的密鑰不會再被使用����。
7.2.9密鑰銷毀
發卡機構公私鑰對歸檔期結束后,發卡機構應對私鑰進行銷毀�。私鑰的銷毀需要在安全管理員的監督下,由密鑰管理員與所有密鑰分管員共同參與完成�。銷毀過程應有詳細的書面操作記錄,并應符合國家保密規定要求�����。
7.3 發卡機構對稱密鑰管理要求
7.3.1密鑰生成
發卡機構生成對稱密鑰時,應在國家密碼管理機構許可的硬件加密設備中生成�。
在生成發卡機構對稱密鑰時,可選擇在硬件加密設備中隨機生成��,或利用隨機生成的分量進行合成操作�����,該操作應在安全管理員的監督下�����,由2名以上(包括2名)的密鑰管理員同時進行����。
發卡機構對稱密鑰的生成操作過程必須進行錄像監控并有書面記錄。
發卡機構對稱密鑰必須針對不同的業務類型生成不同的對稱密鑰����,不同業務類型不可使用同一套對稱密鑰。
7.3.2密鑰存儲
發卡機構應將對稱密鑰存放于國家密碼管理機構許可的硬件加密設備中���,同時還可以采取以下兩種方式存儲對稱密鑰:一是以加密的形式存儲在數據庫或其他介質中��,并采取嚴格的控制措施防止密鑰泄露����;二是以分量存儲的方式保管在安全的物理環境中,并確保不同分量由不同的密鑰分管員分別保管����。
7.3.3密鑰傳輸
發卡機構生成對稱密鑰后,進行密鑰傳輸時必須以密文方式進行���,任何環節不能出現對稱密鑰明文。
7.3.4密鑰備份
當發卡機構對稱密鑰存儲于硬件加密設備中時�,應在其他硬件加密設備中進行備份,硬件加密設備應具有國家密碼管理機構的資質許可��。
當發卡機構對稱密鑰存儲于數據庫或其他介質中時�,應通過介質或者分量方式備份。存儲備份密鑰或者分量的介質應存放在發卡機構核心區的安全保管區域內���,由密鑰管理員與2名以上(包括2名)的密鑰分管員同時控制���,并有嚴格的保管登記措施。
發卡機構應對發卡機構對稱密鑰進行異地備份���,并確保其安全性����。
7.3.5密鑰恢復
發卡機構對稱密鑰的恢復可直接使用密文備份進行恢復。
當發卡機構對稱密鑰以密鑰分量或存儲介質備份時�,其恢復過程應在國家密碼管理機構批準與許可的硬件加密設備中進行,恢復過程應在安全管理員與密鑰管理員的監督下���,由2名以上(包括2名)的密鑰分管員同時參與��,其操作過程應有詳細的書面記錄����。
7.3.6密鑰更新
對于發卡機構靜態對稱密鑰����,建議兩年更新一次,密鑰更新過程中需要兼容考慮存量卡片�����,不得影響存量卡片的正常使用�����。
發卡機構對稱密鑰的更新過程與生成過程要求相同。
7.3.7密鑰的停止使用
當證實發卡機構對稱密鑰泄露或懷疑密鑰泄露時�,發卡機構應立即停止使用該對稱密鑰,并及時通知使用該對稱密鑰的有關單位����。
7.3.8密鑰歸檔
發卡機構應對已停止使用或作廢的對稱密鑰按照國家保密規定的要求歸檔保存,歸檔期限至少為5年��,并應確保歸檔后的對稱密鑰不會再被使用�����。
7.3.9密鑰銷毀
歸檔的密鑰在其歸檔期結束后��,發卡機構應對歸檔密鑰進行銷毀����。銷毀操作需要在安全管理員的監督下���,由密鑰管理員與所有密鑰分管員共同參與完成��。銷毀過程應有詳細的書面操作記錄�,并應符合國家保密規定��。
7.4 IC卡密鑰生命周期管理要求
IC卡密鑰生命周期包括密鑰生成、密鑰存儲����、密鑰傳輸。此過程應遵循以下要求�。
7.4.1密鑰生成
發卡機構宜采用兩種方式生成IC卡公私鑰對:
(1)在IC卡中生成;
(2)在國家密碼管理機構許可的硬件加密設備中生成����,再寫入IC卡中。
發卡機構應確保IC卡公私鑰對數據不會重復�。
7.4.2密鑰存儲
發卡機構應確保在硬件加密設備中生成的IC卡私鑰寫入IC卡后���,不會留存任何備份。
7.4.3密鑰傳輸
發卡機構應確保在硬件加密設備中生成的IC卡私鑰信息�����,在寫入至IC卡的過程中����,不會被截獲和泄露。
7.5 密鑰泄露的應急處理
發卡機構應制定密鑰泄露的應急預案�����,明確密鑰泄露的內部處理流程��、人員分工及對外通知處理流程���。
發卡機構懷疑或證實發生密鑰泄露時���,應立即上報中國人民銀行���,通知相關卡組織和收單機構,并停止使用遭泄露的密鑰��。
7.6 物理環境要求
7.6.1物理建設標準
發卡機構密鑰管理系統所在的物理場所��,其物理環境至少應參照以下國家標準建設:
GB/T50174-2008《電子信息系統機房設計規范》
GB/T 2887-2000《電子計算機場地通用規范》
GB/T 6650-1986《計算機機房用活動地板技術條件》
GB/T 9361-1988《計算站場地安全要求》
其中機房設計應符合《電子信息系統機房設計規范》中規定的A級標準���,機房安全應符合《計算站場地安全要求》中的 A類要求。
7.6.2物理訪問控制
發卡機構密鑰管理系統所在的物理場所���,需要建立四層以上的物理安全防護體系����,包括公共區����、服務區�����、管理區和核心區�����。用于生成與存儲發卡機構密鑰的硬件加密設備應放置于核心區內�。核心區應配備24小時視頻監控設備進行實時監控���。
發卡機構應為不同區域設置不同的安全級別,實施不同程度的物理安全防護措施�����,每個人員只能進入被授權訪問的物理區域�。
當發卡機構內部人員進入核心區時,應通過兩道以上的訪問控制機制�。外部人員來訪需經過發卡機構管理人員的批準,進行來訪登記后在內部人員的陪同下方可進入�。
發卡機構的所有敏感操作應在受到物理保護的環境下進行,所采取的物理保護手段應能防止未授權的訪問��、敏感信息的泄露等�����。
7.6.3介質存儲
發卡機構用于存儲敏感信息的存儲介質,包括但不限于錄像資料、存儲卡等應放置在防磁���、防靜電干擾的環境中,應保證存儲介質不會被意外破壞(如:水���、火和電磁干擾)�����,不會被進行未授權的物理訪問���。
7.6.4廢物處理
發卡機構應制定廢物處理流程����,對不再使用的����、與密鑰管理相關的敏感介質���、文件和其他廢物����,應以安全的方式銷毀���,銷毀方法包括但不限于以下形式:
紙質的敏感信息需要通過粉碎��、焚燒或其他不可恢復的方法處理�����;
廢棄的密碼設備需要根據制造商的指南將其物理銷毀或者實施不可恢復的數據刪除操作����。
廢物銷毀過程中,應至少有兩人同時參與,并有書面的操作記錄�。
7.7 人員管理要求
7.7.1人員角色劃分
發卡機構應當設定以下與密鑰管理相關的角色:
1.系統管理員
系統管理員由密鑰管理系統在初始化時產生�,主要職責是在系統中設置密鑰管理員�、操作員、系統審計員等角色并進行管理。
2.密鑰管理員
密鑰管理員負責發卡機構密鑰的生成、備份��、恢復、更新、撤銷、歸檔、銷毀等操作�,并負責對所有密鑰備份進行統一管理,嚴格監督密鑰分管員按照要求保管備份密鑰。
3.密鑰分管員
密鑰分管員負責妥善保管分管的密鑰備份����,參與發卡機構密鑰的備份、恢復�����、歸檔及銷毀等���。
4.安全員
安全員負責與認證中心聯系��,辦理發卡機構證書的申請�、更新等相關業務。發卡機構應將安全員的相關信息(如人員姓名���、聯系方式等)以書面形式告知認證中心���,并在安全員信息發生變更時以書面形式通知認證中心。
5.操作員
操作員負責IC卡密鑰的生成��、傳輸等操作����。
6.安全管理員
安全管理員負責對整個密鑰生命周期進行安全管理,對物理環境的安全進行管理�����,承擔系統審計員的職責����,對密鑰管理系統運營安全相關的日志或事件進行定期審計���,對系統進行定期的安全評估等。
7.7.2職責分割要求
7.7.1中所述的任何兩個角色均不能由同一人員擔任�����,應進行職責分割����,并在滿足職責分割要求的前提下,做好人員備份���。
7.7.3人員錄用及管理要求
發卡機構雇傭人員擔任7.7.1中所述的角色時���,應要求應聘人員提供有關教育背景、工作資格以及相關從業經歷的證明�。如果需要,也應要求應聘人員提供無犯罪證明�。
發卡機構應制定并執行嚴格的背景審查流程,對擔任以上角色的人員進行調查����,并定期進行復審���。
擔任以上角色的人員入職時應與發卡機構簽訂相應的保密協議,并執行輪崗�����、強制休假等管理制度�。
擔任以上角色的人員離職或調崗時�,發卡機構應取消其相應的訪問權限,并做好工作交接����。
7.7.4人員培訓要求
發卡機構應定期對相關人員進行培訓,每年對擔任7.7.1中所述角色的人員的培訓不得少于10學時�����。培訓內容與人員對應職責相關�����,包括:使用���、操作和維護系統過程中涉及的職責、軟硬件操作規范��、安全策略要求�����、金融IC卡密鑰管理最新發展趨勢等��。
7.7.5未授權行為的處罰
發卡機構應建立�、維護和實施相應的管理辦法,對相關人員的未授權行為���,根據相關規定和法律法規進行相應處罰����,并及時補充和完善相應的內部管理制度。
7.8 安全審計要求
7.8.1內部審計管理
7.8.1.1審計日志要求
發卡機構密鑰管理系統中應設置日志審計模塊,對相關人員在系統中的操作日志進行全程記錄�����。
安全管理員應定時調出審計記錄,制作統計分析表�,對所有人員的操作記錄進行審計�,在出現操作事故時迅速定位事故原因��。安全管理員可以處理但不能修改日志審計數據�����。
被處理后的審計日志���,其保存期限不得少于兩個月。
發卡機構應制定相關流程��,確保審計日志不被未授權的訪問�����、復制�、修改和刪除。
7.8.1.2其他安全審計內容
安全管理員應定期進行安全審計����,除了日志審計以外,還應包括:
人員審計:發卡機構的人員應是可信任的����,必須理解安全策略和安全操作程序�����;
物理安全審計:物理安全防護措施是否完善�;
通信安全審計:所有安全通信設備的使用是否符合發卡機構的安全管理規定�����;
系統安全審計:檢查密鑰管理系統的操作系統�、數據庫系統、入侵檢測系統�、漏洞掃描系統、防病毒系統����、防火墻系統等的日志記錄,以確定系統是否異常�����。
7.8.2外部審計要求
中國人民銀行可根據需要對發卡機構的密鑰管理進行審計。
發卡機構應根據中國人民銀行的要求��,準備相關資料��,做好審計準備����。
7.9 文檔配備要求
發卡機構應配備相關的文檔用于指導發卡機構密鑰管理相關的系統建設、運行和日常管理����,文檔類型可分為技術實現、物理建設�����、人事管理以及審計與評估四類�����。
7.9.1技術實現類
此類文檔重點從技術方面描述發卡機構密鑰管理系統���,主要包括:
1.《系統設計》描述發卡機構密鑰管理系統的邏輯結構����、網絡結構����、數據通信設計、密鑰管理���、業務處理流程以及系統的軟硬件配置等��;
2.《系統安全》描述發卡機構密鑰管理系統通過采用防火墻�、入侵檢測、漏洞掃描����、病毒防治����、訪問控制���、安全配置等措施�����,保證系統的安全性�;同時��,從數據通訊�、密鑰管理、證書管理�����、安全審計����、物理安全等各個方面闡述系統安全措施的實現����;
3.《系統安裝與配置手冊》介紹發卡機構密鑰管理系統的安裝與配置����;
4.《系統操作手冊》介紹各系統角色在系統中的職責及操作流程�����。
7.9.2物理建設類
此類文檔重點從物理環境方面描述發卡機構密鑰管理的安全保障措施��,主要包括:
1.《物理場地安全手冊》描述物理場地的安全要求及實現等���;
2.《物理場地安全管理規定》描述人員進出各個區域的權限����、來訪者的接待和管理�、門禁系統的使用、監控報警系統的操作使用等管理規定�����。
7.9.3人事管理類
此類文檔重點從人員的可信度鑒別等方面描述發卡機構的人事管理制度��,主要包括:
1.《可信人員策略》描述可信人員策略及其如何進行可信人員調查����;
2.《可信人員職位劃分原則與鑒別》描述可信人員職位劃分原則�����,可信人員鑒別和背景調查及分析等�。
7.9.4審計與評估類
此類文檔重點從安全審計與評估方面描述系統的安全性����,主要包括:
《安全與審計規范》規定發卡機構密鑰管理的審計范圍和評價標準。
8 收單機構密鑰管理要求
8.1 收單機構注冊要求
收單機構向認證中心申請認證中心公鑰證書之前���,應設置安全員的崗位角色�����,由安全員持相應的注冊申請材料��,前往認證中心進行收單機構注冊�����。
收單機構應將安全員的相關信息(如人員姓名����、聯系方式等)以書面形式告知認證中心���,并在安全員信息發生變更時以書面形式通知認證中心��。
8.2 證書申請
在申請正式的認證中心公鑰證書之前�����,收單機構應先申請測試證書��,經測試可用后方可申請正式證書����。
收單機構安全員應以認證中心指定的安全方式向認證中心提交證書申請信息�,并應申請所有的認證中心公鑰證書。
8.3 密鑰驗證
收單機構收到認證中心發放的公鑰后應進行驗證�,驗證成功后方可接受并使用。
8.4 密鑰傳輸
收單機構將驗證通過后的認證中心公鑰傳遞給終端時�����,必須通過帶報文鑒別碼的安全報文機制進行傳輸�����,以保護數據的完整性。
收單機構可以委托授權機構將認證中心公鑰傳遞給終端�����,此時應與授權機構簽訂相應的合作協議���。
收單機構應保證及時將新的認證中心公鑰和相關數據傳送給終端��。
收單機構未經認證中心許可不得將認證中心公鑰外傳����。
8.5 密鑰導入
收單機構將新的認證中心公鑰導入終端時����,應遵循以下原則:
1.終端應能驗證從收單機構收到的認證中心公鑰和相關數據沒有錯誤;
2.終端應能驗證收到的認證中心公鑰和相關數據確實是來自它的合法收單機構��;
3.收單機構應能確認新的認證中心公鑰已確實且正確地導入它的終端��。
收單機構應確保新引入的認證中心公鑰在生效日期前裝載到每個終端�����,確保新引入的認證中心公鑰在使用該證書的金融IC卡的流通日期前裝載到每個終端���。收單機構必須建立相應的審計制度以確保符合此要求��。
收單機構應嚴格控制生產型和測試型公鑰的使用�,確保在生產終端中不存放測試型公鑰�。并確保在終端中導入所有有效地、不同長度的認證中心生產型公鑰����,以受理用不同長度認證中心私鑰簽發證書的IC卡。
8.6 密鑰存儲
收單機構應確保認證中心公鑰存儲于終端的安全模塊中或以加密的形式存儲在其他介質中����。
收單機構應定期對終端中存儲的認證中心公鑰的完整性進行驗證。
8.7 密鑰更新
收單機構收到認證中心公鑰更新的通知后���,應及時對當前所有終端內密鑰的有效期情況進行評估����,確定是否需要對終端內的認證中心公鑰進行更新�,并及時提交更新申請。
收單機構發送到終端的認證中心公鑰更新指令必須使用安全報文��。
8.8 密鑰撤銷
收單機構應在認證中心根密鑰到期或收到撤銷通知后的6個月內����,將認證中心公鑰移出每個終端或停止在終端使用��。終端應能夠鑒別過期或已撤銷的認證中心公鑰�����。收單機構對這個要求必須能夠審計����。
認證中心公鑰的撤回指令應通過安全報文傳輸��。
當某一個認證中心公鑰被撤銷時�,收單機構必須保證在一個確定的時間后它的終端在交易中不再將這個認證中心公鑰用于靜態和動態數據認證。
以下原則適用于收單機構將認證中心公鑰從它的終端撤回:
1.終端必須能夠驗證它從收單機構收到的撤回通告沒有錯誤����;
2.終端必須能夠驗證收到的撤回通告確實是來自于它的合法收單機構;
3.收單機構必須能夠確認一個特定的認證中心公鑰已經真正地�����、正確地從它的終端撤回�。
8.9 其他要求
收單機構應能在合理的時間期限內確認在其每個終端,哪些認證中心公鑰正在使用��。
收單機構應詳細記錄其每一個終端中當前能夠支持的密鑰長度。
