銀行卡信息系統密碼應用技術要求

銀行業金融機構應依據信息安全等級保護有關技術標準與國家、行業主管部門要求，對銀行卡信息系統開展包括系統定級在內的信息安全等級保護工作。根據現有技術的發展水平，提出和規定了不同安全保護等級的銀行卡系統保護要求，包括安全技術要求和安全管理要求，本文件適用于指導不同安全保護等級的銀行業金融機構銀行卡系統中密碼技術的安全建設、安全使用與監督管理。

結合銀行業金融機構銀行卡系統的特點及該類信息系統等級保護安全建設工作中密碼技術的應用需要，從密碼安全技術要求、密鑰安全與管理要求、安全管理要求三方面，對不同安全保護等級的銀行卡系統中密碼技術的應用提出具體的要求。本文件適用于指導、規范和評估銀行卡信息系統中的的商用密碼應用。

銀行卡信息系統密碼應用技術要求

“通信安全”“身份鑒別”“安全訪問路徑”和“審計記錄”是銀行卡信息系統“網絡和通信安全”的組成部分。在銀行卡信息系統密碼技術安全保護三級要求中，對“網絡和通信安全-通信安全”指標做如下要求：

ａ）為防止訪問通訊數據被篡改、截獲、假冒和重用，應使用密碼技術的完整性服務、機密性服務和真實性服務對網絡邊界、系統資源訪問控制信息進行保護，其密碼功能應確保正確、有效；

ｂ）在進行數據傳輸時，應使用數字證書、加密解密等密碼技術，建立安全的傳輸層會話通道。傳輸數據的主體應對客體的身份信息進行鑒別，保障數據的機密性；

ｃ）應使用密碼技術的真實性服務來實現通信雙方會話初始化驗證，其密碼功能應確保正確、有效；

ｄ）宜使用密碼技術的抗抵賴服務來提供數據原發證據和數據接收證據，實現數據原發行為的抗抵賴和數據接收行為的抗抵賴，其密碼功能應確保正確、有效。