中国标准英文版 数据库收录: 159759 更新: 2024-06-01

[PDF] GM/T 0077-2019 - 自动发货. 英文版

标准搜索结果: 'GM/T 0077-2019'
标准号码内文价格美元第2步(购买)交付天数标准名称状态
GM/T 0077-2019 英文版 430 GM/T 0077-2019 3分钟内自动发货[PDF],有增值税发票。 银行核心信息系统密码应用技术要求 有效

基本信息
标准编号 GM/T 0077-2019 (GM/T0077-2019)
中文名称 银行核心信息系统密码应用技术要求
英文名称 Cryptography technical requirements for core banking systems
行业 Chinese Industry Standard (推荐)
中标分类 L80
国际标准分类 35.040
字数估计 34,312
发布日期 2019
实施日期 2019-07-12

GM/T 0077-2019: 银行核心信息系统密码应用技术要求
GM/T 0077-2019 英文名称: Cryptography technical requirements for core banking systems
中华人民共和国密码行业标准
银行核心信息系统密码应用技术要求
国家密码管理局 发 布
1 范围
本标准在GM/T 0054-2018、JR/T 007-2012等标准基础上,结合银行业金融机构核心系统的特
点及该类信息系统等级保护安全建设工作中密码技术的应用需要,从密码安全技术要求、密钥安全与管
理要求、安全管理要求三方面,对不同安全保护等级的核心系统中密码技术应用提出具体的要求。
本标准适用于指导、规范和评估银行、金融机构的核心信息系统。
2 规范引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
5 银行核心系统模型
典型的银行核心系统由物理云、业务云、用户应用系统组成。如图1所示。
图1 银行核心系统基本架构
物理云包括:服务器集群、灾难备份系统、网络设备群和其他辅助物理设备。
业务云包括:业务子模块、数据库、流程中间件、操作系统集群等业务模块。主要用于银行内部工作
流程的流程的流转。
用户应用系统:是银行核心系统面向用户的交互的基本设备,包含与用户可直接对接的软、硬件。
边界:指主体之间互联互通的界限,包括交互边界、网络边界、物理边界等。
6 密码应用基本要求和密码应用功能要求
银行核心信息系统密码应用基本要求和密码应用功能要求遵照GM/T 0054-2018第5章、第6章要求。
7 银行核心信息系统密码技术安全保护三级要求1)
7.1 基本要求
应满足GM/T 0054-2018中第三级指标要求。
1) 该级别的全部安全要求与其他级别的对比请参照附录A安全要求对照表,下同。
7.2 密码技术安全要求
7.2.1 物理和环境安全
7.2.1.1 总则
参照GM/T 0054-2018中物理和环境安全密码应用总则。
7.2.1.2 密码硬件安全
“密码硬件安全”“物理环境安全”和“电子门禁系统”是银行核心系统“物理和环境安全”的组成部
分。在银行核心信息系统密码技术安全保护三级要求中,对“物理和环境安全-密码硬件安全”指标做如
下要求:
a) 系统的专用硬件或固件以及密码设备应具有有效的物理安全保护措施;
注:本标准中“有效措施”是指能满足“保证项”要求的手段或能实现系统设定的安全目标的方法,以下注释同。
b) 系统的专用硬件或固件以及密码设备应满足运行环境可靠性要求。
7.2.1.3 物理环境安全
“密码硬件安全”“物理环境安全”和“电子门禁系统”是银行核心系统“物理和环境安全”的组成部
分。在银行核心信息系统密码技术安全保护三级要求中,对“物理和环境安全-物理环境安全”指标做如
下要求:
应使用密码技术的真实性功能来保护物理访问控制身份鉴别信息,保证重要区域进入人员身份的
真实性。
7.2.1.4 电子门禁系统
“密码硬件安全”“物理环境安全”和“电子门禁系统”是银行核心系统“物理和环境安全”的组成部
分。在银行核心信息系统密码技术安全保护三级要求中,对“物理和环境安全-电子门禁系统”指标做如
下要求:
a) 在电子门禁系统中,应使用密码技术的完整性服务保证电子门禁系统进出记录的完整性,其密
码功能应确保正确、有效;
b) 门禁系统应使用非接触读卡方式,避免使用磁条卡;
c) 当门禁系统检测到无法识别的卡片尝试非法进入时,应提供警告信息并能对非法尝试的卡片
进行定位;
d) 采用的门禁系统资质、架构、部署应符合GM/T 0036-2014要求的技术规范;
e) 应制定相应规章制度以确保门禁系统使用的合规性、正确性、有效性;
f) 应使用密码技术的完整性功能来保证视频监控音像记录的完整性;
g) 采用的门禁系统资质、架构、部署应符合GM/T 0036-2014要求的技术规范;
h) 应制定相应规章制度以确保门禁系统使用的合规性、正确性、有效性。
7.2.2 网络和通信安全
7.2.2.1 总则
参照GM/T 0054-2018中网络和通信安全密码应用总则。
7.2.2.2 通信安全
“通信安全”“身份鉴别”“安全访问路径”和“审计记录”是银行核心系统“网络和通信安全”的组成部
分。在银行核心信息系统密码技术安全保护三级要求中,对“网络和通信安全-通信安全”指标做如下
要求:
a) 为防止访问通讯数据被篡改、截获、假冒和重用,应使用密码技术的完整性服务、机密性服务和
真实性服务对网络边界、系统资源访问控制信息进行保护,其密码功能应确保正确、有效;
b) 在进行数据传输时,应使用数字证书、加密解密等密码技术,建立安全的传输层会话通道;传输
数据的主体应对客体的身份信息进行鉴别,保障数据的机密性;
c) 应使用密码技术的真实性服务来实现通信双方会话初始化验证,其密码功能应确保正确、
有效;
d) 宜使用密码技术的抗抵赖服务来提供数据原发证据和数据接收证据,实现数据原发行为的抗
抵赖和数据接收行为的抗抵赖,其密码功能应确保正确、有效。
7.2.2.3 身份鉴别
“通信安全”“身份鉴别”“安全访问路径”和“审计记录”是银行核心系统“网络和通信安全”的组成部
分。在银行核心信息系统密码技术安全保护三级要求中,对“网络和通信安全-身份鉴别”指标做如下
要求:
a) 在对登录网络设备的用户进行身份鉴别时,为防止鉴别信息被重用和假冒,应使用密码技术的
真实性服务对鉴别信息进行防重用和防假冒保护,其密码功能应确保正确、有效;
b) 在执行网络远程管理时,为防止鉴别信息在传输过程中被泄露,应使用密码技术的机密性服务
对鉴别信息进行机密性保护,其密码功能应确保正确、有效;
c) 网络设备系统管理用户身份标识应具有不易被冒用的特点,关键网络设备的静态口令应在8
位以上并由字母、数字、符号等混合组成并定期更换;
d) 信息系统对通过身份认证后的实体,应使用密码技术生成唯一的随机的标识符,并确保该功能
正确、有效;
e) 应设置鉴别警示信息,当出现越权访问或尝试非法访问时,系统会自动提示未授权访问;
f) 宜采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别,并且身份鉴别信息至少有
一种是不易伪造的,例如以密钥证书、动态口令卡、生物特征等作为身份鉴别信息。
7.2.2.4 安全访问路径
“通信安全”“身份鉴别”“安全访问路径”和“审计记录”是银行核心系统“安全访问路径”的组成部
分。在银行核心信息系统密码技术安全保护三级要求中,对“网络和通信安全-安全访问路径”指标做如
下要求:
a) 应在通信前基于密码技术对通信双方进行身份认证,使用密码技术的机密性和真实性功能来
实现防截获、防假冒和防重用,保证传输过程中鉴别信息的机密性和网络设备实体身份的真
实性;
b) 在建立安全访问路径的过程中,应使用密码技术的真实性服务保证通信主体身份鉴别信息的
可靠与真实性,其密码功能应确保正确、有效;
c) 在建立安全访问路径的过程中,应使用密码技术的完整性服务保证安全访问路径中路由控制
信息的完整性,其密码功能应确保正确、有效;
d) 应采用密码技术保证通信过程中敏感信息数据字段或整个报文的机密性;
e) 应采用密码技术建立一条安全的信息传输通道,对网络中的安全设备或安全组件进行集中
管理。
7.2.2.5 审计记录
“通信安全”“身份鉴别”“安全访问路径”和“审计记录”是银行核心系统“安全访问路径”的组成部
分。在银行核心信息系统密码技术安全保护三级要求中,对“网络和通信安全-审计记录”指标做如下
要求:
应使用密码技术的完整性服务对审计记录进行完整性保护,其密码功能应确保正确、有效。
7.2.3 设备和计算安全
7.2.3.1 总则
参照GM/T 0054-2018中设备和计算安全密码应用总则。
7.2.3.2 审计记录
“审计记录”“身份鉴别”“访问控制”和“密码模块”是银行核心系统“设备和计算安全”的组成部分。
在银行核心信息系统密码技术安全保护三级要求中,对“设备和计算安全-审计记录”指标做如下要求:
a) 审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户;
b) 应使用密码技术的完整性服务实现审计记录的完整性校验,其密码功能应确保正确、有效;
c) 应使用密码技术的完整性功能来对日志记录进行完整性保护;
d) 审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的
安全相关事件;
e) 审计记录应包括日期和时间、类型、主体标识、客体标识、事件的结果等。
7.2.3.3 身份鉴别
“审计记录”“身份鉴别”“访问控制”和“密码模块”是银行核心系统“设备和计算安全”的组成部分。
在银行核心信息系统密码技术安全保护三级要求中,对“设备和计算安全-身份鉴别”指标做如下要求:
a) 应使用密码技术实现组合鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更
换,其密码功能应确保正确、有效;
b) 应使用密码技术的真实性服务实现鉴别信息的防假冒和防重用功能,保证操作系统和数据库
系统用户身份的真实性,其密码功能应确保正确、有效;
c) 在远程管理时,应使用密码技术的机密性服务实现远程管理鉴别信息的防窃听功能,其密码功
能应确保正确、有效;
d) 主机系统应对与之相连的服务器或终端设备进行身份标识和鉴别,当网络对服务器进行远程
管理时,宜采取加密措施,防止鉴别信息在网络传输过程中被窃听;
e) 操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,关键系统的静态口令应
在8位以上,由字母、数字、符号等混合组成并定期更换;
f) 应设置鉴别警示信息,当出现越权访问或尝试非法访问时,系统会自动提示未授权访问;
g) 应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别,并且身份鉴别信息至少有
一种是不可伪造的,例如以密钥证书、动态口令卡、生物特征等作为身份鉴别信息。
7.2.3.4 访问控制
“审计记录”“身份鉴别”“访问控制”和“密码模块”是银行核心系统“设备和计算安全”的组成部分。
在银行核心信息系统密码技术安全保护三级要求中,对“设备和计算安全-访问控制”指标做如下要求:
a) 在访问控制机制方面,为防止系统资源访问控制信息被篡改,应使用密码技术的完整性服务实
现系统资源访问控制信息及敏感标记的完整性保护,其密码功能应确保正确、有效;
b) 应根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小
权限;
c) 应采用可信计算技术建立从系统到应用的信任链,实现系统运行过程中重要程序或文件完整
性保护。
7.2.3.5 密码模块
“审计记录”“身份鉴别”“访问控制”和“密码模块”是银行核心系统“设备和计算安全”的组成部分。
在银行核心信息系统密码技术安全保护三级要求中,对“设备和计算安全-密码模块”指标做如下要求:
宜使用符合 GM/T 0028的三级及以上密码模块或通过国家密码管理部门核准的硬件密码产品实
现密码运算和密钥管理:
a) 系统的专用硬件或固件以及密码设备应实现授权控制、非授权访问的检测、运行状态指示等安
全功能,保证密码模块能够在核准的工作模式下正确运行;
b) 系统的专用硬件或固件以及密码设备应能够防止非授权地泄露模块的内容或关键安全参数;
c) 系统的专用硬件或固件以及密码设备应能够防止对密码模块和密码算法进行非授权或检测不
到的修改;
d) 系统的专用硬件或固件以及密码设备应能检测出密码模块运行中的错误,并防止这些错误非
授权地公开、修改或使用关键安全参数。
7.2.4 应用和数据安全
7.2.4.1 总则
参照GM/T 0054-2018中应用和数据安全密码应用总则。
7.2.4.2 数据传输
“数据传输”和“数据存储”是银行核心系统“应用和数据安全”的组成部分。在银行核心信息系统密
码技术安全保护三级要求中,对“应用和数据安全-数据传输”指标做如下要求:
a) 应使用密码技术的完整性服务来实现对系统管理数据、鉴别信息和重要业务数据在传输过程
中完整性的检测,其密码功能应确保正确、有效;
b) 应使用交易信息的安全通道传输协议(TLS1.0/SSL3.0以上版本,且符合GM/T 0024要求)
进行加密传输;
c) 对于通过互联网对外提供服务的系统,在通信过程中的整个报文或会话过程,应通过专用的通
信协议或加密的方式保证通信过程的机密性;
d) 应使用密码技术的机密性服务来实现系统管理数据、鉴别信息和重要业务数据的传输机密性
保护,其密码功能应确保正确、有效。
7.2.4.3 数据存储
“数据传输”和“数据存储”是银行核心系统“应用和数据安全”的组成部分。在银行核心信息系统密
码技术安全保护三级要求中,对“应用和数据安全-数据存储”指标做如下要求:
a) 宜使用密码技术的完整性服务来实现对系统管理数据、鉴别信息和重要业务数据在存储过程
中完整性的检测,其密码功能应确保正确、有效;
b) 宜使用密码技术的机密性服务来实现系统管理数据、鉴别信息和重要业务数据的存储机密性
保护,其密码功能应确保正确、有效。
7.2.5 密码配用策略要求
7.2.5.1 密码算法配用
“密码算法配用”“密码协议使用”和“密码设备使用”是银行核心系统“密码配用策略要求”的组成部
分。在银行核心信息系统密码技术安全保护三级要求中,对“密码配用策略要求-密码算法配用”指标做
如下要求:
应采用国家密码管理主管部门批准使用......
   
       隐私   ·  优质产品   ·  退款政策   ·  公平交易   ·  关于我们
宁德梧三商贸有限公司 (营业执照期限:2019-2049年. 纳税人识别号:91350900MA32WE2Q2X)
对公账号开户银行:中国建设银行 | 账户名称:宁德梧三商贸有限公司 | 账户号码:35050168730700000955
本公司专职于中国国家标准行业标准英文版