犐犆犛３５．０４０ 犔８０ 中华人民共和国密码行业标准 犌犕／犜００７７—２０１９ 银行核心信息系统密码应用技术要求 犆狉狔狆狋狅犵狉犪狆犺狔狋犲犮犺狀犻犮犪犾狉犲狇狌犻狉犲犿犲狀狋狊犳狅狉犮狅狉犲犫犪狀犽犻狀犵狊狔狊狋犲犿狊 ２０１９０７１３ 发布 ２０１９０７１２ 实施 国家密码管理局 发 布 犌犕／犜００７７—２０１９ 目 　　 次 前言 ………………………………………………………………………………………………………… Ⅲ 引言 ………………………………………………………………………………………………………… Ⅳ １　 范围 ……………………………………………………………………………………………………… １ ２　 规范引用文件 …………………………………………………………………………………………… １ ３　 术语和定义 ……………………………………………………………………………………………… １ ４　 缩略语 …………………………………………………………………………………………………… ４ ５　 银行核心系统模型 ……………………………………………………………………………………… ４ ６　 密码应用基本要求和密码应用功能要求 ……………………………………………………………… ４ ７　 银行核心信息系统密码技术安全保护三级要求 ……………………………………………………… ４ 　７．１　 基本要求 …………………………………………………………………………………………… ４ 　７．２　 密码技术安全要求 ………………………………………………………………………………… ４ 　　７．２．１　 物理和环境安全 ……………………………………………………………………………… ４ 　　７．２．２　 网络和通信安全 ……………………………………………………………………………… ５ 　　７．２．３　 设备和计算安全 ……………………………………………………………………………… ７ 　　７．２．４　 应用和数据安全 ……………………………………………………………………………… ８ 　　７．２．５　 密码配用策略要求 …………………………………………………………………………… ８ 　７．３　 密钥安全与管理要求 ……………………………………………………………………………… ９ 　　７．３．１　 总则 …………………………………………………………………………………………… ９ 　　７．３．２　 密钥安全 ……………………………………………………………………………………… ９ 　　７．３．３　 密钥管理 ……………………………………………………………………………………… １０ 　７．４　 安全管理要求 ……………………………………………………………………………………… １３ 　　７．４．１　 概述 …………………………………………………………………………………………… １３ 　　７．４．２　 安全管理制度 ………………………………………………………………………………… １３ 　　７．４．３　 人员管理要求 ………………………………………………………………………………… １４ 　　７．４．４　 密码设备管理 ………………………………………………………………………………… １４ 　　７．４．５　 使用密码的业务终端要求 …………………………………………………………………… １４ ８　 银行核心信息系统密码技术安全保护四级要求 ……………………………………………………… １５ 　８．１　 基本要求 …………………………………………………………………………………………… １５ 　８．２　 密码技术安全要求 ………………………………………………………………………………… １５ 　　８．２．１　 物理和环境安全 ……………………………………………………………………………… １５ 　　８．２．２　 网络安全和通信安全 ………………………………………………………………………… １６ 　　８．２．３　 设备和计算安全 ……………………………………………………………………………… １７ 　　８．２．４　 应用和数据安全 ……………………………………………………………………………… １８ 　　８．２．５　 密码配用策略要求 …………………………………………………………………………… １９ 　８．３　 密钥安全与管理要求 ……………………………………………………………………………… ２０ Ⅰ 犌犕／犜００７７—２０１９ 　　８．３．１　 总则 …………………………………………………………………………………………… ２０ 　　８．３．２　 密钥安全 ……………………………………………………………………………………… ２０ 　　８．３．３　 密钥管理 ……………………………………………………………………………………… ２２ 　８．４　 安全管理要求 ……………………………………………………………………………………… ２５ 　　８．４．１　 概述 …………………………………………………………………………………………… ２５ 　　８．４．２　 安全管理制度 ………………………………………………………………………………… ２５ 　　８．４．３　 人员管理要求 ………………………………………………………………………………… ２５ 　　８．４．４　 密码设备管理 ………………………………………………………………………………… ２６ 　　８．４．５　 使用密码的业务终端要求 …………………………………………………………………… ２６ 附录 Ａ （规范性附录）　 安全要求对照表 ………………………………………………………………… ２７ 参考文献 …………………………………………………………………………………………………… ２９ Ⅱ 犌犕／犜００７７—２０１９ 前 　　 言 　　 本标准是信息安全等级保护银行业金融机构密码技术应用要求相关系列标准之一 。 与本标准相关 的系列标准包括 ： ———ＧＭ／Ｔ００７３—２０１９《手机银行信息系统密码应用技术要求 》 ———ＧＭ／Ｔ００７５—２０１９《银行信贷信息系统密码应用技术要求 》 ———ＧＭ／Ｔ００７６—２０１９《银行卡信息系统密码应用技术要求 》 本标准按照 ＧＢ／Ｔ１．１—２００９ 给出的规则起草 。 本标准由密码行业标准化技术委员会提出并归口 。 本标准起草单位 ：国家密码管理局商用密码检测中心 、中金金融认证中心有限公司 、中国银行股份 有限公司 、中国民生银行股份有限公司 。 本标准主要起草人 ：邓开勇 、谢宗晓 、张大建 、马瑶瑶 、介磊 、郭晶莹 、张众 、杨辰 。 Ⅲ 犌犕／犜００７７—２０１９ 引 　　 言 　　 本标准与 ＧＭ／Ｔ００５４—２０１８ 《信息系统密码应用基本要求》、ＧＭ／Ｔ００７３—２０１９《手机银行信息系 统密码应用技术要求》、ＧＭ／Ｔ００７６—２０１９ 《银行卡信息系统密码应用技术要求 》、ＧＭ／Ｔ００７５—２０１９ 《银行信贷信息系统密码应用技术要求 》共同构成了信息系统安全等级保护密码技术要求的相关配套标 准 。 其中 ＧＭ／Ｔ００５４—２０１８ 《信息系统密码应用基本要求》是基础性标准 ，本标准 、ＧＭ／Ｔ００７３—２０１９ 《手机银行信息系统密码应用技术要求 》、ＧＭ／Ｔ００７６—２０１９ 《银行卡信息系统密码应用技术要求 》及 ＧＭ／Ｔ００７５—２０１９ 《银行信贷信息系统密码应用技术要求 》是在 ＧＭ／Ｔ００５４—２０１８ 基础上的进一步 细化和扩展 。 本标准在 ＧＭ／Ｔ００５４—２０１８《信息系统密码应用基本要求》、ＧＢ／Ｔ２２２３９—２００８《信息安全技术 　 信息系统安全等级保护基本要求 》、ＪＲ／Ｔ００７—２０１２《金融行业信息系统信息安全等级保护实施指引 》 等技术类标准的基础上 ，根据现有技术的发展水平 ，提出和规定了不同安全保护等级的银行核心系统保 护要求 ，包括安全技术要求和安全管理要求 ，本标准适用于指导不同安全保护等级的银行业金融机构核 心系统中密码技术的安全建设 、安全使用与监督管理 。 银行业金融机构应依据信息安全等级保护有关技术标准与国家 、行业主管部门要求 ，对核心系统开 展包括系统定级在内的信息安全等级保护工作 。 目前银行业核心系统安全级别为三级 、四级 ，暂不存在 安全级别为一级 、二级和五级系统 ，故本标准暂不对第一级信息系统 、二级信息系统和五级信息系统提 出具体的密码技术要求 。 银行核心信息系统应依据 ＧＢ／Ｔ２２２４０—２００８《信息安全技术 　 信息系统安全等级保护定级指 南》，以及国家主管部门有关要求 ，进行定级 。 等级确定后 ，依据本标准选择相应级别的密码技术保护 措施 。 在本标准文本的各类安全要求中 ，“可”表示可以 、允许 ；“宜”表示推荐 、建议 ；“应”表示应该 。 Ⅳ 犌犕／犜００７７—２０１９ 银行核心信息系统密码应用技术要求 １　 范围 本标准在 ＧＭ／Ｔ００５４—２０１８、ＪＲ／Ｔ００７—２０１２ 等标准基础上 ，结合银行业金融机构核心系统的特 点及该类信息系统等级保护安全建设工作中密码技术的应用需要 ，从密码安全技术要求 、密钥安全与管 理要求 、安全管理要求三方面 ，对不同安全保护等级的核心系统中密码技术应用提出具体的要求 。 本标准适用于指导 、规范和评估银行 、金融机构的核心信息系统 。 ２　 规范引用文件 下列文件对于本文件的应用是必不可少的 。 凡是注日期的引用文件 ，仅注日期的版本适用于本文 件 。 凡是不注日期的引用文件 ，其最新版本（包括所有的修改单）适用于本文件 。 ＧＢ／Ｔ２０５４７．２—２００６　 银行业务 　 安全加密设备（零售）　 第 ２ 部分 ：金融交易中设备安全符合性 　 检测清单 ＧＢ／Ｔ２１０７８．１　 银行业务 　 个人识别码的管理与安全 　 第 １ 部分 ：ＡＴＭ 和 ＰＯＳ 系统中联机 ＰＩＮ 处理的基本原则和要求 ＧＢ／Ｔ２１０７９．１　 银行业务 　 安全加密设备（零售）　 第 １ 部分 ：概念 、要求和评价方法 ＧＭ／Ｔ００２４　ＳＳＬＶＰＮ 技术规范 ＧＭ／Ｔ００２８　 密码模块安全要求 ＧＭ／Ｔ００３６—２０１４　 采用非接触卡的门禁系统密码应用指南 ＧＭ／Ｔ００５４—２０１８　 信息系统密码应用基本要求 ＧＭ／Ｚ４００１—２０１３　 密码术语 ３　 术语和定义 ＧＭ／Ｚ４００１—２０１３ 界定的以及下列术语和定义适用于本文件 。 ３．１　 加密 　犲狀犮犻狆犺犲狉犿犲狀狋／犲狀犮狉狔狆狋犻狅狀 对数据进行密码变换以产生密