1.密鑰安全管理辦法.doc

密鑰安全管理辦法目 錄第一章 概述3第一節(jié)內(nèi)容簡介3第二節(jié)運(yùn)用概述31.密鑰體系與安全級別32.密鑰生命周期的安全管理4第二章 密鑰生命周期安全管理5第一節(jié) 密鑰的生成51加密機(jī)主密鑰（根密鑰）的生成52區(qū)域主密鑰的生成63銀行成員機(jī)構(gòu)主密鑰的生成64終端主密鑰的生成75工作密鑰的生成76終端MAC密鑰的生成77工作表格8第二節(jié) 密鑰的分發(fā)與傳輸81密鑰分發(fā)過程82密鑰傳輸過程83密鑰接收9第三節(jié) 密鑰的裝載和啟用91基本規(guī)定92注入過程10第四節(jié) 密鑰的保管111.基本規(guī)定112.與密鑰安全有關(guān)的機(jī)密設(shè)備及密碼的保管113.密鑰組件的保管124. 密鑰檔案資料的保管12第五節(jié) 密鑰的刪除與銷毀121. 失效密鑰的認(rèn)定122. 密鑰刪除和銷毀的方法13第六節(jié) 密鑰的泄漏與重置141.可能被泄漏的密鑰142.密鑰泄漏的核查163.密鑰泄漏和被攻破情況的界定17第三章 設(shè)備安全管理181.硬件加密機(jī)（HSM）安全及管理182.終端設(shè)備安全管理203.設(shè)備的物理安全21第四章 管理規(guī)定與監(jiān)督檢查211.組建密鑰安全管理工作組212.密鑰安全管理工作人員223.審批制度244.應(yīng)急措施245.監(jiān)督24第一章 概述第一節(jié) 內(nèi)容簡介“一切秘密寓于密鑰之中”，密鑰管理是設(shè)計(jì)安全的密碼系統(tǒng)所必須考慮的重要問題，數(shù)據(jù)加密、驗(yàn)證和簽名等需要管理大量的密鑰，這些密鑰經(jīng)加密后以密文形式發(fā)送給合法用戶。本辦法參考國際組織有關(guān)密鑰管理的知識、經(jīng)驗(yàn)和相關(guān)標(biāo)準(zhǔn)編寫。在結(jié)構(gòu)上分為概述、密鑰生命周期安全管理、設(shè)備安全管理、管理規(guī)定和輔導(dǎo)檢查等章節(jié),提出密鑰生命周期中各環(huán)節(jié)的詳細(xì)操作流程和具體做法。本辦法基于現(xiàn)有技術(shù)規(guī)范，盡可能地兼顧應(yīng)用與維護(hù)的方便性，在最大程度上確保安全，體現(xiàn)適當(dāng)?shù)囊?guī)定、適當(dāng)?shù)耐度氡ＷC相對安全，但不可能完全避，力求整體提升密鑰安全管理水平。第二節(jié) 運(yùn)用概述1. 密鑰體系與安全級別按照使用范圍和實(shí)際應(yīng)用的不同，密鑰劃分為不同體系或類別，每個體系或類別都具有相應(yīng)的功能與特點(diǎn)，須遵循不同的標(biāo)準(zhǔn)與要求。 的密鑰根據(jù)實(shí)際使用情況劃分成三層，三層密鑰體系根據(jù)密鑰的使用對象而形成，上層對下層提供保護(hù)和一定的維護(hù)功能，不同層的密鑰不相同，且不能相互共享。加密機(jī)主密鑰（MK），即本地主密鑰是最重要的密鑰，施行最高級別或最嚴(yán)格的管理。成員機(jī)構(gòu)主密鑰（MMK）或終端主密鑰（TMK）在硬件加密機(jī)以外的系統(tǒng)中存放和使用，處于本地MK的保護(hù)之下。由于成員機(jī)構(gòu)主密鑰是參與交易雙方機(jī)構(gòu)共同生成且各自保存（或因地域原因交易機(jī)構(gòu)完整持有成員主密鑰組件），因此安全性存在互動、相互影響，同時更新頻率較低，因此是最有可能被泄漏和攻擊的密鑰，需要相關(guān)方的共同維護(hù)與重視。工作密鑰為最底層的密鑰，因其數(shù)量龐大，需要用一定的管理設(shè)備（如終端密鑰注入設(shè)備）加以輔助（詳見第三章有關(guān)敘述）來確保安全。2. 密鑰生命周期的安全管理包括密鑰的生成、傳輸、注入、保管、泄漏與重置、刪除與銷毀等內(nèi)容。其任務(wù)就是在整個生命周期內(nèi)嚴(yán)格控制密鑰的使用，直到它們被銷毀為止，并確保密鑰在各個階段或環(huán)節(jié)都不會出現(xiàn)任何紕漏。1) 密鑰生成 密鑰采用人工產(chǎn)生或加密機(jī)產(chǎn)生密鑰的方式，人工生成密鑰成分時，將密鑰分成不同的成分，每個密鑰成分由不同的人員生成，采用數(shù)字和字母隨機(jī)組合，并于密鑰注入前規(guī)定時間內(nèi)完成；加密機(jī)產(chǎn)生密鑰時，由加密機(jī)生成導(dǎo)出。密鑰生成后，在硬件加密設(shè)備外部的明文形式由三段密鑰組件構(gòu)成。2) 密鑰傳輸密鑰在傳輸時采用雙重控制和分裂學(xué)，分為三段組件，傳輸?shù)姆绞讲捎枚喾N傳輸渠道和不同傳輸時間的方法。傳輸時存放密鑰組件的介質(zhì)為IC卡，每張IC卡只存放一段密鑰組件。不存在傳輸完整密鑰的情況。3) 密鑰注入加密機(jī)主密鑰、區(qū)域主密鑰、成員機(jī)構(gòu)主密鑰，采用人工鍵入方式注入密鑰組件的明文，且每段密鑰組件由指定不同的密鑰注入員注入。終端密鑰注入，是由加密機(jī)生成密鑰導(dǎo)出后，灌入母終端，再從母終端導(dǎo)入到其他終端。工作密鑰、終端MAC密鑰是在終端進(jìn)行簽到時，已密文的方式進(jìn)行傳輸，保存在終端里。4) 密鑰保管對于密鑰組件的存儲，堅(jiān)持三個原則：最小化、認(rèn)可化和高安全性。最小化：由指定專人負(fù)責(zé)保管密鑰組件，且不同成分的密鑰組件由不同人員保管；認(rèn)可化：密鑰組件存放在封條封裝的信封內(nèi)，只有指定的密鑰管理員可以拆分信封；高安全性：封裝密鑰的信封存放在不同的保險箱內(nèi)，指定的密鑰保管員才有保險箱的密碼和鑰匙。對于密鑰注入設(shè)備，設(shè)有專人進(jìn)行配置和維護(hù)，密鑰保管員無權(quán)限開啟和操作硬件加密機(jī)。5) 密鑰泄漏與重置除密鑰泄漏或可能泄漏外，加密機(jī)主密鑰（MK）一般不更新。成員主密鑰（MMK）23年更新一次或一般不跟新。若出現(xiàn)泄漏，則立即更換被懷疑或確認(rèn)泄密的密鑰，確定被涉及到的功能領(lǐng)域，并且向管理部門報告。若主密鑰和成員主密鑰出現(xiàn)泄漏，采用與初次生成相同的控制方式產(chǎn)生新的主密鑰和成員主密鑰；若加密機(jī)主密鑰（MK）泄漏，則替換主密鑰并替換所有由該主密鑰保護(hù)的密鑰。若成員主密鑰（MMK）泄漏，則替換成員主密鑰并更換使用該成員主密鑰加密的所有密鑰。終端主密鑰由加密機(jī)生成導(dǎo)出后，灌入母終端，再由母終端導(dǎo)入到其他終端里，如懷疑泄露，可通過母終端重新導(dǎo)入新密鑰覆蓋原先的密鑰。工作密鑰（WK）、終端MAC密鑰采用聯(lián)機(jī)簽取的方式，每次簽到都進(jìn)行更新，若懷疑泄漏，則采用人工觸發(fā)方式重置密鑰。6) 密鑰刪除與銷毀密鑰生成后或在系統(tǒng)更新、密鑰組件存儲方式改變等情況時，不再使用的密鑰組件（包括以紙質(zhì)和IC卡方式存儲的介質(zhì)）或相關(guān)信息的資料均及時銷毀。作廢或被損壞的密鑰在雙人控制下安全銷毀，保證無法被恢復(fù)，銷毀過程由專人監(jiān)控和記錄。第二章 密鑰生命周期安全管理第一節(jié) 密鑰的生成密鑰及其組件遵循隨機(jī)生成的原則，生成工具使用硬件加密機(jī)。本節(jié)描述 密鑰及其組件生成的做法。1 加密機(jī)主密鑰（根密鑰）的生成 加密機(jī)主密鑰（根密鑰）由三段組件組成，每段組件分成三個成分，且采用人工方式生成。1) 生成時的人員組成及各自的職責(zé)密鑰監(jiān)督員一名、主密鑰生成員六名。密鑰監(jiān)督員負(fù)責(zé)監(jiān)督整個密鑰生成過程的規(guī)范性。主密鑰生成人員負(fù)責(zé)按照指定的人工生成方法，在規(guī)定的時間內(nèi)各自生成被分配到的密鑰組件成分 ，并交由指定的密鑰保管員保管。密鑰保管員負(fù)責(zé)其保管的密鑰組件的注入，不同的密鑰保管員負(fù)責(zé)保管不同的密鑰組件。2) 人工生成的過程由密鑰監(jiān)督員召集六名密鑰生成員并講解人工生成密鑰的方法規(guī)則，在規(guī)定的時間內(nèi)按規(guī)定的方法生成三段密鑰組件。每個密鑰生成員生成由其被分配到的密鑰組件的成分后，將該成分交由指定的密鑰保管員裝入專用的信封內(nèi)封裝，由密鑰監(jiān)督員和密鑰保管員加蓋簽名章后，交由密鑰保管員放入保險箱保管。3) 操作要點(diǎn)密鑰監(jiān)督員在確信密鑰生成員已掌握了人工密鑰的生成方法后，才讓密鑰生成員正式進(jìn)行生成操作。密鑰生成員在生成密鑰期間，不允許其他人員進(jìn)入操作現(xiàn)場。密鑰生成員生成完密鑰后，密鑰監(jiān)督員提醒密鑰生成員已生成的密鑰的長度、密鑰數(shù)字的取值范圍等要素是否符合規(guī)定。2 區(qū)域主密鑰的生成區(qū)域主密鑰由兩段密鑰組件組成，由兩名密鑰生成人員各生成一段，具體生成方式同根密鑰的生成。3 銀行成員機(jī)構(gòu)主密鑰的生成 1) 使用的工具銀行成員機(jī)構(gòu)主密鑰使用加密機(jī)、人工或符合銀聯(lián)規(guī)定的其他方法生成，具體根據(jù)密鑰生成過程及成員機(jī)構(gòu)的情況而定， 采用人工生成密鑰的方式。2) 生成密鑰組件的分工成員主密鑰由兩段密鑰組件組成，可由 與對應(yīng)的成員機(jī)構(gòu)各自生成其中的一段密鑰組件，也可由成員機(jī)構(gòu)生成全部兩段密鑰組件。3) 銀行成員機(jī)構(gòu)主密鑰生成的過程 和對應(yīng)的成員機(jī)構(gòu)各自生成一段密鑰組件的操作過程 生成的密鑰組件稱第一段（A段），對應(yīng)的成員機(jī)構(gòu)生成的稱第二段（B段）。首先由 按照本節(jié)1中根密鑰的生成方法和過程生成其中的一段密鑰組件。成員機(jī)構(gòu)可以根據(jù)其機(jī)構(gòu)本身已規(guī)定采用的方法，生成B段密鑰。 在傳送給接收方（對應(yīng)的成員機(jī)構(gòu)）A段密鑰時，采取往成員機(jī)構(gòu)加密機(jī)人工鍵入密鑰明文的方式進(jìn)行。成員機(jī)構(gòu)在傳送給 B段密鑰時，同樣采取往 加密機(jī)人工鍵入密鑰明文的方式進(jìn)行。 兩段密鑰組件都由成員機(jī)構(gòu)負(fù)責(zé)生成的操作過程這種方式與根密鑰的生成過程基本類似，具體生成方法根據(jù)成員機(jī)構(gòu)本身規(guī)定的方法生成。4 終端主密鑰的生成 終端主密鑰由加密機(jī)生成導(dǎo)出后，再灌入母POS機(jī)，由母POS機(jī)再導(dǎo)入到其他POS機(jī)里。5 工作密鑰的生成工作密鑰一律用聯(lián)機(jī)的方式，由加密機(jī)生成。終端簽到時，應(yīng)用系統(tǒng)向加密機(jī)發(fā)起生成工作密鑰的請求，由加密機(jī)返回工作密鑰，應(yīng)用系統(tǒng)再將該值傳給終端。6 終端MAC密鑰的生成終端MAC密鑰的生成方式同工作密鑰。7 工作表格 在生成密鑰組件的過程中，填制有關(guān)工作表格。加密機(jī)主密鑰（MK）或成員機(jī)構(gòu)主密鑰（MMK）生成完后，由指定密鑰生成人員按規(guī)定填寫密鑰生成表格，簽章封存，封存后的表格作為密鑰檔案資料妥善保管，留底備查。密鑰生命周期的其他工作環(huán)節(jié)填制的相關(guān)工作表格，操作步驟比照上述敘述進(jìn)行。第二節(jié) 密鑰的分發(fā)與傳輸1 密鑰分發(fā)過程 分發(fā)密鑰時，應(yīng)要求接收機(jī)構(gòu)需派專人接收：可以由接收機(jī)構(gòu)負(fù)責(zé)保管和注入該密鑰組件的人員，也可以由其委派的人員領(lǐng)取。對每一段密鑰組件接收機(jī)構(gòu)必須分別派專人領(lǐng)取， 規(guī)定不允許由一人領(lǐng)取多段密鑰。當(dāng)對方領(lǐng)取多段密鑰時，領(lǐng)取人員不得乘坐同一個交通工具。對方機(jī)構(gòu)領(lǐng)取密鑰時，該密鑰組件的保管員和密鑰監(jiān)督員必須同時在場，由密鑰保管員取出需分發(fā)的密鑰信封，密鑰監(jiān)督員負(fù)責(zé)檢查信封的密封簽名是否完整，并填寫分發(fā)密鑰的表格。密鑰由對方機(jī)構(gòu)領(lǐng)取后，密鑰監(jiān)督員與對方機(jī)構(gòu)的領(lǐng)取人員需在分發(fā)密鑰的表格上簽名確認(rèn)。2 密鑰傳輸過程1) 加密機(jī)主密鑰（根密鑰）的傳輸 同城傳輸加密機(jī)主密鑰從保管處取出時，該密鑰組件的保管員和密鑰監(jiān)督員同時在場，并按規(guī)定填寫分發(fā)密鑰的表格。輸送人員在表格上簽名確認(rèn)后，方可向?qū)Ψ絺魉?。接收機(jī)構(gòu)收到密鑰后，應(yīng)返回簽收單，簽收單由密鑰保管人員負(fù)責(zé)保管。加密機(jī)主密鑰如在同城進(jìn)行傳輸，由三人分別持三件經(jīng)密封的密鑰信封，在不同的時間送達(dá)對方或由對方三名專人分別領(lǐng)取，傳送或領(lǐng)取人員不允許乘坐同一輛交通工具。 異地郵寄的要求在需要采用郵寄方式傳送密鑰時，使用郵政部門的機(jī)要郵政系統(tǒng)郵寄。密鑰在郵寄前按規(guī)定填寫分發(fā)密鑰的表格，并派可靠人員到郵局郵寄，郵寄時的手續(xù)憑證作為附件妥善保管。郵寄時將每一段密鑰單獨(dú)作為一份郵件郵寄，不同的密鑰組件在不同的日期分別寄出。2) 成員機(jī)構(gòu)主密鑰的傳送成員機(jī)構(gòu)主密鑰的傳送要求按照本節(jié)對加密機(jī)主密鑰的傳送要求執(zhí)行。3) 終端主密鑰的傳輸終端主密鑰通過母POS進(jìn)行分發(fā)傳輸。4) 工作密鑰、終端MAC密鑰的傳輸工作密鑰、終端MAC密鑰通過終端簽到時，已密文方式進(jìn)行傳輸。5) 禁止方式密鑰明文及其組件不允許采用電子郵件（E-mail）、傳真、電傳、電話等方式直接傳遞。3 密鑰接收由其他機(jī)構(gòu)分發(fā)給 的密鑰， 在接收密鑰時遵守上述相關(guān)規(guī)定。接收密鑰時，保管、監(jiān)督等相關(guān)人員首先填寫密鑰接收表格。密鑰接收人在表格上簽名確認(rèn)。密鑰啟用前由密鑰監(jiān)督員簽字封緘，并交由保管人員嚴(yán)密保管。保管員應(yīng)在接收表格上簽字確認(rèn)。第三節(jié) 密鑰的裝載和啟用1 基本規(guī)定注入過程中密鑰監(jiān)督員、注入人員、設(shè)備操作員等明確各自的工作內(nèi)容和責(zé)任；密鑰分段分人并在隔離狀態(tài)下注入密鑰使用設(shè)備；密鑰注入現(xiàn)場的攝像監(jiān)控設(shè)備不得拍攝到密鑰注入設(shè)備的操作面板部位；密鑰注入完成后，按規(guī)定進(jìn)行封存，并填寫相關(guān)的密鑰啟用封存記錄表格。2 注入過程1) 加密機(jī)主密鑰的注入 注入人員組成及各自的職責(zé)密鑰監(jiān)督員一名、設(shè)備操作員一名、主密鑰注入人員三名；密鑰監(jiān)督員負(fù)責(zé)監(jiān)督整個密鑰注入過程的合法性和規(guī)范性；設(shè)備操作員負(fù)責(zé)在密鑰注入過程中對加密機(jī)及密鑰注入設(shè)備環(huán)境的準(zhǔn)備；主密鑰注入人員負(fù)責(zé)將各自的密鑰組件注入到加密機(jī)中，注入人員由該密鑰組件的密鑰保管人員擔(dān)任。 密鑰組件的取用經(jīng) 主管負(fù)責(zé)人審批同意，密鑰保管員在密鑰監(jiān)督員在場時，打開保險箱，并在與密鑰一起保管的啟用/封存登記表上做好啟用記錄（這里的密鑰保管員不得是該密鑰其他組件的保管員），簽名后，由密鑰監(jiān)督員確認(rèn)并簽字，確認(rèn)簽字完畢，方可取用密鑰組件。 注入前的審核密鑰監(jiān)督員通知三位密鑰組件保管人員從保險箱取出密鑰組件密封信封，并檢查信封的密封簽名章是否完好。如信封的密封簽名章完好，則進(jìn)行下一步的注入操作。如發(fā)現(xiàn)破損或有被干預(yù)跡象等問題應(yīng)報告主管領(lǐng)導(dǎo)，根據(jù)具體情況處理，必要時應(yīng)重新生成新的主密鑰組件。 注入過程由設(shè)備操作員將加密機(jī)的操作面板切換到注入第一段主密鑰的界面后，與此無關(guān)的人員均須離開，確保看不到設(shè)備顯示面板。第一位密鑰注入員根據(jù)注入密鑰的方法（IC卡或紙質(zhì)）注入第一段密鑰組件，并核對注入后該段密鑰組件的檢驗(yàn)值（Check Value）。如檢驗(yàn)值不正確，需重新注入，直到正確為止。第一位密鑰注入員注入完密鑰組件后，暫時離開現(xiàn)場，由其他密鑰注入員按第一段密鑰組件注入的方法，再注入第二段和第三段密鑰組件，這一過程由密鑰監(jiān)督員在場監(jiān)督。 注入后的工作主密鑰所有組件注入完成后，由密鑰監(jiān)督員檢驗(yàn)注入是否成功，用三段密鑰組件注入后的總檢驗(yàn)值與生成時的總檢驗(yàn)值進(jìn)行核對，如核對不成功則需重新注入。密鑰注入完成后，原已開封的密鑰保管信封需重新封裝，并加蓋密鑰保管員和密鑰監(jiān)督員簽名章，交由原來的保管人員保管，并按要求填寫密鑰啟用/封存登記表登記封存記錄，完成后放入保險箱保管。2) 銀行成員機(jī)構(gòu)主密鑰的注入過程成員機(jī)構(gòu)主密鑰的注入過程與加密機(jī)主密鑰的注入過程基本一致。因成員機(jī)構(gòu)主密鑰由兩段組件組成，注入過程需兩位注入員參加。3) 終端主密鑰的使用終端密鑰存放在終端里，當(dāng)終端啟用時，該密鑰隨之啟用。4) 工作密鑰的啟用工作密鑰是當(dāng)終端簽到時，加密機(jī)生成工作密鑰后，開始啟用。5) 終端MAC密鑰的啟用同工作密鑰的啟用。第四節(jié) 密鑰的保管1. 基本規(guī)定密鑰組件保存在保險箱內(nèi)。密鑰存儲介質(zhì)采用紙張，并用信封密封，由密鑰保管人員與密鑰監(jiān)督員簽名確認(rèn)，加蓋密封簽名章；密鑰組件或檔案維護(hù)人員調(diào)離，辦理交接手續(xù)時由密鑰監(jiān)督員認(rèn)可并由主管負(fù)責(zé)人審批。只有密鑰組件的保管員才有權(quán)使用該密鑰組件。密鑰組件存取、使用情況由保管人員作好記錄，密鑰監(jiān)督員負(fù)責(zé)監(jiān)督，該記錄也應(yīng)存放在保險箱內(nèi)，視同密鑰組件進(jìn)行保管。2. 與密鑰安全有關(guān)的機(jī)密設(shè)備及密碼的保管1) 存放密鑰的保險容器 的密鑰分段分人保管，每一密鑰組件的保管人員都分別配備專用的保險箱，該保險箱的鑰匙和密碼由該保管人員負(fù)責(zé)掌管。2) 硬件加密機(jī)鑰匙的保管硬件加密機(jī)鑰匙由密鑰保管員負(fù)責(zé)保管，存放在保險箱中。3) 與密鑰有關(guān)的密碼的保管加密機(jī)的安全密碼、操作密碼由密鑰保管員掌管。上述密碼保存在保險箱內(nèi)，存入之前用信封密封、由密鑰監(jiān)督員確認(rèn)，并加蓋密封簽名章。3. 密鑰組件的保管1) 主密鑰組件的保管存儲主密鑰各段組件的IC卡或密封信封應(yīng)在密鑰監(jiān)督員監(jiān)督下，直接存入保險箱，且只有指定的密鑰保管員才有權(quán)取用。密鑰保管員調(diào)離或離職時，需辦理主密鑰組件的IC卡和密封信封的交接手續(xù)，交接手續(xù)在密鑰監(jiān)督員監(jiān)督下進(jìn)行，且當(dāng)場存入保險箱。2) 銀行成員機(jī)構(gòu)主密鑰組件的保管 不保存成員機(jī)構(gòu)主密鑰的明文，除主機(jī)加密留存外，機(jī)外不保留密鑰明文； 不保管非本機(jī)構(gòu)生成的成員主密鑰的IC卡或密封信封。3) 終端主密鑰、工作密鑰、終端MAC密鑰的保管 終端主密鑰、工作密鑰、終端MAC密鑰保存在加密機(jī)、數(shù)據(jù)庫或系統(tǒng)文件中。4. 密鑰檔案資料的保管由指定的密鑰保管員負(fù)責(zé)保管，存放于安全區(qū)域的保險箱內(nèi)，保存期限不低于密鑰的生命周期。保管人員調(diào)離崗位前，需妥善辦理交接手續(xù)。第五節(jié) 密鑰的刪除與銷毀為避免泄漏風(fēng)險，對失效密鑰進(jìn)行及時安全刪除或銷毀。1. 失效密鑰的認(rèn)定失效密鑰包括過期密鑰、廢除密鑰、泄漏（含被攻破）密鑰。1.1過期密鑰對于不同密鑰類型，有著一定的密鑰生存期，超過這個期限，即可標(biāo)志為過期密鑰，對于過期密鑰， 及時的進(jìn)行刪除和銷毀。1.2廢除密鑰指在測試環(huán)境中不再使用的密鑰、生產(chǎn)環(huán)境中因應(yīng)用程序的修改不再使用的密鑰、存放介質(zhì)發(fā)生損壞的密鑰、設(shè)備報廢或廢棄在設(shè)備中不再使用的密鑰等。1.3泄漏密鑰指密鑰在其生命周期內(nèi)被泄漏或懷疑可能泄漏以及密鑰被攻破等情況。2. 密鑰刪除和銷毀的方法對失效密鑰，采用執(zhí)行和檢驗(yàn)相結(jié)合的方法刪除和銷毀，確保密鑰被完全銷毀。2.1主機(jī)系統(tǒng)中密鑰的刪除找出在主機(jī)系統(tǒng)中存放待刪除密鑰的數(shù)據(jù)庫表、密鑰文件等，在刪除操作時安排設(shè)備管理員、密鑰銷毀員、密鑰監(jiān)督員同時在場，由密鑰銷毀員執(zhí)行，密鑰監(jiān)督員驗(yàn)證，確保密鑰的真正刪除。2.2硬件加密機(jī)中密鑰的刪除找出所有待刪除密鑰以及硬件加密機(jī)中相應(yīng)的密鑰索引值，對該密鑰進(jìn)行重寫，沖銷舊密鑰。在刪除操作時安排設(shè)備操作員、密鑰銷毀員、密鑰監(jiān)督員同時在場，密鑰銷毀員執(zhí)行，密鑰監(jiān)督員驗(yàn)證，確保該密鑰被覆蓋。 硬件加密機(jī)具有密鑰銷毀功能，規(guī)定當(dāng)加密機(jī)送檢、維修或運(yùn)輸時啟動毀鑰功能，保證硬件加密機(jī)中的所有密鑰被徹底刪除。在刪除操作時安排設(shè)備管理員、密鑰銷毀員、密鑰監(jiān)督員同時在場，密鑰銷毀員執(zhí)行，密鑰監(jiān)督員驗(yàn)證，確保密鑰被銷毀。2.3終端設(shè)備中密鑰的刪除終端設(shè)備中的密鑰是指POS、ATM、收銀一體機(jī)等的PIN PAD、金融多媒體終端等設(shè)備中使用的密鑰。 對報廢且不再使用設(shè)備的密鑰采用物理銷毀的方法來刪除密鑰。對仍將繼續(xù)使用的設(shè)備采用覆蓋的方法刪除密鑰。在執(zhí)行刪除操作時安排設(shè)備管理員、密鑰銷毀員、密鑰監(jiān)督員同時在場，密鑰銷毀員執(zhí)行，密鑰監(jiān)督員驗(yàn)證，確保密鑰被銷毀。2.4存放密鑰的組件介質(zhì)的銷毀 所有待銷毀密鑰的組件，由密鑰監(jiān)督員和密鑰保管員同時在場執(zhí)行銷毀操作。有關(guān)于銷毀的規(guī)定如下：紙介質(zhì)：采用焚毀、溶化的方式，保證不可恢復(fù)；IC卡：對于重復(fù)利用的介質(zhì)，交密鑰銷毀員重新寫卡，確保有寫卡操作，覆蓋舊密鑰而不可恢復(fù)，銷毀過程由密鑰監(jiān)督員驗(yàn)證。對于不再利用的介質(zhì)，交密鑰銷毀員物理毀卡，采用芯片毀損的方式，保證不可恢復(fù)，銷毀過程由密鑰監(jiān)督員驗(yàn)證。密鑰槍類：設(shè)備管理員啟動密鑰槍毀鑰功能，由密鑰銷毀員執(zhí)行，密鑰監(jiān)督員驗(yàn)證。母POS：設(shè)備管理員啟動母POS毀鑰功能，由密鑰銷毀員執(zhí)行，密鑰監(jiān)督員驗(yàn)證。2.5成員主密鑰的刪除和銷毀 刪除成員主密鑰時，書面通知對應(yīng)的成員機(jī)構(gòu)執(zhí)行相應(yīng)刪除和銷毀，成員機(jī)構(gòu)執(zhí)行密鑰刪除和銷毀后需要書面回執(zhí)并由相關(guān)人員簽字確認(rèn)。2.6密鑰刪除和銷毀登記密鑰刪除和銷毀登記由密鑰監(jiān)督員負(fù)責(zé)。密鑰資料銷毀的情況應(yīng)記錄在案，包括銷毀時間、操作員、密鑰監(jiān)督員等要素。銷毀記錄由銷毀人和密鑰監(jiān)督員簽字后與相關(guān)資料一同保存。第六節(jié) 密鑰的泄漏與重置1. 可能被泄漏的密鑰1) 可能被泄漏的密鑰類型在銀行卡交易中經(jīng)常涉及的密鑰類型有三類：MK（加密機(jī)主密鑰）、MMK（成員主密鑰）、PIKMAKTPKTAK（工作密鑰）。由于工作密鑰用于交易報文中的相關(guān)數(shù)據(jù)加密且更新頻繁，因此非法攻擊者企圖截獲工作密鑰的機(jī)率較低。由于成員主密鑰是參與交易雙方機(jī)構(gòu)共同生成且各自保存（或因地域原因交易機(jī)構(gòu)完整持有成員主密鑰組件），因此參與方之間密鑰的安全性存在互動因素影響，同時成員主密鑰更新頻率也較低，如果一方密鑰泄漏將影響交易對方的密鑰安全，從而影響對方系統(tǒng)的整體安全，因此成員主密鑰是最有可能被泄漏和攻擊的密鑰。主密鑰的更新頻率是最低的。主密鑰的重要性和更新頻率低是造成密鑰可能被泄漏和攻擊的主要因素。2) 密鑰泄漏或被攻擊的方式密鑰泄漏的方式大致分：非法獲取、推測規(guī)律、直接窮舉三種。內(nèi)部人員通常側(cè)重攻擊主密鑰來破解數(shù)據(jù)庫中保存的其他密鑰，外部人員則通過攻擊成員主密鑰破解工作密鑰。 非法獲取由于硬件和軟件資源的限制，一般非法攻擊者采用直接窮舉的方式并不多見，密鑰的泄漏大部分是通過非法途徑或利用管理疏忽獲取的，如下列情形：l 存放密鑰的保險柜被盜；l 設(shè)置木馬程序竊取密鑰；l 買通密鑰保管員或密鑰涉及者監(jiān)守自盜； l 測試系統(tǒng)中出現(xiàn)生產(chǎn)系統(tǒng)密鑰； l 密鑰明文抄寫后被當(dāng)作廢紙隨手丟棄，廢舊密鑰未及時銷毀；l 密鑰明文出現(xiàn)在文檔資料、程序源碼、通信聯(lián)絡(luò)中；l 硬件加密設(shè)備無專人管理，無權(quán)限設(shè)置，未授權(quán)情況下開啟加密設(shè)備時密鑰未自毀等。l 廢棄的設(shè)備中密鑰未銷毀等。 推測規(guī)律從根本上說，推測規(guī)律也是窮舉法中的一種，通過推測規(guī)律減少窮舉的次數(shù)。對于一種規(guī)律性強(qiáng)的密鑰，推測是有效的。推測規(guī)律主要是找出密鑰的相關(guān)性，因此提高密鑰的非相關(guān)性是在密鑰設(shè)置時需要考慮到的方面。推測規(guī)律的方式有：l 找出密鑰的相似處，進(jìn)行比對，總結(jié)規(guī)律以試圖解析密鑰；l 通過對廢舊密鑰的聯(lián)想，猜測規(guī)律以試圖解析密鑰；l 通過對密鑰輸入者的習(xí)慣進(jìn)行分析，猜測密鑰規(guī)律；l 通過對測試系統(tǒng)密鑰進(jìn)行分析，猜測生產(chǎn)機(jī)密鑰規(guī)律； 直接窮舉直接窮舉需要硬件和軟件資源支持，非法攻擊者利用合法交易，通過窮舉密鑰明文，比對密鑰密文來破譯密鑰明文，這種方法耗用一定時間，但隱蔽性較高。3) 密鑰泄漏的補(bǔ)救措施加密機(jī)主密鑰泄漏后，立即停止所有交易，重新生成新密鑰并馬上啟用，需生成的密鑰包括加密機(jī)主密鑰，成員主密鑰和終端主密鑰，以及各類工作密鑰。成員機(jī)構(gòu)主密鑰泄漏后，重新生成相應(yīng)成員主密鑰并立即啟用，并更新對應(yīng)的工作密鑰。終端主密鑰、工作密鑰、終端MAC密鑰泄漏后，重新生成相應(yīng)終端主密鑰并立即啟用，并對終端的工作密鑰進(jìn)行更新。4) 記錄相關(guān)操作密鑰泄漏的補(bǔ)救措施完成后，記錄相關(guān)操作填寫相應(yīng)表格，表格要素包括：密鑰使用單位、設(shè)備名稱和編號、泄漏密鑰的類型、發(fā)生密鑰泄漏的時間和方式、密鑰泄漏造成的損失和補(bǔ)救的措施等。2. 密鑰泄漏的核查1) 加強(qiáng)系統(tǒng)跟蹤，在日常工作中定期核查系統(tǒng)狀態(tài)。檢查內(nèi)容包括：l 在某時間域內(nèi)，大額交易的頻度是否異常；l 在某時間域內(nèi)，交易頻率是否異常（如突發(fā)同類交易是否增多）；l 在某時間域內(nèi)，密鑰類錯誤交易是否增多；l 是否非法訪問增多；l 是否合法訪問異常操作增多；l 是否有大量的偽卡出現(xiàn)；l 異常情況是否具有一定相似性和規(guī)律性。2) 禁止發(fā)生的情形對執(zhí)行密鑰生成、保管、啟用、更新、銷毀操作等過程進(jìn)行檢查，杜絕違規(guī)或超權(quán)限操作，禁止發(fā)生以下情形：l 未使用加密設(shè)備，密鑰的明文出現(xiàn)在系統(tǒng)或程序中；l 加密機(jī)主密鑰、成員主密鑰以單個完整的密鑰形式出現(xiàn)在硬件加密機(jī)外部，或密鑰組件在權(quán)限范圍外可以被合成；l 工作密鑰未按規(guī)定動態(tài)更新，長時段呈靜態(tài)狀況，導(dǎo)致被窮舉攻破；l 廢舊設(shè)備中仍在使用的密鑰未及時銷毀，隨意丟棄或放置；l 在測試系統(tǒng)和生產(chǎn)系統(tǒng)使用同一密鑰，或在測試系統(tǒng)出現(xiàn)生產(chǎn)系統(tǒng)密鑰的明文；l 同一密鑰在多個地方使用。3) 專人負(fù)責(zé)加密設(shè)備對硬件加密設(shè)備的使用、維護(hù)設(shè)有專人負(fù)責(zé)，每次操作都進(jìn)行登記記錄，且多人在場，對違規(guī)超權(quán)限的操作及時查處。4) 系統(tǒng)用戶權(quán)限和密碼加強(qiáng)管理對系統(tǒng)管理員密碼、各用戶密碼及用戶權(quán)限應(yīng)嚴(yán)格管理，一旦上述密碼發(fā)生泄漏、權(quán)限失控或人員離職，及時對系統(tǒng)各密鑰進(jìn)行核查跟蹤，根據(jù)需要及時更新密鑰。3. 密鑰泄漏和被攻破情況的界定在生產(chǎn)中使用的各類密鑰都有可能發(fā)生泄漏或被攻破，在發(fā)現(xiàn)下列情況時，可以考慮認(rèn)定密鑰已泄漏或被攻破，并及時采取措施更新密鑰。1) 加密機(jī)主密鑰泄漏和被攻破的情況l 密鑰未按生成、分發(fā)、保管、注入所規(guī)定的條款執(zhí)行；l 有兩段或兩段以上密鑰明文被盜或同時丟失；l 有兩段或兩段以上密鑰明文同時存放在同一臺可被人讀取的設(shè)備上；l 系統(tǒng)內(nèi)大部分成員主密鑰、工作密鑰泄漏或被攻破；l 其他經(jīng)密鑰安全管理工作組認(rèn)定的情況。2) 成員機(jī)構(gòu)主密鑰泄漏和被攻破的情況l 密鑰未按本指南生成、分發(fā)、保管、注入所規(guī)定的條款執(zhí)行；l 兩段密鑰明文被盜或同時丟失；l 兩段或兩段以上密鑰明文同時存放在同一臺可被人讀取的設(shè)備上；l 系統(tǒng)內(nèi)工作密鑰泄漏或被攻破；l 其他經(jīng)密鑰安全管理工作組認(rèn)定的情況。3) 終端密鑰、工作密鑰、終端MAC密鑰泄漏和被攻破的情況l 密鑰未按本指南生成、分發(fā)、傳輸規(guī)定的條款執(zhí)行；l 報文中加密的數(shù)據(jù)被攻破；l 其他經(jīng)密鑰安全管理工作組認(rèn)定的情況。4) 密鑰被認(rèn)定泄漏和被攻破的審核程序經(jīng)密鑰安全管理工作組共同認(rèn)定，報本單位主管領(lǐng)導(dǎo)批準(zhǔn)后，認(rèn)定密鑰已泄漏和被攻破。對于工作組無法認(rèn)定的情況，聘請有關(guān)專家和管理人員進(jìn)行審核。必要時報公安部門協(xié)助追查。對于密鑰被認(rèn)定已泄漏和被攻破的情況，填寫相應(yīng)的表格，表格要素包括：泄漏或被攻破密鑰的類型，發(fā)生泄漏或被攻破的時間、地點(diǎn)和方式，密鑰使用單位，設(shè)備名稱和編號等。對任何加密機(jī)主密鑰和成員機(jī)構(gòu)主密鑰泄漏或被攻破的情況， 均進(jìn)行備案，情節(jié)嚴(yán)重的向當(dāng)?shù)毓膊块T報案。其他成員機(jī)構(gòu)發(fā)生的密鑰泄漏情況時及時報送中國銀聯(lián)。第三章 設(shè)備安全管理1. 硬件加密機(jī)（HSM）安全及管理1) 基本規(guī)定l 硬件加密機(jī)用于保護(hù)密鑰、產(chǎn)生密鑰、PIN的加、解密以及報文鑒別等。這些操作在硬件加密機(jī)中完成，單個完整的密鑰和PIN明文不能出現(xiàn)在硬件加密機(jī)之外。l 硬件加密機(jī)通過國家密碼管理委員會辦公室審核。l 硬件加密機(jī)滿足中國人民銀行頒布的銀行卡聯(lián)網(wǎng)聯(lián)合技術(shù)規(guī)范、銀行卡聯(lián)網(wǎng)聯(lián)合安全規(guī)范以及中國銀聯(lián)頒布的有關(guān)規(guī)范中規(guī)定的基本功能和性能要求。2) 硬件加密機(jī)（HSM）設(shè)備的功能l 加密機(jī)支持64位、128位、192位三種長度的密鑰。除工作密鑰外，其他密鑰可由兩段或三段組件合成。密鑰在生成和注入時產(chǎn)生每個分量的檢驗(yàn)值（Check Value）和密鑰合成后的總檢驗(yàn)值。l 加密機(jī)支持單DES和三重DES的算法。作為選擇項(xiàng)，加密機(jī)還具有支持RSA算法的功能，作為可選項(xiàng)具有支持CVN、PVN校驗(yàn)功能。l 在加密機(jī)上輸入密鑰組件時全部顯示*號l 加密機(jī)提供密鑰組件生成指令，可通過外部命令控制加密機(jī)生成密鑰組件，同時寫入IC卡中。l 加密機(jī)具有生產(chǎn)、管理兩種可同時運(yùn)行的狀態(tài)。在進(jìn)行管理操作時不影響正常的生產(chǎn)運(yùn)行。l 加密機(jī)提供按索引刪除密鑰的功能，在注入新的密鑰時能夠自動提示是否覆蓋原密鑰。l 硬件加密設(shè)備被強(qiáng)行打開外殼后，自動銷毀機(jī)內(nèi)的所有密鑰。3) 設(shè)備存放及監(jiān)控l 硬件加密機(jī)進(jìn)行雙機(jī)熱備，為避免單機(jī)故障造成交易失敗和密鑰丟失；l 加密機(jī)放置在有嚴(yán)格管理的機(jī)房內(nèi)；l 硬件加密機(jī)存放在帶鎖機(jī)柜中，機(jī)柜背板固定安裝；l 對于硬件加密機(jī)的操作，配備CCTV（攝像監(jiān)控）進(jìn)行全過程監(jiān)控。4) 設(shè)備操作l 每次對硬件加密機(jī)的操作，需經(jīng)批準(zhǔn)后嚴(yán)格按照操作手冊、操作規(guī)程進(jìn)行，并記錄操作日志；l 在應(yīng)用系統(tǒng)中禁止和加密機(jī)非法連接或用做其他用途；l 嚴(yán)禁打開加密機(jī)機(jī)殼。5) 設(shè)備啟用及報廢l 在硬件加密機(jī)啟用之前，確定機(jī)殼未被拆卸；l 新購買的加密機(jī)修改加密機(jī)相關(guān)缺省口令； l 使用IC卡保存加密機(jī)的密鑰，在得到IC卡的第一時間更改卡片的缺省密碼；卡片分級分人保存；l 在硬件加密機(jī)報廢時，刪除存貯在該設(shè)備中的密鑰。6) 設(shè)備維修與升級l 根據(jù)需求提出書面申請；l 加密機(jī)生產(chǎn)廠商、維護(hù)商專人持有效身份證明或介紹信，經(jīng)證實(shí)獲準(zhǔn)；l 詳細(xì)記錄工作日志，包括設(shè)備類型、故障現(xiàn)象、維修時間等要素。2. 終端設(shè)備安全管理1) 終端設(shè)備安全l 終端設(shè)備內(nèi)的密碼模塊符合國家密碼主管部門的規(guī)定和相關(guān)標(biāo)準(zhǔn)并經(jīng)過國家認(rèn)可的權(quán)威機(jī)構(gòu)檢測通過；l 終端設(shè)備滿足銀行卡聯(lián)網(wǎng)聯(lián)合技術(shù)規(guī)范、銀行卡聯(lián)網(wǎng)聯(lián)合安全規(guī)范中規(guī)定的基本功能和性能要求；l 在操作環(huán)境中明文PIN和明文密鑰僅出現(xiàn)和存放在于專門設(shè)計(jì)的密碼模塊中。2) 終端設(shè)備操作與監(jiān)控l 終端設(shè)備技術(shù)維護(hù)人員與日常業(yè)務(wù)管理人員實(shí)行分離，且職責(zé)明確；l 指定專人管理終端設(shè)備；l 每次對終端設(shè)備的操作，嚴(yán)格按照操作手冊、操作規(guī)程進(jìn)行。3) 設(shè)備啟用、使用及報廢 在終端設(shè)備初始化或更新配置之前，確定如下內(nèi)容：l 機(jī)殼未被拆卸、PIN PAD粘貼封條、密碼模塊未被非授權(quán)修改或替換；l 主密鑰生成、裝載過程應(yīng)符合本指南要求；l 主管密碼、操作員密碼是否為缺省值。 各機(jī)構(gòu)應(yīng)定期對生產(chǎn)中的終端進(jìn)行安全檢查，檢查的要點(diǎn)為：l 終端硬件（包括PIN PAD）是否完好l PIN PAD封條是否損壞l 終端軟件是否更新過l 終端操作是否正常 在終端設(shè)備報廢時，必須：立即將存儲在該設(shè)備中的終端主密鑰、工作密鑰刪除和銷毀（包括終端及主機(jī)數(shù)據(jù)庫），清除操作員、主管密碼，銷毀終端軟件，并由專人監(jiān)督檢查。 終端設(shè)備的維修與升級參見1.6）有關(guān)內(nèi)容。3. 設(shè)備的物理安全硬件加密機(jī)、終端設(shè)備的管理或維護(hù)人員定期對設(shè)備進(jìn)行安全檢查，主要包括：l 設(shè)備的物理環(huán)境如電源電流及電壓、溫濕度是否變化；l 照明、消防及監(jiān)控設(shè)施是否完好，攝像頭是否清晰有效，攝像頭不能對準(zhǔn)鍵盤或屏幕；l 設(shè)備的外殼是否完好，是否有被拆卸、破壞的跡象；l 設(shè)備有無多余的連接線或外接電纜；l 終端設(shè)備（如ATM）周圍是否張貼有關(guān)操作提示；l 其他各項(xiàng)安全檢查指標(biāo)是否符合要求。第四章 管理規(guī)定與監(jiān)督檢查 對密鑰維護(hù)人員崗位設(shè)置、工作職責(zé)和審批手續(xù)做出嚴(yán)格的制度規(guī)定，并定期進(jìn)行專項(xiàng)檢查。1. 組建密鑰安全管理工作組1) 組織形式密鑰工作組由本單位部門領(lǐng)導(dǎo)任組長，由涉及密鑰生命周期全過程的相關(guān)部門共同參加。2) 工作職責(zé)l 按照規(guī)定，結(jié)合公司的實(shí)際狀況，制定嚴(yán)格而有效的實(shí)施細(xì)則，落實(shí)崗位責(zé)任制；l 制訂其他有關(guān)的安全專項(xiàng)管理制度，對涉及到密鑰的生成、傳輸、保管各個環(huán)節(jié)的設(shè)備提出相應(yīng)的安全管理要求，如出入登記制度、機(jī)房管理制度、崗位操作制度、密鑰存儲介質(zhì)管理制度等。l 負(fù)責(zé)密鑰生命周期，包括生成、分發(fā)與傳輸、注入與啟用、保管、刪除與銷毀、泄漏與重置等各環(huán)節(jié)全方位、全過程的規(guī)范操作與安全管理。l 根據(jù)密鑰特性，妥善保管密鑰組件、密碼函、IC密碼卡、軟件、源代碼、涉及密鑰安全管理的各種文檔。l 定期檢查密鑰安全管理狀況，按規(guī)定填報有關(guān)表格、報告。2. 密鑰安全管理工作人員1) 基本規(guī)定根據(jù)本辦法，配備專職人員，專門負(fù)責(zé)密鑰生命周期各環(huán)節(jié)的具體操作。 專人負(fù)責(zé)所有的審批