啟用封存登記表

1、.密鑰安全管理辦法目 錄第一章 概述3第一節(jié)內(nèi)容簡介3第二節(jié)運用概述31.密鑰體系與安全級別32.密鑰生命周期的安全管理4第二章 密鑰生命周期安全管理5第一節(jié) 密鑰的生成51加密機主密鑰（根密鑰）的生成52區(qū)域主密鑰的生成63銀行成員機構(gòu)主密鑰的生成64終端主密鑰的生成75工作密鑰的生成76終端MAC密鑰的生成77工作表格8第二節(jié) 密鑰的分發(fā)與傳輸81密鑰分發(fā)過程82密鑰傳輸過程83密鑰接收9第三節(jié) 密鑰的裝載和啟用91基本規(guī)定92注入過程10第四節(jié) 密鑰的保管111.基本規(guī)定112.與密鑰安全有關(guān)的機密設(shè)備及密碼的保管113.密鑰組件的保管124. 密鑰檔案資料的保管12第五節(jié) 密鑰的刪除與

2、銷毀121. 失效密鑰的認定122. 密鑰刪除和銷毀的方法13第六節(jié) 密鑰的泄漏與重置141.可能被泄漏的密鑰142.密鑰泄漏的核查163.密鑰泄漏和被攻破情況的界定17第三章 設(shè)備安全管理181.硬件加密機（HSM）安全及管理182.終端設(shè)備安全管理203.設(shè)備的物理安全21第四章 管理規(guī)定與監(jiān)督檢查211.組建密鑰安全管理工作組212.密鑰安全管理工作人員223.審批制度244.應(yīng)急措施245.監(jiān)督24第一章 概述第一節(jié) 內(nèi)容簡介“一切秘密寓于密鑰之中”，密鑰管理是設(shè)計安全的密碼系統(tǒng)所必須考慮的重要問題，數(shù)據(jù)加密、驗證和簽名等需要管理大量的密鑰，這些密鑰經(jīng)加密后以密文形式發(fā)送給合法用戶。本

3、辦法參考國際組織有關(guān)密鑰管理的知識、經(jīng)驗和相關(guān)標準編寫。在結(jié)構(gòu)上分為概述、密鑰生命周期安全管理、設(shè)備安全管理、管理規(guī)定和輔導檢查等章節(jié),提出密鑰生命周期中各環(huán)節(jié)的詳細操作流程和具體做法。本辦法基于現(xiàn)有技術(shù)規(guī)范，盡可能地兼顧應(yīng)用與維護的方便性，在最大程度上確保安全，體現(xiàn)適當?shù)囊?guī)定、適當?shù)耐度氡ＷC相對安全，但不可能完全避，力求整體提升密鑰安全管理水平。第二節(jié) 運用概述1. 密鑰體系與安全級別按照使用范圍和實際應(yīng)用的不同，密鑰劃分為不同體系或類別，每個體系或類別都具有相應(yīng)的功能與特點，須遵循不同的標準與要求。 的密鑰根據(jù)實際使用情況劃分成三層，三層密鑰體系根據(jù)密鑰的使用對象而形成，上層對下層提供保護

4、和一定的維護功能，不同層的密鑰不相同，且不能相互共享。加密機主密鑰（MK），即本地主密鑰是最重要的密鑰，施行最高級別或最嚴格的管理。成員機構(gòu)主密鑰（MMK）或終端主密鑰（TMK）在硬件加密機以外的系統(tǒng)中存放和使用，處于本地MK的保護之下。由于成員機構(gòu)主密鑰是參與交易雙方機構(gòu)共同生成且各自保存（或因地域原因交易機構(gòu)完整持有成員主密鑰組件），因此安全性存在互動、相互影響，同時更新頻率較低，因此是最有可能被泄漏和攻擊的密鑰，需要相關(guān)方的共同維護與重視。工作密鑰為最底層的密鑰，因其數(shù)量龐大，需要用一定的管理設(shè)備（如終端密鑰注入設(shè)備）加以輔助（詳見第三章有關(guān)敘述）來確保安全。2. 密鑰生命周期的安全管理

5、包括密鑰的生成、傳輸、注入、保管、泄漏與重置、刪除與銷毀等內(nèi)容。其任務(wù)就是在整個生命周期內(nèi)嚴格控制密鑰的使用，直到它們被銷毀為止，并確保密鑰在各個階段或環(huán)節(jié)都不會出現(xiàn)任何紕漏。1) 密鑰生成 密鑰采用人工產(chǎn)生或加密機產(chǎn)生密鑰的方式，人工生成密鑰成分時，將密鑰分成不同的成分，每個密鑰成分由不同的人員生成，采用數(shù)字和字母隨機組合，并于密鑰注入前規(guī)定時間內(nèi)完成；加密機產(chǎn)生密鑰時，由加密機生成導出。密鑰生成后，在硬件加密設(shè)備外部的明文形式由三段密鑰組件構(gòu)成。2) 密鑰傳輸密鑰在傳輸時采用雙重控制和分裂學，分為三段組件，傳輸?shù)姆绞讲捎枚喾N傳輸渠道和不同傳輸時間的方法。傳輸時存放密鑰組件的介質(zhì)為IC卡，每

6、張IC卡只存放一段密鑰組件。不存在傳輸完整密鑰的情況。3) 密鑰注入加密機主密鑰、區(qū)域主密鑰、成員機構(gòu)主密鑰，采用人工鍵入方式注入密鑰組件的明文，且每段密鑰組件由指定不同的密鑰注入員注入。終端密鑰注入，是由加密機生成密鑰導出后，灌入母終端，再從母終端導入到其他終端。工作密鑰、終端MAC密鑰是在終端進行簽到時，已密文的方式進行傳輸，保存在終端里。4) 密鑰保管對于密鑰組件的存儲，堅持三個原則：最小化、認可化和高安全性。最小化：由指定專人負責保管密鑰組件，且不同成分的密鑰組件由不同人員保管；認可化：密鑰組件存放在封條封裝的信封內(nèi)，只有指定的密鑰管理員可以拆分信封；高安全性：封裝密鑰的信封存放在不同

7、的保險箱內(nèi)，指定的密鑰保管員才有保險箱的密碼和鑰匙。對于密鑰注入設(shè)備，設(shè)有專人進行配置和維護，密鑰保管員無權(quán)限開啟和操作硬件加密機。5) 密鑰泄漏與重置除密鑰泄漏或可能泄漏外，加密機主密鑰（MK）一般不更新。成員主密鑰（MMK）23年更新一次或一般不跟新。若出現(xiàn)泄漏，則立即更換被懷疑或確認泄密的密鑰，確定被涉及到的功能領(lǐng)域，并且向管理部門報告。若主密鑰和成員主密鑰出現(xiàn)泄漏，采用與初次生成相同的控制方式產(chǎn)生新的主密鑰和成員主密鑰；若加密機主密鑰（MK）泄漏，則替換主密鑰并替換所有由該主密鑰保護的密鑰。若成員主密鑰（MMK）泄漏，則替換成員主密鑰并更換使用該成員主密鑰加密的所有密鑰。終端主密鑰由加

8、密機生成導出后，灌入母終端，再由母終端導入到其他終端里，如懷疑泄露，可通過母終端重新導入新密鑰覆蓋原先的密鑰。工作密鑰（WK）、終端MAC密鑰采用聯(lián)機簽取的方式，每次簽到都進行更新，若懷疑泄漏，則采用人工觸發(fā)方式重置密鑰。6) 密鑰刪除與銷毀密鑰生成后或在系統(tǒng)更新、密鑰組件存儲方式改變等情況時，不再使用的密鑰組件（包括以紙質(zhì)和IC卡方式存儲的介質(zhì)）或相關(guān)信息的資料均及時銷毀。作廢或被損壞的密鑰在雙人控制下安全銷毀，保證無法被恢復(fù)，銷毀過程由專人監(jiān)控和記錄。第二章 密鑰生命周期安全管理第一節(jié) 密鑰的生成密鑰及其組件遵循隨機生成的原則，生成工具使用硬件加密機。本節(jié)描述 密鑰及其組件生成的做法。1

9、加密機主密鑰（根密鑰）的生成 加密機主密鑰（根密鑰）由三段組件組成，每段組件分成三個成分，且采用人工方式生成。1) 生成時的人員組成及各自的職責密鑰監(jiān)督員一名、主密鑰生成員六名。密鑰監(jiān)督員負責監(jiān)督整個密鑰生成過程的規(guī)范性。主密鑰生成人員負責按照指定的人工生成方法，在規(guī)定的時間內(nèi)各自生成被分配到的密鑰組件成分 ，并交由指定的密鑰保管員保管。密鑰保管員負責其保管的密鑰組件的注入，不同的密鑰保管員負責保管不同的密鑰組件。2) 人工生成的過程由密鑰監(jiān)督員召集六名密鑰生成員并講解人工生成密鑰的方法規(guī)則，在規(guī)定的時間內(nèi)按規(guī)定的方法生成三段密鑰組件。每個密鑰生成員生成由其被分配到的密鑰組件的成分后，將該成分

10、交由指定的密鑰保管員裝入專用的信封內(nèi)封裝，由密鑰監(jiān)督員和密鑰保管員加蓋簽名章后，交由密鑰保管員放入保險箱保管。3) 操作要點密鑰監(jiān)督員在確信密鑰生成員已掌握了人工密鑰的生成方法后，才讓密鑰生成員正式進行生成操作。密鑰生成員在生成密鑰期間，不允許其他人員進入操作現(xiàn)場。密鑰生成員生成完密鑰后，密鑰監(jiān)督員提醒密鑰生成員已生成的密鑰的長度、密鑰數(shù)字的取值范圍等要素是否符合規(guī)定。2 區(qū)域主密鑰的生成區(qū)域主密鑰由兩段密鑰組件組成，由兩名密鑰生成人員各生成一段，具體生成方式同根密鑰的生成。3 銀行成員機構(gòu)主密鑰的生成 1) 使用的工具銀行成員機構(gòu)主密鑰使用加密機、人工或符合銀聯(lián)規(guī)定的其他方法生成，具體根據(jù)密

11、鑰生成過程及成員機構(gòu)的情況而定， 采用人工生成密鑰的方式。2) 生成密鑰組件的分工成員主密鑰由兩段密鑰組件組成，可由 與對應(yīng)的成員機構(gòu)各自生成其中的一段密鑰組件，也可由成員機構(gòu)生成全部兩段密鑰組件。3) 銀行成員機構(gòu)主密鑰生成的過程 和對應(yīng)的成員機構(gòu)各自生成一段密鑰組件的操作過程 生成的密鑰組件稱第一段（A段），對應(yīng)的成員機構(gòu)生成的稱第二段（B段）。首先由 按照本節(jié)1中根密鑰的生成方法和過程生成其中的一段密鑰組件。成員機構(gòu)可以根據(jù)其機構(gòu)本身已規(guī)定采用的方法，生成B段密鑰。 在傳送給接收方（對應(yīng)的成員機構(gòu)）A段密鑰時，采取往成員機構(gòu)加密機人工鍵入密鑰明文的方式進行。成員機構(gòu)在傳送給 B段密鑰時，

12、同樣采取往 加密機人工鍵入密鑰明文的方式進行。 兩段密鑰組件都由成員機構(gòu)負責生成的操作過程這種方式與根密鑰的生成過程基本類似，具體生成方法根據(jù)成員機構(gòu)本身規(guī)定的方法生成。4 終端主密鑰的生成 終端主密鑰由加密機生成導出后，再灌入母POS機，由母POS機再導入到其他POS機里。5 工作密鑰的生成工作密鑰一律用聯(lián)機的方式，由加密機生成。終端簽到時，應(yīng)用系統(tǒng)向加密機發(fā)起生成工作密鑰的請求，由加密機返回工作密鑰，應(yīng)用系統(tǒng)再將該值傳給終端。6 終端MAC密鑰的生成終端MAC密鑰的生成方式同工作密鑰。7 工作表格 在生成密鑰組件的過程中，填制有關(guān)工作表格。加密機主密鑰（MK）或成員機構(gòu)主密鑰（MMK）生成

13、完后，由指定密鑰生成人員按規(guī)定填寫密鑰生成表格，簽章封存，封存后的表格作為密鑰檔案資料妥善保管，留底備查。密鑰生命周期的其他工作環(huán)節(jié)填制的相關(guān)工作表格，操作步驟比照上述敘述進行。第二節(jié) 密鑰的分發(fā)與傳輸1 密鑰分發(fā)過程 分發(fā)密鑰時，應(yīng)要求接收機構(gòu)需派專人接收：可以由接收機構(gòu)負責保管和注入該密鑰組件的人員，也可以由其委派的人員領(lǐng)取。對每一段密鑰組件接收機構(gòu)必須分別派專人領(lǐng)取， 規(guī)定不允許由一人領(lǐng)取多段密鑰。當對方領(lǐng)取多段密鑰時，領(lǐng)取人員不得乘坐同一個交通工具。對方機構(gòu)領(lǐng)取密鑰時，該密鑰組件的保管員和密鑰監(jiān)督員必須同時在場，由密鑰保管員取出需分發(fā)的密鑰信封，密鑰監(jiān)督員負責檢查信封的密封簽名是否完整

14、，并填寫分發(fā)密鑰的表格。密鑰由對方機構(gòu)領(lǐng)取后，密鑰監(jiān)督員與對方機構(gòu)的領(lǐng)取人員需在分發(fā)密鑰的表格上簽名確認。2 密鑰傳輸過程1) 加密機主密鑰（根密鑰）的傳輸 同城傳輸加密機主密鑰從保管處取出時，該密鑰組件的保管員和密鑰監(jiān)督員同時在場，并按規(guī)定填寫分發(fā)密鑰的表格。輸送人員在表格上簽名確認后，方可向?qū)Ψ絺魉?。接收機構(gòu)收到密鑰后，應(yīng)返回簽收單，簽收單由密鑰保管人員負責保管。加密機主密鑰如在同城進行傳輸，由三人分別持三件經(jīng)密封的密鑰信封，在不同的時間送達對方或由對方三名專人分別領(lǐng)取，傳送或領(lǐng)取人員不允許乘坐同一輛交通工具。 異地郵寄的要求在需要采用郵寄方式傳送密鑰時，使用郵政部門的機要郵政系統(tǒng)郵寄。密

15、鑰在郵寄前按規(guī)定填寫分發(fā)密鑰的表格，并派可靠人員到郵局郵寄，郵寄時的手續(xù)憑證作為附件妥善保管。郵寄時將每一段密鑰單獨作為一份郵件郵寄，不同的密鑰組件在不同的日期分別寄出。2) 成員機構(gòu)主密鑰的傳送成員機構(gòu)主密鑰的傳送要求按照本節(jié)對加密機主密鑰的傳送要求執(zhí)行。3) 終端主密鑰的傳輸終端主密鑰通過母POS進行分發(fā)傳輸。4) 工作密鑰、終端MAC密鑰的傳輸工作密鑰、終端MAC密鑰通過終端簽到時，已密文方式進行傳輸。5) 禁止方式密鑰明文及其組件不允許采用電子郵件（E-mail）、傳真、電傳、電話等方式直接傳遞。3 密鑰接收由其他機構(gòu)分發(fā)給 的密鑰， 在接收密鑰時遵守上述相關(guān)規(guī)定。接收密鑰時，保管、監(jiān)

16、督等相關(guān)人員首先填寫密鑰接收表格。密鑰接收人在表格上簽名確認。密鑰啟用前由密鑰監(jiān)督員簽字封緘，并交由保管人員嚴密保管。保管員應(yīng)在接收表格上簽字確認。第三節(jié) 密鑰的裝載和啟用1 基本規(guī)定注入過程中密鑰監(jiān)督員、注入人員、設(shè)備操作員等明確各自的工作內(nèi)容和責任；密鑰分段分人并在隔離狀態(tài)下注入密鑰使用設(shè)備；密鑰注入現(xiàn)場的攝像監(jiān)控設(shè)備不得拍攝到密鑰注入設(shè)備的操作面板部位；密鑰注入完成后，按規(guī)定進行封存，并填寫相關(guān)的密鑰啟用封存記錄表格。2 注入過程1) 加密機主密鑰的注入 注入人員組成及各自的職責密鑰監(jiān)督員一名、設(shè)備操作員一名、主密鑰注入人員三名；密鑰監(jiān)督員負責監(jiān)督整個密鑰注入過程的合法性和規(guī)范性；設(shè)備操

17、作員負責在密鑰注入過程中對加密機及密鑰注入設(shè)備環(huán)境的準備；主密鑰注入人員負責將各自的密鑰組件注入到加密機中，注入人員由該密鑰組件的密鑰保管人員擔任。 密鑰組件的取用經(jīng) 主管負責人審批同意，密鑰保管員在密鑰監(jiān)督員在場時，打開保險箱，并在與密鑰一起保管的啟用/封存登記表上做好啟用記錄（這里的密鑰保管員不得是該密鑰其他組件的保管員），簽名后，由密鑰監(jiān)督員確認并簽字，確認簽字完畢，方可取用密鑰組件。 注入前的審核密鑰監(jiān)督員通知三位密鑰組件保管人員從保險箱取出密鑰組件密封信封，并檢查信封的密封簽名章是否完好。如信封的密封簽名章完好，則進行下一步的注入操作。如發(fā)現(xiàn)破損或有被干預(yù)跡象等問題應(yīng)報告主管領(lǐng)導，根

18、據(jù)具體情況處理，必要時應(yīng)重新生成新的主密鑰組件。 注入過程由設(shè)備操作員將加密機的操作面板切換到注入第一段主密鑰的界面后，與此無關(guān)的人員均須離開，確保看不到設(shè)備顯示面板。第一位密鑰注入員根據(jù)注入密鑰的方法（IC卡或紙質(zhì)）注入第一段密鑰組件，并核對注入后該段密鑰組件的檢驗值（Check Value）。如檢驗值不正確，需重新注入，直到正確為止。第一位密鑰注入員注入完密鑰組件后，暫時離開現(xiàn)場，由其他密鑰注入員按第一段密鑰組件注入的方法，再注入第二段和第三段密鑰組件，這一過程由密鑰監(jiān)督員在場監(jiān)督。 注入后的工作主密鑰所有組件注入完成后，由密鑰監(jiān)督員檢驗注入是否成功，用三段密鑰組件注入后的總檢驗值與生成時

19、的總檢驗值進行核對，如核對不成功則需重新注入。密鑰注入完成后，原已開封的密鑰保管信封需重新封裝，并加蓋密鑰保管員和密鑰監(jiān)督員簽名章，交由原來的保管人員保管，并按要求填寫密鑰啟用/封存登記表登記封存記錄，完成后放入保險箱保管。2) 銀行成員機構(gòu)主密鑰的注入過程成員機構(gòu)主密鑰的注入過程與加密機主密鑰的注入過程基本一致。因成員機構(gòu)主密鑰由兩段組件組成，注入過程需兩位注入員參加。3) 終端主密鑰的使用終端密鑰存放在終端里，當終端啟用時，該密鑰隨之啟用。4) 工作密鑰的啟用工作密鑰是當終端簽到時，加密機生成工作密鑰后，開始啟用。5) 終端MAC密鑰的啟用同工作密鑰的啟用。第四節(jié) 密鑰的保管1. 基本規(guī)定

20、密鑰組件保存在保險箱內(nèi)。密鑰存儲介質(zhì)采用紙張，并用信封密封，由密鑰保管人員與密鑰監(jiān)督員簽名確認，加蓋密封簽名章；密鑰組件或檔案維護人員調(diào)離，辦理交接手續(xù)時由密鑰監(jiān)督員認可并由主管負責人審批。只有密鑰組件的保管員才有權(quán)使用該密鑰組件。密鑰組件存取、使用情況由保管人員作好記錄，密鑰監(jiān)督員負責監(jiān)督，該記錄也應(yīng)存放在保險箱內(nèi)，視同密鑰組件進行保管。2. 與密鑰安全有關(guān)的機密設(shè)備及密碼的保管1) 存放密鑰的保險容器 的密鑰分段分人保管，每一密鑰組件的保管人員都分別配備專用的保險箱，該保險箱的鑰匙和密碼由該保管人員負責掌管。2) 硬件加密機鑰匙的保管硬件加密機鑰匙由密鑰保管員負責保管，存放在保險箱中。3)

21、 與密鑰有關(guān)的密碼的保管加密機的安全密碼、操作密碼由密鑰保管員掌管。上述密碼保存在保險箱內(nèi)，存入之前用信封密封、由密鑰監(jiān)督員確認，并加蓋密封簽名章。3. 密鑰組件的保管1) 主密鑰組件的保管存儲主密鑰各段組件的IC卡或密封信封應(yīng)在密鑰監(jiān)督員監(jiān)督下，直接存入保險箱，且只有指定的密鑰保管員才有權(quán)取用。密鑰保管員調(diào)離或離職時，需辦理主密鑰組件的IC卡和密封信封的交接手續(xù)，交接手續(xù)在密鑰監(jiān)督員監(jiān)督下進行，且當場存入保險箱。2) 銀行成員機構(gòu)主密鑰組件的保管 不保存成員機構(gòu)主密鑰的明文，除主機加密留存外，機外不保留密鑰明文； 不保管非本機構(gòu)生成的成員主密鑰的IC卡或密封信封。3) 終端主密鑰、工作密鑰、

22、終端MAC密鑰的保管 終端主密鑰、工作密鑰、終端MAC密鑰保存在加密機、數(shù)據(jù)庫或系統(tǒng)文件中。4. 密鑰檔案資料的保管由指定的密鑰保管員負責保管，存放于安全區(qū)域的保險箱內(nèi)，保存期限不低于密鑰的生命周期。保管人員調(diào)離崗位前，需妥善辦理交接手續(xù)。第五節(jié) 密鑰的刪除與銷毀為避免泄漏風險，對失效密鑰進行及時安全刪除或銷毀。1. 失效密鑰的認定失效密鑰包括過期密鑰、廢除密鑰、泄漏（含被攻破）密鑰。1.1過期密鑰對于不同密鑰類型，有著一定的密鑰生存期，超過這個期限，即可標志為過期密鑰，對于過期密鑰， 及時的進行刪除和銷毀。1.2廢除密鑰指在測試環(huán)境中不再使用的密鑰、生產(chǎn)環(huán)境中因應(yīng)用程序的修改不再使用的密鑰、

23、存放介質(zhì)發(fā)生損壞的密鑰、設(shè)備報廢或廢棄在設(shè)備中不再使用的密鑰等。1.3泄漏密鑰指密鑰在其生命周期內(nèi)被泄漏或懷疑可能泄漏以及密鑰被攻破等情況。2. 密鑰刪除和銷毀的方法對失效密鑰，采用執(zhí)行和檢驗相結(jié)合的方法刪除和銷毀，確保密鑰被完全銷毀。2.1主機系統(tǒng)中密鑰的刪除找出在主機系統(tǒng)中存放待刪除密鑰的數(shù)據(jù)庫表、密鑰文件等，在刪除操作時安排設(shè)備管理員、密鑰銷毀員、密鑰監(jiān)督員同時在場，由密鑰銷毀員執(zhí)行，密鑰監(jiān)督員驗證，確保密鑰的真正刪除。2.2硬件加密機中密鑰的刪除找出所有待刪除密鑰以及硬件加密機中相應(yīng)的密鑰索引值，對該密鑰進行重寫，沖銷舊密鑰。在刪除操作時安排設(shè)備操作員、密鑰銷毀員、密鑰監(jiān)督員同時在場，

24、密鑰銷毀員執(zhí)行，密鑰監(jiān)督員驗證，確保該密鑰被覆蓋。 硬件加密機具有密鑰銷毀功能，規(guī)定當加密機送檢、維修或運輸時啟動毀鑰功能，保證硬件加密機中的所有密鑰被徹底刪除。在刪除操作時安排設(shè)備管理員、密鑰銷毀員、密鑰監(jiān)督員同時在場，密鑰銷毀員執(zhí)行，密鑰監(jiān)督員驗證，確保密鑰被銷毀。2.3終端設(shè)備中密鑰的刪除終端設(shè)備中的密鑰是指POS、ATM、收銀一體機等的PIN PAD、金融多媒體終端等設(shè)備中使用的密鑰。 對報廢且不再使用設(shè)備的密鑰采用物理銷毀的方法來刪除密鑰。對仍將繼續(xù)使用的設(shè)備采用覆蓋的方法刪除密鑰。在執(zhí)行刪除操作時安排設(shè)備管理員、密鑰銷毀員、密鑰監(jiān)督員同時在場，密鑰銷毀員執(zhí)行，密鑰監(jiān)督員驗證，確保密

25、鑰被銷毀。2.4存放密鑰的組件介質(zhì)的銷毀 所有待銷毀密鑰的組件，由密鑰監(jiān)督員和密鑰保管員同時在場執(zhí)行銷毀操作。有關(guān)于銷毀的規(guī)定如下：紙介質(zhì)：采用焚毀、溶化的方式，保證不可恢復(fù)；IC卡：對于重復(fù)利用的介質(zhì)，交密鑰銷毀員重新寫卡，確保有寫卡操作，覆蓋舊密鑰而不可恢復(fù)，銷毀過程由密鑰監(jiān)督員驗證。對于不再利用的介質(zhì)，交密鑰銷毀員物理毀卡，采用芯片毀損的方式，保證不可恢復(fù)，銷毀過程由密鑰監(jiān)督員驗證。密鑰槍類：設(shè)備管理員啟動密鑰槍毀鑰功能，由密鑰銷毀員執(zhí)行，密鑰監(jiān)督員驗證。母POS：設(shè)備管理員啟動母POS毀鑰功能，由密鑰銷毀員執(zhí)行，密鑰監(jiān)督員驗證。2.5成員主密鑰的刪除和銷毀 刪除成員主密鑰時，書面通知對

26、應(yīng)的成員機構(gòu)執(zhí)行相應(yīng)刪除和銷毀，成員機構(gòu)執(zhí)行密鑰刪除和銷毀后需要書面回執(zhí)并由相關(guān)人員簽字確認。2.6密鑰刪除和銷毀登記密鑰刪除和銷毀登記由密鑰監(jiān)督員負責。密鑰資料銷毀的情況應(yīng)記錄在案，包括銷毀時間、操作員、密鑰監(jiān)督員等要素。銷毀記錄由銷毀人和密鑰監(jiān)督員簽字后與相關(guān)資料一同保存。第六節(jié) 密鑰的泄漏與重置1. 可能被泄漏的密鑰1) 可能被泄漏的密鑰類型在銀行卡交易中經(jīng)常涉及的密鑰類型有三類：MK（加密機主密鑰）、MMK（成員主密鑰）、PIKMAKTPKTAK（工作密鑰）。由于工作密鑰用于交易報文中的相關(guān)數(shù)據(jù)加密且更新頻繁，因此非法攻擊者企圖截獲工作密鑰的機率較低。由于成員主密鑰是參與交易雙方機構(gòu)共

27、同生成且各自保存（或因地域原因交易機構(gòu)完整持有成員主密鑰組件），因此參與方之間密鑰的安全性存在互動因素影響，同時成員主密鑰更新頻率也較低，如果一方密鑰泄漏將影響交易對方的密鑰安全，從而影響對方系統(tǒng)的整體安全，因此成員主密鑰是最有可能被泄漏和攻擊的密鑰。主密鑰的更新頻率是最低的。主密鑰的重要性和更新頻率低是造成密鑰可能被泄漏和攻擊的主要因素。2) 密鑰泄漏或被攻擊的方式密鑰泄漏的方式大致分：非法獲取、推測規(guī)律、直接窮舉三種。內(nèi)部人員通常側(cè)重攻擊主密鑰來破解數(shù)據(jù)庫中保存的其他密鑰，外部人員則通過攻擊成員主密鑰破解工作密鑰。 非法獲取由于硬件和軟件資源的限制，一般非法攻擊者采用直接窮舉的方式并不多見

28、，密鑰的泄漏大部分是通過非法途徑或利用管理疏忽獲取的，如下列情形：l 存放密鑰的保險柜被盜；l 設(shè)置木馬程序竊取密鑰；l 買通密鑰保管員或密鑰涉及者監(jiān)守自盜； l 測試系統(tǒng)中出現(xiàn)生產(chǎn)系統(tǒng)密鑰； l 密鑰明文抄寫后被當作廢紙隨手丟棄，廢舊密鑰未及時銷毀；l 密鑰明文出現(xiàn)在文檔資料、程序源碼、通信聯(lián)絡(luò)中；l 硬件加密設(shè)備無專人管理，無權(quán)限設(shè)置，未授權(quán)情況下開啟加密設(shè)備時密鑰未自毀等。l 廢棄的設(shè)備中密鑰未銷毀等。 推測規(guī)律從根本上說，推測規(guī)律也是窮舉法中的一種，通過推測規(guī)律減少窮舉的次數(shù)。對于一種規(guī)律性強的密鑰，推測是有效的。推測規(guī)律主要是找出密鑰的相關(guān)性，因此提高密鑰的非相關(guān)性是在密鑰設(shè)置時需要

29、考慮到的方面。推測規(guī)律的方式有：l 找出密鑰的相似處，進行比對，總結(jié)規(guī)律以試圖解析密鑰；l 通過對廢舊密鑰的聯(lián)想，猜測規(guī)律以試圖解析密鑰；l 通過對密鑰輸入者的習慣進行分析，猜測密鑰規(guī)律；l 通過對測試系統(tǒng)密鑰進行分析，猜測生產(chǎn)機密鑰規(guī)律； 直接窮舉直接窮舉需要硬件和軟件資源支持，非法攻擊者利用合法交易，通過窮舉密鑰明文，比對密鑰密文來破譯密鑰明文，這種方法耗用一定時間，但隱蔽性較高。3) 密鑰泄漏的補救措施加密機主密鑰泄漏后，立即停止所有交易，重新生成新密鑰并馬上啟用，需生成的密鑰包括加密機主密鑰，成員主密鑰和終端主密鑰，以及各類工作密鑰。成員機構(gòu)主密鑰泄漏后，重新生成相應(yīng)成員主密鑰并立即啟

30、用，并更新對應(yīng)的工作密鑰。終端主密鑰、工作密鑰、終端MAC密鑰泄漏后，重新生成相應(yīng)終端主密鑰并立即啟用，并對終端的工作密鑰進行更新。4) 記錄相關(guān)操作密鑰泄漏的補救措施完成后，記錄相關(guān)操作填寫相應(yīng)表格，表格要素包括：密鑰使用單位、設(shè)備名稱和編號、泄漏密鑰的類型、發(fā)生密鑰泄漏的時間和方式、密鑰泄漏造成的損失和補救的措施等。2. 密鑰泄漏的核查1) 加強系統(tǒng)跟蹤，在日常工作中定期核查系統(tǒng)狀態(tài)。檢查內(nèi)容包括：l 在某時間域內(nèi)，大額交易的頻度是否異常；l 在某時間域內(nèi)，交易頻率是否異常（如突發(fā)同類交易是否增多）；l 在某時間域內(nèi)，密鑰類錯誤交易是否增多；l 是否非法訪問增多；l 是否合法訪問異常操作增

31、多；l 是否有大量的偽卡出現(xiàn)；l 異常情況是否具有一定相似性和規(guī)律性。2) 禁止發(fā)生的情形對執(zhí)行密鑰生成、保管、啟用、更新、銷毀操作等過程進行檢查，杜絕違規(guī)或超權(quán)限操作，禁止發(fā)生以下情形：l 未使用加密設(shè)備，密鑰的明文出現(xiàn)在系統(tǒng)或程序中；l 加密機主密鑰、成員主密鑰以單個完整的密鑰形式出現(xiàn)在硬件加密機外部，或密鑰組件在權(quán)限范圍外可以被合成；l 工作密鑰未按規(guī)定動態(tài)更新，長時段呈靜態(tài)狀況，導致被窮舉攻破；l 廢舊設(shè)備中仍在使用的密鑰未及時銷毀，隨意丟棄或放置；l 在測試系統(tǒng)和生產(chǎn)系統(tǒng)使用同一密鑰，或在測試系統(tǒng)出現(xiàn)生產(chǎn)系統(tǒng)密鑰的明文；l 同一密鑰在多個地方使用。3) 專人負責加密設(shè)備對硬件加密設(shè)備

32、的使用、維護設(shè)有專人負責，每次操作都進行登記記錄，且多人在場，對違規(guī)超權(quán)限的操作及時查處。4) 系統(tǒng)用戶權(quán)限和密碼加強管理對系統(tǒng)管理員密碼、各用戶密碼及用戶權(quán)限應(yīng)嚴格管理，一旦上述密碼發(fā)生泄漏、權(quán)限失控或人員離職，及時對系統(tǒng)各密鑰進行核查跟蹤，根據(jù)需要及時更新密鑰。3. 密鑰泄漏和被攻破情況的界定在生產(chǎn)中使用的各類密鑰都有可能發(fā)生泄漏或被攻破，在發(fā)現(xiàn)下列情況時，可以考慮認定密鑰已泄漏或被攻破，并及時采取措施更新密鑰。1) 加密機主密鑰泄漏和被攻破的情況l 密鑰未按生成、分發(fā)、保管、注入所規(guī)定的條款執(zhí)行；l 有兩段或兩段以上密鑰明文被盜或同時丟失；l 有兩段或兩段以上密鑰明文同時存放在同一臺可被

33、人讀取的設(shè)備上；l 系統(tǒng)內(nèi)大部分成員主密鑰、工作密鑰泄漏或被攻破；l 其他經(jīng)密鑰安全管理工作組認定的情況。2) 成員機構(gòu)主密鑰泄漏和被攻破的情況l 密鑰未按本指南生成、分發(fā)、保管、注入所規(guī)定的條款執(zhí)行；l 兩段密鑰明文被盜或同時丟失；l 兩段或兩段以上密鑰明文同時存放在同一臺可被人讀取的設(shè)備上；l 系統(tǒng)內(nèi)工作密鑰泄漏或被攻破；l 其他經(jīng)密鑰安全管理工作組認定的情況。3) 終端密鑰、工作密鑰、終端MAC密鑰泄漏和被攻破的情況l 密鑰未按本指南生成、分發(fā)、傳輸規(guī)定的條款執(zhí)行；l 報文中加密的數(shù)據(jù)被攻破；l 其他經(jīng)密鑰安全管理工作組認定的情況。4) 密鑰被認定泄漏和被攻破的審核程序經(jīng)密鑰安全管理工作

34、組共同認定，報本單位主管領(lǐng)導批準后，認定密鑰已泄漏和被攻破。對于工作組無法認定的情況，聘請有關(guān)專家和管理人員進行審核。必要時報公安部門協(xié)助追查。對于密鑰被認定已泄漏和被攻破的情況，填寫相應(yīng)的表格，表格要素包括：泄漏或被攻破密鑰的類型，發(fā)生泄漏或被攻破的時間、地點和方式，密鑰使用單位，設(shè)備名稱和編號等。對任何加密機主密鑰和成員機構(gòu)主密鑰泄漏或被攻破的情況， 均進行備案，情節(jié)嚴重的向當?shù)毓膊块T報案。其他成員機構(gòu)發(fā)生的密鑰泄漏情況時及時報送中國銀聯(lián)。第三章 設(shè)備安全管理1. 硬件加密機（HSM）安全及管理1) 基本規(guī)定l 硬件加密機用于保護密鑰、產(chǎn)生密鑰、PIN的加、解密以及報文鑒別等。這些操作在

35、硬件加密機中完成，單個完整的密鑰和PIN明文不能出現(xiàn)在硬件加密機之外。l 硬件加密機通過國家密碼管理委員會辦公室審核。l 硬件加密機滿足中國人民銀行頒布的銀行卡聯(lián)網(wǎng)聯(lián)合技術(shù)規(guī)范、銀行卡聯(lián)網(wǎng)聯(lián)合安全規(guī)范以及中國銀聯(lián)頒布的有關(guān)規(guī)范中規(guī)定的基本功能和性能要求。2) 硬件加密機（HSM）設(shè)備的功能l 加密機支持64位、128位、192位三種長度的密鑰。除工作密鑰外，其他密鑰可由兩段或三段組件合成。密鑰在生成和注入時產(chǎn)生每個分量的檢驗值（Check Value）和密鑰合成后的總檢驗值。l 加密機支持單DES和三重DES的算法。作為選擇項，加密機還具有支持RSA算法的功能，作為可選項具有支持CVN、PVN

36、校驗功能。l 在加密機上輸入密鑰組件時全部顯示*號l 加密機提供密鑰組件生成指令，可通過外部命令控制加密機生成密鑰組件，同時寫入IC卡中。l 加密機具有生產(chǎn)、管理兩種可同時運行的狀態(tài)。在進行管理操作時不影響正常的生產(chǎn)運行。l 加密機提供按索引刪除密鑰的功能，在注入新的密鑰時能夠自動提示是否覆蓋原密鑰。l 硬件加密設(shè)備被強行打開外殼后，自動銷毀機內(nèi)的所有密鑰。3) 設(shè)備存放及監(jiān)控l 硬件加密機進行雙機熱備，為避免單機故障造成交易失敗和密鑰丟失；l 加密機放置在有嚴格管理的機房內(nèi)；l 硬件加密機存放在帶鎖機柜中，機柜背板固定安裝；l 對于硬件加密機的操作，配備CCTV（攝像監(jiān)控）進行全過程監(jiān)控。4

37、) 設(shè)備操作l 每次對硬件加密機的操作，需經(jīng)批準后嚴格按照操作手冊、操作規(guī)程進行，并記錄操作日志；l 在應(yīng)用系統(tǒng)中禁止和加密機非法連接或用做其他用途；l 嚴禁打開加密機機殼。5) 設(shè)備啟用及報廢l 在硬件加密機啟用之前，確定機殼未被拆卸；l 新購買的加密機修改加密機相關(guān)缺省口令； l 使用IC卡保存加密機的密鑰，在得到IC卡的第一時間更改卡片的缺省密碼；卡片分級分人保存；l 在硬件加密機報廢時，刪除存貯在該設(shè)備中的密鑰。6) 設(shè)備維修與升級l 根據(jù)需求提出書面申請；l 加密機生產(chǎn)廠商、維護商專人持有效身份證明或介紹信，經(jīng)證實獲準；l 詳細記錄工作日志，包括設(shè)備類型、故障現(xiàn)象、維修時間等要素。2

38、. 終端設(shè)備安全管理1) 終端設(shè)備安全l 終端設(shè)備內(nèi)的密碼模塊符合國家密碼主管部門的規(guī)定和相關(guān)標準并經(jīng)過國家認可的權(quán)威機構(gòu)檢測通過；l 終端設(shè)備滿足銀行卡聯(lián)網(wǎng)聯(lián)合技術(shù)規(guī)范、銀行卡聯(lián)網(wǎng)聯(lián)合安全規(guī)范中規(guī)定的基本功能和性能要求；l 在操作環(huán)境中明文PIN和明文密鑰僅出現(xiàn)和存放在于專門設(shè)計的密碼模塊中。2) 終端設(shè)備操作與監(jiān)控l 終端設(shè)備技術(shù)維護人員與日常業(yè)務(wù)管理人員實行分離，且職責明確；l 指定專人管理終端設(shè)備；l 每次對終端設(shè)備的操作，嚴格按照操作手冊、操作規(guī)程進行。3) 設(shè)備啟用、使用及報廢 在終端設(shè)備初始化或更新配置之前，確定如下內(nèi)容：l 機殼未被拆卸、PIN PAD粘貼封條、密碼模塊未被非授

39、權(quán)修改或替換；l 主密鑰生成、裝載過程應(yīng)符合本指南要求；l 主管密碼、操作員密碼是否為缺省值。 各機構(gòu)應(yīng)定期對生產(chǎn)中的終端進行安全檢查，檢查的要點為：l 終端硬件（包括PIN PAD）是否完好l PIN PAD封條是否損壞l 終端軟件是否更新過l 終端操作是否正常 在終端設(shè)備報廢時，必須：立即將存儲在該設(shè)備中的終端主密鑰、工作密鑰刪除和銷毀（包括終端及主機數(shù)據(jù)庫），清除操作員、主管密碼，銷毀終端軟件，并由專人監(jiān)督檢查。 終端設(shè)備的維修與升級參見1.6）有關(guān)內(nèi)容。3. 設(shè)備的物理安全硬件加密機、終端設(shè)備的管理或維護人員定期對設(shè)備進行安全檢查，主要包括：l 設(shè)備的物理環(huán)境如電源電流及電壓、溫濕度是

40、否變化；l 照明、消防及監(jiān)控設(shè)施是否完好，攝像頭是否清晰有效，攝像頭不能對準鍵盤或屏幕；l 設(shè)備的外殼是否完好，是否有被拆卸、破壞的跡象；l 設(shè)備有無多余的連接線或外接電纜；l 終端設(shè)備（如ATM）周圍是否張貼有關(guān)操作提示；l 其他各項安全檢查指標是否符合要求。第四章 管理規(guī)定與監(jiān)督檢查 對密鑰維護人員崗位設(shè)置、工作職責和審批手續(xù)做出嚴格的制度規(guī)定，并定期進行專項檢查。1. 組建密鑰安全管理工作組1) 組織形式密鑰工作組由本單位部門領(lǐng)導任組長，由涉及密鑰生命周期全過程的相關(guān)部門共同參加。2) 工作職責l 按照規(guī)定，結(jié)合公司的實際狀況，制定嚴格而有效的實施細則，落實崗位責任制；l 制訂其他有關(guān)的安全專項管理制度，對涉及到密鑰的生成、傳輸、保管各個環(huán)節(jié)的設(shè)備提出相應(yīng)的安全管理要求，如出入登記制度、機房管理制度、崗位操作制度、密鑰存儲介質(zhì)管理制度等。l 負責密鑰生命周期，包括生成、分發(fā)與傳輸、注入與啟用、保管、刪除與銷毀、泄漏與重置等各環(huán)節(jié)全方位、全過程的規(guī)范操作與安全管理。l 根據(jù)密鑰特性，妥善保管密鑰組件、密碼函、IC密碼卡、軟件、源代碼、涉及密鑰安全管理的各種文檔。l 定期檢查密鑰安全管理狀況，按規(guī)定填報有關(guān)表格、報告。2. 密鑰安全管理工作人員1) 基本規(guī)定根據(jù)本辦法，配備專職人員，專門負責密鑰生命周期各環(huán)節(jié)的具體操作。 專人負責所有的審批和操作指定專