銀聯(lián)卡密鑰安全管理規(guī)則

1、附件附件 1 1銀聯(lián)卡密鑰安全管理規(guī)則銀聯(lián)卡密鑰安全管理規(guī)則【磁條卡部分磁條卡部分】v1.0（經(jīng)第一屆中國銀聯(lián)風(fēng)險(xiǎn)管理委員會第一次會議審議通過）（經(jīng)第一屆中國銀聯(lián)風(fēng)險(xiǎn)管理委員會第一次會議審議通過）二二 oo 四年七月四年七月注意保密1目目 錄錄第一章 總 則.31.目的.32.適用范圍.33.遵循標(biāo)準(zhǔn).34.與現(xiàn)有規(guī)范的關(guān)系.45.生效說明.46.與本規(guī)則配套的相關(guān)文檔.5第二章 個人標(biāo)識代碼（pin）與密鑰管理的基本規(guī)定 .61.銀聯(lián)卡個人標(biāo)識代碼（pin）加解密基本規(guī)定 .62.密鑰體系.6第三章 密鑰生命周期安全管理.91.密鑰的生成.91.1 基本要求.91.2 各類密鑰的生成.102

2、.密鑰的傳輸.112.1 基本要求.112.2 傳輸過程.112.3 接收要求.123.密鑰的注入和啟用.123.1 基本要求.123.2 加密機(jī)主密鑰的注入與啟用.133.3 成員主密鑰的注入與啟用.133.4 工作密鑰的啟用.13注意保密24.密鑰的保管.144.1 基本要求.144.2 各類密鑰組件的保管.144.3 保管或接收保管.144.4 與密鑰安全有關(guān)的機(jī)密設(shè)備及密碼的保管.155.密鑰的刪除與銷毀.165.1 基本要求.165.2 處理要求.166.密鑰的泄漏與重置.176.1 密鑰泄漏情況的界定.176.2 審核程序.186.3 密鑰泄漏后應(yīng)采取的措施.18第四章 設(shè)備安全管

3、理.201.基本要求.202.硬件加密設(shè)備安全的管理要求.203.終端設(shè)備安全管理.21第五章 制度監(jiān)督.231.組織管理.231.1 主要工作職責(zé).231.2 密鑰維護(hù)人員的基本配備要求.232.審批與操作制度.243.自查與監(jiān)督.253.1 業(yè)務(wù)開辦前對個人標(biāo)識代碼（pin）及密鑰安全進(jìn)行資格審查 .253.2 自查.253.3 監(jiān)督.27附錄 a：術(shù) 語.31附錄 b：遵循標(biāo)準(zhǔn).35附錄 c：密鑰生命周期各階段工作表格基本要素.38注意保密3第一章第一章 總總 則則1.目的目的提升磁條卡跨行交易的安全性和管理水平，確保持卡人個人標(biāo)識代碼（pin）與敏感信息在跨行交易過程中的安全傳輸與轉(zhuǎn)接

4、，維護(hù)通過跨行網(wǎng)絡(luò)開展銀行卡交易的銀聯(lián)卡網(wǎng)絡(luò)參與方的整體利益。2.適用范圍適用范圍銀聯(lián)卡密鑰安全管理規(guī)則 （以下簡稱密鑰規(guī)則 ）適用于通過跨行網(wǎng)絡(luò)進(jìn)行銀行卡交易的中國銀聯(lián)、成員機(jī)構(gòu)、所有受理銀聯(lián)卡的聯(lián)網(wǎng)機(jī)構(gòu)及其他關(guān)聯(lián)機(jī)構(gòu)（本規(guī)則統(tǒng)一簡稱為銀聯(lián)卡網(wǎng)絡(luò)參與方） 。本著循序漸進(jìn)的原則，在現(xiàn)階段密鑰規(guī)則提出基于傳統(tǒng)交易終端（如atm、pos）發(fā)起的跨行磁條卡敏感交易信息加解密的基本規(guī)定，主要適用于對稱算法的密鑰管理。本規(guī)則分章節(jié)敘述密鑰生命周期各環(huán)節(jié)應(yīng)達(dá)到的基本要求，對銀聯(lián)卡網(wǎng)絡(luò)內(nèi)的終端機(jī)具、硬件加密設(shè)備的安全管理做出基本規(guī)定；對人員管理及制度監(jiān)督提出原則意見；附錄列出安全管理工作表格的基本要素。本規(guī)

5、則與 visa、mastercard 等境外信用卡公司的相關(guān)規(guī)定基本一致。境外卡在銀聯(lián)卡網(wǎng)絡(luò)的交易同樣適用于本規(guī)則；銀聯(lián)卡在境外使用時參照本規(guī)則執(zhí)行。3.遵循標(biāo)準(zhǔn)遵循標(biāo)準(zhǔn)在實(shí)際應(yīng)用當(dāng)中，密鑰按照體系和使用范圍劃分為不同類別，每個類別具注意保密4有相應(yīng)的功能與特點(diǎn)，遵循不同的標(biāo)準(zhǔn)與要求。 密鑰規(guī)則規(guī)定：在有國內(nèi)標(biāo)準(zhǔn)的情況下應(yīng)首先遵循國內(nèi)標(biāo)準(zhǔn)，如國內(nèi)標(biāo)準(zhǔn)尚未明確，一般應(yīng)遵循 iso 頒布的相關(guān)國際標(biāo)準(zhǔn)。4.與現(xiàn)有規(guī)范的關(guān)系與現(xiàn)有規(guī)范的關(guān)系現(xiàn)有規(guī)范是指由國家主管部門及中國銀聯(lián)制定頒布的，在金融機(jī)構(gòu)范圍內(nèi)實(shí)行，涉及銀行卡信息交換密鑰安全的有關(guān)規(guī)范，主要包括：銀行卡聯(lián)網(wǎng)聯(lián)合技術(shù)規(guī)范v1.0 2001（簡

6、稱 1.0 版技術(shù)規(guī)范 ）第三部分“公共接口說明”的第八章“數(shù)據(jù)傳輸安全說明”。銀行卡聯(lián)網(wǎng)聯(lián)合安全規(guī)范 （簡稱安全規(guī)范 ）第五部分“聯(lián)網(wǎng)聯(lián)合安全技術(shù)應(yīng)用”。銀行卡聯(lián)網(wǎng)聯(lián)合技術(shù)規(guī)范v2.0 2004（簡稱 2.0 版技術(shù)規(guī)范 ）第四部分“數(shù)據(jù)安全傳輸控制規(guī)范”。上述規(guī)范主要從技術(shù)實(shí)現(xiàn)的角度闡述了信息交換系統(tǒng)中密鑰正確和安全使用的相關(guān)規(guī)定。本規(guī)則重點(diǎn)從管理角度出發(fā)規(guī)定密鑰生命周期各環(huán)節(jié)的操作規(guī)則，與現(xiàn)有規(guī)范互相補(bǔ)充、配套。5.生效說明生效說明本規(guī)則適用于當(dāng)前及今后一段時期內(nèi)的安全管理，其內(nèi)容隨著業(yè)務(wù)發(fā)展變化的具體情況做相應(yīng)調(diào)整和修訂。鑒于目前不同銀聯(lián)卡網(wǎng)絡(luò)參與方的制度要求與操作方法存在一定差別，為

7、全面實(shí)現(xiàn)本規(guī)則的要求，現(xiàn)確定實(shí)施過渡期（具體期限另行確定） 。過渡期間，各銀聯(lián)卡網(wǎng)絡(luò)參與方應(yīng)對照要求整章建制，更新相關(guān)設(shè)備和系統(tǒng)，落實(shí)人員，注意保密5規(guī)范操作。過渡期末應(yīng)達(dá)到本規(guī)則的基本要求： 涉及密碼的交易必須采用硬件加密。硬件加密設(shè)備的要求必須符合本規(guī)則第三章的相關(guān)規(guī)定； 凡有條件的銀聯(lián)卡網(wǎng)絡(luò)參與方必須使用 128bit 或 128bit 以上的密鑰； 涉及密鑰生命周期的各項(xiàng)操作均應(yīng)執(zhí)行雙重控制、信息拆分、嚴(yán)密交接、妥善保管、及時更新的基本要求，建立并履行權(quán)限劃分、嚴(yán)格審批、詳細(xì)記錄、實(shí)名操作的規(guī)章制度； 建立并嚴(yán)格執(zhí)行自查與監(jiān)督機(jī)制，實(shí)施業(yè)務(wù)準(zhǔn)入評估與違規(guī)處罰。6.與本規(guī)則配套的相關(guān)文檔

8、與本規(guī)則配套的相關(guān)文檔中國銀聯(lián)同步制定了銀聯(lián)卡密鑰安全管理指南和中國銀聯(lián)密鑰安全管理暫行辦法 。前者詳細(xì)闡述各類密鑰及其組件生命周期安全管理的推薦做法。后者主要適用于中國銀聯(lián)銀行卡信息交換總中心和各分公司，銀聯(lián)商務(wù)總公司及其分支機(jī)構(gòu)、銀聯(lián)卡網(wǎng)絡(luò)參與方應(yīng)比照這一辦法制定相應(yīng)的實(shí)施細(xì)則。注意保密6第二章第二章 個人標(biāo)識代碼（個人標(biāo)識代碼（pin）與密鑰管理的基本規(guī)定）與密鑰管理的基本規(guī)定本章概要敘述實(shí)際應(yīng)用當(dāng)中的密鑰體系，按照使用范圍劃分為不同類別，每個類別都具有相應(yīng)的功能與特點(diǎn)，須遵循不同的標(biāo)準(zhǔn)與要求。1.銀聯(lián)卡個人標(biāo)識代碼（銀聯(lián)卡個人標(biāo)識代碼（pin）加解密基本規(guī)定）加解密基本規(guī)定1.1 發(fā)卡

9、機(jī)構(gòu)發(fā)行帶個人標(biāo)識代碼（pin）的銀聯(lián)卡必須遵循如下規(guī)定： 校驗(yàn)密碼的真實(shí)性； 個人標(biāo)識代碼（pin）未經(jīng)加密而傳輸?shù)慕灰妆仨毦芙^。1.2 聯(lián)機(jī)受理憑個人標(biāo)識代碼（pin）使用的銀聯(lián)卡跨行交易應(yīng)遵守如下基本要求： 必須在專用的個人標(biāo)識代碼（pin）輸入設(shè)備中輸密； 個人標(biāo)識代碼（pin）加解密必須在專用的硬件加密設(shè)備中進(jìn)行； 在包括受理方、轉(zhuǎn)接方在內(nèi)的整個傳輸過程和主機(jī)設(shè)備中必須對個人標(biāo)識代碼（pin）加密； 加解密必須使用對稱算法； 對 mac 的要求視應(yīng)用按照相關(guān)規(guī)范而定。2.密鑰體系密鑰體系銀聯(lián)卡網(wǎng)絡(luò)的密鑰根據(jù)實(shí)際使用情況劃分成三層，三層密鑰體系根據(jù)密鑰的使用對象而形成，上層對下層提供保

10、護(hù)和一定的維護(hù)功能，不同層的密鑰不許相同，不能相互共享。注意保密7同一密鑰只能用于其生成時所定義的目的，不能用于其他用途；不同的銀聯(lián)卡網(wǎng)絡(luò)參與方、不同的地區(qū)、不同的終端設(shè)備不得使用相同的密鑰，必須確保密鑰的唯一性。2.1 第一層密鑰（mk）加密機(jī)主密鑰，即本地主密鑰，是最重要的密鑰，用于加、解密本地存放的其他密鑰數(shù)據(jù)。mk 長度規(guī)定為 128bit 或以上，在硬件加密機(jī)以外的地方保管時必須采取嚴(yán)格的安全保管措施。mk 一般不更換。2.2 第二層密鑰（mmk）加密機(jī)主密鑰的下一層為成員主密鑰（mmk）或終端主密鑰（tmk），作用是加、解密需傳遞的工作密鑰，實(shí)現(xiàn)工作密鑰的聯(lián)機(jī)實(shí)時傳輸或其他形式的異

11、地傳輸。成員主密鑰在硬件加密機(jī)以外的系統(tǒng)中存放和使用時，處于本地mk 的保護(hù)之下。兩組不同的銀聯(lián)卡網(wǎng)絡(luò)參與方之間不得使用相同的成員主密鑰。一般情況下，mmk 最長 23 年更換一次。2.3 第三層密鑰（pik、mak、tpk、tmk）工作密鑰為最底層的密鑰，包括銀聯(lián)卡網(wǎng)絡(luò)參與方之間使用的成員信息完整性密鑰（mak）和成員 pin 保護(hù)密鑰（pik） 、終端到銀聯(lián)卡網(wǎng)絡(luò)參與方之間使用的終端信息完整性密鑰（tak）和終端 pin 保護(hù)密鑰（tpk）等，用于加密各種數(shù)據(jù)，保證數(shù)據(jù)的保密性、完整性、真實(shí)性。第三層密鑰一般稱為工作密鑰（也稱數(shù)據(jù)密鑰） ，是使用最頻繁的密鑰，在本地存放時，受相應(yīng)的 mk、

12、成員主密鑰或終端主密鑰的保護(hù)。在銀聯(lián)卡網(wǎng)絡(luò)參與方之間進(jìn)行傳輸時受成員主密鑰的保護(hù)，在終端與銀聯(lián)卡網(wǎng)絡(luò)參與方主機(jī)之間傳輸時受終端主密鑰的保護(hù)。工作密鑰采用定期（原則上每天更換一次） ，或人工觸發(fā)方式，或按每隔一定交易筆數(shù)申請更換。注意保密8三層密鑰體系結(jié)構(gòu)如下圖所示：密鑰體系結(jié)構(gòu)圖密鑰體系結(jié)構(gòu)圖mk加密機(jī)主密鑰mmktmkmakpiktaktpk終端主密鑰成員主密鑰成員信息完整密鑰成員 pin 保護(hù)密鑰 終端信息完整密鑰終端 pin 保護(hù)密鑰2.4 各類密鑰的基本要求各類密鑰及其組件的基本要求如下表所示。通用三級密鑰結(jié)構(gòu)表通用三級密鑰結(jié)構(gòu)表縮寫縮寫密鑰組密鑰組件段數(shù)件段數(shù)長度長度存儲方式存儲方式

13、備份方式備份方式更新頻率更新頻率加密機(jī)主密鑰mk3 段128bit或以上hsm 內(nèi)部或外部明文組件存儲ic 卡保存或紙質(zhì)一般不更新成員主密鑰終端主密鑰mmk/tmk 2 段128bit或以上明文 hsm 存儲，外部密文存儲主機(jī)密文或外部密文存儲一定的更換周期，更新頻率低工作密鑰pik/maktpk/tak與應(yīng)用相關(guān)128bit或以上外部密文存儲外部密文存儲定期更新，更新頻率高其中，凡有條件的銀聯(lián)卡網(wǎng)絡(luò)參與方必須使用 128bit 或以上的密鑰；條件不具備的銀聯(lián)卡網(wǎng)絡(luò)參與方應(yīng)在過渡期末更新過渡到 128bit 或以上。注意保密9第三第三章章 密鑰生命周期安全管理密鑰生命周期安全管理本章詳細(xì)規(guī)定密

14、鑰的生成、注入和啟用、傳輸、保管、泄漏與重置、刪除與銷毀等生命周期各環(huán)節(jié)應(yīng)遵循的基本規(guī)定。1.密鑰的生成密鑰的生成1.1 基本要求基本要求1.1.1 生成原則各類密鑰及其組件必須遵循隨機(jī)或偽隨機(jī)生成的原則。密鑰生成工具中隨機(jī)數(shù)的產(chǎn)生必須遵循國家或國際標(biāo)準(zhǔn)中規(guī)定使用的算法。1.1.2 生成方式及使用工具 應(yīng)使用硬件加密機(jī)生成各種密鑰。各種密鑰生成工具，必須通過國家主管部門的認(rèn)證。 使用其他符合本規(guī)則規(guī)定，經(jīng)必須程序認(rèn)定安全的生成工具生成。 在無條件使用工具，只能用人工方式生成密鑰時，應(yīng)規(guī)定人工生成密鑰的具體步驟及輔助工具的使用方式。人工生成允許采用丟硬幣、摸彩球、擲骰子等方法；不允許采用隨便用想

15、象的方式或使用計(jì)算機(jī)語言中固有隨機(jī)函數(shù)產(chǎn)生。1.1.3 生成記錄各類密鑰生成過程必須履行嚴(yán)格的操作審批手續(xù)，詳細(xì)記錄，相關(guān)人員簽名確認(rèn)，文檔資料必須妥善保管（相關(guān)工作表格要素詳見附錄） ，保存期限應(yīng)不低于記錄對象的生命周期，確保各類密鑰生成的安全性與規(guī)范性。注意保密101.2 各類密鑰的生成各類密鑰的生成1.2.1 加密機(jī)主密鑰（mk）加密機(jī)主密鑰必須由三個組件組成，每個組件的長度為 128bit 或以上。1.2.1.1 使用硬件加密機(jī)生成由加密機(jī)主密鑰的三名生成人員在接受監(jiān)督的情況下，通過硬件加密機(jī)分別獨(dú)立生成三段主密鑰組件，分別記錄（或?qū)懭?ic 卡、或打印密封信封）后密封入三個信封，生成

16、、監(jiān)督人員分別加蓋名章（或騎縫簽名） ，由組件生成人員分別保存到各自的保險(xiǎn)箱內(nèi)，負(fù)責(zé)該密鑰組件的注入和保管。1.2.1.2 人工生成三個加密機(jī)主密鑰生成人員在接受監(jiān)督的情況下，按照指定的人工生成方法各自生成一段密鑰組件，分別記錄（或?qū)懭?ic 卡、或打印密封信封）后密封入三個信封，生成和監(jiān)督人員分別加蓋名章（或騎縫簽名） ，由組件生成人員分別保存到各自的保險(xiǎn)箱內(nèi)，負(fù)責(zé)該密鑰段的注入和保管。1.2.1.3 采用其他工具生成按照本規(guī)則規(guī)定，根據(jù)生成工具的具體使用方法生成。1.2.2 成員主密鑰（mmk）成員主密鑰一般由兩段密鑰組件組成，可由對應(yīng)銀聯(lián)卡網(wǎng)絡(luò)參與方各自生成其中一段密鑰組件，并以安全方式

17、傳遞合成；也可由銀聯(lián)生成全部兩段密鑰組件后生成。成員主密鑰在雙方注入并投產(chǎn)試運(yùn)行成功后，明文組件應(yīng)及時銷毀。終端主密鑰的生成比照上述要求執(zhí)行。1.2.3 工作密鑰（pik、mak、tpk、tak）注意保密11工作密鑰一律采用聯(lián)機(jī)方式由硬件加密機(jī)生成。密鑰生成后在硬件加密機(jī)中用相應(yīng)的成員主密鑰加密后送到主機(jī)，再通過相應(yīng)的聯(lián)機(jī)報(bào)文發(fā)送到有關(guān)銀聯(lián)卡網(wǎng)絡(luò)參與方及終端設(shè)備。加密后的工作密鑰，可存放在主機(jī)上供系統(tǒng)使用，存放在主機(jī)上的工作密鑰必須用加密機(jī)主密鑰或成員主密鑰加密保護(hù)；也可存放在終端上使用，存放在終端上的工作密鑰必須用終端主密鑰（tmk）加密保護(hù)。2.密鑰的傳輸密鑰的傳輸2.1 基本要求基本要求

18、密鑰明文傳輸應(yīng)采用信息拆分、分人分段負(fù)責(zé)的方法。傳輸時須分為兩個及以上組件，并使用多種渠道不在同一天運(yùn)輸。密鑰可采用以組件的硬拷貝、內(nèi)含密鑰組件的安全芯片等方式傳輸；不得以內(nèi)含完整密鑰明文的硬拷貝或內(nèi)含完整密鑰的芯片方式傳輸。各類密鑰傳輸交接過程必須履行嚴(yán)格的操作審批手續(xù)，詳細(xì)記錄，相關(guān)人員簽名確認(rèn)，文檔資料必須妥善保管（相關(guān)工作表格要素詳見附錄） ，保存期限應(yīng)不低于記錄對象的生命周期，確保各類密鑰傳輸?shù)陌踩耘c規(guī)范性。2.2 傳輸過程傳輸過程2.2.1 同城傳輸向同城銀聯(lián)卡網(wǎng)絡(luò)參與方分發(fā)密鑰時，每一段密鑰組件接收機(jī)構(gòu)必須分派專人領(lǐng)取，不得由一人領(lǐng)取多段密鑰；不同領(lǐng)取人員不得乘坐同一交通工具。

19、2.2.2 異地郵寄注意保密12應(yīng)使用機(jī)要方式或郵政系統(tǒng)的特快專遞郵寄，每一段密鑰組件必須單獨(dú)郵寄，分別在不同日期寄出。2.2.3 工作密鑰的傳輸成員機(jī)構(gòu)間的工作密鑰必須經(jīng)對應(yīng)的成員主密鑰加密傳輸與轉(zhuǎn)接，行內(nèi)聯(lián)機(jī)方式可采用或比照銀行卡聯(lián)網(wǎng)聯(lián)合技術(shù)規(guī)范中有關(guān)密鑰切換的報(bào)文進(jìn)行。2.2.4 禁止方式密鑰明文及其組件不得采用電子郵件（e-mail） 、傳真、電傳、電話、短信等方式直接傳遞。2.3 接收要求接收要求接收時接收機(jī)構(gòu)的接收、保管、監(jiān)督等相關(guān)人員在場，審核密封信封的完整性和安全性，當(dāng)場簽名蓋章，由接收人員或交給保管員存入安全容器內(nèi)保管，存入過程應(yīng)記錄相應(yīng)文檔。3.密鑰的注入和啟用密鑰的注入和

20、啟用3.1 基本要求基本要求密鑰組件必須采用雙重控制和信息拆分的原則注入。注入數(shù)據(jù)不得被無關(guān)人員以任何方式非法或無意獲得，不得被人為窺視、攝像頭監(jiān)控以及網(wǎng)絡(luò)截取等方式獲取。各類密鑰注入過程必須履行嚴(yán)格的操作審批手續(xù)，詳細(xì)記錄，相關(guān)人員簽名確認(rèn)，文檔資料必須妥善保管（相關(guān)工作表格要素詳見附錄） ，保存期限應(yīng)不注意保密13低于記錄對象的生命周期，確保各類密鑰注入的安全性與規(guī)范性。3.2 加密機(jī)主密鑰的注入與啟用加密機(jī)主密鑰的注入與啟用3.2.1 密鑰啟用前的審核審核密鑰組件信封是否有破損或被干預(yù)跡象，密封章是否完整。3.2.2 密鑰注入過程注入密鑰組件時，由注入人員分別在現(xiàn)場單獨(dú)操作，其他人員必須

21、退出到看不到密鑰存儲設(shè)備操作面板的地方。注入完畢后，操作面板上不得留下任何密鑰內(nèi)容。3.2.3 密鑰注入后的工作原已開封的密鑰保管信封需重新封裝，并加蓋密封章和密鑰監(jiān)督人員的名章，交由原來的保管員保管并做相應(yīng)文檔記錄。保管方法須遵守本章 4.要求。3.3 成員主密鑰的注入與啟用成員主密鑰的注入與啟用成員主密鑰的注入要求與加密機(jī)主密鑰的注入過程基本一致。注入完成并投產(chǎn)試運(yùn)行成功后，凡記錄在紙質(zhì)上的密鑰明文必須銷毀，銷毀方法須遵守本章 5.要求。原密鑰必須至少保留兩個副本，副本保存可采用主機(jī)密文文件或機(jī)外密文文件的方式。3.4 工作密鑰的啟用工作密鑰的啟用比照本規(guī)則 1.2.3 的相關(guān)規(guī)定進(jìn)行。注

22、意保密144.密鑰的保管密鑰的保管4.1 基本要求基本要求 每一段密鑰組件必須獨(dú)立存儲。 密鑰存儲介質(zhì)要求用信封密封，加蓋密封章（或騎縫簽名）后置入保險(xiǎn)容器妥善保管；只有指定的密鑰組件的生成人員或注入人員才有權(quán)打開容器啟用該組件。 保管地點(diǎn)應(yīng)在安全區(qū)域內(nèi)的保險(xiǎn)容器中。 保管人員調(diào)離時，應(yīng)按照規(guī)定辦理交接手續(xù)。4.2 各類密鑰組件的保管各類密鑰組件的保管4.2.1 加密機(jī)主密鑰組件存儲加密機(jī)主密鑰各段組件的密封信封應(yīng)在監(jiān)督下，加蓋名章（或騎縫簽名）后存入保險(xiǎn)容器，且只能由生成人員（或授權(quán)人員）在監(jiān)督下取用各自生成的加密機(jī)主密鑰組件。4.2.2 成員主密鑰組件各銀聯(lián)卡網(wǎng)絡(luò)參與方不保存成員主密鑰明文

23、，除主機(jī)密文或機(jī)外密文留存外，機(jī)外不允許有明文出現(xiàn)。4.2.3 工作密鑰不應(yīng)出現(xiàn)在應(yīng)用系統(tǒng)、終端、注入設(shè)備等相關(guān)設(shè)備以外的任何介質(zhì)上。4.3 保管或接收保管保管或接收保管4.3.1 由本機(jī)構(gòu)自己生成的密鑰組件的保管注意保密15密鑰組件生成后用信封密封，注明密鑰名稱、用途、長度、密封日期；生成人員、監(jiān)督人員與保管人員分別簽名確認(rèn)，加蓋密封章，當(dāng)場交保管人員置入不同的保險(xiǎn)容器保管。4.3.2 由對方分發(fā)的密鑰組件的保管接收機(jī)構(gòu)的領(lǐng)取人員、密鑰監(jiān)督人員和保管人員同時在場辦理交接手續(xù)，保管人員應(yīng)審核信封及其名章的合法性和有效性，當(dāng)場存入安全容器內(nèi)保管。4.4 與密鑰安全有關(guān)的機(jī)密設(shè)備及密碼的保管與密鑰

24、安全有關(guān)的機(jī)密設(shè)備及密碼的保管4.4.1 存放密鑰的保險(xiǎn)容器根據(jù)密鑰保管方式的不同相應(yīng)配備保險(xiǎn)容器。4.4.2 硬件加密機(jī)鑰匙硬件加密機(jī)鑰匙可由設(shè)備管理人員負(fù)責(zé)保管，但密鑰保管員不能開啟密鑰注入設(shè)備。4.4.3 與密鑰有關(guān)的密碼硬件加密機(jī)的安全密碼、操作窗口密碼（或授權(quán)操作密碼）應(yīng)分別由設(shè)備管理人員、設(shè)備操作人員掌管。上述鑰匙和密碼應(yīng)在保險(xiǎn)容器保留一份，以備急用。4.4.4 與硬件加密機(jī)相連的計(jì)算機(jī)設(shè)備（pc）用于密鑰維護(hù)的計(jì)算機(jī)設(shè)備（pc）必須專機(jī)專用，不得另做他用。注意保密165.密鑰的刪除與銷毀密鑰的刪除與銷毀5.1 基本要求基本要求 失效、作廢或泄漏的密鑰應(yīng)及時采用安全可靠的方法刪除或

25、銷毀； 各類密鑰銷毀過程必須專人監(jiān)控和記錄，相關(guān)人員簽名確認(rèn)，文檔資料必須妥善保管（相關(guān)工作表格要素詳見附錄） ； 執(zhí)行刪除操作時必須有監(jiān)督員在場，經(jīng)驗(yàn)證確認(rèn)刪除操作完整地執(zhí)行后，才可認(rèn)定密鑰已被完全刪除。5.2 處理要求處理要求5.2.1 主機(jī)系統(tǒng)中的密鑰在主機(jī)系統(tǒng)中找出存放待刪除密鑰的數(shù)據(jù)庫表或密鑰索引文件，經(jīng)授權(quán)后由指定的操作員執(zhí)行刪除操作。5.2.2 硬件加密機(jī)中的密鑰硬件加密機(jī)應(yīng)具有密鑰銷毀功能，當(dāng)加密機(jī)送檢、維修或運(yùn)輸時應(yīng)啟動毀鑰功能，保證硬件加密機(jī)中的所有密鑰被徹底刪除。當(dāng)需要刪除加密機(jī)中的某個密鑰時，應(yīng)首先確定待刪除的密鑰在硬件加密機(jī)中相應(yīng)的索引值，然后對該密鑰進(jìn)行刪除操作，對

26、無刪除密鑰功能的加密機(jī)可采用重寫的方式覆蓋需刪除的密鑰。若需刪除加密機(jī)中所有的密鑰時，可利用加密機(jī)提供的毀鑰功能來操作。5.2.3 終端設(shè)備中的密鑰設(shè)備中存放的密鑰報(bào)廢不再使用時可采用物理銷毀的方法來刪除密鑰。對仍將繼續(xù)使用的設(shè)備可采用覆蓋的方法刪除密鑰。注意保密175.2.4 存放密鑰組件的介質(zhì) 紙介質(zhì)：采用“十字”粉碎、焚毀、溶化的方式，確保不可辨認(rèn)、不能恢復(fù)； ic 卡：對可重復(fù)利用的介質(zhì)，執(zhí)行寫卡操作，覆蓋舊密鑰，確保不可恢復(fù)。對于不再利用的介質(zhì)采用芯片毀損的方式進(jìn)行物理毀卡，確保不可恢復(fù)。 密鑰傳輸及注入設(shè)備類：啟動密鑰槍或母 pos 等設(shè)備的毀鑰功能銷毀。5. 2.5 相關(guān)機(jī)構(gòu)的成

27、員主密鑰當(dāng)一方銷毀密鑰涉及另一方的成員主密鑰時，應(yīng)書面通知對方機(jī)構(gòu)刪除和銷毀成員主密鑰，對方機(jī)構(gòu)刪除和銷毀后需書面返回回執(zhí)并由相關(guān)人員簽字確認(rèn)。6.密鑰的泄漏與重置密鑰的泄漏與重置一旦發(fā)生密鑰泄漏，應(yīng)立即更換被懷疑或確認(rèn)泄漏的密鑰及所有由該密鑰保護(hù)的密鑰，并重置已更新的密鑰，密鑰更新和重置后需向主管部門報(bào)告。6.1 密鑰泄漏情況的界定密鑰泄漏情況的界定有兩段或兩段以上密鑰明文被盜或同時丟失；有兩段或兩段以上密鑰明文同時存放在同一臺可被人讀取的設(shè)備上；系統(tǒng)內(nèi)大量密鑰泄漏或被攻破；系統(tǒng)內(nèi)大量持卡人 pin 被泄漏；嚴(yán)重違反本管理規(guī)則的操作要求，導(dǎo)致有人掌握完整密鑰；注意保密18其他由密鑰安全管理組

28、織認(rèn)定的情況。6.2 審核程序?qū)徍顺绦蛎荑€泄漏和被攻破需經(jīng)成員機(jī)構(gòu)密鑰安全管理的相關(guān)部門認(rèn)定。對于無法認(rèn)定的情況，可聘請有關(guān)專家和管理人員進(jìn)行審核，對于情況比較復(fù)雜的事件需專題報(bào)告中國銀聯(lián)，必要時可報(bào)公安部門協(xié)查。6.3 密鑰泄漏密鑰泄漏后應(yīng)采取的措施后應(yīng)采取的措施6.3.1 主密鑰泄漏主密鑰泄漏后，應(yīng)重新生成新密鑰并馬上啟用，需生成的密鑰包括加密機(jī)主密鑰，成員主密鑰和終端主密鑰，以及各類工作密鑰。6.3.2 成員主密鑰泄漏成員主密鑰泄漏后，應(yīng)重新生成相應(yīng)成員主密鑰并立即啟用，并對該成員主密鑰所涉及的所有工作密鑰予以更新。6.3.3 終端主密鑰泄漏終端主密鑰泄漏后，應(yīng)重新生成相應(yīng)的終端主密鑰并

29、立即啟用，并對該終端的工作密鑰予以更新。6.3.4 工作密鑰的泄漏工作密鑰泄漏后，應(yīng)立即聯(lián)機(jī)更換。6.4 其他需要重置的情況其他需要重置的情況如發(fā)生硬件加密機(jī)無法正常工作或更換新的硬件設(shè)備等情況，可根據(jù)具體要求進(jìn)行密鑰重置。重置過程比照上述規(guī)定執(zhí)行。注意保密196.5 加強(qiáng)系統(tǒng)用戶權(quán)限和操作密碼的管理加強(qiáng)系統(tǒng)用戶權(quán)限和操作密碼的管理對受理銀聯(lián)卡的各類系統(tǒng)應(yīng)設(shè)置嚴(yán)格的用戶管理權(quán)限，按級別分別設(shè)置各自不同的操作密碼，各類密碼只有相關(guān)人員本人掌握，不得共用密碼。如密碼發(fā)生泄漏或人員離職，應(yīng)及時更換或更改。6.6 情況記錄情況記錄詳細(xì)記錄各類密鑰泄漏與處理情況，相關(guān)人員簽名確認(rèn)，文檔資料必須妥善保管（

30、相關(guān)工作表格要素詳見附錄） 。注意保密20第四章第四章 設(shè)備安全管理設(shè)備安全管理本章對銀聯(lián)卡網(wǎng)絡(luò)的終端機(jī)具、硬件加密設(shè)備的運(yùn)行安全做出基本規(guī)定。1.基本要求基本要求銀聯(lián)卡網(wǎng)絡(luò)參與方使用的硬件加密設(shè)備必須經(jīng)過國家密碼管理委員會辦公室審核通過。終端設(shè)備內(nèi)的密鑰安全模塊應(yīng)符合國家密碼主管部門的規(guī)定和相關(guān)標(biāo)準(zhǔn)并經(jīng)過國家認(rèn)可的權(quán)威機(jī)構(gòu)檢測通過；對于未通過審核和批準(zhǔn)使用的設(shè)備不得在受理銀聯(lián)卡的網(wǎng)絡(luò)系統(tǒng)中使用，已經(jīng)使用的應(yīng)予以更換。設(shè)備應(yīng)滿足中國人民銀行頒布的銀行卡聯(lián)網(wǎng)聯(lián)合技術(shù)規(guī)范 、 銀行卡聯(lián)網(wǎng)聯(lián)合安全規(guī)范以及中國銀聯(lián)頒布的有關(guān)規(guī)范中規(guī)定的基本功能和安全要求。對個人標(biāo)識代碼（pin）的加、解密以及報(bào)文鑒別

31、等操作必須在硬件加密設(shè)備中完成，完整的密鑰和個人標(biāo)識代碼（pin）的明文不得出現(xiàn)在加密機(jī)之外的任何地方。管理或維護(hù)人員應(yīng)經(jīng)常對安全設(shè)備的物理情況、監(jiān)控效果和安全狀況進(jìn)行檢查，發(fā)現(xiàn)問題應(yīng)立即糾正。2.硬件加密設(shè)備安全的管理要求硬件加密設(shè)備安全的管理要求2.1 設(shè)備操作根據(jù)不同的操作權(quán)限，設(shè)置不同的操作密碼；至少雙人控制鑰匙或密碼來執(zhí)行對設(shè)備的操作；不能從硬件加密機(jī)的外部用任何形式讀取密鑰的明文；注意保密21硬件加密設(shè)備的外殼一旦被強(qiáng)行打開，設(shè)備內(nèi)的密鑰應(yīng)全部自毀；具有打印功能的硬件加密機(jī)只能在生成新的密鑰時才可打印密鑰內(nèi)容，必須打印在密封信封內(nèi)，由專用打印接口提供，不得通過網(wǎng)絡(luò)方式提供。2.2

32、設(shè)備運(yùn)行應(yīng)采用雙機(jī)熱備，避免單機(jī)故障造成密鑰丟失，影響正常交易；應(yīng)存放在帶鎖機(jī)柜中，機(jī)柜背板應(yīng)固定，安放在嚴(yán)格進(jìn)出管理的機(jī)房內(nèi)；應(yīng)配備攝像系統(tǒng)監(jiān)控對硬件加密機(jī)的操作，但不得監(jiān)控到注入內(nèi)容；配備攝像監(jiān)控系統(tǒng)的地方，不得將監(jiān)控器對準(zhǔn)加密設(shè)備的操作面板；與外部網(wǎng)絡(luò)連接的加密設(shè)備必須設(shè)置防火墻隔離措施。2.3 設(shè)備啟用及報(bào)廢硬件加密機(jī)啟用前應(yīng)確定機(jī)殼未被拆卸過；新購買的加密機(jī)應(yīng)修改加密機(jī)相關(guān)的缺省口令，并執(zhí)行毀鑰操作；若使用 ic 卡保存加密機(jī)的密鑰，應(yīng)首先更換 ic 卡的缺省密碼。硬件加密機(jī)報(bào)廢時，存貯在該設(shè)備中的密鑰必須按要求及時刪除。3.終端設(shè)備安全管理終端設(shè)備安全管理3.1 操作與監(jiān)控終端設(shè)備

33、技術(shù)維護(hù)人員與日常業(yè)務(wù)管理人員應(yīng)分離，職責(zé)明確；每次對終端設(shè)備的操作，需嚴(yán)格按照操作手冊、操作規(guī)程進(jìn)行；指定專人管理或通過監(jiān)控系統(tǒng)實(shí)行 24 小時有效監(jiān)控。3.2 啟用及報(bào)廢3.2.1 在終端設(shè)備初始化或更新配置之前，應(yīng)確定：注意保密22機(jī)殼未被拆卸、密碼鍵盤（pin pad）粘貼封條、密碼模塊未被非授權(quán)修改或替換；終端主密鑰生成、注入過程是否符合本規(guī)則要求；主管密碼、操作員密碼是否為缺省值。對不符合安全要求的情況，應(yīng)立即采取措施，消除安全隱患。3.2.2 在終端設(shè)備報(bào)廢時，必須立即刪除或銷毀存儲在該設(shè)備中的所有密鑰。注意保密23第五第五章章 制度監(jiān)督制度監(jiān)督本章對密鑰維護(hù)人員的崗位配置、工作

34、職責(zé)、審批制度和監(jiān)督機(jī)制做出基本規(guī)定。1.組織管理組織管理銀聯(lián)卡網(wǎng)絡(luò)參與方均應(yīng)指定專門部門或人員負(fù)責(zé)密鑰安全管理工作。1.1 主要工作職責(zé)主要工作職責(zé)結(jié)合本單位實(shí)際狀況，制定嚴(yán)格而有效的實(shí)施細(xì)則，落實(shí)崗位責(zé)任制；負(fù)責(zé)密鑰生命周期，包括生成、分發(fā)與傳輸、注入與啟用、保管、刪除與銷毀、泄漏與重置等各環(huán)節(jié)全方位、全過程的規(guī)范操作與安全管理。根據(jù)密鑰特性，妥善保管密鑰組件、密碼函、ic 密碼卡、軟件、源代碼、涉及密鑰安全管理的各種文檔。制訂其他有關(guān)的安全專項(xiàng)管理制度，如出入登記制度、機(jī)房管理制度、崗位操作制度、密鑰存儲介質(zhì)管理制度等。涉及密鑰生成、傳輸、保管各個環(huán)節(jié)的設(shè)備安全管理。定期對本單位密鑰安全

35、管理狀況進(jìn)行自查，填報(bào)有關(guān)表格、報(bào)送報(bào)告。1.2 密鑰維護(hù)人員的基本配備要求密鑰維護(hù)人員的基本配備要求根據(jù)密鑰安全管理的要求，需配備專職或兼職人員負(fù)責(zé)密鑰生命周期各環(huán)注意保密24節(jié)的具體工作，所有的審批和操作必須指定專人負(fù)責(zé)，各專管人員均有自己的業(yè)務(wù)主管權(quán)限，未經(jīng)批準(zhǔn)，不得擅自互換或代替。各單位具體配備的人員為：密鑰監(jiān)督員：負(fù)責(zé)監(jiān)督整個密鑰生成過程的規(guī)范性。設(shè)備管理員：負(fù)責(zé)相關(guān)設(shè)備的安全管理工作。設(shè)備操作員：負(fù)責(zé)相關(guān)安全設(shè)備的操作工作。密鑰生成員（一般應(yīng)由硬件加密機(jī)使用單位三個不同部門的負(fù)責(zé)人擔(dān)任）：負(fù)責(zé)或授權(quán)專人負(fù)責(zé)密鑰的生成、分發(fā)、保管及銷毀等工作。檔案管理員：負(fù)責(zé)密鑰檔案資料的保管工作。

36、密鑰銷毀員：負(fù)責(zé)密鑰資料的銷毀。上述人員必須相對固定，均應(yīng)指定候補(bǔ)人員。相關(guān)工作可以兼職，但兼職必須按照本規(guī)則第二、三章的相關(guān)規(guī)定，遵循分隔操作、雙重控制的原則，不允許任何一個人具有全部加密資料和加密設(shè)備鑰匙的控制權(quán)。密鑰維護(hù)人員調(diào)離時，應(yīng)辦理交接手續(xù)，并由密鑰監(jiān)督人員審核認(rèn)可。2.審批與操作制度審批與操作制度銀聯(lián)卡網(wǎng)絡(luò)參與方應(yīng)遵循本規(guī)則規(guī)定，根據(jù)具體應(yīng)用環(huán)境，對各類密鑰生成、注入和啟用、傳輸、保管、泄漏與重置、刪除與銷毀等生命周期流程制定專門的操作規(guī)程，建立并履行嚴(yán)格的操作審批手續(xù)登記制度（相關(guān)工作表格要素詳見附錄） ，每一過程必須詳細(xì)記錄，相關(guān)人員簽名確認(rèn)，文檔資料必須妥善保管，保存期限應(yīng)

37、不低于記錄對象的生命周期，確保各類密鑰的安全性與規(guī)范性。未履行審批手續(xù)的操作一律視同違章操作，應(yīng)嚴(yán)格禁止。注意保密253.自查與監(jiān)督自查與監(jiān)督銀聯(lián)卡網(wǎng)絡(luò)參與方共同建立監(jiān)督機(jī)制，進(jìn)行自查與監(jiān)督，確保密鑰生命周期過程操作和管理的規(guī)范性，維護(hù)持卡人個人標(biāo)識代碼（pin）及相關(guān)敏感信息在銀聯(lián)卡網(wǎng)絡(luò)的安全傳輸。3.1 業(yè)務(wù)開辦前對個人標(biāo)識代碼（業(yè)務(wù)開辦前對個人標(biāo)識代碼（pin）及密鑰安全進(jìn)行資格審查）及密鑰安全進(jìn)行資格審查銀聯(lián)卡網(wǎng)絡(luò)參與方在開辦與個人標(biāo)識代碼（pin）關(guān)聯(lián)的業(yè)務(wù)品種前，需向中國銀聯(lián)說明 pin 安全管理的有關(guān)情況，在規(guī)定時間內(nèi)填報(bào)專題調(diào)查問卷；填報(bào)問卷的銀聯(lián)卡網(wǎng)絡(luò)參與方應(yīng)對問卷的真實(shí)性負(fù)

38、責(zé)（下同） 。審核結(jié)果作為業(yè)務(wù)開通的必要條件。開辦外卡收單業(yè)務(wù)的銀聯(lián)卡網(wǎng)絡(luò)參與方須按照國際組織的相關(guān)要求，在規(guī)定時間內(nèi)完成調(diào)查問卷的填報(bào)。3.2 自查自查銀聯(lián)卡網(wǎng)絡(luò)參與方應(yīng)定期或不定期對本單位密鑰安全管理狀況組織檢查。自查工作由分管負(fù)責(zé)人統(tǒng)一組織，技術(shù)、業(yè)務(wù)部門的負(fù)責(zé)人與密鑰維護(hù)人員參加。3.2.1 自查內(nèi)容結(jié)合當(dāng)前工作實(shí)際確定自查提綱和重點(diǎn)；重點(diǎn)檢查密鑰資料歸檔情況是否嚴(yán)密、規(guī)范，是否存在未經(jīng)授權(quán)操作，是否存在表格要素填寫不全或檔案缺失現(xiàn)象，密鑰組件明文備份介質(zhì)與存放情況是否符合要求。針對上次自查報(bào)告中存在的問題，重點(diǎn)檢查整改落實(shí)情況。3.2.2 自查方式注意保密263.2.2.1 調(diào)閱檔案

39、全面審核所有自上次檢查以來的申請表、登記表、審批手續(xù)等書面記錄。首次自查應(yīng)審核全部密鑰檔案資料。通過查閱申請表、登記表的處理流程，核查密鑰操作流程是否符合本規(guī)則中關(guān)于密鑰生命周期安全管理的要求。3.2.2.2 上機(jī)檢查模擬生成密鑰的全過程。3.2.2.3 工作記錄針對檢查情況設(shè)計(jì)并填寫工作表格；所有檢查過程均應(yīng)記錄在冊，相關(guān)人員現(xiàn)場簽章。3.2.3 情況處理對自查工作中發(fā)現(xiàn)的問題，按照嚴(yán)重程度提出相應(yīng)整改意見，分別處理： 對存在泄漏風(fēng)險(xiǎn)隱患、違反規(guī)則，如未執(zhí)行分人操作、保管、檔案缺失等原則性問題，應(yīng)立即責(zé)成技術(shù)、業(yè)務(wù)等相關(guān)部門立即改正，視情況采取銷毀、刪除、重置等措施； 對輕微違反，如保管不善

40、、密鑰審批表格要素填寫不全等情況同步提出書面改進(jìn)意見； 對違反其他規(guī)定，如存放加密設(shè)備的機(jī)柜未上鎖、機(jī)房出入登記制度執(zhí)行部嚴(yán)格等情況，責(zé)成有關(guān)人員糾正。3.2.4 自查報(bào)告自查結(jié)束后，應(yīng)完成工作報(bào)告，其主要內(nèi)容包括：單位的基本情況、密鑰生命周期安全管理、維護(hù)狀況、存在問題及整改意見。在規(guī)定時間內(nèi)向中國銀聯(lián)報(bào)送調(diào)查問卷，作為自查報(bào)告附件，留底備查。注意保密273.3 監(jiān)督監(jiān)督中國銀聯(lián)代表全體銀聯(lián)卡網(wǎng)絡(luò)參與方履行監(jiān)督職能，以維護(hù)共同利益。3.3.1 調(diào)查對象中國銀聯(lián)將定期或不定期組織對銀聯(lián)卡網(wǎng)絡(luò)參與方開展調(diào)查。其中，重點(diǎn)對象明確如下： 申請加入銀聯(lián)網(wǎng)絡(luò)或開辦新的與個人標(biāo)識代碼（pin）關(guān)聯(lián)的業(yè)務(wù)品

41、種的； 發(fā)生個人標(biāo)識代碼（pin）泄漏等風(fēng)險(xiǎn)事件，給其他銀聯(lián)卡網(wǎng)絡(luò)參與方帶來業(yè)務(wù)損失或潛在風(fēng)險(xiǎn)隱患的； 報(bào)送的自查報(bào)告存在較為嚴(yán)重問題的； 涉及被相關(guān)銀聯(lián)卡網(wǎng)絡(luò)參與方投訴或提起爭議裁定，與個人標(biāo)識代碼（pin）相關(guān)事件中的； 限期整改未達(dá)標(biāo)的； 國際組織通報(bào)存在風(fēng)險(xiǎn)隱患的； 其他信息安全管理不嚴(yán)的。3.3.2 監(jiān)督流程3.3.2.1 確定監(jiān)督重點(diǎn)對照本規(guī)則基本要求，確定監(jiān)督重點(diǎn)；針對自查報(bào)告中存在的問題，重點(diǎn)抽查落實(shí)整改情況。3.3.2.2 發(fā)送監(jiān)督通知在監(jiān)督日前一周以函件形式通知被查單位，并將本次監(jiān)督重點(diǎn)和要求填報(bào)的表格發(fā)送給被查單位。注意保密283.3.2.3 書面反饋監(jiān)督情況具體監(jiān)督方式

42、參照本章 3.2.2“自查方式”執(zhí)行?；颈O(jiān)督情況、存在問題、改進(jìn)意見以書面形式反饋并限期改進(jìn)。3.3.2.4 申訴與反饋被查單位可以對存在問題提起申訴。申訴應(yīng)在監(jiān)督日后 7 個工作日內(nèi)提交中國銀聯(lián)。中國銀聯(lián)將核實(shí)申訴內(nèi)容，結(jié)果于 7 個工作日內(nèi)回復(fù)。3.3.3 監(jiān)督內(nèi)容3.3.3.1 密鑰生命周期的安全管理對密鑰生成、保管、啟用、更新、銷毀操作等過程進(jìn)行監(jiān)督，杜絕違規(guī)或超權(quán)限操作，禁止發(fā)生以下情形：未使用專用加密設(shè)備，密鑰的明文出現(xiàn)在系統(tǒng)或程序中；加密機(jī)主密鑰、成員主密鑰以單個密鑰形式出現(xiàn)，或密鑰組件在權(quán)限范圍外可以被合成；密鑰未按規(guī)定動態(tài)更新，長時段呈靜態(tài)狀況，導(dǎo)致被非法窮舉攻破；廢舊密鑰

43、未及時銷毀，隨意丟棄或放置；在測試系統(tǒng)和生產(chǎn)系統(tǒng)使用同一密鑰，或在測試系統(tǒng)出現(xiàn)生產(chǎn)系統(tǒng)密鑰的明文；同一密鑰在多個地方使用；不同銀聯(lián)卡網(wǎng)絡(luò)參與方使用相同的加密機(jī)主密鑰；其他。3.3.3.2 與 pin 及密鑰相關(guān)的機(jī)具設(shè)備、系統(tǒng)運(yùn)行的維護(hù)管理狀況設(shè)備的物理環(huán)境如電源電流及電壓、溫濕度、是否變化；注意保密29照明、消防及監(jiān)控設(shè)施是否完好，攝像頭是否清晰有效，攝像頭不能對準(zhǔn)鍵盤或屏幕；設(shè)備的外殼是否完好，是否有被拆卸、破壞的跡象；設(shè)備有無多余的連接線或外接電纜；終端設(shè)備（如 atm）周圍是否張貼有關(guān)操作提示；其他各項(xiàng)安全監(jiān)督指標(biāo)是否符合要求。3.3.3.3 對終端定期進(jìn)行安全監(jiān)督終端硬件（包括 pi

44、n pad）是否完好密碼鍵盤（pin pad）封條是否損壞終端軟件是否更新過終端操作是否正常3.3.4 情況處理對密鑰安全管理監(jiān)督工作中發(fā)現(xiàn)的問題或自查中的遺留問題，按照性質(zhì)的嚴(yán)重程度和是否能現(xiàn)場定性進(jìn)行分別處理。3.3.4.1 現(xiàn)場糾正對違反本規(guī)則并能夠現(xiàn)場定性的問題，應(yīng)向被監(jiān)督單位有關(guān)負(fù)責(zé)人及其技術(shù)、業(yè)務(wù)等相關(guān)部門提出改正意見，視情況口頭提出如銷毀、刪除、重置等針對性措施建議。3.3.4.2 事后處理對現(xiàn)場不易總結(jié)或問題性質(zhì)嚴(yán)重甚至有可能發(fā)生案件的情況，事后立即向被監(jiān)督單位有關(guān)部門負(fù)責(zé)人提出針對性意見。3.3.4.3 違規(guī)處罰被監(jiān)督單位違反本規(guī)則操作，并給銀聯(lián)卡網(wǎng)絡(luò)參與方帶來損失的，報(bào)經(jīng)風(fēng)

45、注意保密30險(xiǎn)管理委員會同意，視嚴(yán)重程度向其分別給予承擔(dān)相應(yīng)損失責(zé)任并限期整改、增加監(jiān)督力度、限制業(yè)務(wù)運(yùn)營種類、罰款以至網(wǎng)絡(luò)退出等處罰。注意保密31附錄附錄 a：術(shù)：術(shù) 語語atm 自動柜員機(jī)（自動柜員機(jī)（automatic teller machine）一個有電子功能,接受密碼，提供取現(xiàn)和支票的終端自行處理的機(jī)器。密鑰校驗(yàn)值（密鑰校驗(yàn)值（check value）用于校驗(yàn)密鑰輸入時的正確性。分為密鑰組件的校驗(yàn)值和密鑰合成后的總校驗(yàn)值。密文（密文（cipher text）數(shù)據(jù)的加密形式，即已加了密的明文。分裂學(xué)（分裂學(xué)（cleavage）將密鑰信息分裂為兩個及兩個以上的組件，單個人員憑掌握的單個

46、組件無法獲得足夠的信息來了解實(shí)際密鑰的方法。數(shù)據(jù)加密算法（數(shù)據(jù)加密算法（data encryption algorithm，dea）一個發(fā)布的加密算法，把基于可變密鑰的數(shù)據(jù)譯成密碼，用來保護(hù)重要信息。解密（解密（decrypt）將密文轉(zhuǎn)換成明文的過程。雙重控制（雙重控制（dual control）單個人員不能控制保護(hù)項(xiàng)的過程。加密（加密（encrypt）通過一種加密算法（可逆的）將數(shù)據(jù)轉(zhuǎn)換成密文。注意保密32硬件加密機(jī)（硬件加密機(jī)（hsm）由國家指定生產(chǎn)廠商研制開發(fā)的，專門應(yīng)用于內(nèi)部網(wǎng)絡(luò)系統(tǒng)中，以規(guī)定的協(xié)議通訊，直接與主機(jī)相連接，實(shí)現(xiàn)對網(wǎng)絡(luò)上傳輸?shù)男畔⑦M(jìn)行保護(hù)或鑒別，以保證信息的正確性，防止內(nèi)

47、部重要的數(shù)據(jù)被非法篡改或竊取的設(shè)備。密鑰（密鑰（key）一種與密碼算法聯(lián)系起來使用的參數(shù)。密鑰分量（密鑰分量（key component）見密鑰組件。密鑰交換密鑰（密鑰交換密鑰（key encryption key, kek）包含兩類，成員主密鑰（mmk）和終端主密鑰（tmk） ，密鑰交換密鑰是在傳輸過程中對工作密鑰進(jìn)行加密的密鑰。密鑰生命周期（密鑰生存期）密鑰生命周期（密鑰生存期） （key lifecycle）密鑰從生成開始到被銷毀為止，密鑰存在的過程，包括生成、存儲、分發(fā)、注入、使用、刪除、銷毀和存檔等。密鑰管理（密鑰管理（key management）在整個密鑰生命周期內(nèi)的對密鑰及相關(guān)

48、參數(shù)（初始向量、計(jì)數(shù)值）的操作，包括生成、存儲、分發(fā)、注入、使用、刪除、銷毀和存檔等。加密機(jī)主密鑰（加密機(jī)主密鑰（mk）在密鑰加密密鑰和處理密鑰中，最高級別的密鑰加密密鑰稱為加密機(jī)主密鑰，用于加密下一層（mmk）密鑰的密鑰，受硬件加密機(jī)保護(hù)。成員主密鑰（成員主密鑰（mmk）在密鑰加密密鑰和處理密鑰中，處于第二層的密鑰加密密鑰稱為成員主密鑰，用于加密下一層（wk）密鑰的密鑰，受 mk 加密保護(hù)。注意保密33消息鑒定碼（消息鑒定碼（message authentication code, mac）mac 是用來完成消息來源正確性鑒別，防止數(shù)據(jù)被篡改或非法用戶竊入的數(shù)據(jù)。mac 密鑰（密鑰（mak）

49、用于生成交易報(bào)文合法性的認(rèn)證數(shù)據(jù)(mac)的密鑰稱為 mac 密鑰(mak)。個人標(biāo)識代碼（個人標(biāo)識代碼（personal identification number, pin）個人識別碼是在聯(lián)機(jī)交易中識別持卡人身份合法性的數(shù)據(jù)信息，在計(jì)算機(jī)和網(wǎng)絡(luò)系統(tǒng)中任何環(huán)節(jié)都不允許 pin 以明文的方式出現(xiàn)。pin 加密密鑰（加密密鑰（pik）用于加密 pin 的密鑰稱為 pin 加密密鑰。pos 銷售點(diǎn)終端（銷售點(diǎn)終端（point of sale）能夠接受磁條卡信息，有通訊功能，接受指令而完成金融交易信息和有關(guān)信息交換的設(shè)備。偽隨機(jī)（偽隨機(jī)（pseudo-random）指由算法產(chǎn)生，生成結(jié)果是一系列可以

50、轉(zhuǎn)換成二進(jìn)制的數(shù)字。隨機(jī)（隨機(jī)（random）指無法預(yù)知和重復(fù)。對稱密鑰（對稱密鑰（symmetric key）用于對稱加密算法中，加密和解密過程中使用相同的對稱密鑰。目前通用的對稱密鑰算法為 des 算法。終端（終端（terminal）指用于讀取銀行卡信息，發(fā)送交易指令的設(shè)備。包括銀行磁條卡銷售點(diǎn)終注意保密34端（pos） 、商戶收銀系統(tǒng)（mis） 、自動柜員機(jī)（atm）等。終端終端 mac key（tak）用于終端上對報(bào)文進(jìn)行 mac 生成和檢驗(yàn)。終端管理密鑰（終端管理密鑰（tgk）用于傳輸和保存終端主密鑰的密鑰。終端主密鑰（終端主密鑰（tmk）用于加密終端工作密鑰（tpk、tak） 。終

51、端終端 pin key（tpk）用于加密客戶輸入的 pin。終端工作密鑰（終端工作密鑰（twk）是指在終端上對 pin 進(jìn)行加密保護(hù)的 pin 加密密鑰（tpk）和用于終端報(bào)文合法性認(rèn)證的密鑰(tak)。工作密鑰（工作密鑰（working key, wk）工作密鑰是對 pin 加密、參與認(rèn)證碼（mac）計(jì)算的密鑰。工作密鑰必須經(jīng)常更新。在聯(lián)機(jī)更新的報(bào)文中對工作密鑰必須用相應(yīng)的密鑰加密，形成密文后進(jìn)行傳輸。密鑰組件（密鑰組件（key component）建立和維持密鑰加密聯(lián)系的數(shù)據(jù)（如密鑰、初始向量） 。注意保密35附錄附錄 b：遵循標(biāo)準(zhǔn)：遵循標(biāo)準(zhǔn)1.國內(nèi)標(biāo)準(zhǔn)國內(nèi)標(biāo)準(zhǔn)bg 4943-1995 信

52、息技術(shù)設(shè)備（包括電氣事務(wù)設(shè)備）的安全（iec 950）bg 9361-88 計(jì)算機(jī)場地安全要求gb/t 15277-1994 信息處理 64 位塊加密算法操作方式（iso 8372:1987）gb 15852-1995 信息技術(shù)-安全技術(shù)-用塊加密算法作校驗(yàn)函數(shù)的數(shù)據(jù)完整性機(jī)制（iso/iec 9797:1994）gb 15853.1-1995 信息技術(shù)-安全技術(shù)-實(shí)體鑒別機(jī)制第 1 部分： 一般模型（iso/ice 9798-1:1991）gb 15853.2- 信息技術(shù)-安全技術(shù)-實(shí)體鑒別機(jī)制第 2 部分： 使用對稱加密算法的實(shí)體鑒別（iso/iec 9798-2:1994）gb/t18789-2002自動柜員機(jī)（atm）通用規(guī)則jr/t 0001-2001銀行磁條卡銷售點(diǎn)終端規(guī)則2.國際標(biāo)準(zhǔn)國際標(biāo)準(zhǔn)ansi x3.92 數(shù)據(jù)加密算法 （