标准规范下载简介
GB/T 21079.2-2022 金融服务 安全加密设备(零售)第2部分:金融交易中设备安全符合性检测清单.pdfICS35.240.40 CCS A 11
金融服务安全加密设备(零售
预制阳台、雨罩、通道板安装工艺安全技术交底.doc国家市场监督管理总局 发布 国家标准化管理委员会
GB/T 21079.2—2022
规范性引用文件 .*... 术语和定义 安全符合性检测清单的使用 附录A(规范性)SCD基本的物理、逻辑和设备管理特性.….…. 附录B(规范性)具有PIN输人功能的设备 附录C(规范性)具有PIN管理功能的设备 "16 附录D(规范性)具有报文鉴别功能的设备…… ·18 附录E(规范性)具有密钥生成功能的设备…… 附录F(规范性)具有密钥传输和加载功能的设备………… 22 附录G(规范性)具有数字签名功能的设备… 26
GB/T 21079.22022
GB/T 21079.2—2022
金融服务安全加密设备(零售) 第2部分:金融交易中设备安全 符合性检测清单
本文件规定了评估金融服务环境中安全加密设备(SCD)的安全符合性检测清单。集成电路(IC)支 付卡在发卡前属于本文件范围,发卡后将被视作一种个人设备且不属于本文件范围。 本文件适用于零售金融业务中应用的SCD设备的安全符合性检测。 本文件不适用于由SCD拒绝服务所引起的问题。
GB/T 21079.2—2022
全符合性检测清单的使用
本文件中所列出的检测清单用于对系统安全性所依赖的加密设备进行可靠性评估。根据所选择的 评估方式,任何发起者、审批机构和认可机构均有责任采用部分或全部检测清单,用于: a)认可系统供应商和参与方所选择的评估机构; b)成立一个审计机构来审计已完成的审计清单。 附录A~附录H给出了用于评估加密设备可靠性的最少评估清单,可以进行附加测试,以反映设
备评估时的技术水平。 正如GB/T21079.1一2022所述,评估既可以是“非正式的”,也可以是“准正式的”或“经授权的准 正式的”。除非发起者决定进行一次“正式”的评估,否则这些评估结论不可直接使用,只能作为准备“正 式声明”的参考。 注:这些正式声明不在本文件的范围之内。 一个加密设备通过其内在特性和设备安装环境特性来实现安全性。在完成这些审计检测清单 时,需考虑设备的安装环境。例如,同一种设备,在公共环境下使用,比在受控环境下使用要求有更高的 内在安全性。本部分在附录H中给出了一个关于环境分类的建议,这样评估机构在评估时不需要调查 评估设备可能放置的特定环境。可以将设备部署在一个指定的设施中,只要这个设施本身经过评估证 明可以提供确定的环境,评估机构就可以对待评估设备在指定环境下的操作进行评估。这些评估清单 的也可以用于附录H规定以外的环境类别。 4.2、4.3、4.4及4.5描述了GB/T21079.1—2022规定的四种评估方法。
在准正式评估中,生产厂商或发起者应向评估机构提供一台设备,用于根据合适的检测清单进行 检测
4.4经授权的准正式评估
在经授权的准正式评估中,生产厂商或发起者应向评估机构提供一台设备,用于根据审批机构指定 的检测清单进行检测
在正式评估中,生产厂商或发起者应向有资质的评估机构提供一台设备,以针对正式声明的内容选 择对应的检测清单并进行评估,其中,所选择的检测清单将被用作正式声明的输人材料
附录A (规范性) SCD基本的物理、逻辑和设备管理特性
本附录的内容可用于任何安全设备的评估,在该设备的专有安全符合性检测清单评估前完成。 下列安全符合性检测清单都要求审计师用“符合(T)”“不符合(F)”和“不适用(N/A)”做出详细说 明。“不符合”标记不表明该项在实际中不可接受,需给出书面解释。对于被标注为“不适用”的清单,也 给出书面解释。
评估机构在进行安全评估时,应清楚地了解对设备进行物理和逻辑攻击的技术方法,攻击手段包括 电不限于: 化学攻击(各种溶剂); 一扫描攻击(电子显微镜扫描); 机械攻击(钻孔、切割、探针探查等); 温度攻击(高低温极限测试); 射线攻击(X射线); 通过隐蔽(侧)信道造成信息泄露(如通过电量消耗、计时等方式); 故障攻击。 一般安全性见表A.1。按照表A.1所示内容,给出相应结论,包括符合、不符合或不适用。
表A.1一般安全性(续)
A.2.1.3防攻击性
A.2.1.4抗攻击性
A.2.1.5反攻击性
逻辑安全性见表A.5。评估机构按照表A.5的内容给出相应结论,包括符合、不符合或不适用。
DB3201/T 1006-2020 中小学幼儿园教室照明验收管理规范.pdfGB/T 21079.22022
表A.5逻辑安全性(续)
A.3.2设备生产中的安全防护
设备生产中的安全防护见表A.7。设备制造商或独立审计师需要向审计机构提供如表A.7所示的 可信材料
表A.7设备生产中的安全防护
出厂后和使用前的设备安全防护见表A.8。设备制造商,负责运送、维修和存储设备的人员(在下 载或重载初始金融密钥之前)以及独立审计师等均应向审计机构提供如表A.8所示的可信材料,
某工程钻孔灌注桩施工组织设计表A.11 设备安装后的安全防护
退出服务后的设备安全防护见表A.12。负责从系统中移除设备的人员或独立审计师应向审计机 构提供如表A.12所示的可信材料。
表A.12退出服务后的设备安全防护