《银行卡联网联合安全规范》由会员分享,可在线阅读,更多相关《银行卡联网联合安全规范(22页珍藏版)》请在金锄头文库上搜索。
1、银行卡联网联合安全规范1范围 本标准规定了加入全国银行卡网络的相关入网设备、设施的安全技术要求,也规定了对持卡人、商户、卡片和终端机具供应商以及参加银行卡联合组织工作人员的安全管理要求。本标准适用于银行卡联网成员。本标准提出的技术要求是加入联网联合网络的基本安全要求。2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。GJB2256军用计算机安全术语GBT2887电子计算机场地通
2、用规范GBT9361计算机场地安全要求GBT93872信息处理系统开放系统互连基本参考模型第2部分:安全体系结构GBT13543数字通讯设备环境实验要求GB17859计算机信息系统安全保护等级划分准则GBT183363信息技术安全技术信息技术安全性评估准则第3部分:安全保证要求ANSIX98银行业个人标识码的管理和安全银行卡联网联合业务规范银行卡联网联合技术规范银行计算机信息系统安全技术规范3术语、定义和缩略语31术语和定义下列术语和定义适用于本标准。311银行卡联合组织association of interoperable bank card service,AIBCS简称联合组织,在中国
3、境内办理银行卡业务的商业银行、邮政储汇局和农村信用社等共同发起组建具有行业自律性质的全国银行卡联合经营组织。312银行卡联网联合interoperable service of bank card简称联网联合,经中国人民银行批准、在中国境内经营银行卡业务的商业银行和邮政储汇局、农村信用社等机构,利用自身的计算机网络系统、终端机具(主要是ATM和POS)、特约商户以及技术服务手段等资源,以相应方式与银行卡信息交换中心相连,实现信息、机具和商户共享以及银行卡的跨行通用。313银行卡信息交换中心bank card information switching center简称信息交换中心,具有对银行卡
4、跨行交易信息进行转接和提供跨行交易清算数据等功能的银行卡跨行联网服务机构,包括总中心和城市(区域)中心。314联网成员member of AIBCE已成为联合组织成员的银行卡金融机构和经联合组织特别认可的其他机构,经一定的入网程序批准正式入网运行,开展银行卡联网联合业务的各方成员,包括办理银行卡业务的银行卡金融机构、银行卡信息交换中心和其他专业性服务机构等。银行卡联网联合业务规范315入网银行bank of AIBCS加入全国银行卡网络进行跨行交易的商业银行及邮政储汇局、农村信用联社等金融组织。316全国银行卡网络national bank card network全国银行卡网络由跨行网络和行
5、内网络组成。跨行网络由总中心连接各入网银行银行卡业务处理中心(简称行内中心)和各城市(区域)中心,以及各城市(区域)中心连接各入网银行分支机构组成。行内网络由各入网银行行内中心连接其分支机构组成。317行内中心information switching center of a bank入网银行负责处理本行卡业务和非本行卡交易信息的中心。318区域中心territorial bank card information switching center负责本区域内跨行交易信息交换和经过本中心的异地跨行交易信息交换的银行卡信息交换中心。银行卡联网联合业务规范319银行卡前置设备prepositive
6、 facility of bank card network位于各内部网络与银行卡信息交换中心连接的接口处,实现信息识别、格式转换的一种网络接口设备。3110止付名单系统system of stop payment name list应止付的银行卡信息系统。3111不良持卡人系统system of badness cardholder信用度低于联网联合基本要求的银行卡持卡人信息系统。3112不良商户系统system of badness businessman信用度低于联网联合基本要求的银行卡商户信息系统。3113银行卡bank card由商业银行(含邮政储蓄机构)向社会发行的具有消费信用、转
7、账结算、存取现金等全部或部分功能的卡基信用支付工具。本标准中所述银行卡仅指磁条卡。3114个人识别码personal identification number,PIN在联机交易中识别持卡人身份合法性的数据信息。3115报文鉴别码message authentication code,MAC报文发送与接收双方用于确认报文来源和部分或全部报文内容的一种编码,该编码是双方商定算法计算的结果。3116知识分割knowledge split一种把消息分割成许多碎片的方法。分割后每一片所代表的信息足够小,但把这些碎片重新组合在一起就能重现消息。3117鉴别authentication指用户、设备和其他实
8、体的身份以及数据完整性的验证。GJB 225619943118数据完整性data integrity表明数据没有遭受以非授权方式所作的篡改或破坏的性质。GBT 938721995,定义33213119访问控制access control防止对资源的未授权使用,包括防止以未授权方式使用某一资源。GBT938721995,定义33132缩略语下列缩略语适用于本标准。ATM Automatic Teller Machine自动柜员机BIN Bank Idenndcation Number银行标识码CBC Cipher Block Chaining 密文分组链接CFB Cipher Feedback
9、密文反馈CVV Card Verification Value 卡校验值DAC nscretionary Access Control 自主访问控制DES Data Encryption Standard数据加密标准DSA Digital Signature Algorithm 数字签名算法ECB Electronic Codebook 电子密码本ICIntegrated Circuit集成电路MAB Message Authentication Code Block MAC块MAC Message Authentication Code 报文鉴别码MAK MAC Key MAC加密密钥MKM
10、aster Key主密钥MMK Member Master Key 成员主密钥MTBFMean Time Between Failures平均无故障时间OSI Open System Interconnect开放系统互连OFB Output Feedback 输出反馈PIK PIN Key PIN加密密钥PIN Penal Identification Number 个人标识码POS Point Of Sale 销售点终端TCB Trusted Computing Base可信计算基4银行卡联网联合安全保护对象本标准重点是保护各入网银行系统。网络、行内信息在联网联合后的安全,防止对入网银行行内
11、系统、网络的恶意攻击;保护跨行交换信息的安全,确保信息来源的可靠性,防止对跨行交换信息的非法窃取、篡改和破坏。41联网联合网络411网络结构全国银行卡联网联合的网络结构有三种模式:(1)总中心模式入网银行通过行内中心与全国银行卡信息交换总中心联网,实现银行卡业务的联网联合;(2)区域中心模式入网银行分支机构或行内中心通过与银行卡信息交换区域中心联网,实现银行卡业务的联网联合。在区域中心模式中,根据POS终端是否直接与区域中心系统连接又分为POS间联和POS直联。POS终端通过收单行系统再连接到区域中心系统的为POS间联,POS终端直接与区域中心系统相连的为POS直联。(3)无中心联合模式入网银
12、行分支机构没有共建当地跨行信息交换系统,而是通过多路由POS(包括前置设备方式)共享,实现当地银行卡业务的联网联合。412网络安全保护银行卡的联网联合既要保护联网联合网络自身的安全性、稳定性和可靠性,又要防止对入网银行内部网络系统的攻击和破坏。4121使用专用网络实现入网银行与银行卡信息交换中心的联网,与公用数据网络隔离。4122使用银行卡前置设备实现跨行联网系统与入网银行业务主机系统的隔离,避免外部系统直接对入网银行业务主机的访问和操作。4123网络应采用加密措施,保证数据的安全。4124网络应具有访问控制功能,避免非法的访问。4125网络应有监控机制及扫描工具,及时发现并尽量避免非法的攻击
13、(如黑客攻击)。42联网联合信息本标准主要考虑银行卡联网联合信息交换中信息的安全,以及在银行卡联网联合后各入网银行内部信息的安全。421信息的分类4211跨行交换的信息跨行交易信息、清算信息、管理信息。4212入网银行间共享信息止付名单信息、不良持卡人信息、不良商户信息。422信息的保护4221跨行交换的信息为保护跨行交换信息的安全,应采用PIN加密和MAC校验技术,跨行交换信息应采用硬件加密机用于PIN的验证和MAC校验,入网银行内部系统处理跨行交换信息应符合国家的有关安全规定。4222入网银行间共享信息由银行卡联网联合组织联合各入网银行共同建设,各入网银行提供信息,由银行卡信息交换总中心进行汇总、管理,由各入网银行使用。银行间共享信息的使用应符合国家法律和有关信息安全的规定,其保护主要通过访问控制和身份认证机制实现,应防止非法用户对银行间共享信息的访问和破坏。5联网联合安全技术应用联网联合系统内应用的主要安全技术包括:由硬件密码机与终端机具内部密码模块实现对PIN的加解密技
