银行卡信息系统密码应用技术要求

银行业金融机构应依据信息安全等级保护有关技术标准与国家、行业主管部门要求，对银行卡信息系统开展包括系统定级在内的信息安全等级保护工作。根据现有技术的发展水平，提出和规定了不同安全保护等级的银行卡系统保护要求，包括安全技术要求和安全管理要求，本文件适用于指导不同安全保护等级的银行业金融机构银行卡系统中密码技术的安全建设、安全使用与监督管理。

结合银行业金融机构银行卡系统的特点及该类信息系统等级保护安全建设工作中密码技术的应用需要，从密码安全技术要求、密钥安全与管理要求、安全管理要求三方面，对不同安全保护等级的银行卡系统中密码技术的应用提出具体的要求。本文件适用于指导、规范和评估银行卡信息系统中的的商用密码应用。

银行卡信息系统密码应用技术要求

“通信安全”“身份鉴别”“安全访问路径”和“审计记录”是银行卡信息系统“网络和通信安全”的组成部分。在银行卡信息系统密码技术安全保护三级要求中，对“网络和通信安全-通信安全”指标做如下要求：

ａ）为防止访问通讯数据被篡改、截获、假冒和重用，应使用密码技术的完整性服务、机密性服务和真实性服务对网络边界、系统资源访问控制信息进行保护，其密码功能应确保正确、有效；

ｂ）在进行数据传输时，应使用数字证书、加密解密等密码技术，建立安全的传输层会话通道。传输数据的主体应对客体的身份信息进行鉴别，保障数据的机密性；

ｃ）应使用密码技术的真实性服务来实现通信双方会话初始化验证，其密码功能应确保正确、有效；

ｄ）宜使用密码技术的抗抵赖服务来提供数据原发证据和数据接收证据，实现数据原发行为的抗抵赖和数据接收行为的抗抵赖，其密码功能应确保正确、有效。