银行核心信息系统密码应用技术要求

银行业金融机构应依据信息安全等级保护有关技术标准与国家、行业主管部门要求，对核心系统开展包括系统定级在内的信息安全等级保护工作。目前银行业核心系统安全级别为三级、四级，暂不存在安全级别为一级、二级和五级系统。结合银行业金融机构核心系统的特点及该类信息系统等级保护安全建设工作中密码技术的应用需要，从密码安全技术要求、密钥安全与管理要求、安全管理要求三方面，对不同安全保护等级的核心系统中密码技术应用提出具体的要求。适用于指导、规范和评估银行、金融机构的核心信息系统。

银行核心信息系统密码应用技术要求

“密码硬件安全”“物理环境安全”和“电子门禁系统”是银行核心系统“物理和环境安全”的组成部分。在银行核心信息系统密码技术安全保护三级要求中，对“物理和环境安全-密码硬件安全”指标做如下要求：

ａ） 系统的专用硬件或固件以及密码设备应具有有效的物理安全保护措施； 

注：“有效措施”是指能满足“保证项”要求的手段或能实现系统设定的安全目标的方法，以下注释同。

ｂ） 系统的专用硬件或固件以及密码设备应满足运行环境可靠性要求。

“审计记录”“身份鉴别”“访问控制”和“密码模块”是银行核心系统“设备和计算安全”的组成部分。在银行核心信息系统密码技术安全保护三级要求中，对“设备和计算安全-访问控制”指标做如下要求：

ａ）在访问控制机制方面，为防止系统资源访问控制信息被篡改，应使用密码技术的完整性服务实现系统资源访问控制信息及敏感标记的完整性保护，其密码功能应确保正确、有效；

ｂ）应根据管理用户的角色分配权限，实现管理用户的权限分离，仅授予管理用户所需的最小权限；

ｃ）应采用可信计算技术建立从系统到应用的信任链，实现系统运行过程中重要程序或文件完整性保护。