GM_T 0074-2019网上银行密码应用技术要求.pdf

ICS_35.040L 80GM中华人民共和国密码行业标准GM/T 0074—2019网上银行密码应用技术要求Technical requirements on cryptographic application for internet banking2019-07-12发布2019-07-12实施国家密码管理局发布 GM/T 0074—2019目次前言引言2规范性引用文件3术语和定义缩略语5概述网上银行业务密码应用需求6.1查询业务6.2资金变动业务6.3签约业务6.4其他业务网上银行密码应用技术要求7.1密码功能要求7.1.1身份鉴别7.1.2数据机密性要求7.1.3数据完整性要求7.1.4抗抵赖性要求7.1.5核验审计要求7.2密钥管理要求7,2.1概述7,2,2密钥生成7.2.3密铜存储7.2.4密钥使用7,2,5密钥备份和恢复7.2.6密钥撒销与存档7.3证书管理要求7.3.1概速7.3.2证书生命周期管理7.4通道安全要求7.5密码设备要求7.5.1密码功能要求7,5,2接口要求7.5.3安全要求7.6数字签名要求附录A（资料性附录）等级保护第三级网上银行系统建设示例 GM/T 0074—2019密码杂淡运算，单包或多包密码杂淡生成；消息鉴别码运算：单包或多包消息鉴别码生成、验证；证书运算：提供证书验证、证书解析等功能；h)密钥与证书管理：各种密钥的导入、导出、备份、恢复；公钥证书的导人、导出、备份、恢复；正确性自检：密码模块或功能正确性自动检测。7.5.22接口要求智能密码钥题设备的接口应满足GM/T0016，服务类密码设备的接口应满足GM/T0018，其他密码设备服务接口应支持GM/T0019，在使用其他规范时（如CSP、PKCS#11等)，底层算法、功能等方面的实现应遵循相关标准要求，7.5.3安全要求通用要求网上银行系绕使用的密码设备，应使用获得国家密码主管部门认定型号的商用密码产品，并在使用过程中，保证私钥和对称密钥不以明文形态出现在密码设备外，服务端密码设备安全要求网上银行系统使用的服务端密码设备，除了满足密码设备通用安全要求外，还应满足JR/T0068中服务器端安全功能要求。其中签名验签服务器应满足GM/T0029，服务器密码机应满足GM/T0030，金融数据密码机应满足GM/T0045。客户端密码设备安全要求.1整体要求客户端安全应遵错JR/T0068要求。.2智能密码钥匙网上银行系统使用的智能密码钥感密码设备，除了满足密码设备通用安全要求外，还应符合GM/T0027JR/T0068中关于智能密码钥的相关要求，其接口应满足GM/T0016，处理的数据格式应满足GM/T0017智能密码钥匙工作时应当与客户端或后台建立安全通道，防止业务数据被监听或第改，.3动态口令终端网上银行系统使用的动态口令终端密码设备，应满足GM/T0021、JR/T0068中关于OTP令牌、动态密码卡以及手机短信动态密码等相关要求，.4新型/专用客户端对于新出现或专用的客户端密码设备，可参照本标准的要求，保证客户端密码设备自身安全机制的可靠性以及其所保护信息的安全性。对于将上述两种或多种客户密码设备功能集成在一起的多功能客户端密码设备，如带动态口令功能的智能密码钥感，或者带智能密码钥感功能的互联网支付终端等，其每项功能应当符合相应功能类型单个密码终端产品的安全要求。 GM/T 007420197.6数字签名要求数字签名格式应符合GB/T35276的要求，数字签名封装格式应符合GB/T35275的要求，用于制作数字签名的智能密码钥匙或其他安全设备应符合GM/T0016的要求，用于制作服务端数字签名的设备应符合GM/T0018或GM/T0029的要求对交易时间或时效性有要求的业务，应使用时间数保证交易时间的准确性，其接口应符合GM/T 00338 GM/T 0074—2019附录A（资料性附录）等级保护第三级网上银行系统建设示例GM/T0054对信息系统建设中的密码应用相关内容提出了要求，网上银行系统建设涉及的安全功能以及密码产品的安全等级选择，应满足GM/T0054的要求，本标准结合GM/T0054的规定，以等级保护第三级网上银行系统，明确物理环境、网络、业务、管理等密码方面的安全要求。详细内容见表A.1,表 A.1等级保护第三级网上银行系统密码应用技术要求指标要求身份整别对手机房、研发等重点场所使用门禁卡等身份识别设备进行出人人员身份管理物理和电子门禁记录数据完整性对电子门禁的进出记录进行数字签名或计算MAC，防止修改环境安全视频记录数据完整性对监控记录进行数字签名或计算MAC，防止参改密码模块实现宜优先选用符合GM/T0028三级密码模快标准的门禁系统及视赖监控系统进行物理环境安全建设身份基别客户接人网银系统服务时，