数据密钥由密码机自动随机生成。
　　5．2．2 密钥分发和接收
　　主密钥不分发。
　　成员主密钥应采用脱机方式分发。成员主密钥生成后，构成密钥的两部分密钥组件应在双人控制之下放在不同的密封信封内，分别递交给通信另一方指定的两名负责密钥的人员。接收方收到密钥组件后，应立即检验包装完整性，生成密钥后应立即测试其有效性，并妥善保存密钥组件。
　　初始数据密钥以明文形式人工下发或可用成员主密钥加密后以密文形式下发，初始数据密钥生效之后，立即做一次联机重置，以后日常数据密钥用成员主密钥加密后以密文形式联机分发。
　　5．2．3 密钥存储
　　主密钥必须存储在密码机中。
　　成员主密钥可存储在密码机中或以主密钥加密存储在主机中。
　　数据密钥以成员主密钥加密存储在主机中。
　　5．2．4　密钥使用
　　主密钥用于加密成员主密钥。
　　成员主密钥用于加密数据密钥。
　　数据密钥用于加密PIN及产生MAC。
　　5．2．5　密钥更新
　　除密钥泄露或可能泄露外，主密钥和成员主密钥一般不更新。
　　若出现主密钥和成员主密钥泄露，应采用与初次生成相同的控制方式产生新的主密钥和成员主密钥。
　　数据密钥必须经常更换，在正常情况下，每日更换一次。必要时可采用人工触发方式更换密钥或在任意时刻响应联网成员的申请重置密钥。
　　数据密钥的联机更新应由负责管理密钥的人员操作，对密钥每次的接收时间、接收情况以及接收者姓名等资料应留有记录，并存档保管。
　　5．2．6　密钥资料销毁
　　在主密钥生成后，或在出现系统更新、密钥组件存储方式改变等情况时，不再使用的密钥组件或相关信息的资料（如以纸质或IC卡等方式存储的介质）应及时销毁。
　　密钥资料应该在双人控制下由保管员负责销毁，销毁的密钥资料应保证无法被恢复，且密钥组件不被泄露。
　　密钥资料销毁的情况应记录在案，包括销毁的时间、负责人员、监销人等信息。销毁记录由销毁人和监销人签字后与相关资料一同保存。
　　5．3　银行卡前置设备
　　银行卡前置设备一般位于各入网银行内部网络的对外接口处，承担一定程度的网络隔离作用。银行卡前置设备应具备的安全功能包括数据包的过滤、网络访问控制、生成审计日志等。
　　5．3．1　信息流控制
　　银行卡前置设备应能够设置和执行信息流过滤策略，仅接受来自合法地址和端口的访问。
　　银行卡前置设备应仅允许访问内部相关主机的相关端口。
　　5．3．2　访问控制
　　银行卡前置设备应能够对不同用户设置和执行不同的访问控制策略。
　　系统以网段、安全区等形式划分成不同的安全区域，分别执行不同的安全策略。
　　应以建立分级授权体系、多层控制体系、分权控制等方式实施访问控制。
　　5．3．3　安全审计
　　银行卡前置设备应对出入网络接口的数据产生审计日志。
　　银行卡前置设备应对不成功的鉴别尝试产生审计日志。
　　审计日志应仅接受授权用户的访问。
　　审计日志应受到保护以防止非授权的删改。
　　审计日志至少应保存一周以上。
　　5．4　终端机具
　　银行卡联网联合系统内的终端机具主要包括POS和ATM。
　　5．4．1　终端机具内密码模块的管理和控制
　　5．4．1．1　密码模块的标准
　　所有类型的密码模块均应符合国家密码主管部门的规定和相关标准。
　　在操作环境中明文的PIN和明文密钥应仅存在于专门设计的密码模块中。
　　5．4．1．2　密码模块的管理
　　在密钥被调用前应确定密码模块未被非授权修改或替换。
　　应限制对密码模块的物理访问，防止非授权拆卸、替换、修改等。
　　5．4．1．3　密码模块的修改检测
　　当检测到可疑的密钥更换时，应确保不安装密钥直到确认密码模块在物理上或功能上未被非授权修改过。
　　5．4．2　终端机具的密钥管理
　　密钥管理对象是对PIN加密的密钥和对PIN加密密钥加密的密钥。
　　5．4．2．1　一般控制
　　密钥仅用于单一目的，如PIN的加密密钥PIK不能用作密钥加密的密钥，或其他数据加密的密钥（如MAK）。
　　禁止同一密钥用在多个PIN输入设备上（偶然情况除外）。
　　应确保通信双方共享的密钥不会与其他通信方共享。
　　应确保清除或销毁不再使用的加密密钥或密钥组件。
　　5．4．2．2　密钥生成
　　应采用多重控制和秘密分割原理产生终端机具主密钥。
　　应确保除非已知密钥组件的所有知识，否则不能确定密钥的任何有效比特。
　　应确保密钥和密钥组件产生是随机性的，以防使用弱密钥。
　　5．4．2．3　密钥存储
　　应保证密钥以下列方式之一存在：
　　（1）在密码模块中
　　（2）加密形式
　　（3）采用多重控制和知识分割原理管理
　　应确保受托保护各密钥组件安全的人适当保护组件，以防其他人得到这些密钥组件。
　　POS应至少能存储10组密钥。
　　5．4．2．4　密钥更新
　　在双重控制下安装密钥时，应确保密钥组件仅可在密码模块中合成密钥。
　　终端机具主密钥一般不更新。
　　数据加密密钥应每天更新，如遇密钥不同步等异常情况时应及时进行密钥重置。
　　5．4．2．5　密钥更换
　　出现密钥泄露情况时，应采取以下行动：
　　（1）更换被泄露的密钥
　　（2）更换由该密钥加密的或由其导出的密钥
　　（3）采用多重控制和知识分割原理管理
　　5．4．2．6　密钥分发
　　为确保明文密钥组件的安全传送，应采取以下方法之一防止泄露：
　　（1）分别放在防篡改包装中传递
　　（2）放在物理安全的密码模块中传递
　　为防泄露密钥或密钥组件，应制定密钥或密钥组件安全传递到密码模块的保护程序，这些程序可能是密码模块的外包装检查程序和载入过程的双重监控程序等。
　　5．4．2．7　密钥备份
　　密钥应在系统运行环境一致的少数几个地点存在，例如为灾难恢复或站点备份。
　　5．4．3　终端机具登录控制
　　5．4．3．1　鉴别强度
　　ATM的持卡人口令应达到6位数字。
　　POS的操作员口令至少为4位数字，操作员的编号至少为2位数字或字母。

第 [1] [2] [3] [4] [5] [6] [7] [8] [9] 页 共[10]页