GM_T 0077-2019银行核心信息系统密码应用技术要求.pdf

ICS_35.040L 80GM中华人民共和国密码行业标准GM/T 0077—2019银行核心信息系统密码应用技术要求Cryptography technical requirements for core banking systems2019-07-13发布2019-07-12实施国家密码管理局发布 GM/T 0077—2019目次前言引言范围2规范引用文件3术语和定义缩略语银行核心系统模型密码应用基本要求和密码应用功能要求银行核心信息系统密码技术安全保护三级要求7.1基本要求7.2密码技术安全要求7.2.1物理和环境安全7,2,2网络和通信安全7,.2.3设备和计算安全7.2.4应用和数据安全7.2.5密码配用策略要求7.3密钥安全与管理要求7.3.1总则7,3.2密钥安全7.3.3密钥管理107.4安全管理要求37,4,17.4.2安全管理制度7,4.3人员管理要求7.4.4密码设备管理7.4.5使用密码的业务终端要求银行核心信息系统密码技术安全保护四级要求8.1基本要求8,2密码技术安全要求8.2.1物理和环境安全8.2.2网络安全和通信安全168.2.3设备和计算安全8.2,4应用和数据安全8.2.5密码配用策略要求198.3密钥安全与管理要求 GM/T据的主体应对客体的身份信息进行鉴别，保降数据的机密性；c)应使用密码技术的真实性服务来实现通信双方会话初始化验证，其密码功能应确保正确、有效d)宜使用密码技术的抗抵赖服务来提供数据原发证据和数据接收证据，实现数据原发行为的抗抵赖和数据接收行为的抗抵赖，其密码功能应确保正确、有效。分。在银行核心信息系统密码技术安全保护三级要求中，对网络和通信安全-身份鉴别指标做如下要求；a)在对登录网络设备的用户进行身份鉴别时，为防止鉴别信息被重用和假冒，应使用密码技术的真实性服务对鉴别信息进行防重用和防假目保护，其密码功能应确保正确、有效；b)在执行网络选程管理时，为防止整别信息在传输过程中被泄露，应使用密码技术的机密性服务对鉴别信息进行机密性保护，其密码功能应确保正确、有效；c)网络设备系统管理用户身份标识应具有不易被目用的特点，关键网络设备的静态口令应在8位以上并由字母、数字、符号等混合组成并定期更换：d)信息系统对通过身份认证后的实体，应使用密码技术生成唯一的随机的标识符，并确保该功能正确、有效；e)应设置签别警示信息，当出现越权访间或尝试非法访间时，系统会自动提示未授权访间；D宜采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别，并且身份鉴别信息至少有种是不易伪造的，例如以密钥证书、动态口令卡、生物特征等作为身份整别信息，安全访间路径分。在银行核心信息系统密码技术安全保护三级要求中，对网络和通信安全-安全访间路径指标缴如下要求；应在通信前基于密码技术对通信双方进行身份认证，使用密码技术的机密性和真实性功能来实现防裁获、防假冒和防重用，保证传输过程中鉴别信息的机密性和网络设备实体身份的真实性；b)在建立安全访间路径的过程中，应使用密码技术的真实性服务保证通信主体身份鉴别信息的可靠与真实性，其密码功能应确保正确、有效；c)在建立安全访间路径的过程中，应使用密码技术的完整性服务保证安全访间路径中路由控制信息的完整性，其密码功能应确保正确、有效；d)应采用密码技术保证通信过程中敏感信息数据字段或整个报文的机密性；e)应采用密码技术建立一条安全的信息传输通道，对网络中的安全设备或安全组件进行集中管理。审计记录分。在银行核心信息系统密码技术安全保护三级要求中，对“网络和通信安全-审计记录”指标微如下要求；应使用密码技术的完整性服务对审计记录进行完整性保护，其密码功能应确保正确、有效。6 GM/T 0077—20197.2.3设备和计算安全7,2.3.1总则参照GM/T0054—2018中设备和计算安全密码应用总则。审计记录审计范围应覆益到服务器和重要客户端上的每个操作系统用户和数据库用户；b)应使用密码技术的完整性服务实现审计记录的完整性校验，其密码功能应确保正确、有效；应使用密码技术的完整性功能来对目志记录进行完整性保护：(P审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件；(a审计记录应包括日期和时间、类型、主体标识、客体标识、事件的结果等，身份鉴别在银行核心信息系统密码技术安全保护三级要求中，对“设备和计算安全-身份鉴别指标做如下要求：a)应使用密码技术实现组合鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换，其密码功能应确保正确、有效；b)应使用密码技术的真实性服务实现鉴别信息的防假冒和防重用功能，保证操作系统和数据库系统用户身份的真实性，其密码功能应确保正确、有效；c)在远程管理时，应使用