GM_T 0073-2019手机银行信息系统密码应用技术要求.pdf

GM中华人民共和国密码行业标准GM/T0073—2019手机银行信息系统密码应用技术要求Cryptography technical requirements for mobile bankinginformationsystems2019-07-12发布2019-07-12实施国家密码管理局发布 中华人民共和国密码行业标准手机银行信息系统密码应用技术要求GM/T 0073—2019.中国标准出版社出版发行北京市朝阳区和平里西街甲2号（100029)北京市西城区三里河北街16号（100045）网址 总编室：(010行中心(010者服务部：(010国标准出版社秦皇岛印剧厂印别各地新华书店经销.开本880X12301/16印张1.75字数50千字2019年10月第一版2019年10月第一次印料.书$号：155066·2-34606定价36.00 元如有印装差错由本社发行中心调换版权专有侵权必究举报电话：(010 GM/T 0073—20审计记录的组成部分。在手机银行信息系统密码技术安全保护二级要求中，对设备和计算安全-审计记录”指标做如下要求：为防止审计记录被非法修改，宜使用密码技术的完整性服务对审计记录进行完整性保护，其密码功能应确保正确、有效。身份鉴别的组成部分。在手机银行信息系统密码技术安全保护二级要求中，对设备和计算安全-身份鉴别指标做如下要求，在身份鉴整别机制中，为防止鉴别信息被假冒和重用，宜使用密码技术的真实性服务对鉴别信息进行防假管和重用保护，其密码功能应确保正确、有效；宜使用安全散列函数对用户的口令进行处理，然后再进入身份鉴别模块，散列函数应确保正确、有效；c)在进行关健业务流程，如转账、交易、修改资料时，宜使用多种密码技术保证用户身份的真实性、有效性；(P操作系统和数据库系统督理用户身份标识应具有不易被冒用的特点，关键系统的静态口令应在6位以上并由字每、数字、符号等混合组成并定期更换。验证码与动态口令的组成部分，在手机银行信息系统密码技术安全保护二级要求中，对设备和计算安全-验证码与动态口令”指标做如下要求：a)使用手机短信或其他渠道发送验证码时，应使用正确的密码技术，确保发送的动态口令完全随机，不可预剩；b)使用手机短信或其他案道发送验证码时，应确保不会泄露验证码的内容；c)如果使用OTP令牌进行身份校验，应使用正确的密码技术，确保OTP完全随机，不可预测。密码模块的组成部分，在手机银行信息系统密码技术安全保护二级要求中，对设备和计算安全-码模块指标做如下要求：应使用符合GM/T0028一2014的二级及以上密码模块或通过国家密码管理机构核准的硬件密码产品实残密码运算和密钥管理：系统的专用硬件或固件以及密码设备应实现授权控制、非投权访间的检测、运行状态指示等安全功能，保证密码模块能够在核准的工作模式下正确运行；b)系统的专用硬件或固件以及密码设备应能够防止非授权地泄露模块的内容或关键安全参数；c)系统的专用硬件或固件以及密码设备应能够防止对密码模块和密码算法进行非投权或检测不到的修改。 GM/T 0073—20197.2.4应用和数据安全总则参照GM/T0054—2018中应用和数据安全密码应用总则。7,2,4,2数据传输银行信息系统密码技术安全保护二级要求中，对应用和数据安全-数据传输”指标做如下要求；a)在数据传输安全方面，可使用密码技术的完整性服务实现对重要用户数据在传输过程中的完整性校验，其密码功能应确保正确、有效；b)通过客户端发送的报文的关键要素宜利用密码技术进行数字签名，以确保支付内容的真实性和不可抵赖性；c)对于通过互联网对外提供服务的系统，在通信过程中的整个报文或会话过程，应通过专用的通信协议或加密的方式保证通信过程的机密性；d)客户端到远程支付系统的SSL/TLS版本应符合GM/T0024的要求；用于签名的RSA密钥长度应不低于1024位；用于签名的ECC密钥长度应不低于256位或SM2密钥长度应不低于256位，7,2.4.3数据存储在数据存储安全方面，可使用密码技术的完整性服务来实现对系统管理数据、签别信息、关键配置信息和重要业务数据在存储过程中完整性的检测，其密码功能应确保正确、有效，7.2,4,44终端应用机银行信息系统密码技术安全保护二级要求中，对“应用和数据安全-终端应用”指标做如下要求：a)移动终端应用不应明文或编码存储用户的口令、支付密码、PAC、CVV等敏感信息；移动终端应用应对于密码、PAC、CVV等敏感数据进行脱敏处理；c)移动终端应用在处理用户输入的敏感数据时，如口令、支付密码等，宜采取安全措施，保证敏感数据的机密性，确保不被非投权获取；d)其他进程、互联网数据服务器等。7.2.5密码配