【正文】 2．人員的安全管理 1．密鑰管理中心設(shè)置專門的管理（操作）員； 2．對(duì)管理（操作）員進(jìn)行必要的保密教育并進(jìn)行細(xì)致的系統(tǒng)使用培訓(xùn)，使 了解系統(tǒng)的安全特性，理解如何從管理上配合系統(tǒng)安全特性的設(shè)施； 3．密鑰母卡的 安全管理 1．每張母卡都會(huì)有與其對(duì)應(yīng)的安全控制卡，這兩張母卡要分別由不同的人員 保管，對(duì)于損壞的母卡必須馬上物理銷毀，防止外泄； 2．母卡和該母卡的 PIN 要分開存放，寫有 PIN 的紙張和信封要嚴(yán)格保管，不 將 PIN 寫在其他的介質(zhì)上； 3．定期更換母卡的＊ m ， PIN 不使用簡(jiǎn)單、易 i己的序列； 4．上級(jí)中心向下級(jí)中心傳遞母卡時(shí)，首先必須使用安全的傳輸渠道，另外母 卡要分別傳遞，避免所有母卡同時(shí)被截獲； 5．成員行專有密鑰卡不會(huì)經(jīng)常使用，通?？梢苑獯?；用戶卡發(fā)卡母卡中的密 鑰只能分散導(dǎo) 出，相對(duì)較安全； PSAM 卡發(fā)卡母卡中的密鑰可以直接加密導(dǎo) 出，要避免將不需要的密鑰放入該卡（如論 K、 WK 等聯(lián)機(jī)密鑰）； 6．對(duì)管理（操作）員進(jìn)行必要的保密教育，并進(jìn)行細(xì)致的系統(tǒng)使用培訓(xùn)，使 了解系統(tǒng)的安全特性，理解如何從管理上配合系統(tǒng)安全特性的設(shè)施； 4．系統(tǒng)操作的安全管理 1．每次進(jìn)行密鑰管理操作時(shí)只領(lǐng)取相關(guān)的母卡；使用完畢后立即交還； 2．對(duì)每次密鑰管理操作進(jìn)行詳細(xì)的記錄（如操作員、時(shí)間、所進(jìn)行的操作、 操作時(shí)的輸入和系統(tǒng)顯示的信息等）； 3．關(guān)鍵的密鑰信息；如密鑰 種子碼單，建議由機(jī)構(gòu)的領(lǐng)導(dǎo)掌握和使用； 。以下是我們對(duì)密鑰管理中心安全管理制度的一些建 議： 1．物理環(huán)境的安全管理 1．建議密鑰管理中心設(shè)置在專門的房間中，房間周邊避免閑雜人員的出入， 最好有錄 像監(jiān)控設(shè)備； 2. 房間安裝防盜門窗，門鎖的鑰匙由專人保管，對(duì)鑰匙的使用情況進(jìn)行記錄。金融 IC 卡密鑰管理系統(tǒng)的設(shè)計(jì)最大限度地從技術(shù)上保證密鑰生成、注入、導(dǎo)出、備份、 恢復(fù)、更新、服務(wù)等功能的安全性。 顧客十 又稱用戶卡，是真正用來脫機(jī)交易的電子錢包和電 │ 子存折，裝載交易所需的 各個(gè)子密鑰。 成員行認(rèn)證卡 簡(jiǎn)稱 MAKC，存放成員行母卡主控密鑰，用來配合成 員行主控母卡和洗卡母卡的使用。 二級(jí)機(jī)構(gòu)洗卡母卡 簡(jiǎn) 稱 BIKC，存放二級(jí)機(jī)構(gòu)母卡洗卡密鑰，用來進(jìn)行 二級(jí)結(jié)構(gòu)母卡的洗卡。 人總行洗卡母卡 簡(jiǎn)稱 RIKC，母卡主控密鑰和 PSAM 卡洗卡密鑰；用 于母卡的洗卡和 PSAM 卡的洗卡 PSAM 卡 POS 機(jī)使用的安全存取模塊 二級(jí)機(jī)構(gòu)主控母卡 簡(jiǎn)稱 BMKC 由全國(guó)密鑰管理總中心發(fā)放，存放二級(jí) 密鑰管理中心的 BMPK，可以用來產(chǎn)生成員行發(fā)卡母卡。 人總行主控母卡 簡(jiǎn)稱 RMKC，存放全國(guó)密鑰管理總中心多組消費(fèi)／取 現(xiàn)主密鑰的母卡，用來發(fā)放二級(jí)機(jī)構(gòu)發(fā)卡母卡和對(duì) PSAM 卡進(jìn)行一次發(fā)卡。［ Y］）］］ │ 雙長(zhǎng)度密鑰分散算法 簡(jiǎn)稱 Diversify，是指將一個(gè)雙長(zhǎng)度的密鑰 MK，對(duì) 分散數(shù)據(jù)進(jìn)行處理，推導(dǎo)出一個(gè)雙長(zhǎng)度的密鑰 DK。＊） 11 │ 解 密 的 方 式 如 下 ： X=DES’（ KL）［ DES（ K。 第三十八條 本辦法從發(fā)布之日起開始生效。銀行 IC 卡聯(lián)合試點(diǎn)的資 格；并承擔(dān)其他單位的所有損失。 第三十五條 密鑰管理中心內(nèi)部管理混亂，造成銀行專用密鑰泄漏的，主管機(jī)關(guān)應(yīng) 責(zé)令改正，并對(duì)成員銀行和有關(guān)責(zé)任人進(jìn)行處罰。 第三十三條 上級(jí)密鑰管理中心應(yīng)當(dāng)掌握下級(jí)密鑰管理中心密鑰申領(lǐng)的備案情況； 建立備案檔案，進(jìn)行備案統(tǒng)計(jì)，并按照有關(guān)規(guī)定逐級(jí)上報(bào)。任何情況下，不允許某一個(gè) 接收人員接收所有密鑰信息的載體。特殊情況下；發(fā)卡時(shí)限可延長(zhǎng)至三個(gè)月。 第二十九條 上級(jí)密鑰管理中心操作人員應(yīng)在接到申請(qǐng)一周內(nèi)，為申請(qǐng)機(jī)構(gòu)產(chǎn)生消 費(fèi)密鑰后；存放在硬件加密模塊（母卡或硬件加密機(jī)）中，分別交給接 收人員。 第二十七條 在試點(diǎn)期間，允許下級(jí)密鑰管理中心先領(lǐng)取測(cè)試密鑰。 第二十六條 在收到上級(jí)業(yè)務(wù)機(jī)構(gòu)同意領(lǐng)取消費(fèi)密鑰的書面批復(fù)三個(gè)月以內(nèi) ,下級(jí) 密鑰管理中心需派專人到上級(jí)密鑰管理中心領(lǐng)取消費(fèi)密鑰。 第二十五條 上級(jí)業(yè)務(wù)機(jī)構(gòu)應(yīng)切實(shí)了解下級(jí)業(yè)務(wù)機(jī)構(gòu)的情況，包括信用等級(jí)、資產(chǎn) 數(shù)量、經(jīng)營(yíng)狀況和密鑰管理中心建設(shè)狀況等。時(shí)候，管理人員應(yīng)分析情況，追查原因，作 出書面報(bào)告。 第二十三條 所有關(guān)鍵業(yè)務(wù)的工作人員，應(yīng)在上崗之前接受相關(guān)的安全及操作培訓(xùn)。 第二十一條 操作人員應(yīng)定期輪換。 第二十條 操作人員之間應(yīng)互相制約。對(duì)安全檢查中發(fā)現(xiàn)的問題，應(yīng)當(dāng)提出改進(jìn) 意見，作出詳細(xì)記錄，存檔備案。 第十六條 密鑰管理中心，特別是密鑰管理系統(tǒng)所處的機(jī)房，應(yīng)能夠防御各種形式的自然災(zāi)害和攻擊。 第十四條 密鑰不能直接以密碼信封形式存放。 第十二條 密鑰管理系統(tǒng)應(yīng)確保密鑰三級(jí)管理的可操作性，保證密鑰的裝載、存放和分散必須在安全的環(huán)境下完成， 任何中間結(jié)果不可以被內(nèi)部操作人員和外界獲得。 第三章 中心建設(shè) 第十條 各級(jí)密鑰管理中心負(fù)責(zé)組織開發(fā)隊(duì)伍，遵循《中國(guó)金融集成電路（ IC）卡規(guī)范、《銀行 IC卡聯(lián)合試點(diǎn)總體技術(shù)方案》、《銀行 IC 卡聯(lián)合試點(diǎn)密鑰管理系統(tǒng)總體方案》，設(shè)計(jì)一套符合銀行應(yīng)用現(xiàn)狀的密鑰管理系統(tǒng)。 第九條 若發(fā)現(xiàn)某些密鑰可能存在安全問題，應(yīng)及時(shí)向上級(jí)密鑰管理中心匯報(bào)。 第七條 成員行中心，是成員銀行內(nèi)部密鑰管理的具體承擔(dān)機(jī)構(gòu)，它的主要職責(zé)是： ? 安全保管消費(fèi)密鑰（ MPK）； ? 產(chǎn)生銀行專用密鑰； ? 進(jìn)行密鑰管理系統(tǒng)的維護(hù)、升級(jí)； ? 根據(jù)顧客卡發(fā)卡、 PSAM 二次發(fā)卡、聯(lián)機(jī)交易、清算等多種密鑰服務(wù)； ? 對(duì)操作人員進(jìn)行安全操作培訓(xùn)； ? 成員銀行賦予的其他職責(zé)。它的主要職責(zé)是： ? 尋找合作伙伴共同設(shè)計(jì)、開發(fā)密鑰管理系統(tǒng)； ? 一次產(chǎn)生多組全國(guó)消費(fèi)主密鑰（ GMPK），安全保存在主控母卡中； ? 利用主控母卡，為二級(jí)密鑰管理中心分發(fā)二級(jí)消費(fèi)密鑰（ BMPK）； ? 根據(jù)二級(jí)密鑰管理中心的申請(qǐng)，統(tǒng)一進(jìn)行 PSAM 洗卡； ? 對(duì)下 發(fā)的 PSAM 卡進(jìn)行統(tǒng)一監(jiān)控，并回收損壞的 PSAM 卡； ? 進(jìn)行密鑰管理系統(tǒng)的維護(hù)、升級(jí)； ? 對(duì)系統(tǒng)操作人員進(jìn)行安全操作培訓(xùn)； ? 對(duì)二級(jí)管理中心進(jìn)行安全監(jiān)管； ? 對(duì)系統(tǒng)安全進(jìn)行評(píng)估，發(fā)現(xiàn)問題，及時(shí)給下級(jí)機(jī)構(gòu)和有關(guān)部門； ? 中國(guó)人民銀行賦予的其他職責(zé)。 第四條 凡在銀行 IC 卡聯(lián)合試點(diǎn)中開展銀行 IC 卡業(yè)務(wù)的商業(yè)銀行、試點(diǎn)城市所在的人民銀行相應(yīng)機(jī)構(gòu)建立的密鑰管理中心均應(yīng)遵守本章程。 第二條 銀行 IC 卡密鑰管理采用三級(jí)密鑰管理體制：銀行 IC 卡全國(guó)級(jí)密鑰管理中心、試點(diǎn)城市銀行 IC 卡密鑰管理中心或商業(yè)銀行總行 IC 卡密鑰管理中心（簡(jiǎn)稱二級(jí)密鑰管理中心）和發(fā)卡行 IC 卡密鑰管理中心（簡(jiǎn)稱三級(jí)密鑰管理中心）?？梢圆扇∫韵虏襟E： 1． 關(guān)閉核心系統(tǒng)對(duì)外的網(wǎng)絡(luò)通道，隔絕可能的破壞； 2． 報(bào)警及通知有關(guān)人員； 3． 啟動(dòng)應(yīng)急系統(tǒng)，如電力應(yīng)急系統(tǒng)，運(yùn)行系統(tǒng)的備份系統(tǒng)； 4． 清點(diǎn)設(shè)備，如硬件加密機(jī)，密鑰備份卡等； 5． 妥善保管敏感信息和核心設(shè)備； 6． 逐步關(guān)閉其他設(shè)備和服務(wù)，保留審計(jì)信 息； 7． 分析情況，追查原因； 8． 作出書面報(bào)告。目的在于為在應(yīng)付此類事件時(shí)，提供一個(gè)基本的向?qū)Чδ?。同時(shí)，對(duì)所有的事件必須盡可能地書面記錄下來，存檔備案， 以便及時(shí)監(jiān)控和審計(jì)。培訓(xùn)主要包括如何獲取最新的安全技術(shù)資料，現(xiàn)有系統(tǒng)的安全問題，在出現(xiàn)問題時(shí)如何尋求援助并報(bào)警，如何采取緊急措施進(jìn)行恢復(fù)并將影響減少為最小及安全管理隊(duì)伍的鍛煉等內(nèi)容。 3） 業(yè)務(wù)培訓(xùn) 對(duì)安全管理部門的人員及系統(tǒng)管理員必須進(jìn)行系統(tǒng)的安全培訓(xùn)。 同時(shí)，為了避免權(quán)利過分集中，特別是超級(jí)用戶權(quán)力過大，而出現(xiàn)的內(nèi)部人員作案的可能性，管理人員之間應(yīng)互相制約，做到權(quán)力的有效制衡。 2） 操作管理 對(duì)整個(gè)系統(tǒng)的操作管理，應(yīng)做到：專人負(fù)責(zé)、相互制約、定期輪換。該安全管理部門必須直接向最高行政管或相應(yīng)的管理人員負(fù)責(zé)。 1. 安全管理策略 1） 管理機(jī)構(gòu) 使用密鑰管理系統(tǒng)的機(jī)構(gòu)必須有獨(dú)立的安全管理部門，負(fù)責(zé)整個(gè)安全概念及安全策略的制定、實(shí)現(xiàn)、監(jiān)督安全策略的貫徹、執(zhí)行，并定期進(jìn) 行審計(jì)。從某種角度來說，管理是造成安全問題的根源。 14） 數(shù)據(jù)加密機(jī)運(yùn)行日志 該命令要求返回受主密鑰保護(hù)的密鑰區(qū)域內(nèi)所有的操作事件。 12） 驗(yàn)證 MAC 該命令用指定的次主密鑰對(duì)輸入數(shù)據(jù)分散加密產(chǎn)生 MAC，與輸入數(shù)據(jù)中的 MAC 進(jìn)行比較，返回驗(yàn)證結(jié)果。 10） 分散次主密鑰 該命令要求硬件加密機(jī)用指定索引的次主密鑰對(duì)輸入信息進(jìn)行分散，直接返回分散結(jié)果。 9） 加密導(dǎo)出分散結(jié)果 該命令要求用指定索引的次主密鑰對(duì)輸入信息進(jìn)行分散，用指定索引的傳輸密鑰加密導(dǎo)出。 7） 裝載次主密鑰 該命令要求向硬件加密機(jī)中輸入密文信息，用指定密鑰索引號(hào)的傳輸密鑰解密恢復(fù)后，作為次主密鑰存儲(chǔ)在硬件加密機(jī)中。 5） 產(chǎn)生隨機(jī)數(shù) 該命令要求硬件加密機(jī)產(chǎn)生一個(gè)隨機(jī)數(shù)，并直接返回給請(qǐng)求 者。 3） 獲得指定次主密鑰狀態(tài) 該命令要求返回指定索引號(hào)的次主密鑰的狀態(tài)，包括是否存在、密鑰屬性等信息。 1） 硬件加密機(jī)初始化 該命令要求明文裝載密鑰，存放在硬件加密機(jī)中，作為主密鑰 SHMK。異步通信時(shí)，加密機(jī)在受到數(shù)據(jù)幀頭標(biāo)識(shí)后開始計(jì)時(shí)，如果在指定的時(shí)間內(nèi)沒有收到幀尾標(biāo)識(shí)，則加密機(jī)可以認(rèn)為該 條命令出錯(cuò)，拋棄所有已接受命令，準(zhǔn)備接受下一條命令。加密機(jī)保證單一通信通道上命令與響應(yīng)的唯一對(duì)應(yīng)性。密鑰的生成、作廢、替換等等工作都可以通過加密機(jī)接口提供，從而使密鑰管理工作大為簡(jiǎn)化。 加密機(jī)可以減輕密鑰管理員的責(zé)任，降低密鑰管理工作的成本。如果在多臺(tái)機(jī)器上進(jìn)行密鑰運(yùn)算，密鑰還需在機(jī)器之間進(jìn)行傳遞，這也會(huì)明顯降低安全性或增加安全成本。由于硬件加密機(jī)具備了攻擊防范能力，所以密鑰可以在硬件加密機(jī)中以相對(duì)較低的成本安全地保持，而且所有密鑰運(yùn)算可在安全的物理環(huán)境中 完成。 四．密鑰管理加密機(jī) 密鑰管理加密機(jī)是用于密鑰管理的硬件加密設(shè)備。 應(yīng)用下的 MAC2 錯(cuò)誤計(jì)數(shù)器在應(yīng)用下所有消費(fèi)密鑰 MAC2校驗(yàn)錯(cuò)誤的情況下都要被減1。 CREDIT_SAM_FOR_PURCHASE 命令必須在 INIT_SAM_FOR_PURCHASE 命令成功執(zhí)行后才能進(jìn)行。 20．校驗(yàn) MAC2（ CREDIT_SAM_FOR_PURCHASE） CREDIT_SAM_FOR_PURCHASE 命令利用 INIT_SAM_FOR_PURCHASE 命令產(chǎn)生的過程密鑰 SESPK 校驗(yàn) MAC2，過程如下所示： 1． 檢查 MAC2 嘗試計(jì)數(shù)器，如 MAC2 未被鎖定， PSAM 在其內(nèi)部用 SESPK對(duì)交易金額加密得到 MAC2，與命令報(bào)文中的數(shù) 據(jù)進(jìn)行比較； 2． 若命令支持成功