GB-T 31502-2015 信息安全技术 电子支付系统安全保护框架.pdf
《GB-T 31502-2015 信息安全技术 电子支付系统安全保护框架.pdf》由会员分享,可在线阅读,更多相关《GB-T 31502-2015 信息安全技术 电子支付系统安全保护框架.pdf(92页珍藏版)》请在冰点文库上搜索。
ICS35.040L80中华人民共和国国家标准GB/T315022015信息安全技术电子支付系统安全保护框架InformationsecuritytechnologySecurityprotectframeworkofelectronicpaymentsystem2015-05-15发布2016-01-01实施中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会发布目次前言引言1范围12规范性引用文件13术语和定义14符号与缩略语24.1符号表示24.2缩略语35电子支付系统描述35.1电子支付系统模型35.2电子支付系统工作模式75.3受保护资产86安全问题定义106.1概述106.2威胁106.3组织安全策略(SOP)146.4假设(SAS)176.5安全问题定义理由177安全目的177.1概述177.2针对评估对象TOE的安全目的(OET)187.3针对评估对象TOE运行环境的安全目的(OTE)188安全功能要求198.1概述198.2安全审计(FAU类)198.3通信(FCO类)328.4密码支持(FCS类)358.5用户数据保护(FDP类)358.6标识和鉴别(FIA类)408.7安全管理(FMT类)408.8TSF保护(FPT类)429安全保证要求4310国家相关标准的部分依从性分析4311组织安全策略示例43附录A(资料性附录)电子支付系统的行为模型44GB/T315022015附录B(规范性附录)安全问题定义理由69附录C(规范性附录)安全目的理由74附录D(规范性附录)安全保证要求78附录E(规范性附录)对国家相关标准的部分依从性分析80附录F(资料性附录)组织安全策略示例:
可疑交易预警规则82参考文献87GB/T315022015前言本标准按照GB/T1.12009给出的规则起草。
请注意本文件的某些内容可能涉及专利。
本文件的发布机构不承担识别这些专利的责任。
本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。
本标准起草单位:
北京多思科技工业园股份有限公司、中国农业银行、中国金融电子化公司、国家信息安全工程技术研究中心、东方集团网络信息安全技术有限公司、北京大秦兴宇电子有限公司、北京天宏绎网络技术有限公司、北京科蓝软件系统有限公司、长城瑞通(北京)科技有限公司、重庆银行、南充市商业银行。
本标准主要起草人:
刘大力、李宽、沈敏锋、韩琳琳、吴义章、吴铮、刘运、文仲慧、沈昕立、康伟、张磊、于敬新、崔新杰、罗勇、夏鹏轩、闫凤如、陈辉武、王庆元、左小波、邱岩、张春阳、黄光伟、邢呈礼、高艳芳、王州府。
GB/T315022015引言本标准以国际通行的信息技术安全性评估准则为基础,结合我国现阶段电子支付系统的特点,按照我国有关法律、法规和政令的要求,以自主可控为原则,为公共类电子支付系统的信息安全提供一个公共框架;是进一步完善相关国家标准及行业标准的重要步骤;为构建、运行公共电子支付系统,提供支撑。
GB/T315022015信息安全技术电子支付系统安全保护框架1范围本标准在给出电子支付系统模型的基础上,为公共类电子支付系统的信息安全提供了一个公共框架,主要包括安全问题定义、安全目的、安全功能需求和安全保障需求。
本标准适用于安全构建、运行公共类电子支付系统。
2规范性引用文件下列文件对于本文件的应用是必不可少的。
凡是注日期的引用文件,仅注日期的版本适用于本文件。
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T18336.1信息技术安全技术信息技术安全性评估准则第1部分:
简介和一般模型GB/T18336.2信息技术安全技术信息技术安全性评估准则第2部分:
安全功能组件GB/T18336.3信息技术安全技术信息技术安全性评估准则第3部分:
安全保障组件3术语和定义GB/T18336.1界定的以及下列术语和定义适用于本文件。
3.1电子支付electronicpayment采用数字化方式,在电子终端、信息传输通道以及相关系统的支持下,进行支付的行为。
3.2支付通道transactionchannel在电子支付交易过程中,电子支付凭据与支付终端以及支付终端与支付安全前置之间实现信息传输的途径。
3.3公共网络通道publicnetworkchannel支持电子支付交易的公共网络基础设施。
在电子支付领域通常简称为网络。
3.4接触通道contactchannel支持电子支付交易的实体直接连接方式。
3.5电子支付凭据electronicpaymentcredential在电子支付过程中,用以最终确定支付相关账户的凭据。
电子支付凭据可能是有载体的,也可能是无载体的,同一电子支付凭据可能记载在不同的载体中。
3.6电子支付凭据载体electronicpaymentcredentialscarrier记载电子支付凭据的介质。
不同的电子支付凭据载体,其安全性是不同的。
1GB/T3150220153.7电子支付凭据持有者electronicpaymentcredentialholder合法拥有电子支付凭据的人。
对电子支付凭据记录了持有者信息的,电子支付凭据持有者的信息与电子支付凭据内部记录的信息应一致。
3.8受理方accepter向电子支付凭据持有者提供通道,并在需要时协助电子支付凭据持有者完成电子支付交易的机构。
3.9受理方操作员operatorofaccepter协助电子支付凭据持有者完成电子支付交易的人员,向受理方负责。
3.10中介方intermediary在电子支付交易中,按照付款方或收款方提出的电子支付交易请求,代为完成资金转移者。
3.11安全域securitydomain在电子支付交易的过程中,遵守相同的安全策略的用户和系统的集合。
3.12可信信道trustedchannel为了支持安全功能策略,电子支付系统安全功能同远程可信IT产品进行所需信任通信的一种手段。
3.13可信路径trustedpath为了支持安全功能策略,用户能同电子支付系统安全功能进行所需信任通信的一种手段。
3.14电子支付系统安全保护securityprotectofelectronicpaymentsystem对电子支付系统信息的保护及其相关的保护措施,保护电子支付信息在采集、传输和处理中免遭未授权访问(保密性)、修改(完整性)和对授权用户的可用性,以及支持安全管理的可核查性和抗抵赖性等。
在具备条件的情况下,对具有本标准所述电子支付系统特征的信息系统编制保护轮廓(ProtectionProfile,以下简称:
PP)和安全目标(SecurityTarget,以下简称:
ST),将有助于有效评价该电子支付系统的安全水平,发现潜在的风险,评估可能导致的损失,以便给出适宜的风险应对措施。
4符号与缩略语4.1符号表示本标准对受保护资产、安全问题、安全目的和安全需求均按可引用的单元进行了编码,以便于进行引用和参照。
编码采用了与安全功能要求和安全保证要求协调的方式,编码的首字母如表1所示。
2GB/T315022015表1类编码对象编码对象编码首字母受保护资产P安全问题S安全目的O安全功能要求F安全保障要求A4.2缩略语下列缩略语适用于本文件。
EPS:
电子支付系统(ElectronicPaymentSystem)IT:
信息系统(InformationTechnology)PIN:
个人鉴别码(PersonalIdentificationNumber)PP:
保护轮廓(ProtectionProfile)ST:
安全目标(SecurityTarget)TOE:
评估对象(TargetofEvaluation)TSF:
TOE安全功能(TOESecurityFunctions)TSP:
TOE安全策略(TOESecurityPolicy)5电子支付系统描述5.1电子支付系统模型5.1.1概述本章给出了电子支付概念和电子支付系统模型,其中电子支付概念仅描述了一种典型状况,其目的在于使本标准阅读者能较快和准确地理解模型,并将视角聚焦于电子支付系统中的安全保护问题。
5.1.2电子支付概念在电子支付中,付款方与受理方交互,提出付款申请;受理方将获取的支付请求发送到电子支付服务方;电子支付服务方完成相应的支付服务,并在必要时通过受理方转交或通知收款方。
电子支付支撑方提供账户管理、账务核算、安全措施与管理等功能,这些功能可能自某一方可以实现电子支付开始就已经提供,但收款方、付款方与受理方的人员可能不需知悉。
电子支付的概念如图1所示。
注1:
图中的受理方应看做一个实体,为便于理解,画作了分别连接的两个方框。
注2:
收款方的受理方可能是隐含的,即实际上在电子支付服务方内部即完成了支付动作,收款方仅仅通过受理方获得了通知。
图1电子支付概念图3GB/T3150220155.1.3电子支付系统模型在电子支付系统模型中,电子支付凭据、支付终端、支付安全前置、支付平台组成了电子支付系统,通过与用户和相应支付后台交互工作,并在必要时使用认证中心提供的身份认证服务,以完成电子支付交易。
电子支付系统模型如图2所示。
其与电子支付的映射关系一般为:
a)付款方包括用户和电子支付凭据;b)收款方可能包括用户和电子支付凭据,也可能仅为用户;c)受理方包括支付终端和作为受理方操作员的用户;d)电子支付服务方包括支付安全前置、支付平台;e)电子支付支撑方包括支付后台和认证中心。
注1:
图中用户是抽象的,为保持图的清晰性,未对角色及其操作的评估对象TOE组件进行进一步的划分。
注2:
图中金融、中介、预存类支付安全前置、支付平台和支付后台都可能有多个受理方。
注3:
图中的连接分为三类。
用户与电子支付凭据载体和支付终端连接的点线表示人机交互;电子支付凭据载体与支付终端以及支付终端与预存支付安全前置的点划线表示近场或接触;实线表示公共网络,但不限制网络连接的物理链路;双线箭头表示同一受理方TSF内部传送。
图中画出的六边形网络是为了便于描述支付终端、支付安全前置和认证中心的工作关系,并区别描述通过网络与通过近场或接触方式的连接。
注4:
一个支付服务的提供实体,可仅支持图中的一种模式,也可同时支持图中的两种甚至三种模式,即同时承担几种不同方式的受理方。
注5:
电子支付凭据载体、支付终端、支付安全前置、支付平台所构成的电子支付系统,其整体构成了一个分布式的评估对象TOE。
注6:
用户、支付后台和认证中心是电子支付系统模型的边界条件,非评估对象实体。
注7:
安全芯片可能涉及电子支付系统中的每一个组件,按照本标准给出的模型描述安全芯片所在的组件以及在交互过程中安全芯片的作用,更易于理解安全芯片的功能、安全问题定义、安全目的、安全功能要求和安全保证要求。
图2电子支付系统模型4GB/T3150220155.1.4评估对象TOE实体5.1.4.1电子支付凭据载体电子支付凭据载体是通过技术手段,存储安全属性和包括电子支付凭据在内的用户数据,并能够支持完成电子支付交易的介质。
注1:
不同的电子支付凭据载体,其存储用户数据的方式、能力和安全属性不同。
随现代电子技术和工艺的高速发展,新型电子支付凭据载体的存储和计算能力日新月异,其功能与安全性可能会出现颠覆性变化。
注2:
在同一个交易中,可能需要电子支付凭据持有者的电子支付凭据载体,也可能还需要受理方操作员的电子支付凭据载体。
示例:
金融磁条卡、金融IC卡、金融SD卡、金融SIM卡、动态密码器和USBKey是不同形式的电子支付凭据载体。
金融磁条卡因其存储方式、能力和安全属性的落后,已经在全世界公共电子支付领域逐渐被金融IC卡等带CPU的电子支付凭据载体所替代。
动态密码器在动态口令卡大规模应用后,出现了功能更强、更安全的接触型产品。
第一代USBKey已过渡到带操作界面的第二代,带键盘第三代和基于生物识别技术的智能USBKey也已出现。
5.1.4.2支付终端支付终端是能读取或读写电子支付凭据载体、接受用户输入支付相关信息,发起电子支付的电子设备。
根据其安全识别可分为相对的专用支付终端和非专用支付终端,本标准TOE之内的支付终端不另说明的均为专用支付终端。
非专用支付终端接入电子支付系统,需要包括电子支付凭据载体在内的各种安全识别配合。
注1:
根据支付终端的种类不同,用户可能仅是电子支付凭据持有者,也可能还包括受理方操作员。
注2:
各类支付终端连接的支付安全前置种类不同,其物理层、数据链路层和网络层的实现模式亦不相同。
注3:
类比专用支付终端的初始化,非专用支付终端接入电子支付系统时需要数字证书认证。
个人常用支付终端可以绑定硬件。
示例:
销售点终端(POS)、自动金融柜员机(ATM)是专用支付终端的例子;个人计算机(PC)、电视机顶盒(STB)、电话支付终端、移动电话支付终端是非专用支付终端的例子,这些设备与电子支付无关的功能在本标准中不做描述。
5.1.4.3支付安全前置支付安全前置是设置于支付平台前的安全接口,其主要功能为:
a)预防、减缓对支付平台和支付后台的攻击;b)建立支付终端与支付平台之间的可信路径;c)建立支付平台与其他支付安全前置之间的可信路径。
示例1:
预防、减缓对支付平台和支付后台攻击的例子,包括,但不限于防火墙、入侵检测、防病毒系统;示例2:
在支付终端与支付平台之间建立可信路径的例子,包括,但不限于VPN。
支付安全前置可进一步划分为:
a)金融支付安全前置。
接收来自支付终端的交易请求,也可能接收来自中介支付安全前置的交易请求,与金融支付平台进行信息交互;b)中介支付安全前置。
接收来自支付终端的交易请求,与中介支付平台交互,并在需要时与金融支付安全前置和或其他中介支付安全前置交互;c)预存支付安全前置。
接收来自支付终端的交易请求,与预存支付平台交互。
5.1.4.4支付平台支付平台是电子支付的逻辑处理系统,接收支付终端通过支付安全前置发来的交易请求或交易记录,向支付后台发出动账请求并接收处理结果,形成对电子支付交易的响应,通过支付安全前置发送支付终端。
5GB/T315022015支付平台可进一步划分为:
金融支付平台。
接收来自金融支付安全前置的交易请求,与金融支付后台进行信息交互。
1)中介支付平台。
接收来自中介支付安全前置的交易请求,按照预定的规则,与中介支付后台交互,并在需要时通过金融支付安全前置与金融支付平台交互,或通过其他中介支付安全前置与其他中介支付平台交互;2)预存支付平台。
接收来自预存支付安全前置的交易请求,与预存支付后台交互。
注:
中介支付平台可提供的交易双方的信用担保、降低网上交易风险、防止电子交易欺诈、增加网上交易成交率及提供其他相应的增值服务未在标准中描述。
示例1:
移动运营商、广电运营商、石油供应商、自来水公司、电力公司、公共交通部门、商业零售机构等商业机构均可能建立专用的预存支付平台与预存支付后台,以实现对预付款卡服务的按约定计量单位的计价扣收。
示例2:
有效识别、评估、监测、控制和报告风险的例子,包括,但不限于:
操作风险管理信息系统、可疑交易预警系统。
5.1.5非评估对象TOE实体5.1.5.1用户用户是与电子支付系统交互以发起支付交易的实体,用户通过操作电子支付凭据载体与支付终端完成支付交易。
典型的用户包括:
a)电子支付凭据持有者。
提供电子支付凭据,并在必要时在支付终端上输入完成电子支付交易所需的信息,通过支付终端发起电子支付交易的用户;b)受理方操作员。
通过操作支付终端,按照业务规则初始化一个周期的电子交易环境,在电子支付交易时输入完成电子支付所需信息,通过支付终端发起电子支付交易的用户。
对一些自助终端,可能不需要受理方操作员的操作;c)业务管理者。
通过操作支付终端、支付安全前置、支付平台和支付后台,进行业务参数配置、业务异常调整、账务核算、清分、清算、产生业务状况报表的用户;d)系统管理者。
通过操作电子支付凭据载体、支付终端、支付安全前置、支付平台、支付后台及其运行环境支撑设施,进行设备安装、维护、技术参数配置、设备运行环境与状况监控,保证电子支付系统正常运行的用户。
示例1:
电子支付凭据持有者可能是持卡人、网上银行USBKey的持有人、手机银行动态密码器的持有人。
示例2:
电子支付凭据持有者在支付终端上可能输入密码,也可能采集生物特征。
示例3:
受理方操作员在支付终端上可能签到、输入交易金额,也可能进行终端的结算。
示例4:
业务管理者可能在支付平台上输入指令,以获得电子支付交易状况统计表。
示例5:
在支付过程中出现故障时,可能需要系统管理者的介入以正确完成支付行为。
5.1.5.2支付后台支付后台是接收支付平台发出的动账请求并返回执行结果的系统。
这种动账请求可能是单笔模式的,也可能是批量模式的。
支付后台分为:
a)金融支付后台。
其特征为:
1)保存有付款方的法定货币账户余额和交易明细;2)能够对付款方账户进行动账处理;3)能够将电子支付交易发生额按照约定的规则分别存入收款方和电子支付相关方的账户;4)具有按照金融支付平台的请求或在金融支付后台本身发现核算错误时,进行账务调整的能力。
注1:
经国家金融主管部门批准的金融机构才能设置金融支付后台。
6GB/T315022015注2:
付款方的账户一般是电子支付凭据持有者的账户,收款方的账户一般是受理方的账户。
除此之外的情况也是可能的,但会增加交易的复杂性。
示例:
本条描述的金融支付后台是一个广泛的概念。
在实际交易中,付款方账户和收款方账户可能不属于同一个银行,但金融后台能在其内部完成这样的账户资金转移。
b)中介支付后台。
其特征为:
1)保存有付款方、收款方和电子支付相关方的账户;2)具有对付款方账户的动账能力,且将发生额暂时计入收款方和电子支付相关方的能力;3)具有根据电子支付交易序列,对暂时计入收款方和电子支付相关方的发生额进行清分的能力;4)具有根据电子支付交易序列,完成原支付交易的反向交易的能力;5)具有根据电子支付交易序列,按照约定的规则对收款方账户进行动账的能力。
注1:
经国家金融主管部门批准的第三方支付机构才能设置中介支付后台。
这是一种非银行金融服务,但在某些文献中,第三方支付服务也可能称作非金融支付服务。
注2:
付款方的账户一般是电子支付凭据持有者的账户,收款方的账户一般是受理方的账户。
除此之外的情况也是可能的,但会增加交易的复杂性。
c)预存支付后台。
其特征为:
1)保存有付款方账户;2)具有根据电子支付交易,对付款方账户进行动账的能力;3)具有根据电子支付交易序列,完成原支付交易的反向交易的能力。
注1:
经国家主管部门批准的机构才能设置预存支付后台。
这也是一种非银行金融服务,但目前还没完全纳入金融管理,有部分与第三方支付服务重迭。
注2:
付款方的账户一般是电子支付凭据持有者的账户。
除此之外的情况也是可能的,但会增加交易的复杂性。
示例:
加油卡、购电卡、市政交通一卡通的后台系统为预存支付后台。
5.1.5.3认证中心认证中心是经国家主管部门批准设立的具有权威性和公正性的第三方信任机构,负责在需要时签发和管理数字证书,提供身份认证服务。
注:
电子支付机构内部设立的认证中心,不能满足公共电子支付系统抗抵赖性的完整需求。
5.2电子支付系统工作模式电子支付系统包括两种工作模式:
a)在线模式。
用户在支付终端上对电子支付凭据载体进行读或读写操作,在支付终端获取满足特定电子支付交易的全部必要信息后,通过网络向支付安全前置发出交易请求,随后:
1)金融支付安全前置将信息发送到金融支付平台,金融支付平台进行逻辑处理,向金融支付后台发出动账请求并获得结果后,通过金融支付安全前置向支付终端返回交易结果,完成电子支付交易。
2)中介支付安全前置将信息发送到本中介支付平台,本中介支付平台进行逻辑处理,向本中介支付后台发出动账请求,并:
通过本中介支付安全前置、金融支付安全前置向金融支付平台发出交易请求,由金融支付平台向金融支付后台发出动账请求,取得处理结果后返回本中介支付平台;或且通过本中介支付安全前置,另一中介支付安全前置向另一中介支付平台发出交易请求,由另一中介支付平台向另一中介支付后台发出动账请求,取得处理结果后返回本中介支付平台。
由本中介支付平台处理后产生对电子支付交易的响应,返回支付终端,完成电子支付交易。
3)预存支付安全前置将信息发送到预存支付平台,预存支付平台进行逻辑处理,向预存支付7GB/T315022015后台发出动账请求并获得结果后,通过预存支付安全前置向支付终端返回交易结果,完成电子支付交易。
注1:
在线模式(onlinemode)也称为联机模式,联线模式。
注2:
一般来说,通过中介支付服务方进行电子支付需要多次交易组成的交易序列,方可达到电子支付的目标。
b)离线模式。
用户在支付终端上对电子支付凭据载体进行读写操作以完成电子支付交易。
随后:
1)支付终端通过网络连接金融支付安全前置,将交易记录发送到金融支付平台,金融支付平台进行逻辑处理,向金融支付后台发出动账请求并获得结果,并依据结果形成后继处理信息。
在适宜的时刻,金融支付平台通过金融支付安全前置向支付终端发送后继处理信息。
2)支付终端通过网络或近场、物理通道连接预存支付安全前置,将交易记录发送到预存支付平台,预存支付平台进行逻辑处理,向预存支付后台发出动账请求并获得结果,并依据结果形成后继处理信息。
在适宜的时刻,预存支付平台通过预存支付安全前置向支付终端发送后继处理信息。
注:
离线模式(offlinemode)也称为脱机模式。
示例:
在离线模式下,止付名单(黑名单)就是一种后继处理信息。
电子支付系统的行为模型参见附录A。
5.3受保护资产5.3.1描述目的在本标准的后面各章中所描述的安全问题描述、安全目的和安全需求,均为了保护5.3中所描述的受保护的资产。
5.3.2用户数据userdata类(PUD)5.3.2.1概述用户数据userdata是指由用户产生或为用户产生的数据,这些数据不影响电子支付系统安全功能的运行。
5.3.2.2业务配置数据(PUD_BCD)电子支付凭据载体、支付终端、支付平台、支付后台的业务配置数据,与应用处理软件一同构成了业务处理规则,至少是一些主要的业务处理规则。
示例:
在使用卡号和密码
升级会员 