GM/T 0077-2019 银行核心信息系统密码应用技术要求

犐犆犛３５．０４０

犔８０

／—

犌犕犜００７７２０１９

犆狉狋狅狉犪犺狋犲犮犺狀犻犮犪犾狉犲狌犻狉犲犿犲狀狋狊犳狅狉犮狅狉犲犫犪狀犽犻狀狊狊狋犲犿狊

狔狆犵狆狔狇犵狔

２０１９０７１３２０１９０７１２

／—

犌犕犜００７７２０１９

目次

前言…………………………Ⅲ

引言…………………………Ⅳ

１范围………………………１

２规范引用文件……………１

３术语和定义………………１

４缩略语……………………４

５银行核心系统模型………………………４

６密码应用基本要求和密码应用功能要求………………４

７银行核心信息系统密码技术安全保护三级要求………４

７．１基本要求……………４

７．２密码技术安全要求…………………４

７．２．１物理和环境安全………………４

７．２．２网络和通信安全………………５

７．２．３设备和计算安全………………７

７．２．４应用和数据安全………………８

７．２．５密码配用策略要求……………８

７．３密钥安全与管理要求………………９

７．３．１总则……………９

７．３．２密钥安全………………………９

７．３．３密钥管理………………………１０

７．４安全管理要求………………………１３

７．４．１概述……………１３

７．４．２安全管理制度…………………１４

７．４．３人员管理要求…………………１４

７．４．４密码设备管理…………………１５

７．４．５使用密码的业务终端要求……………………１５

８银行核心信息系统密码技术安全保护四级要求………１５

８．１基本要求……………１５

８．２密码技术安全要求…………………１５

８．２．１物理和环境安全………………１５

８．２．２网络安全和通信安全…………１６

８．２．３设备和计算安全………………１７

８．２．４应用和数据安全………………１８

８．２．５密码配用策略要求……………１９

８．３密钥安全与管理要求………………２０

Ⅰ

／—

犌犕犜００７７２０１９

８．３．１总则……………２０

８．３．２密钥安全………………………２０

８．３．３密钥管理………………………２２

８．４安全管理要求………………………２５

８．４．１概述……………２５

８．４．２安全管理制度…………………２５

８．４．３人员管理要求…………………２５

８．４．４密码设备管理…………………２６

８．４．５使用密码的业务终端要求……………………２６

附录（规范性附录）安全要求对照表…………………

Ａ２７

参考文献……………………２９

Ⅱ

／—

犌犕犜００７７２０１９

前言

本标准是信息安全等级保护银行业金融机构密码技术应用要求相关系列标准之一。与本标准相关

的系列标准包括：

———／—《手机银行信息系统密码应用技术要求》

ＧＭＴ００７３２０１９

———／—《银行信贷信息系统密码应用技术要求》

ＧＭＴ００７５２０１９

———／—《银行卡信息系统密码应用技术要求》

ＧＭＴ００７６２０１９

本标准按照／—给出的规则起草。

ＧＢＴ１．１２００９

本标准由密码行业标准化技术委员会提出并归口。

本标准起草单位：国家密码管理局商用密码检测中心、中金金融认证中心有限公司、中国银行股份

有限公司、中国民生银行股份有限公司。

本标准主要起草人：邓开勇、谢宗晓、张大建、马瑶瑶、介磊、郭晶莹、张众、杨辰。

Ⅲ

／—

犌犕犜００７７２０１９

引言

本标准与／—《信息系统密码应用基本要求》、／—《手机银行信息系

ＧＭＴ００５４２０１８ＧＭＴ００７３２０１９

统密码应用技术要求》、／—《银行卡信息系统密码应用技术要求》、／—

ＧＭＴ００７６２０１９ＧＭＴ００７５２０１９

《》

银行信贷信息系统密码应用技术要求共同构成了信息系统安全等级保护密码技术要求的相关配套标

准。其中／—《信息系统密码应用基本要求》是基础性标准，本标准、／—

ＧＭＴ００５４２０１８ＧＭＴ００７３２０１９

《》、／—《》

手机银行信息系统密码应用技术要求ＧＭＴ００７６２０１９银行卡信息系统密码应用技术要求及

／—《银行信贷信息系统密码应用技术要求》是在／—基础上的进一步

ＧＭＴ００７５２０１９ＧＭＴ００５４２０１８

细化和扩展。

本标准在／—《信息系统密码应用基本要求》、／—《信息安全技术

ＧＭＴ００５４２０１８ＧＢＴ２２２３９２００８

信息系统安全等级保护基本要求》、／—《金融行业信息系统信息安全等级保护实施指引》

ＪＲＴ００７２０１２

等技术类标准的基础上，根据现有技术的发展水平，提出和规定了不同安全保护等级的银行核心系统保

护要求，包括安全技术要求和安全管理要求，本标准适用于指导不同安全保护等级的银行业金融机构核

心系统中密码技术的安全建设、安全使用与监督管理。

银行业金融机构应依据信息安全等级保护有关技术标准与国家、行业主管部门要求，对核心系统开

展包括系统定级在内的信息安全等级保护工作。、，

目前银行业核心系统安全级别为三级四级暂不存在

安全级别为一级、二级和五级系统，故本标准暂不对第一级信息系统、二级信息系统和五级信息系统提

出具体的密码技术要求。

银行核心信息系统应依据／—《信息安全技术信息系统安全等级保护定级指

ＧＢＴ２２２４０２００８

南》，，。，

以及国家主管部门有关要求进行定级等级确定后依据本标准选择相应级别的密码技术保护

措施。

在本标准文本的各类安全要求中，“可”表示可以、允许；“宜”表示推荐、建议；“应”表示应该。

Ⅳ

／—

犌犕犜００７７２０１９

银行核心信息系统密码应用技术要求

１范围

本标准在／—、／—等标准基础上，结合银行业金融机构核心系统的特

ＧＭＴ００５４２０１８ＪＲＴ００７２０１２

点及该类信息系统等级保护安全建设工作中密码技术的应用需要，、

从密码安全技术要求密钥安全与管

理要求、安全管理要求三方面，对不同安全保护等级的核心系统中密码技术应用提出具体的要求。

本标准适用于指导、规范和评估银行、金融机构的核心信息系统。

２规范引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文

件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

／—银行业务安全加密设备（零售）第部分：金融交易中设备安全符合性

ＧＢＴ２０５４７．２２００６２

检测清单

／银行业务个人识别码的管理与安全第部分：和系统中联机

ＧＢＴ２１０７８．１１ＡＴＭＰＯＳＰＩＮ

处理的基本原则和要求

／银行业务安全加密设备（零售）第部分：概念、要求和评价方法

ＧＢＴ２１０７９．１１

／技术规范

ＧＭＴ００２４ＳＳＬＶＰＮ

／密码模块安全要求

ＧＭＴ００２８

／—采用非接触卡的门禁系统密码应用指南

ＧＭＴ００３６２０１４

／—信息系统密码应用基本要求

ＧＭＴ００５４２０１８

／—密码术语

ＧＭＺ４００１２０１３

３术语和定义

／—界定的以及下列术语和定义适用于本文件。

ＧＭＺ４００１２０１３

３．１

加密／犲狀犮狉狋犻狅狀

犲狀犮犻犺犲狉犿犲狀狋

狆狔狆

对数据进行密码变换以产生密文的过程。

３．２

解密／犱犲犮狉狋犻狅狀

犱犲犮犻犺犲狉犿犲狀狋

狆狔狆

加密过程对应的逆过程。

３．３

密码算法犮狉狋狅狉犪犺犻犮犪犾狅狉犻狋犺犿

狔狆犵狆犵

描述密码处理过程的运算规则。

３．４

密钥犽犲

狔

控制密码算法运算的关键信息或参数。

１

／—

犌犕犜００７７２０１９

３．５

数字签名犱犻犻狋犪犾狊犻狀犪狋狌狉犲

犵犵

，

签名者使用私钥对待签名数据的杂凑值做密码运算得到的结果该结果只能用签名者的公钥进行

，、。

验证用于确认待签名数据的完整性签名者身份的真实性和签名行为的抗抵赖性

３．６

消息鉴别码；

犿犲狊狊犪犲犪狌狋犺犲狀狋犻犮犪狋犻狅狀犮狅犱犲犕犃犆

犵

消息鉴别算法的输出，又称消息认证码。

３．７

真实性犪狌狋犺犲狀狋犻犮犻狋

狔

确保主体或资源的身份正是所声称的特性。真实性适用于用户、进程、系统和信息之类的实体。

３．８

不可否认性狀狅狀狉犲狌犱犻犪狋犻狅狀

狆

证明一个已经发生的操作行为无法否认的性质。

３．９

身份鉴别／实体鉴别／

犪狌狋犺犲狀狋犻犮犪狋犻狅狀犲狀狋犻狋犪狌狋犺犲狀狋犻犮犪狋犻狅狀

狔

确认一个实体所声称身份的过程。

３．１０

授权狉犻狏犻犾犲犲犪狌狋犺狅狉犻狕犪狋犻狅狀

狆犵

在属性管理系统中，将主体与角色绑定的过程。

３．１１

机密性犮狅狀犳犻犱犲狀狋犻犪犾犻狋

狔

保证信息不被泄露给非授权的个人、进程等实体的性质。

３．１２

数据完整性犱犪狋犪犻狀狋犲狉犻狋

犵狔

数据没有遭受以非授权方式所作的篡改或破坏的性质。

３．１３

抗抵赖性狀狅狀狉犲狌犱犻犪狋犻狅狀

狆

也称不可否认性，证明一个已经发生的操作行为无法否认的性质。

３．１４

事件犲狏犲狀狋

与信息系统安全策略相冲突的进程。

３．１５

密钥加密密钥；

犽犲犲狀犮狉狋犻狅狀犽犲犓犈犓

狔狔狆狔

用于对密钥进行加密或解密的密钥。

３．１６

明文犾犪犻狀狋犲狓狋

狆

未加密的数据或解密还原后的数据。

３．１７

密码协议犮狉狋狅狉犪犺犻犮狉狅狋狅犮狅犾

狔狆犵狆狆

两个或两个以上参与者使用密码算法，按照约定的规则，为达到某种特定目的而采取的一系列

步骤。

２

／—

犌犕犜００７７２０１９

３．１８

密钥管理犽犲犿犪狀犪犲犿犲狀狋

狔犵

，、、、、、、、、、

根据安全策略对密钥的产生登记认证注销分发安装存储归档撤销衍生和销毁等操作制

定并实施一组确定的规则。

３．１９

密钥生命周期犽犲犾犻犳犲狋犻犿犲

狔

、、、、、、、、、。

密钥的产生登记认证注销分发安装存储归档撤销衍生和销毁的一系列完整事件周期

３．２０

密钥生成犽犲犲狀犲狉犪狋犻狅狀

狔犵

按特定规则生成密钥的过程。

３．２１

密钥存储犽犲狊狋狅狉犪犲

狔犵

将密钥保存在指定受控空间的过程。

３．２２

密钥分发犽犲犱犻狊狋狉犻犫狌狋犻狅狀

狔

按照安全协议将密钥分配给对应实体的过程。

３．２３

密钥备份犽犲犫犪犮犽狌

狔狆

从密码设备中将密钥安全复制到存储载体的过程，备份的密钥用于密钥恢复。

３．２４

密钥恢复犽犲狉犲犮狅狏犲狉

狔狔

将归档或备份的密钥恢复到可用状态的过程。

３．２５

密钥归档犽犲犪狉犮犺犻狏犲

狔

将已分发且不再使用的密钥分类记录并安全保存的管理过程。

３．２６

密钥销毁犽犲犱犲狊狋狉狌犮狋犻狅狀

狔

，。

将密钥通过物理或逻辑的方式消除使其无法再恢复

３．２７

密钥信封犽犲犿犪犻犾犲狉

狔

用于向已授权人员传送密钥组件的“防篡改”信封。

３．２８

银行核心系统犫犪狀犽犻狀犮狅狉犲狊狊狋犲犿

犵狔

运行银行业关键核心业务的信息系统。

３．２９

动态口令（），

狅狀犲狋犻犿犲犪狊狊狑狅狉犱犗犜犘犱狀犪犿犻犮犪狊狊狑狅狉犱

狆狔狆

基于时间、事件等方式动态生成的一次性口令。

３．３０

访问控制犪犮犮犲狊狊犮狅狀狋狉狅犾

按照特定策略，允许或拒绝用户对资源访问的一种机制。

３．３１

生物识别犫犻狅犿犲狋狉犻犮犪狌狋犺犲狀狋犻犮犪狋犻狅狀

利用人体固有的生理特性如指纹虹膜与行为特征来进行个人身份的鉴定是使用密码技术进

（、），，

行身份认证的辅助认证措施。

３

／—

犌犕犜００７７２０１９

４缩略语

下列缩略语适用于本文件。

消息鉴别码（）

ＭＡＣＭｅｓｓａｅＡｕｔｈｅｎｔｉｃａｔｉｏｎＣｏｄｅ

ｇ

个人标识码（）

ＰＩＮＰｅｒｓｏｎａｌＩｄｅｎｔｉｆｉｃａｔｉｏｎＮｕｍｂｅｒ

安全套接层（）

ＳＳＬＳｅｃｕｒｅＳｏｃｋｅｔｓＬａｅｒ

ｙ

可信密码模块（）

ＴＣＭＴｒｕｓｔｅｄＣｒｔｏｒａｈＭｏｄｕｌｅ

ｙｐｇｐｙ

安全传输层协议（）

ＴＬＳＴｒａｎｓｏｒｔＬａｅｒＳｅｃｕｒｉｔ

ｐｙｙ

虚拟专用网络（）

ＶＰＮＶｉｒｔｕａｌＰｒｉｖａｔｅＮｅｔｗｏｒｋ

５银行核心系统模型

、、。。

典型的银行核心系统由物理云业务云用户应用系统组成如图所示

１

图银行核心系统基本架构

１

物理云包括：服务器集群、灾难备份系统、网络设备群和其他辅助物理设备。

业务云包括：业务子模块、数据库、流程中间件、操作系统集群等业务模块。主要用于银行内部工作

流程的流程的流转。

用户应用系统：是银行核心系统面向用户的交互的基本设备，包含与用户可直接对接的软、硬件。

边界：指主体之间互联互通的界限，包括交互边界、网络边界、物理边界等。

６密码应用基本要求和密码应用功能要求

银行核心信息系统密码应用基本要求和密码应用功能要求遵照／—第章、第章要求。

ＧＭＴ００５４２０１８５６

）

７银行核心信息系统密码技术安全保护三级要求１

７．１基本要求

应满足／—中第三级指标要求。

ＧＭＴ００５４２０１８

７．２密码技术安全要求

７．２．１物理和环境安全

７．２．１．１总则

参照／—中物理和环境安全密码应用总则。

ＧＭＴ００５４２０１８

）该级别的全部安全要求与其他级别的对比请参照附录安全要求对照表，下同。

１Ａ

４

／—

犌犕犜００７７２０１９

７．２．１．２密码硬件安全

“密码硬件安全”“物理环境安全”和“电子门禁系统”是银行核心系统“物理和环境安全”的组成部

分。，“”

在银行核心信息系统密码技术安全保护三级要求中对物理和环境安全密码硬件安全指标做如

下要求：

ａ）系统的专用硬件或固件以及密码设备应具有有效的物理安全保护措施；

注本标准中有效措施是指能满足保证项要求的手段或能实现系统设定的安全目标的方法以下注释同

：“”“”，。

ｂ）系统的专用硬件或固件以及密码设备应满足运行环境可靠性要求。

７．２．１．３物理环境安全

“”“”“”“”

密码硬件安全物理环境安全和电子门禁系统是银行核心系统物理和环境安全的组成部

分。在银行核心信息系统密码技术安全保护三级要求中，对“物理和环境安全物理环境安全”指标做如

下要求：

，

应使用密码技术的真实性功能来保护物理访问控制身份鉴别信息保证重要区域进入人员身份的

真实性。

７．２．１．４电子门禁系统

“密码硬件安全”“物理环境安全”和“电子门禁系统”是银行核心系统“物理和环境安全”的组成部

分。在银行核心信息系统密码技术安全保护三级要求中，对“物理和环境安全电子门禁系统”指标做如

下要求：

ａ）在电子门禁系统中，应使用密码技术的完整性服务保证电子门禁系统进出记录的完整性，其密

、；

码功能应确保正确有效

ｂ）门禁系统应使用非接触读卡方式，避免使用磁条卡；

），

ｃ当门禁系统检测到无法识别的卡片尝试非法进入时应提供警告信息并能对非法尝试的卡片

进行定位；

）采用的门禁系统资质、架构、部署应符合／—要求的技术规范；

ｄＧＭＴ００３６２０１４

）应制定相应规章制度以确保门禁系统使用的合规性、正确性、有效性；

ｅ

）应使用密码技术的完整性功能来保证视频监控音像记录的完整性；

ｆ

）采用的门禁系统资质、架构、部署应符合／—要求的技术规范；

ＧＭＴ００３６２０１４

ｇ

ｈ）应制定相应规章制度以确保门禁系统使用的合规性、正确性、有效性。

７．２．２网络和通信安全

７．２．２．１总则

参照／—中网络和通信安全密码应用总则。

ＧＭＴ００５４２０１８

７．２．２．２通信安全

“通信安全”“身份鉴别”“安全访问路径”和“审计记录”是银行核心系统“网络和通信安全”的组成部

分。在银行核心信息系统密码技术安全保护三级要求中，对“网络和通信安全通信安全”指标做如下

要求：

ａ）为防止访问通讯数据被篡改、截获、假冒和重用，应使用密码技术的完整性服务、机密性服务和

真实性服务对网络边界、系统资源访问控制信息进行保护，其密码功能应确保正确、有效；

ｂ）在进行数据传输时，应使用数字证书、加密解密等密码技术，建立安全的传输层会话通道；传输

５

／—

犌犕犜００７７２０１９

，；

数据的主体应对客体的身份信息进行鉴别保障数据的机密性

）应使用密码技术的真实性服务来实现通信双方会话初始化验证，其密码功能应确保正确、

ｃ

有效；

ｄ）宜使用密码技术的抗抵赖服务来提供数据原发证据和数据接收证据，实现数据原发行为的抗

抵赖和数据接收行为的抗抵赖，其密码功能应确保正确、有效。

７．２．２．３身份鉴别

“”“”“”“”“”

通信安全身份鉴别安全访问路径和审计记录是银行核心系统网络和通信安全的组成部

。，“”

分在银行核心信息系统密码技术安全保护三级要求中对网络和通信安全身份鉴别指标做如下

要求：

），，

ａ在对登录网络设备的用户进行身份鉴别时为防止鉴别信息被重用和假冒应使用密码技术的

真实性服务对鉴别信息进行防重用和防假冒保护，、；

其密码功能应确保正确有效

），，

ｂ在执行网络远程管理时为防止鉴别信息在传输过程中被泄露应使用密码技术的机密性服务

对鉴别信息进行机密性保护，其密码功能应确保正确、有效；

），

ｃ网络设备系统管理用户身份标识应具有不易被冒用的特点关键网络设备的静态口令应在８

位以上并由字母、数字、符号等混合组成并定期更换；

ｄ）信息系统对通过身份认证后的实体，应使用密码技术生成唯一的随机的标识符，并确保该功能

正确、有效；

），，；

ｅ应设置鉴别警示信息当出现越权访问或尝试非法访问时系统会自动提示未授权访问

），

ｆ宜采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别并且身份鉴别信息至少有

一种是不易伪造的，、、。

例如以密钥证书动态口令卡生物特征等作为身份鉴别信息

７．２．２．４安全访问路径

“通信安全”“身份鉴别”“安全访问路径”和“审计记录”是银行核心系统“安全访问路径”的组成部

分。在银行核心信息系统密码技术安全保护三级要求中，对“网络和通信安全安全访问路径”指标做如

下要求：

ａ）应在通信前基于密码技术对通信双方进行身份认证，使用密码技术的机密性和真实性功能来

实现防截获、防假冒和防重用，保证传输过程中鉴别信息的机密性和网络设备实体身份的真

实性；

ｂ）在建立安全访问路径的过程中，应使用密码技术的真实性服务保证通信主体身份鉴别信息的

可靠与真实性，其密码功能应确保正确、有效；

）在建立安全访问路径的过程中，应使用密码技术的完整性服务保证安全访问路径中路由控制

ｃ

信息的完整性，其密码功能应确保正确、有效；

ｄ）应采用密码技术保证通信过程中敏感信息数据字段或整个报文的机密性；

）应采用密码技术建立一条安全的信息传输通道，对网络中的安全设备或安全组件进行集中

ｅ

管理。

７．２．２．５审计记录

“通信安全”“身份鉴别”“安全访问路径”和“审计记录”是银行核心系统“安全访问路径”的组成部

分。在银行核心信息系统密码技术安全保护三级要求中，对“网络和通信安全审计记录”指标做如下

要求：

应使用密码技术的完整性服务对审计记录进行完整性保护，其密码功能应确保正确、有效。

６

／—

犌犕犜００７７２０１９

７．２．３设备和计算安全

７．２．３．１总则

参照／—中设备和计算安全密码应用总则。

ＧＭＴ００５４２０１８

７．２．３．２审计记录

“审计记录”“身份鉴别”“访问控制”和“密码模块”是银行核心系统“设备和计算安全”的组成部分。

在银行核心信息系统密码技术安全保护三级要求中，对“设备和计算安全审计记录”指标做如下要求：

ａ）审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户；

ｂ）应使用密码技术的完整性服务实现审计记录的完整性校验，其密码功能应确保正确、有效；

）应使用密码技术的完整性功能来对日志记录进行完整性保护；

ｃ

）、

ｄ审计内容应包括重要用户行为系统资源的异常使用和重要系统命令的使用等系统内重要的

安全相关事件；

）、、、、。

ｅ审计记录应包括日期和时间类型主体标识客体标识事件的结果等

７．２．３．３身份鉴别

“审计记录”“身份鉴别”“访问控制”和“密码模块”是银行核心系统“设备和计算安全”的组成部分。

，“”：

在银行核心信息系统密码技术安全保护三级要求中对设备和计算安全身份鉴别指标做如下要求

ａ）应使用密码技术实现组合鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更

换，其密码功能应确保正确、有效；

ｂ）应使用密码技术的真实性服务实现鉴别信息的防假冒和防重用功能，保证操作系统和数据库

系统用户身份的真实性，其密码功能应确保正确、有效；

）在远程管理时，应使用密码技术的机密性服务实现远程管理鉴别信息的防窃听功能，其密码功

ｃ

能应确保正确、；

有效

ｄ）主机系统应对与之相连的服务器或终端设备进行身份标识和鉴别，当网络对服务器进行远程

管理时，宜采取加密措施，防止鉴别信息在网络传输过程中被窃听；

）操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，关键系统的静态口令应

ｅ

在８位以上，由字母、数字、符号等混合组成并定期更换；

）应设置鉴别警示信息，当出现越权访问或尝试非法访问时，系统会自动提示未授权访问；

ｆ

）应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别，并且身份鉴别信息至少有

ｇ

一种是不可伪造的，例如以密钥证书、动态口令卡、生物特征等作为身份鉴别信息。

７．２．３．４访问控制

“审计记录”“身份鉴别”“访问控制”和“密码模块”是银行核心系统“设备和计算安全”的组成部分。

在银行核心信息系统密码技术安全保护三级要求中，对“设备和计算安全访问控制”指标做如下要求：

），，