GBT21079.1-2011银行业务安全加密设备(零售)第1部分：概念、要求和评估方法.pdf 28页

'ICS35．240．40A11a雪中华人民共和国国家标准GB／T21079．1—2011／lso13491-1：2007代替GB／T21079．1—2007银行业务安全加密设备(零售)第1部分：概念、要求和评估方法Banking--Securecryptographicdevices(retail)_——Part1：Concepts，requirementsandevaluationmethods2011—12—30发布(IS013491-1：2007，IDT)2012-02-01实施丰瞀鹊紫瓣警麟瞥星发布中国国家标准化管理委员会“1” 标准分享网www.bzfxw.com免费下载目次前言·⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．．引言⋯⋯⋯⋯⋯⋯·⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯--1范围⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯··⋯⋯⋯⋯⋯⋯··2规范性引用文件⋯⋯⋯·⋯⋯⋯⋯⋯⋯⋯⋯⋯3术语和定义⋯·⋯⋯⋯⋯⋯⋯⋯·⋯⋯⋯⋯·⋯·4缩略语⋯·⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯··⋯⋯⋯·5安全密码设备(SCD)··⋯⋯·⋯⋯·⋯⋯⋯⋯⋯5．1概述⋯⋯·⋯⋯⋯⋯⋯⋯⋯·⋯⋯⋯⋯·⋯·5．2攻击场景⋯⋯⋯·⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯5．3防御措施⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯·6设备安全特性要求⋯⋯··⋯⋯·⋯⋯⋯⋯·⋯⋯6．1概述·⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯6．2SCD的物理安全要求⋯⋯⋯⋯⋯⋯·⋯⋯6．3SCD的逻辑安全要求⋯⋯⋯⋯⋯·⋯⋯⋯7设备管理要求⋯···⋯⋯⋯⋯⋯⋯⋯⋯⋯·⋯⋯t-7．1概述⋯⋯⋯⋯⋯·⋯⋯⋯⋯⋯⋯⋯·⋯⋯⋯一7．2生命周期阶段·⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯··7．3生命周期阶段的保护要求⋯··⋯⋯·⋯⋯⋯7．4生命周期阶段的保护方法⋯⋯⋯⋯⋯⋯⋯7．5责任⋯·⋯⋯··⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯7．6设备管理的审计和控制原则⋯⋯·⋯⋯⋯·一8评估方法⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯·⋯⋯··⋯8．1概述·⋯⋯⋯⋯⋯⋯-⋯·⋯⋯·⋯⋯⋯⋯·⋯·8．2风险评估⋯⋯⋯·⋯⋯⋯⋯⋯⋯⋯··⋯⋯⋯8．3非正式评估方法⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯···8．4准正式评估方法⋯⋯···⋯⋯·⋯⋯⋯⋯⋯“8．5正式评估方法⋯⋯⋯⋯⋯⋯⋯⋯·⋯⋯⋯·一附录A(资料性附录)有关系统安全级别的概念参考文献⋯·⋯⋯⋯⋯⋯⋯⋯··⋯⋯⋯⋯⋯⋯⋯···GB／T21079．1—2011／ISo13491-1：2007ⅢⅣ，●●o4oo，o∞如∞u地¨“坫坫¨"珀∞n丛 标准分享网www.bzfxw.com免费下载刖昌GB／T21079．1—2011／ISO13491-1：2007GB／T21079<(银行业务安全加密设备(零售)》由以下两部分构成：——第1部分：概念、要求和评估方法；——第2部分：金融交易中设备安全符合性检测清单。本部分为GB／T21079的第1部分。本部分按照GB／T1．1—2009给出的规则起草。本部分代替GB／T21079．1—2007《银行业务安全加密设备(零售)第1部分：概念、要求和评估方法》，本部分与GB／T21079．12007相比主要变化如下：——在SCD的物理安全要求中增加：物理安全设备及采用“每笔交易一个密钥”管理方式设备的描述(本版的6．2．5和6．2．6)；——在SCD的逻辑安全要求中增加：双重控制、每台设备采用惟一密钥要求(本版的8．3．1和6．3．2)；——为保证和本标准第2部分：金融交易中设备安全符合性检测清单(已做为GB／T20547．22006发布)的统一，将本部分评估方法中的“半正式评估”统一为“准正式评估”；——对标准的结构进行了重新调整，去除了原标准中部分章节的悬置段(2007版的4、4．1、4．2、5．3、6、6．2、6．3、7、7．1、7．3、7．4；本版的5．1、5．2．1、5．3．1、7．1、7．3．1、7．4．1、8．1．1、8．3．1、8．4．1)。本部分使用翻译法等同采用ISO13491—1：2007<<银行业务安全加密设备(零售)第1部分：概念、要求和评估方法》。为便于使用，本部分做了下述编辑性修改：——删除ISO前言。与本部分规范性引用的国际标准有一致性对应关系的我国标准如下：GB／T20547．2银行业务安全加密设备(零售)第2部分：金融交易中设备安全符合性检测清单(GB／T20547．22006，ISO13491—2：2005，MOD)本部分由中国人民银行提出。本部分由全国金融标准化技术委员会(SAC／TC180)归口。本部分负责起草单位：中国金融电子化公司。本部分参加起草单位：中国人民银行、中国工商银行、中国银行、中国建设银行、交通银行、中信银行、北京银联金卡科技有限公司。本部分主要起草人：王平娃、陆书春、李曙光、杨倩、赵志兰、田洁、仲志晖、刘志刚、邵冠军、李延、杨宝辉、贾静、李孟琰、贾树辉、刘运、景芸。本部分于2007年首次发布，本次为第一次修订。Ⅲ 标准分享网www.bzfxw.com免费下载GB／T21079．1—2011／[SO1349卜1：2007引言本部分规定了金融零售业务中用于保护报文、密钥及其他敏感数据的安全密码设备(SCD)的物理特性、逻辑特性和管理要求。零售电子支付系统的安全性在很大程度上依赖于这些密码设备的安全性。安全性的提出是基于这样一些假设：——计算机文件可能被非法访问和处理；——通讯线路可能被“窃听”；——输入系统的合法的数据和控制指令可能被未授权替换。在这些密码设备上处理PIN(个人标识码)、MAC(报文鉴别码)、密钥和其他机密数据时，存在数据泄漏或被篡改的风险。通过合理使用、正确管理具有特定物理和逻辑安全特性的安全密码设备可降低金融风险。Ⅳ 标准分享网www.bzfxw.com免费下载1范围GB／T21079．1—2011／iso1349卜1：2007银行业务安全加密设备(零售)第1部分：概念、要求和评估方法GB／T21079的本部分以ISO9564、ISO16609和ISO11568中定义的密码方法为基础，规定了对安全密码设备(以下简称SCD)的要求。本部分有以下两个主要目的：a)规定SCD的操作性要求和其在整个生命周期中的管理要求；b)对上述要求的符合性检查方法进行标准化。SCD应具有合适的设备特性并进行适当的设备管理，前者保证了SCD的操作性能以及为其内部数据提供足够的保护；后者保证了SCD的合法性，即SCD不会以非授权的方式更改(如安装“侦听装置”等)且其中的任何敏感数据(如加密密钥)不会遭到泄漏或篡改。绝对的安全性实际上是无法达到的。SCD的安全性依赖于在生命周期每个阶段中适当的管理和安全密码特性两者的有机结合。管理程序可以通过防范措施来降低SCD安全受到破坏的几率，目的是在设备本身特性不能阻止或检测安全攻击的情况下，提高发现非法访问敏感数据或机密数据的可能性。附录A以资料性信息的形式，描述了本部分提及的适用于SCD安全级别的概念。本部分没有涉及由SCD拒绝服务引发的问题，也没有涉及在金融零售业务中，不同SCD在设备特性和管理方面的具体要求，该部分内容见IsO13491—2。本部分适用于金融零售业务中安全密码设备的安全管理。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。ISO11568—1银行业务密钥管理(零售)第l部分：一般原则(Banking--Keymanagement(retail)Part1：Principles)ISO11568—2：2005银行业务密钥管理(零售)第2部分：对称密码系统及其密钥管理和生命周期(Banking--Keymanagement(retail)--Part2：Symmetricciphers，theirkeymanagementandlifecycle)ISO11568—4银行业务密钥管理(零售)第4部分：非对称密码系统及其密钥管理和生命周期(Banklng_Keymanagement(retail)--Part4：Asymmetriccryptosystems--Keymanagementandlifecycle)ISO13491—2银行业务安全加密设备(零售)第2部分：金融交易中设备安全符合性检测清单(Securecryptographicdevices(retail)Part2：Securitycompliancechecklistsfordevicesusedinfinan—cialtransactions)3术语和定义下列术语和定义适用于本文件。 标准分享网www.bzfxw.com免费下载GB／T21079．1—2011／iso13491-1120073．13．23．33．43．53．63．73．83．9认可机构accreditationauthority负责认可评估机构并且监督其工作以确保评估结果可再现的机构。经认可的评估机构accreditedevaluationauthority经认可机构根据相应规则认可后，从事评估工作的机构。注：认可规则实例参见ISO／IEC17025。3．103．113．123．133．14评估检测清单assessmentcheck-list按设备类型编制的声明表，详细介绍见ISO13491—2。非正式评估报告assessmentreport进行非正式评估审核的机构根据评估人的评估结果出具的报告。非正式评估审核机构assessmentreviewbody负责对评估人的评估结果进行核查审定的组织。评估人assessor代表发起方或非正式评估审核机构以非正式方式对SCD进行检查、评估、复查和评估的人员。攻击attack攻击者尝试从设备中获取(修改)敏感数据，或尝试得到(修改)非授权的服务。认证报告certificationreport评估审核机构根据经认可的评估机构的评估结果而出具的报告。管理者controller负责SCD安全管理的实体。提交物deliverables评估人在对SCD进行评估时需要的文档、设备和任何其他物品和信息。设备泄漏devicecompromise对SCD所提供的物理或逻辑保护造成破坏，并造成机密信息的潜在泄露和SCD的非授权使用设备安全性devicesecurity与特定操作环境无关，仅依赖于自身特性的SCD的安全性。环境相关安全性environment-dependentsecuritySCD作为操作环境一部分的安全性。评估机构evaluationagencySCD的设计方、生产商以及发起方委托其依据本部分标准(应用专业技术和工具)对SCD的进行评 GB／T21079．1--2011／too13491-I：2007估的组织。3．15评估报告evaluationreport评估审核机构基于评估机构或审计员的评估结果而出具的报告。3．16评估审核机构evaluationreviewbody负责对评估机构的评估结果进行核查审定的组织。3．17正式声明formalclaimSCD特性和功能的声明。3．18逻辑安全性logicalsecurity设备在功能上抵御攻击的能力。3．19操作环境operationalenvironmentSCD的使用环境。包括应用系统、使用场所、操作人员以及与其通讯的设备等。3．20物理安全性physicalsecurity设备在物理构造上抵御攻击的能力。包括的物理特性，如电磁辐射和电源波动，以及对可导致旁路攻击的分析。3．21安全密码设备secnrecryptographicdevice；SCD能提供一系列安全加密服务和存储并具备物理和逻辑保护功能的硬件设备(如PIN输入装置或硬件安全模块)。这些设备可集成到一个更大的系统，如自动柜员机(ATM)或者销售点终端中(POS)。3．22敏感数据sensitivedata敏感信息sensitiveinformation应防止非授权泄露、更改或毁坏的数据、状态信息和密钥等。3．23敏感状态sensitivestate提供对安全操作员界面进行访问的设备状态。在此状态下，只有在设备处于双重或多重控制时才能接受访问。3．24发起机构sponsoringauthority发起人sponsor申请对SCD进行评估的个人、公司或组织。3．25防攻击性tamper-evidentcharacteristic能提供被攻击证据的特性。3．26抗攻击性tamper-resistantcharacteristic提供物理保护以抵御攻击的特性。 GB／T21079．1—2011／ISO13491-1：20073．27反攻击性tamper-responsivecharacteristic针对已检测到的攻击，主动反应以阻止攻击的特性。4缩略语ATMMACP1NPOSSCDautomatedtellermachine自动柜员机messageauthenticationcode报文鉴别码personalidentificationnumber个人识别码pointofsale销售点终端securecryptographicdevice安全密码设备5安全密码设备(SCD)5．1概述金融零售业务使用密码技术来确保：——敏感数据的完整性和真实性，如：通过MAC交易细节；——秘密信息的机密性，如：加密用户PIN；——密码密钥的机密性、完整性、真实性；——其他敏感操作的安全性，如：PIN验证。为保证上述目标的实现，应防止密码过程中的下述安全威胁：——密钥和其他敏感数据的泄露或者篡改；——密钥和服务的非授权使用。SCD是可提供密码服务、访问控制、密钥存储并具备物理和逻辑保护功能的硬件设备，可用以防止上述所提到的威胁。本部分的要求只针对SCD本身，不涉及集成SCD的系统。尽管如此，分析SCD和系统其他部分之间的接口对于确保SCD不被攻击具有重要的作用。由于绝对的安全实际上是无法达到的，所以把一个SCD描述为绝对“耐攻击”或者“物理安全”是不现实的。事实上在投入足够的开销、精力和技术的条件下，任何一个安全方案都可能会被攻破。而且，随着技术不断发展，一个原先认为不易被攻破的系统可能受到新技术的攻击。所以，比较现实的做法是为安全设备确定一个抵御攻击能力的安全级别。而一个可以接受的安全级别是：在分析了攻击方实施一次成功攻击所需使用的设备、技术和其他成本以及从中可能获取的利益之后，认为足以阻止在设备运行周期内可预见的攻击。零售支付系统的安全性要考虑到设备的物理和逻辑安全、运行环境的安全和设备的管理。这些因素结合起来组成了设备及其应用的安全性。安全性的需求来源于对系统应用可能产生的风险的评估。安全特性的要求取决于SCD的具体应用、运行环境以及应考虑到的攻击类型。评估设备安全性的最恰当方法是进行风险评估，根据评估结果决定能否在特定的应用和环境中使用该设备。第8章给出了标准的评估方法。5．2攻击场景5．2．1概述4SCD主要易受到下面五类攻击，这些攻击可能被综合使用——渗透； GB／T21079．1—2011／Iso13491一f12007一监测；一操控；一修改；——替换。以下描述了这些攻击形式。注：这里描述的攻击场景并不全面，指出的仅是应引起注意的主要场景。5．2．2渗透渗透是一种包括使用物理的穿孔技术或者非授权打开设备来获取其中的敏感数据，如密钥的攻击。5．2．3监测监测是一种包括如监测电磁辐射、差分能量分析、时间特性等来发现设备中的敏感数据，或者通过视觉、听觉或电子方式监测输入到设备的敏感数据的攻击。5．2．4操控操控是指未经授权，向设备发送一系列输入信息，改变设备的外部输入(如电源或时钟信号)或使设备接受其他的外界影响，从而导致设备中敏感数据的泄露或者以非授权的方式获得服务。如让设备进入“测试模式”，以泄漏敏感数据或者破坏设备的完整性。5．2．5修改修改是指对设备物理或者逻辑特性的非授权修改或改变，如在PIN键盘中的PIN输入点和PIN加密点之间插入一个泄漏PIN的装置。注意，此修改的目的是篡改设备而非立即泄漏设备中包含的信息。为成功实施攻击，修改后设备应进入(或保持)运行状态。对设备中密钥的非授权替换是修改攻击的一种形式。5．2．6替换替换是指未经授权的设备替换。用于替换的设备可能只是一个外观相像的赝品或者仿真设备，这些替换品包含原设备的全部或者部分逻辑特性，或加上一些未经授权的功能(如PIN泄露装置)。用于替换的设备还可能曾经是一个合法的设备，该设备在经过非授权的修改后，已由另一个合法的设备替换。移除也是替换的一种，其目的是为了在一个更加适合的环境中进行渗透或修改攻击。替换可以看作是修改的一种特殊情况，攻击者实际上不修改目标设备，而是将其替换成另一个修改后的替代品。5．3防御措施5．3．1概述为防御上述讨论的攻击场景，结合使用以下三个要素可以提供所需的安全性：一设备特性；——设备管理；——环境。虽然在一些情况下某个单一要素，如设备特性可能占据主导地位，但一般情况下为获得希望的结果，上面所有的要素都是必需的。5 GB／T21079．1--2011／ISO13491—1：20075．3．2设备特性SCD在设计和实施中应考虑到逻辑和物理上的安全性，以抵御5．2中描述的攻击场景。物理安全特性可以分为以下三类：——防攻击性；——抗攻击性；——反攻击性。实现设备的物理安全通常是结合以上三种特性类型。其他的物理安全特性可用来抵御一些被动攻击，如监测。物理安全特性也可用来协助抵御修改和替代攻击。防攻击的目的是对试图进行的攻击以及攻击是否造成敏感数据的非授权泄露、使用或修改提供证据。可以通过物理证据(如包装的破坏)显示试图进行的攻击。证据也包括设备不在它应在的位置。抗攻击的目的是通过被动的防御措施或逻辑特性阻止攻击。防御措施通常是单一目的的，用于阻止某种特定的攻击，如渗透攻击。逻辑保护方法通常用于防止敏感数据的泄漏或用于防止应用系统或应用软件的非法修改。反攻击的目的是采用主动的机制防止攻击。当设备察觉不正常的工作状态就会触发主动保护机制，这些机制可使受保护信息变为不可用的形式。各种保护特性的实现在很大程度上依赖于设计者对已知攻击的知识和经验。因此，攻击者通常把注意力放在发现是否存在防御者没有涉及的已知攻击，也会尝试寻找新的防御者未知的攻击方法。对于SCD安全性的评估困难且存在不确定性，因为评估通常只能证明此设计针对当前已知的攻击进行了成功防御，而没有或者不能评估对未知攻击的防御能力。5．3．3设备管理设备管理是指在设备生命周期和所处环境中对设备进行的外部控制(见第7章)。这些控制包括：——外部密钥管理方法；——安全措施；——操作程序。在设备的生命周期中安全级别可以变化。设备管理的一个主要目标是为了确保设备特性在生命周期中不会受到非授权的改变。5．3．4环境环境安全的目标是控制对SCD及其服务的访问，由此防止或者至少检测到对SCD的攻击。在SCD的生命周期中，它可能在不同的环境中使用(见第7章)。这些环境可以通过受控程度的高低进行分类。一个高级受控的环境包括了由可信个体进行的持续监测，而一个最低受控环境可能不包含任何特殊的环境安全设施。如果一个SCD的安全依赖于受控环境的一些功能，则应充分证明此受控环境确实提供了这些功能。6设备安全特性要求6．1概述SCD的设备特性可以分为物理的或逻辑的两类。——物理特性描述了构成SCD的组件特性及组件构造设备的方式；——逻辑特性描述了设备处理输入并产生输出或变换逻辑状态的方式。SCD的特性应确保设备或者它的接口中任何输入或者输出的敏感数据以及设备中存储或者处理 GB／T21079．1--2011／ISO13491-1：2007的数据不被泄漏。当SCD在一个受控环境中运行时，对设备特性的要求依赖于由受控环境和设备管理提供的保护的程度。6．2SCD的物理安全要求6．2．1一般要求SCD应按如下要求设计：设备内组件的任何故障或者在设备规定范围之外使用，不应造成敏感数据的泄露或者无法检测到的修改。SCD应按如下要求设计并构造：对设备中输入、存储或处理的敏感数据(包括设备软件)的非授权访问或修改，只有通过对设备的物理渗透方可实现。注1：建议SCD应如此设计和构造：对于任何用于伪装目的截取或替换SCD的输入输出数据的外部附加设备应有很高的检出几率，或识别出不是合法设备。当SCD的设计允许对内部区域进行访问时(如用于维护)，如果这样的访问会引发安全威胁并且不能以其他方式预防，则应存在这样的机制，使得这些访问会立即引发密钥和其他敏感数据的擦除。洼2：本部分的设备维护应包括以下三种情形：——服务：为了确保设备正常操作状态的维护和保养；——检查：对设备的物理检查和实际操作状况的评估；——修复：将设备恢复到正常工作状态。通过设计、构造及配置，SCD和它的数据输入功能应能防止受到直接的或者间接的监测，从而保证没有任何可行的攻击导致机密或者敏感数据的泄漏。应确保抗攻击机制的完整性。该完整性可以通过使用另外的抗攻击机制来实现，如分层防御。6．2．2防攻击性要求6．2．2．1如果设备依赖于防攻击性机制来抵御替换，渗透或者修改攻击，则这些设备抵御攻击的方式可参照6．2．2．2～6．2．2．4中描述的方式进行。6．2．2．2替换为防止使用伪造的或者被篡改的设备进行替换，设计设备时应该保证攻击者无法用通过商业途径获得的组件构造出一个可能被误认为真实设备的复制品。6．2．2．3渗透为保证可以检测到对SCD的渗透，设计及构造设备时应使任何成功的渗透必然会对设备造成物理损坏，或者致使其长时间搬离合法位置。这样的设备在重新进人原来的服务时应能发现其受到渗透攻击。6．2．2．4修改为确保可以检测出对SCD的修改，设计及构造设备时应使任何成功的修改必然会对设备造成物理损坏，或者致使其长时间搬离合法位置。这样的设备在重新进入原来的服务时应能发现其受到修改攻击。6．2．3抗攻击要求6．2．3．1如果设备依赖于抗攻击性机制来抵御渗透、修改、监测或者替换／移除等攻击，那么这些设备抵御攻击的方式可参照6．2．3．2～6．2．3．5中描述的方式进行。6．2．3．2渗透为防止设备受到渗透攻击，SCD应达到以下的抗攻击程度：无论在设备的预定运行环境中还是将其放置到特殊设施中，如果企图使用特殊的设备对其进行渗透攻击，设备的被动防御足以使渗透不起7 GB／T21079．1--2011／ISO13491-1：2007作用。6．2．3．3修改除非使用特殊装置破坏设备使其无法运行，否则无法非授权地修改SCD中存放的密钥或敏感数据，或者在设备中放置分接设备(如主动、被动、无线等设备)来记录敏感数据。6．2．3．4监测抗攻击设备特性应能抵御监测攻击。被动物理屏蔽应包括以下方面：——屏蔽可能因监测而导致设备中机密信息泄漏的电磁辐射；——私密屏蔽，在正常操作中，私密信息的输入不易被他人偷窥(如设备的设计和安装应便于用户身体的遮挡，防止其他人偷窥)。如果设备的部分组件无法通过适当保护以防止监测，则该部分设备不应保存、传输或处理敏感数据。设备应按以下方式设计及构造：在监测发生前，对监测敏感数据的非授权附加物应有很高的检出概率。6．2．3．5替换／移除如果需要防止替换／移除攻击，设备应进行以下方式的安全保护：把设备从预定的运行地点上移除在经济上不可行。6．2．4反攻击要求6．2．4．1SCD采用反攻击机制时应通过采用反攻击性和／或抗攻击性保证机制的完整性。如果设备依赖于反攻击性机制来抵御渗透、修改或者替换／移除等攻击，那么这些设备抵御攻击的方式可参照6．2．4．2～6．2．4．4中描述的方式进行。6．2．4．2渗透具备反攻击性的设备在设计及构造时应保证对设备的渗透攻击会导致立刻自动擦除设备中所有密钥、其他敏感数据和敏感数据所有有用的残余数据。6．2．4．3修改具备反攻击性的设备在设计时应保证可以检测到任何未经授权的修改，并且导致立刻自动擦除设备中所有密钥、其他敏感数据和敏感数据所有有用的残余数据。6．2．4．4替换／移除当设备移出它的操作环境时，设备的移除可能是实施攻击的第一步。如果设备的安全性依赖于它的操作环境，未经授权的移除应导致立刻自动擦除设备中所有密钥、其他敏感数据和敏感数据所有有用的残余数据。6．2．5物理安全设备物理安全设备应是一种不能通过渗透或某种操作造成任何有关密钥、PIN或者设备内其他机密数据被全部或者部分泄露的硬件设备。设备在遭到渗透攻击时应立刻自动擦除设备中所有PIN、密钥、其他机密数据及有用数据，即设备应具有反攻击性。只有当确保设备的内部操作没有被篡改以至于允许进行渗透攻击(如在设备内部加入主动或被动的“分接”装置)时，设备才应被视做物理安全设备来使用。6．2．6采用“每笔交易一个密钥”管理方式的设备所实施的密钥管理技术应保证即使对SCD实施了渗透攻击也无法通过掌握的所有存储在设备中的数据以及任何存在于设备外的相关数据(除去存在于另一SCD中的密钥或敏感数据，如密钥载人设8 GB／T21079．1—2011／lSO1349卜1：2007备)，推测出设备先前交易中使用过的密钥或其他敏感数据。完全应用这种密钥管理技术的设备可以降低抗攻击性要求，前提是：对存储在SCD中的敏感数据(如PIN和密钥)的未授权推定或者在设备中放置“分接”设备记录敏感数据需要将该类设备放置到专门的设施中，并且：——当设备在足够长的时间内处于无效状态时，对设备在工作位置的缺失具备很高的检出概率，和／或；——当设备受到物理破坏时，如果攻击不能以很高的概率被检测出，设备就不能恢复正常：而且，对机密数据的掌握和在设备内部放置“分接”装置需要特殊的设施和技术，而这些设施和技术并不能轻易获得。那些没有完全采用本条描述的密钥管理技术的设备应为符合6．2．5要求的物理安全设备。SCD的逻辑安全特性应确保设备中存储的任何工作密钥都不是直接被载入设备的。相反地，工作密钥是在设备内部通过不可逆算法利用直接导人设备的密钥要素生成的。直接加载的密钥要素不应存储在该设备中，这样可确保泄露的工作密钥不能用于其他的SCD。6．3SCD的逻辑安全要求6．3．1双重控制在如下说明的双重或者多重控制中，设备的逻辑安全特性要求指设备应该提供支持实现双重或者多重安全控制的能力。6．3．2每台设备采用惟一密钥‘为了限制私钥泄漏所带来的影响，对于这台设备来说，每个SCD的私钥应是惟一的。为了限制密钥泄漏所带来的影响，对于两个进行信息交互的SCD来说，他们之间的通讯密钥(除非意外)应是惟一的。根据上述规定，此类设备中的每个PIN输入设备的密钥(除非意外)应是惟一的。注：为了支持负载均衡和灾难恢复过程，如果一组SCD严格用来达到一个单一的、共同的目的，如主机安全模块和密钥载人设备，则每个SCD可使用同一个密钥。6．3．3确保设备真实设备管理应确保提供一个真实的、未被泄漏的设备。如果设备拥有反攻击性，则设备在交付时应携带可以让用户确定设备是真实的、未泄漏的秘密信息(如密钥或口令)。6．3．4功能设计SCD的功能集的设计应保证任何单个功能或功能的组合都不可泄露敏感数据，除非使用的安全方案明确地允许这样做。应特别注意保证合法的功能不会被用于泄露敏感数据，因此需要提供针对穷举搜索的保护措施。当环境没有提供此种保护时，应由设备特性提供。以下方法是达到这一目标的示例：——内部统计监测，如仅允许给定次数的PIN校验失败；——为防止穷举搜索，在函数调用之间强制规定一个最小时间间隔。6．3．5密钥的使用SCD应强制使用密钥分离机制，使得一个密钥只有预期的单一用途，不能用于其他的任何用途(见ISo11568—2和ISO11568—4)。9 GB／T21079．1—2011／ISO13491-1：2007SCD的密钥生成方法应该符合ISO11568—2和IsO11568—4的要求。SCD应仅采用符合ISOn568—1所描述原则的密钥管理方案。6．3．6敏感设备状态如果SCD可进入敏感状态，即：允许使用常规状态下不允许的功能(如明文密钥手工加载到已经拥有操作密钥的设备中)，则这样的转换需要通过一个安全的操作接口进行双重控制。注：初始明文密钥的加载不需要SCD进人敏感状态。反攻击机制的激活也不应使SCD进入敏感状态。如果向敏感状态的转换用到口令或者其他明文数据，则这些口令的输入应进行保护。为了使非授权使用敏感功能的风险最小化，对敏感状态的进人应进行一项或多项限制(如功能调用次数限制和时间的限制)。当这些限制中的某一个首先满足之后，设备就应立即自动地返回它的正常状态。6．3．7多重密码关系当设备中需要维护多重密码关系时(如一个多收单行的PIN键盘)，应对加密敏感数据(如PIN)的密钥集的选择进行管理以避免有意或意外地选择不正确的密钥集。在这种情况下，用于选择密钥集的数据源和路径应受到物理或者逻辑的保护。6．3．8SCD软件鉴别SCD应包含一种特定的软件鉴别机制，该机制应确保只有经管理者核准的的软件才可以被加载并安装在SCD中。洼：实施该机制的可行方法可包括：为软件生成密码校验值或者对软件进行加密等，管理者或其代理应对用于该操作的密钥进行管理。6．3．9逻辑设计特性逻辑设计特性应包括以下内容：——防止通过监测设备外部连接获取密钥要素的措施(如防止差分能量分析攻击和时间攻击)——防止通过穷举搜索对敏感数据(如PINs)进行具有成本效益破解的措施。7设备管理要求7．1概述SCD的安全不仅依赖于设备本身特性，还依赖于设备所处环境的特性。设备管理可看作是对设备环境的要求。设备应当在设备生命周期的每个阶段接受适当的审计和控制。如果不这样做，设备就可能在其生命周期的某个(多个)阶段遭遇前面所提到的攻击场景。SCD是需要泄漏检测还是需要防止泄露，以及采取何种方法实施泄漏检测或保护，这些都依赖于sCD所处的生命周期。7．2生命周期阶段生命周期的每一阶段是设备环境和／或状态改变的结果。不同的SCD可能具有完全不同的生命周期。图1介绍了一个通用的SCD生命周期，其中标明了SCD生命中可能包含的阶段以及从一个阶段进入下一个阶段的触发事件。区分这些阶段非常重要，这是因为设备的保护要求以及提供保护的手段可能随着设备从生命周期的一个阶段转到另一个阶段而改变。】O 韧始密装载GB／T21079．1—2011／ISO13491—1：2007毁图1设备生命周期状态图针对设备安全敏感部分，本部分定义的生命周期阶段如下：制造／修复阶段：设计、构建、修复、升级和测试设备，从而实现该设备的预期功能和物理特性。后制造阶段：包括运输和存放设备以及初始密钥载人。预使用阶段：设备包含一个还未投入使用的密钥。使用阶段：设备安装到预定位置并用于预定目的。后使用阶段：从服务中移除。移除可以是临时的(如将设备移到修复中心、另一个操作地点或进行设备再使用前的储存。移除也可以是永久的(如果设备从服务中移除且没有在以后继续使用它的计划)。7．3生命周期阶段的保护要求7．3．1概述本条描述了设备在各生命周期阶段的保护要求，7．4描述了设备在各生命周期阶段的保护方法。在设备生命周期的大多数阶段中，通常不需要防止安全攻击，而只需要对它进行检测。这是因为在这些阶段中，设备里并不存在正在使用或已经使用的密钥或其他敏感数据，因此只要在设备投入正式使用前检测到泄漏，可通过废弃或者修复该设备，以消除泄漏的影响。设备的安全性不应仅依赣于设计细节的保密性。然而，当设计细节的保密性有助于设备的安全性时，设备整个生命周期的各个阶段都需要防止泄漏。当设计细节不需要保密时，各个阶段的一般性保护要求见7．3．2～7．3．5。7．3．2制造和后制造阶段在制造和后制造阶段，设备中不存在密钥。在初始密钥被载入之前，只需要能检测到泄漏，而不需要防止泄漏。如果检测到泄漏，则只需要确保在密钥载人设备并投入使用前已经消除该泄漏的所有影响。载入初始密钥之前，设备本身特性提供的惟一保护措施就是物理上难以打开该设备，或者难以用伪11 cB／"r21079．1—2011／Lso13491—1：2007造的设备替换。载人初始密钥之后，设备进入预使用阶段。如果该设备具有密钥删除机制，则能提供更完善的保护措施。7．3．3预使用阶段预使用阶段中，设备包含了至少一个初始密钥，设备应进行泄漏检测。但在下述情况下，设备应提供防止泄漏的保护：——初始密钥正在(或已经)用于其他设备(而非偶然)加密机密数据。注1：这一条特别适用于is011568—2：2005的4．10小节中描述的对主安全模块以及密钥加载设备的要求：“在保证系统操作效率的同时，任何密钥应当存在于尽可能少的地方。任何存在于交易发起设备中的密钥不应存在于其他该类设备中”。因此符合iso11568的交易发起设备，在实际使用前，只需要检测泄漏，而不需要防止泄漏。或；——被泄漏的密钥第一次非法使用之前，在所有能够与被泄漏设备进行加密通讯的密码设备中，无法阻止该密钥的使用。注2：当初始密钥被篡改时，如果设备具有立即自动删除该密钥的特性，则初始化密钥的存在可作为SCD在使用前只需要检测泄漏的一个有效的手段。设备启用时，如果初始化密钥不正确，第一次尝试使用时就会检出，设备会立即退出服务并被认为是可疑的。因此，该类设备载人初始密钥之后的管理要求不如载入初始密钥之前严格。7．3．4使用阶段使用阶段，设备应进行泄露检测。当操作使用时，如果设备中存在已经被这台或任何其他设备使用的密钥，或眷包含可以用来获得该密钥的信息时，设备应进行防止泄露的保护。注：为了最小化防泄露的要求，设备最好采用“每次交易使用惟一的密钥”技术，这样，设备中数据的泄露不会为设备中所使用密钥的泄露提供任何信息。设备管理应防止或检测出未授权的设备功能的替换。如：设备中软件的未授权更改。因此如果设备提供软件下载功能，则设备应包含对下载的软件及／或数据进行鉴别的特殊技术，这样的技术能确保只有已经通过管理者或者其代理鉴别和／或加密的软件及／或数据才能被载人设备。对于某些类型的SCD，可能需要设备管理来防止滥用(如操控)。如：一个正在执行PIN校验的设备，可能需要通过设备管理来防止对设备的未授权调用，这种调用可导致通过穷举法来破解PIN。7．3．5后使用阶段后使用阶段要求设备进行泄露检测。在该阶段，如果在“使用”阶段中要求防止泄露的密钥或者其他敏感数据依然保存在设备中，SCD应进行防止泄露的保护。7．4生命周期阶段的保护方法7．4．1制造阶段在设计、生产以及修复过程中，制造者应实施审计和控制流程，以使所制造的设备具有且只具有预定的物理特性和功能特性。任何对设备物理保护机制的未授权更换，或任何对设备功能的未授权增减，都应有很高的防止或检测几率。对使用伪造的设备替换正常设备也应有很高的防止或检测几率，如通过对设备进行双重控制。应特别注意修复过程不会对设备产生未授权的物理或功能性篡改。7．4．2后制造阶段在这一阶段中，应实施审计和控制流程，从而能对设备的非授权篡改、伪造替换有较高的防止或检12 GB／T21079．1—2011／iso13491-I：2007测几率。只使用对称密码算法的设备应载人在外部生成并传送到该设备的一个或多个秘密密钥。使用非对称密码算法的设备应内部生成并保存私钥，仅仅对外公布相应的公钥。无论采用哪一种密钥生成方法，密钥的载入应保证如果不通过合谋，秘密密钥或私钥不会被任何人获得。载人初始密钥之前，应当保证设备没有遭受未授权修改或替换，这可以通过以下手段来完成：——测试或检查设备；一后制造阶段(或最近一次)测试与／或检查之后的审计和控制；确认设备内部存在由制造者安装的秘密数据，该秘密数据仅用于确认设备的合法性。设备管理应对设备的盗窃或未授权的移除提供检测。注：ISO11568要求初始明文密钥应在实施双重控制及密钥分离技术的安全设施中加载。7．4．3预使用阶段这一阶段应进行审计和控制，以检测和防止(如果需要)任何可能泄露设备敏感密钥的攻击，或对设备任何非授权的修改。对于具有密钥自动删除机制的设备，该机制本身可以提供一种检测手段。任何以破解密钥或实现非授权修改为目的的设备访问，都可在首次使用时检测到并引发密钥的自动删除。注：除非设备的密钥已泄露，否则用伪造设备不大可能替换合法设备，因为伪造的设备不可能带有正确的密钥，这在首次投入使用时就能被发现。即便设备具备了密钥自动删除机制，它仍然需要某种程度的审计和外部控制，以保证该设备不会长时间地暴露于攻击者以使他们有足够的时间攻破这些机制并推测出密钥，或对设备进行非授权修改并返回设备到使用状态。‘如果SCD被盗用并被安装在未经授权的场所，或由未经授权的人安装，或长时间无人值守，就有可能遭受欺骗。因此，为避免设备遭到未经授权的安装与操作，需要对设备进行管理。这样的管理可包括：在设备使用之前输入一个“解锁码”。设备管理应提供对设备非授权移除的检测。7．4．4使用阶段设备特性结合设备管理应有很高的防止设备遭受成功攻击的能力。如果设备在一个低可控的环境中使用，则设备的安全性取决于设备的特性。此外，可实施管理控制，如通过审核交易日志来确保设备处于正常工作状态中。除非从操作环境中移除，否则应无法对设计合理的设备进行攻击。设备管理应通过以下手段，以检测对设备的非法移除：报告流程：设备使用者及时地按设备管理者及其代理指定的方式报告遗失的设备。电子轮询流程：主计算机系统周期性地轮询设备，设备以返回加密认证信息的方式确认它的操作状态。审计和控制流程：确认设备都在预定的操作位置。设备故障可能随时发生，这样的事件需要从服务中移除该设备，并使它进入“后使用”阶段。如果设备退出服务后，密钥从故障设备中删除，则只有在确认该设备的物理和功能特性没有被篡改之后，才可将用于替换的密钥载人修复后的设备。如果加密设备发出警报指出该故障可能危及设备安全，则密钥应立即删除并且设备也应立即退出服务。7．4．5后使用阶段如果设备进入了“后使用”阶段，并计划在同一机构中重新投入使用，则该设备可连同密钥一并保存直到重新投入使用，但需要对该设备提供与使用阶段相同的保护措施。13 GB／T21079．1—2011／ISO13491_1：2007在后使用阶段，任何可能被重新使用的设备至少都需要提供泄露检测保护。如果设备是由于修复而进入后使用阶段，则应删除所有密钥。如果设备在修复并且(或有可能)重新投入使用之前密钥已被删除了，则应在确认该设备没有遭受非授权的物理和功能性的修改之后，才能载人新的密钥。注：ISO11568要求明文密钥的替换应在安全的装置中进行。如果设备被移除之后，不打算重新在同一机构投入使用，则在设备中密钥被删除或销毁前，也应拥有和使用阶段相同的保护措施。这样，设备才可被移送到其他机构并重新进人预使用阶段。或者设备应被物理损坏，使其无法重新用于服务。如果无法确保该设备不会偶然或者故意地被重装密钥并重新投入使用，或作为伪造的设备来使用，就应该使用物理破坏技术。然后，设备可以以任何方式再进行处理。如果设备中的密钥无法被删除或销毁，则应物理销毁该设备，以杜绝泄露密钥或敏感数据的可能性。7．5责任在生命周期的每个阶段，都应该有责任人(个人或群体)对设备负责。责任人应了解本部分对SCD不同的生命周期阶段的安全要求并进行具体实现。注：物理设备的管理和设备逻辑安全的管理可由不同组织内的不同的人负责。参与设备管理的各方的职责应由负责整体安全的机构以书面形式进行明确规定，并准备一份审计表，以便对各方是否履行责任进行评估。独立审计员可以是机构内部的或外部的，他们使用审计表，周期性地确认机梅满足了所有的设备管理要求，而且每个责任人都正确完成了他们的工作。对于生命周期的各个阶段，应对设备使用状态进行专人记录维护，以说明每台设备的位置和状态，通过这些记录应能追索到责任人。当设备被移交到另一机构时，该方成为设备的责任方。因此在移出和移人设备的机构记录中都应包含有关该设备的记录，并指出设备移交日期、移出机构、移入机构、移交的方式，移交时采用的保护手段(如：安全快递，防伪造、防篡改包装)。应通过一定的方式确认接收机构已经接受了对设备的责任，并且在移出机构的记录中应包含新责任方当前对移交设备的责任人。7．6设备管理的审计和控制原则审计和控制是设备管理的必要组成部分。表1概要介绍了一些关于审计和控制流程的一般原则，并且指出了这些原则对设备生命周期各阶段的适用性。表1审计和控制原则流程制造后制造预使用使用后使用1设备由一方或多方负责M2对访问受控环境中设备的人员进行录像或控制MM／R3对访问低受控环境中设备的人员进行录像或控制MNAM／R对生产过程(设计、制造、修复)进行控制以保证设备具有(且只具4MNA有)合法的物理和功能特性采用控制机制或将设备密封在防伪造和防篡改包装内，以防止对5NAMRNAR设备的非法访问6准备和使用评估检测清单M14 表1(续)GB／T21079．1—2011／ISO1349I-I12007流程制造后制造预使用使用后使用7验证评估检测清单是由具备资质的人员及时准确填写R8按照相应的国际标准实施密钥管理流程NAMg通过手工或自动记录的方式，准确地跟踪每台设备M防止对使用中设备进行盗窃或非授权访问的书面流程，该设备要10NAM求防止泄露11控制设备文档的分发R周期性地对设备进行电子轮询，以加密认证的方式确定该设备仍12NARNA在正常工作状态对未经许可的设备移除(从存储或操作位置)，或在运输中丢失设13M备得到及时检测的书面报告流程14防止失窃或永久弃置设备中的密钥继续被使用的书面流程NAM如果设备需从操作位置移除后进行修复，而且修复期间无法防止15NAM和检测对密钥的泄露，则应删除该密钥如果永久退出服务的设备中所包含的密钥已用于加密依然涉密16NAM的数据(即，该设备要求防止泄漏)，则应删除该密钥如果永久退出服务的设备中所包含的密钥，尚未在所有与该设备17NAM进行加密通讯的其他设施中失效，则应删除该密钥对于使用时要求防泄漏的设备，在其退出服务后仍然需要防止泄18NAM漏攻击，直到密钥被删除19对维护过程进行控制以保持设备的机密性M／R对修复或修复后的测试过程进行控制．以确保设备没有遭到非授20MNAM权的修改注：M——必选；R——推荐；NA——不适用；M／R——如需要防止泄露则为必选，否则为推荐。8评估方法8．1概述8．1．1评估方法的选择为确定一台密码设备是否符合本部分的要求，定义了三种验证其符合性的评估方法，如下所示：a)非正式的评估，由评估人使用在ISO13491—2定义的评估检测清单进行评估；注：对于提供多种功能的设备，有必要将多张评估检测清单合并(如：设备既支持PIN验证又支持数字签名，则评估过程中将使用两种评估检测清单)。b)准正式的评估，由评估机构承担；c)正式的评估，由认可的评估机构承担。为帮助选择合适的评估方法(见8．2)需要对SCD进行风险评估。风险评估结果是对风险的估计，它决定了所使用的评估方法。如果风险低，非正式的评估检测清单的方法就足够了。然而，如果风险15 GB／T21079．1--2011／]sO13491-1：2007高，可综合考虑时间、费用、采用正式或准正式评估方法的可信性等多种因素。表2中列出了三种评估方法在预计风险、费用、时间上的比较，不同的国家和国际组织对其成员可有其他的约束和要求。ISO13491本部分中，国际认可度是指一个设备获得国际组织成员认可所需的可信性等级。表2风险因素／评估方法评估方法风险因素非正式的准正式的正式的预计风险低中／高高费用低由高时间短由长可信性非正式评估报告评估报告认证注：可信等级直接与参与评估过程的人员经验、能力和设备的等级相关。8．1．2非正式方法在非正式评估方法中(见图2)，厂商或发起人向评估人提交设备，以便依照相应的评估检测清单进行评估，结果将提交产生非正式评估报告的评估审核机构。8．1．3准正式方法厂商或发起人向评估机构提交设备，以便依照相应的评估检测清单进行测试。评估机构也可利用它的经验、知识和特殊设备来完成附加的测试，结果将提交产生评估报告的评估审核机构。注：评估审核机构也可能会接受来自审计员／评估人的审计结果，图2中以虚线标出。8．1．4正式方法在正式评估方法中(见图2)，厂商或发起人向认可的评估机构提交设备，以便依照SCD正式声明的内容进行测试，该正式声明中的内容是依据相应评估检测清单中的内容产生的。测试结果提交给签发评估证书的认可机构(正式评估方法的具体实例详见ISO／IEC15408及ISO／IEC19790)。8．2风险评估由于在实际应用中，没有绝对的安全，因此评估流程中应考虑到可能的攻击场景，可利用的设备保护以及整个设备生命周期中可能的操作环境。其他因素，包括业务需求、技术需求和总体系统安全需求都应在评估过程中体现。风险评估过程是重复分析下面因素的过程：——攻击的威胁；——成功攻击造成的破坏与损失；——攻击发生的可能性。如果已知所有类型的攻击，则风险就是每种攻击的可能性与相关损失的函数。对于某种特定攻击引起的风险是接受还是采取防护措施取决于安全策略和业务决策。攻击的复杂度取决于所需要的工具、设备、技术以及资源(包括时间和材料)。风险评估虽然并非单纯基于价值判断，但总是包含了价值判断。风险评估的方法有多种，本部分不再做具体讨论。】6 GB／T21079．1—2011／ISO13491—1：2007非正式方法准正式方法田图2评估方法8．3非正式评估方法8．3．1概述评估人可应发起人的要求进行非正式评估。为此，评估人应对进行评估的设备编制相应的评估检测清单。当评估结束后，评估结果将被提交到进行非正式评估审核的机构，该机构将对结果做审核并做出接受、拒绝或要求对结果作进一步的澄清的结论。审核结束后，非正式评估报告提交给发起人。任何评估开始前，在所有参与方之间，应就环境和受怀疑设备在何种条件下可用和不可用的问题达成共识。本部分中描述了各参与方必须遵循的行为。8．3．2厂商／发起人发起人可以是厂商也可是一个独立团体，无论那种情况，发起人应承担以下角色和职责：17一嘲 GB／T21079．1—2011／ISO13491-1：2007——发起整个评估流程；——完成风险评估(其他的因素，如时间和成本等也应考虑)——选择适当的检测项目清单；——提交“提交物”；——接收非正式评估报告。8．3．3评估人评估人应当独立于发起人，或者来自于外部组织，或者来自于内部组织但不在发起人的影响范围之内。评估人应承担以下角色和职责：——对评估检测清单中的问题做出以下答复，支持(T)，不支持(F)，不适用(N／A)；——如果答案是不支持或者不适用，应给出解释；——将结果提交给进行非正式评估审核的机构。8．3．4非正式评估审核机构非正式评估审核机构可以是发起人自己也可以是其他独立团体。无论哪种情况，非正式评估审核机构都应承担以下角色和职责：——从评估人接收提交的结果；——如果答案是不支持或者不适用，判断解释是否合理；——如果需要，将解释返回给评估人要求进一步的澄清；——判定SCD所处环境的安全级别；——判定SCD的安全级别是否达到或超过其操作环境的最低可接受的安全需求；——产生非正式评估报告并提交给发起人。评估审核时，应将最初风险评估的情况作为考虑因素之一。8．3．5评估检测清单在ISO13491—2中的评估检测清单是一个声明列表，对于其中的每一项声明，评估人应根据评估情况注明该声明是否适用于被评估的设备。这些声明可能比被评估设备描述的需求更加严格，可能代表了需求的意向或满足需求的首选实现方式。因而，对于评估检测清单中评估为不支持和不适用的项，并非意味着一定不符合，而仅表明符合性可能存在问题，需要加以考虑。因此，评估人在评估结果中应对不支持和不适用的评估项注明理由，并：——解释该安全需求是如何采用其他方式来充分满足的；——指出何时及怎样纠正不符合的情形，或；——指出不符合声明要求所引发的问题及后果。评估人也可以使用附加的评估检测清单，如国家和地区的标准以及为了完成评估工作可能需要的其他一些评估检测清单。8．3．6评估结果评估结果应包含以下部分：——用于评估的相关文档列表；——一份针对评估项以支持、不支持或不适用作结论的评估检测清单；——所有例外情况的解释(如不支持和不适用)；——发起人的名称；】8 GB／T21079．1--2011／lSO13491-1：2007——评估人名称和评估人所属机构；——评估日期；——设备标识(如生产商名称、型号等)。8．3．7非正式评估报告非正式评估报告应包含以下部分：——所有来自评估结果的信息；——用于审核的相关文档列表；——对评估结果中例外情况的意见(同意或拒绝)；——非正式评估审核机构名称；——审核日期；——对在指定环境下设备合格或不合格的最终建议。如果设备被评估为不合格，报告可以附加设备安全和／或环境控制安全的建议，以便设备可重新评估为合格。8．4准正式评估方法8．4．1概述评估机构和认可的评估机构所进行的评估在许多方面是一致的。虽然承担评估工作需要评估机构具有一定的独立性和相关技术，但不会像认证所需的正式方法那样严格。·为使不同的评估机构在对SCD进行评估时遵从一套共同的评估标准，评估机构应使用ISO13491—2中定义的评估检测清单作为sCD评估的基础。推荐以下两种工作方法：——评估审核机构和／或发起人生成评估需求表(SCD以此为基础进行评估)。评估完成后，其结果仅提供给发起人和／或评估审核机构；——当发起人和／或评估审核机构有对某种特性或性能的符合性需求(如对一个网络或支付系统接口有符合性需求时)，应使用评估检测清单对SCD进行评估并据此产生正式声明。这些声明将作为评估流程中的一部分。当发现存在进行第三方评估的巨大风险，然而评估结果又不需要进行正式认证的情况下，建议通过评估机构进行评估。本部分中描述了各参与方应开展的活动。8．4．2厂商／发起人厂商和发起人的角色和职责见8．3．2。8．4．3评估机构评估机构应独立于厂商和发起人之外，并应承担以下角色和职责：——采用相应的评估检测清单协助评估测试；——应用其经验和知识支持评估测试；——使用其专门设备来完成测试}——通过发起人向评估审核机构提交结果；——书面记录所有测试的结果(成功或失败)。评估机构应按照8．3．5要求完成评估检测清单。1q 6B／T21079．1—2011／ISO13491—1：20078．4．4评估审核机构评估审核机构可以是发起人自己或也可以是独立的评估审核机构。无论哪种情况，评估审核机构都应承担以下角色和职责：——接收评估机构提交的评估结果；——如果测试结果失败，判定测试用例是否合适；——如果必要，将结果返回评估机构并要求作进一步的澄清或测试；——判定指定环境的安全级别；——判定加密设备的安全级别是否达到或超过其操作环境的最低可接受的安全需求；——产生评估报告并提交给发起人。评估审核时，应将最初风险评估的情况作为考虑因素之一。在非正式和准正式方法同时使用的情形下，评估审核机构应接收来自两次评估的结果。8．4．5评估结果评估机构的结果应包含以下部分：——用于评估的相关文档列表；——表明所有合格或不合格测试的列表；——发起人名称；——评估机构名称；——评估日期；——设备标识(如厂商名称、型号等)。此外，评估机构可提供以下信息：——所有测试的详细说明；——不合格测试的详细说明。8．4．6评估报告评估报告应包含以下部分：——来自评估结果的部分信息(某些信息可能是秘密的)；——用于审核的相关文档列表；——对评估结果中所有不合格测试提出的意见(同意或不同意)；——评估审核机构名称；——评估日期；——对在指定环境下对设备的合格或不合格的最终建议。如果设备被评估为不合格，报告中可以附加设备安全性和／或环境控制安全的建议，以便设备可被重新评估为合格。8．5正式评估方法正式评估方法不属于本部分的规定范围(正式评估方法的具体实例见ISO／IEC15408)。然而，ISO13491—2定义的评估检测清单可作为正式声明的组成部分。特殊领域可以将评估审核机构和认可机构结合在一起，评估的内容可能基于网络或支付系统之上，并由他们自己产生评估标准。本部分的技术规定适用于网络或支付系统两种情况。 GB／T21079．1--201l／toO13491—1：2007附录A(资料性附录)有关系统安全级别的概念系统的安全级别是环境安全级别和SCD安全级别的组合。这点可以用图A．1来表示，水平轴代表SCD的安全级别，垂直轴代表环境的安全级别。阴影区域代表可接受的系统安全，而白色的三角区域代表不可接受的系统安全。说明：x——设备安全级别；Y——环境安全级别；A——设备安全超过其所在运行环境最小安全要求的SCD；B——设备安全满足其所在运行环境最小安全要求的SCD；c——设备安全不足和未满足其所在运行环境最小安全要求的SCD；x。——代表设备安全性足以使设备在没有安全性的环境中运行时的交点；Y。——代表环境安全性足以使无安全性的设备运行时的交点；1——可接受的系统安全；2——最小可接受的系统安全；3——不安全；a——设备移到一个安全性高的环境(设备足够安全)。图A．1设备安全级别如图A．1所示，代表SCD安全级别的水平轴(x轴)，实际上由设备的逻辑安全特性和物理安全特性组成。物理安全特性可进一步分解成三个类别：——防攻击性；——抗攻击性；——反攻击性。图A．2显示了三个物理安全特性之间的三维空间关系。21 GB／T21079．1—2011／iso13491—1：2007』说明：x——反攻击性；y——抗攻击性；z——防攻击性；1——设备物理安全级别。图A．2三个物理安全特性的关系有关物理特性的设备安全级别是三类物理安全特性的三维交叉点。图A．3表示物理特性的最小可接受设备安全级别，其中每个轴代表相应的最小物理特性。图A．3a)显示了设备的抗攻击和反攻击性但无防攻击性的二维空间最小可接受安全界限。图A．3b)显示了设备的抗攻击和防攻击性但无反攻击性的二维空问最小可接受安全界限。图A．3c)显示了设备的防攻击和反攻击性但无抗攻击性的二维空间最小可接受安全界限。图A．3d)显示了设备的所有三个物理安全特性的三维空间最小可接受安全边界。艇7匿7甾7匮a)”c)d)说明：X——反攻击性；y——抗攻击性；z——防攻击性；1——最小可接受安全级别。图A．3设备最小可接受安全级别这三个物理安全特性合并到单一轴上形成物理安全特性，并同设备的逻辑安全特性相对应。图A．4显示了组合的物理安全特性和逻辑安全特性两者之间的关系。逻辑安全特性和三个物理安全特性合并到单一轴上形成设备的安全级别。如图A．1所示，设备安全级别同环境安全级别相对应一起决定总的安全是否在可接受的系统安全之内，或是否在最低可接受22 安全边界上，或系统安全是不充分的。GB／T21079．1—2011／ISO13491-112007说明：x——物理安全级别；y——逻辑安全级别；l——设备安全级别。图A．4物理安全与逻辑安全特性的关系23 GB／T21079．1—2011／ISO1349卜1：2007参考文献[1]ISO9564(所有部分)银行业务个人识别码的管理和安全(Banking--PersonalIdentifica—tionNumbermanagementandsecurity)(allparts)[2]ISO／1EC15408(所有部分)信息技术安全技术IT安全评估标准Informationtechnol—ogy--Securitytechniques--Evaluationcriteriafor12"security[3]ISO16609银行业务采用对称加密技术进行报文鉴别的要求(BankingRequirementsformessageauthenticationusingsymmetrictechniques)[4]ISO／IEC17025检验和校准实验室能力的通用要求(Generalrequirementsforthecompe—tenceoftestingandcalibrationlaboratories)[5]ISO／IEC19790信息技术安全技术密码模块的安全要求(Informationtechnology--Securitytechniques--Securityrequirements[oreryptographicmodules)24'