GBT27911-2011银行业安全和其他金融服务金融系统的安全框架.pdf 15页

'ICS03．060A11园雪中华人民共和国国家标准GB／T27911--2011银行业安全和其他金融服务2011-12-30发布金融系统的安全框架Banking--SecurityandotherfinancialserVices——Frameworkforsecurityinfinancialsystems(IS0／TR17944：2002，MOD)2012一02一01实施宰瞀鹃紫瓣警矬瞥星发布中国国家标准化管理委员会仅1” 标准分享网www.bzfxw.com免费下载目次GB／"r27911—201前言⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯Ⅲ1范围⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯12标准化的领域⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯12．1概述⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯12．2身份识别和鉴别⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯12．3数据完整性⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯32．4隐私和机密性⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯42．5抗抵赖⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯42．6服务的可用性⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯52．7可追溯性和审计⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯62．8互用性⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯72．9安全管理⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯72．10加密算法⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯93ISO空白的标准化领域⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯10附录A(资料性附录)补充信息⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯11参考文献⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯12 标准分享网www.bzfxw.com免费下载刖菁GB／T27911—2011本标准按照GB／T1．1—2009给出的规则起草。本标准使用重新起草法修改采用ISO／TR17944：2002／(银行业安全和其他金融服务金融系统的安全框架》。考虑到我国国情，并考虑了2002年以来国际上发布了一些新的与金融相关的信息安全类标准，在采用ISO／TR17944：2002时做了以下修改：——2．2条的表1中，在“生物特征识别技术”中加人了近年来新发布的一些国际标准；——2．3条的表2中，在“报文鉴别”中加入了ISO／IECl9772：2009；——2．6条的表5中，在“灾难恢复”中加入了ISO／IEC24762：2008；——2．7条的表6中，在“评估标准”中加入了ISO／IEC18045：2008、ISO／IECTR19791：2006、ISO／IEC21827：2008；——2．9条的表8中，在“证书管理”中加入IsO21188；——2．9条的表8中，在“安全管理”中加入ISO／IECTR18044、Is0／IEC27001、ISO／IEC27002、IsO／IEC18043：2006、ISO／IEC27000：2009、ISO／IEC27005：2008、IS0／IEC27006：2007、ISO／IEC27011：2008；——2．10条的表9中，在“一般的”中加入了IsO／IEC18031：2005、ISO／IEC18032：2005、ISO／IEC18033—1：2005、ISO／IEC18033—2：2006、ISO／IEC18033—3：2005、ISCl／IEC18033—4：2005、ISO／IEC19790：2006；——2．10条的表9中，在“对称的”中加入了IS019038；——第3章表10中删除生物识别、灾难恢复两行，因为在正文中加人了这两个领域的ISO标准，另外加入三行：“隐私和机密性”、“商业实体身份标识符”、“令牌”；——各表格中，被引用的有年代号的标准，如有更新版本，用最新年代号标准替换；——各表格中，删除已废止的国际标准。为便于使用，本标准还做了下列编辑性修改：——删除ISO前言和引言；——对于已经发布的标准，删除原文中的表注“即将发布”。本标准由中国人民银行提出。本标准由全国金融标准化技术委员会(SAC／TC180)归口。本标准负责起草单位：中国金融电子化公司。本标准参加起草单位：中国人民银行、中国工商银行、中国建设银行、交通银行、中信银行、北京银联金卡科技有限公司。本标准主要起草人：王平娃、陆书春、李曙光、杨倩、田洁、刘运、赵志兰、邵冠军、李延、杨宝辉、贾静、李孟琰、刘志刚、仲志晖、贾树辉、景芸、张艳、马小琼。Ⅲ 标准分享网www.bzfxw.com免费下载1范围银行业安全和其他金融服务金融系统的安全框架GB／T27911—2011本标准提供了金融业所必要的安全方面的标准框架。本标准汇总了金融行业已出现的一些关键安全问题，以及针对每一个问题的相关现有标准。本标准适用于金融机构在实施安全策略时的标准参考。2标准化的领域2．1概述金融行业中，信息技术安全的需求体现在令牌、设备、加密技术、密钥管理、应用程序接rl(API)和协议等标准应用领域，这些不同领域可根据下面这些基础领域的基本业务需求进行分组。多数领域已经有了各种各样可用的标准，而在其他领域，标准或正在制定或有了(新)标准需求。第2章中提及了金融机构信息安全标准化的主要领域，其中表1到表9包含了这些领域可用的(有时是必需的)的标准。表中排在前面的国际标准来自国际标准化组织，跟随在其后的有关标准来自其他标准组织”。基于这些表中缺少的标准，第3章概述了IsO空白的标准化领域。注：对于所提及标准的更加详细资料，可以联系参考的标准化组织(参见附录A)。2．2身份识别和鉴别金融交易中涉及的所有实体的身份应被确定。鉴别确保一个实体的身份就是它声明的身份。金融机构应保证：只有授权的用户可以访问他们的信息技术系统。用于身份识别和鉴别的机制建立在使用身份标识、令牌、口令短语、个人身份识别码(PIN)、生物识别技术、数字签名和证书基础之上，相关标准见表1。表1身份识别和鉴别需求可用的标准标题／描述ISO／rEC9798—1信息技术安全技术实体鉴别第1部分：概述ISO／IEC9798—2信息技术安全技术实体鉴别第2部分：采用对称加密算法的机制ISO／IEC9798—3信息技术安全技术实体鉴别第3部分：采用数字签名技术的机制身份识别和鉴别ISO／IEC9798—4信息技术安全技术实体鉴别第4部分：采用密码校验函数的机制ISO／IEC9798—5信息技术安全技术实体鉴别第5部分：使用零知识技术的机制IsO／IEC9594—8信息技术开放系统互连目录第8部分：公钥和属性证书框架1)本标准中非ISO标准的引用仅用于资料目的；它们应是一个共识并且应该是被发表的或公认可用的。非ISO标准的引用并不表明IS0对这些非Iso标准的认可。 标准分享网www.bzfxw.com免费下载GB／T27911--2011表1(续)需求可用的标准标题／描述商业实体身份标识符令牌EBS111—1999欧洲银行业务标准：互用的金融电子钱包口令短语ISO9564—1银行业务个人识别码的管理与安全第1部分：ATM和POS系统中联机PIN处理的基本原则和要求ISO9564—2银行业务个人识别码的管理与安全第2部分：核准的PIN加密算法ISO9564—3银行业务个人识别码的管理与安全第3部分：ATM和POS系统中脱机PIN处理的PIN保护的要求ISO／TR9564—4银行业务个人识别码的管理与安全第4部分：开放网个人识别码络中PIN处理的最佳实践EBS105—1998基于PIN的POS系统(版本2)——第1部分：鉴别程序的最低的标准——第2部分；带有联机PIN确认的POs系统——最低安全和评估标准一一第3部分：带有脱机PIN确认的POS系统——最低安全和评估标准ISO19092：2008金融服务生物特征识别安全框架IsO／IEC19784—1：2006信息技术生物特征应用接口第1部分：BIoAPI规范ISO／IEC19784—2：2007信息技术生物特征应用接口第2部分：生物特征文档功能提供者接口IsO／IEC19785—1．2006信息技术公共生物特征交换格式框架第1部分：数据元规范ISO／rEC197852：2006信息技术公共生物特征交换格式框架第2部分：生物特征注册机构操作程序ISO／IEC19785—3：2007信息技术公共生物特征交换格式框架第3部分：客户格式规范生物特征识别技术IsO／rEC19794—1：2006信息技术生物特征数据接口格式第1部分：框架IsO／IEC19794—2：2005信息技术生物特征数据接口格式第2部分：手指细节数据ISO／IEC19794—3：2006信息技术生物特征数据接口格式第3部分：手指模式频谱数据IsO／IEC19794—4：2005信息技术生物特征数据接口格式第4部分：手指图像数据ISO／IEC19794—5：2005信息技术生物特征数据接口格式第5部分：脸部图像数据IsO／IEC19794—6：2005信息技术生物特征数据接口格式第6部分：虹膜图像数据2 标准分享网www.bzfxw.com免费下载表1(续)GB／T27911—2011需求可用的标准标题／描述ISO／IEC19794—7：2007信息技术生物特征数据接rn格式第7部分：签名／符号时间序列数据ISO／IEC19794—8：2006信息技术生物特征数据接口格式第8部分：手指模式轮廓数据ISO／TEC19794—9：2007信息技术生物特征数据接口格式第9部分：血管图像数据信息技术生物特征数据接rl格式第10部分：手形轮廓ISO／IEC19794—10：2007数据lSO／IEC19795—1：2006信息技术生物特征性能测试和报告第1部分：原则和框架ISO／me1979S一2：2007信息技术生物特征性能测试和报告第2部分：技术和场景评估的测试方法ISO／ⅢCTR19795—3：2007信息技术生物特征性能测试和报告第3部分：特定特征的测试ISO／IEC19795—4：2008信息技术生物特征性能测试和报告第4部分：互操作生物特征识别技术性能测试ISO／IEC24708：2008信息技术生物特征识别BioAPI互作用协议ISO／IEC24709—1：2007信息技术生物特征应用程序接口(BIoAPI)符合性测试第1部分：方法和程序1SO／1EC24709—2：2007信息技术生物特征应用程序接口(BioAPI)符合性测试第2部分：生物特征服务提供商测试声明ISO／me24713一l：2008信息技术互操作性和数据接rl的生物特征轮廓第l部分：生物特征系统和生物特征轮廓概述IsO／IEC24713—2：2008信息技术互操作性和数据接口的生物特征轮廓第2部分：机场雇员身体访问控制TSO／IECTR24714-1．2008信息技术生物特征识别商业应用的司法和社会考虑第1部分：一般指南ISO／IECTR24722：Z007信息技术生物特征识别多种形式和其他多生物特征融合ISO／IECTR24741：2007信息技术生物特征识别指南ANSIX9．84—2003金融服务业的生物识别技术信息管理和安全2．3数据完整性数据完整性是指数据不会在未经授权的方式下被改变或者被破坏的特性。对于金融行业数据完整性是必要的。保证数据完整性的机制主要基于报文鉴别、哈希函数和数字签名，相关标准见表2。 标准分享网www.bzfxw.com免费下载GB／T27911--2011表2数据完整性需求可用的标准标题／描述ISO／IEC9797—1信息技术安全技术报文鉴别码第1部分：采用分组密码的机制IS0／IEC9797—2信息技术安全技术报文鉴别码第2部分：采用特定哈希函数报文鉴别的机制ISO16809银行业务使用对称技术的报文鉴别要求ISO／IEC19772：2009信息技术安全技术鉴别加密ANSIX9．71—2000带密钥的哈希报文鉴别码IsO／IEC10118—1信息技术安全技术散列函数第1部分：概述IsO／IEC10118—2信息技术安全技术散列函数第2部分：采用n位块密码的散列函数哈希函数IsO／IEC10118—3信息技术安全技术散列函数第3部分：专用散列函数IsO／IEC10118—4信息技术安全技术散列函数第4部分：使用模运算的散列函数2．4隐私和机密性隐私是个体保持其个人信息机密的一种权利。机密性是信息不被未授权的个体、实体或程序获得或揭露的一种特性。隐私和机密性越来越被金融业所关注。加密是用来确保隐私和机密性的一种机制，相关标准见表3。表3隐私和机密性l需求可用的标准标题／描述l加密2．5抗抵赖抗抵赖是指防止金融交易中的抵赖(否认)行为。防止抵赖的机制基于时间戳、数字签名、证书和公钥基础设施(PKI)技术，相关标准见表4。表4抗抵赖需求可用的标准标题／描述IsO／IEC13888—1信息技术安全技术抗抵赖第1部分：概述ISO／IEC13888—2信息技术安全技术抗抵赖第2部分：采用对称技术抗抵赖的机制ISO／IEC13888—3信息技术安全技术抗抵赖第3部分：采用非对称技术的机制4 标准分享网www.bzfxw.com免费下载表4(续)GB／T27911—2011需求可用的标准标题／描述IsO／IEC18014信息技术安全技术时间戳服务——第1部分：框架时间戳——第2部分：产生独立令牌的机制——第3部分：产生连接的令牌的机制ETSITS101861—2001时间戳概述ISO／IcE9796信息技术安全技术带消息恢复的数字签名方案——第1部分：使用冗余的机制——第2部分：基于整数因数分解的机制——第3部分：基于离散对数的机制ISO／IEC14888信息技术安全技术带附录的数字签名数字签名——第1部分：概述——第2部分：基于身份的机制——第3部分：基于证书的机制ANSIX9．31金融服务行业中使用可逆的公钥加密技术的数字签名ETSITSl01733电子签名格式ANSIX9．55—1997金融服务行业的公钥加密技术：扩展部分公钥证书和证书废止列表证书ANSIX9．68：2-2001移动／无线和大交易量金融系统数字证书：第2部分：域证书语法ETSITS101862—2000合格证书简介ANSIX9．77公钥基础设施协议公钥基础设施(PKI)AN5IX9．79—2001公钥基础设施(PKI)实践和策略框架ETSITSl01456发行台格证书的认证机构的策略要求2．6服务的可用性可用性是指随时根据授权实体的需要保持可访问和可使用的特性。对于金融机构而言，在业务连续性和金融行业的整体形象方面，服务的可用性是重要的。用来确保可用性的机制基于冗余、备份、异地储存、备份场所和灾难恢复计划，相关标准见表5。表5服务的可用性需求可用的标准标题／描述备份ISO／IEC24762：2008信息技术安全技术信息和通信技术灾难恢复服务指南灾难恢复NIST800--34—-2002指定的出版物：信息技术系统意外事件计划指南国家标准技术协会建议书(草案) 标准分享网www.bzfxw.com免费下载GB／T27911—20112．7可追溯性和审计可追溯性是确保一个实体的活动能被唯一追溯到该实体的特性。显而易见，金融机构应能够向他们的客户和第三方证明交易的有效性。不同的安全方法、程序和产品应有一个合理的安全级别。系统或组织应建立一套最低限度的安全措施。可追溯性和审计机制是以审计跟踪、日志、功能分类、保护轮廓、评估标准等为基础的，相关标准见表6。表6可追溯性和审计需求可用的标准标题／描述ISO1018l信息技术开放系统互连开放系统安全框架：——第1部分：概述——第2部分：鉴别框架功能分类——第3部分：访问控制框架——第4部分：抗抵赖框架——第5部分：机密性框架ANSIX9．45—1999使用数字签名和属性证书加强管理控制IsO／IECTR15446信息技术安全技术保护轮廓和安全目标的产生指南保护轮廓IsO／：EC15292信息技术安全技术保护轮廓注册规程ANSIX9．79第2部分：证书发行和管理系统的保护轮廓(草案)ISO13491—1银行业务安全加密设备(零售)第1部分：概念、需求和评估方法ISO13491—2银行业务安全加密设备(零售)第2部分：金融交易中设备安全符合性检测清单IsO／IEC15408—1信息技术安全技术信息技术安全性评估准则第1部分：简介和一般模型IsO／lEe15408—2信息技术安全技术信息技术安全性评估准则第2部分：安全功能要求评估标准ISO／IEC15408—3信息技术安全技术信息技术安全性评估准则第3部分：安全保证要求ISO／IEC18045：2008信息技术安全技术IT安全评估方法ISO／IECTR19791：2006信息技术安全技术可操作系统的安全评估IsO／me21827：2008信息技术安全技术系统安全工程能力成熟度模型(SSE-CMM)ANSIX9．66加密设备的安全ANSIX9．74证书路径处理的一致性测试 标准分享网www.bzfxw.com免费下载GB／T27911—20112．8互用性对于金融行业，无论是在批发环境，还是在零售环境，互用性正在成为一个重要的问题。互用性机制基于数据元、协议和接口标准。然而，应该指出的是，互用性与现在单独存在的标准相比是一个更显著的问题，相关标准见表7。表7互用性需求可用的标准标题／描述EMV2000支付系统集成电路卡规范——卷1：应用独立Ic卡对终端接口的要求——卷2：安全和密钥管理——卷3：应用规范互用性——卷4：持卡人、柜员和收单行的接口要求SET安全电子交易规范——卷I：交易描述——卷2：程序员指南——卷3：正式协议定义数据元IS013616银行业务和相关金融服务国际银行账号(IBAN)ISO7064信息技术安全技术数据处理校验码系统1SO8583产生报文的金融交易卡交换报文规范——第1部分：报文、数据元和代码值——第2部分：机构标识码(IIC)的应用及注册规程协议——第3部分：报文、数据元和代码值的维护规程ISo9992金融交易卡集成电路卡与卡接受设备之间的报文——第1部分：概念和结构——第2部分：功能、报文(命令与响应)、数据元和结构IS015668银行业务安全文件传输(零售)接口ISO7813信息技术识别卡金融交易卡2．9安全管理金融机构使用的安全措施应得到管理。在密钥管理和证书管理领域，需要一些通用标准用来确保一个基本的最低安全级别，相关标准见表8。 GB／T27911—2011表8安全管理需求可用的标准标题／描述ISo／IEC13335一i：1996信息技术信息技术安全管理指南第1部分：信息技术安全概念和模型ISo／IECTR18044信息技术安全技术信息安全事件管理指南IsO／IEC27001信息技术安全技术信息安全管理体系要求IsO／IEC27002信息技术安全技术信息安全管理实用规则ISO／TR13569银行业务和相关金融服务信息安全指南IS0／IEC15443信息技术安全技术信息技术安全保证框架IsO／IEC15816信息技术安全技术访问控制的安全信息目标ISO15947信息技术安全技术信息技术人侵检测框架安全管理ISO／IEC18043：2006信息技术安全技术入侵检测系统的选择、部署和操作ISO／IEC27000：2009信息技术安全技术信息安全管理体系概述和词汇ISO／IEC27005：2008信息技术安全技术信息安全风险管理ISO／IEC27006：2007信息技术安全技术对提供信息安全管理体系的审计和鉴别的实体的要求ISO／IEC27011：2008信息技术安全技术基于ISO／IEC27002的电信组织的信息安全管理指南ANSIX9．41金融服务行业安全服务管理BS7799信息安全管理ECBSTR406算法用法和密钥管理指南ISO11668银行业务密钥管理(零售)——第1部分：一般原则——第2部分：对称密码及其密钥管理和生命周期——第4部分：非对称密码系统及其密钥管理和生命周期IsO／rEC11770信息技术安全技术密钥管理——第1部分：框架密钥管理——第2部分：对称技术机制——第3部分：非对称技术机制ISO13492：1998银行业务密钥管理相关数据元(零售)ANSIX9．42—2001金融服务行业公钥加密技术：使用离散对数加密技术的对称密钥协议ANSIX9．44—2000金融服务行业使用基于因式分解公钥加密技术的密钥建立(草案)8 表8(续)GB／T27911—2011需求可用的标准标题／描述ANsIX9．63—2001金融服务行业公钥加密技术：使用椭圆曲线加密技术的密钥管理和密钥传输密匙管理ANSIX9．70使用公钥算法的对称密钥管理ECBSTR405金融系统的密钥恢复ISO16782银行业务证书管理一一第1部分：公钥证书——第2部分：证书扩展ISO21188：2006用于金融服务的公钥基础设施实施和策略框架证书管理ANSIX9．57-1997金融服务行业的公钥加密技术：证书管理ANSIX9．79—2001公钥基础设施实践和策略框架ECBSTR402—1997数字证书认证机构(版本2)IETFRFC2527：1999互联网X．509公钥基础设施证书和证书废止列表(CRL)框架信息技术安全技术可信任第三方服务的使用和管理IsO／IECTR14516指南可信任第三方管理信息技术安全技术支持数字签名应用的TTP服务ISO／IEC15945规范2．10加密算法金融机构使用的安全措施大部分基于加密技术，由于互用性和基本安全水平的原因，加密技术领域需要一些通用标准，相关标准见表9。表9加密算法需求可用的标准标题／描述IS0／IEC9979信息技术安全技术加密算法的注册程序IS0／IEC18031：2005信息技术安全技术随机数生成IS0／IEC18032：2005信息技术安全技术素数生成ISO／IEC18033—1：2005信息技术安全技术加密算法第1部分：概述ISO／IEC18033—2：2006信息技术安全技术加密算法第2部分：非对称密码一般ISO／IEC18033—3：2005信息技术安全技术加密算法第3部分：分组密码ISO／IEC18033—4：2005信息技术安全技术加密算法第4部分：流密码lsO／IEC19790：2006信息技术安全技术密码模块的安全要求ANSIX9．82随机数生成ANSIX9．80—2001素数生成ANSITR9金融行业标准的抽象句法符号和编码规则9 GB／T27911--2011表9(续)需求可用的标准标题／描述ISO8372信息处理64位块加密算法操作的模式ISO／IEC10116信息技术安全技术Ii位分组加密操作的模式ISO／TR19038：2005银行和相关金融服务3-DEA操作模式实施指南对称ANSIX9．52—1998三重数据加密算法(T—DEA)的操作模式ANSIX9TG一19三重数据加密算法(T-DEA)的操作确认模式FIPSPUBl97高级加密标准ANSIX9．30一l金融服务行业的公钥加密技术：第1部分数字签名算法非对称ANSIX9．31使用可逆公钥加密技术的数字签名ANSIX9．76阈值的数字签名局部密钥更新机制ISO／IEC15946信息技术安全技术基于椭圆曲线的加密技术——第1部分：概述——第2部分：数字签名——第3部分：密钥建立椭圆曲线——第4部分：带报文恢复的数字签名‘ANSIX9TG一17椭圆曲线算法的技术准则ANSIX9．62—1998金融服务行业的公钥加密技术：椭圆曲线数字签名算法(ECDSA)ANSIX9．63金融服务行业的公钥加密技术：使用椭圆曲线加密的密钥协议和密钥传输3ISO空白的标准化领域表10总结了第2章各个表中对应“需求”列的“可用标准”是空白的或无可用ISO标准的一些项目。表10不可用总结需求可用的标准附加备注口令短语无标准证书无可用的ISO标准ANSIX9．79标准可用(ISONWI提议)公钥基础设施(PKI)无可用的ISO标准ANSIX9．79标准可用(ISONWI提议)备份无标准互用性元可用的ISO标准非对称的加密算法无可用的ISO标准ANSIX9标准可用隐私和机密性无可用的ISO标准商业实体身份标识符无可用的ISO标准令牌无可用的ISO标准EBSlll可用10 附录A(资料性附录)补充信息有关本文件提到的标准的进一步详细资料可以通过以下渠道获取。能够从下面这些地方获得关于本文件所提及的标准的更加详细的资料。国际标准化组织(Internat{onal0rganizationforStandardization)中央秘书处(CentralSecretariat)Casepostale56CH一1211Gentre20瑞士(Switzerland)电话；+41227490111传真：+41227333430电子邮件：clivio@iso．org国际标准化组织(InternationalOrganizationforStandardization)ISO／TC68秘书处(ISO／TC68Secretariat)转交美国银行家协会(c／oAmericanBankersAssociation)1120ConnecticutAvenue，NWWashington，D．C．20036美国(UnitedStatesofAmerica)电话；+12026635284传真：+12028284540电子邮件：cruller@aba．com美国国家标准协会(AmericanNationalStandardsInstitute)ASCX9秘书处(ASCX9Secretariat)转交美国银行家协会(c／oAmericanBankersAssociation)1120ConneeticutAvenue，NWWashington，D．C．20036美国(UnitedStatesofAmerica)电话；+12026635284传真：+12028284540电子邮件：cruller@aba．corn欧洲银行标准委员会(EuropeanCommitteeforBankingStandards)秘书长(SecretaryGeneral)AvenuedeTervueren12布鲁塞尔B-1040(B-1040Brussels)比利时(Belgium)电话：+3227333533传真：+3227364988电子邮件：ecbs@ecbs．orgGB／T27911—201t GB／T27911--2011参考文献[1]IsO／IEcTR13335(所有部分)信息技术信息技术安全管理指南(InformationtechnologyGuidelinesforthemanagementofITSecurity)12'