ATM应用规范(第9部分：安全规定).pdf

ICS 备案号 QB 440000 Q GDYT 广州广电运通金融电子股份有限公司企业标准 Q GDYT 3 9 2010 ATM 应用规范 第 9 部分 安全规定 Standards for ATM application Part 9 Security prescript 报批稿 2010 11 10 发布 2010 12 01 实施 广州广电运通金融电子股份有限公司 发 布 Q GDYT 3 9 2010 I 目 次 前言 II 1 范围 1 2 规范性引用文件 1 3 硬件安全 1 4 业务安全 2 5 信息安全 5 6 代码安全 6 7 系统安全 7 8 安全管理 8 Q GDYT 3 9 2010 II 前 言 Q GDYT 3 ATM应用规范 分为10个部分 第 1 部分 一般规定 第 2 部分 业务流程 第 3 部分 用户界面 第 4 部分 凭证规定 第 5 部分 流水记录 第 6 部分 维护菜单 第 7 部分 交易报文 第 8 部分 数据安全传输控制 第 9 部分 安全规定 第 10 部分 易用性规定 本部分由广州广电运通金融电子股份有限公司提出 本部分起草单位 广州广电运通金融电子股份有限公司 本部分主要起草人 汤飞 彭鹏 李叶东 罗攀峰 王全胜 本部分于2010年11月首次发布 Q GDYT 3 9 2010 1 ATM 应用规范 第 9 部分 安全规定 1 范围 本部分规定广州广电运通金融电子股份有限公司 以下简称 广电运通 自动柜员机 ATM 的 硬件需具备的安全特性和控制软件 ATMC 的软件安全 以及ATM的系统安全和安全管理等 本部分适用于广电运通ATM硬件安全要求和ATMC软件的安全设计要求 2 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款 凡是注日期的引用文件 其随后所有的 修改单 不包括勘误的内容 或修订版均不适用于本标准 然而 鼓励根据本标准达成协议的各方研究 是否可使用这些文件的最新版本 凡是不注日期的引用文件 其最新版本适用于本标准 GB T 21078 1 2007 银行业务 个人识别码的管理与安全 第1部分 ATM终端和POS系统中联机 PIN处理的基本原则和要求 JR T 0002 2009 银行卡自动柜员机 ATM 终端规范 JR T 0025 2005 中国金融集成电路 IC 卡规范 3 硬件安全 3 1 整机 ATM整机需符合相应销售地区的国内或国际的一些相关标准 ATM具有加装高强度的防暴屏 保护显示器不受外力损伤的能力 ATM上可安装防偷窥镜 可以在客户进行操作交易时看到后面是否有可疑人物 ATM显示器可安装防窥屏 可以有效保障客户账户和交易信息的安全 3 2 工控机 工控机需符合CCC认证 3 3 读卡器 读卡器具有防盗卡设计 读卡器具有可加装异物检测装置的能力 可防止不法分子在读卡口增加盗卡装置 读卡具有锁卡功能 读卡器需符合EMV LEVEL 1认证 读卡器支持掉电退卡的功能 3 4 用户键盘 Q GDYT 3 9 2010 2 用户键盘采用防爆键盘 符合PCI EPP 2 0认证 用户键盘需有防窥设计 如配置键盘防窥罩 防止在ATM上部非法安装的摄像头 3 5 出钞模块 出钞模块的钱箱必须放置在保险柜内 对符合流通标准的纸币应能正确出钞 对不符合流通标准的纸币 如残缺 破损 粘连 伪造变造 币等 以及持卡人未取走的纸币 应能正确回收 出钞模块的通讯报文必须加密传送 通讯日志必须密文保存 3 6 存款模块 存款模块的钱箱必须放置在保险柜内 需有规范的流程来确保存款机芯的验钞模块使用版本是最新版本 3 7 出钞闸门 出钞闸门需有防异物粘贴和防堵塞设计 3 8 保险柜 保险柜需符合UL标准要求 保险柜至少有一把密码锁和一把机械锁 密码锁可为机械密码锁或电子密码锁 密码应可调 调码 应操作方便 可靠 3 9 DVR 数字监控设备 需要通过CCC认证 3 10 电源 需要通过CCC认证 3 11 LCD 液晶显示器 需要通过CQC认证 4 业务安全 为了保障持卡人的用卡安全 我们参考JR T 0002 2009中定义的安全要求规定了广电运通ATM交易 和界面设计应考虑的安全防范要求 4 1 启动和自检 ATMC启动后 应屏蔽101或104键盘和鼠标 且置顶满屏显示 ATM启动时 ATMC应对硬件和软件的合法性进行自检 如有异常 则暂停服务 ATM在交易过程中出现设备故障 ATMC应有对故障的设备进行自检恢复的能力 4 2 签到 对于业务类交易 如果ATM终端校验交易报文的MAC出错或收到校验MAC出错的应答报文 必须自动 发起签到交易 重新申请工作密钥 Q GDYT 3 9 2010 3 发送取款交易时 如果返回MAC校验错 应重新签到成功后再进行冲正交易 4 3 时间同步 应保证重要系统时钟时间保持同步 ATM终端时间与ATMP的系统时间通过联机交易报文的交易日期和交易时间域进行同步 且只有在进 行ATM签到和取款交易时才进行同步 当ATM发现与ATMP的时间误差大于1秒时 ATM终端需要根据ATMP返回报文的交易日期和交易时间域 的值调整本机时间 4 4 等待交易 在等待交易画面可出现客户服务电话 提醒注意用卡安全 广告等信息 提示信息内容可参见 ATM 应用规范 第3部分 用户界面 在硬件支持的情况下 需支持抖动式进卡和退卡方式 在硬件支持的情况下 需支持读卡口异物检测功能 在读卡器监测到错误时 立即显示专门的警告 画面 告知持卡人检查读卡器是否有异常 注意不要向任何人泄露密码 不要轻信他人的建议或其他提 示 并强调银行工作人员或警察不会索取持卡人的密码等 ATM终端要求判磁进卡 且对插入的银行卡进行校验位运算 只有符合银行卡标准才允许继续交易 否则作退卡处理 4 5 输入密码 在个人密码输入界面要求有防止其他人偷窥密码的类似安全提示信息和输密时用手遮挡的动画 输入PIN时应显示 字符 不会显示PIN明文 支持输入的PIN的长度至少4 6位 可扩展到12位 4 6 取款 取款交易时 应对持卡人的输入金额 C端上送金额 P端返回金额 如果P端返回报文含有金额 逻辑配钞金额 实际配钞金额 货币代码 流水号 ATM终端编号 交易码和卡号进行匹配 只有在完 全相同的情况下 才允许进行送钞操作 否则应拒绝该笔交易 并回收所挖钞票 在出钞闸门出现故障 保险柜门打开时 应不能送钞 且屏蔽取款交易 在出钞闸门关闭失败时 应至少尝试三次以上关闭 在取款前 可选进行一次出钞闸门的微动指令 避免出现送钞时出现开门失败的情况 出钞前 应先确保最近一笔有发送取款交易 当ATM在限定时间内接收不到交易请求应答时 必须产生冲正通知 对于后面接收到的ATMP发送的 取款成功迟到应答 ATM应直接丢弃 不再进行挖钞 4 7 改密 改密前 要求先输入原始密码 必须输入两次新密码 在两次输入的新密码都一致的情况下才发送改密交易请求 在两次提示输入新密码画面 均应有用手遮挡的提示动画和注意密码保护的安全提示信息 4 8 转账 Q GDYT 3 9 2010 4 如银行后台支持户名查询时 则输入转入账号后在核对转账信息画面 应屏蔽户名的姓或名 如果 不支持户名查询 则要求持卡人输入转入账号 只有在两次转入账号输入都一致的情况下 才允许进行 转账交易 在转账画面 应有提示单次最大转账限额信息 在转账信息确认画面 应提示持卡人确认输入账号 的正确性 另外 可以在持卡人选择转账交易后 有单独的风险提示画面 需持卡人确认后才进行下一 步操作 在出钞闸门出现故障时 可以根据客户要求来配置是否屏蔽转账功能 4 9 存款 无卡存款时 如果后台不支持户名查询 则应连续输入两次卡号或账号 必须两次输入都一致才继 续下一步 如果后台支持户名查询 则只需输入一次 然后显示存入卡号或账号及户名 并隐去姓或名 由于硬件问题导致存款交易被屏蔽时 则无卡存款交易应同时被屏蔽 在存款前 可选进行一次存款闸门的微动指令 避免出现开门等待放钞时出现开门失败的情况 存款时的钞票处理要严格按照银行制定的响应码要求来执行吞钞或退钞动作 对于银行无明确要求 的响应码或不识别响应码 则默认执行吞钞动作 存款时 如果收到主机拒绝码要求退钞 则程序先要校验卡号 流水号 ATM终端编号 交易金额 只有在完全相同的情况下才执行退钞 否则任何一项不匹配都执行吞钞动作 在存款时 如果接收到成功响应码 但终端校验MAC错误 则执行吞钞 然后再重新签到 在存款时 如果接收到成功响应码 但流水号 ATM终端编号不一致 则执行吞钞 针对带外闸门的存取款一体机 使用的是日立HCM机芯 在存款交易结束后或存款过程中出现故 障后 机芯Shutter都需要自动开关一次 以确保机芯Shutter上没有钞票 如果入钞口检测到有钞票 则先自动回收成功后才能进行下一笔交易 如果入钞口检测到有钞票 不能开关大闸门 可选将存入钞票的序列号打印在存款凭证上 4 10 吞卡 如果交易处理失败且响应码要求吞卡 则ATM终端应执行吞卡操作 同时打印客户凭证 如果在交 易进行过程中 持卡人在限定时间内没有任何操作 则应将银行卡退回至入卡口 同时提示持卡人取卡 如果在限定时间内持卡人未将银行卡从入卡口取走 则应执行吞卡操作 并给予客户相应提示信息 吞卡失败不允许打印客户凭证 4 11 超时处理 在交易过程中 如果持卡人长时间不操作 则取消当前交易并自动退卡 且流水有对应的记录 取款和存款过程中如果在等待拿钞画面超时不操作 则自动回收钞票 如果在等待拿卡画面超时不操作 则自动回收银行卡 存款时 如果在点钞结果画面超时不操作 则自动存入钞票 然后退卡 在交易过程中 每个等待用户操作的画面都应有总超时时间 时间可根据客户要求进行配置 4 12 长按键处理 除退卡 等待插卡 暂停服务 提示取钞画面和操作进行中画面以外 其中在存款提示放钞画面长 按键ATM将自动进入点钞确认画面 在点钞确认画面长按键ATM将自动存入钞票 在退出未识别钞票并提 示拿走画面长按键ATM将回收钞票外 其他画面长按键后都应取消当前交易并退卡 同时屏幕上提醒 持卡人确定身边没有其他人 Q GDYT 3 9 2010 5 4 13 维护 进入后台维护和特权维护时要求输入密码才能进入 维护密码应具有一定的安全等级 且需加密存储 应限定操作员密码输入错误的最高次数 应明确区分操作员和管理员的职责和对应的功能 维护菜单中读卡器测试可选有读磁和写磁测试 如果有 则屏幕上不应显示磁道信息 且日志中不 允许存储磁道信息 维护菜单中不允许有出钞测试功能 4 14 异常操作 通过ATM终端界面进行任何异常操作不会泄漏敏感信息 读卡器如果是电动马达式 且不是先退卡后出钞流程时 在交易时需做一下检查 在配钞和送钞前应判断银行卡是否在读卡器内 如果银行卡不在读卡器内 则回收钞票并取消 取款交易 存款 转账 取款 改密等交易在发送交易包之前 应判断银行卡是否在读卡器内 如果读卡 器内无卡 则拒绝当前交易 无卡交易除外 5 信息安全 参考JR T 0025 2005 规定了广电运通ATM的信息安全 5 1 加密要求 ATM终端应采用安全 可靠的加密算法 保证ATM终端交易数据的安全性 PIN要求用硬加密 PIN 处理的原则和要求见GB T 21078 1 ATM终端的加密模块应能够支持双倍长密钥加密算法 如果银行必须要求使用软加密方式 则必须符合以下要求 不能用数据库或文件记录银行管理员输入的密钥明文以及合成主密钥明文 必须将合成的主密钥经客户 或者公司内部 认可的安全算法加密转换为密文后存储到指定位 置 不能用某台设备生成的运行程序作为存档或提交给服务站 应走正规的发布流程 且制作安装 包前必须先清空主密钥 5 2 密钥 5 2 1 密钥加密密钥 KEK KEK的输入只允许使用加密模块输入 不能通过后台维护终端或其他设备输入 KEK不允许保存在硬 盘中 必须加密存储在加密模块中 KEK用于对工作密钥 WK 进行加密保护 每台ATM终端有唯一的KEK KEK应有安全保护措施 如采用分量输入方式 只能写入并参与运算 不能被读取 当KEK泄密时 需要ATM与ATMP及时 方便地更换KEK 5 2 2 工作密钥 WK Q GDYT 3 9 2010 6 ATM终端采用两种工作密钥用于数据的加解密 即对个人识别码 PIN 加解密的PIN密钥 PIK 和对 报文鉴别码 MAC 进行加解密的MAC密钥 MAK ATM终端工作密钥在下载时和传输时都应以密文方式出现 不应明文传送 5 3 主账号 PAN ATM终端不应存储银行卡磁道信息 卡片验证码 个人识别码 PIN 及卡片有效期 如果系统中存储了主账号 PAN 持卡人姓名和服务代码应使用加密的方式存储 交易凭证打印的卡号 除被吞卡和转账交易的转入卡外 应根据当地业务监管机构要求隐去但不限 于卡号校验位前4位数字 5 4 个人识别码 PIN PIN输入设备应符合PCI EPP标准 PIN或经加密的PIN数据库不允许在ATM终端中任何地方进行存储 PIN的格式 PIN BLOCK 应符合ISO公布的ANSI X9 8标准中的PIN的两种格式之一 ANSI X9 8格式 不带主账号信息 和ANSI X9 8格式 带主账号信息 5 5 钱箱数据 不能通过手工修改钱箱ID 面额和币种 如果钱箱ID 面额或币种出现突变或异常 则禁止出钞 配钞前应先对钱箱ID 面额和币种的合法 性进行检查 都正确后才能配钞 5 6 配置数据 不能通过手工或配置工具改变真钞还是测试钞模式 默认必须为真钞模式 不能通过手工或配置工具改成脱机版运行 使用数据库保存交易数据或配置时 应将所有数据库都加上密码访问权限 且密码应具有一定的安 全等级 必须是大小写字母 数字混合组成 密码位数不能小于8位 重要的配置信息应加密存储 5 7 日志 电子日志要对操作员和管理员的操作信息有详细的记录 如IP的设置 钱箱的设置 终端号的设置 等 电子日志要详细记录加钞时的相关信息 包含打开了哪个门 开门的时间 加钞的时间 加钞的张 数 加钞的钱箱ID和面额等 电子日志包括ATMC日志 驱动日志和SP日志等都不应记录持卡人的磁道数据 密码 卡片有效期 姓名等敏感信息 电子日志要有防篡改的功能 机芯通讯数据如果有记录 应加密存储 6 代码安全 成立代码走查小组 对代码进行审查 防止有恶意代码存在 严格按照广电运通的 代码编写规范 来对代码进行编写 如atoi sprintf函数是否正确调用 代码中要有异常捕获机制 Q GDYT 3 9 2010 7 不允许存在内存泄露和句柄泄露现象 7 系统安全 7 1 访问控制 7 1 1 用户设置 ATM操作系统中的用户应明确各自的用途 应定期检查所有系统用户 以确保不存在恶意 过期或不明账户 必须经过客户的许可 才能添加或删除用户 7 1 2 登录限制 如果需要开启远程网络登录 应该审批手续和限制措施 使用安全的登录协议 保证只有合法的用户才能远程登录 在使用完毕以后 应及时关闭远程登录服务 用户登录前应有非法访问警示信息 7 1 3 密码策略 在执行密码重置前认证用户身份 为每个用户设置唯一的初始密码 并在初次使用后立即更改 向所有具有持卡人数据访问权限的用户通告密码管理程序和策略 避免使用共享账户和共享密码 密码最小长度不低于七个字符 使用包含数字和字母的密码 不允许任何个人提交的新密码与其最近使用的四个密码相同 通过锁定用户ID的方式限制连续的访问企图 最多不允许超过六次 锁定持续时间设定为三十分钟 或直至管理员为其解锁 7 2 系统策略 参考行业认可的系统加固标准 对系统进行安全加固 如禁用所有不必要的 不安全的服务 协议 和应用程序 设定系统安全参数以防止误用 滥用 删除默认设置 移除系统或应用程序中不必要 不 安全的功能等 我司所有ATM机器出机都要安装安全策略 7 3 文件合法性 当ATMC运行所依赖的某个或多个文件被更新 删除或被替换时 应有一个安全保障机制来确保该文 件的合法性 即应对依赖的文件进行有效校验 只有通过校验后才表明该文件是合法的 ATMC才允许正 常运行 否则应不允许ATMC进入服务模式 7 4 设备合法性 当ATM机器上某个重要的硬件设备如读卡器 加密键盘 流水打印机等被替换时 ATMC在运行时应 对该设备的合法性进行校验 只有校验通过才允许操作该设备 否则应不允许ATMC进入服务模式 7 5 网络安全 Q GDYT 3 9 2010 8 7 5 1 连接方式 禁止INTERNET接入方式 应通过路由器 交换机和防火墙来进行访问控制 ATM系统应安装防火墙和防病毒软件 并确保所有杀毒程序能够检测 删除并防止所有已知类型的 恶意软件的攻击 以及确保所有杀毒机制都是最新并且在运行 而且能够生成审核日志 如果没有安装 防火墙或防病毒软件 应有其他的安全解决方案 7 5 2 报文传输 在收发报文时 不允许将敏感数据如PIN 密钥 磁道信息等用明文方式传输 且必须对返回报文 进行MAC校验 发送和接收的通讯报文日志要用 号屏蔽相关敏感信息 对于报文的MAC域 应依据银行提供的报文接口 支持8位或8的倍数位的MAC校验 ATM在接收到未识别报文时 包含部分未识别 需要再日志中记录 但不进行交易 7 5 3 IP 地址合法性 为了便于管理和保障系统安全性 ATM终端必须使用统一分配的IP地址和端口号进行通讯处理 ATM在建立TCP IP连接时 ATM都必须对请求建立连接的对方IP地址做合法性检查 如果是规定的IP 地址则允许建立连接 否则拒绝连接 但是需要在日志中进行记录 7 5 4 远程访问 应对远程登录访问系统的用户 登录时间 密码验证状态等信息进行记录 应严格限制远程登录访问 8 安全管理 8 1 技术资料 ATM上不应保存有重要的说明文档和源码 ATM上使用的机芯测试工具和读卡器测试工具必须经过授权才能使用 如果需做出钞测试 必须得 到银行的批准和配合才允许使用 ATM上不允许安装一些未授权的商业软件 如VC OFFICE等 8 2 版本管理 应使用专用软件对开发代码 包括后台和终端两部分代码 进行版本控制 保证当前系统是最新的稳定版本 同时保存历史版本代码可供查询 应在升级生产系统前对开发代码做严格的测试 生产系统代码的升级需要有审批流程 应建立旧版本代码销毁的审批流程 应有版本变更管理流程 8 3 补丁管理 在软件补丁安装以前 须在测试系统中进行严格测试 确保测试通过后再进行安装 制定软件补丁管理制度和流程 对所有生产系统安装必须的操作系统和应用系统补丁 定期查看补丁管理制度 补丁升级记录等文档 Q GDYT 3 9 2010 9 定期更新操作系统与系统安全相关的补丁 8 4 移动介质管理 在装载外部介质上的数据和程序之前必须对外部介质进行扫描以防止病毒 8 5 日志管理 8 5 1 电子日志 定期检查所有电子日志 内容不应记录有持卡人的磁道数据 密码 卡片有效期 姓名等敏感信息 8 5 2 操作系统日志 应定期查看日志记录 对其中可疑的记录进行分析审核 应及时将系统日志 无线网络日志备份到专用的日志服务器或安全介质内 应采用监控软件保证日志的一致性与完整性 日志数据应至少保存一年 8 5 3 应用系统日志 对应用系统日志 交易日志 通讯日志等 的读取应有严格的审批流程 8 5 4 日志权限 应严格控制对系统日志的访问 只有工作需要的人员才能查看系统日志 8 6 录像管理 插卡录像时 监控内容要包含有卡号 插卡时间 交易时间 交易金额 交易返回码等信息 录像应该从用户插卡前一段时间开始录像 在用户取卡后一段时间停止录像 对取款 存款 转账 等交易要进行一定的记录保存 这样有利于银行对争议交易进行查询 录像至少保存30天 8 7 维护管理 应依据操作手册对系统进行维护 详细记录操作日志 包括重要的日常操作 运行维护记录 参数 的设置和修改等内容 严禁进行未经授权的操作 应定期对运行日志和审计数据进行分析 以便及时发现异常行为