《信息安全技术 智能卡安全技术要求（EAL4+）-编制说明》

一、工作简况

1、任务来源

根据国家标准化管理委员会《关于下达2011年第三批国家标准制

修订计划的通知》（国标委综合[2011]82号）的要求，《信息安全技术

智能卡系统安全技术要求》（计划编号：20111633-T-469）国家标准

由全国信息安全标准化技术委员会归口并管理，住房和城乡建设部IC

卡应用服务中心会同有关单位共同编制。

2、工作基础

目前，全国有440多个城市建立了不同规模的IC卡系统，符合住

房和城乡建设部标准的系统达160余个，累计发卡量近7亿张；全国有

72个城市实现城市一卡通互联互通，这是已有的城市一卡通发展基础。

除此之外，需要考虑银行卡、社保卡、居民健康卡等各行业对智能卡

安全的技术要求，提出具有共性特点的智能卡系统安全技术要求。

3、主要工作过程

自2011年9月起，该标准项目已在归口单位立项通过，主编单位

开始组织前期调研及准备工作，9月21日、12月13日召开两次召开了

两次专题会议，研究对该标准的定位，初步确定了以系统的安全性分

类（等级）为原则，对各子系统进行性能评价，从而对智能卡系统进

行分类评价的基本原则。

2011年12月，该标准正式获得国家标准化管理委员会的立项。主

编单位与相关技术组织建立对接沟通，并于2012年3月6日召开会议，

进一步明确标准大纲。确定了该标准以《信息技术安全性评估准则》

（GB/T18336）的评估体系为基础，进行智能卡系统的安全评价；标

准大纲中的安全要素、安全目标、安全威胁和安全策略所描述的内容，

结合智能卡行业特点进行修改和完善；标准大纲安全要求作为独立章

节，其中的安全功能技术要求和安全保证技术要求划分三个等级进行

描述；分别从各行业，如银行、社保、身份证、城市一卡通等描述所

应具备的安全级别。

在全国信息安全标准化技术委员会的指导和主编单位的牵头下，

于2012年7月6日在北京召开了该标准编制组成立暨第一次工作会议。

标准编制组对标准大纲进行了详细的讨论，各参编单位积极发表建议，

确定了相关章节的牵头单位，按照计划开展相关工作。

2012年10月31日，根据各牵头单位提交的初稿形成了标准讨论稿，

主编单位内部召开专题会议，研究并确定的意见包括讨论稿主要集中

在智能卡系统的业务方面，作为后台系统的一部分；增加智能卡系统

中卡片层技术要求、终端层技术要求，以及完善后台系统方面的要求，

形成卡片、终端、后台全方位的安全技术要求；该标准定位是涵盖智

能卡业务的大系统。

2013年5月8-11日，编制组召开了标准封闭编写会，确定了参照

公安部关于信息系统安全等级保护三级的有关规定，制定智能卡系统

安全技术要求（包括管理和技术两方面）；明确智能卡系统中涉及卡

片、终端机具的安全要素（或安全技术要求）；在“等保三级”基础

之上，以智能卡系统对敏感数据的保护要求作为分级依据，划分出一

级、二级和三级智能卡系统；整理智能卡各子系统的有关技术要求，

以附录形式补充。

2013年7月16日，信息安全标委会组织专家会审查标准讨论稿，

专家建议主要包括标准定位不清晰，没有体现出智能卡系统的特色，

以及智能卡系统特色的安全保护；需要明确本标准规定智能卡系统的

范围、适用对象，以及确定适合应用对象操作的测试评价方法；章节

的划分需要进一步展开，使重点要求能够体现，便于阅读者能够掌握

标准的重点。

2013年7月26日和10月24日，主编单位两次召开内部会议，根据

专家意见进行讨论稿的完善，确定了增加引言，介绍智能卡系统的范

围、功能，或者在术语和定义中增加智能卡的概念；在三个级别安全

技术要求中，完善卡片、终端、密钥管理系统的要求，并在参照等级

保护的物理、运行、数据等要求中细化智能卡系统的安全技术；将密

钥管理系统、数字证书系统的安全内容，分散到三个级别的安全要求

中，保持标准的一致性。

2013年12月9日，主编单位召开会议进一步完善讨论稿，并准备

专家会议事宜。12月30日，主编单位组织召开了专家审查会，主要意

见包括本标准（讨论稿）是在大量实践工作基础上，学习并查阅了相

关标准，涉及内容广泛；要认真考虑该标准与其他相关标准协调一致

的问题；在明确要求对象的基础上，调整框架。

2014年3月26日，信息安全标委会组织专家会审查标准讨论稿，

专家建议主要包括本标准的对象智能卡系统集中在包含芯片和片上

操作系统及特色应用的卡片上，不在涉及其他内容；针对智能卡的安

全要求应打开卡片，分析各部分的安全威胁、目标、策略等；可以参

考相关的芯片和片上操作系统安全技术标准。

根据专家意见，主编单位组织编制组牵头单位及相关合作单位于

2014年9月1日，2015年1月9日，2015年4月9日召开三次编写会议，重

新对标准框架及内容进行研讨完善，确定了讨论稿内容主要以智能卡

系统作为对象分析安全资产，芯片、COS可参考相关标准，重点梳理

行业应用的安全保护对象，提出智能卡系统的安全资产；资产可从安

全功能数据（如密钥数据）、用户数据、安全服务/接口进行考虑；按

照目前城市一卡通应用情况，智能卡系统的安全级别应在EAL4+级别；

重点参考手机支付安全标准，梳理智能卡系统的总体结构、安全资产、

威胁、组织安全策略、假设、目的等。

随后，主编单位多次与相关专家单独汇报沟通，进一步完善标准

讨论稿。2015年12月30日，主编单位组织召开专家会审查标准讨论稿，

专家建议主要包括应将卡片作为一个整体，分析其面临的威胁，针对

智能卡的安全标准还没有，这个标准的定位在此；标准内容扩展到各

行业，提出智能卡的安全要求，不应局限于城市一卡通，提出各行业

共性的安全要求，如钱包、支付等方面；确定与应用交互的基本功能，

完善安全威胁；如整理安全级别，建议不与等保的安全级别对应。

编制组根据专家会的意见，进一步完善标准讨论稿，并与部分专

家多次单独沟通，形成最新的标准讨论稿。

2017年3月，经全国信安标委WG5组织专家评审，提出了详细的修

改意见，根据专家意见形成了目前的标准讨论稿。

2017年4月10日，全国信安标委WG5在武汉组织召开标准会议周，

本标准参加会议进行汇报和答辩，会议同意形成标准征求意见稿和名

称变更申请，会后按照相关要求进行名称变更请示，以及征求意见工

作。

二、标准编制原则和确定标准主要内容的依据

根据国家标准化管理委员会《关于下达2011年第三批国家标准制

修订计划的通知》（国标委综合[2011]82号）的要求，主编单位组织

相关单位进行编制。本标准按照GB/T1.1-2009给出的规则起草。

本标准规定了智能卡安全技术要求，包括系统描述、安全问题定

义、安全目的、安全要求和基本原理等技术要求。本标准适用于智能

卡的安全应用、监管、检查等。在编制过程中主要参考了下列标准：

GB17859-1999计算机信息系统安全保护等级划分准则

GB/T18336.1-2015信息技术安全技术信息技术安全评估准则

第1部分：简介和一般模型

GB/T18336.2-2015信息技术安全技术信息技术安全评估准则

第2部分：安全功能组件

GB/T18336.3-2015信息技术安全技术信息技术安全评估准则

第3部分：安全保障组件

GB/T20271-2006信息安全技术信息系统通用安全技术要求

GB/T20272-2006信息安全技术操作系统安全技术要求

GB/T20276-2016信息安全技术具有中央处理器的IC卡嵌入式

软件安全技术要求

GB/T22186-2016信息安全技术具有中央处理器的IC卡芯片安

全技术要求

三、预期的经济效果

该标准的实施将会对我国智能卡行业的信息安全，尤其是城市一

卡通领域的信息安全技术提升起到重要的推动作用，随着在建设领域

等相关行业的应用，必将带来巨大的经济效益。

城市一卡通源于公共交通领域，随着城市信息化与城镇化进程的

发展，现已发展成为在地方政府主导下的城市信息化项目，是各地城

市信息化工作的重要组成部分，伴随着智能卡应用的发展，城市信息

化建设与我国城镇化进程的需求增大，城市综合交通应用的智能卡所

服务的大众百姓已呈现出需求差异化特点，从最初的单一公交应用发

展到目前包括城市综合交通、燃气、自来水、供暖、数字社区、路桥

收费、公园景点、小额消费等多领域应用，目前已实现40多种领域应

用。

随着我国城市化进程的快速发展，更多的全国经济区域的形成，

区域间的经济交流合作也会随着我国交通系统的快速发展而迅速增

多，将会带来城市一卡通跨行业、跨区域使用的极大市场需求。

近年来，随着社会保障卡、居民健康卡的快速发展，智能卡的应

用已经深入到人们生活中，为大家提供便捷、高效的同时，也带来了

个人信息泄露等安全问题。基于上述原因，智能卡的安全越来越受到

大家的重视，本标准主要针对智能卡的安全技术提出要求，对于保障

人民财产及带动消费具有积极意义。

四、与相关现行法律、法规和强制性国家标准的关系

本标准与我国现行法律、法规和强制性国家标准协调一致，不存

在冲突问题。

五、重大分