欢迎来到天天文库
浏览记录
ID:27744510
大小:48.08 KB
页数:7页
时间:2018-12-05
《信息安全技术-智能卡安全技术要求(eal4+)-编制说明x》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库。
1、《信息安全技术智能卡系统安全技术要求》(征求意见稿)编制说明一、工作简况1、任务来源根据国家标准化管理委员会《关于下迗2011年第三批国家标准制修订计划的通知》(国标委综合[2011]82号)的要求,《信息安全技术智能卡系统安全技术要求》(计划编号:20111633-T-469)国家标准由全国信息安全标准化技术委员会归口并管理,住房和城乡建设部1C卡应用服务中心会同有关单位共同编制。2、工作基础目前,全国有440多个城市建立了不同规模的1C卡系统,符合住房和城乡建设部标准的系统迗160余个,累计发卡量近7
2、亿张;全国有72个城市实现城市—通互联互通,这是已有的城市—k通发展基础。除此之外,需要考虑银行卡、社保卡、居民健康卡等各行业对智能卡安全的技术要求,提出具有共性特点的智能卡系统安全技术要求。3、主要工作过程自2011年9月起,该标准项目已在归口单位立项通过,主编单位开始组织前期调研及准备工作,9月21日、12月13日召开两次召开了两次专题会议,研究对该标准的定位,初步确定了以系统的安全性分类(等级)为原则,对各子系统进行性能评价,从而对智能卡系统进行分类评价的基本原则。2011年12月,该标准正式获得国
3、家标准化管理委员会的立项。主编单位与相关技术组织建立对接沟通,并于2012年3月6日召开会议,进一步明确标准大纲。确定了该标准以《信息技术安全性评估准则》(GB/T18336)的评估体系为基础,进行智能卡系统的安全评价;标准大纲中的安全要素、安全目标、安全威胁和安全策略所描述的内容,结合智能卡行业特点进行修改和完善;标准大纲安全要求作为独立章节,其中的安全功能技术要求和安全保证技术要求划分三个等级进行描述;分别从各行业,如银行、社保、身份证、城市一卡通等描述所应具备的安全级别。在全国信息安全标准化技术委员
4、会的指导和主编单位的牵头下,于2012年7月6日在北京召开了该标准编制组成立暨第一次工作会议。标准编制组对标准大纲进行了详细的讨论,各参编单位积极发表建议,确定了相关章节的牵头单位,按照计划开展相关工作。2012年10月31日,根据各牵头单位提交的初稿形成了标准讨论稿,主编单位内部召开专题会议,研究并确定的意见包括讨论稿主要集中在智能卡系统的业务方面,作为后台系统的一部分;增加智能卡系统中卡片层技术要求、终端层技术要求,以及完善后台系统方面的要求,形成卡片、终端、后台全方位的安全技术要求;该标准定位是涵盖
5、智能卡业务的大系统。2013年5月8-11日,编制组召开了标准封闭编写会,确定了参照公安部关于信息系统安全等级保护三级的有关规定,制定智能卡系统安全技术要求(包括管理和技术两方面);明确智能卡系统中涉及卡片、终端机具的安全要素(或安全技术要求);在“等保三级”基础之上,以智能卡系统对敏感数据的保护要求作为分级依据,划分出一级、二级和三级智能卡系统;整理智能卡各子系统的有关技术要求,以附录形式补充。2013年7月16日,信息安全标委会组织专家会审查标准讨论稿,专家建议主要包括标准定位不清晰,没有体现出智能卡
6、系统的特色,以及智能卡系统特色的安全保护;需要明确本标准规定智能卡系统的范围、适用对象,以及确定适合应用对象操作的测试评价方法;章节的划分需要进一步展开,使重点要求能够体现,便于阅读者能够掌握标准的重点。2013年7月26日和10月24日,主编单位两次召开内部会议,根据专家意见进行讨论稿的完善,确定了增加引言,介绍智能卡系统的范围、功能,或者在术语和定义中增加智能卡的概念;在三个级别安全技术要求中,完善卡片、终端、密钥管理系统的要求,并在参照等级保护的物理、运行、数据等要求中细化智能卡系统的安全技术;将密
7、钥管理系统、数字证书系统的安全内容,分散到三个级别的安全要求中,保持标准的一致性。2013年12月9日,主编单位召开会议进一步完善讨论稿,并准备专家会议事宜。12月30日,主编单位组织召开了专家审查会,主要意见包括本标准(讨论稿)是在大量实践工作基础上,学习并查阅了相关标准,涉及内容广泛;要认真考虑该标准与其他相关标准协调一致的问题;在明确要求对象的基础上,调整框架2014年3月26日,信息安全标委会组织专家会审查标准讨论稿,专家建议主要包括本标准的对象智能卡系统集中在包含芯片和片上操作系统及特色应用的卡
8、片上,不在涉及其他内容;针对智能卡的安全要求应打开卡片,分析各部分的安全威胁、目标、策略等;可以参考相关的芯片和片上操作系统安全技术标准。根据专家意见,主编单位组织编制组牵头单位及相关合作单位于2014年9月1日,2015年1月9日,2015年4月9日召开三次编写会议,重新对标准框架及内容进行研讨完善,确定了讨论稿内容主要以智能卡系统作为对象分析安全资产,芯片、COS可参考相关标准,重点梳理行业应用的安全保护对象,提出智能卡系
此文档下载收益归作者所有