ATM应用规范(第9部分：安全规定).pdf

1、 ICS 备案号：QB/440000 Q/GDYT 广州广电运通金融电子股份有限公司企业标准 Q/GDYT 3.92010 ATM 应用规范 第 9 部分：安全规定 Standards for ATM application Part 9:Security prescript （报批稿）2010-11-10 发布 2010 12-01 实施广州广电运通金融电子股份有限公司 发 布Q/GDYT 3.92010 I 目 次 前言.II 1 范围.1 2 规范性引用文件.1 3 硬件安全.1 4 业务安全.2 5 信息安全.5 6 代码安全.6 7 系统安全.7 8 安全管理.8 Q/GDYT 3.

2、92010 II 前 言 Q/GDYT 3ATM应用规范分为10个部分：第 1 部分：一般规定；第 2 部分：业务流程；第 3 部分：用户界面；第 4 部分：凭证规定；第 5 部分：流水记录；第 6 部分：维护菜单；第 7 部分：交易报文；第 8 部分：数据安全传输控制 第 9 部分：安全规定；第 10 部分：易用性规定。本部分由广州广电运通金融电子股份有限公司提出。本部分起草单位：广州广电运通金融电子股份有限公司。本部分主要起草人：汤飞、彭鹏、李叶东、罗攀峰、王全胜。本部分于2010年11月首次发布。Q/GDYT 3.92010 1 ATM 应用规范 第 9 部分：安全规定 1 范围 本部分

3、规定广州广电运通金融电子股份有限公司（以下简称“广电运通”）自动柜员机（ATM）的硬件需具备的安全特性和控制软件（ATMC）的软件安全，以及ATM的系统安全和安全管理等。本部分适用于广电运通ATM硬件安全要求和ATMC软件的安全设计要求。2 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。GB/T 21078.1-2007 银行业务 个人识别码的管理与安全 第1部分：ATM终

4、端和POS系统中联机PIN处理的基本原则和要求 JR/T 0002-2009 银行卡自动柜员机（ATM）终端规范 JR/T 0025-2005 中国金融集成电路（IC）卡规范 3 硬件安全 3.1 整机 ATM整机需符合相应销售地区的国内或国际的一些相关标准。ATM具有加装高强度的防暴屏，保护显示器不受外力损伤的能力。ATM上可安装防偷窥镜，可以在客户进行操作交易时看到后面是否有可疑人物。ATM显示器可安装防窥屏，可以有效保障客户账户和交易信息的安全。3.2 工控机 工控机需符合CCC认证。3.3 读卡器 读卡器具有防盗卡设计。读卡器具有可加装异物检测装置的能力，可防止不法分子在读卡口增加盗卡

5、装置。读卡具有锁卡功能。读卡器需符合EMV LEVEL 1认证。读卡器支持掉电退卡的功能。3.4 用户键盘 Q/GDYT 3.92010 2 用户键盘采用防爆键盘，符合PCI EPP 2.0认证。用户键盘需有防窥设计，如配置键盘防窥罩，防止在ATM上部非法安装的摄像头。3.5 出钞模块 出钞模块的钱箱必须放置在保险柜内。对符合流通标准的纸币应能正确出钞，对不符合流通标准的纸币（如残缺、破损、粘连、伪造变造币等）以及持卡人未取走的纸币，应能正确回收。出钞模块的通讯报文必须加密传送，通讯日志必须密文保存。3.6 存款模块 存款模块的钱箱必须放置在保险柜内。需有规范的流程来确保存款机芯的验钞模块使用

6、版本是最新版本。3.7 出钞闸门 出钞闸门需有防异物粘贴和防堵塞设计。3.8 保险柜 保险柜需符合UL标准要求。保险柜至少有一把密码锁和一把机械锁，密码锁可为机械密码锁或电子密码锁。密码应可调，调码应操作方便、可靠。3.9 DVR 数字监控设备 需要通过CCC认证。3.10 电源 需要通过CCC认证。3.11 LCD 液晶显示器 需要通过CQC认证。4 业务安全 为了保障持卡人的用卡安全，我们参考JR/T 0002-2009中定义的安全要求规定了广电运通ATM交易和界面设计应考虑的安全防范要求。4.1 启动和自检 ATMC启动后，应屏蔽101或104键盘和鼠标，且置顶满屏显示。ATM启动时，A

7、TMC应对硬件和软件的合法性进行自检，如有异常，则暂停服务。ATM在交易过程中出现设备故障，ATMC应有对故障的设备进行自检恢复的能力。4.2 签到 对于业务类交易，如果ATM终端校验交易报文的MAC出错或收到校验MAC出错的应答报文，必须自动发起签到交易，重新申请工作密钥。Q/GDYT 3.92010 3 发送取款交易时，如果返回MAC校验错，应重新签到成功后再进行冲正交易。4.3 时间同步 应保证重要系统时钟时间保持同步。ATM终端时间与ATMP的系统时间通过联机交易报文的交易日期和交易时间域进行同步，且只有在进行ATM签到和取款交易时才进行同步。当ATM发现与ATMP的时间误差大于1秒时

8、ATM终端需要根据ATMP返回报文的交易日期和交易时间域的值调整本机时间。4.4 等待交易 在等待交易画面可出现客户服务电话、提醒注意用卡安全、广告等信息，提示信息内容可参见 ATM应用规范(第3部分：用户界面)。在硬件支持的情况下，需支持抖动式进卡和退卡方式。在硬件支持的情况下，需支持读卡口异物检测功能，在读卡器监测到错误时，立即显示专门的警告画面，告知持卡人检查读卡器是否有异常，注意不要向任何人泄露密码，不要轻信他人的建议或其他提示，并强调银行工作人员或警察不会索取持卡人的密码等。ATM终端要求判磁进卡，且对插入的银行卡进行校验位运算，只有符合银行卡标准才允许继续交易，否则作退卡处理。4

9、5 输入密码 在个人密码输入界面要求有防止其他人偷窥密码的类似安全提示信息和输密时用手遮挡的动画。输入PIN时应显示*字符，不会显示PIN明文。支持输入的PIN的长度至少46位，可扩展到12位。4.6 取款 取款交易时，应对持卡人的输入金额、C端上送金额、P端返回金额（如果P端返回报文含有金额）、逻辑配钞金额、实际配钞金额、货币代码、流水号、ATM终端编号、交易码和卡号进行匹配，只有在完全相同的情况下，才允许进行送钞操作，否则应拒绝该笔交易，并回收所挖钞票。在出钞闸门出现故障、保险柜门打开时，应不能送钞，且屏蔽取款交易。在出钞闸门关闭失败时，应至少尝试三次以上关闭。在取款前，可选进行一次出钞

10、闸门的微动指令，避免出现送钞时出现开门失败的情况。出钞前，应先确保最近一笔有发送取款交易。当ATM在限定时间内接收不到交易请求应答时，必须产生冲正通知。对于后面接收到的ATMP发送的取款成功迟到应答，ATM应直接丢弃，不再进行挖钞。4.7 改密 改密前，要求先输入原始密码。必须输入两次新密码，在两次输入的新密码都一致的情况下才发送改密交易请求。在两次提示输入新密码画面，均应有用手遮挡的提示动画和注意密码保护的安全提示信息。4.8 转账 Q/GDYT 3.92010 4 如银行后台支持户名查询时，则输入转入账号后在核对转账信息画面，应屏蔽户名的姓或名。如果不支持户名查询，则要求持卡人输入转入账号

11、只有在两次转入账号输入都一致的情况下，才允许进行转账交易。在转账画面，应有提示单次最大转账限额信息；在转账信息确认画面，应提示持卡人确认输入账号的正确性；另外，可以在持卡人选择转账交易后，有单独的风险提示画面，需持卡人确认后才进行下一步操作。在出钞闸门出现故障时，可以根据客户要求来配置是否屏蔽转账功能。4.9 存款 无卡存款时，如果后台不支持户名查询，则应连续输入两次卡号或账号，必须两次输入都一致才继续下一步；如果后台支持户名查询，则只需输入一次，然后显示存入卡号或账号及户名，并隐去姓或名。由于硬件问题导致存款交易被屏蔽时，则无卡存款交易应同时被屏蔽。在存款前，可选进行一次存款闸门的微动指令

12、避免出现开门等待放钞时出现开门失败的情况。存款时的钞票处理要严格按照银行制定的响应码要求来执行吞钞或退钞动作，对于银行无明确要求的响应码或不识别响应码，则默认执行吞钞动作。存款时，如果收到主机拒绝码要求退钞，则程序先要校验卡号、流水号、ATM终端编号、交易金额，只有在完全相同的情况下才执行退钞，否则任何一项不匹配都执行吞钞动作。在存款时，如果接收到成功响应码，但终端校验MAC错误，则执行吞钞，然后再重新签到。在存款时，如果接收到成功响应码，但流水号、ATM终端编号不一致，则执行吞钞。针对带外闸门的存取款一体机（使用的是日立HCM机芯），在存款交易结束后或存款过程中出现故障后，机芯Shutte

13、r都需要自动开关一次，以确保机芯Shutter上没有钞票。如果入钞口检测到有钞票，则先自动回收成功后才能进行下一笔交易。如果入钞口检测到有钞票，不能开关大闸门。可选将存入钞票的序列号打印在存款凭证上。4.10 吞卡 如果交易处理失败且响应码要求吞卡，则ATM终端应执行吞卡操作，同时打印客户凭证。如果在交易进行过程中，持卡人在限定时间内没有任何操作，则应将银行卡退回至入卡口，同时提示持卡人取卡。如果在限定时间内持卡人未将银行卡从入卡口取走，则应执行吞卡操作，并给予客户相应提示信息。吞卡失败不允许打印客户凭证。4.11 超时处理 在交易过程中，如果持卡人长时间不操作，则取消当前交易并自动退卡，且流

14、水有对应的记录。取款和存款过程中如果在等待拿钞画面超时不操作，则自动回收钞票。如果在等待拿卡画面超时不操作，则自动回收银行卡。存款时，如果在点钞结果画面超时不操作，则自动存入钞票，然后退卡。在交易过程中，每个等待用户操作的画面都应有总超时时间，时间可根据客户要求进行配置。4.12 长按键处理 除退卡、等待插卡、暂停服务、提示取钞画面和操作进行中画面以外（其中在存款提示放钞画面长按键ATM将自动进入点钞确认画面，在点钞确认画面长按键ATM将自动存入钞票，在退出未识别钞票并提示拿走画面长按键ATM将回收钞票外），其他画面长按键后都应取消当前交易并退卡，同时屏幕上提醒持卡人确定身边没有其他人。Q/G

15、DYT 3.92010 5 4.13 维护 进入后台维护和特权维护时要求输入密码才能进入。维护密码应具有一定的安全等级，且需加密存储。应限定操作员密码输入错误的最高次数。应明确区分操作员和管理员的职责和对应的功能。维护菜单中读卡器测试可选有读磁和写磁测试，如果有，则屏幕上不应显示磁道信息，且日志中不允许存储磁道信息。维护菜单中不允许有出钞测试功能。4.14 异常操作 通过ATM终端界面进行任何异常操作不会泄漏敏感信息。读卡器如果是电动马达式，且不是先退卡后出钞流程时，在交易时需做一下检查：在配钞和送钞前应判断银行卡是否在读卡器内，如果银行卡不在读卡器内，则回收钞票并取消取款交易。存款、转账、取

16、款、改密等交易在发送交易包之前，应判断银行卡是否在读卡器内，如果读卡器内无卡，则拒绝当前交易（无卡交易除外）。5 信息安全 参考JR/T 0025-2005，规定了广电运通ATM的信息安全。5.1 加密要求 ATM终端应采用安全、可靠的加密算法，保证ATM终端交易数据的安全性。PIN要求用硬加密，PIN处理的原则和要求见GB/T 21078.1。ATM终端的加密模块应能够支持双倍长密钥加密算法。如果银行必须要求使用软加密方式，则必须符合以下要求：不能用数据库或文件记录银行管理员输入的密钥明文以及合成主密钥明文；必须将合成的主密钥经客户（或者公司内部）认可的安全算法加密转换为密文后存储到指定位置

17、不能用某台设备生成的运行程序作为存档或提交给服务站，应走正规的发布流程，且制作安装包前必须先清空主密钥。5.2 密钥 5.2.1 密钥加密密钥(KEK)KEK的输入只允许使用加密模块输入，不能通过后台维护终端或其他设备输入。KEK不允许保存在硬盘中，必须加密存储在加密模块中。KEK用于对工作密钥(WK)进行加密保护，每台ATM终端有唯一的KEK。KEK应有安全保护措施（如采用分量输入方式）。只能写入并参与运算，不能被读取。当KEK泄密时，需要ATM与ATMP及时、方便地更换KEK。5.2.2 工作密钥（WK）Q/GDYT 3.92010 6 ATM终端采用两种工作密钥用于数据的加解密，即对个

18、人识别码(PIN)加解密的PIN密钥（PIK）和对报文鉴别码(MAC)进行加解密的MAC密钥（MAK）。ATM终端工作密钥在下载时和传输时都应以密文方式出现，不应明文传送。5.3 主账号（PAN）ATM终端不应存储银行卡磁道信息、卡片验证码、个人识别码（PIN）及卡片有效期。如果系统中存储了主账号（PAN），持卡人姓名和服务代码应使用加密的方式存储。交易凭证打印的卡号，除被吞卡和转账交易的转入卡外，应根据当地业务监管机构要求隐去但不限于卡号校验位前4位数字。5.4 个人识别码（PIN）PIN输入设备应符合PCI EPP标准。PIN或经加密的PIN数据库不允许在ATM终端中任何地方进行存储。PI

19、N的格式（PIN BLOCK）应符合ISO公布的ANSI X9.8标准中的PIN的两种格式之一：ANSI X9.8格式（不带主账号信息）和ANSI X9.8格式（带主账号信息）。5.5 钱箱数据 不能通过手工修改钱箱ID、面额和币种。如果钱箱ID、面额或币种出现突变或异常，则禁止出钞。配钞前应先对钱箱ID、面额和币种的合法性进行检查，都正确后才能配钞。5.6 配置数据 不能通过手工或配置工具改变真钞还是测试钞模式，默认必须为真钞模式。不能通过手工或配置工具改成脱机版运行。使用数据库保存交易数据或配置时，应将所有数据库都加上密码访问权限，且密码应具有一定的安全等级，必须是大小写字母、数字混合组成

20、密码位数不能小于8位。重要的配置信息应加密存储。5.7 日志 电子日志要对操作员和管理员的操作信息有详细的记录，如IP的设置，钱箱的设置，终端号的设置等。电子日志要详细记录加钞时的相关信息，包含打开了哪个门，开门的时间，加钞的时间，加钞的张数，加钞的钱箱ID和面额等。电子日志包括ATMC日志、驱动日志和SP日志等都不应记录持卡人的磁道数据、密码、卡片有效期、姓名等敏感信息。电子日志要有防篡改的功能。机芯通讯数据如果有记录，应加密存储。6 代码安全 成立代码走查小组，对代码进行审查，防止有恶意代码存在。严格按照广电运通的代码编写规范来对代码进行编写，如atoi，sprintf函数是否正确调用。

21、代码中要有异常捕获机制。Q/GDYT 3.92010 7 不允许存在内存泄露和句柄泄露现象。7 系统安全 7.1 访问控制 7.1.1 用户设置 ATM操作系统中的用户应明确各自的用途。应定期检查所有系统用户，以确保不存在恶意、过期或不明账户。必须经过客户的许可，才能添加或删除用户。7.1.2 登录限制 如果需要开启远程网络登录，应该审批手续和限制措施。使用安全的登录协议，保证只有合法的用户才能远程登录。在使用完毕以后，应及时关闭远程登录服务。用户登录前应有非法访问警示信息。7.1.3 密码策略 在执行密码重置前认证用户身份。为每个用户设置唯一的初始密码，并在初次使用后立即更改。向所有具有持卡

22、人数据访问权限的用户通告密码管理程序和策略。避免使用共享账户和共享密码。密码最小长度不低于七个字符；使用包含数字和字母的密码。不允许任何个人提交的新密码与其最近使用的四个密码相同。通过锁定用户ID的方式限制连续的访问企图（最多不允许超过六次，锁定持续时间设定为三十分钟或直至管理员为其解锁。7.2 系统策略 参考行业认可的系统加固标准，对系统进行安全加固。如禁用所有不必要的、不安全的服务、协议和应用程序；设定系统安全参数以防止误用/滥用，删除默认设置；移除系统或应用程序中不必要、不安全的功能等。我司所有ATM机器出机都要安装安全策略。7.3 文件合法性 当ATMC运行所依赖的某个或多个文件被更新

23、删除或被替换时，应有一个安全保障机制来确保该文件的合法性；即应对依赖的文件进行有效校验，只有通过校验后才表明该文件是合法的，ATMC才允许正常运行，否则应不允许ATMC进入服务模式。7.4 设备合法性 当ATM机器上某个重要的硬件设备如读卡器、加密键盘、流水打印机等被替换时，ATMC在运行时应对该设备的合法性进行校验，只有校验通过才允许操作该设备，否则应不允许ATMC进入服务模式。7.5 网络安全 Q/GDYT 3.92010 8 7.5.1 连接方式 禁止INTERNET接入方式。应通过路由器、交换机和防火墙来进行访问控制。ATM系统应安装防火墙和防病毒软件，并确保所有杀毒程序能够检测、删

24、除并防止所有已知类型的恶意软件的攻击，以及确保所有杀毒机制都是最新并且在运行，而且能够生成审核日志。如果没有安装防火墙或防病毒软件，应有其他的安全解决方案。7.5.2 报文传输 在收发报文时，不允许将敏感数据如PIN、密钥、磁道信息等用明文方式传输，且必须对返回报文进行MAC校验；发送和接收的通讯报文日志要用“*”号屏蔽相关敏感信息。对于报文的MAC域，应依据银行提供的报文接口，支持8位或8的倍数位的MAC校验。ATM在接收到未识别报文时（包含部分未识别），需要再日志中记录，但不进行交易。7.5.3 IP 地址合法性 为了便于管理和保障系统安全性，ATM终端必须使用统一分配的IP地址和端口号进

25、行通讯处理。ATM在建立TCP/IP连接时，ATM都必须对请求建立连接的对方IP地址做合法性检查，如果是规定的IP地址则允许建立连接，否则拒绝连接，但是需要在日志中进行记录。7.5.4 远程访问 应对远程登录访问系统的用户、登录时间、密码验证状态等信息进行记录。应严格限制远程登录访问。8 安全管理 8.1 技术资料 ATM上不应保存有重要的说明文档和源码。ATM上使用的机芯测试工具和读卡器测试工具必须经过授权才能使用，如果需做出钞测试，必须得到银行的批准和配合才允许使用。ATM上不允许安装一些未授权的商业软件，如VC，OFFICE等。8.2 版本管理 应使用专用软件对开发代码（包括后台和终端两

26、部分代码）进行版本控制。保证当前系统是最新的稳定版本，同时保存历史版本代码可供查询。应在升级生产系统前对开发代码做严格的测试。生产系统代码的升级需要有审批流程。应建立旧版本代码销毁的审批流程。应有版本变更管理流程。8.3 补丁管理 在软件补丁安装以前，须在测试系统中进行严格测试，确保测试通过后再进行安装。制定软件补丁管理制度和流程，对所有生产系统安装必须的操作系统和应用系统补丁。定期查看补丁管理制度，补丁升级记录等文档。Q/GDYT 3.92010 9 定期更新操作系统与系统安全相关的补丁。8.4 移动介质管理 在装载外部介质上的数据和程序之前必须对外部介质进行扫描以防止病毒。8.5 日志管理

27、 8.5.1 电子日志 定期检查所有电子日志，内容不应记录有持卡人的磁道数据、密码、卡片有效期、姓名等敏感信息。8.5.2 操作系统日志 应定期查看日志记录，对其中可疑的记录进行分析审核。应及时将系统日志、无线网络日志备份到专用的日志服务器或安全介质内。应采用监控软件保证日志的一致性与完整性。日志数据应至少保存一年。8.5.3 应用系统日志 对应用系统日志（交易日志、通讯日志等）的读取应有严格的审批流程。8.5.4 日志权限 应严格控制对系统日志的访问，只有工作需要的人员才能查看系统日志。8.6 录像管理 插卡录像时，监控内容要包含有卡号、插卡时间、交易时间、交易金额、交易返回码等信息。录像应

28、该从用户插卡前一段时间开始录像，在用户取卡后一段时间停止录像，对取款、存款、转账等交易要进行一定的记录保存，这样有利于银行对争议交易进行查询。录像至少保存30天。8.7 维护管理 应依据操作手册对系统进行维护，详细记录操作日志，包括重要的日常操作、运行维护记录、参数的设置和修改等内容，严禁进行未经授权的操作。应定期对运行日志和审计数据进行分析，以便及时发现异常行为。厂商定期维护活动需进行审批并记录，维护人员进出需专人陪同并记录相关操作。需定期对设备进行检查，确保运行安全，并确认关键的生产设备都在维护期内；设备维护需建立维护记录制度。故障排除操作需要有审批流程，并在监督员在场的情况下进行。8.8

29、 调试管理 如果需现场对ATMC进行调试，首先必须通过客户的认可，要跟客户明确要做哪些操作，如是否要接键盘或鼠标，是否需要打开保险柜，是否需要客户配合一起操作等。调试前应先备份好原有的关键数据，如终端号、IP、流水号、钱箱数据、交易数据等。禁止将代码拷贝到ATM上进行调试，必须通过正规流程发布的安装程序才能直接安装在ATM上。调试完成后产生的调试信息要及时备份和清除，原有的信息要做好恢复，并通过客户的验收和确认。Q/GDYT 3.92010 10 8.9 移机和销机管理 移机时，要确保机器中的保存的账户信息和日志，键盘中的密钥等信息不被泄露，必要时可以采用专用的工具对这些信息进行清除。对于需报

30、废的机器，要能通过专用工具对机器中保存的账户信息和日志，键盘中的密钥等信息进行清除。8.10 监督管理 应定期对ATM巡检，巡检应包含以下内容：（1）ATM插卡口处是否安装吞卡装置盗卡（2）在ATM旁是否有张贴假的告示（3）ATM的PIN输入设备是否具有防偷窥的设计（4）ATM机附近是否有额外的微型摄像机等设备（5）ATM机附近是否有麦克风等微型录音设备（6）ATM机打印凭条是否打印完整卡号（7）ATM门禁上是否有窃取设备（8）PIN输入设备键盘上是否贴有其它可疑物（9）有没有记录COM日志 8.11 安全制度 建立信息安全制度，并指定专人负责信息安全制度的建立、分发、复查和培训。每年复查信息安全制度，重新评估安全控制及过程。审查录用员工的技术能力和背景资料，并签署适当的保密协议。所有相关员工都需注意及报告系统或服务任何可疑的安全弱点或威胁。对报告的安全事件建立相应的安全机制来处理。应有对ATM的安全状况进行抽检的制度。对ATM的安全状况抽检的制度应真正得到执行。8.12 安全教育 员工需定期接受适当的安全培训，培训内容包括各类安全制度、信息系统运维手册和应急预案等。安全培训后，需留有书面培训记录。_