GB/T 31502-2015信息安全技術(shù)電子支付系統(tǒng)安全保護框架

ICS35040

L80.

中華人民共和國國家標準

GB/T31502—2015

信息安全技術(shù)

電子支付系統(tǒng)安全保護框架

Informationsecuritytechnology—

Securityprotectframeworkofelectronicpaymentsystem

2015-05-15發(fā)布2016-01-01實施

中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局發(fā)布

中國國家標準化管理委員會

GB/T31502—2015

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………1

符號與縮略語

4……………2

符號表示

4.1……………2

縮略語

4.2………………3

電子支付系統(tǒng)描述

5………………………3

電子支付系統(tǒng)模型

5.1…………………3

電子支付系統(tǒng)工作模式

5.2……………7

受保護資產(chǎn)

5.3…………………………8

安全問題定義

6……………10

概述

6.1…………………10

威脅

6.2…………………10

組織安全策略

6.3(SOP)………………14

假設(shè)

6.4(SAS)…………………………17

安全問題定義理由

6.5…………………17

安全目的

7…………………17

概述

7.1…………………17

針對評估對象的安全目的

7.2[TOE](OET)………18

針對評估對象運行環(huán)境的安全目的

7.3[TOE](OTE)……………18

安全功能要求

8……………19

概述

8.1…………………19

安全審計類

8.2(FAU)………………19

通信類

8.3(FCO)……………………32

密碼支持類

8.4(FCS)…………………35

用戶數(shù)據(jù)保護類

8.5(FDP)……………35

標識和鑒別類

8.6(FIA)………………40

安全管理類

8.7(FMT)………………40

保護類

8.8TSF(FPT)………………42

安全保證要求

9……………43

國家相關(guān)標準的部分依從性分析

10……………………43

組織安全策略示例

11……………………43

附錄資料性附錄電子支付系統(tǒng)的行為模型

A()………44

Ⅰ

GB/T31502—2015

附錄規(guī)范性附錄安全問題定義理由

B()………………69

附錄規(guī)范性附錄安全目的理由

C()……………………74

附錄規(guī)范性附錄安全保證要求

D()……………………78

附錄規(guī)范性附錄對國家相關(guān)標準的部分依從性分析

E()……………80

附錄資料性附錄組織安全策略示例可疑交易預警規(guī)則

F():………82

參考文獻

……………………87

Ⅱ

GB/T31502—2015

前言

本標準按照給出的規(guī)則起草

GB/T1.1—2009。

請注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機構(gòu)不承擔識別這些專利的責任

。。

本標準由全國信息安全標準化技術(shù)委員會提出并歸口

(SAC/TC260)。

本標準起草單位北京多思科技工業(yè)園股份有限公司中國農(nóng)業(yè)銀行中國金融電子化公司國家信

:、、、

息安全工程技術(shù)研究中心東方集團網(wǎng)絡(luò)信息安全技術(shù)有限公司北京大秦興宇電子有限公司北京天

、、、

宏繹網(wǎng)絡(luò)技術(shù)有限公司北京科藍軟件系統(tǒng)有限公司長城瑞通北京科技有限公司重慶銀行南充市

、、()、、

商業(yè)銀行

。

本標準主要起草人劉大力李寬沈敏鋒韓琳琳吳義章吳錚劉運文仲慧沈昕立康偉張磊

:、、、、、、、、、、、

于敬新崔新杰羅勇夏鵬軒閆鳳如陳輝武王慶元左小波邱巖張春陽黃光偉邢呈禮高艷芳

、、、、、、、、、、、、、

王州府

。

Ⅲ

GB/T31502—2015

引言

本標準以國際通行的信息技術(shù)安全性評估準則為基礎(chǔ)結(jié)合我國現(xiàn)階段電子支付系統(tǒng)的特點按照

,,

我國有關(guān)法律法規(guī)和政令的要求以自主可控為原則為公共類電子支付系統(tǒng)的信息安全提供一個公

、,,

共框架是進一步完善相關(guān)國家標準及行業(yè)標準的重要步驟為構(gòu)建運行公共電子支付系統(tǒng)提供

;;、,

支撐

。

Ⅳ

GB/T31502—2015

信息安全技術(shù)

電子支付系統(tǒng)安全保護框架

1范圍

本標準在給出電子支付系統(tǒng)模型的基礎(chǔ)上為公共類電子支付系統(tǒng)的信息安全提供了一個公共框

,

架主要包括安全問題定義安全目的安全功能需求和安全保障需求

,、、。

本標準適用于安全構(gòu)建運行公共類電子支付系統(tǒng)

、。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準則第部分簡介和一般模型

GB/T18336.11:

信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準則第部分安全功能組件

GB/T18336.22:

信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準則第部分安全保障組件

GB/T18336.33:

3術(shù)語和定義

界定的以及下列術(shù)語和定義適用于本文件

GB/T18336.1。

31

.

電子支付electronicpayment

采用數(shù)字化方式在電子終端信息傳輸通道以及相關(guān)系統(tǒng)的支持下進行支付的行為

,、,。

32

.

支付通道transactionchannel

在電子支付交易過程中電子支付憑據(jù)與支付