JRT 0222-2021金融信息系统加密服务的技术能力评价模型.docxVIP

中国人民银行发

中国人民银行发布

ICS35.240.40

CCSA11

JR

中华人民共和国金融行业标准

JR/T0222—2021

金融信息系统加密服务的技术能力评价模型

Evaluat

Evaluationmodelfortechnicalcapabilitiesofcryptographicserviceinfinancialinformationsystem

2021-07-22发布

2021-07-22实施

JR/T0222—2021

目次

前言 Ⅱ

1范围 1

2规范性引用文件 1

3术语和定义 1

4确定评价范围 4

5能力评价模型 5

5.1能力评价结果 5

5.2模型应用 5

6评价标准 6

6.1总则 6

6.2第一级 8

6.3第二级 9

6.4第三级 13

6.5第四级 21

6.6第五级 29

参考文献 38

I

JR/T0222—2021

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。

本文件由中国银行股份有限公司提出。

本文件由全国金融标准化技术委员会(SAC/TC180)归口。

本文件起草单位：中国银行股份有限公司、中国人民银行征信中心、中国人民银行数字货币研究所、中国银联股份有限公司、网联清算有限公司、中国建设银行股份有限公司、中国人寿保险(集团)公司、中国人寿保险股份有限公司、中国信息通信研究院、中国科学院信息工程研究所、国泰君安证券股份有限公司、重庆富民银行股份有限公司、中国金融电子化公司、国家信息安全工程技术研究中心、华中科技大学、西安电子科技大学。

本文件主要起草人：刘鸿乾、李世京、袁俊德、李玉亭、高国奇、张学航、周波勇、蔡光明、徐飞燕、陈斌辉、赵新宇、汤洋、杨萌、何虎威、龙志德、汪浩鹏、王妙琼、李凤华、刘新亮、李丙洋、刘书元、李伟斌、王瑜辉、樊凯。

II

II

JR/T0222—2021

金融信息系统加密服务的技术能力评价模型

1范围

本文件给出了对提供金融机构加密服务的金融信息系统(以下简称系统)的能力进行评价的方法。本文件适用于使用专用加解密设备，并通过软件和系统提供加解密服务的金融机构。

注：专用加解密设备是指获得国家密码管理局认可的、专门用于加解密运算的商用硬件设备，广泛应用于资金支付、

身份认证、密码校验等业务场景。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其必威体育精装版版本(包括所有的修改单)适用于本文件。

GM/T0019通用密码服务接口规范

GM/T0054信息系统密码应用基本要求

3

3术语和定义

下列术语和定义适用于本文件。

3.1

加解密设备encryptionanddecryptiondevice

由国家指定生产厂商研制开发的，专门应用于机构内部系统中，以规定的协议通讯，直接与主机相连接，实现对网络上传输的信息进行保护或鉴别，以保证信息的正确性，防止内部重要的数据被非法篡改或窃取的设备。

注：典型的加解密设备有金融数据密码机、服务器密码机、签名验签服务器等。

3.2

明文plaintext

未加密的信息。

[来源：GB/T25069—2010，2.2]

3.3

密文ciphertext

利用加密技术，经变换，信息内容被隐藏起来的数据。

[来源：GB/T25069—2010，2.2]

1

JR/T0222—2021

3.4

加密encipherment

对数据进行密码变换以产生密文的过程。

注：加密过程一般包含一个变换集合，该变换使用一套算法和一套输入参量。输入参量通常被称为“密钥”。

[来源：GB/T25069—2010，2.2]

3.5

解密decipherment

将密文转换成明文的处理，即加密对应的逆过程。

[来源：GB/T25069—2010，2.2]

3.6

密钥分量keycomponent

用于建立和维持密钥的数据。

注：是密钥的组成分量，多个密钥分量共同组成密钥。又称为“密钥组件”。

3.7

密钥校验值checkvalue

用

用于校验密钥输入时正确性的数据。

注：密钥校验值分为密钥分量的校验值和密钥合成后的总校验值。

3.8

个人识别码personalidentificationnumber；P