銀聯卡個人化企業認證安全研究調查問卷銀聯卡個人化企業認證安全研究調查問卷PAGEPAGE33銀聯卡個人化企業認證安全研究調查問卷銀聯卡個人化企業認證安全調查問卷發布版本：V1.0發布時間:2009年６月銀聯卡個人化企業企業安全評估調查問卷一、填表人基本信息單位名稱（單位公章)聯系人聯系方式座機號碼：;手機號碼：傳真Ｅ-ＭAIL地址二、生產企業基本信息機構性質法人機構所在地境內分支機構數量及地點知識產權（發卡系統）保密級別三、系統基本情況核心服務器服務器用途服務器設備名稱及配置提供商名稱服務器操作系統名稱當前版本更新時間業務終端設備名稱提供商名稱操作系統名稱當前版本更新時間軟件系統名稱當前版本更新時間系統開發商系統維護商后臺數據庫數據庫類型當前版本更新時間管理單位名稱管理員防火墻廠商型號當前版本路由器廠商型號當前版本四、企業業務基本情況(請簡述企業的業務，包括說明卡片個人化過程中貴企業所處的角色)五、問題調查(勾選方式，遇到無關內容的問題填寫“無”)數據管理數據傳輸數據信息傳送使用的方式:□專線 □數據盤郵遞 □人工遞送?□其他如果是專線方式,回答下面問題:企業是否設置單獨的數據接收服務器□否□是傳輸規定是如何規定的，是否安全□否□是傳輸規定能否保證數據的完整性和安全性，如何保證的□否□是，保證方法或手段__＿__＿_＿__＿個人化企業與發卡機構間的個人化數據是否加密傳輸□否□是是通過軟件加密還是硬件加密□軟件加密 □硬件加密模塊如果是軟件加密則密鑰長度是□６4□12８□１28以上對數據進行加密保護使用的機制是□對稱加密機制 □非對稱加密機制?□其他＿_____＿_＿__簽名和密鑰交換使用的機制是□對稱加密機制?□非對稱加密機制?□其他_＿_____＿_＿＿是否專門對通訊日志進行保管□否□是如果需要獲取通訊日志，是否需要審批并填寫使用記錄□否□是是否允許將通訊日志帶離現場□否□是如果采用數據盤或人工郵遞方式,回答下列問題:是否對郵遞機構或運輸手段進行篩選□否□是,篩選標準＿是否驗證遞送人員身份□否□是，驗證方式_____＿＿__＿_使用此種方式存儲的數據的格式是: □明文□密文能否驗證其真實性和完整性?□否□是,驗證方式________＿__存儲介質有無專門的封裝□是□否有無措施來保證信息免受未經授權的公開或修改□是□否數據安全如果采用專線方式傳輸數據,數據的接收和轉移是否需要兩名或以上人員同時操作□是□否數據轉移之后是否刪除設備上數據□是□否上述操作是否進行操作記錄□是□否如果采用數據盤郵遞方式進行數據傳輸,生產企業是否需要兩名或以上人員同時操作：操作流程□否□是生產企業對轉移至個人化處理網絡的數據進行處理時,可否允許出現明文數據是□否如果允許出現明文數據,請回答下列問題:是否事先有發卡機構的書面許可□是□否現場是否有安全管理員監督□是□否是否進行詳細的記錄備案□是□否記錄備案信息的內容包括：□操作人員姓名□處理時間□數據處理原因□數據所屬發卡行名□結束時間□安全管理員簽名其它_____＿＿__＿________完成加工后的個人化數據是否在安全管理人員監督下及時刪除或銷毀□是□否,原因_＿_＿____＿___＿__＿__對持卡人或發卡機構相關信息的存取有無限制措施□有□無對持卡人數據的修改是否需要發卡機構的書面批準，修改是否有記錄□是□否網絡管理通訊方式現在使用的與數據提供機構之間接入方式是□專線?□基于專網的ＭPLS □基于Iｎteｒnet?□其他如果使用Iｎternｅt,是否采用了IPSＥC/ＳSＬ等安全協議□沒有 □有從生產環境中獲取通訊日志是否需要辦理審批手續□不是□是如果需要，則出示流程單樣本和以往的流程單存檔記錄□沒有□有將通訊日志帶離現場是否需要更加嚴格的審批□不是□是如果需要，能否提供審批單樣本和以往的審批存檔記錄□沒有□有個人化網絡安全個人化網絡是否在物理和邏輯上均同與個人化過程無關的設備隔離□沒有□有是否已經制訂與個人化網絡安全相關的制度和流程□沒有□有是否阻止未授權的對個人化網絡的訪問和接入□沒有□有防火墻及防入侵所有接入互聯網的系統是否都安裝防火墻□沒有□有防火墻是否安裝在互聯網接入點與DＭＺ區之間、DMZ區與內部網絡之間□沒有□有存儲、處理卡片個人化數據信息的系統與不可信網絡連接點是否布置防火墻□沒有□有如果有無線網絡,無線網絡與存儲、處理賬戶信息的相關系統之間是否安裝了邊界防火墻□沒有□有是否建立了防火墻的管理規范,并且指定專人負責維護防火墻的配置與管理□不是□是當前網絡拓撲圖是否記錄了連接到持卡人數據的所有連接（包括所有無線網絡連接）。□不是□是在所有外部網絡連接點以及隔離區(DMZ）與內部網絡區域之間是否均配置了防火墻□不是□是防火墻網絡組件邏輯管理的組、角色和職責描述是否清晰明確□不是□是防火墻配置標準是否包括一個業務必需的服務和端口清單文件□不是□是防火墻配置標準是否包括任何可用協議（不僅限于ＨTＴP、SＳL、SSＨ和VPN)的審批和記錄規定。□不是□是防火墻配置標準是否包括任何風險性協議(如ＦTP)的審批和記錄規定，并且說明使用此類協議的原因以及已采取的安全措施。□不是□是是否建立了路由器的管理規范。□不是□是防火墻配置標準是否要求每季度復審防火墻和路由器的規則設置。□不是□是是否建立了一個防火墻配置用來拒絕來自不可信網絡和主機的所有通信,個人化數據環境必需的協議除外□不是□是任何存儲有持卡人數據的系統（及其組成部分)與公共服務器之間的任何連接（包括無線連接),是否都有防火墻配置對其進行限制□不是□是互聯網訪問控制文檔中是否限制了通過互聯網訪問DMZ區IＰ的流量□不是□是是否禁止通過互聯網訪問內部網絡IＰ地址□不是□是防火墻的規則設置中是否屏蔽了所有RFC1918(包括3個網段:10.0.0.0～10.２5５．2５5.２55;172.1６.0.０~1７2．31．２55.25５;1９2.1６8.0.０~192．1６８.255.２5５)中所定義的內部IＰ地址對DMZ區的訪問□不是□是檢查防火墻是否執行狀態檢查(動態包過濾)□不是□是數據服務器是否放置于內部網絡，并通過防火墻與DMZ區隔離。□不是□是是否限制持卡人數據環境的入站和出站流量，僅允許必需的流量□不是□是是否將路由器配置文件同步化。例如，運行配置文件(路由器在正常工作狀態下使用的配置文件）和初始化配置文件(當路由器重新啟動時會使用)應具有相同的安全配置□不是□是任何與互聯網直接相連、又被用于訪問組織(內部)網絡的移動電腦和員工所有的電腦(比如,員工使用的筆記本電腦）上是否安裝并啟用個人防火墻系統，以及是否按照組織規定的標準對防火墻進行了配置而且員工無法修改配置。□不是□是是否禁止任何存儲持卡人數據的內部網絡和系統組件（比如，數據庫，日志,跟蹤文件)被外部網絡間接/直接地公開訪問。□不是□是是否建立一個ＤMZ以過濾和并屏蔽所有流量,禁止為Internet流量提供直接的入站和出站路由□不是□是是否限制源自支付卡應用、目的地為ＤMＺ區ＩP地址的出站流量□不是□是是否實施IP偽裝以防止內部地址被識別并被暴露在Intｅｒneｔ上□不是□是對于上面的樣本防火墻/路由器組件，檢查是否采用了NAＴ、ＰAT或其他使用RＦC１9１8地址空間的技術,以限制將ＩP地址從內部網絡廣播到互聯網(IP偽裝）。□不是□是是否定期對路由配置和防火墻策略進行檢查，對路由器和防火墻的事件日志、入侵檢測(防御）設備的告警事件進行分析和處理□不是□是是否建立對所有的路由配置和防火墻策略的批準、測試和變更的正式流程,路由配置和防火墻策略在每次變更后是否及時歸檔□不是□是是否對登錄網絡及網絡安全設備的用戶進行身份鑒別，嚴格控制可以修改網絡及網絡安全設備配置的賬號□不是□是是否及時進行網絡及網絡安全設備的補丁安裝和版本升級,及時更新入侵檢測(防御)系統的防護知識庫□不是□是是否撥號訪問網絡方式□不是□是如果有撥號網絡訪問方式是否對撥號用戶嚴格訪問控制□不是□是每個用戶須設置口令是否相同□不是□是口令最短長度是多少□不是□是口令是否定期修改□不是□是是否允許外部公司撥號或其他方式的遠程維護連接□不是□是是否定期或在網絡發生重大變更后,對安全控制措施、網絡連接和限制措施進行滲透性測試或漏洞掃描對網絡及網絡安全設備系統設置、補丁配置和已知的漏洞進行檢查，并確認沒有內部用戶私自連接到外部網絡，外部訪問不能非授權進入內部網絡。□不是□是是否在網絡邊界處布防入侵檢測(防御）設備，監視可能的攻擊行為，記錄入侵事件的發生，并報警正在發生的入侵事件。□不是□是防火墻(系統、軟件、配置文件、數據庫文件等）是否備份,以便在系統崩潰時數據、配置文件可以及時恢復。備份的數據和文件必須妥善保存，確保其安全性，只允許授權的人員接觸。□不是□是一旦防火墻被入侵，防火墻管理員是否針對檢測到的攻擊重新配置防火墻。□不是□是在沒有防火墻保護的情況下，個人化系統是否可以與外網ＩP或Inｔerneｔ相連。□不是□是系統補丁管理對于樣本系統組件、關鍵服務器、無線接入點和相關的軟件，每個系統上是否安裝了供應商最新提供的補丁。□不是□是是否建立安全策略,要求在兩個月內安裝所有相關的新安全補丁。□不是□是是否建立與更新、升級相關的安全策略,否要求更新和升級必須經過審批(□不是,□是),并且詳細登記升級軟件的版權（□不是,□是）、來源（□不是,□是)、版本(□不是，□是)等信息。□不是□是是否對所有變更（包括補丁）,在部署到實際生產環境之前都進行測試,是否出具測試報告。□沒有□有防病毒管理是否采用防病毒軟件來保護整個個人化網絡□否□是任何進入個人化網絡的文件、軟件或數據在進入前是否要用防病毒軟件進行檢測□否□是,是否已經制定必要策略定期對個人化網絡進行掃描□不是□是是否在所有系統中部署防病毒軟件(UNIX及大型主機系統除外）□不是□是是否嚴格限制下載和使用免費軟件或共享軟件(如果具有監控下載和使用的軟件系統也可以）□不是□是是否要求（或者防病毒軟件設置了)所有外部存儲介質(軟盤、移動硬盤和U盤)在使用前,必須進行病毒掃描□不是□是是否要求及時更新防病毒軟件和病毒庫□不是□是防病軟件的宿主系統是否支持自動更新和定期掃描，以及樣本系統組件、關鍵服務器和無線接入點是否啟用了這些功能□不是□是是否支持日志生成以及是否根據組織的信息保留策略對日志進行了保留□不是□是客戶和第三方的訪問控制提供給客戶和第三方的訪問接口是否根據許可范圍進行設置，第三方和客戶只能夠看到允許其訪問的內容□否□是對外提供的訪問接口是否只允許使用授權的通信協議、指令和通道□否□是是否定期對有訪問權限的客戶或第三方的帳號進行檢查□否□是有無檢查記錄是否嚴格控制有訪問許可的網絡連接所提供的服務，不允許客戶或第三方利用該網絡連接相互通訊□不是□是遠程訪問控制是否拒絕超出業務范圍的遠程訪問權限申請□不是□是其是否對正常業務范圍的遠程訪問權限申請進行記錄，并按照規定時間回收遠程訪問權限□不是□是是否禁用了不必要或不安全的服務(如匿名ＦTP服務、Telnet服務等）禁用了不必要或不安全的服務□不是□是是否嚴格限制遠程網絡或者無線接入設備接入關鍵網絡內，是否具有審批流程□不是□是每臺接入設備是否進行了備案。□不是□是是否禁用了供應商支持和維護系統所使用的賬戶,僅在需要時才啟用此賬戶□不是□是供應商支持和維護系統所使用的賬戶是否在使用之后及時關閉□不是□是是否對供應商支持和維護系統所使用的賬戶的使用情況進行監控□不是□是，如果進行了監控,提供監控的日志文件位置。檢查使用策略是否禁止在本地硬盤、軟盤或其它外部介質上存儲持卡人數據。□不是□是使用策略中是否禁止在遠程訪問中使用剪切、粘貼和打印功能。□不是□是檢查是否實現了作用于所有遠程網絡訪問的雙因素認證機制□沒有□有,如果有，請說明雙因素認證機制檢查遠程登錄操作文檔記錄,驗證其是否包含下面的幾項內容:遠程訪問人員□沒有□有工作內容□沒有□有持續時間□沒有□有監督人的簽字確認□沒有□有是否使用SSL/TLS技術對無線管理界面的管理員訪問進行了加密。管理員是否能夠遠程連接到無線管理界面（所有無線環境的管理都只能在控制臺上進行)□不是□是是否每一臺服務器只承擔一項主要功能(例如，Web服務器、數據庫服務器和DＮＳ應該被分別部署在不同的服務器上)□不是□是機房及系統安全（略）訪問控制及審核4.１用戶權限控制所有對網絡、系統和數據資源是否均是有工作需要□否□有有無完善的用戶訪問管理機制,且是否按照“因需知曉”進行訪問控制□沒有□有是否有用戶訪問管理機制明確了各個級別用戶的權限和責任□沒有□有是否有權限分配規定。□沒有□有權限的分配是否使用了“雙人控制”原則□不是□是4.２用戶名管理同一系統內的用戶是否根據性質和用途遵循同一的命名規則□不是□是4.３登錄控制是否建立有關認證方法的文檔說明，是否至少采用下面的一種認證方式口令□沒有□有令牌（如SeｃureID、證書等）□沒有□有生物特征□沒有□有□不需要□需要是否對普通用戶登錄鑒別失敗3次后鎖定□不是□是是否使用鑒別失敗系統告警提示機制□不是□是普通用戶不活動時間超過5分鐘是否自動登出□不是□是是否嚴格限制遠程登錄（遠程撥號或VPN）操作范圍和審批程序□不是□是4．4密碼管理密碼是否滿足如下規則長度不少于6位；至少包含1個字母，1個數字密碼至少包含3個不相同的字符;每季度更換一次密碼;禁止使用最近4次曾使用過的密碼；□不是□是是否不同的賬號使用了不同的初始密碼，以及使用什么策略。□沒有□有,使用的策略對于樣本系統組件、關鍵服務器和無線接入點,系統口令的長度是否被設置為不低于6個字符。□不是□是對于樣本系統組件、關鍵服務器和無線接入點,系統口令的長度是否被設置為必須包含字母和數字。□不是□是對于服務提供商是否要求客戶口令必須符合最低口令長度規定。□沒有□有對于服務提供商，是否要求客戶口令必須包含字母和數字。□沒有□有用戶重置密碼是否有安全機制;□不是□是系統強制修改初始密碼；不得以明文方式顯示、存儲和傳輸密碼；□不是□是是否使用系統和產品在安裝時生成的缺省密碼。□不是□是選擇一個樣本系統組件、關鍵服務器,是否已經更改了默認的賬戶和口令。□沒有□有選擇一個樣本無線接入點，檢查下列相關的供應商默認設置:安裝時是否更改了WEP密鑰，知曉密鑰的員工離開組織或轉換工作崗位時否更改了ＷEP密鑰。□不是□是是否更改了默認SSID。□不是□是是否禁止了SSID廣播。□不是□是是否更改了接入點的默認SNＭＰ社區字符串。□不是□是是否更改了接入點的默認口令。□不是□是如果無線系統支持WPA，是否啟用了WＰA或WＰＡ2技術。□不是□是是否更改了其他與安全相關的無線供應商默認設置(如果適用）。□不是□是對賬戶的增加、刪除、修改或者變更權限的審批歷史記錄是否經過了嚴格的審批。□沒有□有檢查權限更改記錄，對下面的情況是否明確或者記錄了權限回收時間。a） 臨時修改□沒有□有b) 離職□沒有□有ｃ） 崗位變動□沒有□有是否對于連續90天未使用的賬號應予以權限凍結;凍結后30天仍未使用的,予以注銷□不是□是首次登陸應是否強制要求修改密碼□沒有□有對于樣本系統組件、關鍵服務器和無線接入點:?是否禁用或移用了公用用戶IＤ和賬戶□沒有□有?是否不存在可執行系統管理活動和其他關鍵功能的共享用戶ＩＤ□沒有□有 是否禁用使用共享和公用的用戶ID管理無線LAN和設備□沒有□有口令策略/程序中是否明確地禁止共享口令□沒有□有是否禁止發送共享口令,即使接收到請求時也禁止□不是□是是否強制要求用戶定期更改登錄密碼,修改周期最長不得超過3個月□沒有□有,使用的策略對于服務提供商，是否要求定期修改客戶口令，以及是否為客戶提供了口令修改指導，這些指導說明了在何時以及哪些情況必須修改口令□不是□是是否對密碼進行加密保護,密碼明文不會以任何形式出現□不是□是是否在重置用戶密碼前對用戶身份進行核實,以及核實方法。□不是□是，核實方法是否進行了用戶登錄錯誤次數限制。□不是□是，限制幾次。如果對登錄錯誤次數有限制,則核實用戶登錄限制數是否是5次（超過就會鎖定）。□不是□是對于樣本系統組件、關鍵服務器和無線接入點,系統/會話空閑超時是否被設置為1０分鐘或更短。□不是□是4.5安全審計是否啟用了審計功能□不是□是日志是否記錄用戶登錄系統的時間和方式□不是□是日志是否記錄失敗的訪問嘗試□不是□是日志是否記錄對關鍵目錄的訪問或執行關鍵操作的記錄（與系統安全相關的事件)□不是□是現場檢查日志,確定是否定期統計用戶訪問系統資源的記錄信息并反饋用戶進行確認和評估□不是□是進行內部或外部審計的周期□無□一年一次□一季度一次□其他是否對設備進行了安全測試，以確保控制方法能夠識別并阻止安全區域內的非授權訪問企圖。(例如：每季度使用一次無線分析工具識別所有無線設備）。□不是□是每年是否委托由中國銀聯認可的有資質的第三方機構進行定期掃描□不是□是下列網絡重大變更后是否掃描：安裝新的設備□不是□是網絡拓撲結構調整□不是□是調整防火墻配置□不是□是應用系統升級□不是□是弱點掃描是否通過。□不是□是每年是否委托由中國銀聯認可的有資質的第三方機構進行定期滲透測試□不是□是下列網絡重大變更后是否進行滲透測試:操作系統升級□不是□是應用系統升級□不是□是網絡拓撲變更□不是□是ＷEB服務器變更□不是□是滲透測試是否通過。□不是□是是否安裝了入侵檢測系統。□不是□是是否部署了文件完整性監控軟件或者人工對核心文件監控和管理。□不是□是是否配置文件完整性監控軟件或者按照流程人為對關鍵文件定期進行比較。□不是□是對核心文件的修改是否需要授權。□不是□是監控和管理的核心文件是否包括下面的幾類。防火墻配置文件□不是□是交換機配置文件□不是□是路由器配置文件□不是□是4.6日志管理如果建立了日志記錄及審核機制（□沒有□有），請完成下面的評估內容。日志記錄和管理機制中是否包含下面的內容。用戶對敏感信息的訪問□沒有□有登錄系統的方式□沒有□有失敗的訪問嘗試□沒有□有系統管理員的操作□沒有□有對系統日志的訪問□沒有□有其他涉及賬戶信息安全的系統記錄□沒有□有檢查組織內的正確時間捕獲和發送流程以及樣本系統組件、關鍵服務器和無線接入點的時間相關系統參數設置,是否包含并且實施了時間同步過程。□不是□是是否使用了NTP或類似技術進行時間同步。□不是□是如果使用了NTP技術，檢查運行的網絡時間協議(NＴＰ)是否為最新版本。□不是□是是否只有審計用戶可以訪問或更改審計日志□不是□是是否僅允許有工作需要的人員查看評估追蹤記錄。□不是□是評估追蹤記錄是否被及時備份到集中的日志服務器上或難以更改的介質上。□不是□是是否將無線網絡的日志復制到了一臺位于內部局域網的日志服務器上。□不是□是是否使用文件完整性監視和變更檢測軟件保護日志,確保已有的日志被改變時產生報警（當然，在已有的日志中添加數據，不應觸發報警)。□不是□是是否每天復審所有系統的日志。□不是□是日志復審是否包含那些執行安全功能的服務器，例如入侵檢測（IDＳ)、身份驗證、授權和記賬協議（AAA）服務器(例如,ＲAＤIUS)。□不是□是是否對所有系統組件進行了定期日志審查。□不是□是是否要求日志至少保留一年。□不是□是加工過程及安全管理5.1磁條卡個人化數據的加解密過程和數據轉換過程是否均在硬件加密設備(HSM)中進行□不是□是當個人化設備向卡片寫入數據時,是否采用了加密且個人化設備能夠識別的格式□不是□是當個人化設備向卡片寫入數據時，設備操作人員是否可以在設備上讀出明文數據□不是□是５．2IＣ卡初始化及其安全當IC卡初始化設備向ＩC卡發送初始化命令和指令時,是否對發送的指令和數據進行加解密和MAC校驗□不是□是加解密過程是否與硬件安全模塊（ＨSＭ)相連□不是□是KENC、KDEC、ＫＭAＣ密鑰值對每一片卡是否是唯一的，且并在生成者密鑰的保護下放在卡上□不是□是如果KENC、KDEC、ＫＭAＣ密鑰值不能放在卡上，其物理存取是否有嚴格限制□不是□是對卡片的訪問是否必須通過一個16位或以上的口令保護□不是□是IC卡初始化操作是否必須位于工廠的高安全區□不是□是5.３IＣ卡個人化（一)數據準備安全要求數據準備的全過程是否在與硬件安全模塊相連的數據處理設備上進行□不是□是密鑰的導入導出是否符合《EMV2000支付系統集成電路規范》和《中國金融集成電路（ＩC)卡規范》□不是□是（二）個人化處理安全要求個人化處理是否必須位于工廠的高安全區并滿足所有安全要求及程序□不是□是個人化處理是否達到《銀聯標識卡生產企業安全管理指南》中的要求□不是□是5.4流程安全要求(一)個人化加工操作程序個人化加工操作程序是否作為正式的文檔□不是□是對個人化加工操作程序的改動要經過相關管理者的授權□不是□是操作程序文檔是否詳細說明具體執行每項工作時的工作流程□不是□是操作程序文檔是否包含個人化設備操作過程,數據信息處理和處置過程,錯誤或異常情況操作指導及設備使用限制□不是□是(二)個人化處理過程控制個人化處理過程中，卡片和持卡人信息能否暴露給任何無關人員□不是□是個人化處理過程中，個人化數據內容能否修改□不是□是在各工序交接過程中，負責統計卡片的其他部門人員是否預先知道數目□不是□是個人化處理過程是否嚴格執行數字管理□不是□是有無每個工單／分批的主要審查控制記錄□不是□是審查控制記錄的內容是否包括施工單號、發卡人名稱、卡片類型等□不是□是對于控制記錄中的每一項處理功能，是否包含以下記錄內容:最初發放數量、上一期的卡剩余量、卡移交數量、退回倉庫的卡片數、廢卡數量、樣卡/試驗卡數量、個人化作業設備及其工作記錄、操作員簽名、日期、時間、審查人簽名等□不是□是控制記錄是否記錄了所有個人化加工處理設備故障□不是□是設備故障記錄是否至少保存3個月□不是□是設備故障記錄是否包括以下內容：操作者姓名、審查者簽名、設備說明/號碼、施工單號、日期、時間、故障發生原因等□不是□是制卡過程中，打卡和生產現場是否必須保證兩人以上□不是□是系統登錄是否必須進行雙重控制□不是□是制卡結束后是否強制刪除個人化設備上的文件□不是□是(三）凸字箔、寄卡單和ＵＧ色帶管理是否建立了使用箔數詳細目錄登記表,并根據銷毀數目進行核查□不是□是認使用過的箔銷毀前是否存儲在雙管區域內□不是□是是否建立了凸字箔銷毀日志□不是□是銷毀日志是否包括卷（筒)數、日期、證明銷毀的雙人簽名等內容□不是□是所有包括持卡人信息的箔在從打卡機上取下后是否在雙重監視下及時銷毀□不是□是寄卡單和UG色帶是否應采取與凸字箔同樣的安全控制□不是□是(四）個人化卡片管理是否建立了完善的白卡檔案和數量管理系統□不是□是當天是否有過出庫或入庫的卡種，當天是否經過數量核對□不是□是已出庫但未使用的卡片須在個人化處理完成前是否必需退回金庫保存□不是□是正在加工的卡片是否有授權員工／操作員的看管并確保其安全□不是□是尚未個人化處理的卡片(白卡）是否均在雙重控制下存儲在金庫，非授權員工不得接近□不是□是已個人化卡片是否采用可追蹤的安全郵寄方式□不是□是密鑰管理6．１密鑰描述(一)個人化密鑰描述在IＣ卡之外執行的一切加密和解密操作是否在硬件安全模塊（HSM)上進行□不是□是在IＣ卡卡片個人化之前，是否創建ＫMC(個人化主密鑰)、KＥNＣ(加密分散密鑰）、ＫＭAC（校驗碼分散密鑰)、KDEＫ（密鑰加密分散密鑰)□不是□是在ＩC卡上是否必須存在個人化主密鑰的版本號□不是□是KＭC(個人化主密鑰)對每個發卡行是否是獨有的□不是□是KENC（加密分散密鑰）對每張卡片是否是獨有的□不是□是ＫMAC（校驗碼分散密鑰）對每張卡片是否是獨有的□不是□是KＤEK(密鑰加密分散密鑰）對每張卡片是否是獨有的□不是□是(二）卡片密鑰密鑰由發卡行還是個人化企業產生□發卡行□個人化企業□其他__若密鑰由發卡行產生，是否遵循公鑰傳輸給中國金融集成電路（IＣ）卡認證機構，私鑰被保存在發卡行的ＨSM(主機加密模塊)內□是□否如果密鑰由個人化企業處理,密鑰管理是否符合本《銀聯標識卡生產企業邏輯安全管理指南》要求□是□否(三)傳輸密鑰是否采用KＥＫ（密鑰交換密鑰)對發卡行與個人化數據準備設備之間傳輸的機密數據進行加密□不是□是KEK是否對每個發卡行都是獨有的□不是□是KＥK是否定期進行更改□不是□是數據準備設備和個人化設備之間的PIN和其他機密數據是否使用數據加密密鑰（ＤEＫ)／傳輸密鑰(TK）進行加密□不是□是在數據準備系統和個人化系統之間是否使用校驗碼密鑰(MACKEＹ)來保證個人化文件的完整性□不是□是6.２密鑰和加密數據傳輸(一）發卡行到個人化企業接收來自發卡行的個人化文件時，文件信息的存儲是否安全□不是□是訪問個人化文件信息的權利必須嚴格審核□不是□是完成個人化之后,是否將系統內的數據安全清除□不是□是KEK解譯成TK是否在硬件安全模塊（HＳM)上完成□不是□是數據準備系統是否至少位于一個能夠控制數據存取的中間安全區，并將數據訪問權局限于業務需求者□不是□是加密過程的安全要求是否適合于給定的數據組及IC卡用途，而且無論是在數據準備過程中,還是在個人化設備相關的本機處理過程中，都與相應的加密過程協調一致□不是□是(二）個人化過程中的安全要求在個人化處理階段,個人化設備：執行ＩC卡的KＤＥＫ推算過程是否均在硬件安全模塊(ＨＳM)上□不是□是將個人化文件中的機密信息從傳輸密鑰TK解譯成KＤEK,以便將其傳送給卡片，這一解譯過程是否均在HSＭ上執行□不是□是個人化設備是否位于高安全區且符合中國金融集成電路(ＩC）卡生產安全標準規定的一切安全要求和程序要求□不是□是6.3密鑰操作6.３.1非對稱（RSＡ)密鑰(一）基本評估ＲSＡ密鑰模數位的長度是否組成公共/私有密鑰模數,例如:768、896、1０2４和1152□不是□是是否從物理上保障私有(簽名）密鑰不受未經授權的訪問□不是□是（二）非對稱密鑰生成當生成RSA公/私鑰對時，是否在安全的受保護的硬件加密設備(HＳM)中完成□不是□是ＨSＭ是否包含一個隨機或偽隨機數字生成器，執行原始校驗過程□不是□是HSM是否支持篡改響應機制□不是□是密鑰生成是否利用一個隨機或偽隨機過程,以保證不可能預測出任何密鑰或者確定密鑰空間中的某些密鑰比其它任意密鑰可能性更大□不是□是個人計算機或其它類似的不安全設備，即不能被完全信任的設備,是否可用來生成RＳA公／私鑰對□不是□是（三)非對稱密鑰傳輸公鑰是否采用一種能夠保證它們完整性的方式來保障安全和傳輸□不是□是私鑰是否采用一種能夠保證它們的完整性和私密的方式來保障安全和傳輸□不是□是傳輸機制是否必須在安全的硬件加密設備上進行加解密操作□不是□是傳輸機制是否利用至少與加密相等力量的對稱算法來對被保護密鑰的私鑰進行解密，作為幾個部分（在ＩC卡上保障安全),并使用一個對稱算法來進行解密□不是□是6.3.2在生成DＥS密鑰時,是否必須在一臺由篡改響應機制保護的物理安全的設備中生成，或者必須由授權的工作人員以一部分一部分的形式生成□不是□是安全設備是否包含一個隨機或偽隨機的數字生成器□不是□是是否任何時候一個未被保護的密鑰都不能存在于一臺物理安全的設備的保護之外□不是□是是否任何時候物理安全的設備都不能輸出純文本的密鑰，除非作為密碼或者以兩個或更多部分的形式輸出□不是□是當密鑰由授權工作人員通過一個將各部分組合的過程來生成時,是否必須要求每一方生成一個和要生成的密鑰一樣長的部分□不是□是密鑰組合過程是否在一個物理安全的設備內部進行□不是□是密鑰組合過程能否保證知道其中任何一個子集也無法知道密鑰值□不是□是分開的密鑰是否由一個管理機構掌握□不是□是分開的密鑰是否必須有一個部分的持有人是發卡行的一名員工□不是□是是否未為實際的全部密鑰計算校驗位□不是□是個人電腦或類似的不安全設備是否可用來生成密鑰資料□不是□是如果發現任何密鑰存在于一個物理安全的設備之外,或者密鑰的各個部分被人所知以及有被單個人掌握的嫌疑，可否將該密鑰認為已被泄漏且必須用一個新的密鑰來替換它□不是□是6.3.3密鑰傳輸DES密鑰是否可以被安全地轉移到一塊安全設備或智能卡的保護之下，以進行傳輸和存儲□不是□是DＥＳ密鑰傳輸是否以雙重控制和分別持有為原則□不是□是6.4密鑰存儲普通文本私鑰和秘密的密鑰是否只存在于硬件加密設備（HＳM)內□不是□是私人和秘密的密鑰及其組成部分是否采用雙重控制和分別持有的原則存儲□不是□是私人的和秘密的密鑰組成部分可存儲在介質上（例如:軟盤、ＰC卡、智能卡等）。這些介質是否必須安全存儲,以防止未授權的個體得到密鑰組成部分□不是□是如果私人的和秘密的密鑰組成部分可存儲在介質上，并且一個個人識別碼(ＰIN）介質，那么是否只有介質的擁有者同時擁有介質和它相應的PIN□不是□是存儲在密鑰轉移設備里的私人的或秘密的密鑰組成部分是否需要通過像口令這樣的充分的訪問控制來保護□不是□是任何時候私人的密鑰或密鑰加密密鑰及其組成部分從存儲或加載到一個安全系統設備時，是否有相關記錄□不是□是記錄是否包括日期和進出的時間、訪問的目的、訪問此組成部分的管理人的簽名等信息;這些記錄是否被明確地保留,直到當密鑰被終止或銷毀時□不是□是6.5密鑰備份所有備份是否受到同樣的或比