IC卡发卡安全

建设需求：

目前国内银行要求建设一套符合《中国金融集成电路（IC）卡规范》PBOC 2.0标准的金融IC卡系统，包括金融IC卡业务系统，密钥管理系统、金融IC卡数据准备系统，实现银行金融IC卡的发卡功能，为用卡客户提供更安全、可靠、便捷的金融IC卡产品。

同时完成包括ATM、POS、网点等受理渠道及行内核心及前置接入渠道的改造，实现受理全国范围各银行发行的金融IC卡（基于PBOC 2.0 的银联卡）。发行的金融IC卡在支持标准借贷记业务外，还要同时支持如社保、公交等领域的其它行业应用。

安全目标：

1.   系统架构和流程设计必须符合银监局和人民银行的安全监管要求。

2.   保证发行的金融IC卡具有高安全性。

3.   保证金融IC卡安全认证功能的安全可靠。

4.   保证银行内部客户交易和客户信息的安全。

5.   保证客户身份认证的安全可靠。

6.   系统应具有完备的安全控管功能和审计功能，能够提供灵活的用户权限控制和完善的访问控制策略，防止用户越权操作，避免数据的非法访问、篡改。

7.   能够对各类数据的传输进行加密，敏感数据应加密存储。保证数据传输及存储过程中的可靠性、完整性、可用性、机密性、可审计性。

8.   保证金融IC卡系统涉及的密钥及证书在产生、存储、传递、使用过程的安全。

9.   保证所采取的安全措施符合相关法律法规的规定。

数据安全设计（密钥及发卡安全）：

主要产品部署图：

设计特点：

1.   高安全性

作为专业的数据安全厂家，结合多年在金融行业的应用经验。充分考虑IC卡业务系统的应用安全特点，针对个人化和数据准备系统在运行使用过程中的风险点，从系统信息的保密性、完整性、可用性、不可抵赖性出发，在整个应用系统的设计和建设方便都提出完备的风险防范措施；建立一套适应于IC卡业务发展的数据安全体系。

2.   高扩展性

在建设IC卡密钥管理系统时，充分考虑到全行数据安全平台的整合，整个密钥管理系统不但支持IC卡发卡的密钥管理，也支持手机支付，磁条卡应用等多种应用的密钥管理。

结合银行现有加密机系统的部署、应用情况，可以做到无缝集成。

3.   高稳定性

系统稳定可靠，超过五年、几十家银行的成功部署应用，充分确保银行业务系统可持续运行。

4.   企业级商用产品

银行IC系统结构复杂，涉及的外部系统较多、事务密集、数据量大、用户数多，需要有较强的管理功能和安全性考虑。

数据准备系统，密钥管理系统作为IC卡系统中的必要管理系统，其管理功能是否简单易用是系统建设中考虑的重点之一。发卡操作过程中多个步骤均需要由业务人员操作完成。我们在此系统设计过程中充分考虑到企业化应用的特点，多采用窗口输入，查找修改等配置管理手段，能有效减少操作人员误操作风险，提高工作效率。

在考虑到易用性的同时，也注重系统的管理安全性。系统设计时均采用独立审计模块，实现操作过程的可审计，提高企业的流程管理。

密钥管理系统的审计模块功能主要包括用户配置操作审计、密钥管理操作审计，安全审计人员可以通过用户信息、密钥信息等定期查询相关的审计信息，以便发现存在的风险或纠正存在的错误

数据准备系统的审计模块功能主要包括用户配置操作审计、数据准备任务审计，安全审计人员同样可以通过用户信息、任务信息等定期查询相关的审计信息，以便发现存在的风险或纠正存在的错误。

5.   部署灵活

密钥管理系统、数据准备系统支持多版本数据库sybase、informix、oracle、db2数据库；客户可以根据需要，灵活选择合适的数据库。

两个系统可以部署在同一台服务器中，灵活进行安全管理、配置。