中华人民共和国社会保障卡一卡通规范 第3部分：安全规范 征求意见稿.docx

1 GB/T XXXXX.3—202X 中华人民共和国社会保障卡一卡通规范 第 3 部分：安全规范 1 范围 本文件规定了社会保障卡一卡通的安全体系架构、载体安全要求、终端安全要求、应用平台安全要 求、数据安全要求及密钥安全要求。 本文件适用于社会保障卡一卡通的体系设计、开发、集成、应用、维护及运营等。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T 16649.4 识别卡 集成电路卡 第4部分：用于交换的结构、安全和命令 GB/T 22239 信息安全技术 网络安全等级保护基本要求 GB/T 25069 信息安全技术 术语 GB/T 29246 信息技术 安全技术信息安全管理体系 概述和词汇 GB/T 32905 信息安全技术 SM3 密码杂凑算法 GB/T 32907 信息安全技术 SM4 分组密码算法 GB/T 32918.4 信息安全技术 SM2 椭圆曲线公钥密码算法 第 4 部分:公钥加密算法 GB/T 35273—2020 信息安全技术 个人信息安全规范 GB/T 37092 信息安全技术 密码模块安全要求 GB/T 37988—2019 信息安全技术 数据安全能力成熟度模型 GB/T 38542 信息安全技术 基于生物特征识别的移动智能终端身份鉴别技术框架 GB/T 39204 信息安全技术 关键信息基础设施安全保护要求 GB/T 39786—2021 信息安全技术 信息系统密码应用基本要求 GB/T 40660—2021 信息安全技术 生物特征识别信息保护基本要求 GB/T 41479—2022 信息安全技术 网络数据处理安全要求 GB/T 41803. 1 信息技术 社会保障卡生物特征识别应用系统 第1部分：通用要求 GB/T 41819—2022 信息安全技术 人脸识别数据安全要求 GB/T XXXXX.4—202X 中华人民共和国社会保障卡一卡通规范 第4部分：终端规范 LD/T 02—2022（所有部分） 人力资源社会保障电子认证体系规范 LD/T 03—2022 人力资源社会保障电子认证服务管理规范 LD/T 33—2015 社会保障卡读写终端规范 3 术语和定义 GB/T 25069 、GB/T 29246界定的以及下列术语和定义适用于本文件。 3.1 数据安全 data security 2 GB/T XXXXX.3—202X 通过管理和技术措施，确保数据有效保护和合规使用的状态。 3.2 密钥 key 控制密码变换操作的符号序列。 [来源：GB/T 25069—2022 ，3.389] 3.3 电子社会保障卡服务渠道 electronic social security card service channel 申请接入全国社会保障卡服务平台、对外提供电子社会保障卡签发和应用服务的载体。具体形式有 APP 、公众号、生活号、小程序等。 3.4 密码算法 cryptographic algorithm 描述密码处理过程的算法。 [来源：GB/T 25069—2022 ，3.380] 3.5 加密 encrypt 对数据进行密码变换以产生密文的过程。 [来源：GB/T 25069—2022 ，3.278] 3.6 解密 decrypt 加密过程对应的逆过程。 [来源：GB/T 25069—2022 ，3.305] 3.7 敏感数据 sensitive data 需防止被非法泄露、修改或破坏的数据。包括：姓名、社会保障号码（公民身份号码）、手机号码、 地址、银行卡号、电子社会保障卡卡号、电子社会保障卡密码、签发号、生物特征信息（如人脸相片等）、 征信信息、交易信息等。 3.8 明文 plain text 未加密的信息。 [来源：GB/T 25069—2022 ，3.425] 3.9 保密性 confidentiality 信息对未授权的个人、实体或过程不可用或不泄露的性质。 [来源：GB/T 25069—2022 ，3.41] 3.10 3 GB/T XXXXX.3—202X 完整性 integrity 准确和完备的性质。 [来源：GB/T 25069—2022 ，3.612] 3.11 公钥 public key 非对称密码算法中可公开的密钥。 [来源：GB/T 25069—2022 ，3.211] 3.12 攻击 attack 企图破坏、泄露、篡改、损伤、窃取、未授权访问或未授权使用资产的行为。 [来源：GB/T 29246—2017 ，2.3] 3.13 数