GB/T 31502-2015信息安全技术　电子支付系统安全保护框架.pdf

OJ.U^tU L 80 (SB 中华人民共和国国彖标准 GB/T 31502—2015 信息安全技术 电子支付系统安全保护框架 Information security technology— Security protect framework of electronic payment system 2015-05-15 发布 2016-01-01 实施 GB/T 31502—2015 目 次 前言 ID 引言 W I 范围1 2规范性引用文件1 3 术语和定义1 4符号与缩略语 2 4.1 符号表示 2 4.2缩略语 3 5 电子支付系统描述 3 5.1 电子支付系统模型 3 5.2 电子支付系统工作模式 7 5.3受保护资产8 6 安全问题定义 10 6.1 概述 10 6.2威胁 10 6.3 组织安全策略（SOP） 14 6.4 假设（SAS） 17 6.5 安全问题定义理由 17 7 安全 目的17 7.1 概述17 7.2 针对评估对象［TOE］的安全 目的（OET） 18 7.3针对评估对象［TOE］运行 境的安全 目的（OTE） 18 8 安全功能要求 19 8.1 概述19 8.2 安全审计（FAU类） 19 8.3 通信 （FCO 类）32 8.4 密码支持（FCS类） 35 8.5用户数据保护（FDP类）35 8.6 标识和鉴別 （FIA类） 40 8.7 安全管理（FMT类） 40 8.8 TSF 保护（FPT 类） 42 9 安全保证要求43 10国家相关标准的部分依从性分析 43 II 组织安全策略示例 43 附录A （资料性附录）电子支付系统的行为模型44 GB/T 31502—2015 附录B （规范性附录）安全问题定义理由69 附录C （规范性附录）安全 目的理由 74 附录D （规范性附录）安全保证要求 78 附录E （规范性附录）对国家相关标准的部分依从性分析 80 附录F （资料性附录）组织安全策略示例：可疑交易预警规则 82 参考文献 87 n GB/T 31502—2015 、F ■ 1 , 刖 s 本标准按照GB/T 1.1-2009给出的规则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由全国信息安全标准化技术委员会 (SAC/TC 260)提出并归口。 本标准起草单位:北京多思科技工业园股份有限公司、 中国农业银行、 中国金融电子化公司、国家信 息安全T程技术研究中心、东方集团网络信息安全技术有限公司、北京大秦兴宇电子有限公司、北京天 宏绎网络技术有限公司、北京科蓝软件系统有限公司、长城瑞通(北京)科技有限公司、重庆银行、南充市 商业银行。 本标准主要起草人:刘人力、李宽、沈敏锋、韩琳琳、吴义章、吴铮、刘运、文仲慧、沈昕立、康伟、张磊、 于敬新、崔新杰、罗勇、夏鹏轩、闫凤如、陈辉武、王庆元、左小波、邱岩、张春阳、黄光伟、邢呈礼、高艳芳、 王州府。 GB/T 31502—2015 引 言 本标准以国际通行的信息技