GA/T1280-2024《银行自助设备安全性规范》浅析

公安部第一研究所 邱日祥

本文对照GA 1280-2015《自动柜员机安全性要求》，从自动柜员机的结构安全性要求、模块安全性要求、网络接入安全性要求、操作系统安全性要求、应用系统安全性要求和数据安全性要求等六个方面，全面介绍了GA/T 1280-2024《银行自助设备安全性规范》，为读者快速全面掌握标准提供参考。

1 引言

随着技术的发展，银行自助设备发展很快，特别是网上银行、移动支付及数字货币等新金融业务形态的出现，传统执行现金交易任务业务功能为主的自动柜员机的功能也在逐渐扩展。在此基础上，新型银行自助设备层出不穷。GA 1280-2015《自动柜员机安全性要求》执行已近十年，为自动柜员机的安全和发展起到了很好的技术支撑作用，但部分技术要求已不适应当前产品的发展。为此，公安部治安管理局提出了修订GA 1280的申请。2023年1月28日，公安部科技信息化局下发《关于下达2022年度公共安全行业标准制修订计划的通知》（公科信传发〔2023〕23号），批准GA 1280标准修订计划。

值得一提的是，《关于下达强制性行业标准整合精简计划项目的通知》（公科信〔2018〕11号），其中计划编号201811333号是将GA 38-2015《银行营业场所安全防范要求》、GA 745-2017《银行自助设备、自助银行安全防范要求》、GA 858-2010《银行业务库安全防范的要求》、GA 1003-2012《银行自助服务亭技术要求》、GA 1280-2015《自动柜员机安全性要求》等五个相关标准整合为一个强制性行业标准。在整合过程中，专家组一致认为，GA 1280产品标准不宜整合到安防工程标准中，只是将该产品与安防工程通用的部分整合进去，对产品标准单独修订。

随后，部治安局严格按照行业标准的编制程序，组建了由来自公安部第一研究所、公安部安全与警用电子产品质量检测中心、国内主流生产厂家（包括广电运通金融电子股份有限公司、北京声迅电子股份有限公司、东方通信股份有限公司、珠海汇金科技股份有限公司、深圳怡化电脑股份有限公司、恒银金融科技股份有限公司、长城信息股份有限公司、中电金融设备系统(深圳)有限公司）及商业银行（包括中国工商银行有限公司、中国农业银行股份有限公司、中国建设银行、中国邮政集团有限公司、华夏银行）的专家为主的标准编制组，经广泛调研、大量实验研究与分析、反复研讨、全面征求意见、专家评审及报批，经公安部技术监督委员会批准，GA/T 1280—2024《银行自助设备安全性规范》于2024年5月4日发布，2024年10月1日实施。本文对比分析2015及2024两个版本，就标准的主要内容进行介绍，为读者全面快速掌握新版标准提供参考。

2 标准的主要变化及技术要求

2.1 标准的名称与性质的变化

GA 1280-2015《自助柜员机安全性要求》中的“自助柜员机”与现行GA 38-2021《银行安全防范要求》中的“银行自助设备”属于同类产品。在GA 38-2021中将自助设备分为现金类自助设备和非现金类自助设备。现金类设备与非现类设备之间的差异主要在于实体防护及硬件模块上，其他操作系统、应用系统、网络接入及数据安全要求是基本一致的，结合GB/T 1.1-2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的要求，在标准送审稿审查会上，专家组一致认为，本标准作为GA 38-2021的配套标准，将标准名称改为：《银行自助设备安全性规范》。

按照国家标准化管理办法，该标准作为强制性标准GA 38-2021的配套产品标准，定性为推荐性公共安全行业标准。

2.2 标准结构的调整

标准的结构主要有两方面的变化：一是增加了银行自助设备的分类，将银行自助设备分为现金类和非现金类银行自主设备两类；二是将2015版第4章“一般要求”，调整到2024版第5章“结构安全性要求”，且将信息安全等非本章的内容调整到相应的章节。

2.3产品结构安全要求

2.3.1 产品基础结构安全要求

银行自助设备的基础是以金属为主的壳体，壳体的强度、孔的布局都关系产品的安全性，因此，标准规定了以下要求：

1）从银行自助设备散热孔、穿线孔等整机孔位的外部应不能直接看清内部的数据信号线。因此，散热孔、穿线孔等孔的大小、设计必需采用有效的防范措施，防止从外部通过这些孔位将内部布线看清楚进而外部侵犯内部的数据线缆。

2）银行自助设备箱体外壳及穿墙框应采用厚度大于或等于1.0mm、屈服强度在235MPa及以上的钢板，确保产品的结构强度及安装强度。

3）现金类银行自助设备客户操作显示屏后方应具有防护钢板，钢板的屈服强度应在235MPa及以上、厚度宜大于或等于3.0 mm、尺寸大于或等于显示屏。由于显示屏的机械强度低，而其后面有各种模块及线缆，因此必须有外形尺寸不小于显示屏的强度足够的防护加以防护。

2.3.2 对于客户输入密码信息的安全要求

在2015版中，只提到了防窥罩。随着技术的发展，具有防窥功能的整体设计逐渐出现，且触屏式加密键盘逐渐普及。因此在2024版中，修改为：银行自助设备加密键盘应有防窥视设计，防止他人窥视密码。如采用触屏式加密键盘，键盘的排列顺序应能动态变化。且强调，现金类银行自助设备客户操作显示屏应采取贴防窥膜等方式，使之具有防窥视功能。在左、右侧视角为30^o～90^o 时（以垂直于屏幕的法线方向为0^o），不应能看清显示屏内容。

2.3.3 对于防盗读装置的要求

银行卡包括磁条卡和芯片卡，磁条卡是银行卡最早采用的数据存储方式之一，通过磁信号来存储数据；现代银行卡大多以芯片作为数据存储和交互的另一种方式，芯片可以采用接触式或非接触式两种方式进行数据交互，相对较安全。在现实中，存在犯罪分子在现金类银行自助设备的插卡口加装盗读装置读取银行卡的信息情况，因此标准规定：现金类银行自助设备的插卡口应具有防盗读/防侧录功能，当探测到非法加装的盗读/侧录装置时应能及时暂停服务并报警，并能对盗读/侧录装置实施电磁干扰，阻止银行卡的第二磁道信息被非法读取。针对当前盗录手段，标准描述了切实可行的测试方法：在设备插卡口进卡磁条区域正下方10mm内放置一个10mmx10mmx10mm铁块异物，检查60s内设备是否能发出警报信号并暂停服务；用一外部刷卡器，控制其磁头在以插卡口区域为底面积，面板平面向外30mm的空间内，进行正常进卡方向的刷卡，检查是否能刷出银行卡第二磁道信息。该测试方法设计的主要依据如下：

1）要有效防盗读，需满足两个要求：能主动探测到盗读装置的加装，发出警报并暂停服务；主动放出电磁干扰，让插卡口附近的盗读都不成功。

2）因第2磁道含银行卡号，是防盗读的关键信息，故定义为不应刷出银行卡第2磁道信息。

3）因盗读装置磁头只能紧贴银行卡磁条才能读取信息，故定义在磁条区域正下方10mm的区域。

4）因盗读装置磁头的最小体积接近10mmx10mmx10mm大小，故定义该大小的铁块异物。

5）为防止误报，定义60s内的异物停留时间比较合理，避免应用户手指的短暂停留产生误报。

6）用刷卡器模拟盗读装置进行测试，因盗读装置离插卡口太远的防护没有必要（磁卡长为85mm，太远无法到达插卡口的夹紧轮，无法形成进卡，无法进入正常操作界面），故定义防护的区域为：插卡口区域为底面积向外的30mm空间。

实践经验表明，自助柜员机上安装的防盗读装置有效地提高了ATM机的交易安全性，降低了银行卡被盗刷的风险。

2.3.4 其他防范措施

其他防范措施包括防窥后视镜、摄像机、报警装置、钥匙设置等要求。

1）现金类银行自助设备正面应安装防窥后视镜，使客户能够察觉到他人窥视，达到防尾随、防抢劫等目的。

2）现金类银行自助设备箱体内应预留客户面部视频监控装置、存取款钞口视频监控装置的安装孔位，安装的视频监控装置应符合GA 38-2021《银行安全防范要求》的相关要求。

3）现金类银行自助设备的上、下箱体内均应预留振动、异常开关门报警探测装置的安装孔位，入侵报警系统应能实现对撬、砸等暴力破坏事件及异常开关门的探测报警。保险柜门开启时，设备应暂停服务。

4）不同现金类银行自助设备箱体柜门不应使用相同钥匙，同一现金类银行自助设备的不同柜门不应使用相同钥匙。值得注意的是，钥匙包括了机械钥匙、电子密码及生物识别信息。

2.4 模块安全性要求

标准对卡处理模块、存款模块、出钞模块、出钞存款一体模块、加密键盘模块及防盗保险柜等6个主要模块分别进行了规范。

2.4.1 卡处理模块

卡处理模块是银行自助机具不可或缺的关键部分，负责处理银行卡的插入、读取、验证、退卡等操作，包括卡槽、读卡器、卡传输机构等部件。标准对于常见的三种卡处理模块，明确了相应的技术要求。

1）接触式IC卡的卡处理模块应符合JR/T 0025.3《中国金融集成电路（IC）卡规范 第3部分：与应用无关的IC卡与终端接口规范》的相关规定；应具有断电退卡功能和吞卡功能，且吞卡时能产生报警信号；宜具备抖动进卡功能。

2）非接触式IC卡的卡处理模块应符合JR/T 0025.8《中国金融集成电路（IC）卡规范 第8部分：与应用无关的非接触式规范》的相关规定。

3）磁条卡的卡处理模块应符合GB/T 19584《银行卡磁条信息格式和使用规范》的相关规定。

按照该标准检验产品时，委托方需要提交产品上使用的相应模块的具有资质的第三方检验检测机构出具的检验检测报告或单独对该模块按照相应的标准进行检验。

2.4.2 出钞模块

出钞模块是现金类银行自助设备的核心部件之一，负责完成从钞箱取出钞票、验钞、送钞、废钞回收、超市回收等高度自动化的操作流程，为客户提供便捷、高效的取款体验。标准的要求包括：（1）应具有独立的回收箱，回收箱应设置在保险柜内，宜从物理上区分客户遗忘的钞票与设备内部回收的钞票，因设备具有冠字号识别与记录的功能，从物理上区分客户遗忘的钞票与设备内部回收的钞票的设计越来越少。（2）应具有硬件存储芯片，能记录交易现场的日志，日志信息应包括交易时间及详细出钞记录。（3）出钞模块应具备冠字号码识别功能，并能将识别出的冠字号码上传给银行自助设备控制软件。（4）当出钞模块（含出钞口闸门）出现故障时，现金类银行自助设备应能输出故障信息。（5）出于信息安全，出钞模块的通信指令宜采用加密传输或加密校验传输。

2.4.3 存款模块

存款模块是现金类银行自助机具用于合法用户存入现金的部件单元，集成了现金识别、计数、暂存、存储等一系列功能，确保用户能安全、便捷地将现金存入其银行账户中。标准提出的要求包括：应具备识别币种、面额和假币的功能，鉴伪能力应符合GB 40560《人民币现金机具鉴别能力技术规范》的相关要求；应具备冠字号码识别功能，并能将识别出的冠字号码上传给银行自助设备控制软件；应具有硬件存储芯片，能记录交易现场的日志，日志信息应包括交易时间及详细存钞记录；应能记录钞箱内钞票的数量信息和面额信息；存款模块有回收箱的，回收箱应设置在保险柜内，且宜从物理上区分客户遗忘的回收钞票与设备内部回收的钞票；当取消存款交易时，宜具有原钞退还功能。

2.4.4 出钞存款一体模块

出钞存款一体模块是同时具有出钞、存款功能的银行自助设备的核心部件，其出钞单元和存款单元分别应符合出钞模块和存款模块的要求，且出钞时应具有验钞功能。

2.4.5 加密键盘模块

加密键盘模块是银行自助设备的一个重要安全组件，其作用主要是对用户在交易过程中输入的敏感信息自动进行加密处理，防止这些信息被非法窃取和篡改。该模块应符合JR/T 0120.5-2016《银行卡受理终端安全规范 第5部分：PIN输入设备》的要求，应经PCI安全委员会的检验，确保其物理安全性、逻辑安全性、联机安全性、脱机安全性等方面都符合标准要求。

2.4.6 保险柜

保险柜是现金类银行自助设备的必配部件，标准从物理防护性能、安全固定、锁具要求及报警要求等方面提出了要求：（1）保险柜抗破坏能力应符合GB/T 18789.1—2013《信息技术 自动柜员机通用规范 第1部分：设备》附录C中的C.3的规定，保险柜其他要求应符合GB 10409的相关规定。主要性能包括抗破坏防护能力达到15min的要求，且功能孔的大小、位置都有明确的要求。（2）当其质量小于340kg时，应具有与地面固定的钢制连接装置和配件，与保险柜连接的钢制连接装置应不少于4个，直径应大于或等于12mm，其配件应能实现保险柜钢制连接装置与地面的牢固固定。（3）保险柜宜加装电子动态密码锁,其性能应符合附录A的要求。（4）保险柜门内侧宜安装温度传感器，对温度大于或等于70℃的情况探测报警，以防止用切割工具对保险柜进行破坏。

2.5 网络接入安全性要求

银行自助设备的网络安全接入是确保用户交易数据安全和系统稳定的基本保障。标准对网络接入安全性要求从访问控制、入侵防范及传输安全三个方面进行要求。

访问控制要求包括：接入银行前置系统的银行自助设备控制软件首次入网注册时，应向银行自助设备前置处理系统提供身份合法性验证信息；通过网银接入银行系统提供服务的银行自助设备，应安装网银安全控件，接入时提供身份合法性验证信息；银行自助设备应具备网络安全访问控制机制，应能对通过网络访问终端设备进行身份合法性验证；银行自助设备应禁用所有不必要的、不安全的服务、协议和应用程序。

入侵防范的要求是银行自助设备应具备入侵防范机制，当监测到网络攻击时，应记录攻击地址、时间、类型等信息。

银行自助设备控制软件到银行自助设备前置处理系统通信数据传输安全应符合以下要求：采用MAC校验的方法防止数据被非法篡改，MAC数据的生成应包括关键数据，如卡号、银行自助设备流水号、交易金额等；具有加密措施；具有防重防攻击机制，应确保每一笔交易数据的唯一性，重复发送的交易数据在银行自助设备和银行自助设备前置处理系统都应不被接受。

2.6 操作系统安全性要求

银行操作系统的安全要求旨在保护用户数据、防止未授权访问、确保交易的真实性和完整性，包括操作系统安全配置、操作系统安全审计、操作系统访问控制三个方面。

操作系统安全配置要求包括：操作系统启动后除显示银行自助设备控制软件客户操作界面外，其他任何图标和命令不得显示，快捷键禁止操作；操作系统用户在限定时间内连续3次登录失败，应自动锁定用户账户；应安装具有白名单或其他控制机制的第三方主动防御软件，能自动终止未知程序执行；当BIOS的应用设置状态被破坏时，应能恢复到出厂设置；宜安装并启用防火墙和杀毒软件。

操作系统安全审计要求：操作系统日志应记录用户登录事件，事件类别应包括登录成功和失败，日志内容应包括端口扫描、用户登录时间、登录方式、登录结果等信息。

操作系统访问控制包括：（1）操作系统的访问应禁用操作系统Guest账户。（2）应关闭操作系统远程登录服务。（3）密码策略：应为每个用户设置唯一的初始密码，并在初次使用后提示用户更改，在执行密码重置前应认证用户身份；应具有设置密码最长使用期限策略机制；应具有强制密码历史策略机制,不允许提交的新密码与最近使用的4次密码相同；应具有控制密码复杂性要求策略机制，包括：不应包含用户名；应至少有6个字符长度；应包含以下4类字符中的3类字符：英文大写字母、英文小写字母、10个个位数字或字符（例如！、$、#、%）。（4）操作系统应进行安全加固，能对指定文件/文件目录进行保护，阻止未授权的增、删、改操作。（5）对于具有注册表的操作系统，应对操作系统进行安全加固，对指定的注册表项进行访问控制，阻止未授权的增、删、改操作。对于使用基于现有linux内核的国产化操作系统的银行自助设备，对此项不做要求。（6）应对外接存储设备进行访问授权管理，对未经授权的外接存储设备不予识别。

2.7 应用系统安全性要求

银行自助设备的应用系统安全要求旨在确保交易处理、用户数据保护、系统稳定运行，其安全性要求包括应用系统保护、时间同步与计时处理、应用系统访问控制、应用系统日志、剩余信息保护等五个方面。

应用系统保护包括：当签到的MAC校验出错累计次数达到阈值时，应重新申请工作密钥；应用系统检测到加密键盘、卡处理模块等关键硬件设备故障时应暂停交易，待故障排除后方可恢复交易。

时间同步与计时处理包括：应采取措施保证银行自助设备与银行自助设备前置处理系统的系统时间同步；业务办理时应用系统应对每一个业务办理页面停留进行计时和超时处理，发生超时则按照银行业务流程要求进行处理。

应用系统访问控制包括：应具有后台维护访问控制功能，应能依据用户角色策略控制不同用户对后台功能资源的访问；应由授权主体配置访问控制策略，并且不提供非授权用户的访问权限；应授予不同帐户为完成各自承担任务所需的最小权限，并在它们之间形成相互制约的关系。

应用系统日志包括：应具有覆盖到每个用户的日志功能，对应用系统重要安全事件进行记录；日志记录应连续完整，不能删除和修改；日志记录的内容至少应包括事件的日期、时间、发起者信息、类型、描述和结果等；应具有对日志记录数据进行统计、查询、分析的功能；日志不应存储磁条卡的完整磁道数据（或者IC卡的同等数据）、PIN、卡片验证码等敏感信息。

应用系统应具有剩余信息保护机制，应用系统应对内存中不再使用的用户鉴别信息进行擦除处理。

2.8 数据安全性要求

数据安全性要求旨在保护银行自助机具在交易过程中设计的敏感数据不被泄露、篡改或滥用，主要包括数据保密性和客户信息安全两个方面。

数据保密性包括：银行自助设备应支持国家商用密码算法，应对客户个人识别码、主账号、流水号、交易金额、MAC校验码等关键数据进行加密保护。现金类银行自助设备加密要求及密钥管理应满足GB/T 18789.2-2016《信息技术 自动柜员机通用规范 第2部分：安全》中5.6.1.3 a)、 b）和JR/T 0002-2016《银行卡自动柜员机（ATM）终端规范》中6.1和6.2等条款要求。有关数据安全密钥方面，引用了国标GB18789.2《自动柜员机通用规范 安全》密钥级别和长度：数据加密应采用双倍长密钥加密算法。非现金类银行自助设备加密要求及密钥管理应满足JR/T 0187-2020《银行非现金自助服务终端设备技术规范》中6.1、6.2的要求。

客户信息安全包括了账户信息安全、PIN安全及卡号打印安全三个方面。账户信息安全包括具有银行卡读取功能的银行自助设备应能根据GB/T 19584的相关规定准确地识别主账号；应对GB/T 19584《银行卡磁条信息格式和使用规范》所规定的第二磁道数据（或者IC卡同等第二磁道数据）信息进行加密保护,且宜通过加密键盘实现硬加密处理。银行自助设备的凭证宜将持卡人关注内容醒目标示，对涉及现金和账户变化的异常情况，宜打印凭证或提供电子凭证。交易凭证打印的客户敏感信息（如卡号、身份证号码、手机号码等）应根据实际业务要求进行有效屏蔽。PIN安全包括交易过程中输入PIN时，应显示无意义的字符（例如星号）或者无区别的信号，支持输入的PIN长度至少4位。应对PIN信息进行加密保护,且应通过加密键盘实现硬加密处理。卡号打印安全：交易凭证打印的卡号，除被吞卡和转账交易的转入卡外，应具备隐去卡号校验位前至少4位数字的功能。

3 结语

银行自助设备具有不受时间、空间限制的优势，能够24小时不间断地为客户提供服务，已成为银行开展个人业务的重要渠道之一。随着科技的不断发展，人工智能、大数据等技术的应用，银行自助设备开始向智能化方向发展。智能柜台、自助服务终端等新型设备不断涌现，为客户提供更加个性化、高效的服务体验。随着技术的不断进步和应用场景的拓展，自助设备的功能也日益丰富和完善。

本文发表于2024年第3期《中国安全防范技术与应用》杂志

声明：本文来自公安部检测认证标准化，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。