《GB/T36950-2018信息安全技術

智能卡安全技術要求（EAL4+）

》

專題研究報告目錄一、EAL4+級認證為何是智能卡安全的“黃金門檻”?專家解析標準核心定位與價值二、智能卡全生命周期如何筑牢防線?標準框架下物理安全與環(huán)境適應性深度剖析三、芯片與操作系統(tǒng)是安全根基嗎?從硬件到軟件的全棧安全要求專家解讀密鑰管理為何是智能卡安全的“命脈”?標準中密鑰生成與使用的合規(guī)要點解析數(shù)據(jù)安全如何“防泄漏、防篡改”?EAL4+級要求下數(shù)據(jù)處理全流程防護策略安全測試如何驗證“真防護”?標準規(guī)定的測試方法與評估流程深度拆解應用場景差異化如何適配標準?金融、政務等領域智能卡安全實施指南標準與國際規(guī)范如何銜接?EAL4+與CC認證的關聯(lián)性及跨境應用考量未來智能卡安全面臨哪些新挑戰(zhàn)?標準在物聯(lián)網(wǎng)時代的延伸與升級方向企業(yè)如何落地標準要求?從合規(guī)到實戰(zhàn)的智能卡安全建設路徑專家建議、EAL4+級認證為何是智能卡安全的“黃金門檻”？專家解析標準核心定位與價值標準出臺的背景：智能卡安全危機催生合規(guī)剛需隨著智能卡在金融支付、身份認證等領域廣泛應用，其安全漏洞引發(fā)的盜刷、信息泄露事件頻發(fā)。此前低等級安全標準已無法抵御側信道攻擊、惡意代碼注入等新型威脅，行業(yè)亟需統(tǒng)一、嚴苛的安全規(guī)范。GB/T36950-2018應運而生，填補EAL4+級智能卡安全標準空白，為產(chǎn)業(yè)發(fā)展立起“安全標桿”。（二）EAL4+的核心內(nèi)涵：超越基礎防護的“增強級”安全定義EAL（評估保證級）4+是CC（信息技術安全評估準則）體系中具有實操性的增強級別。相較于EAL4基礎級，其核心在于“形式化驗證+半形式化分析”，要求智能卡在開發(fā)、測試全流程融入安全設計，能抵御蓄意攻擊，為高敏感場景提供可信防護，是智能卡進入關鍵領域的“準入憑證”。（三）標準的行業(yè)價值：規(guī)范產(chǎn)業(yè)發(fā)展與保障民生安全的雙重意義對企業(yè)而言，標準明確技術方向，避免安全投入盲目性；對用戶，其構建的安全體系可防范身份偽造、資金損失等風險；對產(chǎn)業(yè)，統(tǒng)一標準打破技術壁壘，推動智能卡在金融、政務等領域的合規(guī)應用，助力數(shù)字經(jīng)濟安全發(fā)展，是保障信息安全的重要技術支撐。、智能卡全生命周期如何筑牢防線？標準框架下物理安全與環(huán)境適應性深度剖析生產(chǎn)制造階段：從源頭阻斷物理篡改風險標準要求智能卡芯片采用抗熔絲、OTP等一次性編程技術，封裝過程需具備防拆封設計，如使用化學蝕刻敏感材料。生產(chǎn)環(huán)境需符合GB/T25069-2010三級以上安全要求，建立全程溯源機制，確保每一張卡的生產(chǎn)數(shù)據(jù)可查，從源頭杜絕物理篡改可能。（二）使用階段：抵御物理攻擊與環(huán)境干擾的雙重防護物理安全上，卡片需能承受100N拉力、10J沖擊，表面標識耐摩擦次數(shù)不低于500次；環(huán)境適應性方面，需在-25℃~70℃溫度、10%~90%濕度范圍內(nèi)正常工作，抗電磁干擾能力符合GB/T17626.3要求，保障復雜場景下的穩(wěn)定運行。12（三）報廢回收階段：數(shù)據(jù)清零與載體銷毀的合規(guī)要求01標準規(guī)定報廢智能卡需通過物理粉碎（顆粒度≤0.5mm）或化學銷毀方式處理，銷毀前必須執(zhí)行數(shù)據(jù)徹底清零操作，采用多次覆寫或物理破壞存儲單元的方法?；厥者^程需建立雙人核對機制，防止報廢卡片被非法利用，閉環(huán)管理全生命周期安全。02、芯片與操作系統(tǒng)是安全根基嗎？從硬件到軟件的全棧安全要求專家解讀芯片安全：硬件級防護的核心技術指標01芯片需集成獨立安全加密模塊，支持SM4、RSA2048等國密及國際算法，具備防側信道攻擊能力，如通過隨機化加密運算時序抵御功耗分析攻擊。存儲區(qū)需劃分安全域與普通域，安全域訪問需經(jīng)多層密鑰驗證，防止敏感數(shù)據(jù)被非法讀取。02（二）操作系統(tǒng)安全：構建可信的軟件運行環(huán)境智能卡OS需具備進程隔離機制，不同應用間內(nèi)存空間獨立，防止惡意應用越權訪問。需支持安全啟動，啟動代碼經(jīng)數(shù)字簽名驗證，杜絕惡意代碼植入。同時，OS需提供完善的權限管理功能，基于最小權限原則分配操作權限，降低安全風險。12（三）軟硬件協(xié)同：安全功能的聯(lián)動驗證要求標準強調(diào)軟硬件安全功能需協(xié)同工作，如硬件加密模塊與OS加密接口需嚴格匹配，確保加密運算全程在硬件安全域內(nèi)完成。需通過聯(lián)動測試驗證，如當OS檢測到異常訪問時，能觸發(fā)硬件級鎖定機制，立即終止敏感操作并報警。、密鑰管理為何是智能卡安全的“命脈”？標準中密鑰生成與使用的合規(guī)要點解析密鑰生成：安全源頭的隨機性與合規(guī)性保障01密鑰需通過符合GB/T19721-2020的真隨機數(shù)生成器產(chǎn)生，生成環(huán)境需具備物理隔離與電磁屏蔽能力。主密鑰需采用線下生成方式，存儲于硬件安全模塊（HSM）中，生成過程需有多人在場監(jiān)督并形成書面記錄，確保密鑰源頭安全。02（二）密鑰存儲：分層防護與抗攻擊設計密鑰存儲需采用分層管理架構，主密鑰、子密鑰分別存儲在不同安全級別區(qū)域，主密鑰禁止導出。存儲單元需具備抗物理攻擊能力，如采用熔斷絲技術，當檢測到暴力破解時自動銷毀密鑰。同時，密鑰需進行加密存儲，加密算法強度不低于SM4。（三）密鑰使用與更新：全流程的安全管控機制密鑰使用需遵循“一次一密”或“會話密鑰”機制，會話密鑰在使用后立即銷毀。密鑰更新周期不得超過1年，更新過程需通過加密信道傳輸新密鑰，更新后立即驗證密鑰有效性。當密鑰存在泄露風險時，需在24小時內(nèi)完成緊急更新。、數(shù)據(jù)安全如何“防泄漏、防篡改”？EAL4+級要求下數(shù)據(jù)處理全流程防護策略數(shù)據(jù)采集：合規(guī)授權與最小化采集原則智能卡數(shù)據(jù)采集需獲得用戶明確授權，采集范圍嚴格限定為業(yè)務必需信息，禁止采集無關個人數(shù)據(jù)。采集數(shù)據(jù)需進行格式校驗與合法性驗證，防止惡意數(shù)據(jù)注入。對敏感個人信息，需在采集時立即進行加密處理，加密密鑰與數(shù)據(jù)分開存儲。（二）數(shù)據(jù)傳輸：加密信道與完整性校驗雙重保障數(shù)據(jù)傳輸需采用TLS1.2及以上協(xié)議構建加密信道，傳輸數(shù)據(jù)需附加消息認證碼（MAC），通過SM3算法實現(xiàn)完整性校驗。傳輸過程中需對數(shù)據(jù)進行分段加密，每段數(shù)據(jù)均有獨立校驗標識，確保數(shù)據(jù)在傳輸中不被篡改、竊取。12（三）數(shù)據(jù)存儲：分級存儲與訪問控制機制01數(shù)據(jù)按敏感級別分為普通數(shù)據(jù)、敏感數(shù)據(jù)、核心數(shù)據(jù)，分別存儲在不同安全域。核心數(shù)據(jù)需采用“加密存儲+硬件隔離”方式，訪問需經(jīng)三重密鑰驗證。建立數(shù)據(jù)訪問日志，記錄訪問主體、時間、操作內(nèi)容，日志留存時間不低于6個月。02、安全測試如何驗證“真防護”？標準規(guī)定的測試方法與評估流程深度拆解測試指標體系：覆蓋全維度的安全驗證要點測試指標包括物理安全（防拆、防篡改）、邏輯安全（密鑰管理、權限控制）、性能安全（抗攻擊性能、響應速度）等6大類32項具體指標。其中，抗側信道攻擊測試需涵蓋功耗分析、電磁分析等5種典型攻擊場景，確保防護全面性。12（二）測試方法：實驗室測試與場景模擬相結合實驗室測試采用專業(yè)設備開展，如使用電磁輻射分析儀測試抗電磁攻擊能力；場景模擬則構建金融支付、政務認證等真實應用環(huán)境，測試卡片在高并發(fā)、復雜干擾下的安全表現(xiàn)。測試過程需全程錄像，測試數(shù)據(jù)需經(jīng)第三方審計確認。（三）評估流程：從申請到認證的全周期管理評估流程分為申請受理、技術審查、測試實施、結果評定、認證發(fā)證5個階段。申請企業(yè)需提交完整技術文檔，技術審查重點核查安全設計符合性；測試實施由具備CNAS資質(zhì)的機構完成，結果評定需滿足所有EAL4+級指標要求方可通過認證。、應用場景差異化如何適配標準？金融、政務等領域智能卡安全實施指南金融領域：高并發(fā)與高敏感場景的安全強化措施金融智能卡需在標準基礎上強化交易安全，采用“芯片+PIN碼+生物識別”三重認證。交易數(shù)據(jù)需實時加密上傳至金融機構后臺，支持交易風險實時監(jiān)控?？ㄆ杈邆浣灰桩惓z測功能，當檢測到異地交易、大額交易時自動觸發(fā)二次驗證。（二）政務領域：身份認證與數(shù)據(jù)共享的合規(guī)邊界政務智能卡需符合電子政務安全等級保護三級要求，身份認證信息需與國家人口基礎信息庫實時核驗。數(shù)據(jù)共享需遵循“授權訪問、全程溯源”原則，通過區(qū)塊鏈技術記錄數(shù)據(jù)共享軌跡?？ㄆ杈邆潆x線認證能力，保障無網(wǎng)絡環(huán)境下的業(yè)務辦理。12（三）物聯(lián)網(wǎng)領域：輕量化與低功耗場景的安全優(yōu)化01物聯(lián)網(wǎng)智能卡需在滿足標準的同時優(yōu)化功耗，采用輕量級加密算法SM4-128精簡版。支持遠程安全管理，可通過加密指令實現(xiàn)密鑰遠程更新與卡片狀態(tài)監(jiān)控。針對物聯(lián)網(wǎng)設備分布式部署特點，強化卡片的抗惡劣環(huán)境能力，適應工業(yè)場景需求。02、標準與國際規(guī)范如何銜接？EAL4+與CC認證的關聯(lián)性及跨境應用考量與CC認證的銜接：技術要求與評估流程的兼容性GB/T36950-2018的EAL4+級要求與CCv3.1的EAL4增強級技術指標高度兼容，核心安全功能要求完全對應。評估流程上，國內(nèi)認證結果可通過CC互認協(xié)議獲得國際認可，減少企業(yè)跨境認證成本，為智能卡出口提供便利。（二）跨境應用的合規(guī)要點：適配目標國的安全法規(guī)出口至歐盟的智能卡需額外符合GDPR數(shù)據(jù)保護要求，確保個人數(shù)據(jù)處理合規(guī)；出口至美國需通過FIPS140-3加密模塊認證。企業(yè)需建立跨境安全評估機制，針對不同國家法規(guī)差異調(diào)整安全設計，如歐盟地區(qū)需強化數(shù)據(jù)可攜帶權支持。12（三）國際合作與標準互認：推動全球智能卡安全協(xié)同我國積極參與ISO/IEC7816智能卡國際標準制定，推動GB/T36950-2018核心技術要求融入國際規(guī)范。通過與“一帶一路”沿線國家開展標準互認合作，促進我國智能卡技術與產(chǎn)品走向國際，提升全球智能卡安全防護水平。12、未來智能卡安全面臨哪些新挑戰(zhàn)？標準在物聯(lián)網(wǎng)時代的延伸與升級方向新威脅涌現(xiàn)：量子計算與AI攻擊帶來的安全挑戰(zhàn)量子計算的發(fā)展可能破解現(xiàn)有RSA、ECC等加密算法，AI驅動的自動化攻擊能快速定位安全漏洞。這要求標準未來需融入抗量子加密算法，如格基密碼算法，同時強化智能卡的異常行為智能識別能力，應對新型攻擊手段。0102（二）應用拓展：多場景融合下的安全需求升級隨著智能卡與5G、區(qū)塊鏈技術融合，在車聯(lián)網(wǎng)、數(shù)字人民幣等新場景中，需支持高速數(shù)據(jù)傳輸加密與分布式身份認證。標準需拓展安全功能要求，如增加車規(guī)級環(huán)境適應性指標、區(qū)塊鏈密鑰管理規(guī)范，滿足多場景安全需求。（三）標準升級方向：智能化與輕量化的雙重突破01未來標準將引入智能安全管理理念，支持卡片安全狀態(tài)實時監(jiān)測與自適應防護。針對物聯(lián)網(wǎng)終端輕量化需求，制定輕量級安全子集標準，在保障核心安全的同時降低資源占用。同時，強化隱私保護要求，符合全球數(shù)據(jù)安全發(fā)展趨勢。02、企業(yè)如何落地標準要求？從合規(guī)到實戰(zhàn)的智能卡安全建設路徑專家建議合規(guī)規(guī)劃：構建全流程的安全管理體系企業(yè)需成立專項安全小組，梳理業(yè)務流程中的安全風險點，對照標準制定合規(guī)清單。建立“研發(fā)-測試-生產(chǎn)-運維”全流程安全管理制度，將安全要求嵌入每個環(huán)節(jié)。定期開展合規(guī)自查，每季度至少進行一次全面安全評估。12（二）技術落地：分階段實現(xiàn)安全功能升級