陆雨雷，8年网络信息安全工作经验，目前专注于银行业信息科技风险管理相关工作，同时具备政府、运营商行业信息安全经验，目前主导及参与了近50家国有银行、全国股份制银行、城商行的信息安全咨询和评估工作，对银行业务安全、合规管理、信息科技风险管理领域有着丰富的实践经验。

—1条码支付规范由来—

2017年12月央行发布了《中国人民银行办公厅关于加强条码支付安全管理的通知》，在该文件中正式发布了《条码支付安全技术规范（试行）》及《条码支付受理终端技术规范（试行）》。同月央行还发布了《条码支付业务规范（试行）》。通过上述3个规范的发布，针对条码支付形成了较为全面的管理要求，既对技术提出了要求，同时又对业务提出了要求。

本文对《条码支付安全技术规范（试行）》和《条码支付受理终端技术规范（试行）》的内容及体系进行了介绍。

—2条码支付规范主要内容简述—

《条码支付安全技术规范（试行）》中规定了系统安全、移动终端安全、受理终端安全及交易安全的安全技术要求。

《条码支付受理终端技术规范（试行）》中规定了显码设备技术要求、扫描设备技术要求、安全性技术要求、适应性技术要求及可靠性技术要求。

两规范主要的针对对象为银行、非银行支付机构、清算机构开展条码支付业务时所需的：

软硬件的设计、研发、集成和维护。

受理终端的设计、研发、维护和采购。

—3条码支付安全体系概述—

《条码支付安全技术规范（试行）》文中的系统安全中的物理安全、网络安全、主机安全、应用安全、数据安全及部份恢复均参考GB/T 22239-20081中的三级系统安全要求。其中应用安全除了基本要求之外还增加了针对会话安全、常见攻击防范的两处安全要求。

《条码支付安全技术规范（试行）》文中的移动终端安全包含了人机交互安全、客户端软件安全及通信安全三大板块，其中人机交互安全又划分为:身份验证信息管理、交易异常处理。客户端软件安全又划分为:数据有效性校验、页面回退清除敏感信息机制、反编译、客户端软件完整性、运行时安全。通信安全又划分为:网络通讯协议、抗抵赖。

《条码支付安全技术规范（试行）》文中的受理终端安全需符合银发〔2017〕21号2的规定及《条码支付受理终端技术规范（试行）》的相关要求。

《条码支付安全技术规范（试行）》文中交易安全的基本安全要符合银发〔2016〕170号3的规定及JR/T 01494中的相关要求。交易安全除了基本安全要求以外还包含了:码制、数据录入、数据访问、数据存储、数据传输、条码生成、条码识读与解析、交易验证与确认、交易风险控制及交易过程安全共计11大板块。其中的条码生成又划分为:基本要求、收款扫码、付款扫码。交易过程安全又可以划分为:交易报文安全（银办发〔2016〕222号）5、风险识别与干预、交易监控、客户与商户教育。

图1条码支付安全技术规范（试行）架构

—3条码支付受理终端技术体系概述—

《条码支付受理终端技术规范（试行）》中的显码设备技术要求主要包括了:数据要求、条码表现要求。其中数据要求又可以划分为:正确性、规范性、码制。条码表现要求又可以划分为:外形、颜色、介质、精度。

《条码支付受理终端技术规范（试行）》中的扫描设备技术要求主要包括了:数据要求、性能要求。其中数据要求又可以划分为:准确性、规范性（GB 18030—2005）6。性能要求又可以划分为:精度、识别速度、出错率。

《条码支付受理终端技术规范（试行）》中的安全性技术要求应符合《条码支付安全技术规范（试行）》中的相关要求，在PIN输入设备中应符合JR/T 0120.57，受理终端应符合JR/T 0120.1、JR/T 0120.2等的相关要求。涉及支付敏感信息的还应符合银发〔2016〕170号的要求8。

《条码支付受理终端技术规范（试行）》中的适应性技术要求主要包括了:电源适应能力、接口、环境适应性及可靠性技术。其中的环境适应性要求又可以划分为:气候环境适应性、光照环境适应性。

《条码支付受理终端技术规范（试行）》中的可靠性技术要求主要是对无故障工作时间来衡量产品的可靠性，并要求无故障工作时间不少于15000小时。

图2条码支付受理终端技术规范（试行）架构

—4参考文献—

1 GB/T 22239—2008信息安全技术信息系统安全等级保护基本要求

2银发〔2017〕21号中国人民银行关于强化银行卡受理终端安全管理的通知

3银发〔2016〕170号中国人民银行关于进一步加强银行卡风险管理的通知

4 JR/T 0149—2016中国金融移动支付支付标记化技术规范

5银办发〔2016〕222号中国人民银行办公厅关于印发《网络支付报文结构及要素技术规范（V1.0）》的通知

6 GB18030—2005信息技术中文编码字符集

7 JR/T 0120—2016银行卡受理终端安全规范

8银发〔2016〕170号中国人民银行关于进一步加强银行卡风险管理的通知