翁正軍:做好IC卡產(chǎn)品安全檢測(cè) 致力于信息安全保障
620)this.style.width=620;" border=0>
翁正軍副主任
【編者按】在IC卡大量普及的同時(shí),IC卡應(yīng)用過(guò)程中的安全問(wèn)題也日益突現(xiàn),加上行業(yè)應(yīng)用需求的不同、企業(yè)間的技術(shù)差異、不同IC卡產(chǎn)品信息安全水平良莠不齊,引起了不少的糾紛,阻礙了IC卡進(jìn)一步良性地發(fā)展,由IC卡信息安全引起的潛在風(fēng)險(xiǎn)和不良后果將難以估計(jì)。因此,一個(gè)第三方的權(quán)威IC卡產(chǎn)品信息安全檢測(cè)機(jī)構(gòu)的存在至關(guān)重要,國(guó)家金卡工程IC卡產(chǎn)品信息安全測(cè)評(píng)中心應(yīng)運(yùn)而生,就中心成立的情況和智能卡安全方面的一些問(wèn)題,本刊對(duì)中心常務(wù)副主任翁正軍進(jìn)行了專訪。
《卡市場(chǎng)》:首先對(duì)IC卡產(chǎn)品信息安全測(cè)評(píng)中心的成立表示祝賀,請(qǐng)您就中心的成立背景以及意義進(jìn)行一下介紹。
翁主任:國(guó)家金卡工程IC卡產(chǎn)品信息安全測(cè)評(píng)中心由國(guó)家金卡工程協(xié)調(diào)領(lǐng)導(dǎo)小組辦公室授權(quán)信息產(chǎn)業(yè)部計(jì)算機(jī)安全技術(shù)檢測(cè)中心組建成立,是從事IC卡產(chǎn)品信息安全測(cè)評(píng)的專業(yè)機(jī)構(gòu)。信息產(chǎn)業(yè)部計(jì)算機(jī)安全技術(shù)檢測(cè)中心(以下簡(jiǎn)稱中心)成立于1998年,是信息產(chǎn)業(yè)部最早成立的專門從事信息安全技術(shù)服務(wù)的檢測(cè)機(jī)構(gòu),同時(shí),也是中國(guó)合格評(píng)定國(guó)家認(rèn)可委員會(huì)認(rèn)可的第三方檢測(cè)實(shí)驗(yàn)室及檢查機(jī)構(gòu)。2008年,中心被中國(guó)國(guó)家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)指定為第一批信息安全產(chǎn)品強(qiáng)制性認(rèn)證檢測(cè)實(shí)驗(yàn)室,開展信息安全產(chǎn)品強(qiáng)制性認(rèn)證測(cè)評(píng)工作。國(guó)家金卡辦授權(quán)中心開展IC卡及相關(guān)產(chǎn)品的信息安全測(cè)評(píng)和咨詢服務(wù),旨在充分利用中心現(xiàn)有技術(shù)優(yōu)勢(shì)和測(cè)評(píng)能力,通過(guò)對(duì)IC卡產(chǎn)品的信息安全測(cè)評(píng),提高IC卡產(chǎn)品的安全技術(shù)和安全保障能力,同時(shí),協(xié)助國(guó)家金卡辦對(duì)國(guó)家金卡工程全國(guó)IC卡市場(chǎng)進(jìn)行監(jiān)管和指導(dǎo)工作。
在《國(guó)家金卡工程全國(guó)IC卡應(yīng)用(2008-2013年)發(fā)展規(guī)劃》中明確要求,要加強(qiáng)IC卡產(chǎn)品及其應(yīng)用系統(tǒng)的安全測(cè)評(píng)認(rèn)證,確保IC卡使用的安全;在 IC卡產(chǎn)品設(shè)計(jì)與生產(chǎn)過(guò)程中建立安全控制及產(chǎn)品檢測(cè)體系;積極采取技術(shù)測(cè)評(píng)和技術(shù)評(píng)估等有效措施,減少IC卡應(yīng)用中的信息安全風(fēng)險(xiǎn);不斷提高IC各類產(chǎn)品的信息安全水平,建立與國(guó)際標(biāo)準(zhǔn)接軌的IC卡信息安全測(cè)評(píng)技術(shù)標(biāo)準(zhǔn)、分級(jí)評(píng)估體系和IC卡信息安全測(cè)評(píng)認(rèn)證體系。
積極開展針對(duì)IC卡產(chǎn)品的信息安全測(cè)評(píng),其意義主要體現(xiàn)在以下幾個(gè)方面:
首先,通過(guò)對(duì)IC卡產(chǎn)品的信息安全檢測(cè),為金卡辦提供國(guó)內(nèi)外IC卡產(chǎn)品信息安全的第一手資料,便于金卡辦對(duì)各個(gè)行業(yè)大卡進(jìn)行監(jiān)管和指導(dǎo),規(guī)范IC卡市場(chǎng)。
其次,通過(guò)對(duì)IC卡產(chǎn)品的信息安全測(cè)評(píng),可以將國(guó)際公認(rèn)的一些信息安全標(biāo)準(zhǔn)引入國(guó)內(nèi),引導(dǎo)國(guó)內(nèi)企業(yè)規(guī)范生產(chǎn)研發(fā)過(guò)程中的程序控制,促進(jìn)其將信息安全的理念滲透到產(chǎn)品設(shè)計(jì)開發(fā)的各個(gè)環(huán)節(jié),使得IC卡產(chǎn)品的安全技術(shù)和安全保障能力隨著發(fā)展不斷的提高。另外,按照國(guó)際標(biāo)準(zhǔn)要求進(jìn)行運(yùn)作,對(duì)于國(guó)內(nèi)企業(yè)走出國(guó)門,占領(lǐng)國(guó)際市場(chǎng)也具有重要的戰(zhàn)略意義。
第三,通過(guò)對(duì)IC卡產(chǎn)品的信息安全測(cè)評(píng),可以為行業(yè)用戶提供客觀、公平、公正的第三方的檢測(cè)報(bào)告,以便于用戶合理的選擇產(chǎn)品,降低選型風(fēng)險(xiǎn),提供服務(wù)質(zhì)量,維護(hù)用戶的利益。
由此可見,對(duì)IC卡產(chǎn)品進(jìn)行信息安全性測(cè)評(píng)對(duì)于我國(guó)IC卡行業(yè)的發(fā)展有著重要的保障意義和指導(dǎo)意義,這也是國(guó)家金卡工程IC卡應(yīng)用工作的重要組成部分。
《卡市場(chǎng)》:中心的主要職責(zé)是什么?日后將怎樣開展工作?
翁主任:中心的職責(zé)是協(xié)助國(guó)家金卡辦對(duì)全國(guó)IC卡市場(chǎng)進(jìn)行監(jiān)督和指導(dǎo)工作,為金卡辦提供國(guó)內(nèi)外IC卡產(chǎn)品信息安全的第一手資料,以便于金卡辦對(duì)各個(gè)行業(yè)大卡進(jìn)行監(jiān)管和指導(dǎo),規(guī)范IC卡市場(chǎng);
同時(shí),繼續(xù)深入研究和跟蹤IC卡技術(shù)發(fā)展,通過(guò)開展對(duì)IC卡產(chǎn)品的信息安全測(cè)評(píng),引導(dǎo)國(guó)內(nèi)企業(yè)規(guī)范生產(chǎn)研發(fā)過(guò)程中的程序控制,促進(jìn)其將信息安全的理念灌輸?shù)疆a(chǎn)品設(shè)計(jì)開發(fā)及生產(chǎn)的各個(gè)環(huán)節(jié),以提高IC卡產(chǎn)品的安全技術(shù)和安全保障能力。對(duì)于國(guó)內(nèi)企業(yè)走出國(guó)門,占領(lǐng)國(guó)際市場(chǎng)具有重要的戰(zhàn)略意義;
為行業(yè)用戶提供科學(xué)、客觀、公平、公正的第三方的檢測(cè)報(bào)告,以便用戶合理的選擇產(chǎn)品,降低選型風(fēng)險(xiǎn),提高服務(wù)質(zhì)量,保證終端用戶的利益。
中心日后將圍繞《國(guó)家金卡工程全國(guó)IC卡應(yīng)用(2008-2013年)發(fā)展規(guī)劃》要求,加強(qiáng)IC卡產(chǎn)品及其應(yīng)用系統(tǒng)的安全測(cè)評(píng)認(rèn)證工作;在國(guó)家金卡辦對(duì)IC卡市場(chǎng)的監(jiān)管和指導(dǎo)工作中做好輔助和技術(shù)支持工作;協(xié)助金卡辦做好實(shí)施監(jiān)管工作中的具體技術(shù)工作。
中心在IC卡及相關(guān)產(chǎn)品的信息安全技術(shù)與標(biāo)準(zhǔn)上進(jìn)行了多年的研究和跟蹤,在IC卡及相關(guān)產(chǎn)品的信息安全測(cè)評(píng)及咨詢服務(wù)方面有豐富的經(jīng)驗(yàn),業(yè)務(wù)范圍覆蓋了SIM卡、UIM卡和PIM卡等多種類型的卡產(chǎn)品及相關(guān)應(yīng)用領(lǐng)域。
中心在開展信息技術(shù)及產(chǎn)品測(cè)評(píng)的同時(shí),在IC卡產(chǎn)品測(cè)評(píng)方面,可依據(jù)國(guó)家信息安全產(chǎn)品強(qiáng)制認(rèn)證目錄要求,對(duì)智能卡COS產(chǎn)品開展信息安全EAL4增強(qiáng)級(jí)強(qiáng)制認(rèn)證測(cè)評(píng)。同時(shí),也可針對(duì)其它IC卡產(chǎn)品,包括IC卡芯片、智能卡COS、IC卡讀寫器、POS機(jī)、IC卡應(yīng)用系統(tǒng)等開展自愿性委托信息安全測(cè)評(píng)服務(wù)。
《卡市場(chǎng)》:國(guó)家金卡工程IC卡產(chǎn)品信息安全測(cè)評(píng)中心成立后,除了IC卡產(chǎn)品的信息安全檢測(cè),還有哪些工作職能?
翁主任:我中心開展的測(cè)評(píng)服務(wù)范圍涵蓋以下幾方面:
(1)提供IC卡產(chǎn)品安全性測(cè)評(píng)服務(wù)。
可依據(jù)國(guó)家信息安全產(chǎn)品強(qiáng)制認(rèn)證目錄要求,對(duì)智能卡COS 產(chǎn)品開展信息安全EAL4增強(qiáng)級(jí)強(qiáng)制認(rèn)證測(cè)評(píng)。同時(shí),也可針對(duì)其它IC卡產(chǎn)品,包括IC卡芯片、智能卡COS、IC卡讀寫器、POS機(jī)、IC卡應(yīng)用系統(tǒng)等開展自愿性委托的信息安全測(cè)評(píng)服務(wù)。
我中心所開展的IC卡檢測(cè)從測(cè)試方法、測(cè)評(píng)內(nèi)容以及側(cè)重面上都與其它IC卡檢測(cè)機(jī)構(gòu)有所不同,注重對(duì)IC卡產(chǎn)品進(jìn)行信息安全測(cè)評(píng),在對(duì)產(chǎn)品進(jìn)行測(cè)試的同時(shí),還要對(duì)產(chǎn)品研發(fā)及生產(chǎn)過(guò)程中的信息安全保證能力進(jìn)行綜合評(píng)估。
(2)提供信息安全產(chǎn)品強(qiáng)制性認(rèn)證測(cè)評(píng)服務(wù)。
依據(jù)相關(guān)標(biāo)準(zhǔn),對(duì)信息安全產(chǎn)品提供強(qiáng)制性認(rèn)證測(cè)評(píng)服務(wù)。
目前列入第一批信息安全產(chǎn)品強(qiáng)制性認(rèn)證目錄的有8類共13款產(chǎn)品。
(3)除上述服務(wù)外,中心主要業(yè)務(wù)范圍有以下三大類:
測(cè)評(píng)服務(wù)項(xiàng)目主要包括:產(chǎn)品測(cè)評(píng)(功能、性能、安全性測(cè)評(píng))、軟件測(cè)試(軟件各生命周期及源代碼安全檢測(cè))、信息系統(tǒng)測(cè)評(píng)(方案評(píng)審、安全評(píng)估、風(fēng)險(xiǎn)評(píng)估、等級(jí)保護(hù)、安全測(cè)試、性能測(cè)試、驗(yàn)收測(cè)試)、定制測(cè)試(選型測(cè)試、隨機(jī)數(shù)檢測(cè)、按用戶需求測(cè)試)、比對(duì)測(cè)試(設(shè)備比對(duì)、人員能力比對(duì))、行業(yè)監(jiān)督抽查檢測(cè)等;
檢查服務(wù)項(xiàng)目主要包括:信息安全保證等級(jí)評(píng)估檢查、信息安全管理核查、信息系統(tǒng)安全工程能力成熟度核查;
咨詢及培訓(xùn)服務(wù)項(xiàng)目主要包括:信息安全技術(shù)咨詢及培訓(xùn)、信息安全標(biāo)準(zhǔn)咨詢及培訓(xùn)、信息安全管理咨詢及培訓(xùn)、軟件技術(shù)培訓(xùn)、IC卡分級(jí)測(cè)評(píng)咨詢及培訓(xùn) 。
《卡市場(chǎng)》:智能卡是信息安全領(lǐng)域的重要環(huán)節(jié),智能卡安全還存在著哪些隱患?
翁主任:隨著智能卡應(yīng)用的飛速發(fā)展,智能卡安全問(wèn)題日益突出,重要性日益顯著。目前,智能卡安全方面主要存在以下隱患:
1. 針對(duì)智能卡的物理攻擊。通常是指對(duì)芯片的分析和攻擊,這往往需要一定的專門設(shè)備和較高的專業(yè)技能,攻擊成本較高。
2. 針對(duì)智能卡的邏輯攻擊。位于智能卡存儲(chǔ)器中的操作系統(tǒng)和嵌入式軟件,往往是智能卡安全功能和應(yīng)用的主要部分,相對(duì)而言,其攻擊成本較低,是最易受到攻擊威脅的部分。
3. 針對(duì)智能卡生命周期中漏洞。智能卡的安全需要從整體把握,包括從設(shè)計(jì)開發(fā)、制造測(cè)試、個(gè)人化、交付使用等,其生命周期的各個(gè)環(huán)節(jié)的安全漏洞都會(huì)造成應(yīng)用中的隱患。
《卡市場(chǎng)》:對(duì)于我國(guó)的智能卡產(chǎn)業(yè)發(fā)展,您是怎樣看待的,有著哪些優(yōu)勢(shì)和不足?在安全方面,您認(rèn)為我國(guó)的智能卡企業(yè)與國(guó)外發(fā)達(dá)國(guó)家相比,還存在著哪些不足?
翁主任:我國(guó)的智能卡產(chǎn)業(yè)起步相對(duì)較晚,在智能卡相關(guān)標(biāo)準(zhǔn)和技術(shù)以及應(yīng)用上都還需要更多的積累和提高。智能卡本身又是一種集合多門專業(yè)技術(shù)于一體的產(chǎn)品,其包含微電子、半導(dǎo)體、計(jì)算機(jī)、通信、密碼等多門技術(shù)。其中部分核心技術(shù)仍受制于國(guó)外發(fā)達(dá)國(guó)家壟斷企業(yè),這對(duì)我國(guó)智能卡產(chǎn)業(yè)的長(zhǎng)期健康發(fā)展不利;另外還存在著產(chǎn)業(yè)的規(guī)劃和管理工作滯后于應(yīng)用發(fā)展,跨行業(yè)的“一卡多用”試點(diǎn)工作進(jìn)展緩慢等問(wèn)題。但是我國(guó)的智能卡產(chǎn)業(yè)發(fā)展迅速,已成為全球最重要的智能卡應(yīng)用組成部分之一,相應(yīng)的標(biāo)準(zhǔn)和技術(shù)的研發(fā)已得到很高的重視,并在金卡工程的指導(dǎo)下正穩(wěn)步向前發(fā)展。
在安全方面,國(guó)內(nèi)的智能卡企業(yè)與國(guó)外發(fā)達(dá)國(guó)家相比還有不小的差距。國(guó)外的智能卡安全技術(shù)以及安全認(rèn)證體系都有相當(dāng)?shù)陌l(fā)展歷史,他們的智能卡產(chǎn)品從芯片的設(shè)計(jì)到制造封裝,到嵌入式軟件的注入和測(cè)試,到交付用戶使用以及最后收回等,都在相應(yīng)的安全體系的保障控制之下,其產(chǎn)品在國(guó)家安全認(rèn)證機(jī)構(gòu)授權(quán)測(cè)試實(shí)驗(yàn)室進(jìn)行嚴(yán)格的測(cè)試。因此,在安全技術(shù)和安全體系保障建設(shè)上,國(guó)內(nèi)智能卡企業(yè)都還需要進(jìn)一步加大前進(jìn)步伐。
《卡市場(chǎng)》:您認(rèn)為日后我們應(yīng)該如何去改進(jìn)這些不足?這其中,企業(yè)應(yīng)該起到一個(gè)什么樣的作用,注意哪些問(wèn)題?
翁主任:智能卡產(chǎn)業(yè)的發(fā)展迅速,已經(jīng)成為國(guó)民經(jīng)濟(jì)發(fā)展的重要經(jīng)濟(jì)增長(zhǎng)點(diǎn),智能卡產(chǎn)業(yè)穩(wěn)健和諧的發(fā)展有著重要的意義。國(guó)家已經(jīng)出臺(tái)相應(yīng)的信息安全產(chǎn)品認(rèn)證制度,針對(duì)智能卡產(chǎn)品的信息安全要求也在陸續(xù)出臺(tái),旨在幫助企業(yè)更好的建立起信息安全體系和更高安全級(jí)別的產(chǎn)品,為企業(yè)和用戶提供更安全的智能卡產(chǎn)品。同時(shí),企業(yè)也需要加強(qiáng)技術(shù)的研發(fā)和安全體系的建設(shè),堅(jiān)持走技術(shù)自主創(chuàng)新之路,共同打造安全的國(guó)內(nèi)智能卡應(yīng)用環(huán)境。
智能卡企業(yè)在發(fā)展的同時(shí)應(yīng)加強(qiáng)聯(lián)合,積極探索知識(shí)產(chǎn)權(quán)應(yīng)對(duì)體系,加強(qiáng)在核心技術(shù)的研制和標(biāo)準(zhǔn)方面的參與合作,積極參與國(guó)際市場(chǎng),同時(shí)注意規(guī)避風(fēng)險(xiǎn),利用法律和制度保護(hù)自己合法利益。
翁正軍副主任簡(jiǎn)介:
高級(jí)工程師,信息產(chǎn)業(yè)部計(jì)算機(jī)安全技術(shù)檢測(cè)中心(國(guó)家金卡工程IC卡產(chǎn)品信息安全測(cè)評(píng)中心)常務(wù)副主任,曾任信息產(chǎn)業(yè)部太極聯(lián)合實(shí)驗(yàn)室副主任。主要研究領(lǐng)域?yàn)橛?jì)算機(jī)網(wǎng)絡(luò)與信息安全測(cè)評(píng)技術(shù)、軟件開發(fā)與測(cè)評(píng)、IC卡產(chǎn)品安全測(cè)評(píng)?,F(xiàn)為國(guó)家金卡工程安全工作組副組長(zhǎng)、全國(guó)信息安全標(biāo)準(zhǔn)委員會(huì)信息安全評(píng)估工作組(WG5)成員、信息安全產(chǎn)品認(rèn)證目錄、標(biāo)準(zhǔn)與規(guī)則專項(xiàng)工作組成員、中國(guó)合格評(píng)定國(guó)家認(rèn)可委員會(huì)實(shí)驗(yàn)室與檢查機(jī)構(gòu)主任評(píng)審員。