安全只有做成體系才有可控之力
2016年10月27-28日,由SCA聯(lián)盟主辦,工信部泰爾實(shí)驗室、銀行卡檢測中心(BCTC)和中國金融認(rèn)證中心(CFCA)共同支持的“2016移動安全技術(shù)商業(yè)模式論壇”圓滿結(jié)束。兩天會議由SCA聯(lián)盟創(chuàng)始人丁寧先生主持,會議共吸引來自16個領(lǐng)域的200多位參會者參與。本次會議主要的討論重點(diǎn)是移動領(lǐng)域的安全技術(shù)商業(yè)模式,其中,中國工程院院士倪光南,特別就“加快推進(jìn)網(wǎng)絡(luò)技術(shù)自主創(chuàng)新”課題做了深入的解讀,讓在座聽眾清晰的了解我國發(fā)展網(wǎng)絡(luò)信息事業(yè)的指導(dǎo)思想:“安全是發(fā)展的前提,發(fā)展是安全的保障,安全和發(fā)展要同步推進(jìn)?!眱?nèi)容中還指出:“2016年7月,中國境內(nèi)感染網(wǎng)絡(luò)病毒的終端數(shù)為近265萬個,近200萬個IP地址對應(yīng)的主機(jī)被木馬或僵尸程序控制,65萬余個主機(jī)IP感染“飛客”蠕蟲。2014年,美國戰(zhàn)略與國際問題研究中心發(fā)布報告,稱全球每年因網(wǎng)絡(luò)經(jīng)濟(jì)犯罪造成的損失高達(dá)4450億美元,其中損失最大的三家是美國、德國、中國,損失金額分別為1000億美元、600億美元、450億美元?!蹦咴菏恐赋觯骸拔覀儜?yīng)當(dāng)排除干擾,在習(xí)主席“批示”的指引下,發(fā)揚(yáng)我國能集中力量辦大事的優(yōu)勢,加大自主創(chuàng)新力度,使國家“網(wǎng)絡(luò)信息領(lǐng)域核心技術(shù)設(shè)備攻堅戰(zhàn)略”所規(guī)定的包括操作系統(tǒng)在內(nèi)各個項目的“研發(fā)和應(yīng)用取得重大突破”?!?/p>
圖:中國工程院院士 倪光南 會中做精彩分享
2天的會議,總共有來自14家企事業(yè)單位的16位演講嘉賓出席做與移動安全商業(yè)模式有關(guān)的主題進(jìn)行演講,這些主題包括:
自主可控的信息安全發(fā)展之路(中國工程院院士倪光南)
打造符合國內(nèi)/國際EAL安全認(rèn)證要求的安全產(chǎn)品(SCA聯(lián)盟)
萬物互聯(lián)時代下對eSIM的思考(中國移動研究院)
eSIM技術(shù)及測試研究(工信部信通院泰爾實(shí)驗室)
移動蜂窩物聯(lián)網(wǎng)演進(jìn)技術(shù)及產(chǎn)業(yè)探索(中國聯(lián)通網(wǎng)絡(luò)技術(shù)研究院)
攜手物聯(lián)產(chǎn)業(yè),共享智能未來(中國電信物聯(lián)網(wǎng)運(yùn)營中心)
物聯(lián)網(wǎng)應(yīng)用部署的挑戰(zhàn)與安全性探討
隱私數(shù)據(jù)的前世今生(中國金融認(rèn)證中心)
基于智能穿戴設(shè)備的認(rèn)證和支付應(yīng)用探討(北京握奇數(shù)據(jù))
堅持自主可控,發(fā)展智能手機(jī)安全產(chǎn)業(yè)(中國網(wǎng)安)
移動終端的身份驗證與安全防范(高通無線)
條碼支付安全風(fēng)險與防范(銀行卡檢測中心)
如何解決TEE的碎片化問題?(Trustonic)
做大TEE產(chǎn)業(yè)蛋糕——OTrP開放信任協(xié)議搭建的可信應(yīng)用管理平臺(OTrP)
窄帶物聯(lián)網(wǎng)(NBIoT)最新發(fā)展和應(yīng)用及安全需求探討(工信部信通院泰爾實(shí)驗室)
移動互聯(lián)網(wǎng)/物聯(lián)網(wǎng)下的安全技術(shù)發(fā)展方向
圖:SCA聯(lián)盟創(chuàng)始人 丁寧 主持會議
會議期間,觀眾踴躍發(fā)言與演講嘉賓進(jìn)行互動,得到了自己關(guān)心的內(nèi)容和想要的信息,為參會者做下一步服務(wù)或者產(chǎn)品,起到了一定的參考作用。
圖:參會嘉賓積極互動
圖:參會嘉賓積極互動
會議中演講者提到很多精彩的內(nèi)容,本文截取部分內(nèi)容以飼讀者:
要做隱私數(shù)據(jù)保護(hù),必然要先了解個人敏感信息是什么,你才能針對性的保護(hù)起來。那么個人敏感信息是什么?一段遭到破壞或者修改,會對識別的個人信息主體造成不良影響的個人信息,各行業(yè)可以根據(jù)自己的內(nèi)容,各行業(yè)根據(jù)個人敏感信息的具體內(nèi)容,根據(jù)受服務(wù)的個人信息主體意愿,然后或者根據(jù)各自業(yè)務(wù)特點(diǎn)確定,基本包括,身份證號、手機(jī)號、種族、政治、宗教信仰、基因、指紋。個人一般信息也就是排他法,除個人敏感信息以外的就是個人信息,來自GB/Z8828-2012,信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個人信息保護(hù)指南,這個標(biāo)準(zhǔn)已經(jīng)發(fā)布了,是我國關(guān)于信息保護(hù)的第一個國家層面的標(biāo)準(zhǔn),對后續(xù)工作有很大指導(dǎo)性。
認(rèn)證與支付工具的演進(jìn)趨勢:平臺化:隨著手機(jī)性能和安全性能的提升,手機(jī)逐漸演變?yōu)榘踩脚_和應(yīng)用平臺;應(yīng)用化(去硬件化):各種認(rèn)證支付工具成為手機(jī)上的一種軟件應(yīng)用程序
智能穿戴設(shè)備,是繼手機(jī)之后的另一個安全平臺和多應(yīng)用平臺,隨著智能穿戴設(shè)備能力的提升,以及安全能力的構(gòu)建,就可以去承載更多的應(yīng)用。第二,智能穿戴設(shè)備可以作為獨(dú)立的認(rèn)證和支付設(shè)備,具有更高的安全性。第三點(diǎn)是從這個權(quán)威調(diào)研來看,除了健康運(yùn)動之外,甚至支付功能都是用戶的認(rèn)可非常高的,基本上排到第三位的水平。
有嘉賓指出,加密手機(jī)主要是于特種和高端商務(wù)領(lǐng)域,以通信安全為重點(diǎn),比如說加密語音、短信、視頻信息,主要是通信安全為主,比如說我們中國網(wǎng)安,長時間就在從事這個加密手機(jī)的研發(fā),那么我們近期也是在關(guān)注安全手機(jī)的工作,同時也有一些相關(guān)的成果,那么這個確實(shí)它的市場需求相對比較小,也是在推廣的時候受到很多的制約,研究難度比較大,周期比較長,標(biāo)準(zhǔn)化程度也比較低,很難以形成產(chǎn)業(yè)鏈。同時也是采用定制化研發(fā)生產(chǎn)模式,周期比較長,更新也比較慢,成本高。
自主可控智能安全手機(jī)方面,嘉賓有一個分析,SE雖然安全性比較好,性價比高,但是也存在一些問題,一方面它的資源是受限的,應(yīng)用也是相應(yīng)受到限制,那么TEE通用性比較好,具有比較高的安全性,但是由于缺乏硬件環(huán)境的支撐,那么它還是存在一定的安全的風(fēng)險,在部分應(yīng)用領(lǐng)域應(yīng)用受到限制,我們認(rèn)為就是要融合國產(chǎn)自主可控的SE芯片和TEE軟件,打造平臺化的智能手機(jī)安全平臺。這樣的平臺就可以廣泛的應(yīng)用于各種智能安全手機(jī)的研發(fā)和生產(chǎn),這種模式具有安全性好,性價比高,通用性強(qiáng),研發(fā)周期短這些特點(diǎn),又能滿足大多數(shù)用戶多樣化安全的需求,也是發(fā)展自主可控智能手機(jī)安全產(chǎn)業(yè)的有效途徑。
信息安全領(lǐng)域,安全和商業(yè)應(yīng)用永遠(yuǎn)要達(dá)到一個平衡,隱私數(shù)據(jù)也是如此,所以關(guān)于數(shù)據(jù)的話,從技術(shù)層面來考慮,還是要進(jìn)行分級,你要有核心,然后逐步的擴(kuò)展到外圍,核心是要重點(diǎn)保護(hù),外圍可以放一放,公開的保證它的完整性就可以,從法律法規(guī)角度來講個人數(shù)據(jù)保護(hù)這一部分,我國其實(shí)有很多的動作和規(guī)劃,關(guān)于動作和標(biāo)準(zhǔn)不是一蹴而就的,需要一些時間,目前已經(jīng)在做。
國內(nèi)公司和國際標(biāo)準(zhǔn)接軌上,專家認(rèn)為首先是考慮清楚商業(yè)模式是什么,要了解這個是什么產(chǎn)品,對社會帶來什么樣的回饋,然后在價值觀基礎(chǔ)上,把想做的產(chǎn)品或者服務(wù)進(jìn)行鋪墊,這樣產(chǎn)品才有競爭力。
另外有專家認(rèn)為在與國際標(biāo)準(zhǔn)接軌或者走向國際市場上,國內(nèi)存在著幾方面的挑戰(zhàn):第一,國際化人才短缺,從而導(dǎo)致與國際市場溝通上出現(xiàn)障礙,深入研究和交流上也有短板;第二,在國際市場中的話語權(quán)不高,這可能也有第一點(diǎn)方面的原因影響;第三,國內(nèi)公司的創(chuàng)新性還相對較少,這樣就很難成體系,因此受到國際市場的認(rèn)可度不高。
(以上這些僅是小部分會議觀點(diǎn),更多內(nèi)容SCA聯(lián)盟會員及參會者可以得到全面的總結(jié)報告及會議資料下載。)