登錄
注冊
翁正軍:做好IC卡產品安全檢測 致力于信息安全保障
620)this.style.width=620;" border=0>
翁正軍副主任
【編者按】在IC卡大量普及的同時,IC卡應用過程中的安全問題也日益突現,加上行業應用需求的不同、企業間的技術差異、不同IC卡產品信息安全水平良莠不齊,引起了不少的糾紛,阻礙了IC卡進一步良性地發展,由IC卡信息安全引起的潛在風險和不良后果將難以估計。因此,一個第三方的權威IC卡產品信息安全檢測機構的存在至關重要,國家金卡工程IC卡產品信息安全測評中心應運而生,就中心成立的情況和智能卡安全方面的一些問題,本刊對中心常務副主任翁正軍進行了專訪。
《卡市場》:首先對IC卡產品信息安全測評中心的成立表示祝賀,請您就中心的成立背景以及意義進行一下介紹。
翁主任:國家金卡工程IC卡產品信息安全測評中心由國家金卡工程協調領導小組辦公室授權信息產業部計算機安全技術檢測中心組建成立,是從事IC卡產品信息安全測評的專業機構。信息產業部計算機安全技術檢測中心(以下簡稱中心)成立于1998年,是信息產業部最早成立的專門從事信息安全技術服務的檢測機構,同時,也是中國合格評定國家認可委員會認可的第三方檢測實驗室及檢查機構。2008年,中心被中國國家認證認可監督管理委員會指定為第一批信息安全產品強制性認證檢測實驗室,開展信息安全產品強制性認證測評工作。國家金卡辦授權中心開展IC卡及相關產品的信息安全測評和咨詢服務,旨在充分利用中心現有技術優勢和測評能力,通過對IC卡產品的信息安全測評,提高IC卡產品的安全技術和安全保障能力,同時,協助國家金卡辦對國家金卡工程全國IC卡市場進行監管和指導工作。
在《國家金卡工程全國IC卡應用(2008-2013年)發展規劃》中明確要求,要加強IC卡產品及其應用系統的安全測評認證,確保IC卡使用的安全;在 IC卡產品設計與生產過程中建立安全控制及產品檢測體系;積極采取技術測評和技術評估等有效措施,減少IC卡應用中的信息安全風險;不斷提高IC各類產品的信息安全水平,建立與國際標準接軌的IC卡信息安全測評技術標準、分級評估體系和IC卡信息安全測評認證體系。
積極開展針對IC卡產品的信息安全測評,其意義主要體現在以下幾個方面:
首先,通過對IC卡產品的信息安全檢測,為金卡辦提供國內外IC卡產品信息安全的第一手資料,便于金卡辦對各個行業大卡進行監管和指導,規范IC卡市場。
其次,通過對IC卡產品的信息安全測評,可以將國際公認的一些信息安全標準引入國內,引導國內企業規范生產研發過程中的程序控制,促進其將信息安全的理念滲透到產品設計開發的各個環節,使得IC卡產品的安全技術和安全保障能力隨著發展不斷的提高。另外,按照國際標準要求進行運作,對于國內企業走出國門,占領國際市場也具有重要的戰略意義。
第三,通過對IC卡產品的信息安全測評,可以為行業用戶提供客觀、公平、公正的第三方的檢測報告,以便于用戶合理的選擇產品,降低選型風險,提供服務質量,維護用戶的利益。
由此可見,對IC卡產品進行信息安全性測評對于我國IC卡行業的發展有著重要的保障意義和指導意義,這也是國家金卡工程IC卡應用工作的重要組成部分。
《卡市場》:中心的主要職責是什么?日后將怎樣開展工作?
翁主任:中心的職責是協助國家金卡辦對全國IC卡市場進行監督和指導工作,為金卡辦提供國內外IC卡產品信息安全的第一手資料,以便于金卡辦對各個行業大卡進行監管和指導,規范IC卡市場;
同時,繼續深入研究和跟蹤IC卡技術發展,通過開展對IC卡產品的信息安全測評,引導國內企業規范生產研發過程中的程序控制,促進其將信息安全的理念灌輸到產品設計開發及生產的各個環節,以提高IC卡產品的安全技術和安全保障能力。對于國內企業走出國門,占領國際市場具有重要的戰略意義;
為行業用戶提供科學、客觀、公平、公正的第三方的檢測報告,以便用戶合理的選擇產品,降低選型風險,提高服務質量,保證終端用戶的利益。
中心日后將圍繞《國家金卡工程全國IC卡應用(2008-2013年)發展規劃》要求,加強IC卡產品及其應用系統的安全測評認證工作;在國家金卡辦對IC卡市場的監管和指導工作中做好輔助和技術支持工作;協助金卡辦做好實施監管工作中的具體技術工作。
中心在IC卡及相關產品的信息安全技術與標準上進行了多年的研究和跟蹤,在IC卡及相關產品的信息安全測評及咨詢服務方面有豐富的經驗,業務范圍覆蓋了SIM卡、UIM卡和PIM卡等多種類型的卡產品及相關應用領域。
中心在開展信息技術及產品測評的同時,在IC卡產品測評方面,可依據國家信息安全產品強制認證目錄要求,對智能卡COS產品開展信息安全EAL4增強級強制認證測評。同時,也可針對其它IC卡產品,包括IC卡芯片、智能卡COS、IC卡讀寫器、POS機、IC卡應用系統等開展自愿性委托信息安全測評服務。
《卡市場》:國家金卡工程IC卡產品信息安全測評中心成立后,除了IC卡產品的信息安全檢測,還有哪些工作職能?
翁主任:我中心開展的測評服務范圍涵蓋以下幾方面:
(1)提供IC卡產品安全性測評服務。
可依據國家信息安全產品強制認證目錄要求,對智能卡COS 產品開展信息安全EAL4增強級強制認證測評。同時,也可針對其它IC卡產品,包括IC卡芯片、智能卡COS、IC卡讀寫器、POS機、IC卡應用系統等開展自愿性委托的信息安全測評服務。
我中心所開展的IC卡檢測從測試方法、測評內容以及側重面上都與其它IC卡檢測機構有所不同,注重對IC卡產品進行信息安全測評,在對產品進行測試的同時,還要對產品研發及生產過程中的信息安全保證能力進行綜合評估。
(2)提供信息安全產品強制性認證測評服務。
依據相關標準,對信息安全產品提供強制性認證測評服務。
目前列入第一批信息安全產品強制性認證目錄的有8類共13款產品。
(3)除上述服務外,中心主要業務范圍有以下三大類:
測評服務項目主要包括:產品測評(功能、性能、安全性測評)、軟件測試(軟件各生命周期及源代碼安全檢測)、信息系統測評(方案評審、安全評估、風險評估、等級保護、安全測試、性能測試、驗收測試)、定制測試(選型測試、隨機數檢測、按用戶需求測試)、比對測試(設備比對、人員能力比對)、行業監督抽查檢測等;
檢查服務項目主要包括:信息安全保證等級評估檢查、信息安全管理核查、信息系統安全工程能力成熟度核查;
咨詢及培訓服務項目主要包括:信息安全技術咨詢及培訓、信息安全標準咨詢及培訓、信息安全管理咨詢及培訓、軟件技術培訓、IC卡分級測評咨詢及培訓 。
《卡市場》:智能卡是信息安全領域的重要環節,智能卡安全還存在著哪些隱患?
翁主任:隨著智能卡應用的飛速發展,智能卡安全問題日益突出,重要性日益顯著。目前,智能卡安全方面主要存在以下隱患:
1. 針對智能卡的物理攻擊。通常是指對芯片的分析和攻擊,這往往需要一定的專門設備和較高的專業技能,攻擊成本較高。
2. 針對智能卡的邏輯攻擊。位于智能卡存儲器中的操作系統和嵌入式軟件,往往是智能卡安全功能和應用的主要部分,相對而言,其攻擊成本較低,是最易受到攻擊威脅的部分。
3. 針對智能卡生命周期中漏洞。智能卡的安全需要從整體把握,包括從設計開發、制造測試、個人化、交付使用等,其生命周期的各個環節的安全漏洞都會造成應用中的隱患。
《卡市場》:對于我國的智能卡產業發展,您是怎樣看待的,有著哪些優勢和不足?在安全方面,您認為我國的智能卡企業與國外發達國家相比,還存在著哪些不足?
翁主任:我國的智能卡產業起步相對較晚,在智能卡相關標準和技術以及應用上都還需要更多的積累和提高。智能卡本身又是一種集合多門專業技術于一體的產品,其包含微電子、半導體、計算機、通信、密碼等多門技術。其中部分核心技術仍受制于國外發達國家壟斷企業,這對我國智能卡產業的長期健康發展不利;另外還存在著產業的規劃和管理工作滯后于應用發展,跨行業的“一卡多用”試點工作進展緩慢等問題。但是我國的智能卡產業發展迅速,已成為全球最重要的智能卡應用組成部分之一,相應的標準和技術的研發已得到很高的重視,并在金卡工程的指導下正穩步向前發展。
在安全方面,國內的智能卡企業與國外發達國家相比還有不小的差距。國外的智能卡安全技術以及安全認證體系都有相當的發展歷史,他們的智能卡產品從芯片的設計到制造封裝,到嵌入式軟件的注入和測試,到交付用戶使用以及最后收回等,都在相應的安全體系的保障控制之下,其產品在國家安全認證機構授權測試實驗室進行嚴格的測試。因此,在安全技術和安全體系保障建設上,國內智能卡企業都還需要進一步加大前進步伐。
《卡市場》:您認為日后我們應該如何去改進這些不足?這其中,企業應該起到一個什么樣的作用,注意哪些問題?
翁主任:智能卡產業的發展迅速,已經成為國民經濟發展的重要經濟增長點,智能卡產業穩健和諧的發展有著重要的意義。國家已經出臺相應的信息安全產品認證制度,針對智能卡產品的信息安全要求也在陸續出臺,旨在幫助企業更好的建立起信息安全體系和更高安全級別的產品,為企業和用戶提供更安全的智能卡產品。同時,企業也需要加強技術的研發和安全體系的建設,堅持走技術自主創新之路,共同打造安全的國內智能卡應用環境。
智能卡企業在發展的同時應加強聯合,積極探索知識產權應對體系,加強在核心技術的研制和標準方面的參與合作,積極參與國際市場,同時注意規避風險,利用法律和制度保護自己合法利益。
翁正軍副主任簡介:
高級工程師,信息產業部計算機安全技術檢測中心(國家金卡工程IC卡產品信息安全測評中心)常務副主任,曾任信息產業部太極聯合實驗室副主任。主要研究領域為計算機網絡與信息安全測評技術、軟件開發與測評、IC卡產品安全測評。現為國家金卡工程安全工作組副組長、全國信息安全標準委員會信息安全評估工作組(WG5)成員、信息安全產品認證目錄、標準與規則專項工作組成員、中國合格評定國家認可委員會實驗室與檢查機構主任評審員。
