日前,国家金卡工程IC卡产品信息安全测评中心在北京成立,其成立引起了社会各界的广泛关注,因为在IC卡应用越来越广泛的同时,IC卡信息安全问题也日益突出,要把好安全关,第三方测评是最重要的一道“关卡”。
50亿张IC卡走进各领域
截止到2007年,我国IC卡发卡总量已突破50亿张。国家金卡工程协调领导小组办公室主任张琪表示,未来5年是金卡工程建设向更广领域纵深发展的关键阶段,也是金卡工程以人为本进一步涉及民生、普惠大众的阶段,特别是国家金卡工程智能IC卡新型应用及RFID电子标签应用试点工作的启动,使金卡工程建设突破了原来以部门(大行业)IC卡应用和城市信息化建设为重点应用领域的范围,迅速扩展到工农业生产第一线;从以政府部门的电子政务及业务管理为重点,扩展到对物品(含人、动物)的实时、动态、可追溯的信息管理。其应用范围更广、更贴近生产力,并直接涉及民生、服务于百姓、服务于基层,对减少和化解不安定因素,构建社会主义和谐社会发挥着日益重要的作用。
在国内,伴随着金卡工程走过的15年历程,在政府部门的大力推动和行业厂商的积极配合下,中国的IC卡应用已经深入到各个领域。二代身份证项目的深入、公交领域的一卡多用、税控收款机的全国推广、广电领域IC卡配合机顶盒的应用、数字奥运项目的推进、学生证项目的酝酿等为中国的IC卡市场带来了发展机遇。
在国际市场上,据智能卡供应商联盟Eurosmart统计和预测,2007年全球IC卡出货量达42.85亿张,预计2008年将达47.55亿张。
安全问题开始显现
在IC卡应用越来越广泛的同时,IC卡信息安全问题也日益突出。IC卡在很多应用中都为系统提供身份识别功能,因此,一旦IC卡被人为破坏或复制,除对持卡人会造成损失外,对发卡组织的整个应用系统也会造成不良影响甚至造成巨大经济损失。例如,在2005年6月,美国爆发了有史以来最严重的信用卡资料泄密事件,在4000万张“疑似泄密卡”中约有20万张卡被人伪造并盗刷。
部分企业忽视IC卡产品中的安全功能规范要求,将安全性严重缺失的产品低价投放市场,对带来的安全隐患俨然不顾。另外,在一些金融支付领域应用中,IC卡中存储着重要的金融数据,如果数据被篡改或卡与读卡器、读卡器与后台应用系统间的通信数据被窃取或篡改,后果将非常严重。这些潜在威胁的存在,小则对该系统的应用造成经济损失,大则会威胁国家的金融安全。
张琪说:“我们在充分享受信息技术带来的众多实惠的同时,也正在饱尝由其引发的信息安全挑战。在国家金卡工程建设中,无论是银行卡,还是各大行业发行的智能IC卡以及新的RFID应用,其安全防范方面的缺陷和漏洞都不容忽视。在当今的网络化社会,安全隐患的影响往往是跨部门、跨地区,甚至是国际化的,我们必须整体考虑信息安全。如何确保信息产品的自身安全,即物理安全,确保数据存储和交换的正确性,确保网络通信的安全性以及信息系统的安全和信息内容、资源的可信,始终是信息安全体系建设的重点。”
建立完善的安全保障体系,需要不断增强IC卡产品的安全性。安全问题无小事,它直接关系到IC卡产业发展的前途,甚至经济秩序的和谐。
第三方测评为安全把关
为了解决IC产品应用中的安全问题,无论是IC卡产品的生产企业还是最终用户,都希望能在原有IC卡物理特性及基本功能测试的基础上,由第三方的权威机构对IC卡产品的安全性进行测评,以确定该产品是否满足应用需求。因此,国家亟待建立IC卡应用安全体系和信息安全测评体系。
积极开展针对IC卡产品的信息安全测评意义重大。首先,通过对IC卡产品的信息安全检测,为金卡办提供国内外IC卡产品信息安全的第一手资料,便于金卡办对各行业卡进行监管和指导,规范IC卡市场。其次,通过对IC卡产品的信息安全测评,可以将国际公认的一些信息安全标准引入国内,引导国内企业规范生产研发过程中的程序控制,促进其将信息安全的理念渗透到产品设计开发的各个环节,使IC卡产品的安全技术和安全保障能力不断提高。另外,对于国内企业走出国门,占领国际市场也具有重要的战略意义。第三,通过对IC卡产品的信息安全测评,可以为行业用户提供客观、公平、公正的第三方的检测报告,以便于用户选择产品,降低选型风险,提供服务质量,维护用户的利益。“IC卡产品信息安全测评中心的成立,是国家金卡工程加强信息安全工作的重要举措,也是确保金卡工程健康、有序、持续发展的关键所在。”张琪说,“国家金卡办授权中心开展IC卡及相关产品的信息安全测评和咨询服务,旨在充分利用中心现有的技术优势和测评能力,通过对IC卡产品的信息安全测评,提高IC卡产品的安全技术和安全保障能力。”
据悉,该中心在信息技术及产品测评方面覆盖的业务范围包括:信息安全产品强制性认证测评、网络设备性能测试、软件测试(包括软件生命周期各阶段测试及源代码安全检测)、信息系统测评(包括风险评估和信息安全等级保护)、产品选型测试、设备和人员能力比对测试、行业监督抽查测试,以及安全管理核查和相关技术及标准的咨询和培训。