620)this.style.width=620;" border=0>
翁正军副主任
【编者按】在IC卡大量普及的同时,IC卡应用过程中的安全问题也日益突现,加上行业应用需求的不同、企业间的技术差异、不同IC卡产品信息安全水平良莠不齐,引起了不少的纠纷,阻碍了IC卡进一步良性地发展,由IC卡信息安全引起的潜在风险和不良后果将难以估计。因此,一个第三方的权威IC卡产品信息安全检测机构的存在至关重要,国家金卡工程IC卡产品信息安全测评中心应运而生,就中心成立的情况和智能卡安全方面的一些问题,本刊对中心常务副主任翁正军进行了专访。
《卡市场》:首先对IC卡产品信息安全测评中心的成立表示祝贺,请您就中心的成立背景以及意义进行一下介绍。
翁主任:国家金卡工程IC卡产品信息安全测评中心由国家金卡工程协调领导小组办公室授权信息产业部计算机安全技术检测中心组建成立,是从事IC卡产品信息安全测评的专业机构。信息产业部计算机安全技术检测中心(以下简称中心)成立于1998年,是信息产业部最早成立的专门从事信息安全技术服务的检测机构,同时,也是中国合格评定国家认可委员会认可的第三方检测实验室及检查机构。2008年,中心被中国国家认证认可监督管理委员会指定为第一批信息安全产品强制性认证检测实验室,开展信息安全产品强制性认证测评工作。国家金卡办授权中心开展IC卡及相关产品的信息安全测评和咨询服务,旨在充分利用中心现有技术优势和测评能力,通过对IC卡产品的信息安全测评,提高IC卡产品的安全技术和安全保障能力,同时,协助国家金卡办对国家金卡工程全国IC卡市场进行监管和指导工作。
在《国家金卡工程全国IC卡应用(2008-2013年)发展规划》中明确要求,要加强IC卡产品及其应用系统的安全测评认证,确保IC卡使用的安全;在 IC卡产品设计与生产过程中建立安全控制及产品检测体系;积极采取技术测评和技术评估等有效措施,减少IC卡应用中的信息安全风险;不断提高IC各类产品的信息安全水平,建立与国际标准接轨的IC卡信息安全测评技术标准、分级评估体系和IC卡信息安全测评认证体系。
积极开展针对IC卡产品的信息安全测评,其意义主要体现在以下几个方面:
首先,通过对IC卡产品的信息安全检测,为金卡办提供国内外IC卡产品信息安全的第一手资料,便于金卡办对各个行业大卡进行监管和指导,规范IC卡市场。
其次,通过对IC卡产品的信息安全测评,可以将国际公认的一些信息安全标准引入国内,引导国内企业规范生产研发过程中的程序控制,促进其将信息安全的理念渗透到产品设计开发的各个环节,使得IC卡产品的安全技术和安全保障能力随着发展不断的提高。另外,按照国际标准要求进行运作,对于国内企业走出国门,占领国际市场也具有重要的战略意义。
第三,通过对IC卡产品的信息安全测评,可以为行业用户提供客观、公平、公正的第三方的检测报告,以便于用户合理的选择产品,降低选型风险,提供服务质量,维护用户的利益。
由此可见,对IC卡产品进行信息安全性测评对于我国IC卡行业的发展有着重要的保障意义和指导意义,这也是国家金卡工程IC卡应用工作的重要组成部分。
《卡市场》:中心的主要职责是什么?日后将怎样开展工作?
翁主任:中心的职责是协助国家金卡办对全国IC卡市场进行监督和指导工作,为金卡办提供国内外IC卡产品信息安全的第一手资料,以便于金卡办对各个行业大卡进行监管和指导,规范IC卡市场;
同时,继续深入研究和跟踪IC卡技术发展,通过开展对IC卡产品的信息安全测评,引导国内企业规范生产研发过程中的程序控制,促进其将信息安全的理念灌输到产品设计开发及生产的各个环节,以提高IC卡产品的安全技术和安全保障能力。对于国内企业走出国门,占领国际市场具有重要的战略意义;
为行业用户提供科学、客观、公平、公正的第三方的检测报告,以便用户合理的选择产品,降低选型风险,提高服务质量,保证终端用户的利益。
中心日后将围绕《国家金卡工程全国IC卡应用(2008-2013年)发展规划》要求,加强IC卡产品及其应用系统的安全测评认证工作;在国家金卡办对IC卡市场的监管和指导工作中做好辅助和技术支持工作;协助金卡办做好实施监管工作中的具体技术工作。
中心在IC卡及相关产品的信息安全技术与标准上进行了多年的研究和跟踪,在IC卡及相关产品的信息安全测评及咨询服务方面有丰富的经验,业务范围覆盖了SIM卡、UIM卡和PIM卡等多种类型的卡产品及相关应用领域。
中心在开展信息技术及产品测评的同时,在IC卡产品测评方面,可依据国家信息安全产品强制认证目录要求,对智能卡COS产品开展信息安全EAL4增强级强制认证测评。同时,也可针对其它IC卡产品,包括IC卡芯片、智能卡COS、IC卡读写器、POS机、IC卡应用系统等开展自愿性委托信息安全测评服务。
《卡市场》:国家金卡工程IC卡产品信息安全测评中心成立后,除了IC卡产品的信息安全检测,还有哪些工作职能?
翁主任:我中心开展的测评服务范围涵盖以下几方面:
(1)提供IC卡产品安全性测评服务。
可依据国家信息安全产品强制认证目录要求,对智能卡COS 产品开展信息安全EAL4增强级强制认证测评。同时,也可针对其它IC卡产品,包括IC卡芯片、智能卡COS、IC卡读写器、POS机、IC卡应用系统等开展自愿性委托的信息安全测评服务。
我中心所开展的IC卡检测从测试方法、测评内容以及侧重面上都与其它IC卡检测机构有所不同,注重对IC卡产品进行信息安全测评,在对产品进行测试的同时,还要对产品研发及生产过程中的信息安全保证能力进行综合评估。
(2)提供信息安全产品强制性认证测评服务。
依据相关标准,对信息安全产品提供强制性认证测评服务。
目前列入第一批信息安全产品强制性认证目录的有8类共13款产品。
(3)除上述服务外,中心主要业务范围有以下三大类:
测评服务项目主要包括:产品测评(功能、性能、安全性测评)、软件测试(软件各生命周期及源代码安全检测)、信息系统测评(方案评审、安全评估、风险评估、等级保护、安全测试、性能测试、验收测试)、定制测试(选型测试、随机数检测、按用户需求测试)、比对测试(设备比对、人员能力比对)、行业监督抽查检测等;
检查服务项目主要包括:信息安全保证等级评估检查、信息安全管理核查、信息系统安全工程能力成熟度核查;
咨询及培训服务项目主要包括:信息安全技术咨询及培训、信息安全标准咨询及培训、信息安全管理咨询及培训、软件技术培训、IC卡分级测评咨询及培训 。
《卡市场》:智能卡是信息安全领域的重要环节,智能卡安全还存在着哪些隐患?
翁主任:随着智能卡应用的飞速发展,智能卡安全问题日益突出,重要性日益显著。目前,智能卡安全方面主要存在以下隐患:
1. 针对智能卡的物理攻击。通常是指对芯片的分析和攻击,这往往需要一定的专门设备和较高的专业技能,攻击成本较高。
2. 针对智能卡的逻辑攻击。位于智能卡存储器中的操作系统和嵌入式软件,往往是智能卡安全功能和应用的主要部分,相对而言,其攻击成本较低,是最易受到攻击威胁的部分。
3. 针对智能卡生命周期中漏洞。智能卡的安全需要从整体把握,包括从设计开发、制造测试、个人化、交付使用等,其生命周期的各个环节的安全漏洞都会造成应用中的隐患。
《卡市场》:对于我国的智能卡产业发展,您是怎样看待的,有着哪些优势和不足?在安全方面,您认为我国的智能卡企业与国外发达国家相比,还存在着哪些不足?
翁主任:我国的智能卡产业起步相对较晚,在智能卡相关标准和技术以及应用上都还需要更多的积累和提高。智能卡本身又是一种集合多门专业技术于一体的产品,其包含微电子、半导体、计算机、通信、密码等多门技术。其中部分核心技术仍受制于国外发达国家垄断企业,这对我国智能卡产业的长期健康发展不利;另外还存在着产业的规划和管理工作滞后于应用发展,跨行业的“一卡多用”试点工作进展缓慢等问题。但是我国的智能卡产业发展迅速,已成为全球最重要的智能卡应用组成部分之一,相应的标准和技术的研发已得到很高的重视,并在金卡工程的指导下正稳步向前发展。
在安全方面,国内的智能卡企业与国外发达国家相比还有不小的差距。国外的智能卡安全技术以及安全认证体系都有相当的发展历史,他们的智能卡产品从芯片的设计到制造封装,到嵌入式软件的注入和测试,到交付用户使用以及最后收回等,都在相应的安全体系的保障控制之下,其产品在国家安全认证机构授权测试实验室进行严格的测试。因此,在安全技术和安全体系保障建设上,国内智能卡企业都还需要进一步加大前进步伐。
《卡市场》:您认为日后我们应该如何去改进这些不足?这其中,企业应该起到一个什么样的作用,注意哪些问题?
翁主任:智能卡产业的发展迅速,已经成为国民经济发展的重要经济增长点,智能卡产业稳健和谐的发展有着重要的意义。国家已经出台相应的信息安全产品认证制度,针对智能卡产品的信息安全要求也在陆续出台,旨在帮助企业更好的建立起信息安全体系和更高安全级别的产品,为企业和用户提供更安全的智能卡产品。同时,企业也需要加强技术的研发和安全体系的建设,坚持走技术自主创新之路,共同打造安全的国内智能卡应用环境。
智能卡企业在发展的同时应加强联合,积极探索知识产权应对体系,加强在核心技术的研制和标准方面的参与合作,积极参与国际市场,同时注意规避风险,利用法律和制度保护自己合法利益。
翁正军副主任简介:
高级工程师,信息产业部计算机安全技术检测中心(国家金卡工程IC卡产品信息安全测评中心)常务副主任,曾任信息产业部太极联合实验室副主任。主要研究领域为计算机网络与信息安全测评技术、软件开发与测评、IC卡产品安全测评。现为国家金卡工程安全工作组副组长、全国信息安全标准委员会信息安全评估工作组(WG5)成员、信息安全产品认证目录、标准与规则专项工作组成员、中国合格评定国家认可委员会实验室与检查机构主任评审员。