中國電子銀行網(wǎng)訊 2017年1月10日�,“北京商用密碼行業(yè)協(xié)會2016年度年會”于北京長峰假日酒店舉行,協(xié)會會長郭寶安�、中科院院士倪光南�����、北京市密碼管理局局長許博春等領(lǐng)導(dǎo)及專家出席并講話�。會議還頒發(fā)了協(xié)會各榮譽獎項�,并倡導(dǎo)商密企業(yè)簽署了“北京商用密碼行業(yè)協(xié)會推進商密應(yīng)用自律公約”。
在下午進行的技術(shù)論壇環(huán)節(jié)��,中國金融認證中心(CFCA)軟件評測中心的杜志棟���,分享了“密碼軟件測試技術(shù)與質(zhì)量保證”等軟件測評領(lǐng)域內(nèi)容�,他表示:密碼測評技術(shù)對于提高我國對密碼算法和密碼產(chǎn)品安全隱患的發(fā)現(xiàn)能力��,保障我國密碼算法和密碼產(chǎn)品的安全性��、先進性具有重要的現(xiàn)實意義���。
以下為杜志棟的演講實錄:
各位來賓����、下午好:
我來自中國金融認證中心軟件評測中心�,俗話說“三句話不離老本行”,我今天介紹下與密碼�����、測評有關(guān)的內(nèi)容——“密碼軟件測試技術(shù)與質(zhì)量保證”。
主要分為三部分內(nèi)容:密碼軟件測評介紹���、CFCA軟件測評服務(wù)介紹和CFCA信息安全服務(wù)介紹�。
首先���、密碼技術(shù)是信息安全領(lǐng)域的核心技術(shù)���,它能有效解決信息的保密性�、完整性以及真實性問題。密碼技術(shù)的規(guī)范����、有效管理對推進我國信息化進程具有重大意義。
密碼測評技術(shù)是信息安全測評的重要內(nèi)容�,它是構(gòu)建國家信息安全測評認證體系的基礎(chǔ),也是指導(dǎo)密碼技術(shù)產(chǎn)品和密碼系統(tǒng)安全測評的有效手段��。
密碼測評技術(shù)對于提高我國對密碼算法和密碼產(chǎn)品安全隱患的發(fā)現(xiàn)能力����,保障我國密碼算法和密碼產(chǎn)品的安全性���、先進性具有重要的現(xiàn)實意義。
以上是密碼測評的一個背景介紹���,按照測評內(nèi)容的不同��,密碼測評體系主要分為三個層次:密碼算法測評���、密碼模塊測評和密碼系統(tǒng)評估。密碼算法測評的主要對象是底層的密碼算法���,如分組算法����、序列算法�����、公鑰算法�;實現(xiàn)了密碼算法的密碼模塊是密碼評測的第二層內(nèi)容,密碼模塊有硬件實現(xiàn)�、軟件實現(xiàn)、或軟硬件混合實現(xiàn)等方式����;實現(xiàn)了多個密碼模塊的密碼系統(tǒng)是評測體系的第三層內(nèi)容���。由于密碼系統(tǒng)最終會由其他應(yīng)用所使用,所以密碼系統(tǒng)的評估對于信息安全��、應(yīng)用系統(tǒng)穩(wěn)定也有重要的意義���。
密碼算法測評現(xiàn)有的技術(shù)存在一些問題:如檢測方法過多地集中于黑盒式測試�;缺乏有效的白盒測試方法���;密碼分析的自動化程度偏低��,主要還是使用人工測試為主;檢測方法存在著大量冗余檢測��,很多檢測方法存在重疊�����,檢測效率較低�����;算法評估缺乏科學(xué)有效的評估模型與機制,無法有效的評估密碼算法是否合規(guī)是否安全���。我們密碼算法測評的研究也主要是研究這些問題的解決方法�����,主要的研究內(nèi)容有:1�����、白盒密碼算法測評研究,開展查找表技術(shù)��、插入擾亂項技術(shù)����、多變量密碼等技術(shù)的研究���。2���、檢測方法相關(guān)性分析研究,研究各類現(xiàn)有檢測方法,分析其關(guān)聯(lián)性����,提高檢測效率�。3�、密碼分析自動化研究,通過執(zhí)行程序語言編寫的測試腳本自動地實施密碼測試。4��、評估模型��、密碼檢測指標(biāo)研究,形成密碼評估檢測標(biāo)準(zhǔn)�����,為密碼算法的合理評估提供科學(xué)依據(jù)與量化指標(biāo)�。
關(guān)于密碼模塊的測評研究,我們主要集中在密碼模塊的自動化檢測技術(shù)方面��,主要包括密碼模塊實現(xiàn)正確性檢驗����、實現(xiàn)安全性檢驗以及實現(xiàn)效率檢測等內(nèi)容。密碼模塊自動化檢測工具平臺的研制可直接為相關(guān)測評機構(gòu)的實際評估工作提供科學(xué)的參考數(shù)據(jù)���,從而提高對密碼產(chǎn)品安全隱患的發(fā)現(xiàn)能力。
密碼系統(tǒng)評估技術(shù)研究,可以使用一個金字塔模型來概括:(一)研究適合于密碼系統(tǒng)的風(fēng)險評估原理和模型�����;(二)研究能夠反映密碼系統(tǒng)安全性需求的指標(biāo)體系,包括評估準(zhǔn)則��、風(fēng)險指標(biāo)體系的建立等����;(三)研究密碼系統(tǒng)的評估方法和密碼系統(tǒng)安全風(fēng)險管理;(四)研究密碼系統(tǒng)評估的原型系統(tǒng)設(shè)計與實現(xiàn)等內(nèi)容���;最終達到金字塔的頂端:形成完善的密碼系統(tǒng)評估準(zhǔn)則��;合理的密碼系統(tǒng)評估流程�����;實用的密碼系統(tǒng)評估方法�。概括的講就是“四個層次三個目標(biāo)”����。
密碼測評的研究具有重要的現(xiàn)實意義:1、提高密碼測評的基礎(chǔ)理論水平:增強對密碼測評基礎(chǔ)理論與關(guān)鍵技術(shù)的研究支持���。提高我國密碼測評的基礎(chǔ)理論水平����,從根本上提升我國檢測認證工作的先進性。2���、增強對密碼測評標(biāo)準(zhǔn)規(guī)范的研究與相關(guān)工作的制定:密碼檢測系列標(biāo)準(zhǔn)規(guī)范�����,它將為密碼算法和密碼產(chǎn)品測評的合理化���、規(guī)范化提供重要的共性技術(shù)支撐。3��、增強對密碼測評自動化工具與平臺的研究支持:研制密碼測評工具平臺將大大提高測評效率����,增強檢測健壯性,也將有效促進密碼測評技術(shù)在信息安全領(lǐng)域的應(yīng)用����。4、增強密碼測評人才隊伍的建設(shè):密碼檢測認證人員將成為信息安全從業(yè)人員的重要組成部分
第二部分內(nèi)容我簡單介紹下我們CFCA在軟件測評領(lǐng)域的一些服務(wù)內(nèi)容:
中金軟件評測中心��,即中金北航軟件聯(lián)合測評實驗室�����,是“中國金融認證中心”與“北京航空航天大學(xué)”強強聯(lián)合創(chuàng)立的軟件科研與工程服務(wù)機構(gòu)���。中心通過打造軟件測評和軟件工程的窗口單位��,促進軟件評測及軟件工程化的創(chuàng)新發(fā)展�����,推動金融及相關(guān)行業(yè)軟件質(zhì)量的提升���。我們現(xiàn)在重點建設(shè)了三個子實驗室:移動智能終端APP檢測認證實驗室、銀行信息系統(tǒng)檢測試驗數(shù)字靶場����、測試技術(shù)研發(fā)訓(xùn)練實驗室,下面我詳細介紹下相關(guān)情況�����。
移動智能終端APP檢測認證實驗室���,是以APP生態(tài)鏈各角色為核心的特色服務(wù)的實驗室����。實驗室自主研發(fā)了移動智能終端APP檢測平臺,擁有500款手機真機�����。主要能提供:應(yīng)用系統(tǒng)適配性測試�����、靜態(tài)分析���、人工走查��、性能測試���、崩潰分析、功能測試���、用戶體驗測試�����、可靠性測試���、專項測試�����、支持系統(tǒng)適配性測試、智能卡適配性測試等內(nèi)容��。
銀行信息系統(tǒng)檢測試驗數(shù)字靶場:使我們從一家真實的銀行系統(tǒng)引入的一套模擬測試系統(tǒng)�����,可以說得上是最全面的銀行系統(tǒng)應(yīng)用�、最真實的銀行測試系統(tǒng),我們有志于在其基礎(chǔ)上打造一個最完善的銀行測試系統(tǒng)培訓(xùn)體系�。為銀行業(yè)測試培養(yǎng)業(yè)務(wù)人才、技術(shù)人才����。
測試技術(shù)研發(fā)訓(xùn)練實驗室是以測試研發(fā)、測試技術(shù)訓(xùn)練為核心的實驗室�����,實驗室依托高校����,自主研發(fā)�,有深厚的理論研究作為支撐����;依托測評中心,有豐富的測試實踐作為需求驅(qū)動���,形成了“單元 – 系統(tǒng)”全過程工具鏈體系�。
CFCA現(xiàn)在對外提供的軟件測試�,從技術(shù)上講主要是第三方軟件測試服務(wù),包括靜態(tài)測試����、動態(tài)測試、黑盒測試����、白盒測試以及按照過程劃分的單元測試、集成測試��、系統(tǒng)測試和驗收測試�����。從測試服務(wù)角度講主要有八個專項測評服務(wù):移動平臺APP測評服務(wù)、軟件可靠性服務(wù)��、選型驗證測評服務(wù)��、軟件科技成果測試�、嵌入式系統(tǒng)測評服務(wù)、國密算法測評服務(wù)��、系統(tǒng)驗收測評服務(wù)���、性能測試服務(wù)等內(nèi)容。
第三部分���,主要向各位嘉賓介紹下CFCA提供的信息安全服務(wù):從監(jiān)管合規(guī)角度講���,主要提供電子銀行安全評估、安全等級保護測評�、上線前評估、客戶端安全監(jiān)測���、安全芯片等認證檢測這五方面的安全測評服務(wù)�����。
信息安全服務(wù)更全局的講��,主要有技術(shù)支持類和管理咨詢類兩類大的服務(wù)內(nèi)容�。技術(shù)支持類主要包括:第三方認證合規(guī)類服務(wù)、安全通報與應(yīng)急響應(yīng)服務(wù)��、產(chǎn)品安全檢測類服務(wù)�����、第二方評估類服務(wù)及網(wǎng)站安全監(jiān)控類服務(wù)��。管理咨詢類主要包括信息安全類咨詢服務(wù)和業(yè)務(wù)安全類咨詢服務(wù)��。
最后是CFCA目前擁有的資質(zhì)介紹��,在此列舉一部分:例如傳統(tǒng)的電子認證類資質(zhì)證書���、ISO9001質(zhì)量管理體系認證證書�����、信息安全服務(wù)資質(zhì)證書�、CNAS檢查機構(gòu)認可證書、CMMI能力成熟度認定證書�、信息系統(tǒng)集成及服務(wù)資質(zhì)。
最后真誠的希望與各位同行企業(yè)開展交流和合作��,謝謝大家�����!
