中國電子銀行網(wǎng)訊 2017年1月10日,“北京商用密碼行業(yè)協(xié)會(huì)2016年度年會(huì)”于北京長峰假日酒店舉行,協(xié)會(huì)會(huì)長郭寶安、中科院院士倪光南、北京市密碼管理局局長許博春等領(lǐng)導(dǎo)及專家出席并講話。會(huì)議還頒發(fā)了協(xié)會(huì)各榮譽(yù)獎(jiǎng)項(xiàng),并倡導(dǎo)商密企業(yè)簽署了“北京商用密碼行業(yè)協(xié)會(huì)推進(jìn)商密應(yīng)用自律公約”。
在下午進(jìn)行的技術(shù)論壇環(huán)節(jié),中國金融認(rèn)證中心(CFCA)軟件評(píng)測(cè)中心的杜志棟,分享了“密碼軟件測(cè)試技術(shù)與質(zhì)量保證”等軟件測(cè)評(píng)領(lǐng)域內(nèi)容,他表示:密碼測(cè)評(píng)技術(shù)對(duì)于提高我國對(duì)密碼算法和密碼產(chǎn)品安全隱患的發(fā)現(xiàn)能力,保障我國密碼算法和密碼產(chǎn)品的安全性、先進(jìn)性具有重要的現(xiàn)實(shí)意義。
以下為杜志棟的演講實(shí)錄:
各位來賓、下午好:
我來自中國金融認(rèn)證中心軟件評(píng)測(cè)中心,俗話說“三句話不離老本行”,我今天介紹下與密碼、測(cè)評(píng)有關(guān)的內(nèi)容——“密碼軟件測(cè)試技術(shù)與質(zhì)量保證”。
主要分為三部分內(nèi)容:密碼軟件測(cè)評(píng)介紹、CFCA軟件測(cè)評(píng)服務(wù)介紹和CFCA信息安全服務(wù)介紹。
首先、密碼技術(shù)是信息安全領(lǐng)域的核心技術(shù),它能有效解決信息的保密性、完整性以及真實(shí)性問題。密碼技術(shù)的規(guī)范、有效管理對(duì)推進(jìn)我國信息化進(jìn)程具有重大意義。
密碼測(cè)評(píng)技術(shù)是信息安全測(cè)評(píng)的重要內(nèi)容,它是構(gòu)建國家信息安全測(cè)評(píng)認(rèn)證體系的基礎(chǔ),也是指導(dǎo)密碼技術(shù)產(chǎn)品和密碼系統(tǒng)安全測(cè)評(píng)的有效手段。
密碼測(cè)評(píng)技術(shù)對(duì)于提高我國對(duì)密碼算法和密碼產(chǎn)品安全隱患的發(fā)現(xiàn)能力,保障我國密碼算法和密碼產(chǎn)品的安全性、先進(jìn)性具有重要的現(xiàn)實(shí)意義。
以上是密碼測(cè)評(píng)的一個(gè)背景介紹,按照測(cè)評(píng)內(nèi)容的不同,密碼測(cè)評(píng)體系主要分為三個(gè)層次:密碼算法測(cè)評(píng)、密碼模塊測(cè)評(píng)和密碼系統(tǒng)評(píng)估。密碼算法測(cè)評(píng)的主要對(duì)象是底層的密碼算法,如分組算法、序列算法、公鑰算法;實(shí)現(xiàn)了密碼算法的密碼模塊是密碼評(píng)測(cè)的第二層內(nèi)容,密碼模塊有硬件實(shí)現(xiàn)、軟件實(shí)現(xiàn)、或軟硬件混合實(shí)現(xiàn)等方式;實(shí)現(xiàn)了多個(gè)密碼模塊的密碼系統(tǒng)是評(píng)測(cè)體系的第三層內(nèi)容。由于密碼系統(tǒng)最終會(huì)由其他應(yīng)用所使用,所以密碼系統(tǒng)的評(píng)估對(duì)于信息安全、應(yīng)用系統(tǒng)穩(wěn)定也有重要的意義。
密碼算法測(cè)評(píng)現(xiàn)有的技術(shù)存在一些問題:如檢測(cè)方法過多地集中于黑盒式測(cè)試;缺乏有效的白盒測(cè)試方法;密碼分析的自動(dòng)化程度偏低,主要還是使用人工測(cè)試為主;檢測(cè)方法存在著大量冗余檢測(cè),很多檢測(cè)方法存在重疊,檢測(cè)效率較低;算法評(píng)估缺乏科學(xué)有效的評(píng)估模型與機(jī)制,無法有效的評(píng)估密碼算法是否合規(guī)是否安全。我們密碼算法測(cè)評(píng)的研究也主要是研究這些問題的解決方法,主要的研究內(nèi)容有:1、白盒密碼算法測(cè)評(píng)研究,開展查找表技術(shù)、插入擾亂項(xiàng)技術(shù)、多變量密碼等技術(shù)的研究。2、檢測(cè)方法相關(guān)性分析研究,研究各類現(xiàn)有檢測(cè)方法,分析其關(guān)聯(lián)性,提高檢測(cè)效率。3、密碼分析自動(dòng)化研究,通過執(zhí)行程序語言編寫的測(cè)試腳本自動(dòng)地實(shí)施密碼測(cè)試。4、評(píng)估模型、密碼檢測(cè)指標(biāo)研究,形成密碼評(píng)估檢測(cè)標(biāo)準(zhǔn),為密碼算法的合理評(píng)估提供科學(xué)依據(jù)與量化指標(biāo)。
關(guān)于密碼模塊的測(cè)評(píng)研究,我們主要集中在密碼模塊的自動(dòng)化檢測(cè)技術(shù)方面,主要包括密碼模塊實(shí)現(xiàn)正確性檢驗(yàn)、實(shí)現(xiàn)安全性檢驗(yàn)以及實(shí)現(xiàn)效率檢測(cè)等內(nèi)容。密碼模塊自動(dòng)化檢測(cè)工具平臺(tái)的研制可直接為相關(guān)測(cè)評(píng)機(jī)構(gòu)的實(shí)際評(píng)估工作提供科學(xué)的參考數(shù)據(jù),從而提高對(duì)密碼產(chǎn)品安全隱患的發(fā)現(xiàn)能力。
密碼系統(tǒng)評(píng)估技術(shù)研究,可以使用一個(gè)金字塔模型來概括:(一)研究適合于密碼系統(tǒng)的風(fēng)險(xiǎn)評(píng)估原理和模型;(二)研究能夠反映密碼系統(tǒng)安全性需求的指標(biāo)體系,包括評(píng)估準(zhǔn)則、風(fēng)險(xiǎn)指標(biāo)體系的建立等;(三)研究密碼系統(tǒng)的評(píng)估方法和密碼系統(tǒng)安全風(fēng)險(xiǎn)管理;(四)研究密碼系統(tǒng)評(píng)估的原型系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)等內(nèi)容;最終達(dá)到金字塔的頂端:形成完善的密碼系統(tǒng)評(píng)估準(zhǔn)則;合理的密碼系統(tǒng)評(píng)估流程;實(shí)用的密碼系統(tǒng)評(píng)估方法。概括的講就是“四個(gè)層次三個(gè)目標(biāo)”。
密碼測(cè)評(píng)的研究具有重要的現(xiàn)實(shí)意義:1、提高密碼測(cè)評(píng)的基礎(chǔ)理論水平:增強(qiáng)對(duì)密碼測(cè)評(píng)基礎(chǔ)理論與關(guān)鍵技術(shù)的研究支持。提高我國密碼測(cè)評(píng)的基礎(chǔ)理論水平,從根本上提升我國檢測(cè)認(rèn)證工作的先進(jìn)性。2、增強(qiáng)對(duì)密碼測(cè)評(píng)標(biāo)準(zhǔn)規(guī)范的研究與相關(guān)工作的制定:密碼檢測(cè)系列標(biāo)準(zhǔn)規(guī)范,它將為密碼算法和密碼產(chǎn)品測(cè)評(píng)的合理化、規(guī)范化提供重要的共性技術(shù)支撐。3、增強(qiáng)對(duì)密碼測(cè)評(píng)自動(dòng)化工具與平臺(tái)的研究支持:研制密碼測(cè)評(píng)工具平臺(tái)將大大提高測(cè)評(píng)效率,增強(qiáng)檢測(cè)健壯性,也將有效促進(jìn)密碼測(cè)評(píng)技術(shù)在信息安全領(lǐng)域的應(yīng)用。4、增強(qiáng)密碼測(cè)評(píng)人才隊(duì)伍的建設(shè):密碼檢測(cè)認(rèn)證人員將成為信息安全從業(yè)人員的重要組成部分
第二部分內(nèi)容我簡單介紹下我們CFCA在軟件測(cè)評(píng)領(lǐng)域的一些服務(wù)內(nèi)容:
中金軟件評(píng)測(cè)中心,即中金北航軟件聯(lián)合測(cè)評(píng)實(shí)驗(yàn)室,是“中國金融認(rèn)證中心”與“北京航空航天大學(xué)”強(qiáng)強(qiáng)聯(lián)合創(chuàng)立的軟件科研與工程服務(wù)機(jī)構(gòu)。中心通過打造軟件測(cè)評(píng)和軟件工程的窗口單位,促進(jìn)軟件評(píng)測(cè)及軟件工程化的創(chuàng)新發(fā)展,推動(dòng)金融及相關(guān)行業(yè)軟件質(zhì)量的提升。我們現(xiàn)在重點(diǎn)建設(shè)了三個(gè)子實(shí)驗(yàn)室:移動(dòng)智能終端APP檢測(cè)認(rèn)證實(shí)驗(yàn)室、銀行信息系統(tǒng)檢測(cè)試驗(yàn)數(shù)字靶場(chǎng)、測(cè)試技術(shù)研發(fā)訓(xùn)練實(shí)驗(yàn)室,下面我詳細(xì)介紹下相關(guān)情況。
移動(dòng)智能終端APP檢測(cè)認(rèn)證實(shí)驗(yàn)室,是以APP生態(tài)鏈各角色為核心的特色服務(wù)的實(shí)驗(yàn)室。實(shí)驗(yàn)室自主研發(fā)了移動(dòng)智能終端APP檢測(cè)平臺(tái),擁有500款手機(jī)真機(jī)。主要能提供:應(yīng)用系統(tǒng)適配性測(cè)試、靜態(tài)分析、人工走查、性能測(cè)試、崩潰分析、功能測(cè)試、用戶體驗(yàn)測(cè)試、可靠性測(cè)試、專項(xiàng)測(cè)試、支持系統(tǒng)適配性測(cè)試、智能卡適配性測(cè)試等內(nèi)容。
銀行信息系統(tǒng)檢測(cè)試驗(yàn)數(shù)字靶場(chǎng):使我們從一家真實(shí)的銀行系統(tǒng)引入的一套模擬測(cè)試系統(tǒng),可以說得上是最全面的銀行系統(tǒng)應(yīng)用、最真實(shí)的銀行測(cè)試系統(tǒng),我們有志于在其基礎(chǔ)上打造一個(gè)最完善的銀行測(cè)試系統(tǒng)培訓(xùn)體系。為銀行業(yè)測(cè)試培養(yǎng)業(yè)務(wù)人才、技術(shù)人才。
測(cè)試技術(shù)研發(fā)訓(xùn)練實(shí)驗(yàn)室是以測(cè)試研發(fā)、測(cè)試技術(shù)訓(xùn)練為核心的實(shí)驗(yàn)室,實(shí)驗(yàn)室依托高校,自主研發(fā),有深厚的理論研究作為支撐;依托測(cè)評(píng)中心,有豐富的測(cè)試實(shí)踐作為需求驅(qū)動(dòng),形成了“單元 – 系統(tǒng)”全過程工具鏈體系。
CFCA現(xiàn)在對(duì)外提供的軟件測(cè)試,從技術(shù)上講主要是第三方軟件測(cè)試服務(wù),包括靜態(tài)測(cè)試、動(dòng)態(tài)測(cè)試、黑盒測(cè)試、白盒測(cè)試以及按照過程劃分的單元測(cè)試、集成測(cè)試、系統(tǒng)測(cè)試和驗(yàn)收測(cè)試。從測(cè)試服務(wù)角度講主要有八個(gè)專項(xiàng)測(cè)評(píng)服務(wù):移動(dòng)平臺(tái)APP測(cè)評(píng)服務(wù)、軟件可靠性服務(wù)、選型驗(yàn)證測(cè)評(píng)服務(wù)、軟件科技成果測(cè)試、嵌入式系統(tǒng)測(cè)評(píng)服務(wù)、國密算法測(cè)評(píng)服務(wù)、系統(tǒng)驗(yàn)收測(cè)評(píng)服務(wù)、性能測(cè)試服務(wù)等內(nèi)容。
第三部分,主要向各位嘉賓介紹下CFCA提供的信息安全服務(wù):從監(jiān)管合規(guī)角度講,主要提供電子銀行安全評(píng)估、安全等級(jí)保護(hù)測(cè)評(píng)、上線前評(píng)估、客戶端安全監(jiān)測(cè)、安全芯片等認(rèn)證檢測(cè)這五方面的安全測(cè)評(píng)服務(wù)。
信息安全服務(wù)更全局的講,主要有技術(shù)支持類和管理咨詢類兩類大的服務(wù)內(nèi)容。技術(shù)支持類主要包括:第三方認(rèn)證合規(guī)類服務(wù)、安全通報(bào)與應(yīng)急響應(yīng)服務(wù)、產(chǎn)品安全檢測(cè)類服務(wù)、第二方評(píng)估類服務(wù)及網(wǎng)站安全監(jiān)控類服務(wù)。管理咨詢類主要包括信息安全類咨詢服務(wù)和業(yè)務(wù)安全類咨詢服務(wù)。
最后是CFCA目前擁有的資質(zhì)介紹,在此列舉一部分:例如傳統(tǒng)的電子認(rèn)證類資質(zhì)證書、ISO9001質(zhì)量管理體系認(rèn)證證書、信息安全服務(wù)資質(zhì)證書、CNAS檢查機(jī)構(gòu)認(rèn)可證書、CMMI能力成熟度認(rèn)定證書、信息系統(tǒng)集成及服務(wù)資質(zhì)。
最后真誠的希望與各位同行企業(yè)開展交流和合作,謝謝大家!