omniture

CFCA杜志棟:密碼測評可提升我國密碼產(chǎn)品安全性

2017-01-11 17:56

中國電子銀行網(wǎng)訊 2017年1月10日,“北京商用密碼行業(yè)協(xié)會2016年度年會”于北京長峰假日酒店舉行,協(xié)會會長郭寶安、中科院院士倪光南、北京市密碼管理局局長許博春等領(lǐng)導(dǎo)及專家出席并講話。會議還頒發(fā)了協(xié)會各榮譽獎項,并倡導(dǎo)商密企業(yè)簽署了“北京商用密碼行業(yè)協(xié)會推進商密應(yīng)用自律公約”。

CFCA杜志棟:密碼測評可提升我國密碼產(chǎn)品安全性

  在下午進行的技術(shù)論壇環(huán)節(jié),中國金融認(rèn)證中心(CFCA)軟件評測中心的杜志棟,分享了“密碼軟件測試技術(shù)與質(zhì)量保證”等軟件測評領(lǐng)域內(nèi)容,他表示:密碼測評技術(shù)對于提高我國對密碼算法和密碼產(chǎn)品安全隱患的發(fā)現(xiàn)能力,保障我國密碼算法和密碼產(chǎn)品的安全性、先進性具有重要的現(xiàn)實意義。

  以下為杜志棟的演講實錄:

  各位來賓、下午好:

  我來自中國金融認(rèn)證中心軟件評測中心,俗話說“三句話不離老本行”,我今天介紹下與密碼、測評有關(guān)的內(nèi)容——“密碼軟件測試技術(shù)與質(zhì)量保證”。

  主要分為三部分內(nèi)容:密碼軟件測評介紹、CFCA軟件測評服務(wù)介紹和CFCA信息安全服務(wù)介紹。

  首先、密碼技術(shù)是信息安全領(lǐng)域的核心技術(shù),它能有效解決信息的保密性、完整性以及真實性問題。密碼技術(shù)的規(guī)范、有效管理對推進我國信息化進程具有重大意義。

  密碼測評技術(shù)是信息安全測評的重要內(nèi)容,它是構(gòu)建國家信息安全測評認(rèn)證體系的基礎(chǔ),也是指導(dǎo)密碼技術(shù)產(chǎn)品和密碼系統(tǒng)安全測評的有效手段。

  密碼測評技術(shù)對于提高我國對密碼算法和密碼產(chǎn)品安全隱患的發(fā)現(xiàn)能力,保障我國密碼算法和密碼產(chǎn)品的安全性、先進性具有重要的現(xiàn)實意義。

  以上是密碼測評的一個背景介紹,按照測評內(nèi)容的不同,密碼測評體系主要分為三個層次:密碼算法測評、密碼模塊測評和密碼系統(tǒng)評估。密碼算法測評的主要對象是底層的密碼算法,如分組算法、序列算法、公鑰算法;實現(xiàn)了密碼算法的密碼模塊是密碼評測的第二層內(nèi)容,密碼模塊有硬件實現(xiàn)、軟件實現(xiàn)、或軟硬件混合實現(xiàn)等方式;實現(xiàn)了多個密碼模塊的密碼系統(tǒng)是評測體系的第三層內(nèi)容。由于密碼系統(tǒng)最終會由其他應(yīng)用所使用,所以密碼系統(tǒng)的評估對于信息安全、應(yīng)用系統(tǒng)穩(wěn)定也有重要的意義。

  密碼算法測評現(xiàn)有的技術(shù)存在一些問題:如檢測方法過多地集中于黑盒式測試;缺乏有效的白盒測試方法;密碼分析的自動化程度偏低,主要還是使用人工測試為主;檢測方法存在著大量冗余檢測,很多檢測方法存在重疊,檢測效率較低;算法評估缺乏科學(xué)有效的評估模型與機制,無法有效的評估密碼算法是否合規(guī)是否安全。我們密碼算法測評的研究也主要是研究這些問題的解決方法,主要的研究內(nèi)容有:1、白盒密碼算法測評研究,開展查找表技術(shù)、插入擾亂項技術(shù)、多變量密碼等技術(shù)的研究。2、檢測方法相關(guān)性分析研究,研究各類現(xiàn)有檢測方法,分析其關(guān)聯(lián)性,提高檢測效率。3、密碼分析自動化研究,通過執(zhí)行程序語言編寫的測試腳本自動地實施密碼測試。4、評估模型、密碼檢測指標(biāo)研究,形成密碼評估檢測標(biāo)準(zhǔn),為密碼算法的合理評估提供科學(xué)依據(jù)與量化指標(biāo)。

  關(guān)于密碼模塊的測評研究,我們主要集中在密碼模塊的自動化檢測技術(shù)方面,主要包括密碼模塊實現(xiàn)正確性檢驗、實現(xiàn)安全性檢驗以及實現(xiàn)效率檢測等內(nèi)容。密碼模塊自動化檢測工具平臺的研制可直接為相關(guān)測評機構(gòu)的實際評估工作提供科學(xué)的參考數(shù)據(jù),從而提高對密碼產(chǎn)品安全隱患的發(fā)現(xiàn)能力。

  密碼系統(tǒng)評估技術(shù)研究,可以使用一個金字塔模型來概括:(一)研究適合于密碼系統(tǒng)的風(fēng)險評估原理和模型;(二)研究能夠反映密碼系統(tǒng)安全性需求的指標(biāo)體系,包括評估準(zhǔn)則、風(fēng)險指標(biāo)體系的建立等;(三)研究密碼系統(tǒng)的評估方法和密碼系統(tǒng)安全風(fēng)險管理;(四)研究密碼系統(tǒng)評估的原型系統(tǒng)設(shè)計與實現(xiàn)等內(nèi)容;最終達到金字塔的頂端:形成完善的密碼系統(tǒng)評估準(zhǔn)則;合理的密碼系統(tǒng)評估流程;實用的密碼系統(tǒng)評估方法。概括的講就是“四個層次三個目標(biāo)”。

  密碼測評的研究具有重要的現(xiàn)實意義:1、提高密碼測評的基礎(chǔ)理論水平:增強對密碼測評基礎(chǔ)理論與關(guān)鍵技術(shù)的研究支持。提高我國密碼測評的基礎(chǔ)理論水平,從根本上提升我國檢測認(rèn)證工作的先進性。2、增強對密碼測評標(biāo)準(zhǔn)規(guī)范的研究與相關(guān)工作的制定:密碼檢測系列標(biāo)準(zhǔn)規(guī)范,它將為密碼算法和密碼產(chǎn)品測評的合理化、規(guī)范化提供重要的共性技術(shù)支撐。3、增強對密碼測評自動化工具與平臺的研究支持:研制密碼測評工具平臺將大大提高測評效率,增強檢測健壯性,也將有效促進密碼測評技術(shù)在信息安全領(lǐng)域的應(yīng)用。4、增強密碼測評人才隊伍的建設(shè):密碼檢測認(rèn)證人員將成為信息安全從業(yè)人員的重要組成部分

  第二部分內(nèi)容我簡單介紹下我們CFCA在軟件測評領(lǐng)域的一些服務(wù)內(nèi)容:

  中金軟件評測中心,即中金北航軟件聯(lián)合測評實驗室,是“中國金融認(rèn)證中心”與“北京航空航天大學(xué)”強強聯(lián)合創(chuàng)立的軟件科研與工程服務(wù)機構(gòu)。中心通過打造軟件測評和軟件工程的窗口單位,促進軟件評測及軟件工程化的創(chuàng)新發(fā)展,推動金融及相關(guān)行業(yè)軟件質(zhì)量的提升。我們現(xiàn)在重點建設(shè)了三個子實驗室:移動智能終端APP檢測認(rèn)證實驗室、銀行信息系統(tǒng)檢測試驗數(shù)字靶場、測試技術(shù)研發(fā)訓(xùn)練實驗室,下面我詳細(xì)介紹下相關(guān)情況。

  移動智能終端APP檢測認(rèn)證實驗室,是以APP生態(tài)鏈各角色為核心的特色服務(wù)的實驗室。實驗室自主研發(fā)了移動智能終端APP檢測平臺,擁有500款手機真機。主要能提供:應(yīng)用系統(tǒng)適配性測試、靜態(tài)分析、人工走查、性能測試、崩潰分析、功能測試、用戶體驗測試、可靠性測試、專項測試、支持系統(tǒng)適配性測試、智能卡適配性測試等內(nèi)容。

  銀行信息系統(tǒng)檢測試驗數(shù)字靶場:使我們從一家真實的銀行系統(tǒng)引入的一套模擬測試系統(tǒng),可以說得上是最全面的銀行系統(tǒng)應(yīng)用、最真實的銀行測試系統(tǒng),我們有志于在其基礎(chǔ)上打造一個最完善的銀行測試系統(tǒng)培訓(xùn)體系。為銀行業(yè)測試培養(yǎng)業(yè)務(wù)人才、技術(shù)人才。

  測試技術(shù)研發(fā)訓(xùn)練實驗室是以測試研發(fā)、測試技術(shù)訓(xùn)練為核心的實驗室,實驗室依托高校,自主研發(fā),有深厚的理論研究作為支撐;依托測評中心,有豐富的測試實踐作為需求驅(qū)動,形成了“單元 – 系統(tǒng)”全過程工具鏈體系。

  CFCA現(xiàn)在對外提供的軟件測試,從技術(shù)上講主要是第三方軟件測試服務(wù),包括靜態(tài)測試、動態(tài)測試、黑盒測試、白盒測試以及按照過程劃分的單元測試、集成測試、系統(tǒng)測試和驗收測試。從測試服務(wù)角度講主要有八個專項測評服務(wù):移動平臺APP測評服務(wù)、軟件可靠性服務(wù)、選型驗證測評服務(wù)、軟件科技成果測試、嵌入式系統(tǒng)測評服務(wù)、國密算法測評服務(wù)、系統(tǒng)驗收測評服務(wù)、性能測試服務(wù)等內(nèi)容。

  第三部分,主要向各位嘉賓介紹下CFCA提供的信息安全服務(wù):從監(jiān)管合規(guī)角度講,主要提供電子銀行安全評估、安全等級保護測評、上線前評估、客戶端安全監(jiān)測、安全芯片等認(rèn)證檢測這五方面的安全測評服務(wù)。

  信息安全服務(wù)更全局的講,主要有技術(shù)支持類和管理咨詢類兩類大的服務(wù)內(nèi)容。技術(shù)支持類主要包括:第三方認(rèn)證合規(guī)類服務(wù)、安全通報與應(yīng)急響應(yīng)服務(wù)、產(chǎn)品安全檢測類服務(wù)、第二方評估類服務(wù)及網(wǎng)站安全監(jiān)控類服務(wù)。管理咨詢類主要包括信息安全類咨詢服務(wù)和業(yè)務(wù)安全類咨詢服務(wù)。

  最后是CFCA目前擁有的資質(zhì)介紹,在此列舉一部分:例如傳統(tǒng)的電子認(rèn)證類資質(zhì)證書、ISO9001質(zhì)量管理體系認(rèn)證證書、信息安全服務(wù)資質(zhì)證書、CNAS檢查機構(gòu)認(rèn)可證書、CMMI能力成熟度認(rèn)定證書、信息系統(tǒng)集成及服務(wù)資質(zhì)。

  最后真誠的希望與各位同行企業(yè)開展交流和合作,謝謝大家!

消息來源:中國電子銀行網(wǎng)