620)this.style.width=620;" border=0>

翁正軍副主任 

    【編者按】在IC卡大量普及的同時，IC卡應(yīng)用過程中的安全問題也日益突現(xiàn)，加上行業(yè)應(yīng)用需求的不同、企業(yè)間的技術(shù)差異、不同IC卡產(chǎn)品信息安全水平良莠不齊，引起了不少的糾紛，阻礙了IC卡進(jìn)一步良性地發(fā)展，由IC卡信息安全引起的潛在風(fēng)險和不良后果將難以估計。因此，一個第三方的權(quán)威IC卡產(chǎn)品信息安全檢測機(jī)構(gòu)的存在至關(guān)重要，國家金卡工程IC卡產(chǎn)品信息安全測評中心應(yīng)運(yùn)而生，就中心成立的情況和智能卡安全方面的一些問題，本刊對中心常務(wù)副主任翁正軍進(jìn)行了專訪。   

  《卡市場》：首先對IC卡產(chǎn)品信息安全測評中心的成立表示祝賀，請您就中心的成立背景以及意義進(jìn)行一下介紹。 

    翁主任：國家金卡工程IC卡產(chǎn)品信息安全測評中心由國家金卡工程協(xié)調(diào)領(lǐng)導(dǎo)小組辦公室授權(quán)信息產(chǎn)業(yè)部計算機(jī)安全技術(shù)檢測中心組建成立，是從事IC卡產(chǎn)品信息安全測評的專業(yè)機(jī)構(gòu)。信息產(chǎn)業(yè)部計算機(jī)安全技術(shù)檢測中心（以下簡稱中心）成立于1998年，是信息產(chǎn)業(yè)部最早成立的專門從事信息安全技術(shù)服務(wù)的檢測機(jī)構(gòu)，同時，也是中國合格評定國家認(rèn)可委員會認(rèn)可的第三方檢測實驗室及檢查機(jī)構(gòu)。2008年，中心被中國國家認(rèn)證認(rèn)可監(jiān)督管理委員會指定為第一批信息安全產(chǎn)品強(qiáng)制性認(rèn)證檢測實驗室，開展信息安全產(chǎn)品強(qiáng)制性認(rèn)證測評工作。國家金卡辦授權(quán)中心開展IC卡及相關(guān)產(chǎn)品的信息安全測評和咨詢服務(wù)，旨在充分利用中心現(xiàn)有技術(shù)優(yōu)勢和測評能力，通過對IC卡產(chǎn)品的信息安全測評，提高IC卡產(chǎn)品的安全技術(shù)和安全保障能力，同時，協(xié)助國家金卡辦對國家金卡工程全國IC卡市場進(jìn)行監(jiān)管和指導(dǎo)工作。 

    在《國家金卡工程全國IC卡應(yīng)用（2008-2013年）發(fā)展規(guī)劃》中明確要求，要加強(qiáng)IC卡產(chǎn)品及其應(yīng)用系統(tǒng)的安全測評認(rèn)證，確保IC卡使用的安全；在 IC卡產(chǎn)品設(shè)計與生產(chǎn)過程中建立安全控制及產(chǎn)品檢測體系；積極采取技術(shù)測評和技術(shù)評估等有效措施，減少IC卡應(yīng)用中的信息安全風(fēng)險；不斷提高IC各類產(chǎn)品的信息安全水平，建立與國際標(biāo)準(zhǔn)接軌的IC卡信息安全測評技術(shù)標(biāo)準(zhǔn)、分級評估體系和IC卡信息安全測評認(rèn)證體系。 

    積極開展針對IC卡產(chǎn)品的信息安全測評，其意義主要體現(xiàn)在以下幾個方面： 

    首先，通過對IC卡產(chǎn)品的信息安全檢測，為金卡辦提供國內(nèi)外IC卡產(chǎn)品信息安全的第一手資料，便于金卡辦對各個行業(yè)大卡進(jìn)行監(jiān)管和指導(dǎo)，規(guī)范IC卡市場。 

    其次，通過對IC卡產(chǎn)品的信息安全測評，可以將國際公認(rèn)的一些信息安全標(biāo)準(zhǔn)引入國內(nèi)，引導(dǎo)國內(nèi)企業(yè)規(guī)范生產(chǎn)研發(fā)過程中的程序控制，促進(jìn)其將信息安全的理念滲透到產(chǎn)品設(shè)計開發(fā)的各個環(huán)節(jié)，使得IC卡產(chǎn)品的安全技術(shù)和安全保障能力隨著發(fā)展不斷的提高。另外，按照國際標(biāo)準(zhǔn)要求進(jìn)行運(yùn)作，對于國內(nèi)企業(yè)走出國門，占領(lǐng)國際市場也具有重要的戰(zhàn)略意義。 

    第三，通過對IC卡產(chǎn)品的信息安全測評，可以為行業(yè)用戶提供客觀、公平、公正的第三方的檢測報告，以便于用戶合理的選擇產(chǎn)品，降低選型風(fēng)險，提供服務(wù)質(zhì)量，維護(hù)用戶的利益。 

    由此可見，對IC卡產(chǎn)品進(jìn)行信息安全性測評對于我國IC卡行業(yè)的發(fā)展有著重要的保障意義和指導(dǎo)意義，這也是國家金卡工程IC卡應(yīng)用工作的重要組成部分。 

    《卡市場》：中心的主要職責(zé)是什么？日后將怎樣開展工作？ 

    翁主任：中心的職責(zé)是協(xié)助國家金卡辦對全國IC卡市場進(jìn)行監(jiān)督和指導(dǎo)工作，為金卡辦提供國內(nèi)外IC卡產(chǎn)品信息安全的第一手資料，以便于金卡辦對各個行業(yè)大卡進(jìn)行監(jiān)管和指導(dǎo)，規(guī)范IC卡市場； 

    同時，繼續(xù)深入研究和跟蹤IC卡技術(shù)發(fā)展，通過開展對IC卡產(chǎn)品的信息安全測評，引導(dǎo)國內(nèi)企業(yè)規(guī)范生產(chǎn)研發(fā)過程中的程序控制，促進(jìn)其將信息安全的理念灌輸?shù)疆a(chǎn)品設(shè)計開發(fā)及生產(chǎn)的各個環(huán)節(jié)，以提高IC卡產(chǎn)品的安全技術(shù)和安全保障能力。對于國內(nèi)企業(yè)走出國門，占領(lǐng)國際市場具有重要的戰(zhàn)略意義； 

    為行業(yè)用戶提供科學(xué)、客觀、公平、公正的第三方的檢測報告，以便用戶合理的選擇產(chǎn)品，降低選型風(fēng)險，提高服務(wù)質(zhì)量，保證終端用戶的利益。 

    中心日后將圍繞《國家金卡工程全國IC卡應(yīng)用（2008-2013年）發(fā)展規(guī)劃》要求，加強(qiáng)IC卡產(chǎn)品及其應(yīng)用系統(tǒng)的安全測評認(rèn)證工作；在國家金卡辦對IC卡市場的監(jiān)管和指導(dǎo)工作中做好輔助和技術(shù)支持工作；協(xié)助金卡辦做好實施監(jiān)管工作中的具體技術(shù)工作。 

    中心在IC卡及相關(guān)產(chǎn)品的信息安全技術(shù)與標(biāo)準(zhǔn)上進(jìn)行了多年的研究和跟蹤，在IC卡及相關(guān)產(chǎn)品的信息安全測評及咨詢服務(wù)方面有豐富的經(jīng)驗，業(yè)務(wù)范圍覆蓋了SIM卡、UIM卡和PIM卡等多種類型的卡產(chǎn)品及相關(guān)應(yīng)用領(lǐng)域。 

      中心在開展信息技術(shù)及產(chǎn)品測評的同時，在IC卡產(chǎn)品測評方面，可依據(jù)國家信息安全產(chǎn)品強(qiáng)制認(rèn)證目錄要求，對智能卡COS產(chǎn)品開展信息安全EAL4增強(qiáng)級強(qiáng)制認(rèn)證測評。同時，也可針對其它IC卡產(chǎn)品，包括IC卡芯片、智能卡COS、IC卡讀寫器、POS機(jī)、IC卡應(yīng)用系統(tǒng)等開展自愿性委托信息安全測評服務(wù)。 

    《卡市場》：國家金卡工程IC卡產(chǎn)品信息安全測評中心成立后，除了IC卡產(chǎn)品的信息安全檢測，還有哪些工作職能？ 

    翁主任：我中心開展的測評服務(wù)范圍涵蓋以下幾方面： 

    （1）提供IC卡產(chǎn)品安全性測評服務(wù)。 

    可依據(jù)國家信息安全產(chǎn)品強(qiáng)制認(rèn)證目錄要求，對智能卡COS 產(chǎn)品開展信息安全EAL4增強(qiáng)級強(qiáng)制認(rèn)證測評。同時，也可針對其它IC卡產(chǎn)品，包括IC卡芯片、智能卡COS、IC卡讀寫器、POS機(jī)、IC卡應(yīng)用系統(tǒng)等開展自愿性委托的信息安全測評服務(wù)。 

    我中心所開展的IC卡檢測從測試方法、測評內(nèi)容以及側(cè)重面上都與其它IC卡檢測機(jī)構(gòu)有所不同，注重對IC卡產(chǎn)品進(jìn)行信息安全測評，在對產(chǎn)品進(jìn)行測試的同時，還要對產(chǎn)品研發(fā)及生產(chǎn)過程中的信息安全保證能力進(jìn)行綜合評估。 

    （2）提供信息安全產(chǎn)品強(qiáng)制性認(rèn)證測評服務(wù)。 

   依據(jù)相關(guān)標(biāo)準(zhǔn)，對信息安全產(chǎn)品提供強(qiáng)制性認(rèn)證測評服務(wù)。 

    目前列入第一批信息安全產(chǎn)品強(qiáng)制性認(rèn)證目錄的有8類共13款產(chǎn)品。 

    （3）除上述服務(wù)外，中心主要業(yè)務(wù)范圍有以下三大類： 

    測評服務(wù)項目主要包括：產(chǎn)品測評（功能、性能、安全性測評）、軟件測試（軟件各生命周期及源代碼安全檢測）、信息系統(tǒng)測評（方案評審、安全評估、風(fēng)險評估、等級保護(hù)、安全測試、性能測試、驗收測試）、定制測試（選型測試、隨機(jī)數(shù)檢測、按用戶需求測試）、比對測試（設(shè)備比對、人員能力比對）、行業(yè)監(jiān)督抽查檢測等； 

    檢查服務(wù)項目主要包括：信息安全保證等級評估檢查、信息安全管理核查、信息系統(tǒng)安全工程能力成熟度核查； 

    咨詢及培訓(xùn)服務(wù)項目主要包括：信息安全技術(shù)咨詢及培訓(xùn)、信息安全標(biāo)準(zhǔn)咨詢及培訓(xùn)、信息安全管理咨詢及培訓(xùn)、軟件技術(shù)培訓(xùn)、IC卡分級測評咨詢及培訓(xùn) 。 

    《卡市場》：智能卡是信息安全領(lǐng)域的重要環(huán)節(jié)，智能卡安全還存在著哪些隱患？ 

    翁主任：隨著智能卡應(yīng)用的飛速發(fā)展，智能卡安全問題日益突出，重要性日益顯著。目前，智能卡安全方面主要存在以下隱患： 

    1. 針對智能卡的物理攻擊。通常是指對芯片的分析和攻擊，這往往需要一定的專門設(shè)備和較高的專業(yè)技能，攻擊成本較高。 

    2. 針對智能卡的邏輯攻擊。位于智能卡存儲器中的操作系統(tǒng)和嵌入式軟件，往往是智能卡安全功能和應(yīng)用的主要部分，相對而言，其攻擊成本較低，是最易受到攻擊威脅的部分。    

    3. 針對智能卡生命周期中漏洞。智能卡的安全需要從整體把握，包括從設(shè)計開發(fā)、制造測試、個人化、交付使用等，其生命周期的各個環(huán)節(jié)的安全漏洞都會造成應(yīng)用中的隱患。 

    《卡市場》：對于我國的智能卡產(chǎn)業(yè)發(fā)展，您是怎樣看待的，有著哪些優(yōu)勢和不足？在安全方面，您認(rèn)為我國的智能卡企業(yè)與國外發(fā)達(dá)國家相比，還存在著哪些不足？ 

    翁主任：我國的智能卡產(chǎn)業(yè)起步相對較晚，在智能卡相關(guān)標(biāo)準(zhǔn)和技術(shù)以及應(yīng)用上都還需要更多的積累和提高。智能卡本身又是一種集合多門專業(yè)技術(shù)于一體的產(chǎn)品，其包含微電子、半導(dǎo)體、計算機(jī)、通信、密碼等多門技術(shù)。其中部分核心技術(shù)仍受制于國外發(fā)達(dá)國家壟斷企業(yè)，這對我國智能卡產(chǎn)業(yè)的長期健康發(fā)展不利；另外還存在著產(chǎn)業(yè)的規(guī)劃和管理工作滯后于應(yīng)用發(fā)展，跨行業(yè)的“一卡多用”試點(diǎn)工作進(jìn)展緩慢等問題。但是我國的智能卡產(chǎn)業(yè)發(fā)展迅速，已成為全球最重要的智能卡應(yīng)用組成部分之一，相應(yīng)的標(biāo)準(zhǔn)和技術(shù)的研發(fā)已得到很高的重視，并在金卡工程的指導(dǎo)下正穩(wěn)步向前發(fā)展。 

    在安全方面，國內(nèi)的智能卡企業(yè)與國外發(fā)達(dá)國家相比還有不小的差距。國外的智能卡安全技術(shù)以及安全認(rèn)證體系都有相當(dāng)?shù)陌l(fā)展歷史，他們的智能卡產(chǎn)品從芯片的設(shè)計到制造封裝，到嵌入式軟件的注入和測試，到交付用戶使用以及最后收回等，都在相應(yīng)的安全體系的保障控制之下，其產(chǎn)品在國家安全認(rèn)證機(jī)構(gòu)授權(quán)測試實驗室進(jìn)行嚴(yán)格的測試。因此，在安全技術(shù)和安全體系保障建設(shè)上，國內(nèi)智能卡企業(yè)都還需要進(jìn)一步加大前進(jìn)步伐。 

    《卡市場》：您認(rèn)為日后我們應(yīng)該如何去改進(jìn)這些不足？這其中，企業(yè)應(yīng)該起到一個什么樣的作用，注意哪些問題？ 

    翁主任：智能卡產(chǎn)業(yè)的發(fā)展迅速，已經(jīng)成為國民經(jīng)濟(jì)發(fā)展的重要經(jīng)濟(jì)增長點(diǎn)，智能卡產(chǎn)業(yè)穩(wěn)健和諧的發(fā)展有著重要的意義。國家已經(jīng)出臺相應(yīng)的信息安全產(chǎn)品認(rèn)證制度，針對智能卡產(chǎn)品的信息安全要求也在陸續(xù)出臺，旨在幫助企業(yè)更好的建立起信息安全體系和更高安全級別的產(chǎn)品，為企業(yè)和用戶提供更安全的智能卡產(chǎn)品。同時，企業(yè)也需要加強(qiáng)技術(shù)的研發(fā)和安全體系的建設(shè)，堅持走技術(shù)自主創(chuàng)新之路，共同打造安全的國內(nèi)智能卡應(yīng)用環(huán)境。 

    智能卡企業(yè)在發(fā)展的同時應(yīng)加強(qiáng)聯(lián)合，積極探索知識產(chǎn)權(quán)應(yīng)對體系，加強(qiáng)在核心技術(shù)的研制和標(biāo)準(zhǔn)方面的參與合作，積極參與國際市場，同時注意規(guī)避風(fēng)險，利用法律和制度保護(hù)自己合法利益。 

    翁正軍副主任簡介： 

    高級工程師，信息產(chǎn)業(yè)部計算機(jī)安全技術(shù)檢測中心（國家金卡工程IC卡產(chǎn)品信息安全測評中心）常務(wù)副主任，曾任信息產(chǎn)業(yè)部太極聯(lián)合實驗室副主任。主要研究領(lǐng)域為計算機(jī)網(wǎng)絡(luò)與信息安全測評技術(shù)、軟件開發(fā)與測評、IC卡產(chǎn)品安全測評。現(xiàn)為國家金卡工程安全工作組副組長、全國信息安全標(biāo)準(zhǔn)委員會信息安全評估工作組（WG5）成員、信息安全產(chǎn)品認(rèn)證目錄、標(biāo)準(zhǔn)與規(guī)則專項工作組成員、中國合格評定國家認(rèn)可委員會實驗室與檢查機(jī)構(gòu)主任評審員。