中國電子銀行網訊 2017年1月10日,“北京商用密碼行業協會2016年度年會”于北京長峰假日酒店舉行,協會會長郭寶安、中科院院士倪光南、北京市密碼管理局局長許博春等領導及專家出席并講話。會議還頒發了協會各榮譽獎項,并倡導商密企業簽署了“北京商用密碼行業協會推進商密應用自律公約”。
在下午進行的技術論壇環節,中國金融認證中心(CFCA)軟件評測中心的杜志棟,分享了“密碼軟件測試技術與質量保證”等軟件測評領域內容,他表示:密碼測評技術對于提高我國對密碼算法和密碼產品安全隱患的發現能力,保障我國密碼算法和密碼產品的安全性、先進性具有重要的現實意義。
以下為杜志棟的演講實錄:
各位來賓、下午好:
我來自中國金融認證中心軟件評測中心,俗話說“三句話不離老本行”,我今天介紹下與密碼、測評有關的內容——“密碼軟件測試技術與質量保證”。
主要分為三部分內容:密碼軟件測評介紹、CFCA軟件測評服務介紹和CFCA信息安全服務介紹。
首先、密碼技術是信息安全領域的核心技術,它能有效解決信息的保密性、完整性以及真實性問題。密碼技術的規范、有效管理對推進我國信息化進程具有重大意義。
密碼測評技術是信息安全測評的重要內容,它是構建國家信息安全測評認證體系的基礎,也是指導密碼技術產品和密碼系統安全測評的有效手段。
密碼測評技術對于提高我國對密碼算法和密碼產品安全隱患的發現能力,保障我國密碼算法和密碼產品的安全性、先進性具有重要的現實意義。
以上是密碼測評的一個背景介紹,按照測評內容的不同,密碼測評體系主要分為三個層次:密碼算法測評、密碼模塊測評和密碼系統評估。密碼算法測評的主要對象是底層的密碼算法,如分組算法、序列算法、公鑰算法;實現了密碼算法的密碼模塊是密碼評測的第二層內容,密碼模塊有硬件實現、軟件實現、或軟硬件混合實現等方式;實現了多個密碼模塊的密碼系統是評測體系的第三層內容。由于密碼系統最終會由其他應用所使用,所以密碼系統的評估對于信息安全、應用系統穩定也有重要的意義。
密碼算法測評現有的技術存在一些問題:如檢測方法過多地集中于黑盒式測試;缺乏有效的白盒測試方法;密碼分析的自動化程度偏低,主要還是使用人工測試為主;檢測方法存在著大量冗余檢測,很多檢測方法存在重疊,檢測效率較低;算法評估缺乏科學有效的評估模型與機制,無法有效的評估密碼算法是否合規是否安全。我們密碼算法測評的研究也主要是研究這些問題的解決方法,主要的研究內容有:1、白盒密碼算法測評研究,開展查找表技術、插入擾亂項技術、多變量密碼等技術的研究。2、檢測方法相關性分析研究,研究各類現有檢測方法,分析其關聯性,提高檢測效率。3、密碼分析自動化研究,通過執行程序語言編寫的測試腳本自動地實施密碼測試。4、評估模型、密碼檢測指標研究,形成密碼評估檢測標準,為密碼算法的合理評估提供科學依據與量化指標。
關于密碼模塊的測評研究,我們主要集中在密碼模塊的自動化檢測技術方面,主要包括密碼模塊實現正確性檢驗、實現安全性檢驗以及實現效率檢測等內容。密碼模塊自動化檢測工具平臺的研制可直接為相關測評機構的實際評估工作提供科學的參考數據,從而提高對密碼產品安全隱患的發現能力。
密碼系統評估技術研究,可以使用一個金字塔模型來概括:(一)研究適合于密碼系統的風險評估原理和模型;(二)研究能夠反映密碼系統安全性需求的指標體系,包括評估準則、風險指標體系的建立等;(三)研究密碼系統的評估方法和密碼系統安全風險管理;(四)研究密碼系統評估的原型系統設計與實現等內容;最終達到金字塔的頂端:形成完善的密碼系統評估準則;合理的密碼系統評估流程;實用的密碼系統評估方法。概括的講就是“四個層次三個目標”。
密碼測評的研究具有重要的現實意義:1、提高密碼測評的基礎理論水平:增強對密碼測評基礎理論與關鍵技術的研究支持。提高我國密碼測評的基礎理論水平,從根本上提升我國檢測認證工作的先進性。2、增強對密碼測評標準規范的研究與相關工作的制定:密碼檢測系列標準規范,它將為密碼算法和密碼產品測評的合理化、規范化提供重要的共性技術支撐。3、增強對密碼測評自動化工具與平臺的研究支持:研制密碼測評工具平臺將大大提高測評效率,增強檢測健壯性,也將有效促進密碼測評技術在信息安全領域的應用。4、增強密碼測評人才隊伍的建設:密碼檢測認證人員將成為信息安全從業人員的重要組成部分
第二部分內容我簡單介紹下我們CFCA在軟件測評領域的一些服務內容:
中金軟件評測中心,即中金北航軟件聯合測評實驗室,是“中國金融認證中心”與“北京航空航天大學”強強聯合創立的軟件科研與工程服務機構。中心通過打造軟件測評和軟件工程的窗口單位,促進軟件評測及軟件工程化的創新發展,推動金融及相關行業軟件質量的提升。我們現在重點建設了三個子實驗室:移動智能終端APP檢測認證實驗室、銀行信息系統檢測試驗數字靶場、測試技術研發訓練實驗室,下面我詳細介紹下相關情況。
移動智能終端APP檢測認證實驗室,是以APP生態鏈各角色為核心的特色服務的實驗室。實驗室自主研發了移動智能終端APP檢測平臺,擁有500款手機真機。主要能提供:應用系統適配性測試、靜態分析、人工走查、性能測試、崩潰分析、功能測試、用戶體驗測試、可靠性測試、專項測試、支持系統適配性測試、智能卡適配性測試等內容。
銀行信息系統檢測試驗數字靶場:使我們從一家真實的銀行系統引入的一套模擬測試系統,可以說得上是最全面的銀行系統應用、最真實的銀行測試系統,我們有志于在其基礎上打造一個最完善的銀行測試系統培訓體系。為銀行業測試培養業務人才、技術人才。
測試技術研發訓練實驗室是以測試研發、測試技術訓練為核心的實驗室,實驗室依托高校,自主研發,有深厚的理論研究作為支撐;依托測評中心,有豐富的測試實踐作為需求驅動,形成了“單元 – 系統”全過程工具鏈體系。
CFCA現在對外提供的軟件測試,從技術上講主要是第三方軟件測試服務,包括靜態測試、動態測試、黑盒測試、白盒測試以及按照過程劃分的單元測試、集成測試、系統測試和驗收測試。從測試服務角度講主要有八個專項測評服務:移動平臺APP測評服務、軟件可靠性服務、選型驗證測評服務、軟件科技成果測試、嵌入式系統測評服務、國密算法測評服務、系統驗收測評服務、性能測試服務等內容。
第三部分,主要向各位嘉賓介紹下CFCA提供的信息安全服務:從監管合規角度講,主要提供電子銀行安全評估、安全等級保護測評、上線前評估、客戶端安全監測、安全芯片等認證檢測這五方面的安全測評服務。
信息安全服務更全局的講,主要有技術支持類和管理咨詢類兩類大的服務內容。技術支持類主要包括:第三方認證合規類服務、安全通報與應急響應服務、產品安全檢測類服務、第二方評估類服務及網站安全監控類服務。管理咨詢類主要包括信息安全類咨詢服務和業務安全類咨詢服務。
最后是CFCA目前擁有的資質介紹,在此列舉一部分:例如傳統的電子認證類資質證書、ISO9001質量管理體系認證證書、信息安全服務資質證書、CNAS檢查機構認可證書、CMMI能力成熟度認定證書、信息系統集成及服務資質。
最后真誠的希望與各位同行企業開展交流和合作,謝謝大家!
