620)this.style.width=620;" border=0>

翁正軍副主任 

    【編者按】在IC卡大量普及的同時，IC卡應(yīng)用過程中的安全問題也日益突現(xiàn)，加上行業(yè)應(yīng)用需求的不同、企業(yè)間的技術(shù)差異、不同IC卡產(chǎn)品信息安全水平良莠不齊，引起了不少的糾紛，阻礙了IC卡進一步良性地發(fā)展，由IC卡信息安全引起的潛在風(fēng)險和不良后果將難以估計。因此，一個第三方的權(quán)威IC卡產(chǎn)品信息安全檢測機構(gòu)的存在至關(guān)重要，國家金卡工程IC卡產(chǎn)品信息安全測評中心應(yīng)運而生，就中心成立的情況和智能卡安全方面的一些問題，本刊對中心常務(wù)副主任翁正軍進行了專訪。   

  《卡市場》：首先對IC卡產(chǎn)品信息安全測評中心的成立表示祝賀，請您就中心的成立背景以及意義進行一下介紹。 

    翁主任：國家金卡工程IC卡產(chǎn)品信息安全測評中心由國家金卡工程協(xié)調(diào)領(lǐng)導(dǎo)小組辦公室授權(quán)信息產(chǎn)業(yè)部計算機安全技術(shù)檢測中心組建成立，是從事IC卡產(chǎn)品信息安全測評的專業(yè)機構(gòu)。信息產(chǎn)業(yè)部計算機安全技術(shù)檢測中心（以下簡稱中心）成立于1998年，是信息產(chǎn)業(yè)部最早成立的專門從事信息安全技術(shù)服務(wù)的檢測機構(gòu)，同時，也是中國合格評定國家認可委員會認可的第三方檢測實驗室及檢查機構(gòu)。2008年，中心被中國國家認證認可監(jiān)督管理委員會指定為第一批信息安全產(chǎn)品強制性認證檢測實驗室，開展信息安全產(chǎn)品強制性認證測評工作。國家金卡辦授權(quán)中心開展IC卡及相關(guān)產(chǎn)品的信息安全測評和咨詢服務(wù)，旨在充分利用中心現(xiàn)有技術(shù)優(yōu)勢和測評能力，通過對IC卡產(chǎn)品的信息安全測評，提高IC卡產(chǎn)品的安全技術(shù)和安全保障能力，同時，協(xié)助國家金卡辦對國家金卡工程全國IC卡市場進行監(jiān)管和指導(dǎo)工作。 

    在《國家金卡工程全國IC卡應(yīng)用（2008-2013年）發(fā)展規(guī)劃》中明確要求，要加強IC卡產(chǎn)品及其應(yīng)用系統(tǒng)的安全測評認證，確保IC卡使用的安全；在 IC卡產(chǎn)品設(shè)計與生產(chǎn)過程中建立安全控制及產(chǎn)品檢測體系；積極采取技術(shù)測評和技術(shù)評估等有效措施，減少IC卡應(yīng)用中的信息安全風(fēng)險；不斷提高IC各類產(chǎn)品的信息安全水平，建立與國際標準接軌的IC卡信息安全測評技術(shù)標準、分級評估體系和IC卡信息安全測評認證體系。 

    積極開展針對IC卡產(chǎn)品的信息安全測評，其意義主要體現(xiàn)在以下幾個方面： 

    首先，通過對IC卡產(chǎn)品的信息安全檢測，為金卡辦提供國內(nèi)外IC卡產(chǎn)品信息安全的第一手資料，便于金卡辦對各個行業(yè)大卡進行監(jiān)管和指導(dǎo)，規(guī)范IC卡市場。 

    其次，通過對IC卡產(chǎn)品的信息安全測評，可以將國際公認的一些信息安全標準引入國內(nèi)，引導(dǎo)國內(nèi)企業(yè)規(guī)范生產(chǎn)研發(fā)過程中的程序控制，促進其將信息安全的理念滲透到產(chǎn)品設(shè)計開發(fā)的各個環(huán)節(jié)，使得IC卡產(chǎn)品的安全技術(shù)和安全保障能力隨著發(fā)展不斷的提高。另外，按照國際標準要求進行運作，對于國內(nèi)企業(yè)走出國門，占領(lǐng)國際市場也具有重要的戰(zhàn)略意義。 

    第三，通過對IC卡產(chǎn)品的信息安全測評，可以為行業(yè)用戶提供客觀、公平、公正的第三方的檢測報告，以便于用戶合理的選擇產(chǎn)品，降低選型風(fēng)險，提供服務(wù)質(zhì)量，維護用戶的利益。 

    由此可見，對IC卡產(chǎn)品進行信息安全性測評對于我國IC卡行業(yè)的發(fā)展有著重要的保障意義和指導(dǎo)意義，這也是國家金卡工程IC卡應(yīng)用工作的重要組成部分。 

    《卡市場》：中心的主要職責(zé)是什么？日后將怎樣開展工作？ 

    翁主任：中心的職責(zé)是協(xié)助國家金卡辦對全國IC卡市場進行監(jiān)督和指導(dǎo)工作，為金卡辦提供國內(nèi)外IC卡產(chǎn)品信息安全的第一手資料，以便于金卡辦對各個行業(yè)大卡進行監(jiān)管和指導(dǎo)，規(guī)范IC卡市場； 

    同時，繼續(xù)深入研究和跟蹤IC卡技術(shù)發(fā)展，通過開展對IC卡產(chǎn)品的信息安全測評，引導(dǎo)國內(nèi)企業(yè)規(guī)范生產(chǎn)研發(fā)過程中的程序控制，促進其將信息安全的理念灌輸?shù)疆a(chǎn)品設(shè)計開發(fā)及生產(chǎn)的各個環(huán)節(jié)，以提高IC卡產(chǎn)品的安全技術(shù)和安全保障能力。對于國內(nèi)企業(yè)走出國門，占領(lǐng)國際市場具有重要的戰(zhàn)略意義； 

    為行業(yè)用戶提供科學(xué)、客觀、公平、公正的第三方的檢測報告，以便用戶合理的選擇產(chǎn)品，降低選型風(fēng)險，提高服務(wù)質(zhì)量，保證終端用戶的利益。 

    中心日后將圍繞《國家金卡工程全國IC卡應(yīng)用（2008-2013年）發(fā)展規(guī)劃》要求，加強IC卡產(chǎn)品及其應(yīng)用系統(tǒng)的安全測評認證工作；在國家金卡辦對IC卡市場的監(jiān)管和指導(dǎo)工作中做好輔助和技術(shù)支持工作；協(xié)助金卡辦做好實施監(jiān)管工作中的具體技術(shù)工作。 

    中心在IC卡及相關(guān)產(chǎn)品的信息安全技術(shù)與標準上進行了多年的研究和跟蹤，在IC卡及相關(guān)產(chǎn)品的信息安全測評及咨詢服務(wù)方面有豐富的經(jīng)驗，業(yè)務(wù)范圍覆蓋了SIM卡、UIM卡和PIM卡等多種類型的卡產(chǎn)品及相關(guān)應(yīng)用領(lǐng)域。 

      中心在開展信息技術(shù)及產(chǎn)品測評的同時，在IC卡產(chǎn)品測評方面，可依據(jù)國家信息安全產(chǎn)品強制認證目錄要求，對智能卡COS產(chǎn)品開展信息安全EAL4增強級強制認證測評。同時，也可針對其它IC卡產(chǎn)品，包括IC卡芯片、智能卡COS、IC卡讀寫器、POS機、IC卡應(yīng)用系統(tǒng)等開展自愿性委托信息安全測評服務(wù)。 

    《卡市場》：國家金卡工程IC卡產(chǎn)品信息安全測評中心成立后，除了IC卡產(chǎn)品的信息安全檢測，還有哪些工作職能？ 

    翁主任：我中心開展的測評服務(wù)范圍涵蓋以下幾方面： 

    （1）提供IC卡產(chǎn)品安全性測評服務(wù)。 

    可依據(jù)國家信息安全產(chǎn)品強制認證目錄要求，對智能卡COS 產(chǎn)品開展信息安全EAL4增強級強制認證測評。同時，也可針對其它IC卡產(chǎn)品，包括IC卡芯片、智能卡COS、IC卡讀寫器、POS機、IC卡應(yīng)用系統(tǒng)等開展自愿性委托的信息安全測評服務(wù)。 

    我中心所開展的IC卡檢測從測試方法、測評內(nèi)容以及側(cè)重面上都與其它IC卡檢測機構(gòu)有所不同，注重對IC卡產(chǎn)品進行信息安全測評，在對產(chǎn)品進行測試的同時，還要對產(chǎn)品研發(fā)及生產(chǎn)過程中的信息安全保證能力進行綜合評估。 

    （2）提供信息安全產(chǎn)品強制性認證測評服務(wù)。 

   依據(jù)相關(guān)標準，對信息安全產(chǎn)品提供強制性認證測評服務(wù)。 

    目前列入第一批信息安全產(chǎn)品強制性認證目錄的有8類共13款產(chǎn)品。 

    （3）除上述服務(wù)外，中心主要業(yè)務(wù)范圍有以下三大類： 

    測評服務(wù)項目主要包括：產(chǎn)品測評（功能、性能、安全性測評）、軟件測試（軟件各生命周期及源代碼安全檢測）、信息系統(tǒng)測評（方案評審、安全評估、風(fēng)險評估、等級保護、安全測試、性能測試、驗收測試）、定制測試（選型測試、隨機數(shù)檢測、按用戶需求測試）、比對測試（設(shè)備比對、人員能力比對）、行業(yè)監(jiān)督抽查檢測等； 

    檢查服務(wù)項目主要包括：信息安全保證等級評估檢查、信息安全管理核查、信息系統(tǒng)安全工程能力成熟度核查； 

    咨詢及培訓(xùn)服務(wù)項目主要包括：信息安全技術(shù)咨詢及培訓(xùn)、信息安全標準咨詢及培訓(xùn)、信息安全管理咨詢及培訓(xùn)、軟件技術(shù)培訓(xùn)、IC卡分級測評咨詢及培訓(xùn) 。 

    《卡市場》：智能卡是信息安全領(lǐng)域的重要環(huán)節(jié)，智能卡安全還存在著哪些隱患？ 

    翁主任：隨著智能卡應(yīng)用的飛速發(fā)展，智能卡安全問題日益突出，重要性日益顯著。目前，智能卡安全方面主要存在以下隱患： 

    1. 針對智能卡的物理攻擊。通常是指對芯片的分析和攻擊，這往往需要一定的專門設(shè)備和較高的專業(yè)技能，攻擊成本較高。 

    2. 針對智能卡的邏輯攻擊。位于智能卡存儲器中的操作系統(tǒng)和嵌入式軟件，往往是智能卡安全功能和應(yīng)用的主要部分，相對而言，其攻擊成本較低，是最易受到攻擊威脅的部分。    

    3. 針對智能卡生命周期中漏洞。智能卡的安全需要從整體把握，包括從設(shè)計開發(fā)、制造測試、個人化、交付使用等，其生命周期的各個環(huán)節(jié)的安全漏洞都會造成應(yīng)用中的隱患。 

    《卡市場》：對于我國的智能卡產(chǎn)業(yè)發(fā)展，您是怎樣看待的，有著哪些優(yōu)勢和不足？在安全方面，您認為我國的智能卡企業(yè)與國外發(fā)達國家相比，還存在著哪些不足？ 

    翁主任：我國的智能卡產(chǎn)業(yè)起步相對較晚，在智能卡相關(guān)標準和技術(shù)以及應(yīng)用上都還需要更多的積累和提高。智能卡本身又是一種集合多門專業(yè)技術(shù)于一體的產(chǎn)品，其包含微電子、半導(dǎo)體、計算機、通信、密碼等多門技術(shù)。其中部分核心技術(shù)仍受制于國外發(fā)達國家壟斷企業(yè)，這對我國智能卡產(chǎn)業(yè)的長期健康發(fā)展不利；另外還存在著產(chǎn)業(yè)的規(guī)劃和管理工作滯后于應(yīng)用發(fā)展，跨行業(yè)的“一卡多用”試點工作進展緩慢等問題。但是我國的智能卡產(chǎn)業(yè)發(fā)展迅速，已成為全球最重要的智能卡應(yīng)用組成部分之一，相應(yīng)的標準和技術(shù)的研發(fā)已得到很高的重視，并在金卡工程的指導(dǎo)下正穩(wěn)步向前發(fā)展。 

    在安全方面，國內(nèi)的智能卡企業(yè)與國外發(fā)達國家相比還有不小的差距。國外的智能卡安全技術(shù)以及安全認證體系都有相當?shù)陌l(fā)展歷史，他們的智能卡產(chǎn)品從芯片的設(shè)計到制造封裝，到嵌入式軟件的注入和測試，到交付用戶使用以及最后收回等，都在相應(yīng)的安全體系的保障控制之下，其產(chǎn)品在國家安全認證機構(gòu)授權(quán)測試實驗室進行嚴格的測試。因此，在安全技術(shù)和安全體系保障建設(shè)上，國內(nèi)智能卡企業(yè)都還需要進一步加大前進步伐。 

    《卡市場》：您認為日后我們應(yīng)該如何去改進這些不足？這其中，企業(yè)應(yīng)該起到一個什么樣的作用，注意哪些問題？ 

    翁主任：智能卡產(chǎn)業(yè)的發(fā)展迅速，已經(jīng)成為國民經(jīng)濟發(fā)展的重要經(jīng)濟增長點，智能卡產(chǎn)業(yè)穩(wěn)健和諧的發(fā)展有著重要的意義。國家已經(jīng)出臺相應(yīng)的信息安全產(chǎn)品認證制度，針對智能卡產(chǎn)品的信息安全要求也在陸續(xù)出臺，旨在幫助企業(yè)更好的建立起信息安全體系和更高安全級別的產(chǎn)品，為企業(yè)和用戶提供更安全的智能卡產(chǎn)品。同時，企業(yè)也需要加強技術(shù)的研發(fā)和安全體系的建設(shè)，堅持走技術(shù)自主創(chuàng)新之路，共同打造安全的國內(nèi)智能卡應(yīng)用環(huán)境。 

    智能卡企業(yè)在發(fā)展的同時應(yīng)加強聯(lián)合，積極探索知識產(chǎn)權(quán)應(yīng)對體系，加強在核心技術(shù)的研制和標準方面的參與合作，積極參與國際市場，同時注意規(guī)避風(fēng)險，利用法律和制度保護自己合法利益。 

    翁正軍副主任簡介： 

    高級工程師，信息產(chǎn)業(yè)部計算機安全技術(shù)檢測中心（國家金卡工程IC卡產(chǎn)品信息安全測評中心）常務(wù)副主任，曾任信息產(chǎn)業(yè)部太極聯(lián)合實驗室副主任。主要研究領(lǐng)域為計算機網(wǎng)絡(luò)與信息安全測評技術(shù)、軟件開發(fā)與測評、IC卡產(chǎn)品安全測評?，F(xiàn)為國家金卡工程安全工作組副組長、全國信息安全標準委員會信息安全評估工作組（WG5）成員、信息安全產(chǎn)品認證目錄、標準與規(guī)則專項工作組成員、中國合格評定國家認可委員會實驗室與檢查機構(gòu)主任評審員。