620)this.style.width=620;" border=0>

翁正軍副主任 

    【編者按】在IC卡大量普及的同時，IC卡應用過程中的安全問題也日益突現(xiàn)，加上行業(yè)應用需求的不同、企業(yè)間的技術差異、不同IC卡產(chǎn)品信息安全水平良莠不齊，引起了不少的糾紛，阻礙了IC卡進一步良性地發(fā)展，由IC卡信息安全引起的潛在風險和不良后果將難以估計。因此，一個第三方的權威IC卡產(chǎn)品信息安全檢測機構的存在至關重要，國家金卡工程IC卡產(chǎn)品信息安全測評中心應運而生，就中心成立的情況和智能卡安全方面的一些問題，本刊對中心常務副主任翁正軍進行了專訪。   

  《卡市場》：首先對IC卡產(chǎn)品信息安全測評中心的成立表示祝賀，請您就中心的成立背景以及意義進行一下介紹。 

    翁主任：國家金卡工程IC卡產(chǎn)品信息安全測評中心由國家金卡工程協(xié)調(diào)領導小組辦公室授權信息產(chǎn)業(yè)部計算機安全技術檢測中心組建成立，是從事IC卡產(chǎn)品信息安全測評的專業(yè)機構。信息產(chǎn)業(yè)部計算機安全技術檢測中心（以下簡稱中心）成立于1998年，是信息產(chǎn)業(yè)部最早成立的專門從事信息安全技術服務的檢測機構，同時，也是中國合格評定國家認可委員會認可的第三方檢測實驗室及檢查機構。2008年，中心被中國國家認證認可監(jiān)督管理委員會指定為第一批信息安全產(chǎn)品強制性認證檢測實驗室，開展信息安全產(chǎn)品強制性認證測評工作。國家金卡辦授權中心開展IC卡及相關產(chǎn)品的信息安全測評和咨詢服務，旨在充分利用中心現(xiàn)有技術優(yōu)勢和測評能力，通過對IC卡產(chǎn)品的信息安全測評，提高IC卡產(chǎn)品的安全技術和安全保障能力，同時，協(xié)助國家金卡辦對國家金卡工程全國IC卡市場進行監(jiān)管和指導工作。 

    在《國家金卡工程全國IC卡應用（2008-2013年）發(fā)展規(guī)劃》中明確要求，要加強IC卡產(chǎn)品及其應用系統(tǒng)的安全測評認證，確保IC卡使用的安全；在 IC卡產(chǎn)品設計與生產(chǎn)過程中建立安全控制及產(chǎn)品檢測體系；積極采取技術測評和技術評估等有效措施，減少IC卡應用中的信息安全風險；不斷提高IC各類產(chǎn)品的信息安全水平，建立與國際標準接軌的IC卡信息安全測評技術標準、分級評估體系和IC卡信息安全測評認證體系。 

    積極開展針對IC卡產(chǎn)品的信息安全測評，其意義主要體現(xiàn)在以下幾個方面： 

    首先，通過對IC卡產(chǎn)品的信息安全檢測，為金卡辦提供國內(nèi)外IC卡產(chǎn)品信息安全的第一手資料，便于金卡辦對各個行業(yè)大卡進行監(jiān)管和指導，規(guī)范IC卡市場。 

    其次，通過對IC卡產(chǎn)品的信息安全測評，可以將國際公認的一些信息安全標準引入國內(nèi)，引導國內(nèi)企業(yè)規(guī)范生產(chǎn)研發(fā)過程中的程序控制，促進其將信息安全的理念滲透到產(chǎn)品設計開發(fā)的各個環(huán)節(jié)，使得IC卡產(chǎn)品的安全技術和安全保障能力隨著發(fā)展不斷的提高。另外，按照國際標準要求進行運作，對于國內(nèi)企業(yè)走出國門，占領國際市場也具有重要的戰(zhàn)略意義。 

    第三，通過對IC卡產(chǎn)品的信息安全測評，可以為行業(yè)用戶提供客觀、公平、公正的第三方的檢測報告，以便于用戶合理的選擇產(chǎn)品，降低選型風險，提供服務質(zhì)量，維護用戶的利益。 

    由此可見，對IC卡產(chǎn)品進行信息安全性測評對于我國IC卡行業(yè)的發(fā)展有著重要的保障意義和指導意義，這也是國家金卡工程IC卡應用工作的重要組成部分。 

    《卡市場》：中心的主要職責是什么？日后將怎樣開展工作？ 

    翁主任：中心的職責是協(xié)助國家金卡辦對全國IC卡市場進行監(jiān)督和指導工作，為金卡辦提供國內(nèi)外IC卡產(chǎn)品信息安全的第一手資料，以便于金卡辦對各個行業(yè)大卡進行監(jiān)管和指導，規(guī)范IC卡市場； 

    同時，繼續(xù)深入研究和跟蹤IC卡技術發(fā)展，通過開展對IC卡產(chǎn)品的信息安全測評，引導國內(nèi)企業(yè)規(guī)范生產(chǎn)研發(fā)過程中的程序控制，促進其將信息安全的理念灌輸?shù)疆a(chǎn)品設計開發(fā)及生產(chǎn)的各個環(huán)節(jié)，以提高IC卡產(chǎn)品的安全技術和安全保障能力。對于國內(nèi)企業(yè)走出國門，占領國際市場具有重要的戰(zhàn)略意義； 

    為行業(yè)用戶提供科學、客觀、公平、公正的第三方的檢測報告，以便用戶合理的選擇產(chǎn)品，降低選型風險，提高服務質(zhì)量，保證終端用戶的利益。 

    中心日后將圍繞《國家金卡工程全國IC卡應用（2008-2013年）發(fā)展規(guī)劃》要求，加強IC卡產(chǎn)品及其應用系統(tǒng)的安全測評認證工作；在國家金卡辦對IC卡市場的監(jiān)管和指導工作中做好輔助和技術支持工作；協(xié)助金卡辦做好實施監(jiān)管工作中的具體技術工作。 

    中心在IC卡及相關產(chǎn)品的信息安全技術與標準上進行了多年的研究和跟蹤，在IC卡及相關產(chǎn)品的信息安全測評及咨詢服務方面有豐富的經(jīng)驗，業(yè)務范圍覆蓋了SIM卡、UIM卡和PIM卡等多種類型的卡產(chǎn)品及相關應用領域。 

      中心在開展信息技術及產(chǎn)品測評的同時，在IC卡產(chǎn)品測評方面，可依據(jù)國家信息安全產(chǎn)品強制認證目錄要求，對智能卡COS產(chǎn)品開展信息安全EAL4增強級強制認證測評。同時，也可針對其它IC卡產(chǎn)品，包括IC卡芯片、智能卡COS、IC卡讀寫器、POS機、IC卡應用系統(tǒng)等開展自愿性委托信息安全測評服務。 

    《卡市場》：國家金卡工程IC卡產(chǎn)品信息安全測評中心成立后，除了IC卡產(chǎn)品的信息安全檢測，還有哪些工作職能？ 

    翁主任：我中心開展的測評服務范圍涵蓋以下幾方面： 

    （1）提供IC卡產(chǎn)品安全性測評服務。 

    可依據(jù)國家信息安全產(chǎn)品強制認證目錄要求，對智能卡COS 產(chǎn)品開展信息安全EAL4增強級強制認證測評。同時，也可針對其它IC卡產(chǎn)品，包括IC卡芯片、智能卡COS、IC卡讀寫器、POS機、IC卡應用系統(tǒng)等開展自愿性委托的信息安全測評服務。 

    我中心所開展的IC卡檢測從測試方法、測評內(nèi)容以及側重面上都與其它IC卡檢測機構有所不同，注重對IC卡產(chǎn)品進行信息安全測評，在對產(chǎn)品進行測試的同時，還要對產(chǎn)品研發(fā)及生產(chǎn)過程中的信息安全保證能力進行綜合評估。 

    （2）提供信息安全產(chǎn)品強制性認證測評服務。 

   依據(jù)相關標準，對信息安全產(chǎn)品提供強制性認證測評服務。 

    目前列入第一批信息安全產(chǎn)品強制性認證目錄的有8類共13款產(chǎn)品。 

    （3）除上述服務外，中心主要業(yè)務范圍有以下三大類： 

    測評服務項目主要包括：產(chǎn)品測評（功能、性能、安全性測評）、軟件測試（軟件各生命周期及源代碼安全檢測）、信息系統(tǒng)測評（方案評審、安全評估、風險評估、等級保護、安全測試、性能測試、驗收測試）、定制測試（選型測試、隨機數(shù)檢測、按用戶需求測試）、比對測試（設備比對、人員能力比對）、行業(yè)監(jiān)督抽查檢測等； 

    檢查服務項目主要包括：信息安全保證等級評估檢查、信息安全管理核查、信息系統(tǒng)安全工程能力成熟度核查； 

    咨詢及培訓服務項目主要包括：信息安全技術咨詢及培訓、信息安全標準咨詢及培訓、信息安全管理咨詢及培訓、軟件技術培訓、IC卡分級測評咨詢及培訓 。 

    《卡市場》：智能卡是信息安全領域的重要環(huán)節(jié)，智能卡安全還存在著哪些隱患？ 

    翁主任：隨著智能卡應用的飛速發(fā)展，智能卡安全問題日益突出，重要性日益顯著。目前，智能卡安全方面主要存在以下隱患： 

    1. 針對智能卡的物理攻擊。通常是指對芯片的分析和攻擊，這往往需要一定的專門設備和較高的專業(yè)技能，攻擊成本較高。 

    2. 針對智能卡的邏輯攻擊。位于智能卡存儲器中的操作系統(tǒng)和嵌入式軟件，往往是智能卡安全功能和應用的主要部分，相對而言，其攻擊成本較低，是最易受到攻擊威脅的部分。    

    3. 針對智能卡生命周期中漏洞。智能卡的安全需要從整體把握，包括從設計開發(fā)、制造測試、個人化、交付使用等，其生命周期的各個環(huán)節(jié)的安全漏洞都會造成應用中的隱患。 

    《卡市場》：對于我國的智能卡產(chǎn)業(yè)發(fā)展，您是怎樣看待的，有著哪些優(yōu)勢和不足？在安全方面，您認為我國的智能卡企業(yè)與國外發(fā)達國家相比，還存在著哪些不足？ 

    翁主任：我國的智能卡產(chǎn)業(yè)起步相對較晚，在智能卡相關標準和技術以及應用上都還需要更多的積累和提高。智能卡本身又是一種集合多門專業(yè)技術于一體的產(chǎn)品，其包含微電子、半導體、計算機、通信、密碼等多門技術。其中部分核心技術仍受制于國外發(fā)達國家壟斷企業(yè)，這對我國智能卡產(chǎn)業(yè)的長期健康發(fā)展不利；另外還存在著產(chǎn)業(yè)的規(guī)劃和管理工作滯后于應用發(fā)展，跨行業(yè)的“一卡多用”試點工作進展緩慢等問題。但是我國的智能卡產(chǎn)業(yè)發(fā)展迅速，已成為全球最重要的智能卡應用組成部分之一，相應的標準和技術的研發(fā)已得到很高的重視，并在金卡工程的指導下正穩(wěn)步向前發(fā)展。 

    在安全方面，國內(nèi)的智能卡企業(yè)與國外發(fā)達國家相比還有不小的差距。國外的智能卡安全技術以及安全認證體系都有相當?shù)陌l(fā)展歷史，他們的智能卡產(chǎn)品從芯片的設計到制造封裝，到嵌入式軟件的注入和測試，到交付用戶使用以及最后收回等，都在相應的安全體系的保障控制之下，其產(chǎn)品在國家安全認證機構授權測試實驗室進行嚴格的測試。因此，在安全技術和安全體系保障建設上，國內(nèi)智能卡企業(yè)都還需要進一步加大前進步伐。 

    《卡市場》：您認為日后我們應該如何去改進這些不足？這其中，企業(yè)應該起到一個什么樣的作用，注意哪些問題？ 

    翁主任：智能卡產(chǎn)業(yè)的發(fā)展迅速，已經(jīng)成為國民經(jīng)濟發(fā)展的重要經(jīng)濟增長點，智能卡產(chǎn)業(yè)穩(wěn)健和諧的發(fā)展有著重要的意義。國家已經(jīng)出臺相應的信息安全產(chǎn)品認證制度，針對智能卡產(chǎn)品的信息安全要求也在陸續(xù)出臺，旨在幫助企業(yè)更好的建立起信息安全體系和更高安全級別的產(chǎn)品，為企業(yè)和用戶提供更安全的智能卡產(chǎn)品。同時，企業(yè)也需要加強技術的研發(fā)和安全體系的建設，堅持走技術自主創(chuàng)新之路，共同打造安全的國內(nèi)智能卡應用環(huán)境。 

    智能卡企業(yè)在發(fā)展的同時應加強聯(lián)合，積極探索知識產(chǎn)權應對體系，加強在核心技術的研制和標準方面的參與合作，積極參與國際市場，同時注意規(guī)避風險，利用法律和制度保護自己合法利益。 

    翁正軍副主任簡介： 

    高級工程師，信息產(chǎn)業(yè)部計算機安全技術檢測中心（國家金卡工程IC卡產(chǎn)品信息安全測評中心）常務副主任，曾任信息產(chǎn)業(yè)部太極聯(lián)合實驗室副主任。主要研究領域為計算機網(wǎng)絡與信息安全測評技術、軟件開發(fā)與測評、IC卡產(chǎn)品安全測評。現(xiàn)為國家金卡工程安全工作組副組長、全國信息安全標準委員會信息安全評估工作組（WG5）成員、信息安全產(chǎn)品認證目錄、標準與規(guī)則專項工作組成員、中國合格評定國家認可委員會實驗室與檢查機構主任評審員。