中国电子银行网讯 2017年1月10日,“北京商用密码行业协会2016年度年会”于北京长峰假日酒店举行,协会会长郭宝安、中科院院士倪光南、北京市密码管理局局长许博春等领导及专家出席并讲话。会议还颁发了协会各荣誉奖项,并倡导商密企业签署了“北京商用密码行业协会推进商密应用自律公约”。
在下午进行的技术论坛环节,中国金融认证中心(CFCA)软件评测中心的杜志栋,分享了“密码软件测试技术与质量保证”等软件测评领域内容,他表示:密码测评技术对于提高我国对密码算法和密码产品安全隐患的发现能力,保障我国密码算法和密码产品的安全性、先进性具有重要的现实意义。
以下为杜志栋的演讲实录:
各位来宾、下午好:
我来自中国金融认证中心软件评测中心,俗话说“三句话不离老本行”,我今天介绍下与密码、测评有关的内容——“密码软件测试技术与质量保证”。
主要分为三部分内容:密码软件测评介绍、CFCA软件测评服务介绍和CFCA信息安全服务介绍。
首先、密码技术是信息安全领域的核心技术,它能有效解决信息的保密性、完整性以及真实性问题。密码技术的规范、有效管理对推进我国信息化进程具有重大意义。
密码测评技术是信息安全测评的重要内容,它是构建国家信息安全测评认证体系的基础,也是指导密码技术产品和密码系统安全测评的有效手段。
密码测评技术对于提高我国对密码算法和密码产品安全隐患的发现能力,保障我国密码算法和密码产品的安全性、先进性具有重要的现实意义。
以上是密码测评的一个背景介绍,按照测评内容的不同,密码测评体系主要分为三个层次:密码算法测评、密码模块测评和密码系统评估。密码算法测评的主要对象是底层的密码算法,如分组算法、序列算法、公钥算法;实现了密码算法的密码模块是密码评测的第二层内容,密码模块有硬件实现、软件实现、或软硬件混合实现等方式;实现了多个密码模块的密码系统是评测体系的第三层内容。由于密码系统最终会由其他应用所使用,所以密码系统的评估对于信息安全、应用系统稳定也有重要的意义。
密码算法测评现有的技术存在一些问题:如检测方法过多地集中于黑盒式测试;缺乏有效的白盒测试方法;密码分析的自动化程度偏低,主要还是使用人工测试为主;检测方法存在着大量冗余检测,很多检测方法存在重叠,检测效率较低;算法评估缺乏科学有效的评估模型与机制,无法有效的评估密码算法是否合规是否安全。我们密码算法测评的研究也主要是研究这些问题的解决方法,主要的研究内容有:1、白盒密码算法测评研究,开展查找表技术、插入扰乱项技术、多变量密码等技术的研究。2、检测方法相关性分析研究,研究各类现有检测方法,分析其关联性,提高检测效率。3、密码分析自动化研究,通过执行程序语言编写的测试脚本自动地实施密码测试。4、评估模型、密码检测指标研究,形成密码评估检测标准,为密码算法的合理评估提供科学依据与量化指标。
关于密码模块的测评研究,我们主要集中在密码模块的自动化检测技术方面,主要包括密码模块实现正确性检验、实现安全性检验以及实现效率检测等内容。密码模块自动化检测工具平台的研制可直接为相关测评机构的实际评估工作提供科学的参考数据,从而提高对密码产品安全隐患的发现能力。
密码系统评估技术研究,可以使用一个金字塔模型来概括:(一)研究适合于密码系统的风险评估原理和模型;(二)研究能够反映密码系统安全性需求的指标体系,包括评估准则、风险指标体系的建立等;(三)研究密码系统的评估方法和密码系统安全风险管理;(四)研究密码系统评估的原型系统设计与实现等内容;最终达到金字塔的顶端:形成完善的密码系统评估准则;合理的密码系统评估流程;实用的密码系统评估方法。概括的讲就是“四个层次三个目标”。
密码测评的研究具有重要的现实意义:1、提高密码测评的基础理论水平:增强对密码测评基础理论与关键技术的研究支持。提高我国密码测评的基础理论水平,从根本上提升我国检测认证工作的先进性。2、增强对密码测评标准规范的研究与相关工作的制定:密码检测系列标准规范,它将为密码算法和密码产品测评的合理化、规范化提供重要的共性技术支撑。3、增强对密码测评自动化工具与平台的研究支持:研制密码测评工具平台将大大提高测评效率,增强检测健壮性,也将有效促进密码测评技术在信息安全领域的应用。4、增强密码测评人才队伍的建设:密码检测认证人员将成为信息安全从业人员的重要组成部分
第二部分内容我简单介绍下我们CFCA在软件测评领域的一些服务内容:
中金软件评测中心,即中金北航软件联合测评实验室,是“中国金融认证中心”与“北京航空航天大学”强强联合创立的软件科研与工程服务机构。中心通过打造软件测评和软件工程的窗口单位,促进软件评测及软件工程化的创新发展,推动金融及相关行业软件质量的提升。我们现在重点建设了三个子实验室:移动智能终端APP检测认证实验室、银行信息系统检测试验数字靶场、测试技术研发训练实验室,下面我详细介绍下相关情况。
移动智能终端APP检测认证实验室,是以APP生态链各角色为核心的特色服务的实验室。实验室自主研发了移动智能终端APP检测平台,拥有500款手机真机。主要能提供:应用系统适配性测试、静态分析、人工走查、性能测试、崩溃分析、功能测试、用户体验测试、可靠性测试、专项测试、支持系统适配性测试、智能卡适配性测试等内容。
银行信息系统检测试验数字靶场:使我们从一家真实的银行系统引入的一套模拟测试系统,可以说得上是最全面的银行系统应用、最真实的银行测试系统,我们有志于在其基础上打造一个最完善的银行测试系统培训体系。为银行业测试培养业务人才、技术人才。
测试技术研发训练实验室是以测试研发、测试技术训练为核心的实验室,实验室依托高校,自主研发,有深厚的理论研究作为支撑;依托测评中心,有丰富的测试实践作为需求驱动,形成了“单元 – 系统”全过程工具链体系。
CFCA现在对外提供的软件测试,从技术上讲主要是第三方软件测试服务,包括静态测试、动态测试、黑盒测试、白盒测试以及按照过程划分的单元测试、集成测试、系统测试和验收测试。从测试服务角度讲主要有八个专项测评服务:移动平台APP测评服务、软件可靠性服务、选型验证测评服务、软件科技成果测试、嵌入式系统测评服务、国密算法测评服务、系统验收测评服务、性能测试服务等内容。
第三部分,主要向各位嘉宾介绍下CFCA提供的信息安全服务:从监管合规角度讲,主要提供电子银行安全评估、安全等级保护测评、上线前评估、客户端安全监测、安全芯片等认证检测这五方面的安全测评服务。
信息安全服务更全局的讲,主要有技术支持类和管理咨询类两类大的服务内容。技术支持类主要包括:第三方认证合规类服务、安全通报与应急响应服务、产品安全检测类服务、第二方评估类服务及网站安全监控类服务。管理咨询类主要包括信息安全类咨询服务和业务安全类咨询服务。
最后是CFCA目前拥有的资质介绍,在此列举一部分:例如传统的电子认证类资质证书、ISO9001质量管理体系认证证书、信息安全服务资质证书、CNAS检查机构认可证书、CMMI能力成熟度认定证书、信息系统集成及服务资质。
最后真诚的希望与各位同行企业开展交流和合作,谢谢大家!