陳星:今天的主題應該是兩個部分:一個是智能建筑門禁系統(tǒng)����,另一個是談安全。在標準化方面���,我們國家在9年前成立了全國信息安全標準化技術委員會���,今天我發(fā)言的主要內容是兩個部分,一個是把我國安全標準化的情況做一個介紹����,第二是在門禁系統(tǒng)智能卡的標準化做一個簡單介紹。
工業(yè)和信息化部電子工業(yè)標準化研究所信息安全研究中心總監(jiān)/全國信息安全標準化技術委員會秘書陳星
內容有三個部分�,第一是標準化組織的簡單介紹,第二是我國整體信息安全標準情況的介紹����,第三是對門禁系統(tǒng)智能卡安全保障標準化方面也有一個簡單的介紹��。全國信息安全標準化技術委員會是2002年4月15日成立����,代號是TC260����,曾經有一段時間比智標委可能會早幾年,所以它的編號是260�。國際標準化組織歸口是ISO/IEC/JTC1,JTC1是聯(lián)合技術工作組底下有一個SC27��,它是專門負責信息安全���。組成主要是由30多個部門和單位的49名領導和專家組成��,現(xiàn)在隊伍很壯大����,有這么多單位�,還有不少的企業(yè)。
這個組織主要的工作職責大概有兩個方面:一個是對國家信息安全基礎性的標準工作�,包括安全技術����、安全機制�、安全管理����、安全評估這四大領域的標準進行研制,和信息安全相關的國家標準下面的統(tǒng)一的協(xié)調和申報��,包括后續(xù)的報批和審查��,主要是這兩塊����。這個事情是國標委在2004年有一個文做出了這個決定,因為我們國家的安全管理條塊分割很厲害����,主管部門有很多,想統(tǒng)一在一個標委會里面去制定安全標準��,必須要有一個協(xié)調和統(tǒng)一的機制�。TC260的組織機構現(xiàn)在是這樣的架構,主任����、副主任���、委員加上中間有秘書處作為一個常設機構,底下設了7個WG工作組�,主任委員工業(yè)和信息化部楊學山副部長,包括國家安全主管部門的9位副主任委員����,包括安全協(xié)調司、工信部科技司��、安全測評中心���、公安部��、保密局����、密碼管理局以及認監(jiān)委和總參����,請軍方的一些專家作為副主任委員,秘書處是放在中國電子技術標準化研究所�,秘書長是副所長林寧�。
這7個工作組的工作劃分大致是這樣�,WG1是信息協(xié)調工作組,主要的構成是15個安全界的專家��,主要是研究安全標準體系���、協(xié)調和審查所有安全標準的立項情況。WG2是涉密信息系統(tǒng)安全保密工作組��,主要的內容是涉及國家秘密信息系統(tǒng)的安全保密標準的制定���。WG3是商用密碼技術標準體系的研究和制定��,包括商用密碼算法����、商用密碼模塊和商用密碼管理等等相關的標準�。WG4是鑒別與授權工作組,主要是研究制定網絡標準體系��,包括鑒別與授權相關的安全標準����。WG5是安全評估���,主要是研究測評標準和我國統(tǒng)一的測評標準體系的框架。WG6是通信安全標準�,主要研究通信安全標準和相關急需的通信安全標準體系。WG7是信息安全管理工作組�。所以從這個架構來看,到目前為止它是把整個的安全標準需求都涵蓋得比較全���,一共是7個工作組����。
從2002年成立以后�,我們國家的安全標準制定情況,在2002年之前是在全國信息技術標準化委員會底下的一個分委員會���,它的制定標準模式主要是采用國際標準���。2002年以后,國家對安全標準高度重視���,成立了一個專門的標委會����,而且是統(tǒng)一歸口管理,它制定的策略是由簡單的單一采用國際標準���,慢慢學習借鑒國際標準����,并且鼓勵自主制定一些安全的國家標準��。當然標委會也有自己的標準制定的工作程序���,每年會有一些指南發(fā)布,它會有一個審查委員會�,有內部的審查和到國標委批準意向的流程。
“十一五”期間����,信安標委TC20是自己制訂了一個“十一五”的標準化規(guī)劃,它規(guī)劃了16個領域的標準制定���,工作重點包括信息安全等級保護����、網絡信任體系���、信息安全的應急處理��、信息安全測評����、信息安全管理等等,一共提出了160多項國家標準計劃��,發(fā)布了87項國家標準����,在研75項?���;旧显谀俏迥昶陂g,填補了我國很多信息化領域的安全標準空白��,并且標準化的整個體系初步建立���,整個前前后后從2002年開始����,發(fā)布了87項。2002年之前���,我記得當時只有20多項標準��,當時缺口很大�,這個相當于是前期的一些成果�。
國標分布的概況,安全等級保護有10項標準�,網絡信任體系建設有52項標準,信息應急處理有4項標準���,信息安全測評有25項��,這個測評里面包括了一些重要的安全產品���,技術標準��、產品測評標準和安全系統(tǒng)的測評與技術要求的標準�。安全管理標準有49項,這里面有很大一部分是屬于借鑒國際標準的情況����。
等保標準主要是圍繞GB/17859,等級保護的基礎標準一個強制性標準��,它做了技術要求、等保實施規(guī)范���、等保測評和一些管理要求��,形成了等級保護的子體系�。網絡信任體系標準是以密碼算法標準作為基礎��,上面有安全機制的標準�,PKI、PMI是公鑰基礎設施和公鑰管理技術措施的標準����,形成了網絡信任體系的子體系的標準。產品系統(tǒng)測評標準是以信息技術安全測評的基礎方法作為基礎���,主要涵蓋信息安全產品����、信息技術產品的安全和信息系統(tǒng)安全這幾類標準���,發(fā)布的標準非常多�,我在PPT里面大概列了一下,包括基本的準則��、產品的通用評價方法����、系統(tǒng)的保障評估框架,重要的安全產品有防火墻���、入侵檢測系統(tǒng)����、脆弱性掃描�、安全審計產品等等,基本是涵蓋現(xiàn)有我們在市場上能看到的一些重要安全產品��。還有一些重要信息系統(tǒng)的安全產品�,包括網上銀行、網上證券�、終端計算機系統(tǒng)以及應用軟件系統(tǒng)的安全標準。
管理標準主要是借鑒國際上的27000信息安全管理體系的標準����,我們覺得這27000系列是重要的安全管理重點��。大致的劃分,從應用到指南���,到27000的一些要求�,是這樣的情況�。27000系列在所有的信息系統(tǒng)安全管理方面是一個很重要的借鑒,還有一些其他的安全管理標準��,包括風險評估�、應急處理、災難恢復���、事件管理��、安全事件的分類分級��,以及和一些應用相關的互聯(lián)網電子政務信息安全實施指南����。初步形成了這個安全標準化的體系���,主要是四大類����,基礎標準、技術與機制標準��、管理標準和測評標準��?!笆濉逼陂g安全標準化的重點方向,一個是加強基礎理論的研究����,因為它涵蓋的范圍非常廣,涉及的領域也非常重要��,能夠形成一個更為完善的標準體系��,重點是做好安全產品以及重要的信息系統(tǒng)����、信息安全管理和服務等標準的研究和制定。同時�,加強對一些新技術和新應用的安全標準化的研究,包括我們列了下一代網絡��、先進計算�、云計算、物聯(lián)網����、三網融合、可信計算和工業(yè)控制系統(tǒng)等���,智能建筑應該是物聯(lián)網的背景底下去談安全的概念��。
第三部分�,我拋磚引玉講講門禁系統(tǒng)智能卡安全保障方面的一些標準化情況和簡單的觀點��。
首先��,我國的智能卡技術和產業(yè)現(xiàn)狀�。目前我們國家已經建立起從芯片設計和生產,模塊與IC卡片制造���,讀寫機具研制及應用軟件開發(fā)���、系統(tǒng)集成、整體解決方案提供�、技術支持服務和檢測檢驗等完整的智能卡產業(yè)鏈,這個產業(yè)鏈是基本形成了���。同時�,自主研發(fā)的能力逐步提高、規(guī)模生產能力不斷擴大����,產品能力種類日益豐富,產品質量和市場競爭力顯著提高����。國內研制的各類卡、讀寫機具等電子信息產品已占據了80%以上的市場份額�,國產化的程度還是比較高的。門禁系統(tǒng)智能卡的安全性�,它的安全功能目標比較單一、比較準確���,從這個角度來看�,這個智能卡的安全性是非常好的���,并且是有數據存儲和處理功能���,有的有操作系統(tǒng)軟件支持的IC卡,從這個角度來講它的安全性是相對比較好的����。
同時���,它概括出來兩大優(yōu)點:1,成本很低��,輕靈小巧�、便于攜帶使用��,而且適合大范圍的普及應用;2�,它里面有唯一標識用戶身份的秘密信息,同時現(xiàn)有的機制可保證這個信息可以得到很好的保護��,也就是我在交互的時候不會通過其他的渠道把這個用戶信息發(fā)布出去��。
在具體的應用當中��,為了增強安全性還采取一些組合方式����,包括用戶口令+智能卡,甚至還加上一些生物特征識別的驗證因子來實現(xiàn)對智能卡的身份驗證�。它的安全問題反映比較多的是關于卡掉了以后很容易被復制,它的可復制性和保證唯一性方面關注得比較少�,很少關注卡片與門禁系統(tǒng)間的加密認證,缺少安全密鑰體系的設計����,所以它的破解和復制相對比較容易����,智能卡整個行業(yè)除了門禁系統(tǒng)���,還有一些銀行卡����、磁條卡等�,它的復制太容易了,很容易就被破掉了��。
從國家標準的角度來看��,我們國家現(xiàn)有的智能卡身份識別和特征識別方面���,粗略統(tǒng)計了一下有36項��,包括從物理特征到記錄�,到它的編號體系���,以及不同的存在形態(tài)�,帶觸點的、不帶觸點的���、RFID的���,大概有36項,這是整體的國家標準的情況�。2001年還發(fā)布了2項生物特征識別的安全技術標準����。
為了保障智能卡應用安全,國家密碼管理局組織制訂了SM系列的國家密碼算法��,并公開了SM2��、SM3等算法���。全國信息安全標準化技術委員會也組織了一批密碼算法相關國家標準���,其中有11項已經發(fā)布,12項在研�。
智能建筑未來在信息安全方面的需求,一個是智能卡的信息安全測試方法的標準,門禁系統(tǒng)的安全風險評估與漏洞管理�,智能建筑與數字化社區(qū)相關的身份管理、密碼技術���、生物特征識別技術的標準化工作����,可能后續(xù)會成為很大的需求��,包括智能建筑與數字化社區(qū)相關的安全管理和個人信息的保護����,在這些方面開展標準化工作,可能對產業(yè)的健康和可持續(xù)發(fā)展有很重要的作用����。
最后,希望我們緊密結合行業(yè)需求����,與TC426共同努力、互相配合��、緊密結合行業(yè)的需求��,建立和完善信息安全保障體系。謝謝大家!
