重點(diǎn)領(lǐng)域網(wǎng)絡(luò)與信息安全問(wèn)題分析與建議

1、移動(dòng)金融檢測(cè)規(guī)范簡(jiǎn)介,國(guó)家金卡工程IC卡產(chǎn)品信息安全測(cè)評(píng)中心國(guó)家信息安全產(chǎn)品認(rèn)證指定實(shí)驗(yàn)室中國(guó)人民銀行非金融機(jī)構(gòu)支付服務(wù)業(yè)務(wù)系統(tǒng)檢測(cè)機(jī)構(gòu)公安部授權(quán)信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)（京-001）,內(nèi)容提綱,,,標(biāo)準(zhǔn)制定的必要性,2,,,標(biāo)準(zhǔn)編制的可行性,3,,,編制原則,4,,,標(biāo)準(zhǔn)內(nèi)容介紹,5,,,標(biāo)準(zhǔn)框架介紹,1,標(biāo)準(zhǔn)框架介紹,標(biāo)準(zhǔn)框架介紹,標(biāo)準(zhǔn)框架介紹,內(nèi)容提綱,,,標(biāo)準(zhǔn)制定的必要性,2,,,標(biāo)準(zhǔn)編制的可行性,3,,,編制原則,4,,

2、,標(biāo)準(zhǔn)內(nèi)容介紹,5,,,標(biāo)準(zhǔn)框架介紹,1,標(biāo)準(zhǔn)制定的必要性,內(nèi)容提綱,,,標(biāo)準(zhǔn)制定的必要性,2,,,標(biāo)準(zhǔn)編制的可行性,3,,,編制原則,4,,,標(biāo)準(zhǔn)內(nèi)容介紹,5,,,標(biāo)準(zhǔn)框架介紹,1,標(biāo)準(zhǔn)編制的可行性,內(nèi)容提綱,,,標(biāo)準(zhǔn)制定的必要性,2,,,標(biāo)準(zhǔn)編制的可行性,3,,,編制原則,4,,,標(biāo)準(zhǔn)內(nèi)容介紹,5,,,標(biāo)準(zhǔn)框架介紹,1,總體介紹,編制原則,內(nèi)容提綱,,,標(biāo)準(zhǔn)制定的必要性,2,,,標(biāo)準(zhǔn)編制的可行性,3,,,編制原則,4,,,標(biāo)準(zhǔn)內(nèi)容介

3、紹,5,,,標(biāo)準(zhǔn)框架介紹,1,1.非接觸式接口檢測(cè)規(guī)范,標(biāo)準(zhǔn)框架,針對(duì)移動(dòng)支付特點(diǎn)及非接觸接口規(guī)范中涉及的主要內(nèi)容和重點(diǎn)問(wèn)題，進(jìn)行了全面的分析和設(shè)計(jì)。對(duì)非接觸接口的設(shè)計(jì)和實(shí)現(xiàn)提出了具體要求和檢測(cè)標(biāo)準(zhǔn)，保障了移動(dòng)支付環(huán)境中的非接觸接口的兼容性和穩(wěn)定性。,1.非接觸式接口檢測(cè)規(guī)范,電氣特性測(cè)試,1.非接觸式接口檢測(cè)規(guī)范,傳輸協(xié)議測(cè)試-TYPE A,1.非接觸式接口檢測(cè)規(guī)范,傳輸協(xié)議測(cè)試-TYPE B,1.非接觸式接口檢測(cè)規(guī)范,塊傳輸協(xié)議執(zhí)行

4、測(cè)試,2.安全芯片檢測(cè)規(guī)范,背景安全芯片是移動(dòng)支付重要的安全角色安全芯片需要高安全性來(lái)應(yīng)對(duì)多元化的攻擊應(yīng)用于移動(dòng)支付的安全芯片需要配套的檢測(cè)規(guī)范意義保障移動(dòng)支付中芯片的安全性對(duì)芯片的安全性進(jìn)行了全面的檢測(cè)和評(píng)價(jià)攻擊測(cè)試類型與國(guó)際接軌,為國(guó)內(nèi)外互認(rèn)奠定基礎(chǔ),2.安全芯片檢測(cè)規(guī)范,檢測(cè)目的,2.安全芯片檢測(cè)規(guī)范,芯片安全功能要求,2.安全芯片檢測(cè)規(guī)范,交易性能測(cè)試,2.安全芯片檢測(cè)規(guī)范,芯片抗攻擊能力要求,2.安全芯片檢測(cè)規(guī)范

5、,安全功能檢測(cè),2.安全芯片檢測(cè)規(guī)范,抗攻擊能力檢測(cè),2.安全芯片檢測(cè)規(guī)范,安全功能檢測(cè)方法,2.安全芯片檢測(cè)規(guī)范,抗攻擊能力檢測(cè)方法,2.安全芯片檢測(cè)規(guī)范,檢測(cè)步驟,3.客戶端軟件檢測(cè)規(guī)范,背景及意義快速發(fā)展需要：客戶端軟件作為應(yīng)用與以其便捷的操作、良好的用戶體驗(yàn)，成為移動(dòng)支付一個(gè)新的發(fā)展趨勢(shì)。客戶體驗(yàn)需要：考慮到客戶端軟件運(yùn)行平臺(tái)的多樣化，軟件作為用戶支付服務(wù)的窗口，選用安全可靠的客戶端軟件是極其重要的。創(chuàng)新性需要：目前尚

6、無(wú)針對(duì)客戶端軟件檢測(cè)的國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)；同時(shí)，本標(biāo)準(zhǔn)未被納入已有的國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)制修訂計(jì)劃。規(guī)范性需要：確保移動(dòng)支付業(yè)務(wù)的安全應(yīng)用，規(guī)范移動(dòng)支付客戶端軟件的檢測(cè)行為。,3.客戶端軟件檢測(cè)規(guī)范,適用范圍客戶端軟件僅指運(yùn)行于移動(dòng)終端操作系統(tǒng)的應(yīng)用軟件。適用于所有遠(yuǎn)程支付和近場(chǎng)支付的客戶端軟件的檢測(cè)。適用于移動(dòng)支付客戶端軟件檢測(cè)機(jī)構(gòu)以及設(shè)計(jì)、開發(fā)、集成、維護(hù)等相關(guān)單位。,3.客戶端軟件檢測(cè)規(guī)范,總體框架,3.客戶端軟件檢測(cè)

7、規(guī)范,基本測(cè)項(xiàng),3.客戶端軟件檢測(cè)規(guī)范,安全檢測(cè)項(xiàng),4.受理終端安全檢測(cè)規(guī)范,總體框架,4.受理終端安全檢測(cè)規(guī)范,終端檢測(cè)內(nèi)容,4.受理終端安全檢測(cè)規(guī)范,PIN輸入設(shè)備檢測(cè)內(nèi)容,5.SE物理電氣特性和通訊協(xié)議檢測(cè)規(guī)范,檢測(cè)內(nèi)容,5.SE物理電氣特性和通訊協(xié)議檢測(cè)規(guī)范,一般特性,5.SE物理電氣特性和通訊協(xié)議檢測(cè)規(guī)范,電氣特性,5.SE物理電氣特性和通訊協(xié)議檢測(cè)規(guī)范,邏輯操作復(fù)位應(yīng)答（ATR）T=0協(xié)議T=1協(xié)議SWP&H

8、CI協(xié)議SWP協(xié)議的測(cè)試標(biāo)準(zhǔn)請(qǐng)參考《ETSI TS 102 694-2 Test specification for the Single Wire Protocol (SWP)》規(guī)范。HCI測(cè)試標(biāo)準(zhǔn)請(qǐng)參考《ETSI TS 102 695-2 Test specification for the Host Controller Interface (HCI)》規(guī)范。,5.SE物理電氣特性和通訊協(xié)議檢測(cè)規(guī)范,非接觸接口非接觸接口的測(cè)

9、試標(biāo)準(zhǔn)請(qǐng)參考《移動(dòng)支付-檢測(cè)規(guī)范 第1部分：非接觸式接口》,6.SE嵌入式軟件安全檢測(cè)規(guī)范,概述,6.SE嵌入式軟件安全檢測(cè)規(guī)范,SE嵌入式軟件安全要求參照標(biāo)準(zhǔn)GB/T 20276-2006《信息安全技術(shù) 智能卡嵌入式軟件安全技術(shù)要求（EAL4+）》GB/T 18336-2008《信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評(píng)估準(zhǔn)則》SE多應(yīng)用平臺(tái)安全要求參照標(biāo)準(zhǔn):GPSR (GP Card Security Requirement

10、s Specification V1.0）GPCS（GP Card specification V2.1.1）,6.SE嵌入式軟件安全檢測(cè)規(guī)范,SE多應(yīng)用平臺(tái)安全檢測(cè)內(nèi)容,6.SE嵌入式軟件安全檢測(cè)規(guī)范,SE嵌入式軟件邏輯攻擊,6.SE嵌入式軟件安全檢測(cè)規(guī)范,SE嵌入式軟件測(cè)試,6.SE嵌入式軟件安全檢測(cè)規(guī)范,SE嵌入式軟件測(cè)評(píng)步驟,7.SE應(yīng)用檢測(cè)規(guī)范,概述本檢測(cè)標(biāo)準(zhǔn)從命令格式、交互流程、狀態(tài)機(jī)轉(zhuǎn)換、異常情況處理等方面進(jìn)行了描述