重點(diǎn)領(lǐng)域網(wǎng)絡(luò)與信息安全問題分析與建議

1、移動金融檢測規(guī)范簡介,國家金卡工程IC卡產(chǎn)品信息安全測評中心國家信息安全產(chǎn)品認(rèn)證指定實(shí)驗(yàn)室中國人民銀行非金融機(jī)構(gòu)支付服務(wù)業(yè)務(wù)系統(tǒng)檢測機(jī)構(gòu)公安部授權(quán)信息安全等級保護(hù)測評機(jī)構(gòu)（京-001）,內(nèi)容提綱,,,標(biāo)準(zhǔn)制定的必要性,2,,,標(biāo)準(zhǔn)編制的可行性,3,,,編制原則,4,,,標(biāo)準(zhǔn)內(nèi)容介紹,5,,,標(biāo)準(zhǔn)框架介紹,1,標(biāo)準(zhǔn)框架介紹,標(biāo)準(zhǔn)框架介紹,標(biāo)準(zhǔn)框架介紹,內(nèi)容提綱,,,標(biāo)準(zhǔn)制定的必要性,2,,,標(biāo)準(zhǔn)編制的可行性,3,,,編制原則,4,,

2、,標(biāo)準(zhǔn)內(nèi)容介紹,5,,,標(biāo)準(zhǔn)框架介紹,1,標(biāo)準(zhǔn)制定的必要性,內(nèi)容提綱,,,標(biāo)準(zhǔn)制定的必要性,2,,,標(biāo)準(zhǔn)編制的可行性,3,,,編制原則,4,,,標(biāo)準(zhǔn)內(nèi)容介紹,5,,,標(biāo)準(zhǔn)框架介紹,1,標(biāo)準(zhǔn)編制的可行性,內(nèi)容提綱,,,標(biāo)準(zhǔn)制定的必要性,2,,,標(biāo)準(zhǔn)編制的可行性,3,,,編制原則,4,,,標(biāo)準(zhǔn)內(nèi)容介紹,5,,,標(biāo)準(zhǔn)框架介紹,1,總體介紹,編制原則,內(nèi)容提綱,,,標(biāo)準(zhǔn)制定的必要性,2,,,標(biāo)準(zhǔn)編制的可行性,3,,,編制原則,4,,,標(biāo)準(zhǔn)內(nèi)容介

3、紹,5,,,標(biāo)準(zhǔn)框架介紹,1,1.非接觸式接口檢測規(guī)范,標(biāo)準(zhǔn)框架,針對移動支付特點(diǎn)及非接觸接口規(guī)范中涉及的主要內(nèi)容和重點(diǎn)問題，進(jìn)行了全面的分析和設(shè)計(jì)。對非接觸接口的設(shè)計(jì)和實(shí)現(xiàn)提出了具體要求和檢測標(biāo)準(zhǔn)，保障了移動支付環(huán)境中的非接觸接口的兼容性和穩(wěn)定性。,1.非接觸式接口檢測規(guī)范,電氣特性測試,1.非接觸式接口檢測規(guī)范,傳輸協(xié)議測試-TYPE A,1.非接觸式接口檢測規(guī)范,傳輸協(xié)議測試-TYPE B,1.非接觸式接口檢測規(guī)范,塊傳輸協(xié)議執(zhí)行

4、測試,2.安全芯片檢測規(guī)范,背景安全芯片是移動支付重要的安全角色安全芯片需要高安全性來應(yīng)對多元化的攻擊應(yīng)用于移動支付的安全芯片需要配套的檢測規(guī)范意義保障移動支付中芯片的安全性對芯片的安全性進(jìn)行了全面的檢測和評價(jià)攻擊測試類型與國際接軌,為國內(nèi)外互認(rèn)奠定基礎(chǔ),2.安全芯片檢測規(guī)范,檢測目的,2.安全芯片檢測規(guī)范,芯片安全功能要求,2.安全芯片檢測規(guī)范,交易性能測試,2.安全芯片檢測規(guī)范,芯片抗攻擊能力要求,2.安全芯片檢測規(guī)范

5、,安全功能檢測,2.安全芯片檢測規(guī)范,抗攻擊能力檢測,2.安全芯片檢測規(guī)范,安全功能檢測方法,2.安全芯片檢測規(guī)范,抗攻擊能力檢測方法,2.安全芯片檢測規(guī)范,檢測步驟,3.客戶端軟件檢測規(guī)范,背景及意義快速發(fā)展需要：客戶端軟件作為應(yīng)用與以其便捷的操作、良好的用戶體驗(yàn)，成為移動支付一個(gè)新的發(fā)展趨勢?？蛻趔w驗(yàn)需要：考慮到客戶端軟件運(yùn)行平臺的多樣化，軟件作為用戶支付服務(wù)的窗口，選用安全可靠的客戶端軟件是極其重要的。創(chuàng)新性需要：目前尚

6、無針對客戶端軟件檢測的國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)；同時(shí)，本標(biāo)準(zhǔn)未被納入已有的國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)制修訂計(jì)劃。規(guī)范性需要：確保移動支付業(yè)務(wù)的安全應(yīng)用，規(guī)范移動支付客戶端軟件的檢測行為。,3.客戶端軟件檢測規(guī)范,適用范圍客戶端軟件僅指運(yùn)行于移動終端操作系統(tǒng)的應(yīng)用軟件。適用于所有遠(yuǎn)程支付和近場支付的客戶端軟件的檢測。適用于移動支付客戶端軟件檢測機(jī)構(gòu)以及設(shè)計(jì)、開發(fā)、集成、維護(hù)等相關(guān)單位。,3.客戶端軟件檢測規(guī)范,總體框架,3.客戶端軟件檢測

7、規(guī)范,基本測項(xiàng),3.客戶端軟件檢測規(guī)范,安全檢測項(xiàng),4.受理終端安全檢測規(guī)范,總體框架,4.受理終端安全檢測規(guī)范,終端檢測內(nèi)容,4.受理終端安全檢測規(guī)范,PIN輸入設(shè)備檢測內(nèi)容,5.SE物理電氣特性和通訊協(xié)議檢測規(guī)范,檢測內(nèi)容,5.SE物理電氣特性和通訊協(xié)議檢測規(guī)范,一般特性,5.SE物理電氣特性和通訊協(xié)議檢測規(guī)范,電氣特性,5.SE物理電氣特性和通訊協(xié)議檢測規(guī)范,邏輯操作復(fù)位應(yīng)答（ATR）T=0協(xié)議T=1協(xié)議SWP&H

8、CI協(xié)議SWP協(xié)議的測試標(biāo)準(zhǔn)請參考《ETSI TS 102 694-2 Test specification for the Single Wire Protocol (SWP)》規(guī)范。HCI測試標(biāo)準(zhǔn)請參考《ETSI TS 102 695-2 Test specification for the Host Controller Interface (HCI)》規(guī)范。,5.SE物理電氣特性和通訊協(xié)議檢測規(guī)范,非接觸接口非接觸接口的測

9、試標(biāo)準(zhǔn)請參考《移動支付-檢測規(guī)范 第1部分：非接觸式接口》,6.SE嵌入式軟件安全檢測規(guī)范,概述,6.SE嵌入式軟件安全檢測規(guī)范,SE嵌入式軟件安全要求參照標(biāo)準(zhǔn)GB/T 20276-2006《信息安全技術(shù) 智能卡嵌入式軟件安全技術(shù)要求（EAL4+）》GB/T 18336-2008《信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評估準(zhǔn)則》SE多應(yīng)用平臺安全要求參照標(biāo)準(zhǔn):GPSR (GP Card Security Requirement

10、s Specification V1.0）GPCS（GP Card specification V2.1.1）,6.SE嵌入式軟件安全檢測規(guī)范,SE多應(yīng)用平臺安全檢測內(nèi)容,6.SE嵌入式軟件安全檢測規(guī)范,SE嵌入式軟件邏輯攻擊,6.SE嵌入式軟件安全檢測規(guī)范,SE嵌入式軟件測試,6.SE嵌入式軟件安全檢測規(guī)范,SE嵌入式軟件測評步驟,7.SE應(yīng)用檢測規(guī)范,概述本檢測標(biāo)準(zhǔn)從命令格式、交互流程、狀態(tài)機(jī)轉(zhuǎn)換、異常情況處理等方面進(jìn)行了描述