近日,以“聚合應(yīng)變,內(nèi)生安全”為主題的2020北京網(wǎng)絡(luò)安全大會(BCS 2020)在京舉行。在此期間,備受矚目的國家密碼技術(shù)團體標準——《移動智能終端密碼應(yīng)用團體標準》(以下簡稱標準)正式發(fā)布。作為標準編寫者及落地的重要推動力量之一,在聯(lián)盟的指導(dǎo)下,通付盾在標準制定期間,充分發(fā)揮了企業(yè)在技術(shù)標準推廣使用中的主體作用,得到行業(yè)專家一致肯定。
隨著移動互聯(lián)網(wǎng)應(yīng)用的普及,密碼技術(shù)在通信保密、數(shù)據(jù)保密存儲、數(shù)據(jù)簽名、軟件簽名、身份認證等網(wǎng)絡(luò)安全領(lǐng)域發(fā)揮著核心作用,傳統(tǒng)PC網(wǎng)絡(luò)密碼技術(shù)的使用方式在移動互聯(lián)網(wǎng)中面臨許多新的問題。
為探索符合我國國情的移動互聯(lián)網(wǎng)密碼應(yīng)用新模式、新技術(shù),促進國產(chǎn)密碼技術(shù)和相關(guān)產(chǎn)業(yè)健康發(fā)展,自2017年起,中關(guān)村網(wǎng)絡(luò)安全與信息化產(chǎn)業(yè)聯(lián)盟EMCG工作組根據(jù)《中華人民共和國標準化法》、《團體標準管理規(guī)定》,開始了移動智能終端密碼應(yīng)用團體標準的研究工作,通付盾作為移動安全企業(yè)代表受邀參與標準制定工作。
關(guān)于EMCG團體標準系列體系
移動智能終端密碼的團體標準體系由四個標準組成——
第一個標準《移動智能終端密碼模塊》,它的作用是為移動智能終端密碼技術(shù)實現(xiàn)提供研發(fā)技術(shù)規(guī)范。此標準于2019年8月23日正式發(fā)布;
第二個標準《移動智能終端密碼技術(shù)政企應(yīng)用指南》,它的作用是為政企單位提供移動智能密碼系統(tǒng)建設(shè)和使用指南。此標準于2020年8月14日正式發(fā)布;
第三個標準《移動智能終端密碼金融安全應(yīng)用指南》,它作用是為用戶和消費者使用移動金融系統(tǒng)提供密碼系統(tǒng)建設(shè)和使用指南。目前此標準仍在籌備當(dāng)中;
第四個標準《移動智能終端密碼應(yīng)用技術(shù)檢測規(guī)范》,它的作用為第一個標準提供密碼實現(xiàn)產(chǎn)品的檢驗方法和過程。此標準有望今年年底或者明年進行發(fā)布。
據(jù)了解,此次發(fā)布亮相的《移動智能終端密碼技術(shù)政企應(yīng)用指南》團體標準,在密碼模塊新形態(tài)、密鑰保護新模式、高安全級密碼模塊實施方案等方面取得了多項突破,對國產(chǎn)密碼的應(yīng)用將起到示范與引領(lǐng)作用。此外,該項團體標準填補了移動終端軟件密碼模塊技術(shù)標準的空白,標志著我國密碼技術(shù)研究又向前邁出了重要一步。
通付盾深度參與標準制定工作
在《移動智能終端密碼模塊》標準制定過程中,通付盾主導(dǎo)了標準的第三部分--密鑰加密服務(wù)端保護技術(shù)框架的編寫工作,該部分工作內(nèi)容可以幫助移動智能終端保護終端內(nèi)的敏感數(shù)據(jù),同時該標準通過了國家密碼管理局密碼模塊的資質(zhì)認證,可達到0028標準的密碼模塊二級。目前該技術(shù)框架已應(yīng)用于通付盾實際產(chǎn)品和實際業(yè)務(wù)場景中,廣泛服務(wù)政企、銀行等客戶。
在《移動智能終端密碼技術(shù)政企應(yīng)用指南》標準制定過程中,通付盾主導(dǎo)了用戶證書登錄標準的編寫工作。用戶證書登錄是政企信息系統(tǒng)防范業(yè)務(wù)風(fēng)險的第一道關(guān)卡,在幾乎所有應(yīng)用場景中均有所體現(xiàn),但是由于早期應(yīng)用缺乏統(tǒng)一的標準,安全性良莠不齊,因此,用戶證書登錄的標準建設(shè),在政企的安全信息系統(tǒng)整體建設(shè)當(dāng)中,擔(dān)任了極其重要的環(huán)節(jié)。
通付盾安全專家朱旭光表示,此次通付盾參與的《移動智能終端密碼技術(shù)政企應(yīng)用指南》標準編寫工作,是對《移動智能終端密碼模塊》框架的應(yīng)用衍生,使移動智能終端密碼系列更加更加完整、統(tǒng)一。編寫方案充分考慮了CA系統(tǒng)兼容性問題,使得整體標準的合法性有所提升。
在技術(shù)實現(xiàn)方面,用戶證書登錄方案主要利用了公鑰密碼、數(shù)字簽名不可篡改性,讓用戶和信息系統(tǒng)以互相交換簽名數(shù)據(jù),并以對方數(shù)據(jù)驗簽的方式鑒別對方的身份合法性,防止非法訪問,保證了系統(tǒng)的真實可靠。此技術(shù)方案已在通付盾身份驗證產(chǎn)品中得到廣泛應(yīng)用,在金融能源等行業(yè)已經(jīng)積累了多個成功案例。
通付盾作為國內(nèi)移動安全與國產(chǎn)密碼領(lǐng)導(dǎo)廠商,近年來發(fā)力于互聯(lián)網(wǎng)安全、云計算、大數(shù)據(jù)安全,參與諸多互聯(lián)網(wǎng)安全,尤其是移動互聯(lián)網(wǎng)安全的標準制定,如:《移動智能終端密碼應(yīng)用技術(shù)框架》、《移動互聯(lián)基本要求指南》、《政務(wù)應(yīng)用App安全要求和檢測方法》、《移動互聯(lián)應(yīng)用程序(App)個人信息安全測評規(guī)范》等,在移動安全與標準制定方面積累了豐富經(jīng)驗。
此次團體標準的編制工作,體現(xiàn)了行業(yè)專家們對通付盾技術(shù)實力的尊重與肯定,加強自身對技術(shù)與資質(zhì)(如信息安全產(chǎn)品測評EAL系列,商密系列,軍工系列等)的梳理工作;同時幫助研發(fā)團隊總結(jié)技術(shù)開發(fā)經(jīng)驗,對團隊及企業(yè)產(chǎn)品技術(shù)提升帶來巨大的促進作用。
當(dāng)前我國開展密碼標準制定的數(shù)量和范圍還很不夠,標準研究工作與國際水平還有差距,存在著資源浪費、檢測方法落后、應(yīng)用普及率不高等諸多問題。通付盾愿與更多機構(gòu)、企業(yè)和個人展開多層次合作,為科學(xué)發(fā)展我國密碼產(chǎn)業(yè)標準化營造良好的環(huán)境氛圍,助力實現(xiàn)未來網(wǎng)絡(luò)科技生態(tài)安全。
申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機遇!