近日,以「聚合應變,內生安全」為主題的2020北京網絡安全大會(BCS 2020)在京舉行。在此期間,備受矚目的國家密碼技術團體標準——《移動智能終端密碼應用團體標準》(以下簡稱標準)正式發布。作為標準編寫者及落地的重要推動力量之一,在聯盟的指導下,通付盾在標準制定期間,充分發揮了企業在技術標準推廣使用中的主體作用,得到行業專家一致肯定。
隨著移動網際網路應用的普及,密碼技術在通信保密、數據保密存儲、數據籤名、軟體籤名、身份認證等網絡安全領域發揮著核心作用,傳統PC網絡密碼技術的使用方式在移動網際網路中面臨許多新的問題。
為探索符合我國國情的移動網際網路密碼應用新模式、新技術,促進國產密碼技術和相關產業健康發展,自2017年起,中關村網絡安全與信息化產業聯盟EMCG工作組根據《中華人民共和國標準化法》、《團體標準管理規定》,開始了移動智能終端密碼應用團體標準的研究工作,通付盾作為移動安全企業代表受邀參與標準制定工作。
關於EMCG團體標準系列體系
移動智能終端密碼的團體標準體系由四個標準組成——
第一個標準《移動智能終端密碼模塊》,它的作用是為移動智能終端密碼技術實現提供研發技術規範。此標準於2019年8月23日正式發布;
第二個標準《移動智能終端密碼技術政企應用指南》,它的作用是為政企單位提供移動智能密碼系統建設和使用指南。此標準於2020年8月14日正式發布;
第三個標準《移動智能終端密碼金融安全應用指南》,它作用是為用戶和消費者使用移動金融系統提供密碼系統建設和使用指南。目前此標準仍在籌備當中;
第四個標準《移動智能終端密碼應用技術檢測規範》,它的作用為第一個標準提供密碼實現產品的檢驗方法和過程。此標準有望今年年底或者明年進行發布。
據了解,此次發布亮相的《移動智能終端密碼技術政企應用指南》團體標準,在密碼模塊新形態、密鑰保護新模式、高安全級密碼模塊實施方案等方面取得了多項突破,對國產密碼的應用將起到示範與引領作用。此外,該項團體標準填補了移動終端軟體密碼模塊技術標準的空白,標誌著我國密碼技術研究又向前邁出了重要一步。
通付盾深度參與標準制定工作
在《移動智能終端密碼模塊》標準制定過程中,通付盾主導了標準的第三部分--密鑰加密服務端保護技術框架的編寫工作,該部分工作內容可以幫助移動智能終端保護終端內的敏感數據,同時該標準通過了國家密碼管理局密碼模塊的資質認證,可達到0028標準的密碼模塊二級。目前該技術框架已應用於通付盾實際產品和實際業務場景中,廣泛服務政企、銀行等客戶。
在《移動智能終端密碼技術政企應用指南》標準制定過程中,通付盾主導了用戶證書登錄標準的編寫工作。用戶證書登錄是政企信息系統防範業務風險的第一道關卡,在幾乎所有應用場景中均有所體現,但是由於早期應用缺乏統一的標準,安全性良莠不齊,因此,用戶證書登錄的標準建設,在政企的安全信息系統整體建設當中,擔任了極其重要的環節。
通付盾安全專家朱旭光表示,此次通付盾參與的《移動智能終端密碼技術政企應用指南》標準編寫工作,是對《移動智能終端密碼模塊》框架的應用衍生,使移動智能終端密碼系列更加更加完整、統一。編寫方案充分考慮了CA系統兼容性問題,使得整體標準的合法性有所提升。
在技術實現方面,用戶證書登錄方案主要利用了公鑰密碼、數字籤名不可篡改性,讓用戶和信息系統以互相交換籤名數據,並以對方數據驗籤的方式鑑別對方的身份合法性,防止非法訪問,保證了系統的真實可靠。此技術方案已在通付盾身份驗證產品中得到廣泛應用,在金融能源等行業已經積累了多個成功案例。
通付盾作為國內移動安全與國產密碼領導廠商,近年來發力於網際網路安全、雲計算、大數據安全,參與諸多網際網路安全,尤其是移動網際網路安全的標準制定,如:《移動智能終端密碼應用技術框架》、《移動互聯基本要求指南》、《政務應用App安全要求和檢測方法》、《移動互聯應用程式(App)個人信息安全測評規範》等,在移動安全與標準制定方面積累了豐富經驗。
此次團體標準的編制工作,體現了行業專家們對通付盾技術實力的尊重與肯定,加強自身對技術與資質(如信息安全產品測評EAL系列,商密系列,軍工系列等)的梳理工作;同時幫助研發團隊總結技術開發經驗,對團隊及企業產品技術提升帶來巨大的促進作用。
當前我國開展密碼標準制定的數量和範圍還很不夠,標準研究工作與國際水平還有差距,存在著資源浪費、檢測方法落後、應用普及率不高等諸多問題。通付盾願與更多機構、企業和個人展開多層次合作,為科學發展我國密碼產業標準化營造良好的環境氛圍,助力實現未來網絡科技生態安全。