当前位置: 首页 专题专栏 2017年专题 没有网络安全 就没有国家安全 学习贯彻《网络安全法》 正文
窄屏浏览

网络安全法解读之网络产品、服务与国密算法应用安全检测

发布时间:2017-12-21 09:14    来源:中国电子银行网     点击次数:   
核心提示今年6月1日正式生效实施的《中华人民共和国网络安全法》第二十二条规定:“网络产品、服务应当符合相关国家标准的强制性要求。”网络产品和服务多种多样,如何保证安全性?实现网络产品和服务安全可信的关键是什么?

今年6月1日正式生效实施的《中华人民共和国网络安全法》第二十二条规定:“网络产品、服务应当符合相关国家标准的强制性要求。”网络产品和服务多种多样,如何保证安全性?实现网络产品和服务安全可信的关键是什么?

网络产品、服务解读

《中华人民共和国网络安全法》第五条明确表示“保护关键信息基础设施免受攻击、侵入、干扰和破坏”“维护网络空间安全和秩序”。中央网络安全和信息化领导小组第一次会议中提到,关键信息基础设施涉及的重点领域包括政府、银行、证券、保险、电力、石油天然气、石化、煤炭、铁路、民航、公路、广播电视、国防军工、医疗卫生、教育、水利、环境保护等行业。毫无疑问,“关键信息基础设施”构成了我国网络空间的基础,而组成“关键信息基础设施”基础的则是网络产品、服务。

网络产品、服务的标准(金融领域)

什么样的网络产品、服务才符合我国网络安全的要求?

随着网络主权概念的逐渐明晰,“自主可控”已经成为信息化部署的关键词,着力提高重点行业信息安全产品的国产化率,实现重要信息系统安全可信。自主可控是指依靠自身研发设计,全面掌握产品核心技术,实现信息系统从硬件到软件的自主研发、生产、升级、维护的全程可控。那么,算法作为信息系统从软件到硬件的安全核心,尤其是在RSA 1024、SHA-1等国际算法不断被挑战的情况下,在重点行业领域推广国产密码算法成为当务之急。但是国产密码算法的应用还缺少可依据的标准,中国金融认证中心(CFCA)正努力推动金融信息系统密码应用检测认证规范,倾力打造国产密码算法在金融领域的示范工程。

国密算法应用安全检测

国家发改委于2015年启动了国家信息安全专项项目,在金融、民航、电力三大领域的重要信息系统中开展网络安全保障示范工程项目,推动国产密码算法在重要信息系统中的安全应用。

中国金融认证中心全程参与了金融领域安全IC卡和密码应用示范工程,并作为指定的示范工程验收检测机构,为参与金融领域应用试点的银行提供国密算法应用检测服务。金融领域安全IC卡和密码应用示范工程检测范围主要包括金融安全IC卡应用、网上银行应用、跨行交易应用、创新与科技攻关四个类别。

(一)金融安全IC卡应用示范

检测商业银行银行卡相关软硬件系统国密算法改造情况;检测POS机、ATM机、网点涉及国密算法升级改造的情况;检测项目中选用国密算法产品的通过检测认证的情况;检测项目建设单位是否具备了规模发行国产芯片、国密算法金融IC卡的能力。

(二)网上银行安全应用试点示范

检测商业银行采用支持国密算法的软硬件设备的情况以及系统国密算法改造的完成情况;检测网上银行业务相关的身份认证、传输加解密、报文加解密、数据加解密、签名验签、密钥管理等领域支持国密算法的情况;检测项目中选用国密算法产品的通过检测认证情况;检测项目建设单位是否具备了规模发行支持国密算法网银设备(动态令牌、USBKey)的能力。

(三)银行卡跨行交易系统改造

检测项目建设单位银行卡跨行交易系统改造以及采用国密算法接入银联转接系统的实际情况;检测项目中选用国密算法产品的通过检测认证情况。

(四)科技攻关项目

检测科技攻关项目中对SM2/3/4系列算法的应用情况,验证是否达到项目设定的攻关目标;检测项目中选用国密算法产品的通过检测认证情况。

从2016年12月开始至今,中国金融认证中心信息安全实验室陆续完成了中国银行、中国农业银行、中国工商银行、中国建设银行、中信银行、光大银行、广发银行等30余家商业银行的国密算法应用检测工作,为国密算法在金融领域的安全应用保驾护航。

国密算法应用展望

银行业是保障国计民生的重点行业,一直以来是我国网络安全和信息安全的重点领域。在国家发改委信息安全专项项目之后,各商业银行也将依据自身信息系统安全的需要,推广国产密码算法在银行核心系统、业务系统和前置系统的应用落地。

网络安全保障示范工程在金融、民航、电力三大领域推进实施的同时,其他关系国计民生的重点领域也将陆续启动网络安全保障工程,其中国密算法应用是关键一环。

中国金融认证中心信息安全实验室将竭诚为网络安全在各行业重要信息系统中的顺利推广提供从咨询、实施到检测验收的全流程一站式服务。

关于中国金融认证中心信息安全服务部

中国金融认证中心信息安全服务部可提供国密算法应用安全检测、银联卡PBOC检测、移动支付产品安全检测、芯片安全检测、信息安全等级保护、电子银行评估、账户信息安全标准评估、非金检测等咨询和检测服务。如果您希望了解更多信息,请拨打400-880-9888或登录www.cfca.com.cn在线客服咨询。