重點領(lǐng)域網(wǎng)絡(luò)與信息安全問題分析與建議課件

1、移動金融檢測規(guī)范簡介國家金卡工程IC卡產(chǎn)品信息安全測評中心國家信息安全產(chǎn)品認(rèn)證指定實驗室中國人民銀行非金融機(jī)構(gòu)支付服務(wù)業(yè)務(wù)系統(tǒng)檢測機(jī)構(gòu)公安部授權(quán)信息安全等級保護(hù)測評機(jī)構(gòu)（京-001）內(nèi)容提綱標(biāo)準(zhǔn)制定的必要性2標(biāo)準(zhǔn)編制的可行性3編制原則4標(biāo)準(zhǔn)內(nèi)容介紹5標(biāo)準(zhǔn)框架介紹1標(biāo)準(zhǔn)框架介紹標(biāo)準(zhǔn)框架介紹標(biāo)準(zhǔn)框架介紹內(nèi)容提綱標(biāo)準(zhǔn)制定的必要性2標(biāo)準(zhǔn)編制的可行性3編制原則4標(biāo)準(zhǔn)內(nèi)容介紹5標(biāo)準(zhǔn)框架介紹1標(biāo)準(zhǔn)制定的必要性內(nèi)容提綱標(biāo)準(zhǔn)制定的必要性2標(biāo)準(zhǔn)編制的可行性3編制原則4標(biāo)準(zhǔn)內(nèi)容介紹5標(biāo)準(zhǔn)框架介紹1標(biāo)準(zhǔn)編制的可行性內(nèi)容提綱標(biāo)準(zhǔn)制定的必要性2標(biāo)準(zhǔn)編制的可行性3編制原則4標(biāo)準(zhǔn)內(nèi)容介紹5標(biāo)準(zhǔn)框架介紹1總體介紹編制原則內(nèi)容提

2、綱標(biāo)準(zhǔn)制定的必要性2標(biāo)準(zhǔn)編制的可行性3編制原則4標(biāo)準(zhǔn)內(nèi)容介紹5標(biāo)準(zhǔn)框架介紹11.非接觸式接口檢測規(guī)范標(biāo)準(zhǔn)框架針對移動支付特點及非接觸接口規(guī)范中涉及的主要內(nèi)容和重點問題，進(jìn)行了全面的分析和設(shè)計。對非接觸接口的設(shè)計和實現(xiàn)提出了具體要求和檢測標(biāo)準(zhǔn)，保障了移動支付環(huán)境中的非接觸接口的兼容性和穩(wěn)定性。1.非接觸式接口檢測規(guī)范電氣特性測試1.非接觸式接口檢測規(guī)范傳輸協(xié)議測試-TYPE A1.非接觸式接口檢測規(guī)范傳輸協(xié)議測試-TYPE B1.非接觸式接口檢測規(guī)范塊傳輸協(xié)議執(zhí)行測試2.安全芯片檢測規(guī)范背景安全芯片是移動支付重要的安全角色安全芯片需要高安全性來應(yīng)對多元化的攻擊應(yīng)用于移動支付的安全芯片需要配套的檢

3、測規(guī)范意義保障移動支付中芯片的安全性對芯片的安全性進(jìn)行了全面的檢測和評價攻擊測試類型與國際接軌,為國內(nèi)外互認(rèn)奠定基礎(chǔ)2.安全芯片檢測規(guī)范檢測目的2.安全芯片檢測規(guī)范芯片安全功能要求2.安全芯片檢測規(guī)范交易性能測試2.安全芯片檢測規(guī)范芯片抗攻擊能力要求2.安全芯片檢測規(guī)范安全功能檢測2.安全芯片檢測規(guī)范抗攻擊能力檢測2.安全芯片檢測規(guī)范安全功能檢測方法2.安全芯片檢測規(guī)范抗攻擊能力檢測方法2.安全芯片檢測規(guī)范檢測步驟3.客戶端軟件檢測規(guī)范背景及意義快速發(fā)展需要：客戶端軟件作為應(yīng)用與以其便捷的操作、良好的用戶體驗，成為移動支付一個新的發(fā)展趨勢。客戶體驗需要：考慮到客戶端軟件運行平臺的多樣化，軟件作

4、為用戶支付服務(wù)的窗口，選用安全可靠的客戶端軟件是極其重要的。創(chuàng)新性需要：目前尚無針對客戶端軟件檢測的國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)；同時，本標(biāo)準(zhǔn)未被納入已有的國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)制修訂計劃。規(guī)范性需要：確保移動支付業(yè)務(wù)的安全應(yīng)用，規(guī)范移動支付客戶端軟件的檢測行為。3.客戶端軟件檢測規(guī)范適用范圍客戶端軟件僅指運行于移動終端操作系統(tǒng)的應(yīng)用軟件。適用于所有遠(yuǎn)程支付和近場支付的客戶端軟件的檢測。適用于移動支付客戶端軟件檢測機(jī)構(gòu)以及設(shè)計、開發(fā)、集成、維護(hù)等相關(guān)單位。3.客戶端軟件檢測規(guī)范總體框架3.客戶端軟件檢測規(guī)范基本測項3.客戶端軟件檢測規(guī)范安全檢測項4.受理終端安全檢測規(guī)范總體框架4.受理終端安全檢測規(guī)范終端檢

5、測內(nèi)容4.受理終端安全檢測規(guī)范PIN輸入設(shè)備檢測內(nèi)容5.SE物理電氣特性和通訊協(xié)議檢測規(guī)范檢測內(nèi)容5.SE物理電氣特性和通訊協(xié)議檢測規(guī)范一般特性5.SE物理電氣特性和通訊協(xié)議檢測規(guī)范電氣特性測試項目測試目的VCC觸點測量SE在VCC觸點上所消耗的電流，并檢測在給定的Vcc范圍內(nèi)SE能否工作I/O觸點測量I/O觸點的接觸電容，正常工作模式下(IOLmax/min和IOHmax/min)輸出電壓(VOH,VOL),SE發(fā)送數(shù)據(jù)時I/O端的tR和tF，接收數(shù)據(jù)時I/O端的輸人電流IIL)CLK觸點測量SE的CLK觸點的電流，檢測SE在一給定時鐘頻率和波形下能否運行RST觸點測量卡在RST觸點上所消耗

6、的電流，并檢測RST5.SE物理電氣特性和通訊協(xié)議檢測規(guī)范邏輯操作復(fù)位應(yīng)答（ATR）T=0協(xié)議T=1協(xié)議SWP&HCI協(xié)議SWP協(xié)議的測試標(biāo)準(zhǔn)請參考ETSI TS 102 694-2 Test specification for the Single Wire Protocol (SWP)規(guī)范。HCI測試標(biāo)準(zhǔn)請參考ETSI TS 102 695-2 Test specification for the Host Controller Interface (HCI)規(guī)范。5.SE物理電氣特性和通訊協(xié)議檢測規(guī)范非接觸接口非接觸接口的測試標(biāo)準(zhǔn)請參考移動支付-檢測規(guī)范 第1部分：非接觸式接口6.SE嵌

7、入式軟件安全檢測規(guī)范概述6.SE嵌入式軟件安全檢測規(guī)范SE嵌入式軟件安全要求參照標(biāo)準(zhǔn)GB/T 20276-2006信息安全技術(shù) 智能卡嵌入式軟件安全技術(shù)要求（EAL4+）GB/T 18336-2008信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評估準(zhǔn)則SE多應(yīng)用平臺安全要求參照標(biāo)準(zhǔn):GPSR (GP Card Security Requirements Specification V1.0）GPCS（GP Card specification V2.1.1）6.SE嵌入式軟件安全檢測規(guī)范SE多應(yīng)用平臺安全檢測內(nèi)容6.SE嵌入式軟件安全檢測規(guī)范SE嵌入式軟件邏輯攻擊6.SE嵌入式軟件安全檢測規(guī)范SE嵌入式軟件測試6.SE嵌入式軟件安全檢測規(guī)范SE嵌入式軟件測評步驟7.SE應(yīng)用檢測規(guī)范概述本檢測標(biāo)準(zhǔn)從命令格式、交互流程、狀態(tài)機(jī)轉(zhuǎn)換、異常情況處理等方面進(jìn)行了描述，針對規(guī)范中主要內(nèi)容