IC卡應(yīng)用安全的成本與風(fēng)險探討

文章出處：http://xianjuhong.com 作者：羅洪元   人氣： 發(fā)表時間：2011年09月27日

    對m1問題的認(rèn)識

    m1問題出來后，政府和業(yè)界很重視?，F(xiàn)有系統(tǒng)是否安全？新系統(tǒng)如何做？我曾參加過幾個IC卡應(yīng)用系統(tǒng)的安全評估，m1對IC卡推廣應(yīng)用做出了很大貢獻(xiàn)，估計(jì)全球全球有20億、國內(nèi)有幾億張正在使用，因此今天想與大家探討一下IC卡應(yīng)用安全的成本與風(fēng)險。

    我認(rèn)為安全等級定義對老系統(tǒng)升級、新系統(tǒng)建設(shè)非常重要。IC卡應(yīng)用安全是信息安全的具體實(shí)現(xiàn)，對IC卡應(yīng)用安全要有一個正確的認(rèn)識：

    (1) 安全是一個系統(tǒng)的概念
    (2) 安全技術(shù)是相對的
    (3) 安全是要花成本和代價的
    (4) 安全技術(shù)是發(fā)展的、動態(tài)的
    (5) 不同的應(yīng)用，安全要求是不一樣的

    因此，我們只有對IC卡應(yīng)用安全問題有了正確認(rèn)識，才會對IC卡應(yīng)用系統(tǒng)的安全采取哪些措施做出正確的判斷和決策。

    IC卡應(yīng)用分類

    （1）身份識別（約占45%） 

    門禁
    證件(身份證、電子護(hù)照等)
    停車場 

    （2）支付（約占35%） 

    公交一卡通
    校園一卡通
    ETC收費(fèi) 

    （3）其它（約占20%） 

    防偽(對象是物品)

    IC卡應(yīng)用安全分類

    目前，IC卡應(yīng)用安全沒有統(tǒng)一的分類，不同的應(yīng)用應(yīng)該有不同的安全級別。另外是不是所有的都需要用CPU卡？這里應(yīng)該考慮的因素很多：

    （1）身份識別(人、證一致性，驗(yàn)證時限) 

    門禁(不同的區(qū)域安全級別不一樣)
    證件(持證人身份不同安全級別不一樣)
    停車場(車輛重要性、區(qū)域重要性決定安全級別不一樣) 

    （2）支付(單一功能或一卡多用，大額或小額支付，區(qū)域或全國使用等應(yīng)該安全級別不一樣) 

    公交一卡通
    校園一卡通
    ETC收費(fèi) 

    （3）其它 

    防偽(防偽對象的價值高低、區(qū)域或全國流通，聯(lián)機(jī)或脫機(jī)查詢)

    安全成本與風(fēng)險

    2008年底，國務(wù)院聯(lián)合發(fā)文要求各行業(yè)對IC卡應(yīng)用安全進(jìn)行排查，及時發(fā)現(xiàn)并解決問題。工信部、公安部、安全部、國密局、建設(shè)部、交通部對IC卡應(yīng)用進(jìn)行全面、系統(tǒng)的安全檢查。其中國內(nèi)使用m1技術(shù)的門禁、一卡通是安全檢查的重點(diǎn)。其實(shí)這不僅僅是花多少錢的問題，還有很多問題需要考慮到，比如成本與風(fēng)險的平衡、木頭屋與碉堡的關(guān)系、政治成本與風(fēng)險、經(jīng)濟(jì)成本與風(fēng)險、復(fù)制、篡改成本的可能性以及安全如何控制？做到什么程度？誰說了算？

    現(xiàn)有系統(tǒng)的安全

    對于我國的城市一卡通、ETC、地鐵儲值卡等重大IC卡應(yīng)用系統(tǒng)，特別是采用了m1邏輯加密卡的系統(tǒng)，有專家建議采取以下措施，以防備這種不安全因素所帶來的影響：

    （1）進(jìn)行實(shí)時交易數(shù)據(jù)上傳，實(shí)時分析處理非正常充值數(shù)據(jù)，立即采用黑名單實(shí)時下達(dá)到終端設(shè)備；
    （2）將讀寫終端的黑名單容量擴(kuò)大到20萬以上，可以實(shí)時進(jìn)行增量更新；
    （3）建立以GPRS為主的無線通信方式，保證數(shù)據(jù)的實(shí)時性；
    （4）加強(qiáng)芯片廠家對UID的管理，確保芯片出廠后UID不可更改；
    （5）對充值機(jī)嚴(yán)格管理和控制，嚴(yán)禁任何可能的非法數(shù)據(jù)采集；增加交易數(shù)據(jù)簽名驗(yàn)證；
    （6）優(yōu)化交易流程，禁止回寫功能。

    對于已運(yùn)行的IC卡系統(tǒng)，可以逐步吸收CPU卡，逐步取代m1的邏輯加密卡，從非記名向記名過渡，固定密鑰系統(tǒng)向動態(tài)密鑰系統(tǒng)發(fā)展，做到完全不受邏輯加密卡密碼風(fēng)險的影響。

    新建系統(tǒng)的安全

    這里有三條建議：

    （1）建議慎重采用m1的邏輯加密卡，綜合卡片成本、系統(tǒng)性能統(tǒng)一的原則,鼓勵采用智能CPU卡作為支付媒介
    （2）最徹底的方法是建立完全自主系統(tǒng)(自主標(biāo)準(zhǔn)、自主算法、自主開發(fā))
    （3）應(yīng)參照《信息安全等級保護(hù)管理辦法》的模式，綜合各種影響安全的因素，對IC卡應(yīng)的安全性進(jìn)行評估，不同的安全級別采用不同的技術(shù)，真正做到成本與風(fēng)險的平衡

    期盼政府出臺規(guī)范

    本人認(rèn)為，對于IC卡應(yīng)用安全問題，通過前一階段的排查、分析，國家主管部門應(yīng)該總結(jié)經(jīng)驗(yàn)，出臺一套類似《信息安全等級保護(hù)管理辦法》的指導(dǎo)性文件，這些文件應(yīng)包括：管理規(guī)范、技術(shù)標(biāo)準(zhǔn)等。這些文件對指導(dǎo)IC卡應(yīng)用安全是非常必要的。這里的《信息安全等級保護(hù)管理辦法》的五個等級可以作為參考：

    《信息安全等級保護(hù)管理辦法》

    第七條 信息系統(tǒng)的安全保護(hù)等級分為以下五級：

    第一級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益造成損害，但不損害國家安全、社會秩序和公共利益。

    第二級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對社會秩序和公共利益造成損害，但不損害國家安全。

    第三級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴(yán)重?fù)p害，或者對國家安全造成損害。

    第四級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成特別嚴(yán)重?fù)p害，或者對國家安全造成嚴(yán)重?fù)p害。

    第五級，信息系統(tǒng)受到破壞后，會對國家安全造成特別嚴(yán)重?fù)p害。