聂丽琴：金融IC卡安全检测认证探索

　　谢谢陈总，各位领导，各位专家，大家下午好!今天我听了刚才各位领导的演讲收获很大。但是，我比较特殊，和各位演讲嘉宾不同，各位演讲嘉宾要么是金融IC卡，IC卡的生产厂商，要么是使用金融IC卡，把它应用到金融行业，便民的行业银行，我是一个独立第三方的中金国盛认证中心，是一个第三方的认证机构，我跟大家探讨的内容题目是“金融IC卡的安全认证”。下面我就跟大家进行沟通讨论。

　　我所介绍的内容剥削四个方面，首先第一个是关于金融IC卡的应用发展的情况。简单的介绍一下国内外金融IC卡推广应用的一个简要情况，其次国外的IC卡在推广应用中为了保障金融IC卡的安全，并且符合标准，他们有建立相应的监测认证的机制来支撑它这个安全的推广应用。我简单介绍一下国外的IC卡的标准认证的一个情况。接着第三个内容是，因为我们国家目前还没有建立完善的金融IC卡的安全认证的机制。那么，在这种情况下，随着我们IC卡大规模的发卡，应用的推广，可能会有什么安全方面的问题和风险?第四部分虽然我们国家没有建立完善的金融IC卡的标准认证体系，但是我们也有一定的积累，建立了金融标准认证体系，在这方面我们有一定的技术积累，同时在IC卡的检测认证方面也有一些探索。跟各位汇报一下。

　　金融IC卡属于银行卡的一个推广，银行卡从20世纪60年代发明，90年代后期广泛的使用，至今每个人手上至少有一张银行卡，给我们生活带来很大的便利。但是，近几年，因为磁条卡技术的限制，伪卡犯罪特别多，处于各种考虑，刚才各位都说了IC卡的好处，它的安全性，大容量，便捷。这样我们IC卡就进入支付的舞台。在一个新的IC卡的产品，这种新产品和新技术的应用上面，标准一定是起着一定的引领和推动的作用来促进它在这个行业里的应用，为行业的发展增添活力。这个左边都是磁条卡技术发展的一些标准和一个发布的情况，右边是IC卡，IC卡发明其实也不是很晚，但是它的应用比较晚，是1996年银行卡组织制定了EMV96的标准，叫IC卡应用支付领域的一个标准，这个标准就为全球从磁条卡向芯片卡迁移奠定了一个基础。这是目前的一个情况，目前PBOC3.0也即将发布，国内IC卡的迁移可能要符合相应的标准。

　　下面介绍一下国外金融IC卡的迁移情况，这个不念了，种植现在在全球掀起银行卡芯片化迁移的一个浪潮，然后国家和地区已经超过30个，并且发行EMV标准的金融IC卡超过10亿张，部分符合EMV标准的终端超过1500万台，全省36%的卡片和65%的终端均已采用了EMV的标准。并且为了进一步推动IC卡的应用，国际银行卡组织推行了银行卡的风险转移规则，就是不符合EMV标准的承担相应的责任。国外IC卡的推动，我们国家的情况是什么?我们国家情况，因为我们国家周边各国的IC卡推动都已经进入了规模化的发卡应用的过程中。所以，我们国家人民银行2011年引发了意见，然后有通知，并且在北京、重庆、宁波等城市召开了金融IC卡工作座谈会，全面启动了我国银行卡芯片化的迁移工作。这个工作的推动力度是很大，它作为一项利国利民，利技术发展的大工程，人民银行推动力度很大，在这个推动过程中解决了很多的疑难问题，各相关方都付出了很多的努力。目前的情况是POS的改造基本完成，ATM的改造进程过半，主要的商业银行已经开始可以发卡，多应用的领域也在逐步的扩大这个情况。

　　下面我介绍第二部分，关于国外的IC卡标准认证的一些情况。讲到IC卡的标准评估，因为IC卡是一种信息安全的产品，作为信息系统及产品安全性的测评标准，大家首先不能忘记就是CC，CC是目前国际通行的先进的信息系统及产品安全性测评认证表现，目前国外各种有关信息安全产品或系统的认证都是基于CC，或者从CC发展而来的，IC卡也是在这个框架下面进行相应的测评认证。所以，我刚才把CC提到第一张片子里面，下面主要从四个方面简单说一下。首先，国际互认，国际互认是基于CC，并且各国1998年CC的标准参与国共同签署了一个国际公认评估准则的互认协定，就是CCRA，明确了在这个体系下的认证产品可以得到广泛的认可，它的标准就是基于CC的。CC它把这个安全保证级别划分为七个级别，目前互认的CCRA成员国之间可以互认的级别是EAL4，5以上他们认为是军事安全级别的，所以各国之间是不互认的。目前CCRA有26个国家和地区都有自己的评估认证体系，但是只有13个国家有发证权，其他国家只有接受权。比如像国外比较权威的认证机构，有韩国的DC个，英国的CRSG等等。

　　刚才CCRA是基于CC互认的体系，SOGIS也是主要基于CC的一个互认体系，但是它的范围是在欧洲欧盟这个范围，目前它主要有德国、法国、荷兰、英国、挪威、瑞典等欧洲国家组成，各国之间互认EALA到EAL7级的级别，但是发正权只有4个国家。中国不是CCRA和SOGIS成员，我们不承认它的安全认证，但是由于CC本身具有科学和权威性，我们国家也参与CC认证确立了我们自己的认证体系。前面这些都是通用的信息安全产品进行评估认证的这种机制。

　　下面是关于国家认证的角度，有两个方面，一种还是基于通用的，一个是基于CC的，因为CCRA它管理职责一方面是由CCRA承担，通过一种周期性的审核评定，确保有发证权的13个国家它的一个测评认证体系的一个质量和发出去的证是保证质量的。另外一方面，就是发证权的成员国自己的国家有相应的管理职能机构负责本国的安全认证。这些国家的认证机构往往都有很强的政府类型，比如像美国的国家信息联盟是一个安全认证机构，这个认证机构就由美国的国家标准局和安全局共同创办，负责管理和运行，美国的信息安全，测评认证体系。刚才是说通用的安全认证。

　　还有金融IC卡专用的认证，代表的国家就是像德国，这些国家从国家监管的角度，由中央银行等监管部门组织金融IC卡的标准认证，比如像德国的ZKA的认证，为金融IC卡建立了专用ZKA评估标准规范，和CC的认证相比，比CC的标准规范更适合金融行业，这是国外的国家认证的一个情况。

　　现在比较流行大家常常说的EMV，就是银行卡组织的认证，有几大类，最有名的就是EMVCO的认证，由Europay、MasterCard和Visa组成，它是管理维护和完善EMV的智能卡的标准规范，公设8个工作组，其中有卡片、终端、移动支付等等。目前这些工作组制定了相应的检测认证的体系，目前的检测认证体系覆盖到三个方面一个就是卡片，一个就是终端，都是致力于IC卡的。再有就是PCI的认证，致力于支付安全标准建设和实施。还有其他卡的标准化组织，有五个，第一个是GP，第一个是跨不同行业的IC卡规范的组织，这几个都是标准阻止，它是由支付与商业领域的大公司，还有政府部门，然后以及销售厂商主导的，是这样的一个机构。接下来还有第二和第三，就是MULTOS和Java Card，主要是制定关于金融IC卡上的应用平台的标准规范，OCF和PC/SC主要是从事卡外的应用平台的标准化的工作。

　　那么，国外为什么他们要有这样的一个认证体系来支撑它的IC卡的推广呢?因为认证它有这样一个作用和意义，今天中午吃饭的时候跟一位商业银行的领导沟通，就说国外非常认定第三方的质量认证，就是保证质量，保证安全，看你是否有认证证书，测评的意义主要有四个方面，首先是推广落实标准的有效手段，提升标准化的水平。其次是辅助监管的有效手段，承担社会管理的职能。独立第三方的机构和被认证机构是什么?和被认证机构之间是监督和被监督的关系，要监督被认证机构，是否符合认证的标准，它又是一个服务和被服务的关系，因为他们又是一个合作的关系，所以在这个过程中，承担相应的社会和管理职能，被政府来使用，就成为一种辅助监管的一个手段。第三个就是增强被认证企业的技术和管理能力，提升其竞争力。这也就是体现我们和被认证机构它的一个服务和被服务的这样的一个关系，提升它的竞争力。地四项就是保障国家安全和消费者权益的有效措施，降低社会风险，这就是被政府使用认证机构，可以达到这样的效果。所以，国外认证认证证书，所以我们国家也建立了相应的这种认证认可的机制，我们金融行业也建立了金融标准的认证体系，然后把这种认证手段，这种合格评定的一种手段引入到金融行业来，发挥相应的作用。

　　第三部分我就跟大家一块儿分析一下，在当前没有IC卡完善认证机制的情况下会有什么问题，我总结了一下，主要有三个方面。第一、国际目前在金融IC卡的认证体系方面，国际的认证是垄断的。为了确保金融IC卡的应用安全，银行卡发卡机构，包括我们国家的发卡机构采购IC卡都需要权威的检测认证，但是国外IC卡厂商更容易获得国外的检测认证证书，而我们国家的IC卡厂商要获得国外的认证周期很长，半年，一年，甚至两年，周期很长，费用很高，有的甚至上千万，很难取得国外的认证资质，所以筏道受到抑制。另外，我们国家的银行发卡机构，直接采信国外认证颁发的证书，但是这个认证的评估过程，是否能够满足我们的标准要求?如果没有任何监督的采信，对我们国家金融领域有一定的影响。
(本文不涉密)
责任编辑：

转载：感谢您对网站平台的认可，以及对我们原创作品以及文章的青睐，非常欢迎各位朋友分享到个人站长或者朋友圈，但转载请说明文章出处。