逐年增長(zhǎng)的電子商務(wù)已經(jīng)成為金融支付的重要應(yīng)用場(chǎng)景,也帶動(dòng)了網(wǎng)上銀行業(yè)務(wù)高速發(fā)展���,由于網(wǎng)絡(luò)病毒��、木馬等威脅日益增多�,如何保證金融交易的安全性成為社會(huì)各界關(guān)注的焦點(diǎn)����。為解決用戶的后顧之憂,各家銀行都推出了網(wǎng)銀安全產(chǎn)品-高安全性能智能密碼鑰匙(USBKey)和動(dòng)態(tài)令牌(OTP)�����。而檢測(cè)USBKey和OTP的安全性是否達(dá)到相關(guān)規(guī)定的要求就是信息安全實(shí)驗(yàn)室的使命���。
參考依據(jù)
GB/T 18336-2015 《信息技術(shù) 安全技術(shù) 信息技術(shù)安全評(píng)估準(zhǔn)則》
GB/T 20276-2016 《信息安全技術(shù) 具有中央處理器的IC卡嵌入軟件安全技術(shù)要求》
JR/T 0068-2012《網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范》
檢測(cè)內(nèi)容
信息安全實(shí)驗(yàn)室憑借多年的技術(shù)積累�,遵循現(xiàn)行國(guó)家標(biāo)準(zhǔn)����、行業(yè)標(biāo)準(zhǔn)����,制定了一套完備的安全檢測(cè)流程����,并將網(wǎng)銀安全產(chǎn)品USBKey與OTP的檢測(cè)項(xiàng)分別進(jìn)行了詳細(xì)的劃分,依次從產(chǎn)品合規(guī)性����、邏輯安全性、物理安全性��、功能及性能五個(gè)方面����,展開(kāi)全方位測(cè)試���。
USBKEY檢測(cè)
根據(jù)USBKey產(chǎn)品特性分別對(duì)每個(gè)功能模塊展開(kāi)5個(gè)方面的測(cè)試:
管理工具安全性檢測(cè): 本項(xiàng)測(cè)試針對(duì)管理工具的邏輯安全性��、產(chǎn)品合規(guī)性展開(kāi)���。通過(guò)對(duì)上位機(jī)軟件實(shí)施代碼篡改,數(shù)據(jù)竊聽(tīng)等滲透攻擊�,驗(yàn)證USBKey產(chǎn)品的上位機(jī)軟件安全性��,保障用戶密碼的輸入安全�����。
嵌入式軟件安全性檢測(cè): 依據(jù)相關(guān)規(guī)范的安全要求對(duì)USBKey嵌入式軟件展開(kāi)安全檢測(cè)�,從功能符合性和邏輯安全性兩個(gè)方面發(fā)掘應(yīng)用流程中潛在的安全隱患���,從而保障用戶在交易過(guò)程中的個(gè)人利益����。
物理安全性檢測(cè): 通過(guò)對(duì)產(chǎn)品硬件環(huán)境進(jìn)行電磁干擾�、故障注入等攻擊性檢測(cè),以驗(yàn)證其芯片不會(huì)在運(yùn)行過(guò)程中泄露敏感數(shù)據(jù)��,從而保證產(chǎn)品安全性�。
性能測(cè)試:根據(jù)應(yīng)用需求展開(kāi)測(cè)試,分別對(duì)產(chǎn)品的嵌入式軟件和上層管理工具進(jìn)行檢測(cè)���,保證產(chǎn)品穩(wěn)定性和使用效率�。
OTP檢測(cè)
OTP具體檢測(cè)內(nèi)容涵蓋五個(gè)模塊:
產(chǎn)品合規(guī)性測(cè)試以流程為根本���,通過(guò)對(duì)OTP的合規(guī)性進(jìn)行測(cè)試���,可以保證產(chǎn)品研發(fā)的規(guī)范性��。
邏輯安全著眼于安全功能有效性測(cè)試���,通過(guò)對(duì)OTP的邏輯安全性進(jìn)行檢測(cè),可以及時(shí)發(fā)現(xiàn)用戶交易安全漏洞���,從而降低安全風(fēng)險(xiǎn)���。
物理安全以防止芯片攻擊為出發(fā)點(diǎn),通過(guò)對(duì)OTP的物理安全性進(jìn)行檢測(cè)�,可以確保OTP內(nèi)敏感信息的保密性。
功能測(cè)試以功能的正確性為基準(zhǔn)�,通過(guò)對(duì)OTP的功能性進(jìn)行檢測(cè),可以保證OTP功能的正確性����。
性能測(cè)試以產(chǎn)品的性能指標(biāo)為基準(zhǔn)�,通過(guò)對(duì)OTP的性能進(jìn)行檢測(cè),可以保證產(chǎn)品符合市場(chǎng)需求�����。
