北京中金国盛认证有限公司
Insert title here
国外金融IC卡标准认证相关情况
国外金融IC卡标准认证相关情况
文/中金国盛认证中心
银行卡芯片化迁移是我国金融业产业结构升级，提升金融安全的战略举措。2011年，中国人民银行决定在全国范围内正式启动金融IC卡迁移工作，明确在“十二五”期间全面推进金融IC卡应用。为此，中金国盛认证中心对国外金融IC卡相关标准认证组织和机制进行研究，形成本报告，为建立国内金融IC卡标准认证体系进行准备。
IT安全性评估通用准则（简称CC）是目前国际通行的，先进的信息系统及产品安全性测评认证标准，目前国外金融IC卡相关认证多依据或在CC基础上实施。
一、国际互认
1.国际通用个评估准则互认协定。1998年CC标准参与各国共同签署了通用评估准则。
互认协定（简称CCRA），明确了该体系下认证产品可以得到广泛的认可，互认的安全保证级别（EAL）最高为4级。目前共有26个国家和地区拥有自己的评估认证体系并接受CCRA的互认，其中包括美国、英国、德国、荷兰、澳大利亚等在内的13个国家的认证机构拥有发证权，其余国家只拥有接受权。中国引入了ISO/IEC15408标准作为GB/T18336国家推荐标准，但并未加入CCRA。
CC以7个安全评估等级来界定安全性规范检测的结果。在CCRA的基础下，各国承认EAL等级1-4级的产品，至于EAL5等级以上（含EAL5）的产品，由于其属于军事等级的安全认证，因此各国有各自的标准规范，并不互通。
目前主要的国外安全认证机构有：德国的BSI、法国的DC SSI、英国的CESG、美国的NIAP、澳大利亚的DSD等。认证工作包括对产品的安全检测，资料审查（包括芯片设计、版图、源代码、企业管理流程等重要细节）以及工厂安全检查等工作。
2.SOGIS（Senior Officials Group Information Systems Security）互认。主要由德国、法
国、荷兰、挪威、英国、瑞典等欧洲国家组成，组织内各国间互相承认EAL1-EAL7级的认证结果，目前仅有德国、法国、荷兰和英国拥有EAL4+及以上产品的发证权，其余国家只有接受权。
由于中国目前还不是CCRA成员，也不是SOGIS成员，因此理论上不承认CC EAL1-EAL7的安全认证，但由于CC认证本身具有科学性和权威性，中国也参照了CC认证的相关体系确立了自己的信息安全认证体系。同样将信息安全类产品分为EAL1-EAL7级，并制订了IC卡芯片产品的安全要求，目前最高的安全级别是EAL4+级。
二、国家认证
1.通用IT安全性认证。CCRA的管理职责一方面由CCRA承担，通过周期性审核评定，确保由发证权成员国的测评认证体系质量：另一方面由发证权成员国的国家管理职能机构负责。
这些国家的认证机构往往具有很强的政府背景，比如美国，国家信息保证联盟（NIAP）由美国国家标准局（NIST）和国家安全局（NSA）共同创建，负责管理和运行美国的信息安全测评认证体系。德国自1991年开始依据ITSEC进行评估和认证，1999年依据ISO 15408进行CC测评认证。德国信息安全局（GISA）负责管理和运行德国的信息安全测评认证体系。CC测评认证由德国联邦情报局（BSI）负责建立，是德国联邦政府的IT安全权威部门，协同德国内部和国际合作伙伴负责全面的信息安全工作。
2.金融IC卡应用认证。在通用IT安全认证外，德国从国家监管角度，由中央银行等监管部门组织金融IC卡标准认证。德国中央银行组织的ZKA（德国中央信用委员会）认证，为金融IC卡建立了专用ZKA评估标准规范，并由授权评论单位强制执行标准测试。
ZKA标准满足了大量金融交易系统最严格的要求，并且针对金融IC卡系统的金融行业特点而设计。进行基于ZKA标准规范的测试时，所有标准规范相关的文件以及软件和硬件都要经过审查。这些是金融IC卡专用ZKA规范与CC标准规范相比的一大优势。
三、金融IC卡组织认证
1.EMVCO卡组织认证。EMV是Europay、MasterCard和Visa三个国际银行卡组织共同制定的银行卡从磁条卡向智能IC卡转移的技术标准，是基于IC卡的金融支付标准。
EMVCo目前共设卡片和终端、移动支付、终端认证、卡片认证和安全评估等工作组，各工作组进行相关领域内的标准制定和维护、测试案例的编写与发布、EMV认证、测试实验室考核与授权等工作。
EMV标准包括EMV4.2、CCD（EMV通用核心定义）、CPA（EMV通用支付规范）等相关标准，为EMV认证奠定了良好基础。在金融IC卡芯片安全方面，EMV标准提出了31项安全及测试要求，包括芯片封装、非易失性只读存储器、可编程存储器、易失性存储器、传输信息以及其它IC功能模块的安全及测试要求。
2.PCI认证。PCI是由世界五大支付卡组织American Express、Discover、JCB、 VISA、MasterCard于2005年牵头组成，致力于支付安全的标准建设和实施的专业化组织。PCI针对银行卡产品和数据安全制定了安全标准和规范，涵盖银行卡卡片和终端机具的安全、银行卡数据存储、处理、传输安全等。
2006年，PCI安全标准委员会(PCI SSC)作为PCI标准和认证工作管理机构成立，包含了DSS（数据安全标准）工作组、PED（PCI PIN码输入设备安全要求）工作组、QSA（合格安全性评估机构）体系管理、ASV（授权扫描服务机构）体系管理、PA（支付程序数据安全标准）体系管理等部门，建立了严密的认证审查流程，委员会的主旨是鼓励所有关键业内机构采用统一支付标准。
遵照上述宗旨，标准委员会联合制定了旨在严格控制数据存储以保障支付卡用户在线交易安全的数据安全标准，旨在规范支付交易相关的服务提供商及签约大型商户的信息安全建设，最大程度降低支付卡风险。
四、其他金融IC卡相关标准化组织
1.Global Platform(GP)。联盟是由支付与商业领域的大公司、政府部门以及销售商主导的组织，也是第一个制定跨行业IC卡规范的组织，该联盟由会员直接管理，并被划分为不同的委员会（即卡、终端、系统架构和商业开发等）。各个委员会负责GP的开发和促进工作。
GP为卡的发行商定义了一个灵活并强大的规范，目标在于为IC卡的多行业应用提供一种通用的体系框架，从而为IC卡跨行业应用扫清障碍。GP制定的IC卡规范是一种与硬件无关、与厂商无关、应用程序相互独立的管理规范。这个规范提出了一种通用安全性的卡管理体系结构，从而保护IC卡底层的重要数据。GP规范中定义了严格的安全通信协议（SCP）来保证卡外系统和卡上应用程序之间通信的安全性。
2.其他IC卡组织。其他IC卡组织还有MULTOS,Java Card、OCF和PC/SC等。
MULTOS和JAVA Card从事金融IC卡商应用平台的标准化工作。JAVACARD在卡上实现了Java虚拟机的子集，支持除了动态类装载、少数类型、安全管理、垃圾回收、运行时间校验以外的大部分JAVA特性。
OCF和PC/SC从事卡外应用平台（指卡外应用程序的运行环境，卡外应用程序是指运行在终端或服务器上的与IC卡交互，并给用户提供接口的程序）的标准化工作。OCF解决的问题主要是关于卡的I/O接口、卡外应用程序开发/运行环境，以及为IC卡厂商、读卡设备厂商及软件开发人员提供应用编程接口（API），适用于任何硬件平台。而PC/SC只提供API给读卡设备厂商，且仅限于PC硬件平台。这些标准的制定保证了卡间平台互通，从而也使IC卡多应用成为可能。
国外金融IC卡的标准认证机制较为完备和成熟，但也存在认证周期长、认证费用巨大、认证机构及其委托的第三方检测机构存在保护成员国经济、政治利益的行为，以及认证结果终身有效的认证管理漏洞等问题。
我国目前金融IC卡的检测认证现状与国外相比差距较大，而国外的安全标准认证机构对我国国产芯片有较高的门槛和技术壁垒，导致国外认证垄断、芯片垄断的不利局面，对我国金融IC卡产业发展及应用安全、金融安全运行带来一定风险。
我国一贯重视银行卡安全应用，近几年，在人民银行的组织推动下，金融IC卡相关标准制定工作取得了积极进展并初步形成标准体系，金融IC卡相关检测规范初步完善，银行卡发卡系统审核工作取得了良好成效，这些为实施金融IC卡监管，规范金融IC卡应用奠定了良好的基础。建议借鉴国外标准认证机制，研究建立我国金融IC卡安全认证体系，依据我国相关金融标准开展认证工作，为我国金融IC卡应用及相关产业健康安全发展提供有力的保障机制。百融金服获国家信息系统安全等级保护三级认证_网易财经
百融金服获国家信息系统安全等级保护三级认证
（原标题：百融金服获国家信息系统安全等级保护三级认证）
近日，百融金服再添权威!在获得国家安全登记保护备案的基础上，百融金服凭借业内领先的技术实力，顺利通过了权威的公安部信息系统保护&测评&，获得了等保三级认证。
信息安全等级保护是由等级测评机构依据国家信息安全等级保护制度规定，按照管理规范和技术标准，对信息系统安全等级保护状况进行检测评估的活动。信息系统安全的评级分为五级，最高级别的第五级相当于国家保密局的认证等级，而第三级已相当于国有四大银行的信息系统安全评级。
据了解，要获得第三级认证并不容易，此次顺利通过&等保三级&的测评，意味着百融金服自主研发的信息技术安全系统得到官方和专业机构的认可。标志着百融金服成为业内为数不多获得备案和测评双重保障的大数据金融信息服务公司之一，其安全等级完全可以和银行等金融机构媲美。同时也证明百融金服在安全规章制度、信息基础设施和数据保护等方面，都提升了一个台阶。
百融金服的开发、升级、运维都采用了先进的技术设备和专业的团队进行管理，建立了与信息系统安全三级配套的严密的管理制度，最终确保在物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等各个方面均达到国家规范的安全管理要求，提升信息系统的安全保护能力，可以更好地为客户提供安全防护和客户服务。
事实上，一直以来百融金服都以技术先进和注重数据安全在业内闻名。百融金服采用严格保密的算法，并将所有的数据进行分块，任何一个管理员都只能看到其中一小块数据。对于特别敏感的数据，百融金服规定只能在特定的机房、特定的设备上进行操作，设备本身既不能下载到本地，也不能和外网相连接，百融金服用实际行动不断推动信息资产安全管理的科学化与规范化，对数据的处理方式为行业做出了良好示范。
百融金服是一家为金融行业提供全生命周期产品和服务的大数据金融信息服务公司，经过近两年的快速发展，在信贷领域，百融金服已经和、、、、、、、、微众银行、等50余家银行，捷信、中银消费、北银消费、马上消费等几乎国内所有消费金融公司，以及多家行业领先的网贷企业(P2P)、小贷公司等500余家非银金融企业合作。在保险领域，百融金服与包括中国人保、、保险、、中华保险在内的多家顶级财寿险公司进行合作。凭借卓越的市场表现和巨大发展潜力，百融金服于2015年完成由中融资产管理公司领投的B轮融资。目前百融金服的股东还包括高瓴资本、红杉资本、、IDG资本、华兴资本等，中国银联和也通过第三方公司间接入股百融金服。
顺利通过公安部信息系统安全三级等保认证体现了国家信息安全监管部门对百融金服在数据安全方面工作的认可，同时也激励着百融金服向更加严格、规范的标准去努力。百融金服将继续秉持公正、中立、客观的第三方立场，坚持社会良知和责任，持续提升信息安全保护能力、确保数据安全，脚踏实地的推动互联网金融行业信息安全的发展。
(编辑：yaodaohui)
本文来源：财经网
责任编辑：齐栋梁_NF2865
加载更多新闻
热门产品:　　　
:　　　　　　　　
:　　　　　　　　　
热门影院：
阅读下一篇
用微信扫描二维码
分享至好友和朋友圈被忽略的价值：麒麟960获双重认证为何说具有重大意义？
<meta name="description" content="麒麟960,据悉，获得权威机构双重认证的麒麟960，正得到更多市场方面的认可。在今年乌镇举行的第三届世界互联网大会上，麒麟960获得组委会颁发的“领先科技成果”奖项，受到业界诸多好评，并受到中央电视台新闻直播间和财经频道等独家报道。">
被忽略的价值：麒麟960获双重认证为何说具有重大意义？
随着移动互联网的快速发展和智能终端的不断普及，移动金融已渗透到消费者生活的各个领域，在为用户带来便捷体验的同时，安全可靠的应用环境亦成为移动金融能否成功的关键要素。
小额支付，用户可以选择微信、支付宝等APP应用，但对于大额支付，则需要有更高的安全性，毕竟出现一次问题，将损失惨重。况且，当前移动金融安全形势严峻，安全事件层出不穷，仅靠指纹识别和密码，似乎不太够。移动金融保证涉及“云网端”三环节，针对端的环节，从芯片层出发的终端安全保障体系，普遍被认为是最高等级且最为安全。
不过，芯片的安全性，不是靠企业自家宣传，更需权威认证、符合国家标准化检测标准才行。在国内，目前央行（中金国盛）和银联的认证级别极具权威，企业纷纷申请。但其认证的门栏高，难度大，很少有企业可获得认证。
今年10月，华为最新旗舰手机芯片---麒麟960实现突破：相继获得央行和银联认证，成为全球首个获得双重安全认证的SoC芯片，可谓里程碑式成果。目前，业界更多关注的是麒麟960的性能、等创新，以及在Mate9旗舰机上的使用成效，而忽略了其获得双重安全认证背后重大意义。为此，笔者针对芯片的安全认证进行详细的了解，希望能够引起更多人的关注。
央行（中金国盛）与银联认证门槛高、难度大
央行和银联分别代表了国家银行和国际化的商业组织，均具备极高金融地位。因此，央行和银联认证的级别高，具有很强权威性。
中金国盛认证中心是根据中国人民银行的决策部署，由中国人民银行直属单位中国金融电子化公司筹建，是中国人民银行履行金融认证职责的重要手段和工具。中金国盛也是目前央行唯一指定的可以提供移动金融服务认证的机构。而中国银联的银联卡芯片安全认证依据《银联卡芯片安全规范》，委托国家金融IC卡安全检测中心提供国际领先的检测服务，代表了当前国内金融领域芯片安全认证的权威。
正是因为其安全级别高，所以央行和银联认证的门槛也很高，难度大。如银联金融IC卡认证流程包括申请与材料递交、产品检测、现场安全检查、认证以及后续监督管理等，十分严格。特别值得一提的，即使认证通过，后续检测一旦出现第二次不合格，就会取消资质。这让希望认证的企业，必须提供足够安全的产品，且要长期保证产品一直处于高安全级别。
目前，已有部分领先企业获得了单个认证。据悉，英飞凌的超微型NFC安全模块获得中金国盛移动金融安全认证，而国网信息通信产业集团有限公司所属的北京智芯微电子科技有限公司自主研发的双界面金融IC卡芯片SGC1035则获得中国银联颁发的《银联卡芯片产品安全认证证书》。技术创新及高效的产品体验将促使更多的企业跨过权威认证的门栏，在移动金融安全领域崭露头角，但其中真正能得到央行和银联双重认证的却是凤毛麟角。
今年，华为麒麟960实现了重大的突破――成为全球首个获得央行和银联双重安全认证的SoC芯片。这意味着麒麟芯片的安全解决方案已达到了双重金融级安全认证的水准，其安全性不仅可以更好地保护消费者权益，更是推进了移动安全领域的发展步伐。
终端芯片安全认证势在必行
当前移动金融安全形势严峻，中金国盛副总经理聂丽琴就曾表示，移动金融涉及到国家金融信息和个人资金信息的安全。安全性是金融的生命线，也是赢得消费者信心的前提。通过相应的技术和管理手段，有效来降低风险，提高可靠的安全保障，才能使移动金融产业健康和快速的发展。因此，为了推动移动金融领域的安全健康发展，国家早已从各种政策上进行了部署。
日，人民银行主导的《移动金融支付标准》出台，确定了联网通用安全可信架构下的多个企业TSM并存的生态环境。
2013年8月，国务院印发《关于促进信息消费扩大内需的若干意见》，将大力发展移动支付，建设移动金融安全可信公共服务平台列入促进信息消费与扩大内需的重要内容。2013年10月，移动金融安全可信公共服务平台，也就是MTPS正式上线试运行，加快了移动金融支付标准的实施落地。
2014年5月，发改委、人民银行联合印发《关于组织开展移动电子商务进科技服务创新试点工作的通知》，明确要加快推动移动金融基础设施建设。
2015年1月，人民银行印发抓关于通过移动金融技术创新健康发展的指导意见》，明确了移动金融技术创新的基本原则。
2016年7月，央行发布的《非银行支付机构网络支付业务管理办法》正式实施，突出了“分类管理”模式，包括对个人支付账户分类和对支付机构分类管理。
从这里可以看出，国家从政策上引导产业发展，除了探索创新的产业模式，还要解决移动金融发展中遇到的各种难点，其中最主要的还是安全问题。而移动金融的安全问题，除了政策上的规范，技术上的保障也是必不可少。金融信息化研究所所长李晓枫就曾表示，为了实现两条腿走路的移动金融与移动支付策略，手机银行除了按压指纹认证，还要解决大额支付、汇划、信贷单据、征信记录安全存储等安全与易用性兼顾的一体化体验。简单支付可以靠支付宝、微信等，但要实现5万块钱以上大额的转帐支付，终极的硬件数字证书和安全终端的要求必不可少。
移动终端的安全性应从芯片底层开始构建，而终端芯片的安全认证势在必行。
麒麟960获双重安全认证之因
今年，华为麒麟960成为全球首款通过银联卡芯片安全认证的手机芯片产品，并且经中金国盛认证中心进行认证，符合《JR/T2?中国金融移动支付检测规范第2部分：安全芯片》标准要求，通过了移动金融技术服务认证（证书编号：CFNR）。
在上述极难获得认证的背景下，麒麟960芯片获得双重认证，显现出巨大价值，难能可贵。麒麟960是如何做到的呢？
笔者以为，首先麒麟在安全领域长久的积累，有深厚的基础。华为多年前就开始发力手机芯片领域，安全是华为一直重视的环节，如今已搭载在多款手机上使用，经受住了多方面安全考验，成为一款极为安全的产品。
第二，麒麟芯片在安全上屡屡实现创新突破。华为公司是以创新知名于世，华为麒麟960一脉相承，麒麟960首次实现将安全引擎集成在SoC芯片内的创新移动终端安全方案，是全球首个16nm先进工艺集成inSE（integrated Secure Element）的手机SoC芯片，同时搭载生物识别、防伪基站、可信用户界面等安全技术，让搭载麒麟960的手机具有和银联IC卡/U盾相同安全等级。
第三，麒麟960获得安全专家的引导。麒麟在安全领域的发力，并未闭门造车。而是邀请了诸多金融领域专家指导。据了解，麒麟在安全领域获得金融行业技术专家李晓枫博士和中国银联柴洪峰院士等多位大咖的支持。
企业要提高终端安全等级、获得高端认证十分不容易，但只要达到这个高度，再通过降低要求，实现便捷性就变得很容易。投资巨大成本提升产品安全等级，对己对外都意义重大。
麒麟960这种新的基于硬件安全的创新技术，除了为消费者提供了金融级安全的智能手机芯片解决方案，全方位保障金融信息安全和消费者利益，还能带动移动金融安全的升级，比如可以促进更多更深的业务合作形式、推动中小企业普惠金融等。其对整个产业界，包括智能手机如何体现金融服务、金融支付等，是一个很好的引导作用。
据悉，获得权威机构双重认证的麒麟960，正得到更多市场方面的认可。在今年乌镇举行的第三届世界互联网大会上，麒麟960获得组委会颁发的“领先科技成果”奖项，受到业界诸多好评，并受到中央电视台新闻直播间和财经频道等独家报道。
中国工程院院士、世界互联网领先科技成果推荐委员会中方主任邬贺铨表示：“华为麒麟960针对全球互联网用户的痛点，在智能终端最受关注的性能体验、安全可信、通信、拍照等方面，取得创新突破；获得世界互联网领先科技成果推荐，实至名归。”
采用华为麒麟960安全方案的手机，将让华为成为Android阵营第一安全的手机品牌，给消费者安全与易用最佳平衡，也将带动Android体系在全球移动金融领域的快速发展。
编 辑：王鹏
公司必须持续不断的、永恒的促进组织血液流动，增强优秀干部..
CCTIME推荐
CCTIME飞象网
CopyRight &
京ICP备号&& 京公网安备号
公司名称： 北京飞象互动文化传媒有限公司
未经书面许可，禁止转载、摘编、复制、镜像