安全只有做成体系才有可控之力
2016年10月27-28日,由SCA联盟主办,工信部泰尔实验室、银行卡检测中心(BCTC)和中国金融认证中心(CFCA)共同支持的“2016移动安全技术商业模式论坛”圆满结束。两天会议由SCA联盟创始人丁宁先生主持,会议共吸引来自16个领域的200多位参会者参与。本次会议主要的讨论重点是移动领域的安全技术商业模式,其中,中国工程院院士倪光南,特别就“加快推进网络技术自主创新”课题做了深入的解读,让在座听众清晰的了解我国发展网络信息事业的指导思想:“安全是发展的前提,发展是安全的保障,安全和发展要同步推进。”内容中还指出:“2016年7月,中国境内感染网络病毒的终端数为近265万个,近200万个IP地址对应的主机被木马或僵尸程序控制,65万余个主机IP感染“飞客”蠕虫。2014年,美国战略与国际问题研究中心发布报告,称全球每年因网络经济犯罪造成的损失高达4450亿美元,其中损失最大的三家是美国、德国、中国,损失金额分别为1000亿美元、600亿美元、450亿美元。”倪院士指出:“我们应当排除干扰,在习主席“批示”的指引下,发扬我国能集中力量办大事的优势,加大自主创新力度,使国家“网络信息领域核心技术设备攻坚战略”所规定的包括操作系统在内各个项目的“研发和应用取得重大突破”。”
图:中国工程院院士 倪光南 会中做精彩分享
2天的会议,总共有来自14家企事业单位的16位演讲嘉宾出席做与移动安全商业模式有关的主题进行演讲,这些主题包括:
自主可控的信息安全发展之路(中国工程院院士倪光南)
打造符合国内/国际EAL安全认证要求的安全产品(SCA联盟)
万物互联时代下对eSIM的思考(中国移动研究院)
eSIM技术及测试研究(工信部信通院泰尔实验室)
移动蜂窝物联网演进技术及产业探索(中国联通网络技术研究院)
携手物联产业,共享智能未来(中国电信物联网运营中心)
物联网应用部署的挑战与安全性探讨
隐私数据的前世今生(中国金融认证中心)
基于智能穿戴设备的认证和支付应用探讨(北京握奇数据)
坚持自主可控,发展智能手机安全产业(中国网安)
移动终端的身份验证与安全防范(高通无线)
条码支付安全风险与防范(银行卡检测中心)
如何解决TEE的碎片化问题?(Trustonic)
做大TEE产业蛋糕——OTrP开放信任协议搭建的可信应用管理平台(OTrP)
窄带物联网(NBIoT)最新发展和应用及安全需求探讨(工信部信通院泰尔实验室)
移动互联网/物联网下的安全技术发展方向
图:SCA联盟创始人 丁宁 主持会议
会议期间,观众踊跃发言与演讲嘉宾进行互动,得到了自己关心的内容和想要的信息,为参会者做下一步服务或者产品,起到了一定的参考作用。
图:参会嘉宾积极互动
图:参会嘉宾积极互动
会议中演讲者提到很多精彩的内容,本文截取部分内容以饲读者:
要做隐私数据保护,必然要先了解个人敏感信息是什么,你才能针对性的保护起来。那么个人敏感信息是什么?一段遭到破坏或者修改,会对识别的个人信息主体造成不良影响的个人信息,各行业可以根据自己的内容,各行业根据个人敏感信息的具体内容,根据受服务的个人信息主体意愿,然后或者根据各自业务特点确定,基本包括,身份证号、手机号、种族、政治、宗教信仰、基因、指纹。个人一般信息也就是排他法,除个人敏感信息以外的就是个人信息,来自GB/Z8828-2012,信息安全技术公共及商用服务信息系统个人信息保护指南,这个标准已经发布了,是我国关于信息保护的第一个国家层面的标准,对后续工作有很大指导性。
认证与支付工具的演进趋势:平台化:随着手机性能和安全性能的提升,手机逐渐演变为安全平台和应用平台;应用化(去硬件化):各种认证支付工具成为手机上的一种软件应用程序
智能穿戴设备,是继手机之后的另一个安全平台和多应用平台,随着智能穿戴设备能力的提升,以及安全能力的构建,就可以去承载更多的应用。第二,智能穿戴设备可以作为独立的认证和支付设备,具有更高的安全性。第三点是从这个权威调研来看,除了健康运动之外,甚至支付功能都是用户的认可非常高的,基本上排到第三位的水平。
有嘉宾指出,加密手机主要是于特种和高端商务领域,以通信安全为重点,比如说加密语音、短信、视频信息,主要是通信安全为主,比如说我们中国网安,长时间就在从事这个加密手机的研发,那么我们近期也是在关注安全手机的工作,同时也有一些相关的成果,那么这个确实它的市场需求相对比较小,也是在推广的时候受到很多的制约,研究难度比较大,周期比较长,标准化程度也比较低,很难以形成产业链。同时也是采用定制化研发生产模式,周期比较长,更新也比较慢,成本高。
自主可控智能安全手机方面,嘉宾有一个分析,SE虽然安全性比较好,性价比高,但是也存在一些问题,一方面它的资源是受限的,应用也是相应受到限制,那么TEE通用性比较好,具有比较高的安全性,但是由于缺乏硬件环境的支撑,那么它还是存在一定的安全的风险,在部分应用领域应用受到限制,我们认为就是要融合国产自主可控的SE芯片和TEE软件,打造平台化的智能手机安全平台。这样的平台就可以广泛的应用于各种智能安全手机的研发和生产,这种模式具有安全性好,性价比高,通用性强,研发周期短这些特点,又能满足大多数用户多样化安全的需求,也是发展自主可控智能手机安全产业的有效途径。
信息安全领域,安全和商业应用永远要达到一个平衡,隐私数据也是如此,所以关于数据的话,从技术层面来考虑,还是要进行分级,你要有核心,然后逐步的扩展到外围,核心是要重点保护,外围可以放一放,公开的保证它的完整性就可以,从法律法规角度来讲个人数据保护这一部分,我国其实有很多的动作和规划,关于动作和标准不是一蹴而就的,需要一些时间,目前已经在做。
国内公司和国际标准接轨上,专家认为首先是考虑清楚商业模式是什么,要了解这个是什么产品,对社会带来什么样的回馈,然后在价值观基础上,把想做的产品或者服务进行铺垫,这样产品才有竞争力。
另外有专家认为在与国际标准接轨或者走向国际市场上,国内存在着几方面的挑战:第一,国际化人才短缺,从而导致与国际市场沟通上出现障碍,深入研究和交流上也有短板;第二,在国际市场中的话语权不高,这可能也有第一点方面的原因影响;第三,国内公司的创新性还相对较少,这样就很难成体系,因此受到国际市场的认可度不高。
(以上这些仅是小部分会议观点,更多内容SCA联盟会员及参会者可以得到全面的总结报告及会议资料下载。)