背景说明

　　随着电子商务的兴起，网上购物、网上汇款、网上缴费越来越频繁，网上银行已经成为消费者必不可少的交易工具，因而得到了高速发展，迎来了网上银行的盛世。

　　随着网上银行的飞速发展给金融企业带来商机，为众多用户带来方便的同时，也给他们带来了巨大的挑战及风险。网银信息数据的保密性及交易的安全性一旦遭受攻击，必将直接影响用户的切身利益，因此安全性作为网上银行赖以生存和得以发展的核心及基础，一直广受各银行的重视。

　　为保障交易的完整性、保密性、不可抵赖性，各家银行都推出了自己的网银安全产品-高安全性能智能密码钥匙USBKey和动态身份认证设备OTP令牌，为保证这些身份认证产品的安全性，CFCA信息安全实验室根据USBKey网银通用规范及安全技术标准为广大金融行业用户，提供USBKey与OTP检测服务。

　　检测依据

　　信息USBKEY 检测依据标准

　　GB 20276-2006-T 《信息安全技术 智能卡嵌入式软件安全技术要求（EAL4增强级）》

　　GB/T 25070-2010 《电子签名卡应用接口基本要求》

　　GB/T 18336.1-2008《信息技术安全技术信息技术安全性评估准则第1部分：简介和一般模型》

　　GB/T 18336.2-2008《信息技术 安全技术 信息技术安全性评估准则 第2部分：安全功能要求》

　　JR/T 0068-2012 《网上银行系统信息安全通用规范》

　　OTP 检测依据标准

　　JR/T 0068-2012 《网上银行系统信息安全通用规范》

　　检测内容

　　CFCA信息安全实验室凭借多年的技术积累，遵循现行国家标准、行业标准，制定了一套完备的安全检测流程（如图1），并将网银安全产品USBKey与OTP的检测项分别进行了详细的划分，依次从产品合规性、逻辑安全性、物理安全性、功能及性能五个方面（如图2），展开全方位测试。

图1 安全产品检测流程

图2 安全产品检测项

　　USB KEY检测

　　USBKey具体检测内容涵盖五个模块，如图3所示：

图3 USBKEY检测项

　　产品合规性测试以流程为根本，分别针对USBKey嵌入式软件和管理工具两个模块展开合规性测试，从而保证了产品研发的规范性。

　　逻辑安全着眼于安全功能有效性，分别针对嵌入式软件与管理工具两大模块进行测试：一方面通过对嵌入式软件的逻辑安全性进行检测，可以及时发现用户交易流程的安全漏洞，从而降低安全风险；另一方面通过对管理工具的逻辑安全性进行检测，可以及时发现上层应用的缺陷，从而保证管理工具的安全性。

　　物理安全以防止芯片攻击为出发点，通过对硬件的物理安全性进行检测，以保证敏感信息的安全性。

　　功能检测以功能的正确性为基准，通过对嵌入式软件和管理工具的应用功能进行检测，为产品的应用功能正确性保驾护航。

　　性能测试是按照相关产品性能标准结合银行应用需求展开测试，分别对产品的嵌入式软件和上层管理工具进行检测，保证产品稳定性和使用效率。

　　OTP检测

　　OTP具体检测内容涵盖五个模块，如图4所示：

图4 OTP检测项

　　产品合规性测试以流程为根本，通过对OTP的合规性进行测试，可以保证产品研发的规范性。

　　逻辑安全着眼于安全功能有效性测试，通过对OTP的逻辑安全性进行检测，可以及时发现用户交易安全漏洞，从而降低安全风险。

　　物理安全以防止芯片攻击为出发点，通过对OTP的物理安全性进行检测，可以确保OTP内敏感信息的保密性。

　　功能测试以功能的正确性为基准，通过对OTP的功能性进行检测，可以保证OTP功能的正确性。

　　性能测试以产品的性能指标为基准，通过对OTP的性能进行检测，可以保证产品符合市场需求。

　　检测对象

　　网上交易的兴起虽然为金融安全产品的发展带来了春天，但也为网上交易安全带来了新的挑战。各大银行为提高身份认证安全性、保护用户信息安全，推出了各自的网银安全产品：USBKey和动态令牌（OTP）。随着网络安全要求的不断提高，二代USBKey和OTP产品应运而生。由于应用环境逐渐多元化，为应对市场的变化，二代Key逐步孕育出了音频Key、蓝牙Key和复合型USBKey等子产品，与此同时OTP也变革出了时间型、事件型、挑战应答型多种子产品。为了能在如此复杂的网银支付环境中降低网银支付产品的安全风险，CFCA根据相关安全标准为上述网上银行安全产品提供安全检测服务，以解决银行和用户的后顾之忧。

图5 安全产品检测对象