• 快捷搜索
  • 全站搜索

提升安全保障 助力支付创新

2017-12-04 15:45:39作者:电子商务与电子支付国家工程实验室 何朔 尹亚伟 杨阳 陈舟编辑:金融咨询网
对于银行卡产业,中国银联制定了一系列的产业安全标准和规范,并制定基础层面的支付安全规范,对上层应用安全规范进行规定和支撑,有利于进一步保护金融支付信息安全,保障金融支付系统安全运行。

重视安全体系建设,夯实安全保障基础

  电子支付安全风险按照环节可以分为端、管、云、通用等几大类(见图1所示)。实验室在上述各类基础安全风险方面积极开展安全攻防研究,取得了丰富的成果。

图片3.jpg
图 电子支付安全风险分析框架

  APP安全方面,针对银行手机网银、支付类应用等20余款移动客户端进行了安全检测,编写了详细的报告和改进建议,与一些银行手机银行、移动支付等应用的开发团队沟通安全隐患的详情和改进措施,并指导其在后续版本中进行完善。

  身份识别与认证方面,通过设备信息采集工具获取用户所持设备的软硬件信息、网络通信信息、屏幕点击数据等设备信息,由后端分析系统对多个关键的设备信息要素进行逻辑运算,得到可唯一识别不同设备的特征字符串,并基于统计模型和大数据分析算法得到设备可信度的分析结果。

  入侵检测与防御方面,在各个网络边界部署入侵防御设备,建立相应的攻击事件响应与应急预案,能够做到准实时地对攻击事件和漏洞舆情事件响应;与上游ISP(互联网服务提供商)与CDN(内容分发网络)厂商建立联动机制,应对大流量的DDOS(分布式拒绝服务)攻击;针对新型安全威胁,建立了蜜罐系统来真实模拟网络风险漏洞吸引攻击,用于发现潜在的入侵内网攻击行为,并及时响应处理。

  Web安全方面,整理各类web安全检测工具,建立内部的Web安全研究与检测平台,为内外部相关应用系统提供服务;对云WAF等新技术、新产品的开展研究。

  安全漏洞与恶意代码方面,在各个网络边界部署防病毒网关,拦截并清除企图进入系统的恶意代码;定期组织专业机构进行等保要求落实情况、互联网系统安全状态的评测;针对高危漏洞和木马的原理分析,实现演示原型并提出应对措施和防御方案。

  密码算法与安全协议方面,银联按照人民银行和国家密码管理局的要求,积极开展了技术预研、标准制定、系统改造、机构接入等相关工作,并大力推动国密算法纳入EMV下一代规范。

  安全开发方面,总结银联电子支付安全攻防研究经验,编写《移动支付安全编程最佳实践(Android版)》、《手机支付应用安全风险与攻防技术大全》、编写《SSL_TLS部署最佳实践》,帮助需求、开发、运维等相关人员掌握安全风险点及常见解决方案。

总结安全攻防经验,完善支付安全规范

  对于银行卡产业,中国银联制定了一系列的产业安全标准和规范,从受理端、发卡端、转接、移动支付等层面建立健全支付应用安全规范。并制定基础层面的支付安全规范,对上层应用安全规范进行规定和支撑,为制定银联卡支付安全规范、研发支付产品提供统一的安全参考,有利于进一步保护金融支付信息安全,保障金融支付系统安全运行。

  实验室还对各类攻防经验进行了成果总结,形成和完善了包括在线支付、手机支付、云安全等在内的各类安全规范、安全指南和最佳实践,如《电子支付领域云计算环境安全指南》,及时应对了云计算在数据存储与传输、虚拟化、统一身份认证、云应用开发与运营等方面面临的风险,同时为电子支付相关企业安全、高效的应用云计算提供指导。

  此外,在央行的领导下,银联牵头组织修订了《网上银行系统信息安全通用规范2015修订版》,作为各类机构提供金融服务的网上业务系统在安全方面的重要参考。

紧跟发展潮流,研究前沿技术

  电子支付网络安全是牵涉面广、技术快速更新、攻击模式多变的领域,需要对新技术、新模式开展持续研究,才能做到长治久安。近年来,实验室在不同层面开展对支付网络安全领域出现的相关的新技术、新模式的研究。

  在网络身份管理方面,开展对eID、oAuth等互联网创新身份认证技术方案的研究;在灾备方面,开展异地“灾备云”技术研究;在新兴网络安全设备方面,开展对下一代防火墙等安全软硬件设备如何在银联网络内发挥作用的研究;在网络攻防方面,联合外部合作伙伴对DDoS、APT等网络攻防技术开展深入研究;在安全协议方面,开展SSL协议的密码算法改造研究、3DS 2.0研究等工作;在安全态势感知方面,研究利用大数据、云计算等新手段,基于各类日志数据、网络流量的安全分析模型,并结合交易数据、用户行为数据等对全网安全态势进行综合分析、动态感知;在生物特征辅助身份识别方面,利用智能设备所具有的各类传感器,实现对生物特征的采集和特征匹配,目前银联已经在指纹识别、人脸识别、语音识别等技术领域开展研究工作;在可信计算方面,提出银联可信平台TEEI智能终端安全解决方案,积极协同各产业链合作伙伴一起,开展智能终端安全生态圈的建设工作。

加强自主可控建设,部署立体化防御体系

  实验室积极探索新形势下基于开源软件优化实现自主可至的工作路径。开源软件通过代码审查、白盒扫描等方式排查并修复其中的安全隐患后完全可以实现自主可控。目前,中国银联已在云计算、大数据等平台的建设过程中逐步探索出稳定的开源软件使用模式,并形成了UPSQL、UPJAS等基于开源软件结合实际需求定制化研发的产品,相关工作的实际成效较好。

  实验室在落实网络安全防护工作的过程中,从多角度全方位发力,积极部署立体化防御体系。在基础防护方面,采用多级隔离架构,部署了大量安全防护软硬件设备,形成纵深防御能力;在密码算法方面,大力推动国密算法的应用和国际化;在移动支付安全方面,构建了基于自主研发的TEEI硬件安全生态圈,研制并发布了移动支付安全相关的一系列标准;在系统安全测评方面,一方面正在研究国产安全检测工具,另一方面所请的外部检测机构都是国测、上测等国内厂商;在灾备方面,自主研发了两地三中心的灾备体系;在支付产品检测方面,牵头成立了银行卡检测中心专门负责检测银行卡相关产品的安全性;在产学研方面,申请了国家工程实验室、博士后工作站,同时还与多所高校、安全厂商等开展合作,形成产学研的联动。

密切联系产业各方,积极推进行业合作

  银联积极参与EMVCo、PCI等国际标准组织,开展国际标准的研究和推广应用工作,结合中国国情,通过产学研合作,促进银行卡产业的国际化。工作期间,银联参与了支付系统CA公钥有效期的年度评估与建议;参与修订发卡行安全指南,对卡片公钥长度要求等进行了调整和提示;参与EMV下一代规范安全部分的编制,列入了支持SM系列国产密码算法的有关参数;参与3DS2.0规范安全部分的编制,贡献出了设备指纹有关技术方案。

  在云计算与大数据安全领域,实验室与复旦大学计算机学院合作构建了金融云安全模型,并搭建了银联云计算平台安全体系架构和相关系统,为银联云计算与大数据平台的安全运行保驾护航;与中国电子技术标准化研究院合作,参与了云计算安全国家标准研制工作。
  
  在移动支付安全领域,实验室与上海交通大学合作,梳理整个手机支付安全领域的现状、常见风险、防护手段,完成《手机支付应用安全风险与攻防技术大全》的编纂,并合作搭建了一套手机支付应用安全攻防平台。

  在TEEI终端安全平台领域研究中,实验室还邀请国内相关产业链中各行业领先者加入TEEI工作组,共同引领和推进TEEI可信移动计算技术的相关研究及探讨。

(文章来源:金融电子化杂志)

扫码即可手机
阅读转发此文

本文评论

相关文章