首页 / 三方支付

三方支付系统 返回列表
解析银联建设电子支付安全攻防体系的概况
2019-01-31 admin

  获悉电子支付虽然具有便捷性和创新性等优势,但是其在快速发展的同时,安全问题形势却是日益严峻。一方面许多金融应用暴露出资金安全、信息安全方面的许多问题;另一方面,网络攻击的方式也日趋隐蔽和复杂,给安全检测和防御研究带来了极大的挑战。
 
  从行业视点来看,电子支付安全问题是跨机构、跨渠道、跨地域的,进犯了某个电商渠道或互联网金融运用,就意味着对关键金融系统产生了潜在要挟。现在业界尚未构成有用的面向整个电子支付行业的信息安全攻防系统,因此迫切需要各方联合起来,进行相关课题的研讨和实践。
 
  中国银联电子支付安全攻防系统研讨,将在调研业界先进技能和办理经验的基础上,结合安全厂商、安全联盟、规范化安排的安全规范和最佳实践,从提升国内网络和电子支付安全环境的视点出发,对传统信息安全攻防模型进行优化,对电子支付安全范畴的技能手段、攻防实践、人才培育、联动机制进行探究和实践,以构成完整的电子支付安全攻防系统,满意行业参与各方的需要。这一系统也将为银联支付产品和运用供给安全保证,为行业界支付系统安全的建造供给理论、技能和实践参阅。
 
  1.电子支付安全系统模型
 
  电子支付安全攻防系统理论模型的最核心是电子支付安全,传统的安全攻防模型并不能很好地满意电子支付安全研讨的需要,为了更好地对电子支付安全进行研讨,咱们从电子支付安全的视点,结合现在业界支付产品和银联本身的特色,改进了传统的安全攻防模型。
 
  依据电子支付安全攻防系统模型,为了保证电子支付安全这一核心,咱们从四个方面开展工作。首要是从技能手段的视点来保证电子支付的安全。其次,在办理办法上,信息安全范畴,技能和办理并重,构成集人员办理、资产办理、危险办理等多项办理办法于一体的办理系统。再次,在人才培育上,注重安全团队的建造,构成安全团队的有用培育机制。最后,在联动机制方面,电子支付安全攻防系统建立了内外结合的高效联动机制。
 
  电子支付安全攻防系统理论模型的最外层是详细的研讨内容,这些详细的研讨内容也是内层研讨工作的基础。它包含物理层、协议层、运用层、社会工程等多个视点,触及了电子支付设备安全、支付控件和工具安全、支付协议和算法安全、电子支付运用安全以及社会工程学。
 
  2.电子支付安全研讨方向
 
  在电子支付安全攻防系统的研讨中,咱们结合银联的实践需求和业界常见的分类规范主要从移动支付安全、网络安全、Web安全、暗码算法、芯片/硬件安全等5个技能方面开展研讨。
 
  移动支付安全包含移动操作系统本身安全性剖析、移动APP的漏洞剖析、移动APP编译与反编译、终端运用的反篡改、手机短信验证码安全性研讨、伪基站研讨、移动端病毒原理与传播、移动终端环境安全性检测与加固等多个方面。
 
  在进行网络安全研讨时,首要整理构成当前典型的网络进犯品种,以及其对应的安全缺陷、进犯目的、业界解决方案或研讨方向、银联或许遇到的实战场景和银联现有的应对考虑。在实践的研讨过程中,中国银联针对生产上的实践安全问题——CC进犯,开展了深入研讨,并自主研发了集成机器学习、要挟情报等先进安全技能的网络流量剖析及CC进犯检测系统。
 
  Web安全方面,咱们详细剖析了各类Web进犯原理、特征,并调研了Web安全防护的一般做法和干流自动化扫描工具与代码扫描软件,以完成在自动化检测的基础上辅佐以人工的渗透测试发现Web系统或许存在的安全隐患。
 
  暗码算法和各类基础协议方面,咱们针对不同的加密算法、规范本身的优劣、功率、比照、适用度、常见进犯、破解方式、完成漏洞、部署要求等均做了详细的研讨,构成了多份研讨报告、最佳实践。
 
  在芯片/硬件安全方面,咱们对IC卡芯片中存储的关键证书信息和其他交易辅佐信息进行了针对性的攻防测试和研讨,提出了有用的解决方案,构成了多篇专利。
 
  3.电子支付安全攻防渠道
 
  为更好地研讨各类安全技能,给广大研讨人员供给一个实战演练的场所,建立一套功用全面、安全可靠、灵活多样的安全攻防渠道的需求就呼之欲出了。通过对或许面对的运用场景的调研、对业界其他解决方案的消化吸收,咱们总结出如图2所示的安全攻防研讨渠道结构规划。
 
  渠道环境层是系统的基础,由基础网络环境、虚拟化环境和安全设备环境组成;在渠道环境层左右规划有日常操作层和办理保护层两个层面,用于支撑攻防渠道日常的正常运作和运用、办理;环绕以上三个支撑类的层面的是四大实践工作层,分别是安全实验层、攻防演练层、检测剖析层以及算法研讨层,用于供给真正的安全攻防研讨、演练、实践等功用。
 
  根据此框架设计,为将具体内容进行落地,我们搭建部署了一套安全攻防基础研究平台。
 
  该平台从反恶意软件、攻防实验、检测分析、算法研究、芯片安全、硬件安全6个维度同步开展建设,形成一个覆盖算法、协议、方案、产品全方位的安全研究基础环境。
 
  1.方法论创新
 
  在电子支付安全攻防体系的研究和工作过程中,我们对工作方法进行了全面思考和大胆探索。最终经过实践,形成了如下四点方法论特色:将业界经验与电子支付的具体场景相结合,解决了安全厂商的研究往往集中在技术实现,而金融行业注重业务风险,无法更好地将技术与业务相结合的弊端;对传统安全攻防模型进行借鉴和引申,解决了传统安全攻防模型无法涵盖日新月异的支付技术和产品的问题;在自主创新建立的安全攻防研究框架上开展攻防体系研究,突破了传统的安全研究以业界和厂商的产品框架为基础的局限;注重安全研究团队培养和联动机制建设,形成了政府机构、安全厂商、高校、科研院所等多方面的高效联动机制。
 
  2.体系模型创新
 
  电子支付安全是一个整体的、庞大的体系,涵盖电子支付业务和技术的方方面面。国内有些机构提出的面向电子支付安全的理论框架,在层次性和全面性方面尚有不足。而DMTF、ENISA、CSA等国际组织提出的安全理论、模型、框架、威胁分析,不具备在电子支付领域的实际指导意义。
 
  中国银联在参考国际标准化组织的安全研究成果的基础上,对应用层、协议层、物理层、社会工程方面的威胁进行了深入研究,从技术手段、管理措施、联动机制、人才培养四个方面出发,提出了新的电子支付安全攻防体系模型,形成了较为完整的安全攻防理论体系,充分考察了传统信息安全安全领域的最新研究成果和成熟经验、主流信息安全解决方案提供商的成熟产品及解决方案,结合电子支付安全特点形成了具有很强操作性的整体解决方案,具有较强的创新性。
 
  3.平台框架创新
 
  攻防平台框架在金融领域实现较少,主要存在于安全厂商的跨行业框架中,而本攻防平台框架涵盖安全攻防的各个阶段,是金融行业独创性研发。业界攻防框架焦点集中在传统的网络和系统安全领域,本体系框架以信息安全技术作为基础,提供多种自定制扩展开发接口,方便用户结合业务进行针对性研究,具有很好的开放性。业界攻防框架往往只支持特定的操作系统和硬件设备,本体系框架支持不同形态、不同操作系统、不同类型的硬件设备和分析软件纳入整个平台环境中,具有很高的可扩展性。安全界攻防框架主要关注传统网络和系统安全案例教学,本体系框架着重关注实际实施过程中的可行性、便利性以及安全性,具备良好的实操性。
 
  电子支付安全攻防体系的诸多成果已应用于银联产品和系统开发,起到安全保障作用,主要体现技术手段、管理措施、人才培养和联动机制四个方面。
 
  技术研究方面,首先,中国银联电子支付安全攻防体系开展生产安全隐患研究与检测系统实现。中国银联自主研发的网络流量分析与CC攻击检测系统,借助机器学习、威胁情报等新兴技术,实现网络资源的自学习发现,建立网络流量模型,根据特征实现CC攻击等恶意事件的检测和防御,该系统已在生产稳定运行并且检测效果良好。
 
  其次,开展电子支付热点、难点问题研究:针对高危漏洞、木马等安全问题进行研究与分析,并提出应对措施和防御方案;针对动态加载技术、运行时环境监测与清场等难点技术设计了原型方案,并完成可行性验证;针对Intel的IPT防护技术,进行了技术预研,研发技术原型,并在国家网络安全宣传周、Intel信息技术峰会IDF等展会上展出。
 
  再次,完成对内外多个支付系统/应用的渗透测试,包括内部的云POS、银联在线支付在内的多个支付后台系统和20余款银行网银等支付类应用的渗透测试,累计发现八大类上百项安全隐患,并协助完成漏洞的修复,改善和提高相应系统和应用的安全性。
 
  管理措施上,中国银联及时总结和推广攻防经验并将研究成果应用于标准规范的编写和制定。研究成果推广应用包括编写移动支付安全编程、手机应用安全风险、安全算法部署实践等文档,帮助需求、开发及运维人员掌握安全风险点及常见解决方案;研究成果应用于标准规范的编写,包括EMV等国际标准、云计算安全等国家标准、网银安全等行业标准、云安全审计等企业标准等。
 
  依托电子支付安全体系,中国银联组建了一支技术水平过硬的安全攻防技术团队——电子商务与电子支付国家工程实验室狴犴安全研究团队。在人才培养的过程中形成两种机制,分别是定期培训和实践检验。团队中每个人都会定期自由选取个人擅长的领域进行课程教授;另外还会根据安全行业形势的发展,不定期组织外部专业机构进行安全新动态、新业务的培训;团队积极寻找比赛机会进行学习与练兵,包括中国网络空间安全协会、国家互联网应急中心等单位举办的多项网络安全国家赛事,并取得了不错的成绩。
 
  电子支付是个整体的解决方案,电子支付安全也不是靠一方单打独斗可以解决的问题。为了更好地提升电子支付安全,中国银联与政府机构、科研机构、安全厂商以及行业机构建立了不同形式的高效联动机制,共享安全信息,共研安全技术,共建安全成果,共保支付安全。
 
  当前,“互联网+普惠金融”、“互联网+电子商务”已成为国家经济转型战略的重要行动,越来越多的企业走向互联网化,越来越多的用户和商户尝试使用新型支付手段进行快捷支付。在这一过程中,每一个电子商务平台和互联网金融应用的建设者和参与者都需要考虑电子支付安全的问题和解决方案。中国银联希望能与业界各方携手共进,以打造更加成熟的安全体系,并共同保障金融安全与稳定。来源:三方支付系统

2019 逆天合作 模式 , 跟着我们 一起干

你只负责10%的市场运营工作,剩下90%总部承担