atsec高向東:移動支付需關注持卡人數(shù)據加密
atsec高級咨詢顧問高向東
和訊科技消息 11月29日-30日,2011中國移動支付產業(yè)年會在北京舉行。在30日的演講中,多位嘉賓作出了精彩的發(fā)言。atsec高級咨詢顧問高向東作了以移動支付安全為主題的演講。
以下為演講實錄:
在座的各位嘉賓大家上午好!我是來自atsec的高向東,非常高興有這個機會與在座各位一塊就《支付安全合規(guī)趨勢和經驗分享》展開探,非常榮幸有這個機會。今天給大家匯報的內容主要包括兩個方面:第一,在過去的2011年年我們都發(fā)生了哪些安全事件?作為移動支付在安全合規(guī)方面有哪些趨勢?第二,對于atsec涉及支付安全以及它相關的標準,在合規(guī)過程中一些經驗的積累,也想跟各位展開探討。
前不久PCR標委會成立了一個全球的支付卡數(shù)據安全保護的組織,他發(fā)布了這樣一些統(tǒng)計數(shù)據,對移動應用在很大程度上高達90%的比例威脅的來源是來自于外部的,具體來看,這些外部的來源到底來自于哪方面的威脅呢?最大的一個威脅是對黑客的入侵行為,這個占的比例大概是50%的樣子。可能大家有印象,在今年夏天全球一個事件,索尼在今年夏天它的服務器系統(tǒng)遭受了多次攻擊,并且造成了至少100萬條SIM卡數(shù)據的丟失,對整個索尼的品牌也產生了非常大的影響,這是黑客攻擊方面今年非常典型的一個事件。第二是惡意軟件的滲透和惡意行為,今年很多提供公開郵件的服務系統(tǒng),像雅虎等等很多郵件系統(tǒng),在用戶登錄以后所出現(xiàn)的一些漏洞,這些都跟惡意軟件有很大關系。另外對物理入侵方面的問題也占很大比例。
整體來看,對于支付安全過程中如何來保證整個過程的安全至關重要。對于這個標準,這個地方提到了一個PCIDSS標準,這個標準目前在全球是唯一的相關標準。這個標準目前也廣泛的適用于,尤其在涉及持卡人數(shù)據交易過程中。從來自PCI標委會的數(shù)據顯示,在卡的比例里還有一些處于非合規(guī)狀態(tài)。atsec早在五年前就作為PCIDSS國際服務測評機構,今年最近atsec作為中國一個獨立實體,獲得了PCIDSS授權,atsec也希望與在座各位同仁一道共同提升移動支付的安全性。
總結起來看,移動支付涉及的安全問題,之前各位也提到了很多,一提到安全大家都會認為安全的問題很多,也不知道如何下手。統(tǒng)計數(shù)據顯示,絕大多數(shù)安全問題都可以通過低成本形式來展開,那么到底有什么辦法來比較好的提高安全性?特別是大家提到的網上營業(yè)廳、網上銀行等等業(yè)務的迅猛發(fā)展,到底有什么辦法可以有效的提高安全性?
我們也做了一些總結:首先,對提供的應用,特別是進您來看,對于來自外部的威脅,黑客已經從對傳統(tǒng)的服務器進行攻擊,而轉到了針對應用的攻擊,那么如何做好應用安全防護?首先黑客可能會有一個帳號,比如說我在一個網站注冊一個帳號,這時候對這個帳號來講就會有相應的權限,那么這時候對帳號管理來講就提出了很多要求,比如對帳號默認權限的更改和定期對帳號的檢查,這是非常必要的。除此之外,對應用本身的加固,比如對應用使用過程中行為的過濾,這是兩個重要的保護點。很多時候是我們自主開發(fā)的應用,在應用功能實現(xiàn)過程中如何保證它的安全?在開發(fā)過程中我們更好的使用雙人審核的方式,測試過程中使用安全的測試方法,對應用進行審核。包括來過濾用戶輸入的參數(shù)和輸入的數(shù)值,對于日常工作過程中的監(jiān)控以及管理,這對安全管理也至關重要。
以上談到的這些是關于過去一年中的一些發(fā)展趨勢,從涉及支付產業(yè)的標準PCIDSS的標準,從2011年12月31號將面臨一個新的V2.0標準替代V1.0版本,在這里也想回顧一下對移動支付的安全標準的一些變化,從變化當中我們或許能有一些體會。首先這個變化來自于兩個方面,除了本身對標準的一些要求,比如對發(fā)卡行的一些要求更細化以外,更多的情況是對標準所涉及的要求順延的趨勢。比如對網絡通信的保護和無線的檢查,這要求整體是趨延的。對應用包括對應用的保護、對應用的管理,在數(shù)據層面也提出了加密算法,剛才也有提到了這方面的要求,以及對位置的管理。
atsec我們也是持續(xù)關注于新標準的變化,大家感興趣可以溝通來交流。新標準的另外一個變化,對更多行業(yè)標準與實踐的參與與借鑒,總體來看,隨著支付應用的迅猛發(fā)展,對支付應用本身的安全性也越來越被視為關鍵點,對這個標準變化除了提更多要求,來應對日趨復雜的威脅,并且也會通過聯(lián)合的方式,互相之間聯(lián)合、互相之間借鑒的方式,來建立安全管理和安全方面的實踐。
除了推出一些新標準以外,同時標委會也做了很多補充,具體來看這些補充通常是以指導性的規(guī)范來體現(xiàn)的。首先一個好的消息是,對于廣泛涉及的比如說像PTC合規(guī)的密碼鍵盤這類的設備和POS設備,今年的消息這些可以接受作為PCI另外一個標準進行支付應用做審核,而當前對廣泛流行手機支付非應用系統(tǒng)的安全性是如何保證的?這樣的規(guī)范也在開發(fā)過程中。另外,對新的指導規(guī)范還包括了在EMV環(huán)境下,國內我們通常叫IC卡,在IC卡達到安全的條件下如何和PCI相聯(lián)合?這也提出了相應的指導意見。除此之外包括電話銀行、呼叫中心涉及到持卡人數(shù)據的時候,安全如何保障?也有相應的安全規(guī)范。同時也包括虛擬化技術、無線檢測的技術等等都提出了具體規(guī)范。時間關系我就不一一展開了。
前面我們提到了對于規(guī)范的指導性意見的提出,具體在合規(guī)的過程中,可能好多時候像商戶、第三方支付公司,涉及持卡人數(shù)據交易的、SIM卡數(shù)據存儲傳輸?shù)亩紩婕癙CI傳輸,都需要維持和符合PCI的要求規(guī)范,在合規(guī)的過程中我們也發(fā)現(xiàn)好多用戶會有這方面或者那方面的問題,也想借這個機會跟各位做些分享,在座各位都是專家,也希望大家給予理解,也希望跟大家討論。下面我們來具體看一下,首先第一個問題,對于PCI合規(guī)的工作量,PCI這個標準我們理解它是介于一個更具體的指導性的規(guī)范標準,這個標準的要求非常細,然后又是一個復合型的標準,就是說持卡人數(shù)據必須是合規(guī)的。這導致看起來工作想非常巨大,尤其是哪些有持卡人數(shù)據、哪些沒持卡人數(shù)據的時候,這樣導致無論是時間投入還是金錢投入都非常大。這時候我們可以從三個層面來有效的縮小或者降低持卡人環(huán)節(jié)在合規(guī)使用時的難度,第一個方面我們稱為數(shù)據流梳理,我們通過一個有效網絡分割的形式,把和持卡人無關的系統(tǒng)排除之外。
對于大家廣泛關注的在合規(guī)過程中的加密或者持卡人數(shù)據的安全存儲,這個地方我們也想對大家推薦一下合規(guī)的規(guī)范或者實踐。大家可以看到右邊這個圖,是對于交易過程中的加密,用戶體驗是不會受到影響的,所改變的是應用系統(tǒng)和數(shù)據應用系統(tǒng)調用的時候需要改變結構,最終的結果是在應用跟數(shù)據在之前調用的時候都是明文轉密文的形式,這保證了好多時候持卡人數(shù)據是可以避免掉泄露的。另外還涉及到密碼管理的實踐,在密碼管理或者涉及密鑰管理的時候,我們從生命周期的角度來看,如何安全的建立、如何安全的變更,我們可以用一個生命周期來看待這個問題。
另外在PCI合規(guī)過程中,可能有組織說我很難做到這點,無論是設備投入還是人力投入,很難做到,同樣PCI也會有一個相應的措施。對于我們自己開發(fā)的應用,我們很多時候關注的都是應用本身的功能,如何在應用過程中更好的融入安全?我們也總結了很多總結,包括測試、編碼、生產等等過程中需要參考哪些實踐?這個地方我們也做了總結,感興趣的朋友我們也可以展開更多的探討。對于atsec來說我們今年跟中國信息安全認證中心合作推出了安全軟件開發(fā)課程,這個課程我們打算在2012年第一季度展開第一期的課程,有感興趣的朋友可以跟我們公司的同事溝通。
在線系統(tǒng),系統(tǒng)出漏洞打補丁是個很麻煩的事情,但是不打也不行,但我們在這個得到總結了一個比較好的生命周期的管理方法??偨Y起來來看,首先對于漏洞,我們投入很好的方法盡早發(fā)現(xiàn),在分析的時候分析的非常全面,在跟蹤的時候我們有效的利用標準要求,更合理化安排這個生命周期,在于在補丁管理或者對漏洞修復的影響,這也是可以遵照一個過程來實現(xiàn)的。
最后提到一點,對于整個體系的建設,PCI合規(guī)的時候我們可以認為PCI這個要求可以在2.5這個層面,也就是說介于ISO和ICE兩個層面,如何有效的把我們已經符合的一些體系跟PCI有效的融合?這個我們認為是非常必要的,而不是很多時候為符合標準建立很多的安全體系,這在執(zhí)行起來是會有很大難度的。
這個地方也跟大家分享一下,這是一個我們推薦的比如對于支付的機構,在涉及比如我們國內的風險管理指南、27000、PCI這些要求的時候,如何通過一個融合的體系來實踐?首先把這些標準打碎,形成一個我們自己符合標準的整體。
在此做一個呼吁吧,雖然講的是PCI,但包括PCI的發(fā)展和規(guī)范性的指導意見,以及包括涉及無論是在線還是離線的交易、遠程還是現(xiàn)場的交易,都希望在這個過程中多考慮安全,從安全角度來看也希望跟在座各位做很多分享,希望跟大家一道共提升移動支付大發(fā)展同時,首先安全可以為移動支付的發(fā)展保駕護航,另外安全也作為移動支付發(fā)展的基礎,更多的對移動支付應用的發(fā)展作出貢獻,謝謝大家!