物聯傳媒 旗下網站
登錄 注冊

atsec高向東:移動支付需關注持卡人數據加密

作者:和訊科技
來源:來源網絡(侵權刪)
日期:2012-01-07 10:27:18
摘要:11月29日-30日,2011中國移動支付產業(yè)年會在北京舉行。在30日的演講中,多位嘉賓作出了精彩的發(fā)言。atsec高級咨詢顧問高向東作了以移動支付安全為主題的演講。

atsec高級咨詢顧問高向東

  和訊科技消息 11月29日-30日,2011中國移動支付產業(yè)年會在北京舉行。在30日的演講中,多位嘉賓作出了精彩的發(fā)言。atsec高級咨詢顧問高向東作了以移動支付安全為主題的演講。

  以下為演講實錄:

  在座的各位嘉賓大家上午好!我是來自atsec的高向東,非常高興有這個機會與在座各位一塊就《支付安全合規(guī)趨勢和經驗分享》展開探,非常榮幸有這個機會。今天給大家匯報的內容主要包括兩個方面:第一,在過去的2011年年我們都發(fā)生了哪些安全事件?作為移動支付在安全合規(guī)方面有哪些趨勢?第二,對于atsec涉及支付安全以及它相關的標準,在合規(guī)過程中一些經驗的積累,也想跟各位展開探討。

  前不久PCR標委會成立了一個全球的支付卡數據安全保護的組織,他發(fā)布了這樣一些統(tǒng)計數據,對移動應用在很大程度上高達90%的比例威脅的來源是來自于外部的,具體來看,這些外部的來源到底來自于哪方面的威脅呢?最大的一個威脅是對黑客的入侵行為,這個占的比例大概是50%的樣子??赡艽蠹矣杏∠螅诮衲晗奶烊蛞粋€事件,索尼在今年夏天它的服務器系統(tǒng)遭受了多次攻擊,并且造成了至少100萬條SIM卡數據的丟失,對整個索尼的品牌也產生了非常大的影響,這是黑客攻擊方面今年非常典型的一個事件。第二是惡意軟件的滲透和惡意行為,今年很多提供公開郵件的服務系統(tǒng),像雅虎等等很多郵件系統(tǒng),在用戶登錄以后所出現的一些漏洞,這些都跟惡意軟件有很大關系。另外對物理入侵方面的問題也占很大比例。

  整體來看,對于支付安全過程中如何來保證整個過程的安全至關重要。對于這個標準,這個地方提到了一個PCIDSS標準,這個標準目前在全球是唯一的相關標準。這個標準目前也廣泛的適用于,尤其在涉及持卡人數據交易過程中。從來自PCI標委會的數據顯示,在卡的比例里還有一些處于非合規(guī)狀態(tài)。atsec早在五年前就作為PCIDSS國際服務測評機構,今年最近atsec作為中國一個獨立實體,獲得了PCIDSS授權,atsec也希望與在座各位同仁一道共同提升移動支付的安全性。

  總結起來看,移動支付涉及的安全問題,之前各位也提到了很多,一提到安全大家都會認為安全的問題很多,也不知道如何下手。統(tǒng)計數據顯示,絕大多數安全問題都可以通過低成本形式來展開,那么到底有什么辦法來比較好的提高安全性?特別是大家提到的網上營業(yè)廳、網上銀行等等業(yè)務的迅猛發(fā)展,到底有什么辦法可以有效的提高安全性?

  我們也做了一些總結:首先,對提供的應用,特別是進您來看,對于來自外部的威脅,黑客已經從對傳統(tǒng)的服務器進行攻擊,而轉到了針對應用的攻擊,那么如何做好應用安全防護?首先黑客可能會有一個帳號,比如說我在一個網站注冊一個帳號,這時候對這個帳號來講就會有相應的權限,那么這時候對帳號管理來講就提出了很多要求,比如對帳號默認權限的更改和定期對帳號的檢查,這是非常必要的。除此之外,對應用本身的加固,比如對應用使用過程中行為的過濾,這是兩個重要的保護點。很多時候是我們自主開發(fā)的應用,在應用功能實現過程中如何保證它的安全?在開發(fā)過程中我們更好的使用雙人審核的方式,測試過程中使用安全的測試方法,對應用進行審核。包括來過濾用戶輸入的參數和輸入的數值,對于日常工作過程中的監(jiān)控以及管理,這對安全管理也至關重要。

  以上談到的這些是關于過去一年中的一些發(fā)展趨勢,從涉及支付產業(yè)的標準PCIDSS的標準,從2011年12月31號將面臨一個新的V2.0標準替代V1.0版本,在這里也想回顧一下對移動支付的安全標準的一些變化,從變化當中我們或許能有一些體會。首先這個變化來自于兩個方面,除了本身對標準的一些要求,比如對發(fā)卡行的一些要求更細化以外,更多的情況是對標準所涉及的要求順延的趨勢。比如對網絡通信的保護和無線的檢查,這要求整體是趨延的。對應用包括對應用的保護、對應用的管理,在數據層面也提出了加密算法,剛才也有提到了這方面的要求,以及對位置的管理。

  atsec我們也是持續(xù)關注于新標準的變化,大家感興趣可以溝通來交流。新標準的另外一個變化,對更多行業(yè)標準與實踐的參與與借鑒,總體來看,隨著支付應用的迅猛發(fā)展,對支付應用本身的安全性也越來越被視為關鍵點,對這個標準變化除了提更多要求,來應對日趨復雜的威脅,并且也會通過聯合的方式,互相之間聯合、互相之間借鑒的方式,來建立安全管理和安全方面的實踐。

  除了推出一些新標準以外,同時標委會也做了很多補充,具體來看這些補充通常是以指導性的規(guī)范來體現的。首先一個好的消息是,對于廣泛涉及的比如說像PTC合規(guī)的密碼鍵盤這類的設備和POS設備,今年的消息這些可以接受作為PCI另外一個標準進行支付應用做審核,而當前對廣泛流行手機支付非應用系統(tǒng)的安全性是如何保證的?這樣的規(guī)范也在開發(fā)過程中。另外,對新的指導規(guī)范還包括了在EMV環(huán)境下,國內我們通常叫IC卡,在IC卡達到安全的條件下如何和PCI相聯合?這也提出了相應的指導意見。除此之外包括電話銀行、呼叫中心涉及到持卡人數據的時候,安全如何保障?也有相應的安全規(guī)范。同時也包括虛擬化技術、無線檢測的技術等等都提出了具體規(guī)范。時間關系我就不一一展開了。

  前面我們提到了對于規(guī)范的指導性意見的提出,具體在合規(guī)的過程中,可能好多時候像商戶、第三方支付公司,涉及持卡人數據交易的、SIM卡數據存儲傳輸的都會涉及PCI傳輸,都需要維持和符合PCI的要求規(guī)范,在合規(guī)的過程中我們也發(fā)現好多用戶會有這方面或者那方面的問題,也想借這個機會跟各位做些分享,在座各位都是專家,也希望大家給予理解,也希望跟大家討論。下面我們來具體看一下,首先第一個問題,對于PCI合規(guī)的工作量,PCI這個標準我們理解它是介于一個更具體的指導性的規(guī)范標準,這個標準的要求非常細,然后又是一個復合型的標準,就是說持卡人數據必須是合規(guī)的。這導致看起來工作想非常巨大,尤其是哪些有持卡人數據、哪些沒持卡人數據的時候,這樣導致無論是時間投入還是金錢投入都非常大。這時候我們可以從三個層面來有效的縮小或者降低持卡人環(huán)節(jié)在合規(guī)使用時的難度,第一個方面我們稱為數據流梳理,我們通過一個有效網絡分割的形式,把和持卡人無關的系統(tǒng)排除之外。

  對于大家廣泛關注的在合規(guī)過程中的加密或者持卡人數據的安全存儲,這個地方我們也想對大家推薦一下合規(guī)的規(guī)范或者實踐。大家可以看到右邊這個圖,是對于交易過程中的加密,用戶體驗是不會受到影響的,所改變的是應用系統(tǒng)和數據應用系統(tǒng)調用的時候需要改變結構,最終的結果是在應用跟數據在之前調用的時候都是明文轉密文的形式,這保證了好多時候持卡人數據是可以避免掉泄露的。另外還涉及到密碼管理的實踐,在密碼管理或者涉及密鑰管理的時候,我們從生命周期的角度來看,如何安全的建立、如何安全的變更,我們可以用一個生命周期來看待這個問題。

  另外在PCI合規(guī)過程中,可能有組織說我很難做到這點,無論是設備投入還是人力投入,很難做到,同樣PCI也會有一個相應的措施。對于我們自己開發(fā)的應用,我們很多時候關注的都是應用本身的功能,如何在應用過程中更好的融入安全?我們也總結了很多總結,包括測試、編碼、生產等等過程中需要參考哪些實踐?這個地方我們也做了總結,感興趣的朋友我們也可以展開更多的探討。對于atsec來說我們今年跟中國信息安全認證中心合作推出了安全軟件開發(fā)課程,這個課程我們打算在2012年第一季度展開第一期的課程,有感興趣的朋友可以跟我們公司的同事溝通。

  在線系統(tǒng),系統(tǒng)出漏洞打補丁是個很麻煩的事情,但是不打也不行,但我們在這個得到總結了一個比較好的生命周期的管理方法??偨Y起來來看,首先對于漏洞,我們投入很好的方法盡早發(fā)現,在分析的時候分析的非常全面,在跟蹤的時候我們有效的利用標準要求,更合理化安排這個生命周期,在于在補丁管理或者對漏洞修復的影響,這也是可以遵照一個過程來實現的。

  最后提到一點,對于整個體系的建設,PCI合規(guī)的時候我們可以認為PCI這個要求可以在2.5這個層面,也就是說介于ISO和ICE兩個層面,如何有效的把我們已經符合的一些體系跟PCI有效的融合?這個我們認為是非常必要的,而不是很多時候為符合標準建立很多的安全體系,這在執(zhí)行起來是會有很大難度的。

  這個地方也跟大家分享一下,這是一個我們推薦的比如對于支付的機構,在涉及比如我們國內的風險管理指南、27000、PCI這些要求的時候,如何通過一個融合的體系來實踐?首先把這些標準打碎,形成一個我們自己符合標準的整體。

  在此做一個呼吁吧,雖然講的是PCI,但包括PCI的發(fā)展和規(guī)范性的指導意見,以及包括涉及無論是在線還是離線的交易、遠程還是現場的交易,都希望在這個過程中多考慮安全,從安全角度來看也希望跟在座各位做很多分享,希望跟大家一道共提升移動支付大發(fā)展同時,首先安全可以為移動支付的發(fā)展保駕護航,另外安全也作為移動支付發(fā)展的基礎,更多的對移動支付應用的發(fā)展作出貢獻,謝謝大家!