atsec高級咨詢顧問高向東

　　和訊科技消息 11月29日-30日，2011中國移動支付產(chǎn)業(yè)年會在北京舉行。在30日的演講中，多位嘉賓作出了精彩的發(fā)言。atsec高級咨詢顧問高向東作了以移動支付安全為主題的演講。

　　以下為演講實錄：

　　在座的各位嘉賓大家上午好！我是來自atsec的高向東，非常高興有這個機會與在座各位一塊就《支付安全合規(guī)趨勢和經(jīng)驗分享》展開探，非常榮幸有這個機會。今天給大家匯報的內(nèi)容主要包括兩個方面：第一，在過去的2011年年我們都發(fā)生了哪些安全事件？作為移動支付在安全合規(guī)方面有哪些趨勢？第二，對于atsec涉及支付安全以及它相關(guān)的標(biāo)準(zhǔn)，在合規(guī)過程中一些經(jīng)驗的積累，也想跟各位展開探討。

　　前不久PCR標(biāo)委會成立了一個全球的支付卡數(shù)據(jù)安全保護的組織，他發(fā)布了這樣一些統(tǒng)計數(shù)據(jù)，對移動應(yīng)用在很大程度上高達90%的比例威脅的來源是來自于外部的，具體來看，這些外部的來源到底來自于哪方面的威脅呢？最大的一個威脅是對黑客的入侵行為，這個占的比例大概是50%的樣子?？赡艽蠹矣杏∠?，在今年夏天全球一個事件，索尼在今年夏天它的服務(wù)器系統(tǒng)遭受了多次攻擊，并且造成了至少100萬條SIM卡數(shù)據(jù)的丟失，對整個索尼的品牌也產(chǎn)生了非常大的影響，這是黑客攻擊方面今年非常典型的一個事件。第二是惡意軟件的滲透和惡意行為，今年很多提供公開郵件的服務(wù)系統(tǒng)，像雅虎等等很多郵件系統(tǒng)，在用戶登錄以后所出現(xiàn)的一些漏洞，這些都跟惡意軟件有很大關(guān)系。另外對物理入侵方面的問題也占很大比例。

　　整體來看，對于支付安全過程中如何來保證整個過程的安全至關(guān)重要。對于這個標(biāo)準(zhǔn)，這個地方提到了一個PCIDSS標(biāo)準(zhǔn)，這個標(biāo)準(zhǔn)目前在全球是唯一的相關(guān)標(biāo)準(zhǔn)。這個標(biāo)準(zhǔn)目前也廣泛的適用于，尤其在涉及持卡人數(shù)據(jù)交易過程中。從來自PCI標(biāo)委會的數(shù)據(jù)顯示，在卡的比例里還有一些處于非合規(guī)狀態(tài)。atsec早在五年前就作為PCIDSS國際服務(wù)測評機構(gòu)，今年最近atsec作為中國一個獨立實體，獲得了PCIDSS授權(quán)，atsec也希望與在座各位同仁一道共同提升移動支付的安全性。

　　總結(jié)起來看，移動支付涉及的安全問題，之前各位也提到了很多，一提到安全大家都會認為安全的問題很多，也不知道如何下手。統(tǒng)計數(shù)據(jù)顯示，絕大多數(shù)安全問題都可以通過低成本形式來展開，那么到底有什么辦法來比較好的提高安全性？特別是大家提到的網(wǎng)上營業(yè)廳、網(wǎng)上銀行等等業(yè)務(wù)的迅猛發(fā)展，到底有什么辦法可以有效的提高安全性？

　　我們也做了一些總結(jié)：首先，對提供的應(yīng)用，特別是進您來看，對于來自外部的威脅，黑客已經(jīng)從對傳統(tǒng)的服務(wù)器進行攻擊，而轉(zhuǎn)到了針對應(yīng)用的攻擊，那么如何做好應(yīng)用安全防護？首先黑客可能會有一個帳號，比如說我在一個網(wǎng)站注冊一個帳號，這時候?qū)@個帳號來講就會有相應(yīng)的權(quán)限，那么這時候?qū)ぬ柟芾韥碇v就提出了很多要求，比如對帳號默認權(quán)限的更改和定期對帳號的檢查，這是非常必要的。除此之外，對應(yīng)用本身的加固，比如對應(yīng)用使用過程中行為的過濾，這是兩個重要的保護點。很多時候是我們自主開發(fā)的應(yīng)用，在應(yīng)用功能實現(xiàn)過程中如何保證它的安全？在開發(fā)過程中我們更好的使用雙人審核的方式，測試過程中使用安全的測試方法，對應(yīng)用進行審核。包括來過濾用戶輸入的參數(shù)和輸入的數(shù)值，對于日常工作過程中的監(jiān)控以及管理，這對安全管理也至關(guān)重要。

　　以上談到的這些是關(guān)于過去一年中的一些發(fā)展趨勢，從涉及支付產(chǎn)業(yè)的標(biāo)準(zhǔn)PCIDSS的標(biāo)準(zhǔn)，從2011年12月31號將面臨一個新的V2.0標(biāo)準(zhǔn)替代V1.0版本，在這里也想回顧一下對移動支付的安全標(biāo)準(zhǔn)的一些變化，從變化當(dāng)中我們或許能有一些體會。首先這個變化來自于兩個方面，除了本身對標(biāo)準(zhǔn)的一些要求，比如對發(fā)卡行的一些要求更細化以外，更多的情況是對標(biāo)準(zhǔn)所涉及的要求順延的趨勢。比如對網(wǎng)絡(luò)通信的保護和無線的檢查，這要求整體是趨延的。對應(yīng)用包括對應(yīng)用的保護、對應(yīng)用的管理，在數(shù)據(jù)層面也提出了加密算法，剛才也有提到了這方面的要求，以及對位置的管理。

　　atsec我們也是持續(xù)關(guān)注于新標(biāo)準(zhǔn)的變化，大家感興趣可以溝通來交流。新標(biāo)準(zhǔn)的另外一個變化，對更多行業(yè)標(biāo)準(zhǔn)與實踐的參與與借鑒，總體來看，隨著支付應(yīng)用的迅猛發(fā)展，對支付應(yīng)用本身的安全性也越來越被視為關(guān)鍵點，對這個標(biāo)準(zhǔn)變化除了提更多要求，來應(yīng)對日趨復(fù)雜的威脅，并且也會通過聯(lián)合的方式，互相之間聯(lián)合、互相之間借鑒的方式，來建立安全管理和安全方面的實踐。

　　除了推出一些新標(biāo)準(zhǔn)以外，同時標(biāo)委會也做了很多補充，具體來看這些補充通常是以指導(dǎo)性的規(guī)范來體現(xiàn)的。首先一個好的消息是，對于廣泛涉及的比如說像PTC合規(guī)的密碼鍵盤這類的設(shè)備和POS設(shè)備，今年的消息這些可以接受作為PCI另外一個標(biāo)準(zhǔn)進行支付應(yīng)用做審核，而當(dāng)前對廣泛流行手機支付非應(yīng)用系統(tǒng)的安全性是如何保證的？這樣的規(guī)范也在開發(fā)過程中。另外，對新的指導(dǎo)規(guī)范還包括了在EMV環(huán)境下，國內(nèi)我們通常叫IC卡，在IC卡達到安全的條件下如何和PCI相聯(lián)合？這也提出了相應(yīng)的指導(dǎo)意見。除此之外包括電話銀行、呼叫中心涉及到持卡人數(shù)據(jù)的時候，安全如何保障？也有相應(yīng)的安全規(guī)范。同時也包括虛擬化技術(shù)、無線檢測的技術(shù)等等都提出了具體規(guī)范。時間關(guān)系我就不一一展開了。

　　前面我們提到了對于規(guī)范的指導(dǎo)性意見的提出，具體在合規(guī)的過程中，可能好多時候像商戶、第三方支付公司，涉及持卡人數(shù)據(jù)交易的、SIM卡數(shù)據(jù)存儲傳輸?shù)亩紩婕癙CI傳輸，都需要維持和符合PCI的要求規(guī)范，在合規(guī)的過程中我們也發(fā)現(xiàn)好多用戶會有這方面或者那方面的問題，也想借這個機會跟各位做些分享，在座各位都是專家，也希望大家給予理解，也希望跟大家討論。下面我們來具體看一下，首先第一個問題，對于PCI合規(guī)的工作量，PCI這個標(biāo)準(zhǔn)我們理解它是介于一個更具體的指導(dǎo)性的規(guī)范標(biāo)準(zhǔn)，這個標(biāo)準(zhǔn)的要求非常細，然后又是一個復(fù)合型的標(biāo)準(zhǔn)，就是說持卡人數(shù)據(jù)必須是合規(guī)的。這導(dǎo)致看起來工作想非常巨大，尤其是哪些有持卡人數(shù)據(jù)、哪些沒持卡人數(shù)據(jù)的時候，這樣導(dǎo)致無論是時間投入還是金錢投入都非常大。這時候我們可以從三個層面來有效的縮小或者降低持卡人環(huán)節(jié)在合規(guī)使用時的難度，第一個方面我們稱為數(shù)據(jù)流梳理，我們通過一個有效網(wǎng)絡(luò)分割的形式，把和持卡人無關(guān)的系統(tǒng)排除之外。

　　對于大家廣泛關(guān)注的在合規(guī)過程中的加密或者持卡人數(shù)據(jù)的安全存儲，這個地方我們也想對大家推薦一下合規(guī)的規(guī)范或者實踐。大家可以看到右邊這個圖，是對于交易過程中的加密，用戶體驗是不會受到影響的，所改變的是應(yīng)用系統(tǒng)和數(shù)據(jù)應(yīng)用系統(tǒng)調(diào)用的時候需要改變結(jié)構(gòu)，最終的結(jié)果是在應(yīng)用跟數(shù)據(jù)在之前調(diào)用的時候都是明文轉(zhuǎn)密文的形式，這保證了好多時候持卡人數(shù)據(jù)是可以避免掉泄露的。另外還涉及到密碼管理的實踐，在密碼管理或者涉及密鑰管理的時候，我們從生命周期的角度來看，如何安全的建立、如何安全的變更，我們可以用一個生命周期來看待這個問題。

　　另外在PCI合規(guī)過程中，可能有組織說我很難做到這點，無論是設(shè)備投入還是人力投入，很難做到，同樣PCI也會有一個相應(yīng)的措施。對于我們自己開發(fā)的應(yīng)用，我們很多時候關(guān)注的都是應(yīng)用本身的功能，如何在應(yīng)用過程中更好的融入安全？我們也總結(jié)了很多總結(jié)，包括測試、編碼、生產(chǎn)等等過程中需要參考哪些實踐？這個地方我們也做了總結(jié)，感興趣的朋友我們也可以展開更多的探討。對于atsec來說我們今年跟中國信息安全認證中心合作推出了安全軟件開發(fā)課程，這個課程我們打算在2012年第一季度展開第一期的課程，有感興趣的朋友可以跟我們公司的同事溝通。

　　在線系統(tǒng)，系統(tǒng)出漏洞打補丁是個很麻煩的事情，但是不打也不行，但我們在這個得到總結(jié)了一個比較好的生命周期的管理方法?？偨Y(jié)起來來看，首先對于漏洞，我們投入很好的方法盡早發(fā)現(xiàn)，在分析的時候分析的非常全面，在跟蹤的時候我們有效的利用標(biāo)準(zhǔn)要求，更合理化安排這個生命周期，在于在補丁管理或者對漏洞修復(fù)的影響，這也是可以遵照一個過程來實現(xiàn)的。

　　最后提到一點，對于整個體系的建設(shè)，PCI合規(guī)的時候我們可以認為PCI這個要求可以在2.5這個層面，也就是說介于ISO和ICE兩個層面，如何有效的把我們已經(jīng)符合的一些體系跟PCI有效的融合？這個我們認為是非常必要的，而不是很多時候為符合標(biāo)準(zhǔn)建立很多的安全體系，這在執(zhí)行起來是會有很大難度的。

　　這個地方也跟大家分享一下，這是一個我們推薦的比如對于支付的機構(gòu)，在涉及比如我們國內(nèi)的風(fēng)險管理指南、27000、PCI這些要求的時候，如何通過一個融合的體系來實踐？首先把這些標(biāo)準(zhǔn)打碎，形成一個我們自己符合標(biāo)準(zhǔn)的整體。

　　在此做一個呼吁吧，雖然講的是PCI，但包括PCI的發(fā)展和規(guī)范性的指導(dǎo)意見，以及包括涉及無論是在線還是離線的交易、遠程還是現(xiàn)場的交易，都希望在這個過程中多考慮安全，從安全角度來看也希望跟在座各位做很多分享，希望跟大家一道共提升移動支付大發(fā)展同時，首先安全可以為移動支付的發(fā)展保駕護航，另外安全也作為移動支付發(fā)展的基礎(chǔ)，更多的對移動支付應(yīng)用的發(fā)展作出貢獻，謝謝大家！