林 威 楊以仁

(廣西支付通商務(wù)服務(wù)有限公司，廣西 南寧 530012)

1 引言

近年來，第三方支付行業(yè)獲得快速發(fā)展，第三方交易規(guī)模由2014年的23.3萬億元上升至2015年的31.2萬億元，交易規(guī)模保持50%以上的年均增速。尤其是，非金融機(jī)構(gòu)的支付服務(wù)因具有多樣化、個(gè)性化等特點(diǎn)，較好地滿足了電子商務(wù)企業(yè)和個(gè)人的支付需求，因而獲得了爆發(fā)性增長。

隨著互聯(lián)網(wǎng)技術(shù)在金融領(lǐng)域的廣泛應(yīng)用，各種針對(duì)第三方支付系統(tǒng)的新型安全威脅不斷增多，各地爆發(fā)的信息安全事件也成了社會(huì)輿論關(guān)注的焦點(diǎn)、熱點(diǎn)。央視“315晚會(huì)”已連續(xù)兩年對(duì)個(gè)人信息安全事件進(jìn)行曝光，提醒手機(jī)、個(gè)人電腦等信息終端設(shè)備的用戶群體，應(yīng)特別關(guān)注個(gè)人信息安全問題。

但是，僅僅通過提高信息終端本身的安全性以及提高用戶的安全意識(shí)，還是遠(yuǎn)遠(yuǎn)不夠的。尤其是對(duì)于第三方支付行業(yè)，通過技術(shù)架構(gòu)體系及安全運(yùn)維體系來防范和控制支付業(yè)務(wù)平臺(tái)的安全風(fēng)險(xiǎn)，才是從根本上解決信息安全風(fēng)險(xiǎn)問題的關(guān)鍵所在。

本文將通過列舉和分析系統(tǒng)網(wǎng)絡(luò)安全性、主機(jī)及運(yùn)維安全性、應(yīng)用及數(shù)據(jù)安全性涉及的幾個(gè)方面問題，結(jié)合實(shí)際的支付系統(tǒng)建設(shè)及運(yùn)維工作經(jīng)驗(yàn)，淺談支付業(yè)務(wù)系統(tǒng)安全風(fēng)險(xiǎn)問題的若干解決思路。

2 系統(tǒng)網(wǎng)絡(luò)安全性

2.1 增強(qiáng)路由訪問、子網(wǎng)劃分控制

網(wǎng)絡(luò)管理員在規(guī)劃子網(wǎng)時(shí)設(shè)置的網(wǎng)段范圍過廣，VLAN劃分預(yù)留了空閑的IP地址，在網(wǎng)絡(luò)設(shè)備調(diào)試初期使用測試VLAN、靜態(tài)路由表并未刪除或修改，以及啟用了DHCP服務(wù)未及時(shí)關(guān)閉等等原因，均可導(dǎo)致黑客或能直連設(shè)備的惡意者輕易獲取該網(wǎng)絡(luò)的合法地址，通過掃描工具進(jìn)行嗅探，就可以獲得整個(gè)系統(tǒng)網(wǎng)絡(luò)的拓?fù)浼案髯泳W(wǎng)網(wǎng)段的信息，進(jìn)而對(duì)網(wǎng)絡(luò)進(jìn)行入侵和破壞。

因此，要防范此類網(wǎng)絡(luò)風(fēng)險(xiǎn)，就要做到合理進(jìn)行網(wǎng)絡(luò)規(guī)劃與地址分配，及時(shí)關(guān)閉不需要的服務(wù)等。

2.2 進(jìn)行IP-MAC地址綁定，合理分配QoS

很多網(wǎng)管僅僅在系統(tǒng)調(diào)試初期將設(shè)備的IP-MAC地址進(jìn)行綁定，但是在后期運(yùn)維工作中，IP地址變更時(shí)往往沒有相應(yīng)更新靜態(tài)地址列表，導(dǎo)致無法防止地址欺騙，使系統(tǒng)容易遭受ARP攻擊。因此，應(yīng)注意檢查并及時(shí)更新IP-MAC地址。

網(wǎng)管應(yīng)該根據(jù)業(yè)務(wù)重要等級(jí)來規(guī)劃網(wǎng)絡(luò)使用帶寬及QoS優(yōu)先級(jí)別，這樣就能在網(wǎng)絡(luò)發(fā)生擁堵的情況下優(yōu)先保障重要業(yè)務(wù)的運(yùn)行。QoS配置與網(wǎng)絡(luò)設(shè)備參數(shù)、帶寬分配、業(yè)務(wù)流量及趨勢的規(guī)劃關(guān)系緊密，可通過日常監(jiān)控、審計(jì)報(bào)表及對(duì)業(yè)務(wù)高峰期預(yù)判來合理分配。若是多運(yùn)營商線路接入，應(yīng)考慮使用負(fù)載均衡方案。

2.3 加強(qiáng)網(wǎng)絡(luò)訪問控制中對(duì)應(yīng)用層協(xié)議的過濾

網(wǎng)絡(luò)映射目的地址分配隨意，將本來可以點(diǎn)對(duì)點(diǎn)映射的地址開放了所有地址映射，會(huì)導(dǎo)致網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)的增加。不少防火墻、路由器、交換機(jī)出廠設(shè)置默認(rèn)開啟了多個(gè)服務(wù)，如http、ftp、telnet、SMTP、POP等。這些服務(wù)在系統(tǒng)運(yùn)維中并非都需要開啟，可根據(jù)實(shí)際情況在系統(tǒng)調(diào)試完成后及時(shí)關(guān)閉不必要的服務(wù)。

有的邊界防火墻的web、ssh等配置后臺(tái)默認(rèn)暴露于互聯(lián)網(wǎng)，黑客直接在瀏覽器輸入該企業(yè)域名解析后的地址，就可以顯示用戶及密碼登錄界面。若黑客使用窮舉法破解超級(jí)管理員密碼，或利用防火墻web管理頁面進(jìn)行漏洞滲透而獲得管理權(quán)限，都將導(dǎo)致系統(tǒng)面臨巨大的安全威脅。

避免這種威脅的一種措施是，將需要映射的地址及內(nèi)網(wǎng)訪問的服務(wù)的控制粒度限制在端口級(jí)別。若有需要向互聯(lián)網(wǎng)映射的風(fēng)險(xiǎn)端口(如80、8080、22)，必須設(shè)置不對(duì)稱映射，這樣可降低惡意者發(fā)起的針對(duì)非定向地址的特定端口掃描的命中率。

2.4 部署入侵檢測系統(tǒng)(IDS)及入侵防御系統(tǒng)(IPS)

一般功能的防火墻依靠傳統(tǒng)防火墻的IPS模塊、防病毒模塊、WEB應(yīng)用保護(hù)模塊等防御網(wǎng)絡(luò)風(fēng)險(xiǎn)，這些模塊功能實(shí)用性相對(duì)較低。防御的針對(duì)性不全面，病毒特征庫更新周期長，甚至在服務(wù)終止后根本無法更新等問題，可能會(huì)導(dǎo)致系統(tǒng)面臨新病毒風(fēng)險(xiǎn)時(shí)，防火墻不能及時(shí)保護(hù)業(yè)務(wù)系統(tǒng)。

隨著網(wǎng)絡(luò)滲透攻擊技術(shù)的不斷提高，傳統(tǒng)防火墻技術(shù)已經(jīng)無法應(yīng)對(duì)一些安全威脅。在這種情況下，IDS、IPS技術(shù)可以深度感知并檢測數(shù)據(jù)流，對(duì)惡意報(bào)文進(jìn)行丟棄以阻斷攻擊，通過限流保護(hù)功能確保網(wǎng)絡(luò)帶寬資源的正常利用。

對(duì)于部署在轉(zhuǎn)發(fā)路徑上的IPS，可以根據(jù)預(yù)先設(shè)定的安全策略，對(duì)報(bào)文進(jìn)行深度檢測(協(xié)議分析跟蹤、特征匹配、流量統(tǒng)計(jì)分析、事件關(guān)聯(lián)分析等)。如果發(fā)現(xiàn)報(bào)文中隱藏網(wǎng)絡(luò)攻擊，可以根據(jù)該攻擊的威脅級(jí)別采取相應(yīng)處理力度的抵御措施：一種為向管理中心告警并丟棄該報(bào)文，另一種為切斷應(yīng)用會(huì)話并中止此次TCP連接。

在業(yè)務(wù)網(wǎng)絡(luò)設(shè)計(jì)中，建議至少在以下區(qū)域部署IPS：辦公網(wǎng)與外部網(wǎng)絡(luò)的連接部位(入口/出口)；重要服務(wù)器集群前端；辦公網(wǎng)內(nèi)部接入層。至于其它區(qū)域，可以根據(jù)實(shí)際情況與重要程度部署IPS。

依照一定的安全策略，通過IDS對(duì)網(wǎng)絡(luò)、系統(tǒng)的運(yùn)行狀況進(jìn)行監(jiān)視，盡可能發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證網(wǎng)絡(luò)系統(tǒng)資源的機(jī)密性、完整性和可用性。

2.5 接入?yún)^(qū)網(wǎng)絡(luò)設(shè)備、核心業(yè)務(wù)區(qū)設(shè)備需要合理選型

如果接入?yún)^(qū)網(wǎng)絡(luò)設(shè)備與核心業(yè)務(wù)區(qū)設(shè)備選擇同一品牌，則某個(gè)設(shè)備的漏洞缺陷一旦被黑客發(fā)現(xiàn)并利用后，全部設(shè)備的防御措施就有可能被迅速破解，黑客就可以直接入侵核心業(yè)務(wù)區(qū)。因此，接入?yún)^(qū)網(wǎng)絡(luò)設(shè)備與核心業(yè)務(wù)區(qū)設(shè)備建議選擇不同品牌的產(chǎn)品。

在相同品牌的主設(shè)備選型中，還應(yīng)盡量訂購不同生產(chǎn)批次的設(shè)備，以減少主設(shè)備出現(xiàn)漏洞性故障的情況下，同樣批次的備用設(shè)備也出現(xiàn)同樣故障的可能性。

在滿足設(shè)備功能及性能要求的前提下，建議我國的支付機(jī)構(gòu)盡量選擇國產(chǎn)品牌的網(wǎng)絡(luò)及安全設(shè)備，以更好地保護(hù)業(yè)務(wù)信息安全，維護(hù)國家、客戶及機(jī)構(gòu)本身的利益。

3 主機(jī)及運(yùn)維安全性

3.1 應(yīng)部署具備審計(jì)功能的堡壘主機(jī)并實(shí)現(xiàn)權(quán)限分離

特定的網(wǎng)絡(luò)環(huán)境下，為了保障網(wǎng)絡(luò)和數(shù)據(jù)不受來自外部和內(nèi)部用戶的入侵和破壞，堡壘主機(jī)運(yùn)用各種技術(shù)手段實(shí)時(shí)收集和監(jiān)控網(wǎng)絡(luò)環(huán)境中每一個(gè)組成部分的系統(tǒng)狀態(tài)、安全事件、網(wǎng)絡(luò)活動(dòng)，以便集中報(bào)警、及時(shí)處理及審計(jì)定責(zé)。堡壘主機(jī)的用戶管理及審計(jì)功能是日常運(yùn)維中的核心內(nèi)容。其中，審計(jì)功能能夠?qū)ο到y(tǒng)內(nèi)重要的安全相關(guān)事件進(jìn)行審計(jì)，如：用戶標(biāo)識(shí)與鑒別、自主訪問控制的所有操作記錄、重要用戶行為、系統(tǒng)資源的異常使用等。

在堡壘主機(jī)的用戶管理功能中，可以實(shí)現(xiàn)人員的權(quán)限分離、密碼定期更新分配、密碼復(fù)雜度要求等安全策略。一般情況下，堡壘主機(jī)的管理者崗位應(yīng)是運(yùn)維主管或?qū)徲?jì)員。堡壘主機(jī)管理者應(yīng)以最小化原則分配各類角色的可訪問設(shè)備列表，如網(wǎng)絡(luò)管理員通過賬號(hào)登錄堡壘主機(jī)后，僅能維護(hù)網(wǎng)絡(luò)設(shè)備，不能操作主機(jī)；同理，系統(tǒng)工程師僅能運(yùn)維相關(guān)主機(jī)，不能維護(hù)網(wǎng)絡(luò)設(shè)備；數(shù)據(jù)庫管理員則僅能查詢、運(yùn)維數(shù)據(jù)庫。

若運(yùn)維人員需要修改設(shè)備參數(shù)，則要經(jīng)過權(quán)限申請，獲得運(yùn)維主管及相關(guān)領(lǐng)導(dǎo)同意后，可通過堡壘主機(jī)授權(quán)進(jìn)行修改。信息安全審計(jì)員應(yīng)對(duì)運(yùn)維人員的操作合規(guī)性進(jìn)行審查，對(duì)操作進(jìn)行備注及核實(shí)，并存檔運(yùn)維操作記錄。

3.2 運(yùn)維身份需要鑒別，并限制非授權(quán)地址登錄堡壘主機(jī)

設(shè)備運(yùn)維登錄操作應(yīng)經(jīng)過身份鑒別認(rèn)證。堡壘主機(jī)的身份認(rèn)證功能模塊較為完善，且實(shí)現(xiàn)過程較為簡單，使用范圍相當(dāng)廣泛，因此建議啟用堡壘主機(jī)的雙因素認(rèn)證功能。主流的雙因素認(rèn)證采用“密碼+數(shù)字證書(USBkey)”的模式。此模式相對(duì)指紋認(rèn)證、視網(wǎng)膜認(rèn)證等方式，實(shí)現(xiàn)的成本更低，實(shí)用性更強(qiáng)。

堡壘主機(jī)登錄地址應(yīng)局限在運(yùn)維環(huán)境的局域網(wǎng)中。運(yùn)維主機(jī)不允許連接互聯(lián)網(wǎng)，不可隨意讀寫外部存儲(chǔ)設(shè)備，禁止在運(yùn)維主機(jī)上進(jìn)行與運(yùn)維無關(guān)的工作。對(duì)于企業(yè)采取運(yùn)維工作外包、需要通過互聯(lián)網(wǎng)遠(yuǎn)程運(yùn)維的情況，不建議直接將堡壘主機(jī)管理地址暴露于互聯(lián)網(wǎng)上，建議先通過VPN連接至特定網(wǎng)段后，再登錄堡壘主機(jī)。通過VPN上登錄時(shí)間及登錄賬戶的記錄，可確定運(yùn)維操作是否合法。

3.3 應(yīng)具備完善的漏洞掃描制度

運(yùn)維部門需要制定定期漏洞掃描的周期及掃描的對(duì)象。通過掃描結(jié)果可以獲得被掃描主機(jī)的各方面詳盡的信息。其中包括主機(jī)的IP地址、操作系統(tǒng)類型及版本號(hào)、補(bǔ)丁號(hào)、網(wǎng)絡(luò)主機(jī)的三大網(wǎng)絡(luò)服務(wù)的信息描述，以及主機(jī)開放的所有網(wǎng)絡(luò)服務(wù)、主機(jī)上存在的網(wǎng)絡(luò)安全漏洞等等內(nèi)容。另外，掃描結(jié)果還根據(jù)漏洞的危害程度，對(duì)掃描出的漏洞分別進(jìn)行分級(jí)標(biāo)示。運(yùn)維人員需要對(duì)掃描結(jié)果進(jìn)行及時(shí)評(píng)估，針對(duì)需要修復(fù)的漏洞制定相應(yīng)的修復(fù)方案，經(jīng)過測試成功后再正式實(shí)施方案。修復(fù)方案應(yīng)該具備回退機(jī)制。對(duì)于無法修復(fù)或不建議修復(fù)的漏洞，應(yīng)該加以備注并審核存檔。

運(yùn)維人員應(yīng)及時(shí)關(guān)注中國國家漏洞庫、烏云網(wǎng)等漏洞發(fā)布網(wǎng)站，以獲取更多更新的風(fēng)險(xiǎn)漏洞信息及風(fēng)險(xiǎn)提示，及時(shí)更新、完善本機(jī)構(gòu)的風(fēng)險(xiǎn)漏洞知識(shí)庫。

4 應(yīng)用及數(shù)據(jù)安全性

4.1 應(yīng)對(duì)應(yīng)用程序進(jìn)行全面的測評(píng)

根據(jù)《非金融機(jī)構(gòu)支付服務(wù)管理辦法》的要求，應(yīng)當(dāng)由具備相關(guān)資質(zhì)的檢測機(jī)構(gòu)，按照《非金融機(jī)構(gòu)支付業(yè)務(wù)設(shè)施技術(shù)認(rèn)證規(guī)范》，對(duì)支付機(jī)構(gòu)的支付業(yè)務(wù)處理系統(tǒng)、網(wǎng)絡(luò)通信系統(tǒng)以及容納上述系統(tǒng)的專用機(jī)房進(jìn)行安全性檢測。其中，通過對(duì)支付業(yè)務(wù)系統(tǒng)應(yīng)用程序的功能、性能、安全性及風(fēng)險(xiǎn)監(jiān)控等方面進(jìn)行全面測評(píng)，可發(fā)現(xiàn)各種安全隱患，如SQL注入、跨站腳本攻擊、網(wǎng)絡(luò)釣魚、不安全的登錄方式等。這些安全漏洞如果被不法分子所利用，就可對(duì)業(yè)務(wù)數(shù)據(jù)或用戶的敏感信息進(jìn)行非法竊取，將會(huì)給支付機(jī)構(gòu)及其用戶造成不可估量的損失。因此，通過檢測提前發(fā)現(xiàn)安全隱患，整改后就可以做到防患于未然。

4.2 使用機(jī)制保護(hù)用戶敏感信息

JRT0122-2014《非金融機(jī)構(gòu)支付業(yè)務(wù)設(shè)施技術(shù)要求》中“6.4.4.3.2客戶身份認(rèn)證信息存儲(chǔ)安全”中明確要求：“應(yīng)不允許保存非必須的客戶認(rèn)證信息(如銀行卡磁道信息或芯片信息、卡片驗(yàn)證碼、卡片有效期、個(gè)人識(shí)別碼、銀行卡交易密碼、指紋、CVN、CVN2等敏感信息)。應(yīng)對(duì)客戶的其他敏感信息，如卡號(hào)、戶名、開戶手機(jī)、貸記卡有效期、電子郵箱等信息采取保護(hù)措施，防止未經(jīng)授權(quán)擅自對(duì)個(gè)人信息進(jìn)行查看、篡改、泄露和破壞。宜采用加密存儲(chǔ)、部分屏蔽顯示等技術(shù)?！?/p>

軟件加密時(shí)很多重要的信息(如用來做密碼運(yùn)算的密鑰，或客戶的PIN)都會(huì)在某時(shí)間清晰的出現(xiàn)于計(jì)算機(jī)的內(nèi)存或磁盤上，而對(duì)計(jì)算機(jī)數(shù)據(jù)安全有一定研究的不法分子便有機(jī)會(huì)把這些資料讀取、修改或刪除，破壞系統(tǒng)的安全性。硬件加密所有密碼運(yùn)算都在加密機(jī)內(nèi)完成，在完整的加解密過程中，僅在硬件加密設(shè)備內(nèi)部出現(xiàn)密鑰和PIN的明文，有效防止了密鑰和PIN的泄露，并且在受到非法攻擊時(shí)，加密機(jī)內(nèi)部保護(hù)的密鑰會(huì)自動(dòng)銷毀。鑒于軟件加密不能提供一種有效的機(jī)制保護(hù)密鑰和客戶密碼PIN的存儲(chǔ)安全，國際銀行卡組織(VISA、萬事達(dá))以及我國的銀聯(lián)組織均作出了在金融系統(tǒng)中必須使用硬件加密設(shè)備的規(guī)定。

另外，支付機(jī)構(gòu)的加密機(jī)應(yīng)支持國家密碼局認(rèn)定的國產(chǎn)密碼算法，能夠?qū)崿F(xiàn)商用密碼算法的加密、解密和認(rèn)證等功能。終端信息采集設(shè)備應(yīng)該采取加密及認(rèn)證措施，業(yè)務(wù)系統(tǒng)應(yīng)該采用第三方電子簽名或者自建的電子簽名技術(shù)。在實(shí)現(xiàn)這些加密技術(shù)后，應(yīng)當(dāng)使用抓包工具截取交易信息進(jìn)行測試，檢查交易報(bào)文是否有泄密風(fēng)險(xiǎn)。

4.3 圖形驗(yàn)證碼功能模塊應(yīng)不斷更新迭代

為了防止黑客對(duì)某一個(gè)特定注冊用戶用特定程序暴力破解方式進(jìn)行不斷的登陸嘗試，在登錄界面加上驗(yàn)證碼是現(xiàn)在很多網(wǎng)站通行的安全措施。但是，在用戶輸入錯(cuò)誤的口令、錯(cuò)誤的驗(yàn)證碼而被要求重新輸入時(shí)，驗(yàn)證碼應(yīng)該更新并采用字體變形、粘連、背景干擾等新型技術(shù)，以防止自動(dòng)化工具的識(shí)別窮舉。

各種驗(yàn)證碼技術(shù)的標(biāo)準(zhǔn)及方式各不相同。一個(gè)防暴力破解驗(yàn)證碼的評(píng)價(jià)標(biāo)準(zhǔn)是可以由計(jì)算機(jī)自動(dòng)生成驗(yàn)證問題，但是只有人類才能正確解答，破解程序無法自動(dòng)正確解答。但是，正所謂“道高一尺，魔高一丈”，隨著屏幕圖形識(shí)別技術(shù)、人工智能技術(shù)的不斷發(fā)展及可能被黑客的非法濫用，現(xiàn)有的圖形驗(yàn)證碼技術(shù)將有可能被破解。因此，信息終端所采用的圖形驗(yàn)證碼技術(shù)也應(yīng)該及時(shí)更新迭代，甚至需要比業(yè)務(wù)系統(tǒng)版本迭代更快，驗(yàn)證過程也需更嚴(yán)謹(jǐn)。

5 結(jié)束語

在技術(shù)架構(gòu)體系與信息安全運(yùn)維體系不斷完善的同時(shí)，安全信息安全管理體系也應(yīng)當(dāng)不斷推進(jìn)。信息安全教育和培訓(xùn)仍是信息安全管理工作的重要基礎(chǔ)。例如，對(duì)新入職技術(shù)人員進(jìn)行能力測試及背景調(diào)查，入職后還需要定期進(jìn)行信息安全培訓(xùn)及安全技術(shù)考核；此外，通過各種宣傳、培訓(xùn)和教育等手段，不斷提升支付機(jī)構(gòu)全體員工的信息安全意識(shí)，落實(shí)信息安全風(fēng)險(xiǎn)防范措施。

總之，既要使系統(tǒng)運(yùn)維管理人員具備系統(tǒng)全生命周期、全功能覆蓋、全面質(zhì)量管理的運(yùn)維管理能力，又要充分發(fā)揮全體員工乃至廣大用戶在信息安全管理中的主觀能動(dòng)性，打造一支服務(wù)意識(shí)強(qiáng)、技術(shù)能力突出的運(yùn)維團(tuán)隊(duì)，建立起完善的信息安全管理體系，才能從整體上提升第三方支付業(yè)務(wù)系統(tǒng)的安全風(fēng)險(xiǎn)防范能力。