林 威 楊以仁

(廣西支付通商務(wù)服務(wù)有限公司，廣西 南寧 530012)

1 引言

近年來，第三方支付行業(yè)獲得快速發(fā)展，第三方交易規(guī)模由2014年的23.3萬億元上升至2015年的31.2萬億元，交易規(guī)模保持50%以上的年均增速。尤其是，非金融機構(gòu)的支付服務(wù)因具有多樣化、個性化等特點，較好地滿足了電子商務(wù)企業(yè)和個人的支付需求，因而獲得了爆發(fā)性增長。

隨著互聯(lián)網(wǎng)技術(shù)在金融領(lǐng)域的廣泛應(yīng)用，各種針對第三方支付系統(tǒng)的新型安全威脅不斷增多，各地爆發(fā)的信息安全事件也成了社會輿論關(guān)注的焦點、熱點。央視“315晚會”已連續(xù)兩年對個人信息安全事件進行曝光，提醒手機、個人電腦等信息終端設(shè)備的用戶群體，應(yīng)特別關(guān)注個人信息安全問題。

但是，僅僅通過提高信息終端本身的安全性以及提高用戶的安全意識，還是遠(yuǎn)遠(yuǎn)不夠的。尤其是對于第三方支付行業(yè)，通過技術(shù)架構(gòu)體系及安全運維體系來防范和控制支付業(yè)務(wù)平臺的安全風(fēng)險，才是從根本上解決信息安全風(fēng)險問題的關(guān)鍵所在。

本文將通過列舉和分析系統(tǒng)網(wǎng)絡(luò)安全性、主機及運維安全性、應(yīng)用及數(shù)據(jù)安全性涉及的幾個方面問題，結(jié)合實際的支付系統(tǒng)建設(shè)及運維工作經(jīng)驗，淺談支付業(yè)務(wù)系統(tǒng)安全風(fēng)險問題的若干解決思路。

2 系統(tǒng)網(wǎng)絡(luò)安全性

2.1 增強路由訪問、子網(wǎng)劃分控制

網(wǎng)絡(luò)管理員在規(guī)劃子網(wǎng)時設(shè)置的網(wǎng)段范圍過廣，VLAN劃分預(yù)留了空閑的IP地址，在網(wǎng)絡(luò)設(shè)備調(diào)試初期使用測試VLAN、靜態(tài)路由表并未刪除或修改，以及啟用了DHCP服務(wù)未及時關(guān)閉等等原因，均可導(dǎo)致黑客或能直連設(shè)備的惡意者輕易獲取該網(wǎng)絡(luò)的合法地址，通過掃描工具進行嗅探，就可以獲得整個系統(tǒng)網(wǎng)絡(luò)的拓?fù)浼案髯泳W(wǎng)網(wǎng)段的信息，進而對網(wǎng)絡(luò)進行入侵和破壞。

因此，要防范此類網(wǎng)絡(luò)風(fēng)險，就要做到合理進行網(wǎng)絡(luò)規(guī)劃與地址分配，及時關(guān)閉不需要的服務(wù)等。

2.2 進行IP-MAC地址綁定，合理分配QoS

很多網(wǎng)管僅僅在系統(tǒng)調(diào)試初期將設(shè)備的IP-MAC地址進行綁定，但是在后期運維工作中，IP地址變更時往往沒有相應(yīng)更新靜態(tài)地址列表，導(dǎo)致無法防止地址欺騙，使系統(tǒng)容易遭受ARP攻擊。因此，應(yīng)注意檢查并及時更新IP-MAC地址。

網(wǎng)管應(yīng)該根據(jù)業(yè)務(wù)重要等級來規(guī)劃網(wǎng)絡(luò)使用帶寬及QoS優(yōu)先級別，這樣就能在網(wǎng)絡(luò)發(fā)生擁堵的情況下優(yōu)先保障重要業(yè)務(wù)的運行。QoS配置與網(wǎng)絡(luò)設(shè)備參數(shù)、帶寬分配、業(yè)務(wù)流量及趨勢的規(guī)劃關(guān)系緊密，可通過日常監(jiān)控、審計報表及對業(yè)務(wù)高峰期預(yù)判來合理分配。若是多運營商線路接入，應(yīng)考慮使用負(fù)載均衡方案。

2.3 加強網(wǎng)絡(luò)訪問控制中對應(yīng)用層協(xié)議的過濾

網(wǎng)絡(luò)映射目的地址分配隨意，將本來可以點對點映射的地址開放了所有地址映射，會導(dǎo)致網(wǎng)絡(luò)攻擊風(fēng)險的增加。不少防火墻、路由器、交換機出廠設(shè)置默認(rèn)開啟了多個服務(wù)，如http、ftp、telnet、SMTP、POP等。這些服務(wù)在系統(tǒng)運維中并非都需要開啟，可根據(jù)實際情況在系統(tǒng)調(diào)試完成后及時關(guān)閉不必要的服務(wù)。

有的邊界防火墻的web、ssh等配置后臺默認(rèn)暴露于互聯(lián)網(wǎng)，黑客直接在瀏覽器輸入該企業(yè)域名解析后的地址，就可以顯示用戶及密碼登錄界面。若黑客使用窮舉法破解超級管理員密碼，或利用防火墻web管理頁面進行漏洞滲透而獲得管理權(quán)限，都將導(dǎo)致系統(tǒng)面臨巨大的安全威脅。

避免這種威脅的一種措施是，將需要映射的地址及內(nèi)網(wǎng)訪問的服務(wù)的控制粒度限制在端口級別。若有需要向互聯(lián)網(wǎng)映射的風(fēng)險端口(如80、8080、22)，必須設(shè)置不對稱映射，這樣可降低惡意者發(fā)起的針對非定向地址的特定端口掃描的命中率。

2.4 部署入侵檢測系統(tǒng)(IDS)及入侵防御系統(tǒng)(IPS)

一般功能的防火墻依靠傳統(tǒng)防火墻的IPS模塊、防病毒模塊、WEB應(yīng)用保護模塊等防御網(wǎng)絡(luò)風(fēng)險，這些模塊功能實用性相對較低。防御的針對性不全面，病毒特征庫更新周期長，甚至在服務(wù)終止后根本無法更新等問題，可能會導(dǎo)致系統(tǒng)面臨新病毒風(fēng)險時，防火墻不能及時保護業(yè)務(wù)系統(tǒng)。

隨著網(wǎng)絡(luò)滲透攻擊技術(shù)的不斷提高，傳統(tǒng)防火墻技術(shù)已經(jīng)無法應(yīng)對一些安全威脅。在這種情況下，IDS、IPS技術(shù)可以深度感知并檢測數(shù)據(jù)流，對惡意報文進行丟棄以阻斷攻擊，通過限流保護功能確保網(wǎng)絡(luò)帶寬資源的正常利用。

對于部署在轉(zhuǎn)發(fā)路徑上的IPS，可以根據(jù)預(yù)先設(shè)定的安全策略，對報文進行深度檢測(協(xié)議分析跟蹤、特征匹配、流量統(tǒng)計分析、事件關(guān)聯(lián)分析等)。如果發(fā)現(xiàn)報文中隱藏網(wǎng)絡(luò)攻擊，可以根據(jù)該攻擊的威脅級別采取相應(yīng)處理力度的抵御措施：一種為向管理中心告警并丟棄該報文，另一種為切斷應(yīng)用會話并中止此次TCP連接。

在業(yè)務(wù)網(wǎng)絡(luò)設(shè)計中，建議至少在以下區(qū)域部署IPS：辦公網(wǎng)與外部網(wǎng)絡(luò)的連接部位(入口/出口)；重要服務(wù)器集群前端；辦公網(wǎng)內(nèi)部接入層。至于其它區(qū)域，可以根據(jù)實際情況與重要程度部署IPS。

依照一定的安全策略，通過IDS對網(wǎng)絡(luò)、系統(tǒng)的運行狀況進行監(jiān)視，盡可能發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證網(wǎng)絡(luò)系統(tǒng)資源的機密性、完整性和可用性。

2.5 接入?yún)^(qū)網(wǎng)絡(luò)設(shè)備、核心業(yè)務(wù)區(qū)設(shè)備需要合理選型

如果接入?yún)^(qū)網(wǎng)絡(luò)設(shè)備與核心業(yè)務(wù)區(qū)設(shè)備選擇同一品牌，則某個設(shè)備的漏洞缺陷一旦被黑客發(fā)現(xiàn)并利用后，全部設(shè)備的防御措施就有可能被迅速破解，黑客就可以直接入侵核心業(yè)務(wù)區(qū)。因此，接入?yún)^(qū)網(wǎng)絡(luò)設(shè)備與核心業(yè)務(wù)區(qū)設(shè)備建議選擇不同品牌的產(chǎn)品。

在相同品牌的主設(shè)備選型中，還應(yīng)盡量訂購不同生產(chǎn)批次的設(shè)備，以減少主設(shè)備出現(xiàn)漏洞性故障的情況下，同樣批次的備用設(shè)備也出現(xiàn)同樣故障的可能性。

在滿足設(shè)備功能及性能要求的前提下，建議我國的支付機構(gòu)盡量選擇國產(chǎn)品牌的網(wǎng)絡(luò)及安全設(shè)備，以更好地保護業(yè)務(wù)信息安全，維護國家、客戶及機構(gòu)本身的利益。

3 主機及運維安全性

3.1 應(yīng)部署具備審計功能的堡壘主機并實現(xiàn)權(quán)限分離

特定的網(wǎng)絡(luò)環(huán)境下，為了保障網(wǎng)絡(luò)和數(shù)據(jù)不受來自外部和內(nèi)部用戶的入侵和破壞，堡壘主機運用各種技術(shù)手段實時收集和監(jiān)控網(wǎng)絡(luò)環(huán)境中每一個組成部分的系統(tǒng)狀態(tài)、安全事件、網(wǎng)絡(luò)活動，以便集中報警、及時處理及審計定責(zé)。堡壘主機的用戶管理及審計功能是日常運維中的核心內(nèi)容。其中，審計功能能夠?qū)ο到y(tǒng)內(nèi)重要的安全相關(guān)事件進行審計，如：用戶標(biāo)識與鑒別、自主訪問控制的所有操作記錄、重要用戶行為、系統(tǒng)資源的異常使用等。

在堡壘主機的用戶管理功能中，可以實現(xiàn)人員的權(quán)限分離、密碼定期更新分配、密碼復(fù)雜度要求等安全策略。一般情況下，堡壘主機的管理者崗位應(yīng)是運維主管或?qū)徲媶T。堡壘主機管理者應(yīng)以最小化原則分配各類角色的可訪問設(shè)備列表，如網(wǎng)絡(luò)管理員通過賬號登錄堡壘主機后，僅能維護網(wǎng)絡(luò)設(shè)備，不能操作主機；同理，系統(tǒng)工程師僅能運維相關(guān)主機，不能維護網(wǎng)絡(luò)設(shè)備；數(shù)據(jù)庫管理員則僅能查詢、運維數(shù)據(jù)庫。

若運維人員需要修改設(shè)備參數(shù)，則要經(jīng)過權(quán)限申請，獲得運維主管及相關(guān)領(lǐng)導(dǎo)同意后，可通過堡壘主機授權(quán)進行修改。信息安全審計員應(yīng)對運維人員的操作合規(guī)性進行審查，對操作進行備注及核實，并存檔運維操作記錄。

3.2 運維身份需要鑒別，并限制非授權(quán)地址登錄堡壘主機

設(shè)備運維登錄操作應(yīng)經(jīng)過身份鑒別認(rèn)證。堡壘主機的身份認(rèn)證功能模塊較為完善，且實現(xiàn)過程較為簡單，使用范圍相當(dāng)廣泛，因此建議啟用堡壘主機的雙因素認(rèn)證功能。主流的雙因素認(rèn)證采用“密碼+數(shù)字證書(USBkey)”的模式。此模式相對指紋認(rèn)證、視網(wǎng)膜認(rèn)證等方式，實現(xiàn)的成本更低，實用性更強。

堡壘主機登錄地址應(yīng)局限在運維環(huán)境的局域網(wǎng)中。運維主機不允許連接互聯(lián)網(wǎng)，不可隨意讀寫外部存儲設(shè)備，禁止在運維主機上進行與運維無關(guān)的工作。對于企業(yè)采取運維工作外包、需要通過互聯(lián)網(wǎng)遠(yuǎn)程運維的情況，不建議直接將堡壘主機管理地址暴露于互聯(lián)網(wǎng)上，建議先通過VPN連接至特定網(wǎng)段后，再登錄堡壘主機。通過VPN上登錄時間及登錄賬戶的記錄，可確定運維操作是否合法。

3.3 應(yīng)具備完善的漏洞掃描制度

運維部門需要制定定期漏洞掃描的周期及掃描的對象。通過掃描結(jié)果可以獲得被掃描主機的各方面詳盡的信息。其中包括主機的IP地址、操作系統(tǒng)類型及版本號、補丁號、網(wǎng)絡(luò)主機的三大網(wǎng)絡(luò)服務(wù)的信息描述，以及主機開放的所有網(wǎng)絡(luò)服務(wù)、主機上存在的網(wǎng)絡(luò)安全漏洞等等內(nèi)容。另外，掃描結(jié)果還根據(jù)漏洞的危害程度，對掃描出的漏洞分別進行分級標(biāo)示。運維人員需要對掃描結(jié)果進行及時評估，針對需要修復(fù)的漏洞制定相應(yīng)的修復(fù)方案，經(jīng)過測試成功后再正式實施方案。修復(fù)方案應(yīng)該具備回退機制。對于無法修復(fù)或不建議修復(fù)的漏洞，應(yīng)該加以備注并審核存檔。

運維人員應(yīng)及時關(guān)注中國國家漏洞庫、烏云網(wǎng)等漏洞發(fā)布網(wǎng)站，以獲取更多更新的風(fēng)險漏洞信息及風(fēng)險提示，及時更新、完善本機構(gòu)的風(fēng)險漏洞知識庫。

4 應(yīng)用及數(shù)據(jù)安全性

4.1 應(yīng)對應(yīng)用程序進行全面的測評

根據(jù)《非金融機構(gòu)支付服務(wù)管理辦法》的要求，應(yīng)當(dāng)由具備相關(guān)資質(zhì)的檢測機構(gòu)，按照《非金融機構(gòu)支付業(yè)務(wù)設(shè)施技術(shù)認(rèn)證規(guī)范》，對支付機構(gòu)的支付業(yè)務(wù)處理系統(tǒng)、網(wǎng)絡(luò)通信系統(tǒng)以及容納上述系統(tǒng)的專用機房進行安全性檢測。其中，通過對支付業(yè)務(wù)系統(tǒng)應(yīng)用程序的功能、性能、安全性及風(fēng)險監(jiān)控等方面進行全面測評，可發(fā)現(xiàn)各種安全隱患，如SQL注入、跨站腳本攻擊、網(wǎng)絡(luò)釣魚、不安全的登錄方式等。這些安全漏洞如果被不法分子所利用，就可對業(yè)務(wù)數(shù)據(jù)或用戶的敏感信息進行非法竊取，將會給支付機構(gòu)及其用戶造成不可估量的損失。因此，通過檢測提前發(fā)現(xiàn)安全隱患，整改后就可以做到防患于未然。

4.2 使用機制保護用戶敏感信息

JRT0122-2014《非金融機構(gòu)支付業(yè)務(wù)設(shè)施技術(shù)要求》中“6.4.4.3.2客戶身份認(rèn)證信息存儲安全”中明確要求：“應(yīng)不允許保存非必須的客戶認(rèn)證信息(如銀行卡磁道信息或芯片信息、卡片驗證碼、卡片有效期、個人識別碼、銀行卡交易密碼、指紋、CVN、CVN2等敏感信息)。應(yīng)對客戶的其他敏感信息，如卡號、戶名、開戶手機、貸記卡有效期、電子郵箱等信息采取保護措施，防止未經(jīng)授權(quán)擅自對個人信息進行查看、篡改、泄露和破壞。宜采用加密存儲、部分屏蔽顯示等技術(shù)?！?/p>

軟件加密時很多重要的信息(如用來做密碼運算的密鑰，或客戶的PIN)都會在某時間清晰的出現(xiàn)于計算機的內(nèi)存或磁盤上，而對計算機數(shù)據(jù)安全有一定研究的不法分子便有機會把這些資料讀取、修改或刪除，破壞系統(tǒng)的安全性。硬件加密所有密碼運算都在加密機內(nèi)完成，在完整的加解密過程中，僅在硬件加密設(shè)備內(nèi)部出現(xiàn)密鑰和PIN的明文，有效防止了密鑰和PIN的泄露，并且在受到非法攻擊時，加密機內(nèi)部保護的密鑰會自動銷毀。鑒于軟件加密不能提供一種有效的機制保護密鑰和客戶密碼PIN的存儲安全，國際銀行卡組織(VISA、萬事達)以及我國的銀聯(lián)組織均作出了在金融系統(tǒng)中必須使用硬件加密設(shè)備的規(guī)定。

另外，支付機構(gòu)的加密機應(yīng)支持國家密碼局認(rèn)定的國產(chǎn)密碼算法，能夠?qū)崿F(xiàn)商用密碼算法的加密、解密和認(rèn)證等功能。終端信息采集設(shè)備應(yīng)該采取加密及認(rèn)證措施，業(yè)務(wù)系統(tǒng)應(yīng)該采用第三方電子簽名或者自建的電子簽名技術(shù)。在實現(xiàn)這些加密技術(shù)后，應(yīng)當(dāng)使用抓包工具截取交易信息進行測試，檢查交易報文是否有泄密風(fēng)險。

4.3 圖形驗證碼功能模塊應(yīng)不斷更新迭代

為了防止黑客對某一個特定注冊用戶用特定程序暴力破解方式進行不斷的登陸嘗試，在登錄界面加上驗證碼是現(xiàn)在很多網(wǎng)站通行的安全措施。但是，在用戶輸入錯誤的口令、錯誤的驗證碼而被要求重新輸入時，驗證碼應(yīng)該更新并采用字體變形、粘連、背景干擾等新型技術(shù)，以防止自動化工具的識別窮舉。

各種驗證碼技術(shù)的標(biāo)準(zhǔn)及方式各不相同。一個防暴力破解驗證碼的評價標(biāo)準(zhǔn)是可以由計算機自動生成驗證問題，但是只有人類才能正確解答，破解程序無法自動正確解答。但是，正所謂“道高一尺，魔高一丈”，隨著屏幕圖形識別技術(shù)、人工智能技術(shù)的不斷發(fā)展及可能被黑客的非法濫用，現(xiàn)有的圖形驗證碼技術(shù)將有可能被破解。因此，信息終端所采用的圖形驗證碼技術(shù)也應(yīng)該及時更新迭代，甚至需要比業(yè)務(wù)系統(tǒng)版本迭代更快，驗證過程也需更嚴(yán)謹(jǐn)。

5 結(jié)束語

在技術(shù)架構(gòu)體系與信息安全運維體系不斷完善的同時，安全信息安全管理體系也應(yīng)當(dāng)不斷推進。信息安全教育和培訓(xùn)仍是信息安全管理工作的重要基礎(chǔ)。例如，對新入職技術(shù)人員進行能力測試及背景調(diào)查，入職后還需要定期進行信息安全培訓(xùn)及安全技術(shù)考核；此外，通過各種宣傳、培訓(xùn)和教育等手段，不斷提升支付機構(gòu)全體員工的信息安全意識，落實信息安全風(fēng)險防范措施。

總之，既要使系統(tǒng)運維管理人員具備系統(tǒng)全生命周期、全功能覆蓋、全面質(zhì)量管理的運維管理能力，又要充分發(fā)揮全體員工乃至廣大用戶在信息安全管理中的主觀能動性，打造一支服務(wù)意識強、技術(shù)能力突出的運維團隊，建立起完善的信息安全管理體系，才能從整體上提升第三方支付業(yè)務(wù)系統(tǒng)的安全風(fēng)險防范能力。