通信世界网(CWW)4月16日消息,今天由中国通信学会主办的2010中国移动支付产业论坛在京召开。本次论坛以“融合,创新,发展”为主题,与产业各方共同探讨移动支付未来发展。通信世界网作为本次论坛直播媒体,将第一时间向大家报道本次论坛最新消息。
图为atsec中国总经理 刘岩
以下为演讲原文:
刘岩:各位专家、各位领导大家下午好!今天非常高兴有这个机会和大家一同探讨和分享关于移动支付方面信息安全的话题。atsec作为安全标准委员会审核的安全机构,同时也是面向支付应用的合规安全评估机构PAQSA。今天借此机会和大家分享我们在近几年在支付行业对安全建设和合规评估经验的心得,探讨如何为移动支付保驾护航的心得体会。
本届论坛是第二届,在第一届atsec也积极参与,谈到移动支付安全并不是全新的话题,在移动支付的领域诞生之初对于安全非常重视,安全是任何一项支付业务的基础。所以今天来的时候有一个简单的思考,移动支付安全防护的技术和标准,并不是从零开始做的,有很多的积累,之前的专家做了很多的讨论,中国银联的合规体系,风险管理的体系,国外,VISA,万事达,美国运通等,这些国外的卡组织,他们也是维护了相应的风险管理的体系,而且同时成立了共同维护标准的PCI标准委员会,在移动支付的安全问题,至少应该类似或不低于信用卡或支付卡数据保护。所以今天借此机会和大家探讨一下PCI数据安全标准。
第二个层面需要有多方的介入,包括标准的制订和合规体系的介入,标准无论是政府层面还是中国银联都有很强的标准积累,但是合规体系还是需要有一定的发展空间,就像这次论坛上呼吁的,可能需要各方的介入,国外PCI的标准委员会会结合一些商户,银行、服务提供商共同来制订体系的建设和标准的维系,所以我们也希望atsec为中国相关移动支付的标准做出我们一定的贡献,包括我们在德国、美国的atsec的顾问,也是积极参与到国际标准的编写和贡献,比如信息安全方面的通用评估准则的标准,还有PCI标准,以及面向信息安全管理体系建设的标准。我认为有一套完整的信用体制比较重要的,比如现在的信用卡中心在去办卡的时候先要调查个人的信用记录,目前的信用记录主要是在信用卡的使用情况,将来发展的趋势会更加的整体,比如会结合交管部门共同搭建一个信用体制,为总体的移动支付做一个整体的框架。
另外一个问题跟安全相对立的问题,也是相辅相成的,在移动支付发展的过程中,也会涉及到一些面向个人的隐私保护的需要,个人的数据如何做到保护的。我个人之前在欧洲那边有一个研究的项目,利用OMA标准,它是面向于运营商的内容保护的标准,去应用在个人隐私保护的领域。
回到移动支付安全问题,首先回顾一下2008年咨询的数据,可以看到在支付应用领域,其中73%的模式是来自外部的攻击源,这也就是PCI标准专注于防护外部的网络,比如对于DMZ的限制,对于防火墙强访问控制。同时18%的支付应用脆弱性来自内部的供给者,这也是为什么无论谈到哪项支付标准,对于机构本身也是非常重要的。同时还会有一些攻击的来源来自合作伙伴,从支付产业来说一些支付的上游和下游机构,这也是PCI标准推行的因素是要求各个机构都可以合规标准,而不是一个机构达到标准就可以了,这和移动支付可以做参考,安全是整体产业链达到的安全因素。其他的数据可以看到有66%的被攻击者,在不知道的情况下,数据得到了侵害,而75%的数据没有被发现的情况下发现的行为,有83%的攻击,它的攻击难以程度非常简单的,可以利用一个相对比较容易的技术手段就可以进行攻击成功。往下是对于数据攻击发生的方法,62%的攻击来自系统之内,或应用程序上比较重大的错误,研发的错误或者设计的错误,59%的攻击是来自黑客和外部的攻击者。
另外一个数据可以看到谈论的安全主导放心,从全球范围来看对于安全事件统计来看,在支付卡数据,面向信用卡还是其他的支付方式,支付卡的数据被窃取的比例是在84%的比例,攻击的方式,最高在于远程访问控制,还有WEB应用的攻击,所以WEB应用针对PCI面向各个支付行业公司的重要层面,所以标准里面会推荐大家参考一些针对于WEB应用开发的比较好的限制。
有了以上对威胁的分析和安全事件的控制,对于任何机构安全的控制,选择的来源,一方面是需要有合规的标准,另外是自身的需要,自身风险管理的要求,对于任何机构来讲,可能有多种的标准需要达到合规,比如说现在业界在信息安全可能有27001,信息安全管理体系的建设,对于支付行业有PCI的标准,以及中国金融行业的监管标准,对于每个标准都有不同的安全控制。这些控制都会分散映射到机构的控制墙上,我们如何整合的进行标准符合的思路。另外一方面机构需要维护自己风险管理的体系和流程,风险管理通常以风险评估的工作作为切入点和技术手段,风险评估之后会有一些可逾期的风险,机构必须要调整不可接受的风险,这也会对应到控制的要求和安全控制措施上,最先应该解决,或者高优先级需要解决的问题,是机构符合标准的要求和自身对于风险管理很好的匹配结果。
我们认为搭建一个整体的框架是非常必要的,从安全来讲,如果从攻击角度,有一个地方非常薄弱我们可能就会造成黑客的利用和数据的泄露,从防护来讲就需要达到整体的防护级别,我们需要考虑的问题可能是方方面面的,比如我们在考虑整个机构的安全架构,对于底层的物理架构,机房、机柜如何保存的,打印出来的凭单如何保存的,在最高层面有一些文档的体系,这里面涉及公司层面维护管理体系的策略、流程和规章制度,这些都是必不可少的。同时需要从技术角度考虑支撑和维护,比如网络管理,或运营管理的系统,灾备的方式,还有从底层到高层的技术设施,只有我们在整体可以达到某个安全保障的级别,才能说我们在整体安全达到了一定的要求,从而在支付行业才能做到放心。
下面分享一个管理体系建设的思路,atsec发展到今天有十年的历史,我们在公司成立之初,就为公司自身搭建了信息安全和质量管理体系,我们很好结合了ISO9001的标准,为我们自身做了一个管理体系的搭建和实施,同时也会把这一套方法论推荐给客户让他们使用。对于机构来讲,不同的标准,如果每个标准单独维护一套管理体系是非常浪费资源也不适合长远发展和长远规划的做法,我们的思路是机构维护管理体系,无论是质量管理,还是安全管理,还是其他的管理,都是为自身服务,其他的标准是符合我们自身管理体系的要求。基于这样的思路,可以看到很细致的点,比如9001和2700,有内审和管理方面的重合,这些都可以作为整体的考虑来维护。谈到PCI是近几年,特别在支付这个行业比较重视的国际化安全标准,也可以作为一个最佳实践,PCI和27000也有很大的重合,比如风险评估方面,安全控制措施方面,所以我们今天主要谈论的重点是PCI、DSS和相关标准的制造,PCI、DSS标准可以作为支付行业安全基件,27000的实施,虽然使用的标准比较庞大,但是PCI和27000相比实施更加严格。
PCI产业标准是由美国和国际上一些比较大型的卡组织成立的,包括VISA、万事达等,这些卡组织在2006年之前各自维护自己的标准,虽然非常类似,也有自己维护的合规评估的流程和体系,直到现在也在继续维护,但标准由安全标准委员会统一维护,并且共同致力于标准的发展过程。PCI现在维护的标准分为三个大的标准,一个是PCI数据安全标准,它是面向于服务提供商,面向于商户,收单银行,涉及持卡人数据的传输、处理和交易,需要去考虑标准的合规工作。除此以外,为了可以达到PCI DSS合规,有一个PCI面向支付应用的安全合规标准,主要面向支付应用软件开发商,这些软件如果使用于它的客户,比如一些银行的客户,支付的服务公司,这软件本身需要获得一定的评估。还有一个PCI的PTS,密码键盘设备和POS机的安全输入设备。除此以外PCI标准委员会还会维护所授权的安全评估机构,QSA和安全扫描机构。同时提到面向支付应用的数据安全标准也有单独评估机构的维护。