通信世界网(CWW)4月16日消息,今天由中国通信学会主办的2010中国移动支付产业论坛在京召开。本次论坛以“融合,创新,发展”为主题,与产业各方共同探讨移动支付未来发展。通信世界网作为本次论坛直播媒体,将第一时间向大家报道本次论坛最新消息。
图为银行卡检测中心 李振
以下为演讲原文:
李振:尊敬的各位领导大家好,今天在座的很多检测中心的合作服务伙伴,检测中心在原来的定位是银行卡产业中是一个基础设施提供检测服务,随着发展现在也有一些变化。今天跟大家讨论的话题关于移动支付安全评测体系的建立,首先谈谈国外支付业安全实践,然后是国内支付安全相关工作,以及我们检测中心做的工作,和我们对移动支付安全检测评估的建议,因为我们长期处于金融支付领域做检测和评估,移动支付作为一个分支,和互联网支付,电话终端支付,银行卡在POS上的支付,本质上的要求是一样的。
检测中心的情况,是1998年4月在中国人民银行总行领导下成立的,是独立第三方专业技术检测机构,按照国际、国家和金融行业的有关技术质量标准,提供银行卡等电子支付产品及系统的应用和安全测试评估服务,确保通过测试的产品和系统符合相应技术标准,满足联网通用和交易安全的需要。随着银行卡的发展,外延不断延伸,内涵不断丰富,这几年产业的发展和多样化的特征逐渐显现,从最开始保证可以联网通用和各种各样的应用,现在产业规模巨大的时候,也蕴含着巨大的风险,因此在这个层面上我们一直跟进这个产业的发展,为交易安全提供专业化的服务。资质是CNAS认可国家实验室和国际EMV实验室,正积极筹建PCI实验室。
我们服务的对象是发卡机构和发卡外包运营机构,收单和收单外包运营机构,特约商户,支付平台,卡片和终端企业等。服务内容有银行卡及终端的入网测试,安全测试评估等,除了银行卡还有中石化的IC卡等,功能测试涉及标准复合型,安全测试是目前对比如银行卡的通用标准,目前随着支付工具不断发展,有一些新型的终端,有安全的楼段和缺陷,安全问题是我们非常关注的核心,除此之外系统的测试,包含网上银行,个人化中心,发卡,收单系统,支付平台等系统,我们建立了一个检测服务的体系,这个体系从前端到后端,涵盖了从卡片到终端到后台的测试评估。
第二个话题回到要谈的题目上,今天的主题是融合、创新、发展,实际上,发展追求最终的是业务的发展,安全肯定是基础,随着产业的发展,产业交易链和规模都在扩大,如果可以解决其中基础性的安全问题,产业的发展必将遇到瓶颈。国外的情况是怎样的?有些案例,2005年,Cardsystems的案例,最后VISA和Amex与之切断合作,公司倒闭了。2007年TJX公开透露其银行卡支付业务系统的信息被盗取。下游的比如商户,2008年3月份,有400多万条银行卡帐户信息泄露,这对于各方面都是有负面的影响。2008年下半年,支付系统运营商Heartland付款处理系统被植入恶意程序和多次入侵,1亿多条帐户信息资料被盗取。2005-2009年国外发生100万条以上的帐户泄露16起。这些案例的原因在哪里?安全性也有提及,但是没有作为很大的方面来讲,相信在其他方面都讨论过安全性的问题,都知道安全性很重要,非常重要,我们如何实施?根据我们研究有以下一些原因,对于支付平台的运营来讲,没有及时发现在技术和管理上的脆弱和漏洞,导致帐户信息的泄露。第二个支付应用软件,有越来越多的应用和服务在系统上运行,支付运用软件的安全性,能否保证交易的信息,客户的信息,帐户信息的安全性,这其中还是存在一些问题的。第三点,支付受理终端的安全级别比较低,比如ATM密码键盘和POS可能被攻击盗取信息。风险点存在于从前端到中间的商户,以及收单机构这样一个链条中,简单来说就是支付数据流的过程当中。针对这样的情况,国外也有一些现成的经验,分别由一些数据安全的计划来推行,也有数据安全的标准,来保障支付业的全流程的安全性。国外有这样的安全体系,执行的体系,也有组织共同来推动。
国内在行业主管部门方面,2008年下半年起,人民银行要求外资银行进入中国境内开展人民币业务,要对系统有一个安全性测试评估的审核验收,从外资银行实施之后,内资银行也要经过发卡系统的安全测试。2009年4月16日,相信大家都不陌生,对从事支付清算业务的非经营机构来进行登记备案,在登记备案的材料提到技术安全的要求。今年1月19日,人民银行网音安全试行标准也已经试行。从中国银联的角度来讲,银联这两年来在不断完善这样一个标准的体系,先后针对POS和密码键盘的安全标准和评测的要求。比如密码键盘和支付终端大家比较熟悉,但收单商户的MIS系统为什么也要提,因为这跟收单前置的信息管理网络和银行卡的网络,中间有很多机构联在一起的,在进行大量交易的时候,有可能会留存大量的资料信息,这样给不法分子可能埋下一个根源。这在国内也有这样的案例。对收单机构、第三方支付、特约商户帐户信息安全合规,对于收单机构和第三方机构借鉴国际经验,在支付数据流上建立一个安全合规评估的机制。第三个部分是去年下半年开始中国银联业务部建立了银联卡收单地三房接入中国银联注册认证的检测,银联作为中国唯一卡组织已经初步构建一个安全体系和标准体系,检测中心配合银联做终端,密码键盘和POS来支付运营商的测试工作,这些东西在实施之后会报给直接来做测试的客户,比如第三方支付,和特约商户和收单机构,建立这样一个信息管理的总体运行体系。这是国内支付安全相关工作的情况。综合国外和国内的情况来看,我们认为金融支付的安全理念和观点最后落在移动支付检测评估方面,在移动支付检测评估方面,检测中心做的工作,测试的对象卡片规范符合性测试等,测试的内容和必要性,标准首先要统一,这样可以互联互通,国外的安全实践经验,最开始每个大的银行和卡组织也会定一些标准,当执行标准的时候会遇到多重标准,如何执行,这样会造成测评成本的提升,那就是标准的提升,互联互通的问题。还有临界测试和压力测试等等。另外一方面是安全性的测试,对于安全性的认识,安全是相对的而不是绝对的,随着技术在发展,明天可能会有新的漏洞,需要进行升级打补丁,只是相对动态的安全,可控的安全,在目前这样一个安全成本和业务发展情况下,安全要求是什么?不但要安全还要好用,如果安全了不好用这也影响了,毕竟现在这个产业处于快速发展当中,发展是我们核心,安全是我们发展的保障。在软硬件支付产品上,测试领域包括银行卡,网银的USBkey,POS终端,商户MIS系统等等。电话支付终端等。关于系统安全的测试评估,现在主要的领域包括发卡系统和借记卡系统和信用卡系统,第三方支付系统,互联网支付平台,手机支付平台,预付卡发卡和收单系统,互联网虚拟货币支付平台等,收单前置系统,特约商户MIS系统安全测试评估,银行卡个人化中心评估。其中跟移动支付相关是移动支付平台的测试。我们银行卡检测中心和中国信息安全认证中心ISCCC签约,共同推动支付产品和支付系统安全检测认证,国内的认证认可是一个舶来品,在国内经过几十年的发展,有一定的规范性,但是在不同的行业还是有不同的问题。我们合作的范围有IC卡、USBKEY、EPP、PED,以前很多客户在检测中心测试完之后拿了报告,与认证中心合作可以拿认证安全证书的。还有第三方支付平台,也是可以拿到支付系统安全证书,这样就构建起了一个认证检测体系,保证将来的公正性和规范性。
基于上面国内外的情况,以及我们的实践,我们也对构建移动支付安全检测评估的一些建议,为什么要建立这样一个体系,是有非常深刻的内在行业需求,从行业的主管部门来讲,要提升移动支付行业整体规范性和安全性监管需求,就要保护终端用户的利益,这就是保护业务参与方的利益,如果大家使用这东西经常发生问题,肯定业务经营方是直接受到损失的,间接会影响使用这种支付方式的信心,所以建立这样一个体系可以保护产业的健康发展。移动支付业务技术合作伙伴之间的安全资质信任,随着产业不停地发展,有越来越多产品、软件,越来越多运营方,每个单位的风险控制的能力和安全的级别不一样的,在这个层面之上我非常认同上午讲到的,做金融支付就是做安全,如果作为商业银行来讲,风控比较高,他对于合作方要求也是比较高的。还有应用单位对软硬件提供商,对系统集成提供商,系统运营外包服务商的风控能力和安全信任。软硬件产品提供商等提升自身产品和服务安全等级,即是提升自身在国内外市场的竞争力。可以从不同层面着手,以检测评估手段,达到自身的安全要求,控制自身业务过程的风险。我们提出核心的内容首先要立标准,制订这样一个安全标准体系,建了标准之后,在每个产业里面都有很多标准,标准怎么落地实施往往有很多问题,要构建这样一个检测评估体系,比如硬件产品的检测认证市场准入,应用软件的检测认证的安全准入,对系统集成和运营平台定期评估,及时发现潜在风险和不足,通过这手段来提升整个产业的安全性。要避免走电话支付终端的弯路,当时每个银行有自己的标准,结果布上百万台之后发现标准统一有问题,安全有问题,本来电话终端要家用的,后来投入商用,就会引起一系列的问题,要做出要求,对不同场合、不同安全需求,在快速发展的开始考虑到安全的因素要有利于发展的。测试评估的意义是作为符合标准和发现问题的手段,根据安全的需求测试是否达到这种要求,提出安全管理的水平,通过第三方机构执行保证它的公正性,我们作为产业链中基础环节设施,建立一个安全专业技术支撑平台,为这个产业保驾护航。只有规范和安全,才能持续健康发展和壮大,这是我们对于安全的理解,谢谢大家!
