返回
中国银联电子支付安全攻防体系建设

中国银联电子支付安全攻防体系建设

ID:9427056

大小:71.23 KB

页数:5页

时间:2018-04-30

中国银联电子支付安全攻防体系建设_第1页
中国银联电子支付安全攻防体系建设_第2页
中国银联电子支付安全攻防体系建设_第3页
中国银联电子支付安全攻防体系建设_第4页
中国银联电子支付安全攻防体系建设_第5页
资源描述:

《中国银联电子支付安全攻防体系建设》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、中国银联电子支付安全攻防体系建设何朔杨阳朱浩然中国银联电子支付研究院中国银联近年来,电子支付呈现井喷式增长,为更好地为客户提供优质安全的金融服务,中国银联提出了创新的电子支付安全攻防体系模型,并开展了探索适用于电子支付领域的通用安全体系架构的有益尝试。中国银联电子支付安全攻防体系研究荣获2016年度银行科技发展奖二等奖。中国银联电子支付研宄院副院长何朔中国银联作为银行卡组织,始终致力于为用户提供更加安全、便捷的支付方式。为更好地为客户提供优质安全的金融服务,屮国银联一直把电子支付安全作为公司发展的重点方向之一。中国银联电子支付安全攻防体系研究工作参考国际通行的安全模型,结合银联电子

2、支付产品和应用的建设实际,提出了创新的电子支付安全攻防体系模型,并开展了探索适用于电子支付领域的通用安全体系架构的有益尝试,降低了支付产品和应用的安全风险。一、项目背景近年来,随着电子商务和互联网金融的迅猛发展,电子支付呈现井喷式增长。电子支付虽然具有便捷性和创新性等优势,但其在快速发展的同时,安全问题形势却日益严峻。一方面,许多金融应用暴露出资金安全、信息安全方面的许多问题;另一方面,网络攻击的方式也口趋隐蔽和复杂,给安全检测和防御研宂带来了极大的挑战。从行业角度来看,电子支付安全问题是跨机构、跨平台、跨地域的,攻击了某个电商平台或互联网金融应用,就意味着对关键金融系统产生了潜在

3、威胁。目前业内尚未形成有效的面向整个电子支付行业的信息安全攻防体系,因此迫切需要各方联合起来,进行相关课题的研允和实践。中国银联电子支付安全攻防体系研宄,将在调研业界先进技术和管理经验的基础上,结合安全厂商、安全联盟、标准化组织的安全规范和最佳实践,从提升国内网络和电子支付安全环境的角度出发,对传统信息安全攻防模型进行优化,对电子支付安全领域的技术手段、攻防实践、人才培养、联动机制进行探索和实践,以形成完整的电子支付安全攻防体系,满足行业参与各方的需要。这一体系也将为银联支付产品和应用提供安全保障,为行业内支付系统安全的建设提供理论、技术和实践参考。二、体系建设概况1.电子支付安全

4、体系模型电子支付安全攻防体系理论模型的最核心是电子支付安全,传统的安全攻防模型并不能很好地满足电子支付安全研宄的需要,为了更好地对电子支付安全进行研究,我们从电子支付安全的角度,结合目前业界支付产品和银联自身的特点,改进了传统的安全攻防模型(如图1所示)。图1电子支付安全体系模型下载原图根据电子支付安全攻防体系模型,为了确保电子支付安全这一核心,我们从四个方面开展工作。首先是从技术手段的角度来确保电子支付的安全。其次,在管理措施上,信息安全领域,技术和管理并重,形成集人员管理、资产管理、风险管理等多项管理措施于一体的管理体系。再次,在人方培养上,注重安全团队的建设,形成安全团队的有

5、效培养机制。最后,在联动机制方面,电子支付安全攻防体系建立了内外结合的高效联动机制。电子支付安全攻防体系理论模型的最外层是具体的研宄内容,这些具体的研宄内容也是内层研究工作的基础。它包括物理层、协议层、应用层、社会工程等多个角度,涉及了电子支付设备安全、支付控件和工具安全、支付协议和算法安全、电子支付应用安全以及社会工程学。2.电子支付安全研宄方向在电子支付安全攻防体系的研究中,我们结合银联的实际需求和业界常见的分类标准主要从移动支付安全、网络安全、Web安全、密码算法、芯片/硬件安全等5个技术方面开展研宄。移动支付安全包括移动操作系统自身安全性分析、移动APP的漏洞分析、移动AP

6、P编译与反编译、终端应用的反总改、手机短信验证码安全性研究、伪基站研究、移动端病毒原理与传播、移动终端环境安全性检测与加固等多个方面。在进行网络安全研宂时,首先梳理形成当前典型的网络攻击种类,以及其对应的安全缺陷、攻击目的、业界解决方案或研究方向、银联可能遇到的实战场景和银联现有的应对考虑。在实际的研究过程中,中国银联针对生产上的实际安全问题一一CC攻击,开展了深入研究,并自主研发了集成机器学习、威胁情报等先进安全技术的网络流量分析及CC攻击检测系统。Web安全方面,我们详细分析了各类Web攻击原理、特征,并调研了Web安全防御的一般做法和主流自动化扫描工具与代码扫描软件,以实现在

7、自动化检测的基础上辅助以人工的渗透测试发现Web系统可能存在的安全隐患。密码算法和各类基础协议方面,我们针对不同的加密算法、标准自身的优劣、效率、对比、适用度、常见攻击、破解方式、实现漏洞、部署要求等均做了详细的研宄,形成了多份研宄报告、最佳实践。在芯片/硬件安全方面,我们对1C卡芯片中存储的关键证书信息和其他交易辅助信息进行了针对性的攻防测试和研究,提出了有效的解决方案,形成了多篇专利。1.电子支付安全攻防平台为更好地研宄各类安全技术,给广大研宄人员提供一个实战演练

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。