atsec高向东：移动支付需关注持卡人数据加密

atsec高级咨询顾问高向东

　　和讯科技消息 11月29日-30日，2011中国移动支付产业年会在北京举行。在30日的演讲中，多位嘉宾作出了精彩的发言。atsec高级咨询顾问高向东作了以移动支付安全为主题的演讲。

　　以下为演讲实录：

　　在座的各位嘉宾大家上午好！我是来自atsec的高向东，非常高兴有这个机会与在座各位一块就《支付安全合规趋势和经验分享》展开探，非常荣幸有这个机会。今天给大家汇报的内容主要包括两个方面：第一，在过去的2011年年我们都发生了哪些安全事件？作为移动支付在安全合规方面有哪些趋势？第二，对于atsec涉及支付安全以及它相关的标准，在合规过程中一些经验的积累，也想跟各位展开探讨。

　　前不久PCR标委会成立了一个全球的支付卡数据安全保护的组织，他发布了这样一些统计数据，对移动应用在很大程度上高达90%的比例威胁的来源是来自于外部的，具体来看，这些外部的来源到底来自于哪方面的威胁呢？最大的一个威胁是对黑客的入侵行为，这个占的比例大概是50%的样子。可能大家有印象，在今年夏天全球一个事件，索尼在今年夏天它的服务器系统遭受了多次攻击，并且造成了至少100万条SIM卡数据的丢失，对整个索尼的品牌也产生了非常大的影响，这是黑客攻击方面今年非常典型的一个事件。第二是恶意软件的渗透和恶意行为，今年很多提供公开邮件的服务系统，像雅虎等等很多邮件系统，在用户登录以后所出现的一些漏洞，这些都跟恶意软件有很大关系。另外对物理入侵方面的问题也占很大比例。

　　整体来看，对于支付安全过程中如何来保证整个过程的安全至关重要。对于这个标准，这个地方提到了一个PCIDSS标准，这个标准目前在全球是唯一的相关标准。这个标准目前也广泛的适用于，尤其在涉及持卡人数据交易过程中。从来自PCI标委会的数据显示，在卡的比例里还有一些处于非合规状态。atsec早在五年前就作为PCIDSS国际服务测评机构，今年最近atsec作为中国一个独立实体，获得了PCIDSS授权，atsec也希望与在座各位同仁一道共同提升移动支付的安全性。

　　总结起来看，移动支付涉及的安全问题，之前各位也提到了很多，一提到安全大家都会认为安全的问题很多，也不知道如何下手。统计数据显示，绝大多数安全问题都可以通过低成本形式来展开，那么到底有什么办法来比较好的提高安全性？特别是大家提到的网上营业厅、网上银行等等业务的迅猛发展，到底有什么办法可以有效的提高安全性？

　　我们也做了一些总结：首先，对提供的应用，特别是进您来看，对于来自外部的威胁，黑客已经从对传统的服务器进行攻击，而转到了针对应用的攻击，那么如何做好应用安全防护？首先黑客可能会有一个帐号，比如说我在一个网站注册一个帐号，这时候对这个帐号来讲就会有相应的权限，那么这时候对帐号管理来讲就提出了很多要求，比如对帐号默认权限的更改和定期对帐号的检查，这是非常必要的。除此之外，对应用本身的加固，比如对应用使用过程中行为的过滤，这是两个重要的保护点。很多时候是我们自主开发的应用，在应用功能实现过程中如何保证它的安全？在开发过程中我们更好的使用双人审核的方式，测试过程中使用安全的测试方法，对应用进行审核。包括来过滤用户输入的参数和输入的数值，对于日常工作过程中的监控以及管理，这对安全管理也至关重要。

　　以上谈到的这些是关于过去一年中的一些发展趋势，从涉及支付产业的标准PCIDSS的标准，从2011年12月31号将面临一个新的V2.0标准替代V1.0版本，在这里也想回顾一下对移动支付的安全标准的一些变化，从变化当中我们或许能有一些体会。首先这个变化来自于两个方面，除了本身对标准的一些要求，比如对发卡行的一些要求更细化以外，更多的情况是对标准所涉及的要求顺延的趋势。比如对网络通信的保护和无线的检查，这要求整体是趋延的。对应用包括对应用的保护、对应用的管理，在数据层面也提出了加密算法，刚才也有提到了这方面的要求，以及对位置的管理。

　　atsec我们也是持续关注于新标准的变化，大家感兴趣可以沟通来交流。新标准的另外一个变化，对更多行业标准与实践的参与与借鉴，总体来看，随着支付应用的迅猛发展，对支付应用本身的安全性也越来越被视为关键点，对这个标准变化除了提更多要求，来应对日趋复杂的威胁，并且也会通过联合的方式，互相之间联合、互相之间借鉴的方式，来建立安全管理和安全方面的实践。

　　除了推出一些新标准以外，同时标委会也做了很多补充，具体来看这些补充通常是以指导性的规范来体现的。首先一个好的消息是，对于广泛涉及的比如说像PTC合规的密码键盘这类的设备和POS设备，今年的消息这些可以接受作为PCI另外一个标准进行支付应用做审核，而当前对广泛流行手机支付非应用系统的安全性是如何保证的？这样的规范也在开发过程中。另外，对新的指导规范还包括了在EMV环境下，国内我们通常叫IC卡，在IC卡达到安全的条件下如何和PCI相联合？这也提出了相应的指导意见。除此之外包括电话银行、呼叫中心涉及到持卡人数据的时候，安全如何保障？也有相应的安全规范。同时也包括虚拟化技术、无线检测的技术等等都提出了具体规范。时间关系我就不一一展开了。

　　前面我们提到了对于规范的指导性意见的提出，具体在合规的过程中，可能好多时候像商户、第三方支付公司，涉及持卡人数据交易的、SIM卡数据存储传输的都会涉及PCI传输，都需要维持和符合PCI的要求规范，在合规的过程中我们也发现好多用户会有这方面或者那方面的问题，也想借这个机会跟各位做些分享，在座各位都是专家，也希望大家给予理解，也希望跟大家讨论。下面我们来具体看一下，首先第一个问题，对于PCI合规的工作量，PCI这个标准我们理解它是介于一个更具体的指导性的规范标准，这个标准的要求非常细，然后又是一个复合型的标准，就是说持卡人数据必须是合规的。这导致看起来工作想非常巨大，尤其是哪些有持卡人数据、哪些没持卡人数据的时候，这样导致无论是时间投入还是金钱投入都非常大。这时候我们可以从三个层面来有效的缩小或者降低持卡人环节在合规使用时的难度，第一个方面我们称为数据流梳理，我们通过一个有效网络分割的形式，把和持卡人无关的系统排除之外。

　　对于大家广泛关注的在合规过程中的加密或者持卡人数据的安全存储，这个地方我们也想对大家推荐一下合规的规范或者实践。大家可以看到右边这个图，是对于交易过程中的加密，用户体验是不会受到影响的，所改变的是应用系统和数据应用系统调用的时候需要改变结构，最终的结果是在应用跟数据在之前调用的时候都是明文转密文的形式，这保证了好多时候持卡人数据是可以避免掉泄露的。另外还涉及到密码管理的实践，在密码管理或者涉及密钥管理的时候，我们从生命周期的角度来看，如何安全的建立、如何安全的变更，我们可以用一个生命周期来看待这个问题。

　　另外在PCI合规过程中，可能有组织说我很难做到这点，无论是设备投入还是人力投入，很难做到，同样PCI也会有一个相应的措施。对于我们自己开发的应用，我们很多时候关注的都是应用本身的功能，如何在应用过程中更好的融入安全？我们也总结了很多总结，包括测试、编码、生产等等过程中需要参考哪些实践？这个地方我们也做了总结，感兴趣的朋友我们也可以展开更多的探讨。对于atsec来说我们今年跟中国信息安全认证中心合作推出了安全软件开发课程，这个课程我们打算在2012年第一季度展开第一期的课程，有感兴趣的朋友可以跟我们公司的同事沟通。

　　在线系统，系统出漏洞打补丁是个很麻烦的事情，但是不打也不行，但我们在这个得到总结了一个比较好的生命周期的管理方法。总结起来来看，首先对于漏洞，我们投入很好的方法尽早发现，在分析的时候分析的非常全面，在跟踪的时候我们有效的利用标准要求，更合理化安排这个生命周期，在于在补丁管理或者对漏洞修复的影响，这也是可以遵照一个过程来实现的。

　　最后提到一点，对于整个体系的建设，PCI合规的时候我们可以认为PCI这个要求可以在2.5这个层面，也就是说介于ISO和ICE两个层面，如何有效的把我们已经符合的一些体系跟PCI有效的融合？这个我们认为是非常必要的，而不是很多时候为符合标准建立很多的安全体系，这在执行起来是会有很大难度的。

　　这个地方也跟大家分享一下，这是一个我们推荐的比如对于支付的机构，在涉及比如我们国内的风险管理指南、27000、PCI这些要求的时候，如何通过一个融合的体系来实践？首先把这些标准打碎，形成一个我们自己符合标准的整体。

　　在此做一个呼吁吧，虽然讲的是PCI，但包括PCI的发展和规范性的指导意见，以及包括涉及无论是在线还是离线的交易、远程还是现场的交易，都希望在这个过程中多考虑安全，从安全角度来看也希望跟在座各位做很多分享，希望跟大家一道共提升移动支付大发展同时，首先安全可以为移动支付的发展保驾护航，另外安全也作为移动支付发展的基础，更多的对移动支付应用的发展作出贡献，谢谢大家！