林 威 杨以仁

(广西支付通商务服务有限公司，广西 南宁 530012)

1 引言

近年来，第三方支付行业获得快速发展，第三方交易规模由2014年的23.3万亿元上升至2015年的31.2万亿元，交易规模保持50%以上的年均增速。尤其是，非金融机构的支付服务因具有多样化、个性化等特点，较好地满足了电子商务企业和个人的支付需求，因而获得了爆发性增长。

随着互联网技术在金融领域的广泛应用，各种针对第三方支付系统的新型安全威胁不断增多，各地爆发的信息安全事件也成了社会舆论关注的焦点、热点。央视“315晚会”已连续两年对个人信息安全事件进行曝光，提醒手机、个人电脑等信息终端设备的用户群体，应特别关注个人信息安全问题。

但是，仅仅通过提高信息终端本身的安全性以及提高用户的安全意识，还是远远不够的。尤其是对于第三方支付行业，通过技术架构体系及安全运维体系来防范和控制支付业务平台的安全风险，才是从根本上解决信息安全风险问题的关键所在。

本文将通过列举和分析系统网络安全性、主机及运维安全性、应用及数据安全性涉及的几个方面问题，结合实际的支付系统建设及运维工作经验，浅谈支付业务系统安全风险问题的若干解决思路。

2 系统网络安全性

2.1 增强路由访问、子网划分控制

网络管理员在规划子网时设置的网段范围过广，VLAN划分预留了空闲的IP地址，在网络设备调试初期使用测试VLAN、静态路由表并未删除或修改，以及启用了DHCP服务未及时关闭等等原因，均可导致黑客或能直连设备的恶意者轻易获取该网络的合法地址，通过扫描工具进行嗅探，就可以获得整个系统网络的拓扑及各子网网段的信息，进而对网络进行入侵和破坏。

因此，要防范此类网络风险，就要做到合理进行网络规划与地址分配，及时关闭不需要的服务等。

2.2 进行IP-MAC地址绑定，合理分配QoS

很多网管仅仅在系统调试初期将设备的IP-MAC地址进行绑定，但是在后期运维工作中，IP地址变更时往往没有相应更新静态地址列表，导致无法防止地址欺骗，使系统容易遭受ARP攻击。因此，应注意检查并及时更新IP-MAC地址。

网管应该根据业务重要等级来规划网络使用带宽及QoS优先级别，这样就能在网络发生拥堵的情况下优先保障重要业务的运行。QoS配置与网络设备参数、带宽分配、业务流量及趋势的规划关系紧密，可通过日常监控、审计报表及对业务高峰期预判来合理分配。若是多运营商线路接入，应考虑使用负载均衡方案。

2.3 加强网络访问控制中对应用层协议的过滤

网络映射目的地址分配随意，将本来可以点对点映射的地址开放了所有地址映射，会导致网络攻击风险的增加。不少防火墙、路由器、交换机出厂设置默认开启了多个服务，如http、ftp、telnet、SMTP、POP等。这些服务在系统运维中并非都需要开启，可根据实际情况在系统调试完成后及时关闭不必要的服务。

有的边界防火墙的web、ssh等配置后台默认暴露于互联网，黑客直接在浏览器输入该企业域名解析后的地址，就可以显示用户及密码登录界面。若黑客使用穷举法破解超级管理员密码，或利用防火墙web管理页面进行漏洞渗透而获得管理权限，都将导致系统面临巨大的安全威胁。

避免这种威胁的一种措施是，将需要映射的地址及内网访问的服务的控制粒度限制在端口级别。若有需要向互联网映射的风险端口(如80、8080、22)，必须设置不对称映射，这样可降低恶意者发起的针对非定向地址的特定端口扫描的命中率。

2.4 部署入侵检测系统(IDS)及入侵防御系统(IPS)

一般功能的防火墙依靠传统防火墙的IPS模块、防病毒模块、WEB应用保护模块等防御网络风险，这些模块功能实用性相对较低。防御的针对性不全面，病毒特征库更新周期长，甚至在服务终止后根本无法更新等问题，可能会导致系统面临新病毒风险时，防火墙不能及时保护业务系统。

随着网络渗透攻击技术的不断提高，传统防火墙技术已经无法应对一些安全威胁。在这种情况下，IDS、IPS技术可以深度感知并检测数据流，对恶意报文进行丢弃以阻断攻击，通过限流保护功能确保网络带宽资源的正常利用。

对于部署在转发路径上的IPS，可以根据预先设定的安全策略，对报文进行深度检测(协议分析跟踪、特征匹配、流量统计分析、事件关联分析等)。如果发现报文中隐藏网络攻击，可以根据该攻击的威胁级别采取相应处理力度的抵御措施：一种为向管理中心告警并丢弃该报文，另一种为切断应用会话并中止此次TCP连接。

在业务网络设计中，建议至少在以下区域部署IPS：办公网与外部网络的连接部位(入口/出口)；重要服务器集群前端；办公网内部接入层。至于其它区域，可以根据实际情况与重要程度部署IPS。

依照一定的安全策略，通过IDS对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。

2.5 接入区网络设备、核心业务区设备需要合理选型

如果接入区网络设备与核心业务区设备选择同一品牌，则某个设备的漏洞缺陷一旦被黑客发现并利用后，全部设备的防御措施就有可能被迅速破解，黑客就可以直接入侵核心业务区。因此，接入区网络设备与核心业务区设备建议选择不同品牌的产品。

在相同品牌的主设备选型中，还应尽量订购不同生产批次的设备，以减少主设备出现漏洞性故障的情况下，同样批次的备用设备也出现同样故障的可能性。

在满足设备功能及性能要求的前提下，建议我国的支付机构尽量选择国产品牌的网络及安全设备，以更好地保护业务信息安全，维护国家、客户及机构本身的利益。

3 主机及运维安全性

3.1 应部署具备审计功能的堡垒主机并实现权限分离

特定的网络环境下，为了保障网络和数据不受来自外部和内部用户的入侵和破坏，堡垒主机运用各种技术手段实时收集和监控网络环境中每一个组成部分的系统状态、安全事件、网络活动，以便集中报警、及时处理及审计定责。堡垒主机的用户管理及审计功能是日常运维中的核心内容。其中，审计功能能够对系统内重要的安全相关事件进行审计，如：用户标识与鉴别、自主访问控制的所有操作记录、重要用户行为、系统资源的异常使用等。

在堡垒主机的用户管理功能中，可以实现人员的权限分离、密码定期更新分配、密码复杂度要求等安全策略。一般情况下，堡垒主机的管理者岗位应是运维主管或审计员。堡垒主机管理者应以最小化原则分配各类角色的可访问设备列表，如网络管理员通过账号登录堡垒主机后，仅能维护网络设备，不能操作主机；同理，系统工程师仅能运维相关主机，不能维护网络设备；数据库管理员则仅能查询、运维数据库。

若运维人员需要修改设备参数，则要经过权限申请，获得运维主管及相关领导同意后，可通过堡垒主机授权进行修改。信息安全审计员应对运维人员的操作合规性进行审查，对操作进行备注及核实，并存档运维操作记录。

3.2 运维身份需要鉴别，并限制非授权地址登录堡垒主机

设备运维登录操作应经过身份鉴别认证。堡垒主机的身份认证功能模块较为完善，且实现过程较为简单，使用范围相当广泛，因此建议启用堡垒主机的双因素认证功能。主流的双因素认证采用“密码+数字证书(USBkey)”的模式。此模式相对指纹认证、视网膜认证等方式，实现的成本更低，实用性更强。

堡垒主机登录地址应局限在运维环境的局域网中。运维主机不允许连接互联网，不可随意读写外部存储设备，禁止在运维主机上进行与运维无关的工作。对于企业采取运维工作外包、需要通过互联网远程运维的情况，不建议直接将堡垒主机管理地址暴露于互联网上，建议先通过VPN连接至特定网段后，再登录堡垒主机。通过VPN上登录时间及登录账户的记录，可确定运维操作是否合法。

3.3 应具备完善的漏洞扫描制度

运维部门需要制定定期漏洞扫描的周期及扫描的对象。通过扫描结果可以获得被扫描主机的各方面详尽的信息。其中包括主机的IP地址、操作系统类型及版本号、补丁号、网络主机的三大网络服务的信息描述，以及主机开放的所有网络服务、主机上存在的网络安全漏洞等等内容。另外，扫描结果还根据漏洞的危害程度，对扫描出的漏洞分别进行分级标示。运维人员需要对扫描结果进行及时评估，针对需要修复的漏洞制定相应的修复方案，经过测试成功后再正式实施方案。修复方案应该具备回退机制。对于无法修复或不建议修复的漏洞，应该加以备注并审核存档。

运维人员应及时关注中国国家漏洞库、乌云网等漏洞发布网站，以获取更多更新的风险漏洞信息及风险提示，及时更新、完善本机构的风险漏洞知识库。

4 应用及数据安全性

4.1 应对应用程序进行全面的测评

根据《非金融机构支付服务管理办法》的要求，应当由具备相关资质的检测机构，按照《非金融机构支付业务设施技术认证规范》，对支付机构的支付业务处理系统、网络通信系统以及容纳上述系统的专用机房进行安全性检测。其中，通过对支付业务系统应用程序的功能、性能、安全性及风险监控等方面进行全面测评，可发现各种安全隐患，如SQL注入、跨站脚本攻击、网络钓鱼、不安全的登录方式等。这些安全漏洞如果被不法分子所利用，就可对业务数据或用户的敏感信息进行非法窃取，将会给支付机构及其用户造成不可估量的损失。因此，通过检测提前发现安全隐患，整改后就可以做到防患于未然。

4.2 使用机制保护用户敏感信息

JRT0122-2014《非金融机构支付业务设施技术要求》中“6.4.4.3.2客户身份认证信息存储安全”中明确要求：“应不允许保存非必须的客户认证信息(如银行卡磁道信息或芯片信息、卡片验证码、卡片有效期、个人识别码、银行卡交易密码、指纹、CVN、CVN2等敏感信息)。应对客户的其他敏感信息，如卡号、户名、开户手机、贷记卡有效期、电子邮箱等信息采取保护措施，防止未经授权擅自对个人信息进行查看、篡改、泄露和破坏。宜采用加密存储、部分屏蔽显示等技术。”

软件加密时很多重要的信息(如用来做密码运算的密钥，或客户的PIN)都会在某时间清晰的出现于计算机的内存或磁盘上，而对计算机数据安全有一定研究的不法分子便有机会把这些资料读取、修改或删除，破坏系统的安全性。硬件加密所有密码运算都在加密机内完成，在完整的加解密过程中，仅在硬件加密设备内部出现密钥和PIN的明文，有效防止了密钥和PIN的泄露，并且在受到非法攻击时，加密机内部保护的密钥会自动销毁。鉴于软件加密不能提供一种有效的机制保护密钥和客户密码PIN的存储安全，国际银行卡组织(VISA、万事达)以及我国的银联组织均作出了在金融系统中必须使用硬件加密设备的规定。

另外，支付机构的加密机应支持国家密码局认定的国产密码算法，能够实现商用密码算法的加密、解密和认证等功能。终端信息采集设备应该采取加密及认证措施，业务系统应该采用第三方电子签名或者自建的电子签名技术。在实现这些加密技术后，应当使用抓包工具截取交易信息进行测试，检查交易报文是否有泄密风险。

4.3 图形验证码功能模块应不断更新迭代

为了防止黑客对某一个特定注册用户用特定程序暴力破解方式进行不断的登陆尝试，在登录界面加上验证码是现在很多网站通行的安全措施。但是，在用户输入错误的口令、错误的验证码而被要求重新输入时，验证码应该更新并采用字体变形、粘连、背景干扰等新型技术，以防止自动化工具的识别穷举。

各种验证码技术的标准及方式各不相同。一个防暴力破解验证码的评价标准是可以由计算机自动生成验证问题，但是只有人类才能正确解答，破解程序无法自动正确解答。但是，正所谓“道高一尺，魔高一丈”，随着屏幕图形识别技术、人工智能技术的不断发展及可能被黑客的非法滥用，现有的图形验证码技术将有可能被破解。因此，信息终端所采用的图形验证码技术也应该及时更新迭代，甚至需要比业务系统版本迭代更快，验证过程也需更严谨。

5 结束语

在技术架构体系与信息安全运维体系不断完善的同时，安全信息安全管理体系也应当不断推进。信息安全教育和培训仍是信息安全管理工作的重要基础。例如，对新入职技术人员进行能力测试及背景调查，入职后还需要定期进行信息安全培训及安全技术考核；此外，通过各种宣传、培训和教育等手段，不断提升支付机构全体员工的信息安全意识，落实信息安全风险防范措施。

总之，既要使系统运维管理人员具备系统全生命周期、全功能覆盖、全面质量管理的运维管理能力，又要充分发挥全体员工乃至广大用户在信息安全管理中的主观能动性，打造一支服务意识强、技术能力突出的运维团队，建立起完善的信息安全管理体系，才能从整体上提升第三方支付业务系统的安全风险防范能力。