1、中国银联电子支付安全攻防体系建设 何朔 杨阳 朱浩然 中国银联电子支付研究院 中国银联 近年来, 电子支付呈现井喷式增长, 为更好地为客户提供优质安全的金融服务, 中国银联提出了创新的电子支付安全攻防体系模型, 并开展了探索适用于电子支付领域的通用安全体系架构的有益尝试。中国银联电子支付安全攻防体系研究荣获 2016年度银行科技发展奖二等奖。中国银联电子支付研究院副院长何朔中国银联作为银行卡组织, 始终致力于为用户提供更加安全、便捷的支付方式。为更好地为客户提供优质安全的金融服务, 中国银联一直把电子支付安全作为公司发展的重点方向之一。中国银联电子支付安全攻防体系研究工作参考国际通行的安全模型
2、, 结合银联电子支付产品和应用的建设实际, 提出了创新的电子支付安全攻防体系模型, 并开展了探索适用于电子支付领域的通用安全体系架构的有益尝试, 降低了支付产品和应用的安全风险。一、项目背景近年来, 随着电子商务和互联网金融的迅猛发展, 电子支付呈现井喷式增长。电子支付虽然具有便捷性和创新性等优势, 但其在快速发展的同时, 安全问题形势却日益严峻。一方面, 许多金融应用暴露出资金安全、信息安全方面的许多问题;另一方面, 网络攻击的方式也日趋隐蔽和复杂, 给安全检测和防御研究带来了极大的挑战。从行业角度来看, 电子支付安全问题是跨机构、跨平台、跨地域的, 攻击了某个电商平台或互联网金融应用, 就
3、意味着对关键金融系统产生了潜在威胁。目前业内尚未形成有效的面向整个电子支付行业的信息安全攻防体系, 因此迫切需要各方联合起来, 进行相关课题的研究和实践。中国银联电子支付安全攻防体系研究, 将在调研业界先进技术和管理经验的基础上, 结合安全厂商、安全联盟、标准化组织的安全规范和最佳实践, 从提升国内网络和电子支付安全环境的角度出发, 对传统信息安全攻防模型进行优化, 对电子支付安全领域的技术手段、攻防实践、人才培养、联动机制进行探索和实践, 以形成完整的电子支付安全攻防体系, 满足行业参与各方的需要。这一体系也将为银联支付产品和应用提供安全保障, 为行业内支付系统安全的建设提供理论、技术和实践
4、参考。二、体系建设概况1. 电子支付安全体系模型电子支付安全攻防体系理论模型的最核心是电子支付安全, 传统的安全攻防模型并不能很好地满足电子支付安全研究的需要, 为了更好地对电子支付安全进行研究, 我们从电子支付安全的角度, 结合目前业界支付产品和银联自身的特点, 改进了传统的安全攻防模型 (如图 1所示) 。图 1 电子支付安全体系模型 下载原图根据电子支付安全攻防体系模型, 为了确保电子支付安全这一核心, 我们从四个方面开展工作。首先是从技术手段的角度来确保电子支付的安全。其次, 在管理措施上, 信息安全领域, 技术和管理并重, 形成集人员管理、资产管理、风险管理等多项管理措施于一体的管理
5、体系。再次, 在人才培养上, 注重安全团队的建设, 形成安全团队的有效培养机制。最后, 在联动机制方面, 电子支付安全攻防体系建立了内外结合的高效联动机制。电子支付安全攻防体系理论模型的最外层是具体的研究内容, 这些具体的研究内容也是内层研究工作的基础。它包括物理层、协议层、应用层、社会工程等多个角度, 涉及了电子支付设备安全、支付控件和工具安全、支付协议和算法安全、电子支付应用安全以及社会工程学。2. 电子支付安全研究方向在电子支付安全攻防体系的研究中, 我们结合银联的实际需求和业界常见的分类标准主要从移动支付安全、网络安全、Web 安全、密码算法、芯片/硬件安全等 5个技术方面开展研究。移
6、动支付安全包括移动操作系统自身安全性分析、移动 APP的漏洞分析、移动APP编译与反编译、终端应用的反篡改、手机短信验证码安全性研究、伪基站研究、移动端病毒原理与传播、移动终端环境安全性检测与加固等多个方面。在进行网络安全研究时, 首先梳理形成当前典型的网络攻击种类, 以及其对应的安全缺陷、攻击目的、业界解决方案或研究方向、银联可能遇到的实战场景和银联现有的应对考虑。在实际的研究过程中, 中国银联针对生产上的实际安全问题CC 攻击, 开展了深入研究, 并自主研发了集成机器学习、威胁情报等先进安全技术的网络流量分析及 CC攻击检测系统。Web安全方面, 我们详细分析了各类 Web攻击原理、特征,
7、 并调研了 Web安全防御的一般做法和主流自动化扫描工具与代码扫描软件, 以实现在自动化检测的基础上辅助以人工的渗透测试发现 Web系统可能存在的安全隐患。密码算法和各类基础协议方面, 我们针对不同的加密算法、标准自身的优劣、效率、对比、适用度、常见攻击、破解方式、实现漏洞、部署要求等均做了详细的研究, 形成了多份研究报告、最佳实践。在芯片/硬件安全方面, 我们对 IC卡芯片中存储的关键证书信息和其他交易辅助信息进行了针对性的攻防测试和研究, 提出了有效的解决方案, 形成了多篇专利。3. 电子支付安全攻防平台为更好地研究各类安全技术, 给广大研究人员提供一个实战演练的场所, 建立一套功能全面、
8、安全可靠、灵活多样的安全攻防平台的需求就呼之欲出了。通过对可能面临的应用场景的调研、对业界其他解决方案的消化吸收, 我们总结出如图 2所示的安全攻防研究平台框架设计。平台环境层是体系的基础, 由基础网络环境、虚拟化环境和安全设备环境组成;在平台环境层左右设计有日常操作层和管理维护层两个层面, 用于支持攻防平台日常的正常运作和使用、管理;围绕以上三个支持类的层面的是四大实际工作层, 分别是安全实验层、攻防演练层、检测分析层以及算法研究层, 用于提供真正的安全攻防研究、演练、实践等功能。根据此框架设计, 为将具体内容进行落地, 我们搭建部署了一套如图 3所示的安全攻防基础研究平台。该平台从反恶意软
9、件、攻防实验、检测分析、算法研究、芯片安全、硬件安全6个维度同步开展建设, 形成一个覆盖算法、协议、方案、产品全方位的安全研究基础环境。图 2 电子支付安全攻防研究平台框架设计 下载原图图 3 电子支付安全攻防基础研究平台 下载原图三、创新特点1. 方法论创新在电子支付安全攻防体系的研究和工作过程中, 我们对工作方法进行了全面思考和大胆探索。最终经过实践, 形成了如下四点方法论特色:将业界经验与电子支付的具体场景相结合, 解决了安全厂商的研究往往集中在技术实现, 而金融行业注重业务风险, 无法更好地将技术与业务相结合的弊端;对传统安全攻防模型进行借鉴和引申, 解决了传统安全攻防模型无法涵盖日新
10、月异的支付技术和产品的问题;在自主创新建立的安全攻防研究框架上开展攻防体系研究, 突破了传统的安全研究以业界和厂商的产品框架为基础的局限;注重安全研究团队培养和联动机制建设, 形成了政府机构、安全厂商、高校、科研院所等多方面的高效联动机制。2. 体系模型创新电子支付安全是一个整体的、庞大的体系, 涵盖电子支付业务和技术的方方面面。国内有些机构提出的面向电子支付安全的理论框架, 在层次性和全面性方面尚有不足。而 DMTF、ENISA、CSA 等国际组织提出的安全理论、模型、框架、威胁分析, 不具备在电子支付领域的实际指导意义。中国银联在参考国际标准化组织的安全研究成果的基础上, 对应用层、协议层
11、、物理层、社会工程方面的威胁进行了深入研究, 从技术手段、管理措施、联动机制、人才培养四个方面出发, 提出了新的电子支付安全攻防体系模型, 形成了较为完整的安全攻防理论体系, 充分考察了传统信息安全安全领域的最新研究成果和成熟经验、主流信息安全解决方案提供商的成熟产品及解决方案, 结合电子支付安全特点形成了具有很强操作性的整体解决方案, 具有较强的创新性。3. 平台框架创新攻防平台框架在金融领域实现较少, 主要存在于安全厂商的跨行业框架中, 而本攻防平台框架涵盖安全攻防的各个阶段, 是金融行业独创性研发。业界攻防框架焦点集中在传统的网络和系统安全领域, 本体系框架以信息安全技术作为基础, 提供
12、多种自定制扩展开发接口, 方便用户结合业务进行针对性研究, 具有很好的开放性。业界攻防框架往往只支持特定的操作系统和硬件设备, 本体系框架支持不同形态、不同操作系统、不同类型的硬件设备和分析软件纳入整个平台环境中, 具有很高的可扩展性。安全界攻防框架主要关注传统网络和系统安全案例教学, 本体系框架着重关注实际实施过程中的可行性、便利性以及安全性, 具备良好的实操性。四、实施成果电子支付安全攻防体系的诸多成果已应用于银联产品和系统开发, 起到安全保障作用, 主要体现技术手段、管理措施、人才培养和联动机制四个方面。技术研究方面, 首先, 中国银联电子支付安全攻防体系开展生产安全隐患研究与检测系统实
13、现。中国银联自主研发的网络流量分析与 CC攻击检测系统, 借助机器学习、威胁情报等新兴技术, 实现网络资源的自学习发现, 建立网络流量模型, 根据特征实现 CC攻击等恶意事件的检测和防御, 该系统已在生产稳定运行并且检测效果良好。其次, 开展电子支付热点、难点问题研究:针对高危漏洞、木马等安全问题进行研究与分析, 并提出应对措施和防御方案;针对动态加载技术、运行时环境监测与清场等难点技术设计了原型方案, 并完成可行性验证;针对 Intel的 IPT防护技术, 进行了技术预研, 研发技术原型, 并在国家网络安全宣传周、Intel 信息技术峰会 IDF等展会上展出。再次, 完成对内外多个支付系统/
14、应用的渗透测试, 包括内部的云 POS、银联在线支付在内的多个支付后台系统和 20余款银行网银等支付类应用的渗透测试, 累计发现八大类上百项安全隐患, 并协助完成漏洞的修复, 改善和提高相应系统和应用的安全性。管理措施上, 中国银联及时总结和推广攻防经验并将研究成果应用于标准规范的编写和制定。研究成果推广应用包括编写移动支付安全编程、手机应用安全风险、安全算法部署实践等文档, 帮助需求、开发及运维人员掌握安全风险点及常见解决方案;研究成果应用于标准规范的编写, 包括 EMV等国际标准、云计算安全等国家标准、网银安全等行业标准、云安全审计等企业标准等。依托电子支付安全体系, 中国银联组建了一支技
15、术水平过硬的安全攻防技术团队电子商务与电子支付国家工程实验室狴犴安全研究团队。在人才培养的过程中形成两种机制, 分别是定期培训和实践检验。团队中每个人都会定期自由选取个人擅长的领域进行课程教授;另外还会根据安全行业形势的发展, 不定期组织外部专业机构进行安全新动态、新业务的培训;团队积极寻找比赛机会进行学习与练兵, 包括中国网络空间安全协会、国家互联网应急中心等单位举办的多项网络安全国家赛事, 并取得了不错的成绩。电子支付是个整体的解决方案, 电子支付安全也不是靠一方单打独斗可以解决的问题。为了更好地提升电子支付安全, 中国银联与政府机构、科研机构、安全厂商以及行业机构建立了不同形式的高效联动机制, 共享安全信息, 共研安全技术, 共建安全成果, 共保支付安全。当前, “互联网+普惠金融”、“互联网+电子商务”已成为国家经济转型战略的重要行动, 越来越多的企业走向互联网化, 越来越多的用户和商户尝试使用新型支付手段进行快捷支付。在这一过程中, 每一个电子商务平台和互联网金融应用的建设者和参与者都需要考虑电子支付安全的问题和解决方案。中国银联希望能与业界各方携手共进, 打造更加成熟的安全体系, 共同保障金融安全与稳定。
