第三方支付安全合作联盟季度会召开:拥抱变化,开放共赢
移动支付网 | 2018-05-02 18:56

4月24-25日,由北京移动金融产业联盟、移动支付网主办,第三方支付安全合作联盟协办的2018第二届中国移动金融发展大会在京召开。会议期间,《第三方支付安全合作联盟季度会》作为专项分论坛于25日下午成功举办。第三方支付安全合作联盟(下称“联盟”)由业内主要的第三方支付机构于2012年自发组织成立,旨在共同防范行业风险,共建更安全的支付生态。一直以来联盟研讨会都以闭门形式对支付业的风险防范、信息共享、技术安全等话题进行交流。随着移动支付发展的不断深入,产业链参与角色也不断丰富,本次联盟季度会就采取了拥抱变化、开放共赢的态度,邀请政府部门和支付生态链上下游企业来分享最前沿的安全知识,探讨提高安全水平的可行性方案。会议由第三方支付安全合作联盟秘书长李昂杨主持。

从WannaCry勒索病毒说起

2017年5月12日,WannaCry勒索病毒事件在全球范围至少100多个国家造成攻击,其中包括英国、美国、中国、俄罗斯、西班牙和意大利,国内有不少行业内网环境受到严重感染。通过WannaCry勒索病毒事件,锦行网络科技科技有限公司产品总监胡鹏表示,仅拥有强大的边界防御已经不足以应对网络军火民用化所带来的各种安全威胁。此外,特别需要注意的是根据知名安全咨询机构Ponemon Institute发布的研究报告,金融服务业是受到这些网络犯罪损失最重的行业。寻求更为有效的安全防御手段,成为行业共识。

网络欺骗防御技术就是目前受到广泛关注和讨论的一种安全防御手段,它指通过使用欺骗手段,妨碍或干扰攻击者的认知过程,破坏攻击者的自动化工具,延迟攻击者的活动或者扰乱其破坏计划。区别于传统被动式安全防御手段,这是一种主动式防御手段。

金融行业在IT建设上有信息资产庞大、业务系统众多、提供多渠道多终端的分布式接入等特点。而在金融攻击中,攻防双方在技术上、战略上都存在着巨大的不对等性。比如攻击者只需发现防御体系中任何一个严重漏洞即可能攻破整个系统,而金融行业本身的特点使得防御体系攻击面较大,面面俱到的防御难以做到。对此,胡鹏认为欺骗防御技术在金融业可有两个方面的应用:一是利用欺骗防御技术应对进入内网的攻击者,补全安全防御体系;二是利用欺骗防御技术的延伸,进行攻防演练提升自身应对威胁的能力和技术水平。

支付数据的安全

作为金融活动的重要组成部分,支付数据的安全关乎到整个机构的发展问题。信陵神州合伙人、技术负责人王建新认为保障支付数据安全主要有三个方面:一是数据的防篡改,二是数据的防泄露,三是防止业务中断。而保护支付数据的安全又可以在传输、存储等两方面着手。

在王建新看来,存储支付安全相关数据应按照“能不存就不存、要存就存最短时间、重要数据密文存储、使用时只给最小权限”的规则进行,这样一来在数据存储上可保证最大限度安全。另一方面,在数据传输上则应按照完整性、真实性、机密性、防重放的规则走。

优雅的证明“你是你”

在金融活动中,如何既方便快捷又安全可信地证明“你是你”常常被提起。2018年1月,《中国互联网络发展状况统计报告》显示,截止至17年12月,我国网民规模已达到7.72亿,成为全世界网民最多的国家。另一方面,近年来因个人信息泄露、诈骗信息等原因导致网民大量损失。建立统一、安全、可信的网络可信体系,已成为包括金融在内的各行业对互联网提出的迫切需求,公安部第一研究所证件技术事业部王开林如是认为。

关于网络可信体系,王开林表示网络可信身份管理是网络可信体系的核心,而法定身份证是网络可信身份管理的基础。基于居民身份证网上应用的“互联网+”可信身份认证平台,就是要把实现实惠中使用居民身份证来证明公民身份证的方法和模式,延伸和移植到网络社会。为互联网金融等各类网上活动提供唯一、合法的身份凭证。

兼顾安全和易用的手机云盾

上文说到互联网的发展和变化,基于我国互联网环境,金融机构也明显做出了业务战略调整。比如对银行来说,手机银行成为其发展的重要部分,而手机银行的安全性能也必然要升级。与网上银行一样,安全问题是人们对手机银行的关心重点。

在对手机银行的保护上,有许多手段。比如易用简单的口令认证、强安全性的硬件密码模块认证、生物识别认证、接入FIDO快速身份认证标准。但这些手段也存在着安全性差、不够便捷、覆盖率等局限。对此,江南天安高级技术总监曲金宝提出,手机云盾是一个兼顾易用和安全的方案。手机云盾系统可以理解为把手机变为U盾,从而实现智能移动终端身份认证和电子签名。

黑产日益壮大,风控案例分享

互联网黑产在中国是一个非常特殊的行业,从业人员大概有60万人,在一些小的四线和三线城市,这个是一个很大的一个产业。据TalkingData首席布道师鲍忠铁介绍,现在这些黑产不光是自己赚钱,还会把技术也作为一种盈利的方式输出。从这个角度看,中国黑产发展正逐步壮大。

此外,鲍忠铁在演讲中还向我们分享了移动行为数据反欺诈案例。包括职住地辨识、填写信息辨识、填写时间分析、先写行为、设备聚集信息、机卡历史数据、设备状态和APP安装使用等。此外,羊毛党形成的生态圈最引人关注。

彩蛋:IFAA

本次季度会最后还有一个“彩蛋”演讲,来自蚂蚁金服的专家青予介绍了IFAA联盟主要服务和简介。目前支持IFAA标准的设备数超过12亿,开通用户超过2亿,支持250款以上机型,覆盖36个手机品牌。据IFAA数据,目前指纹支付交易占超过36%,平均支付耗时小于0.2秒。

相关阅读
PC版  |  关于我们  |  联系我们
Copyright © 2011-2018 移动支付网
粤ICP备11061396号-5