一、安全挑战
随着银行卡、预付卡的广泛应用与普及,移动互联网、移动支付以及网上购物的快速发展,广大消费者对金融的投资理财需求,安全快捷的网上消费、支付需求在不断增长,第三方支付是适合我国国情的新兴业务模式,有着难得的发展机遇,同是也面临着更多经营风险以及更严厉的外部监管。防范金融信息科技风险的发生,监管层相继出台了相关管理措施,如《非金融机构支付服务管理办法》(人行〔2010〕第2号)、《非金融机构支付服务管理办法实施细则》(人行〔2010〕第17号)等监管要求,意在促进第三方支付机构建立起信息安全保障机制,增强抵御外界风险的能力。如何对第三方支付平台进行有效的安全防护,并满足行业监管要求,成为大多数非银行金融机构迫切需要解决的问题。
二、业务流程风险
根据中国人民银行令〔2010〕第2号相关规定,非金融机构可提供以下的支付服务活动,包括:(一)网络支付;(二)预付卡的发行与受理;(三)银行卡收单;(四)中国人民银行确定的其他支付服务。从第三方支付的业务流程来看,相关业务及应用流程如下图所示:
其中,网络支付业务及应用流程相对复杂一些。总体业务流程可以分为四个阶段:第一个阶段为开户阶段,用户需要开通第三方支付平台的支付账户,该阶段的业务安全风险为开户人的身份仿冒;第二阶段为支付账户充值,用户可通过网上银行、预付卡等多种途径向第三方支付平台支付账户进行转账充值,该阶段面临的业务安全风险为跨系统间交易安全风险;第三个阶段为用户通过本地终端登录到第三方支付平台网上支付系统,该阶段面临的安全风险是用户的登录帐号口令等信息被截取,或公司系统业务被攻击后业务中断;第四个阶段为用户登录网上支付系统后的业务操作,包括查询、转账、支付等操作行为,该阶段主要面临的安全风险是交易信息被截取、篡改,造成用户资金损失等。
三、安全技术需求
在第三方支付不同业务操作环节中,所面临的主要安全攻击与威胁,包括威胁源、威胁对象、威胁途径等,以及相应的安全防护控制需求如下表所示:
业务
|
关键环节
|
面临的攻击
|
威胁对象
|
威胁途径
|
安全防护控制需求
|
开户
|
身份证信息
|
身份假冒
|
商户
|
冒充合法用户开通账户
|
从技术和管理制度上对开户人的真实身份进行有效验证
|
账户登录
|
1、访问门户网站
|
拒绝服务攻击
|
FW、WEB服务器等;
|
僵尸网络、半连接攻击等;
|
对异常流量进行监测、带宽管理、非法链接控制等;
|
SQL注入/跨站攻击
|
WEB应用服务器
|
构造非法字符
|
对SQL注入/跨站攻击行为进行检测并阻断;
|
网页篡改
|
WEB服务器
|
利用网站漏洞
|
监控网页篡改行为
|
蠕虫、病毒传播
|
WE应用及带宽
|
利用邮件、漏洞传播;
|
从网关层面对外部的蠕虫病毒进行检测与阻断;
|
2、页面跳转
|
SSL STRIP攻击
|
传输中的数据
|
利用漏洞进行的攻击
|
SSL全程加密通道
|
3、数据传输
|
数据信息篡改
|
传输中的数据
|
网络嗅探
|
SSL加密通道、端到端加密
|
转账
|
转出账户
|
账户信息篡改
|
账户信息篡改
|
本地木马程序
|
账户关联性检测、账户信息防篡改、端到端加密;
|
支付
|
网络支付
|
交易信息篡改
|
交易信息篡改
|
本地木马程序
|
身份认证、数字签名、端到端加密、转账交易限额;
|
四、网络架构设计
借鉴人民银行信息安全保障体系框架、安全域划分及“纵深防御”思想,充分参考金融行业相关管理办法、指引、技术标准、规范,以及IATF等国际标准规范,结合天融信在金融行业中多年的实践经验,第三方支付平台数据中心网络安全域划分可设计如下:
通过以上安全域的规划设计,从网络架构上为第三方支付平台数据中心建立起“垂直分层、水平分区”的多层次、可扩展的安全区域,并在此基础上部署相应的安全防护工具手段,构建相对独立的边界访问控制体系、攻击检测预警体系、行为审计跟踪体系、数据备份恢复体系等四大技术体系,涵盖了从事前、事中和事后,以及边界、终端接入、计算环境、基础设施等全方位安全防护的纵深防御技术体系。
五、安全产品部署
根据以上对第三方支付平台数据中心网络安全域划分与设计,第三方支付平台数据中心网络安全产品总体部署拓扑建议如下图所示:
部署说明:
1、互联网出口串联部署抗DOS、LLB、互联网接入FW;
2、DMZ区域部署WAF、SSL VPN、网页防篡改;
3、生产外联区部署FW;
4、核心交换区部署NIDS、漏洞扫描;
5、业务应用区部署FW、NIDS和行为审计设备,业务数据区部署FW、数据库审计设备;
6、安全运维区部署管理控制台、日志审计等;
六、方案应用价值
本方案即围绕第三方支付平台实际安全防护需求,结合行业监管要求,为行业用户提供整体安全技术保障措施,帮助行业用户增强网络与信息安全风险防御能力,促进业务安全、稳定运行,并满足行业监管合规要求。目前该方案已应用于现代金融控股、先锋金融集团、证联融通等新兴的第三方支付机构安全建设,也对互联网电子商务平台安全建设、运营商网上商城安全建设等具有较好的参考价值。