atsec高向东：移动支付需关注持卡人数据加密

11月29日-30日，2011中国移动支付产业年会在北京举行。在30日的演讲中，多位嘉宾作出了精彩的发言。atsec高级咨询顾问高向东作了以移动支付安全为主题的演讲。

以下为演讲实录：

在座的各位嘉宾大家上午好！我是来自atsec的高向东，非常高兴有这个机会与在座各位一块就《支付安全合规趋势和经验分享》展开探，非常荣幸有这个机会。今天给大家汇报的内容主要包括两个方面：第一，在过去的2011年年我们都发生了哪些安全事件？作为移动支付在安全合规方面有哪些趋势？第二，对于atsec涉及支付安全以及它相关的标准，在合规过程中一些经验的积累，也想跟各位展开探讨。

前不久PCR标委会成立了一个全球的支付卡数据安全保护的组织，他发布了这样一些统计数据，对移动应用在很大程度上高达90%的比例威胁的来源是来自于外部的，具体来看，这些外部的来源到底来自于哪方面的威胁呢？最大的一个威胁是对黑客的入侵行为，这个占的比例大概是50%的样子。可能大家有印象，在今年夏天全球一个事件，索尼在今年夏天它的服务器系统遭受了多次攻击，并且造成了至少100万条SIM卡数据的丢失，对整个索尼的品牌也产生了非常大的影响，这是黑客攻击方面今年非常典型的一个事件。第二是恶意软件的渗透和恶意行为，今年很多提供公开邮件的服务系统，像雅虎等等很多邮件系统，在用户登录以后所出现的一些漏洞，这些都跟恶意软件有很大关系。另外对物理入侵方面的问题也占很大比例。

整体来看，对于支付安全过程中如何来保证整个过程的安全至关重要。对于这个标准，这个地方提到了一个PCIDSS标准，这个标准目前在全球是唯一的相关标准。这个标准目前也广泛的适用于，尤其在涉及持卡人数据交易过程中。从来自PCI标委会的数据显示，在卡的比例里还有一些处于非合规状态。atsec早在五年前就作为PCIDSS国际服务测评机构，今年最近atsec作为中国一个独立实体，获得了PCIDSS授权，atsec也希望与在座各位同仁一道共同提升移动支付的安全性。

总结起来看，移动支付涉及的安全问题，之前各位也提到了很多，一提到安全大家都会认为安全的问题很多，也不知道如何下手。统计数据显示，绝大多数安全问题都可以通过低成本形式来展开，那么到底有什么办法来比较好的提高安全性？特别是大家提到的网上营业厅、网上银行等等业务的迅猛发展，到底有什么办法可以有效的提高安全性？

我们也做了一些总结：首先，对提供的应用，特别是进您来看，对于来自外部的威胁，黑客已经从对传统的服务器进行攻击，而转到了针对应用的攻击，那么如何做好应用安全防护？首先黑客可能会有一个帐号，比如说我在一个网站注册一个帐号，这时候对这个帐号来讲就会有相应的权限，那么这时候对帐号管理来讲就提出了很多要求，比如对帐号默认权限的更改和定期对帐号的检查，这是非常必要的。除此之外，对应用本身的加固，比如对应用使用过程中行为的过滤，这是两个重要的保护点。很多时候是我们自主开发的应用，在应用功能实现过程中如何保证它的安全？在开发过程中我们更好的使用双人审核的方式，测试过程中使用安全的测试方法，对应用进行审核。包括来过滤用户输入的参数和输入的数值，对于日常工作过程中的监控以及管理，这对安全管理也至关重要。

以上谈到的这些是关于过去一年中的一些发展趋势，从涉及支付产业的标准PCIDSS的标准，从2011年12月31号将面临一个新的V2.0标准替代V1.0版本，在这里也想回顾一下对移动支付的安全标准的一些变化，从变化当中我们或许能有一些体会。首先这个变化来自于两个方面，除了本身对标准的一些要求，比如对发卡行的一些要求更细化以外，更多的情况是对标准所涉及的要求顺延的趋势。比如对网络通信的保护和无线的检查，这要求整体是趋延的。对应用包括对应用的保护、对应用的管理，在数据层面也提出了加密算法，刚才也有提到了这方面的要求，以及对位置的管理。

atsec我们也是持续关注于新标准的变化，大家感兴趣可以沟通来交流。新标准的另外一个变化，对更多行业标准与实践的参与与借鉴，总体来看，随着支付应用的迅猛发展，对支付应用本身的安全性也越来越被视为关键点，对这个标准变化除了提更多要求，来应对日趋复杂的威胁，并且也会通过联合的方式，互相之间联合、互相之间借鉴的方式，来建立安全管理和安全方面的实践。(责任编辑：admin)