您现在的位置:融合网首页 > 物联网 > 应用 >

atsec高向东:移动支付需关注持卡人数据加密

来源:和讯科技 作者:佚名 责任编辑:admin 发表时间:2011-11-30 17:08 
核心提示:前不久PCR标委会成立了一个全球的支付卡数据安全保护的组织,他发布了这样一些统计数据,对移动应用在很大程度上高达90%的比例威胁的来源是来自于外部的,具体来看,这些外部的来源到底来自于哪方面的威胁呢?

11月29日-30日,2011中国移动支付产业年会在北京举行。在30日的演讲中,多位嘉宾作出了精彩的发言。atsec高级咨询顾问高向东作了以移动支付安全为主题的演讲。

以下为演讲实录:

在座的各位嘉宾大家上午好!我是来自atsec的高向东,非常高兴有这个机会与在座各位一块就《支付安全合规趋势和经验分享》展开探,非常荣幸有这个机会。今天给大家汇报的内容主要包括两个方面:第一,在过去的2011年年我们都发生了哪些安全事件?作为移动支付在安全合规方面有哪些趋势?第二,对于atsec涉及支付安全以及它相关的标准,在合规过程中一些经验的积累,也想跟各位展开探讨。

前不久PCR标委会成立了一个全球的支付卡数据安全保护的组织,他发布了这样一些统计数据,对移动应用在很大程度上高达90%的比例威胁的来源是来自于外部的,具体来看,这些外部的来源到底来自于哪方面的威胁呢?最大的一个威胁是对黑客的入侵行为,这个占的比例大概是50%的样子。可能大家有印象,在今年夏天全球一个事件,索尼在今年夏天它的服务器系统遭受了多次攻击,并且造成了至少100万条SIM卡数据的丢失,对整个索尼的品牌也产生了非常大的影响,这是黑客攻击方面今年非常典型的一个事件。第二是恶意软件的渗透和恶意行为,今年很多提供公开邮件的服务系统,像雅虎等等很多邮件系统,在用户登录以后所出现的一些漏洞,这些都跟恶意软件有很大关系。另外对物理入侵方面的问题也占很大比例。

整体来看,对于支付安全过程中如何来保证整个过程的安全至关重要。对于这个标准,这个地方提到了一个PCIDSS标准,这个标准目前在全球是唯一的相关标准。这个标准目前也广泛的适用于,尤其在涉及持卡人数据交易过程中。从来自PCI标委会的数据显示,在卡的比例里还有一些处于非合规状态。atsec早在五年前就作为PCIDSS国际服务测评机构,今年最近atsec作为中国一个独立实体,获得了PCIDSS授权,atsec也希望与在座各位同仁一道共同提升移动支付的安全性。

总结起来看,移动支付涉及的安全问题,之前各位也提到了很多,一提到安全大家都会认为安全的问题很多,也不知道如何下手。统计数据显示,绝大多数安全问题都可以通过低成本形式来展开,那么到底有什么办法来比较好的提高安全性?特别是大家提到的网上营业厅、网上银行等等业务的迅猛发展,到底有什么办法可以有效的提高安全性?

我们也做了一些总结:首先,对提供的应用,特别是进您来看,对于来自外部的威胁,黑客已经从对传统的服务器进行攻击,而转到了针对应用的攻击,那么如何做好应用安全防护?首先黑客可能会有一个帐号,比如说我在一个网站注册一个帐号,这时候对这个帐号来讲就会有相应的权限,那么这时候对帐号管理来讲就提出了很多要求,比如对帐号默认权限的更改和定期对帐号的检查,这是非常必要的。除此之外,对应用本身的加固,比如对应用使用过程中行为的过滤,这是两个重要的保护点。很多时候是我们自主开发的应用,在应用功能实现过程中如何保证它的安全?在开发过程中我们更好的使用双人审核的方式,测试过程中使用安全的测试方法,对应用进行审核。包括来过滤用户输入的参数和输入的数值,对于日常工作过程中的监控以及管理,这对安全管理也至关重要。

以上谈到的这些是关于过去一年中的一些发展趋势,从涉及支付产业的标准PCIDSS的标准,从2011年12月31号将面临一个新的V2.0标准替代V1.0版本,在这里也想回顾一下对移动支付的安全标准的一些变化,从变化当中我们或许能有一些体会。首先这个变化来自于两个方面,除了本身对标准的一些要求,比如对发卡行的一些要求更细化以外,更多的情况是对标准所涉及的要求顺延的趋势。比如对网络通信的保护和无线的检查,这要求整体是趋延的。对应用包括对应用的保护、对应用的管理,在数据层面也提出了加密算法,刚才也有提到了这方面的要求,以及对位置的管理。

atsec我们也是持续关注于新标准的变化,大家感兴趣可以沟通来交流。新标准的另外一个变化,对更多行业标准与实践的参与与借鉴,总体来看,随着支付应用的迅猛发展,对支付应用本身的安全性也越来越被视为关键点,对这个标准变化除了提更多要求,来应对日趋复杂的威胁,并且也会通过联合的方式,互相之间联合、互相之间借鉴的方式,来建立安全管理和安全方面的实践。(责任编辑:admin)

  • “扫一扫”关注融合网微信号

免责声明:我方仅为合法的第三方企业注册用户所发布的内容提供存储空间,融合网不对其发布的内容提供任何形式的保证:不保证内容满足您的要求,不保证融合网的服务不会中断。因网络状况、通讯线路、第三方网站或管理部门的要求等任何原因而导致您不能正常使用融合网,融合网不承担任何法律责任。

第三方企业注册用户在融合网发布的内容(包含但不限于融合网目前各产品功能里的内容)仅表明其第三方企业注册用户的立场和观点,并不代表融合网的立场或观点。相关各方及作者发布此信息的目的在于传播、分享更多信息,并不代表本网站的观点和立场,更与本站立场无关。相关各方及作者在我方平台上发表、发布的所有资料、言论等仅代表其作者个人观点,与本网站立场无关,不对您构成任何投资、交易等方面的建议。用户应基于自己的独立判断,自行决定并承担相应风险。

根据相关协议内容,第三方企业注册用户已知悉自身作为内容的发布者,需自行对所发表内容(如,字体、图片、文章内容等)负责,因所发表内容(如,字体、图片、文章内容等)等所引发的一切纠纷均由该内容的发布者(即,第三方企业注册用户)承担全部法律及连带责任。融合网不承担任何法律及连带责任。

第三方企业注册用户在融合网相关栏目上所发布的涉嫌侵犯他人知识产权或其他合法权益的内容(如,字体、图片、文章内容等),经相关版权方、权利方等提供初步证据,融合网有权先行予以删除,并保留移交司法机关查处的权利。参照相应司法机关的查处结果,融合网对于第三方企业用户所发布内容的处置具有最终决定权。

个人或单位如认为第三方企业注册用户在融合网上发布的内容(如,字体、图片、文章内容等)存在侵犯自身合法权益的,应准备好具有法律效应的证明材料,及时与融合网取得联系,以便融合网及时协调第三方企业注册用户并迅速做出相应处理工作。

融合网联系方式:(一)、电话:(010)57722280;(二)、电子邮箱:2029555353@qq.com dwrh@dwrh.net

对免责声明的解释、修改及更新权均属于融合网所有。

今日头条

更多>>

热门关键字

关于我们 - 融合文化 - 媒体报道 - 在线咨询 - 网站地图 - TAG标签 - 联系我们
Copyright © 2010-2020 融合网|DWRH.net 版权所有 联系邮箱:dwrh@dwrh.net 京公网安备 11011202002094号 京ICP备11014553号