在金融科技如火如荼发展的当下,支付行业正在积极通过数字化、智能化手段,如密码验证、声纹验证、指纹验证、刷脸验证、二维码支付等技术,致力建立一套以数字化支付和减少现金使用为目标的生态系统,提升客户体验。 但新技术的应用,支付场景更加丰富、支付方式更高效更便捷的同时,由互联网的开放性和共享特征,以及信息系统自身安全漏洞等因素,所导致的个人信息和其他支付类敏感数据泄露事件接踵而至,意外数据泄漏和被非法盗取等隐患倍增。
支付系统是国家金融体系的重要组成部分,与公共交通、水电煤行业一样属于关键信息基础设施,近年来,《非金融机构支付管理办法》、《中国人民银行关于加强支付结算管理防范电信网络新型违法犯罪有关事项的通知》等一系列行业法规、标准相继出台,对数据安全和个人信息安全提出具体要求。
落实各项法规和监管政策要求,构建全生命周期的数据安全防护体系已刻不容缓。
01 支付行业需解决的数据安全问题
▐ 问题1: 支付意愿和动作是否真实可信在支付过程中,支付人、商户、货币、数据内容、支付动作是否真实可信,是否存在篡改、伪造的行为。
▐ 问题2: 业务逻辑和支付风控为什么支付业务已经通过了风控模型的规则校验,但还是出现了数据泄露、失真、不当使用等问题?
▐ 问题3:支付系统和网络安全可靠网络支付系统天然是否存在未被发现的漏洞缺陷和没有及时修补的漏洞。
▐ 问题4: 内部人员身份合法操作合规是否存在人员权限过大,高危操作未经临时授权、高危账号无管控,未经授权或者未按规定程序查询、获取使用个人信息的问题?
02 美创科技支付行业数据安全解决方案
支付行业面临的上述安全问题,需要统一增强安全防护能力,促进支付行业平稳、有序发展。对此,美创科技基于新安全架构,以数据为保护目标,从资产、入侵、风险三个视角,构建数据安全能力池,实现对支付行业全方位的数据安全保障。
安全能力一:支付业务逻辑安全
场景分析:1)业务上线但风控模块未上线,导致某银行***可无限提额 ;2)某业务已通过风控但由于指令修改导致异常;3)越权操作;
解决方案: 美创科技将支付操作定义为资产,然后定义边界,设置访问控制和内部成员关系。通过在数据库服务器与应用服务器间部署数据库防火墙,帮助用户及时发现针对数据库的各类攻击行为和安全隐患,包括利用数据库漏洞进行攻击、利用应用程序进行SQL输入攻击等,有效保障数据库及核心数据安全。同时,灵活、便利的策略定制可提升对于数据库访问的可控度。
安全能力二:支付机构人员的安全
场景分析:1)操作系统/数据库层面的高危或非法操作。2)无交叉授权机制,高危操作未经临时授权。3)超级数据库用户、超级权限的管理。
解决方案:部署数据库防水坝,通过多因素认证、多维度的权限控制和细粒度的资产授权管理,拦截“数据库”级别的高危险操作,拦截“数据对象”级别的高危险操作,防范数据交易和数据泄露事件发生。
安全能力三:恶意病毒防范
场景分析:1.传统杀毒软件本地病毒特征库有限,隔离网络中检测能力有限;2.在一定程度上存在误杀误报的现象;3.病毒特征库更新跟不上已知病毒样本的变异速度;4.新病毒的检测查杀呈现被动、后知后觉的特点;5.病毒文件隔离处置措施较为单一;
解决方案:美创诺亚防勒索系统基于零信任理念,打破传统杀毒软件基于黑名单(病毒库来防护和查杀)机制,采用独特的底层白名单技术,确保只有被允许的合法操作才能执行,一切未被允许的操作都被禁止,避免勒索病毒对文件的加密和修改,从而有效防范已知、未知的勒索病毒变种。
安全能力四:数据流动安全
场景分析:1)支付数据受威胁攻击常发生于数据在公司与金融机构或支付处理机构的传递过程中。2)开发/测试、分析/挖掘、提取/上报等场景存在数据泄漏风险。
解决方案:美创科技基于以脱敏、加密和水印技术为核心的源端安全控制办法,对敏感数据按需进行漂白、变形、遮盖等处理,避免敏感信息泄露。同时又能保证脱敏后的输出数据能够保持数据的一致性和业务的关联性。
安全能力五:应用合规安全 利用美创业务安全监测系统分析记录访问应用的IP信息、访客信息、归属地信息、流量信息、死链接和状态码统计、浏览器信息、登陆信息、操作信息形成多维度的行为记录展现。 实时发现业务僵尸账号、账号复用、账号权限、账号密码明文、账号密码暴力破解、账号登录验证码绕行等安全威胁监测。
安全能力六:业务合规安全
场景分析:1)合法:保证所有流程和操作行为都是合乎国家法律法规的,没有欺诈、信息泄露、腐败等违法行为。2)合规:所有操作流程及行为都要符合行业规范和企业规范,不能有任何违规越权、欺骗行为。3)合理:游离于合法和合规之外,还没有形成法律或行业规范的行为。比如帮朋友查些内部信息、以测试的名义干预业务运行等。
解决方案:美创业务安全监测系统是一款集业务梳理、业务建模、异常行为告警、敏感信息深度检测、实时告警及违规行为回溯的智能化监测系统,可实时监测分析业务数据,发现违规事件实时告警相关人员,便于及时控制事件影响,消除隐患。
安全能力七:漏洞扫描
美创数据库漏洞扫描工具,对数据库中存在的各种漏洞问题,包括SQL注入漏洞、权限绕过漏洞、缓冲区溢出漏洞、访问控制漏洞、拒绝服务漏洞等进行检测,在数据库受到危害之前为管理员提供专业、有效的安全分析和修补建议,解决存在的数据库漏洞问题。
安全能力八:数据底线防御
场景分析:删库跑路等意外事件频频发生,不仅对企业正常生产运行带来影响,关键数据的丢失更会对企业造成巨大损失。
解决方案:美创DBRA灾备解决方案,帮助用户做好数据的备份和业务应用的连续性保护工作,实现数据安全的底线防御。美创DBRA灾备解决方案以灾难完整性和容灾可用性为出发点,适应各类平台和各种场景,最大限度地满足容灾系统RPO、RTO需求,同时所具备的活动站点等亮点功能极大提升产品价值,保护用户投资、降低TCO。
安全能力九:数据安全统一管理
场景分析:当前,很多用户部署了各种数据安全产品,但由于每个系统的安全能力是独立的,整体方案是割裂的,缺少全局可视化能力,难以把握整体安全态势进行安全决策分析。
解决方案:美创数据安全统一管理中心集成包括运维安全、数据库安全、流动数据安全、存储安全等各类敏感数据保护所需的系统,通过帮助用户将各类安全系统进行统一管理、统一运营,达到提升整体安全水平的目的,让安全管理更智能、更便捷。
来源:freebuf.com 2020-06-19 17:27:16 by: datasecurity
请登录后发表评论
注册