第三方支付业务系统安全风险分析及防范

现代商贸工业
第三方支付业务系统安全风险分析及防范
林威杨以仁
(广西支付通商务服务有限公司，广西南宁530012)
摘要：列举和分析系统网络安全性、主机及运维安全性、应用及数据安全性涉及的几个方面问题，结合实际的支付系统建设及运维工作经验，浅谈支付业务系统安全风险问题的若干解决思路。

关键词：第三方支付；安全风险；敏感信息；运维体系
中图分类号：F49 文献标识码：A doi:10. 19311/ki. 1672-3198. 2016. 20. 029
1引言
近年来，第三方支付行业获得快速发展，第H方交 易规模由2014年的23. 3万亿元上升至2015年的 31. 2万亿元，交易规模保持50%以上的年均增速。

尤 其是，非金融机构的支付服务園具有多样化、个性化等 特点，较好地满足了电子商务企业和个人的支付需求，因而获得了爆发性增长。

随着互联网技术在金融领域的广泛虛用，各种针 对第三方支付系统的新型安全威胁不断增多，各地爆 发的信息安全事件也成了社会舆论关注的焦点、热点。

央视“315晚会”已连续两年对个人信息安全事件进行曝光，提醒手机、个人电脑等信息终端设备的用户群体，应特別关注个人信息安全问题。

但是，仅仅通过提高信息终端本身的安全性以及提高用户的安全意识，还是远远不够的。

尤其是对于第三方支付行业，通过技术架构体系及安全运维体系来防范和控制支付业务平台的安全风险，才是从根本上解决信息安全风险问题的关键所在。

本文将通过列举和分析系统网络安全性、主机及 运维安全性、应用及数据安全性涉及的几个方面问题，结合实际的支付系统建设及运维工作经验，浅谈支付 业务系统安全风险问题的若于解决思路。

2系统网络安全性
2.1增强路由访问、子网划分控制
网络管理员在规划子网时设置的网段范围过广，V L A N划分预留了空闲的I P地址，在网络设备调试初 期使用测试V L A N、静态路由表并未删除或修改，以及 启用了 D H C P服务未及时关闭等等原因，均可导致黑 客或能直连设备的恶意者轻易获取该网络的合法地址，通过扫描工具进行嗅探，就可以获得整个系统网络的拓扑及各子网网段的信息，进而对网络进行入侵和破坏。

因此，要防范此类网络风险，就要做到合理进行网络规划与地址分配，及时关闭不需要的服务等。

2.2 进行IP—M A C地址绑定，合理分配QoS
很多网管仅仅在系统调试初期将设备的IP—M A C地址进行绑定，但是在后期运维工作中，I P地址 变更时往往没有相应更新静态地址列表，导致无法防止地址欺骗，使系统容易遭受A R P攻击因此，应注 意检查并及时更新IP—M A C地址。

网管应该根据业务重要等级来规划网络使用带宽及Q oS优先级别，这样就能在网络发生拥堵的情况下优先保障重要业务的运行。

Q o S配置与网络设备参数、带宽分配、业务流量及趋势的规划关系紧密，可通 过日常监控、审计报表及对业务高峰期预判来合理分配。

若是多运蕾商线路接入，应考虑使用负载均衡方案。

2.3加强网络访问控制中对应用层协议的过滤
网络映射目的地址分配随意，将本来可以点对点映射的地址开放了所有地址映射，会导致网络攻击风险的增加。

不少防火墙、路由器、交换机出厂设置默认开启了多个服务，如 http、ftp、telnet、SM T P、POP 等。

这些服务在系统运维中并非都需要开启，可根据实际情况在系统调试完成后及时关闭不必要的服务。

有的边界防火墙的web、ssh等配置后台默认暴露于互联网，黑客直接在浏览器输入该企业域名解析后的地址，就可以显示用户及密码登录界面。

若黑客使用穷举法破解超级管理员密码，或利用防火墙w eb管 理页面进行漏洞渗透而获得管理权限，都将导致系统面临巨大的安全威胁。

避免这种威胁的|种措施是，将需要映射的地址及内网访问的服务的控制粒度限制在端口级别。

若有 需要向互联网映射的风险端口（如80、8080、22)，必须 设置不对称映射，这样可降低恶意者发起的针对季定向地址的特定端口扫描的命中率。

2. 4部署入侵检测系统（IDS)及入侵防御系统（IPS)
一般功能的防火墙依靠传统防火墙的I P S模块、防病毒模块、W E B应用保护模块等防御网络风险，这 些模块功能实用性相对较低。

防御的针对性不全面，病毒特征库更新周期长，甚至在服务终止后根本无法更新等问题，可能会导致系统面临新病毒风险时，防火 墙不能及时保护业务系统。

随着网络渗透攻击技术的不断提高，传统防火墙技术已经无法应对一些安全威胁。

在这种情况下，ID S、IP S技术可以深度感知并检测数据流，对恶意报文 进行丢弃以阻断攻击，通过限流保护功能确保网络带宽资源的正常利用。

对于部署在转发路径上的IP S，可以根据预先设定 的安全策略，对报文进行深度检测（协议分析跟踪、特 征匹配、流量统计分析、事件关联分析等如果发现报文中隐藏网络攻击，可以根据该攻击的威胁级别采取相应处理力度的抵御措施：一种为向管理中心告警并丢弃该报文，另一种为切断应用会话并中止此次
现代商贸工业丨2016年第20期 I57 ►
品牌战略与电子商务
T C P连接。

在业务网络设计中，建议至少在以下区域部署IP S:办公网与外部网络的连接部位（入口/出口）；重要 服务器集群前端；办公网内部接入层。

至于其它区域，可以根据实际情况与重要程度部署IP Se
依照一定的安全策略，通过ID S对网络、系统的运 行状况进行监视，尽可能发现各种攻击企图、攻击行为 或者攻击结果，以保证网络系统资源的机密性、完整性 和可用性。

2.5接入区网络设备、核心业务区设备需要合理选型
如果接入E网络设备与核心业务区设备选择同一 品牌，则某个设备的漏洞缺陷一旦被黑客发现并利用后，全部设备的防御措施就有可能被迅速破解，黑客就 可以直接入侵核心业务区。

因此，接入区网络设备与核心业务区设备建议选择不同品牌的产品。

在相同品牌的主设备选型中，还应尽量订购不同生产批次的设备，以减少主设备出现漏洞性故障的情况下，同样批次的备用设备也出现同样故障的可能性。

在满足设备功能及性能要求的前提下，建议我国 的支付机构尽量选择国产品牌的网络及安全设备，以更好地保护业务信息安全，维护国家、客户及机构本身 的利益《
3主机及运维安全性
3.1应部署具备审计功能的堡垒主机并实现权限分离
特定的网络环境下，为了保障网络和数据不受来自外部和内部用户的入侵和破坏，堡垒主机运用各种技术手段实时收集和监控网络环境中每一个组成部分 的系统状态、安全事件、网络活动，以便集中报警、及时 处理及审计定责。

堡垒主机的用户管理及审计功能是 日常运维中的核心内容。

其中，审计功能能够对系统内重要的安全相关事件进行审计，如：用户标识与鉴别、自主访问控制的所有操作记录、重要用户行为、系统资源的异常使用等$
在堡垒主机的用户管理功能中，可以实现人员的权限分离、密码定期更新分配、密码复杂度要求等安全 策略。

一般情况下，堡垒主机的管理者岗位应是运维主管或审计员。

堡垒主机管理者应以最小化原则分配 各类角色的可访问设备列表，如网络管理员通过账号登录堡垒主机后，仅能维护网络设备，不能操作主机；同理，系统工程师仅能运维相关主机，不能维护网络设 备；数据库管理员则仅能查询、运维数据库。

，
若运维人员需要修改设备参数，则要缝过权限申请，获得运维主管及相关领导同意J S，可通过堡垒主机 授权进行修改。

信息安全审计员应对运维人员的操作 合规性进行审查，对操作进行备注及核_，并存档运维 操作记录。

3.2运维身份需要鉴别，并限制非授权地址登录堡垒 主机
设备运维登录操作应经过身份鉴别认证。

堡垒進 机的身份认证功能模块较为完善，且实现过程较为简单，使用范围相当广泛，因此建议启用堡垒主机的双因 素认证功能。

主流的双因素认证采用“密码十数字证书（USBkey)”的模式a此模式相对指纹认证、视网膜 认证等方式，实现的成本更低，实用性更强。

堡垒主机登录地址应局限在运维环境的局域网中。

运维主机不允许连接互联网，不可随意读写外部存储设备，禁止在运维主机上进行与运维无关的工作。

对于企业采取运维工作外包、需要通过互联网远程运维的情况，不建议直接将堡垒主机管理地址暴露于互联网上，建议先通过V P N连接至特定网段后，再登录 堡垒主机。

通过V P N上登录时间及登录账户的记录，可确定运维操作是否合法。

3.3应具备完善的漏洞扫描制度
运维部门需要制定定期漏洞扫描的周期及扫描的对象。

通过扫描结果可以获得被扫描主机的各方面详尽的信息。

其中包括主机的I P地址、操作系统类型及版本号、补丁号、网络主机的三大网络服务的信息描述，以及主机开放的所有网络服务、主机上存在的网络安全漏洞等等内容。

另外，扫描结果还根据漏洞的危害程度，对扫描出的漏洞分别进行分级标示0运维人 员需要对扫描结果进行及时评估，针对需要修复的漏洞制定相应的修复方案，絰过测试成功后再正式实施方案。

修复方案应该具备回退机制s对于无法修复或不建议修复的漏洞，应该加以备注并审核存档。

运维人员应及时关注中N国家漏洞库、乌云网等漏洞发布网站，以获取更多更新的风险漏洞信息及风险提示，及时更新、完善木机构的风险漏洞知识库。

4应用及数据安全性
4.1应对应用程序进行全面的测评
根据《非金融机构支付服务管理办法》的要求，应 当由具备相关资质的检测机构，按照《非金融机构支付业务设施技术认证规范》，对支付机构的支付业务处理系统、网络通信系统以及容纳上述系统的考用机房进行安全性检测a其中，通过对支付业务系统应用程序的功能、性能、安全性及风险监控等方面进行全面测评，可发现各种安全隐患，如S Q L注入、跨站脚本攻击、网络钓鱼、不安全的登录方式等。

这些安全漏洞如 果被不法分子所利用，就可对业务数据或用户的敏感信息进行非法窃取，将会给支付机构及其用户造成不可估量的损失a因此，通过检测提前发现安全隐患，整 改后就可以做到防患于未然。

4.2使用机制保护用户敏感信息
JR T0122 —2Q14I非金融机构支付业务设施技术要 求》中“6.4.4. 3. 2客户身份认证信息存储安全”中明确 要求应不允许保存非必须的客户认证信息（如银行 卡磁道信息或芯片信息、卡片验证码、卡片有效期、个 人识别码、银行卡交易密码、指纹、C V N、CVN2等敏感 信息)9应对客户的其他敏感信息，如卡号、户名、开户 手机、贷记卡有效期、电子邮箱等信息采取保护措施，防止未经授权擅自对个人信息进行查看、篡改、泄露和 破坏。

宜采用加密存储、部分屏蔽显示等技术。

”
软件加密时很多重要的信息（如用来做密码运算的密钥，或客户的PIN)都会在某时间清晰的出现于计算机的内存或磁盘上，而对计算机数据安全有一定研
i58 现代商贸工业丨2016年第20期
现代商贸工业
還训■■iWTihhniirnaio 中职生微信营销模式探索
杨洋
(惠州工程技术学校，广东惠州516023)
摘要：随着智能手机的快速发展，微信的普及度也越来越快，它对于网络营销具有积极的推动作用，也势不可挡地成为商家移动营销的必争之地。

微信营销具有成本低、形式丰富、上手容易、精准营销等特点，成为学生型商家的首选。

为此，探索在中职生中践行微信营销，从学生的微生活入手，既锻炼了学生的网络营销能力，又培养了他们的实际工作能力，这对引导学生从微商入手创业，有着重要的践行、推广意义。

关键词：微信营销；中职学生；微生活
中图分类号：F27 文献标识码：A
随着微信的诞生和火热，伴生而来的一种新型网络营销模式也被人广泛使用，这就是微信营销。

2016 年1月，CN N IC发布的《第37次互联网络发展状况统计报告1显示，在众多的移动营销推广方式中，微信营 销最受企业的欢迎，使用率达75. 微信朋友圈广告仅上线一年就对广告业做出了较大贡献，企业公众 号也成了商家产品营销过程中的标配。

有很多营销人 员在人流最密集的地方后台24小时运行微信p—个简 单的签名栏都很有可能变成移动的“黄金广告位”。

随着越来越多的学校也开通了本校的微信订阅号，使广大师生通过官方的众多栏目了解学校的基本情况、校园动态、招生咨询、学生活动等，微信也成为学 校和学生互动的新型交流模式。

随着中职学校中也诞 生越来越多的学生型微商，引导学生合理开展微信营销，把生存技能与学生学习、生活紧密相连，这也是创 业教育的一种创新。

doi：10. 19311/ki. 1672-3198. 2016. 20. 030
1微信营销及常见模式
1.1微信营销定义
2011年，腾讯公司推出一种有别于Q Q的新型即 时通讯工具—微信《相对于QQ，微信有三大创新点；一是二维码，它存储的新型更丰富，添加好友更容 易；二是实时语言发送，使不会输入法的人们也可以开展及时沟通；三是朋友圈，可以快速的向朋友推送自B 当前的生活状态。

就是基于这些创新，随后诞生的微 型营销模式至今已成为商家荇选网络营销工具。

微信营销蕞一种以微信为媒体的介质，通过一对 一的模式向用户提供有用的信息，再结合恰当的营销模式宣传和出售自身产品。

它最大的特点有三个：一 是送达率高，确保每个客户都可以收到商家信息；二是 互动性强，商家可以运用K动手段调动客户积极性;|是精准性营销，客户自主选择订阅信息，从而实现点对 点传播。

究的不法分子便有机会把这些资料读取、修改或删除，破坏系统的安全性。

硬件加密所有密码运算都在加密机内完成，在完整的加解密过程中，仅在硬件加密设备 内部出现密钥和P I N的明文，有效防止了密钥和PIN 的泄露，并且在受到非法攻击时，加密机内部保护的密 钥会自动销毁。

鉴于软件加密不能提供一种有效的机 制保护密钥和客户密码P I N的存储安全，国际银行卡 组织（V IS A、万事达）以及我国的银联组织均作出了在 金融系统中必须使用硬件加密设备的规定。

另外，支付机构的加密机应支持国家密码局认定的国产密码算法，能够实现商用密码算法的加密、解密 和认证等功能。

终端信息采集设备应该采取加密及认 证措施，业务系统应该采用第三方电乎签名或者自建的电子签名技术。

在实现这些加密技术后•，应当使用 抓包工具截取交易信息进行测试，检查交易报文是否有泄密风险。

4.3图形验证码功能模块应不断更新迭代
为了防止黑客对某一个特定注册用户用特定程序 暴力破解方式进行不断的登陆尝试，在登录界面加上验证码是现在很多网站通行的安全措施。

但是，在用 户输入错误的口令、错误的验证码而被要求重新输入时，验证码应该更新并采用字体变形、粘连、背景十扰 等新型技术，以防止自动化工具的识别穷举。

各种验证码技术的标准及方式各不相同。

一个防暴力破解验证码的评价标准是可以由计算机自动生成 验证问题，但是只有人类才能正确解答，破解程序无法 自动正确解答e但是，正所谓“道尚一尺，魔尚一丈”，随着屏幕图形识别技术、人工智能技术的不断发展及可能被黑客的非法滥用，现有的图形验证码技术将有可能被破解。

因此，信息终端所采用的图形验证码技术也应该及时更新迭代，甚至需要比业务系统版本迭代更快，验证过程也需更严谨。

5结束语
在技术架构体系与信息安全运维体系不断完善的同时，安全信息安全管理体系也应当不断推进。

信息 安全教育和培训仍是信息安全管理工作的重要基础。

例如，对新入职技术人员进行能力测试及背景调查，入 职后还需要定期进行信息安全培训及安全技术考核；此外，通过各种宣传、培训和教育等手段，不断提升支 付机构全体员工的信息安全意识，落实信息安全风险防范措施。

总之，既要使系统运维管理人员具备系统全生命周期、全功能概盖、全面质量管理的运维管理能力，又 要充分发挥全体员工乃至广大用户在信息安全管理中 的主观能动性，打造一支服务意识强、技术能力突出的 运维团队，建立起完善的信息安全管理体系，才能从整 体上提升第三方支付业务系统的安全风险防范能力&
现代商贸工业丨2016年第20期 J59 ►。