2018年金融科技助力支付安全.pdf

1、金融科技助力支付安全目錄電子支付安全研究背景電子支付安全研究體系電子支付安全研究成果電子支付安全研究背景電子支付網絡基本架構常見電子支付安全風險電子支付面臨新的安全挑戰電子支付網絡基本架構端云管銀聯后臺服務成員機構后臺其他業務機構后臺（如水電煤、移動繳費等）商戶側持卡人側專線有線InternetWiFi移動數據網絡傳統POS移動POSmPOS智能POS卡片手機非銀行支付機構電腦平板ATMVTM其他（藍牙、NFC等）常見電子支付安全風險APP安全云管端密碼算法與安全協議入侵檢測與防御軟件開發安全安全漏洞與惡意代碼身份識別與認證可信計算網絡安全數據安全系統安全Web安全病毒木馬漏洞開放系統的安全隱

2、患POS移機偽卡持卡人身份識別HTTPS釣魚WiFi偽基站社工攻擊內網滲透APT攻擊管理缺陷利用緩沖區溢出后門植入業務邏輯缺陷操作系統/中間件/數據庫缺陷不安全配置DDoSSQL注入XSSCSRF數據泄露隱私保護非法訪問逆向工程重打包生命周期管理失控中間人電子支付面臨新的安全挑戰云計算 所有權和控制權分離，傳統的豎井式隔離消失大數據 安全威脅與攻擊隱藏的更深移動互聯網“體驗為王”，產生新的信息安全洼地智能化 與人身安全、隱私密切相關安全事件新技術新業務外部攻擊新挑戰層出不窮全球 WannaCry勒索病毒肆虐韓國 近半數信用卡信息泄露國內某大型旅行服務公司 部分信用卡明文信息泄露數量 針對支付企

3、業的攻擊日漸增多特點 攻擊后獲利比較直接攻防對抗螺旋式上升“道高一尺、魔高一丈”的不斷博弈中木桶效應 一塊沒防住則滿盤皆輸電子支付安全研究體系電子支付安全研究模型安全研究平臺框架與部署方案研究方向電子支付安全研究模型社工攻擊內網滲透。管理缺陷利用偽基站中間人HTTPS攻擊XSS。CSRF不安全配置偽卡。硬件漏洞。安全研究平臺框架與部署方案Internet管理核心交換機業務核心交換機防火墻管理服務器管理終端反惡意軟件實驗區攻防實驗區檢測分析區算法研究區芯片安全實驗區硬件安全分析區安全研究平臺框架安全研究平臺部署方案研究方向方向說明檢測平臺為電子支付安全攻防技術研究提供基礎設施支撐密碼算法與協議為

4、電子支付安全攻防技術研究提供基本理論支持，包括國密算法、ECC/RSA密鑰長度評估、SSL協議最佳實踐、EMV/PCI標準等芯片/硬件安全研究IC卡側信道攻擊，下一代云加密機構架、TEE等移動支付安全深入探究手機操作系統的弱點、應用漏洞；對當前影響較大的短信驗證碼、病毒、偽基站等關鍵安全點，形成安全防護方案網絡安全完成常見網絡攻擊的種類梳理，并形成對應的防御方案；同時對新興的SDN安全、大數據安全分析等方向進行技術儲備和原型研究Web安全對SQL注入、XSS、CRSF、撞庫等Web攻擊進行深入研究，形成檢測和應對方案，同時對HTTP2.0等新協議進行預研威脅情報利用外部信息導入，進一步提升威脅

5、發現的準確性?；贏I的安全將人工智能技術應用在攻擊檢測等相關領域（如APT、釣魚網站、CC攻擊檢測等）新興方向預研當前主要集中在區塊鏈安全與物聯網安全等方向電子支付安全研究成果威脅情報情報庫網絡流量分析國密算法研究其他研究成果威脅情報情報庫數據源情報庫應用層API接口Web頁面應用/設備合作機構業務人員管理人員自動拉取選擇輸出人工查詢用戶管理系統管理原始數據預處理數據建模IP域名文件HashMACIMEIWiFi數據清洗數據整合數據評分代理IP分析模型交易風險評分模型惡意用戶畫像內部數據專業機構行業聯盟定時同步/更新（Proxy）日常運轉時的方式實時查詢（Proxy）本地庫未命中或數據過期時

6、批量導入（Offline）首次入庫或其他人工操作時風控系統安全設備防御系統機構2機構1聯盟2聯盟1網絡流量分析終端用戶網絡設備服務器集群網絡流量機器學習引擎流量基線模型攻擊特征模型異常流量特征威脅情報庫攻擊行為實時流量檢測國密算法研究算法分析安全是電子支付的核心，而算法是安全的基礎。國密算法是國家密碼局制定標準的一系列算法。其中包括了對稱加密算法、橢圓曲線非對稱加密算法、雜湊算法等。為響應國家“安全可控”的政策要求，推動金融機構信息安全的發展，我們進行了國密算法的研究。算法框架、算法流程、計算量分析實現優化分析對象 包括SM2/ECDSA/RSA/ECIES、SM3/SHA256、SM4/AES/3DES等算法，通過編寫C語言測試代碼，調用OpenSSL/GmSSL等開發包的相應接口，分別對各種算法進行性能測試。結果 國密算法的在實現時，優化較少優化方向 匯報優化是基礎且有效的優化方式；ECC曲線的選擇和快速算法對結果影響非常大；對稱加密如能獲得硬件加速支持將可取得較好的效果。SM2/ECDSA/RSA的簽名對比其他研究成果網絡安全攻防與態勢感知移動APP安全攻防物聯網安全認證人工智能在Web安全領域的應用我們還關心和研究這些可穿戴設備安全無線安全免密認證隱私保護ISO27001安全管理體系APT攻擊FIDO大數據安全軟件定義安全身份認證區塊鏈安全謝 謝！