拉卡拉电签版
您当前的位置:主页 > 行业资讯 >

互联网支付中出现的多种典型审查问题

2020-01-23 来源:第三方支付技术与监督 作者:胡娟

  本文为第三方支付技术与监督,其中一章节,如需查看全文,请点击:《第三方支付技术与监督》全文

  (1)运维安全审查典型问题

  互联网支付业务部分支付机构系统在运维安全审查中存在的典型问题是:

  1)主机的管理员存在职责兼任的情况,部分支付机构没有实现有效的职责分离;
  2)部分支付机构网络设备和主要服务器监控记录、报警方式和报警等记录缺失或不完善;
  3)部分支付机构在实施变更管理时缺少实施记录,没有实施人员通告记录;
  4)部分支付机构未进行安全事件的分类和分级管理;
  5)未制定演练计划,未根据不同的应急恢复内容,确定演练的周期。

  在支付机构审查过程中其他常见问题还有:无设备操作规程文档和设备使用规范文档,未将设备选型、采购、发放等的相关设备安全管理流程形成制度文件。安全教育和培训缺少具体要求,培训无考核记录等。从支付设施运维的角度看主要是建议性问题居多,说明互联网支付机构在运维安全管理上相对都已经做了很多工作,若是相关工作能做得更精细就更完善了。

  (2)应用安全审查典型问题

  在审查中,互联网支付业务设施的典型问题主要在相关认证鉴别和资源管理方面。

  根据《非金融机构支付业务设施检测规范》的要求,支付机构的业务系统在公网提供用户登录、支付服务时,应采用第三方提供的数字证书,并使用经第三方检测机构出具检测报告的安全控件等要求。而部分支付机构的支付设施往往存在如下问题:

  1)部分支付机构的应用系统仅采用用户名+口令的方式进行身份鉴别,未对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别;
  2)面向公网的业务管理系统未使用第三方提供的数字证书,而内部未使用电子签名技术(非必需第三方提供);
  3)部分支付机构业务系统登录和支付未采用安全控件,或者无法提供第三方检测机构的检测报告;
  4)部分支付机构在会话管理上未采用会话超时终止机制,同一账户多重并发会话未进行限制。

  其他问题还有涉及无连续登录失败处理机制、密码有效期未做管理、Web页面缺少防篡改、防钓鱼措施等。互联网支付业务面对的网络环境相对比较复杂,支付设施面对的威胁繁多且更容易实施,支付设施自身的脆弱性更容易暴露。因此互联网上存在的所有安全攻击方式都可以施加到支付设施上,而支付设施自身的特点更容易使其成为目标,因此有效的认证鉴别机制。资源控制、Web页面防护等都是互联网系统最基本的安全防范措施。

扫码支付

图1 扫码支付

  (3)主机安全审查典型问题

  许多互联网支付业务设施的主机服务器采用类UNIX的系统非常普遍,部分支付机构基于以往的认识:类UNIX的系统相对Windows系统要更安全,往往会疏忽类UNIX系统防范软件的部署。随着类UNIX系统的应用越来越广泛,基于类UNIX环境的病毒、恶意软件和木马程序也逐渐增多,领域内的安全事件也不时发生,因此主机安全防范特别是类UNIX系统的主机防护软件的部署同样必不可少。由于类UNIX系统的防护软件相对于Windows系统较少,部分支付机构虽然部署了相应的主机防护系统,但相应的引擎软件或特征库等没有及时更新,系统的安全性无法得到及时有效的安全防护,给系统造成极大的安全风险。

  除了主机防护软件的部署问题外,互联网支付业务设施在审查过程中发现的典型问题还包括:

  1)服务器系统或数据库系统未采用两种以上组合的鉴别技术进行身份鉴别;
  2)服务器系统和数据库系统未开启审计功能;
  3)部分支付机构支付设施操作系统日志本地存放,未提交日志服务器;
  4)部分支付机构对系统日志和操作日志未进行定期分析,或缺少相关报告;
  5)部分支付机构的服务器系统和数据库系统未及时安装补丁程序,造成漏洞扫描测试无法通过;
  6)其他问题如root用户未禁止、没有对重要程序进行完整性校验等。

  (4)数据安全审查典型问题

  在互联网支付业务设施审查中,常见问题主要集中在交易数据以及客户数据的安全性方面,具体表现在:

  1)鉴别信息和重要业务数据未进行加密传输,重要数据没有建立访问控制的管理制度且无访问记录;
  2)无实时在线的存储备份设备、无异地备份机房和设备或者备份机制未建立;
  3)无定期备份恢复验证机制,例如部分支付机构只有在商户需要或在搭建新的测试环境时才恢复备份数据进行验证,还有的问题表现在备份和恢复流程没有形成相应较具体的操作手册。

  审查中数据安全相关的问题还有部分支付机构在系统中保存了用户信用卡CNV2等信息。

网上支付

图2 网上支付

  (5)网络安全审查典型问题

  网络安全是互联网支付业务设施安全性最重要的内容,在非金融机构认证审查中,网络安全的典型问题主要涉及以下几个方面:

  1)在部分支付机构业务系统中,网络设备未采用两种以上组合的鉴别技术来进行身份鉴别;
  2)对网络设备的访问,例如路由器和交换机等,采用Telnet这样不安全的方式进行远程管理,也没有对失败的登录次数进行限制;
  3)部分支付机构业务网络未配置QoS保证策略以实现带宽优先级分配;
  4)业务系统网络未设置网络最大流量数,或者没有对业务并发连接数进行限制;
  5)未进行网络安全域的划分或者访问控制策略不完善,部分支付机构的网络拓扑图未更新,访问控制粒度没有达到端口级;
  6)网络设备未实施权限分离,例如部分维护人员一人身兼多职,未形成权限的约束等。

  (6)业务连续性审查典型问题

  互联网支付业务设施在业务连续性上存在如下两个方面的问题。

  第一,备份与恢复管理方面的问题,包括:

  1)不符合定期恢复验证的要求,例如部分支付机构只有在商户需要或在搭建新的测试环境时才进行备份数据恢复验证;
  2)部分支付机构无法提供备份记录和定期恢复测试记录;
  3)未提供数据备份和恢复手册,数据库的备份和恢复缺乏规范的操作步骤;
  4)未制定明确的灾难恢复时间和恢复点目标。

  第二,日常维护方面的问题,包括:

  1)业务连续性缺少演练记录;
  2)相关人员的培训缺乏周期性培训要求。