2018年金融科技助力支付安全.pdf

《2018年金融科技助力支付安全.pdf》由会员分享，可在线阅读，更多相关《2018年金融科技助力支付安全.pdf（17页珍藏版）》请在三个皮匠报告上搜索。

1、金融科技助力支付安全目录电子支付安全研究背景电子支付安全研究体系电子支付安全研究成果电子支付安全研究背景电子支付网络基本架构常见电子支付安全风险电子支付面临新的安全挑战电子支付网络基本架构端云管银联后台服务成员机构后台其他业务机构后台（如水电煤、移动缴费等）商户侧持卡人侧专线有线InternetWiFi移动数据网络传统POS移动POSmPOS智能POS卡片手机非银行支付机构电脑平板ATMVTM其他（蓝牙、NFC等）常见电子支付安全风险APP安全云管端密码算法与安全协议入侵检测与防御软件开发安全安全漏洞与恶意代码身份识别与认证可信计算网络安全数据安全系统安全Web安全病毒木马漏洞开放系统的安全隐

2、患POS移机伪卡持卡人身份识别HTTPS钓鱼WiFi伪基站社工攻击内网渗透APT攻击管理缺陷利用缓冲区溢出后门植入业务逻辑缺陷操作系统/中间件/数据库缺陷不安全配置DDoSSQL注入XSSCSRF数据泄露隐私保护非法访问逆向工程重打包生命周期管理失控中间人电子支付面临新的安全挑战云计算 所有权和控制权分离，传统的竖井式隔离消失大数据 安全威胁与攻击隐藏的更深移动互联网“体验为王”，产生新的信息安全洼地智能化 与人身安全、隐私密切相关安全事件新技术新业务外部攻击新挑战层出不穷全球 WannaCry勒索病毒肆虐韩国 近半数信用卡信息泄露国内某大型旅行服务公司 部分信用卡明文信息泄露数量 针对支付企

3、业的攻击日渐增多特点 攻击后获利比较直接攻防对抗螺旋式上升“道高一尺、魔高一丈”的不断博弈中木桶效应 一块没防住则满盘皆输电子支付安全研究体系电子支付安全研究模型安全研究平台框架与部署方案研究方向电子支付安全研究模型社工攻击内网渗透。管理缺陷利用伪基站中间人HTTPS攻击XSS。CSRF不安全配置伪卡。硬件漏洞。安全研究平台框架与部署方案Internet管理核心交换机业务核心交换机防火墙管理服务器管理终端反恶意软件实验区攻防实验区检测分析区算法研究区芯片安全实验区硬件安全分析区安全研究平台框架安全研究平台部署方案研究方向方向说明检测平台为电子支付安全攻防技术研究提供基础设施支撑密码算法与协议为

4、电子支付安全攻防技术研究提供基本理论支持，包括国密算法、ECC/RSA密钥长度评估、SSL协议最佳实践、EMV/PCI标准等芯片/硬件安全研究IC卡侧信道攻击，下一代云加密机构架、TEE等移动支付安全深入探究手机操作系统的弱点、应用漏洞；对当前影响较大的短信验证码、病毒、伪基站等关键安全点，形成安全防护方案网络安全完成常见网络攻击的种类梳理，并形成对应的防御方案；同时对新兴的SDN安全、大数据安全分析等方向进行技术储备和原型研究Web安全对SQL注入、XSS、CRSF、撞库等Web攻击进行深入研究，形成检测和应对方案，同时对HTTP2.0等新协议进行预研威胁情报利用外部信息导入，进一步提升威胁

5、发现的准确性。基于AI的安全将人工智能技术应用在攻击检测等相关领域（如APT、钓鱼网站、CC攻击检测等）新兴方向预研当前主要集中在区块链安全与物联网安全等方向电子支付安全研究成果威胁情报情报库网络流量分析国密算法研究其他研究成果威胁情报情报库数据源情报库应用层API接口Web页面应用/设备合作机构业务人员管理人员自动拉取选择输出人工查询用户管理系统管理原始数据预处理数据建模IP域名文件HashMACIMEIWiFi数据清洗数据整合数据评分代理IP分析模型交易风险评分模型恶意用户画像内部数据专业机构行业联盟定时同步/更新（Proxy）日常运转时的方式实时查询（Proxy）本地库未命中或数据过期时

6、批量导入（Offline）首次入库或其他人工操作时风控系统安全设备防御系统机构2机构1联盟2联盟1网络流量分析终端用户网络设备服务器集群网络流量机器学习引擎流量基线模型攻击特征模型异常流量特征威胁情报库攻击行为实时流量检测国密算法研究算法分析安全是电子支付的核心，而算法是安全的基础。国密算法是国家密码局制定标准的一系列算法。其中包括了对称加密算法、椭圆曲线非对称加密算法、杂凑算法等。为响应国家“安全可控”的政策要求，推动金融机构信息安全的发展，我们进行了国密算法的研究。算法框