计世网

支付安全:自适应才是未来方向
作者:刘沙 | 来源:计算机世界
2018-11-12
面对大量的数据、不能间断的网络和400多个几乎每天都有更新迭代的应用,易宝支付采取的是体系化的全面防护。

 

  “现在,每购买10张远程机票,就有8到9张是通过第三方支付公司提供支付服务的,而其中3张以上都由易宝支付提供的。”这是一件让很多易宝人倍感自豪的事情。

  提起易宝支付,可能你会觉得陌生,但也可能你就是他们间接服务过的客户。

  第三方支付兴起

  2000年左右,以银联为代表的第三方支付开始在国内兴起。2003年,支付宝、易宝支付等第三方支付企业如雨后春笋般涌现。随着互联网浪潮席卷各行各业,智能手机日益普及,电子商务、网络游戏、付费视听等线上消费模式逐步延伸到移动端,移动支付应运而生。到了2016年,我国已成为全球最大的移动支付市场,全年总交易额达到38.6万亿元人民币,比2015年增长了200%。


  成立于2003年的易宝支付见证并参与了我国第三方支付蓬勃发展的历程,并开创了行业支付的模式,为航空旅游、教育、电信、保险、新零售、消费金融、互金、跨境等众多行业提供量身定制的行业解决方案,帮助行业客户提升直销和金融增值等能力。

  15年来,易宝支付服务的商家已经超过100万,包括百度、京东、360、中国联通、中国电信、中国国际航空公司、中国南方航空公司、携程网、途牛旅游网、中国人民财产保险、阳光保险等知名企业。

  该如何保护支付安全?

  显而易见,从现金支付到银行卡支付,再到互联网支付和移动支付,支付领域变革的脚步从未停止,但是支付安全的问题却始终如影随形。

  涉及重大利益的金融数据一直是安全问题的焦点。作为金融服务的载体,数据不仅是金融企业经营管理的重要资产,还关系到用户的财产安全、生命安全和社会稳定。

  据第三方平台在2017年对国内数百家金融企业的安全情况统计,有18%的金融企业受到过92个安全漏洞的影响,44%的金融企业遭受过7,759次DDOS拒绝服务攻击,损失难以计数。

  易宝支付CTO陈斌告诉记者,与To C支付交易相比,To B支付交易的实现门槛更高,业务逻辑更复杂,交易额度更大,与此相应,面临的安全风险也会更多。
 

  众所周知,传统金融企业的安全体系大多是基于“边界防护”,通过构筑一道“城墙”来隔离威胁,在边界端或者流量端进行防御。

  然而,道高一尺,魔高一丈,黑客的攻击手段越来越出其不意,加上企业自身的业务形态越来越复杂、环境越来越开放,仅靠防御已经不能有效解决金融企业的安全问题。那么,到底该建立什么样的安全体系,才能让数据得到有效保护呢?

  陈斌指出,现在金融企业的数据量越来越多,环境变化越来越快,要求企业必须快速做出反应,因为除了数据安全问题,金融企业还常常会面临欺诈的威胁。比如某一天突然比平时增加了110万笔交易,我们就必须在20毫秒内做出反应,判断出这笔交易能不能做,对应的卡是真的还是假的。在这种大并发的情况下,仅靠人工是处理不过来的,如果系统也反应不过来,让交易通过了,那么钱就没了。所以,基于人工智能和大数据的快速反应和自适应的做法才是未来安全的方向。

  智能化的自适应安全体系

  世界上没有完全没有风险的地方!陈斌强调,现在大家做信息安全保护措施时,已经不能像过去那样简单地做个策略,而是应该根据变化自己采取反应。就好像你动一下,我就自动地打你一下。我们内部叫智能化的安全防护,不需要传统的手工部署,而是要根据外面的情况变化,自动化地适应外面的安全态势变化。

  面对大量的数据、不能间断的网络和400多个几乎每天都有更新迭代的应用,易宝支付采取的是体系化的全面防护,除了在防护体系上贯彻信息安全理念,进行流程规范,还将资产进行分级,对数据进行全栈加密,在技术层面则与青藤云安全进行合作,量身打造了一套自适应安全架构体系。

  作为面向下一代的安全体系,“自适应安全”以持续监控和分析为核心,覆盖了防御、监控、响应、预测四个维度的安全架构,可自适应于不同基础架构和业务变化,形成统一的安全策略,帮助企业持续动态地监控自身安全,并加强快速分析和响应能力,有效地发现攻击者,并阻断其行为,将风险降至最低。

  据了解,青藤云安全的“自适应安全平台”是以服务器安全为核心,构建基于主机端的安全态势感知平台。通过部署三类轻量级Agent--内部分析模块、面向网络的构建模块,以及第三方的监控模块,可以帮助企业实现“资产清点、风险分析、入侵检测”三大核心功能。

  谈到应用效果时,陈斌告诉记者,青藤云安全是态势感知一个重要的数据来源,能为态势感知提供非常底层的数据。“因为传统的IPS都是在网络层,只能看到一层数据,看不到更底层的数据,而青藤在HIDS、主机方面是很好的入口,可以为我们判断是否有攻击提供很全的数据来源。我们可以完整的知道一个请求从外面应用处理,到数据库存储,再到底层,究竟做了什么事情,把这些全链条展现出来。”

  陈斌还表示,现在做全面防护一定是从每个环节做起,在主机层这个环节上要特别加固,而青藤云安全的出现刚好填补了这个空白。

  据悉,目前易宝支付的信息安全等级保护已经达到了国家三级标准,并覆盖PCI和ISO 27001。除此之外,易宝支付的企业内部还设有安全审计措施,不仅信息安全部门会对公司的各种产品进行审计,由易宝支付CEO直属的审计部门也会对信息安全部进行审计,整个安全体系环环相扣。

  最后,陈斌总结道,在未来,随着信息技术进一步发展,支付可能更多是基于个人真实的生物特征进行的,例如刷脸支付、刷指纹支付等等,这种支付的安全情况更复杂,这就要求我们的安全解决方案要更加自动化、智能化。
 

责任编辑:刘沙