企业级互联网支付领域的先行者易宝支付的安全观
作者:星期二, 十一月 13, 20180

在互联网支付领域有这样一家企业,它是中国行业支付的先行者,2006年首创行业支付模式,先后为航空旅游、教育、电信、保险、新零售、消费金融、互金、跨境等众多行业提供了量身定制的行业解决方案。移动支付产品有“一键支付”、“O2O掌柜通”、“华为钱包”等,并于2016年,成为首批苹果公司认证通过的安全支付服务提供商。

成立15年来,易宝支付服务的商家超过100万,其中包括百度、京东、360、完美世界、中国联通、中国电信、中国国际航空公司、中国南方航空公司、中国东方航空公司、携程网、途牛旅游网、中国人民财产保险、阳光保险、掌合天下等,并长期与中国工商银行、中国农业银行、中国银行、中国建设银行、中国银联等近百家金融机构保持战略合作关系。

前不久,易宝支付(YeePay.com)CTO陈斌 接收了媒体采访,从安全行业用户的角度交流了他们的安全观。

人物介绍:

陈斌,现任易宝集团首席技术官(CTO)。专注于互联网技术领域的探索和创新,拥有丰富的海外经历、多年的架构经验,深谙移动互联网对传统行业的影响。曾就职于新加坡航空公司、日立美国、Abacus、Nokia美国、eBay/Paypal等知名公司。作为业界最前沿技术的实践者和布道者,致力于推动移动互联网技术引领行业变革,译著《架构即未来》已于2016年5月上市,当月荣登京东新书销售榜第一名,并获中央电视台隆重推介。

一、Total Defense 完全防护

记者:互联网支付之于安全的行业特点是什么?公司在防御体系上的安全理念是怎样的,比如以数据、应用、网络哪个为主?

陈斌:支付行业大致可分为三种,C2C、C2B和B2B,每年的交易额能达到2000万亿之多,B2B的交易额占到整个行业的50%。易宝支付做的就是B2B,它的特点是什么呢?就是交付的流程逻辑比较复杂,不是C2C和C2B,账一划或码一扫就完事了。机构之间的交易,环节多、层次多、业务流程多、参与方多,交易额也十分巨大,B2B支付的门槛非常高。

因此除了基本的安全风险以外,支付行业还要有一个特别的地方,就是欺诈。我们一年做2万亿笔交易,针对每一次交易行为,安全措施必须在20毫秒内做出反应,判断它是正常的交易还是欺诈。所以要说这个行业的特点,那就是大并发量、海量大数据,快速变化的情况下的快速响应能力。我们的安全团队不仅要及时发现各种漏洞,感知态势,做好各种防护措施,还要不断的测试、演练,预判未来可能的风险所在。

至于安全理念,公司内部有一个“Total Defense”的概念。围绕着数据,有一整套的安全规范流程,来做数据的存储、处理和请求。围绕应用,从安全开发到自动化测试、黑盒白盒审计,发现问题随时进行更新迭代,DevOps。而网络更是重要保护对象,可以想象如果被DDoS,一秒钟能损失多少笔交易。因此,我们不特别的强调以什么为中心,而是讲整体的或是完全的防护。

记者:要做到“Total Defense”需要具备什么关键条件吗?

陈斌:我本人在美国也做过一段安全,包括防火墙、抗DDoS、反渗透,以及综合的信息安全体系搭建,对这个领域也算是熟悉。这些年来,安全已经从边界防护进化到了整体防护,作为互联网支付行业的企业,在安全上必须与时俱进。比如,我们不分内外网,全栈加密。因为不管是前端、中间,还是后端处理都有风险。而且长期经验告诉我们,往往内部风险比外部大,尤其像我们这种支付公司,拥有大量的银行卡信息和账户信息等PCI(支付卡行业)数据。

之前曾和 Palo Alto、思科的架构师沟通,大家都认为未来的方向一定是“智能化”的安全防护,不需要手工部署,而是自动化地根据情况变化,适应外面安全态势的变化。而易宝支付在整体的信息安全策略与体系建设上,除了等保三级、PCI认证、ISO 27001等合规以外,从基础的SDL(安全开发生命周期)做起,一直到关注新兴的安全技术,这也是为什么我们与青腾云安全合作的原因之一。

二、支付行业不上公有云

记者:各行各业现在都在上云,互联网金融这个领域因为处理的是钱,对云是不是特别敏感?

陈斌:首先我纠正一下,其实互联网金融这个概念并不准确,没有这么一个专门的领域,只是随着互联网的发展,金融业务与互联网结合的越来越紧密而已。现在国际比较流行一个词,Fintech,金融科技。

然后回到你的问题。上云的在支付行业里面并不常见,特别是公有云,一旦出了问题会很麻烦,比如换块硬盘这么简单的事情,由于里面放的都是敏感信息,怎么可能让云服务商去处理呢?除非所有物理设施全部加密,可这在现实又行不通,会对计算效率有很大影响。再说极端点儿,出了故障密钥找不到,数据就全成垃圾了。所以在支付这个行业,上公有云是极其罕见的,至少在国内我没有看到。

业内还是以私有云为主,易宝的私有云是自己建设的,而且主要是基于Docker,已经越过了虚拟机。可以把我们这种支付服务提供商当成一个API网关,商户在支付的时候调用这个API网关,在客户与各银行之间、银联、网联、人行传递信息,一环接一环,当然走的是加密通道。

三、安全法规驱动整个安全行业的发展

记者:最近几年国家对网络安全的重视程度特别大,好多法律法规开始实施和落地,比如去年的网络安全法、将要施行的等保2.0、关键信息基础设施保护等,您觉得这些措施会对业界产生什么样的影响?

陈斌:这个可以从两方面来看,首先肯定对行业是件好事,之前没有规矩可循,怎样算是做到尽责不太好衡量。《网络安全法》出来之后,对于接触网络数据的,尤其是在甲方从事网络安全工作的人来说,相对有一个比较清晰的界限和尺度,可以去自我衡量,自我评估。

从网络安全提供商来说,也赶上了好时候。以前网络安全处于一个永远没有尽头的工作,到底做到什么程度算是安全了?要把所有数据加密,所有环节都保护起来么?这样的话,工作效率还要不要?成本会有多高?干脆,大部分企业就不做了,或者合规应付一下检查就行了。但明确的法律法规一下来,对保护对象的界定、分级、保护措施,都有了规定,安全人员就可以相对清楚的把需求整理出来,有了明确的需求,有了惩罚机制,安全服务商的日子自然就会好过许多。

四、关注新技术 敢于“吃螃蟹”

记者:谈到安全服务商,刚才我们提到青藤云安全这家安全公司,请问一下 陈总,您觉得青藤的技术优势体现在哪里?

陈斌 :我们现在都讲全方位的态势感知,而青藤云安全提供的监控与分析技术,是态势感知的一个重要数据来源,为态势感知提供很底层的数据。在主机层面,青藤的Agent是很好的方式,能够监控主机上发生的行为,而传统的IPS都只能看到网络层的数据。只有一个请求从外面的应用到内部的系统处理,数据库存储,从头到尾一条线纵深下来,把全链条展现出来,才能知道它究竟做了什么事情。

主机层是一个非常重要的环节,而这一块以前主要是开源,甲方维护成本太高,青藤弥补了这个缺失的环节,而且他们的产品把细粒度做的很好,非常全面。因为我们是支付行业第一个吃螃蟹的,所以也很关注实际运行效果。在一年来的使用过程中,整体运行一直很稳定,资源占用少,兼容性也没有问题。

青藤云安全做的事情,我认为算是填补了国内安全行业的一个空白。刚才我讲到我们内部“Total Defense”的概念,在接触青藤之前主机层我们只做到操作系统加固,但实际上是不够的,主机或端点是真相之源,所以要特别关注。青藤找到了一个比较好的切入点,把这个空白补上了。

最后,想具体了解金融科技领域相关技术的话,我推荐大家参加11月16日在上海召开的金融科技大会,参会者全部都是银行、保险、证券、互联网金融行业的CTO,这些人在一起主要讨论技术。谢谢大家!

 

分享:
0

相关文章

厂商供稿

易支付安全

写一条评论

 

 

0条评论