预付卡发行和受理支付业务—关于安全问题进行审查

　　本文为第三方支付技术与监视，其中一章节

　　（1）运维平安检查典型问题

　　预付卡发行与受理支付业务发现的典型问题包括未对介质归档和查询等停止注销记载，未对平安教育和培训的状况与结果停止记载并归档保管，短少培训、考核记载等问题。

　　局部支付机构在人员培训方面固然比拟积极，但常常不注重过程记载，这样的培训过程常常短少体系，培训效果不一定能到达预期目的，也无法构成企业的技术积聚。

　　（2）应用平安检查典型问题

　　在应用平安检查方面，预付卡发卡与受理业务的局部支付机构设备比拟常见的检查问题有：关键业务未运用电子认证技术，平安控件没有提供检测报告，门户系统没有采用数字证书，支付设备没有设置口令有效期等。这些问题主要呈现在支付应用中商户管理和用户管理等对外效劳系统的登录与数字认证方面，系统没有平安牢靠的登录处理计划，没有强壮的认证方式，支付设备将具有严重的系统脆弱性，不只危害支付机构的正常运营，还会严重要挟用户的支付平安。

　　（3）主机平安检查典型问题

　　主机平安方面检查典型问题主要表现在如下几个方面：1）系统主要经过网络防火墙完成入侵防备，主机层面无软件防火墙和人侵检测软件，例如Linux主机未装置杀毒软件；2）未对重要程序的完好性停止检测；3）资源监控与预警不够翔实，例如对数据库应用锁超时数量。死锁数量等都未停止监控；4）效劳器和数据库管理系统存在局部破绽，例如本地容灾效劳器存在Rexecd效劳器启用破绽，两台数据库效劳器存在Rexecd效劳器启用破绽，备份效劳器存在Windows终端效劳启用和SMB登录测试破绽，日志效劳器存在Windows终端效劳启用破绽。

配图 预付卡

　　（4）数据平安检查典型问题

　　数据平安方面的典型检查问题主要是对买卖数据以及客户数据停止异地备份，局部预付卡发卡与受理业务的支付机构存在备份制定不完善（例如，未提供明白数据的备份和恢复战略）或异地备份条件不契合请求（备份网络不畅通、备份机房设备欠缺等）。此外，数据备份与恢复在检查中呈现的问题还有备份数据恢复的有效性考证频率偏低等倡议性问题。

　　此外，数据平安检查中发现的典型问题还包括数据的加密存储，从检查过程来看，局部支付机构并没有对一切敏感信息停止存储加密，例如局部支付机构的系统在数据库中并未对磁道信息停止加密保管。另外，主要数据处置效劳器未采用冗余链路也是一些支付机构设备在检查过程中经常发现的问题。

　　数据平安特别是买卖数据和客户数据，触及支付机构的信誉和用户的资金平安，备份机制若不完善或者无效，将无法到达系统设计的灾难恢复目的，同样备份数据与在线系统的数据同样重要，平安防护更不能无视。

　　（5）网络平安检查典型问题

　　网络平安检查典型问题主要存在于网络边境平安防护、歹意代码防备和网络的访问控制等方面。详细有如下常见问题：1）边境完好性防护上未对非法衔接停止有效阻断；2）网络层面无歹意代码防备措施，无法在网络边境处对歹意代码停止检测和肃清；3）目前各个内部网段之间和进出互联网的流量没有停止辨别，并未对重要的流量定义QoS战略；4）业务接入区、中心区网络设备没有对网络最大流量数和网络衔接数停止限制；5）网络设备未对同一用户选择两种或两种以上组合的鉴别技术来停止身份鉴别。，预付卡发卡与受理业务设备检查常见问题形成的风险是支付业务设备网络由于缺乏有效的歹意代码防备措施，经过网络途径传播的歹意代码和攻击行为不能被及时发现和阻止；业务网络缺乏必要的流量规划，也会给未来业务的开展带来影响，同时针对突发性业务流量缺乏有效的应对，针对来自网络方式的DoS攻击也无法有效地控制其影响。

　　（6）业务连续性检查典型问题

　　业务连续性检查典型问题中最普遍的问题是支付设备无（同城）应用级备份设备，同样的问题也带来了不具备应用级恢复预案的问题。与备份相关的问题还包括支付设备未制定备份数据范围和备份频率清单等。

　　而网络双链路对支付设备请求比拟高，请求提供不同网络运营商的接人链路，不少支付机构的业务设备也没有到达请求。

　　由于支付业务对业务连续性平安的请求相关于其他普通讯息系统来说要高，普通数据级的灾备很难满足支付业务需求的灾难恢复请求，单一网络运营商的接人也给业务平安稳定的效劳接人形成单点毛病，因而最大限度地保证网络和业务效劳及数据的冗余是保证支付业务连续性的根底。