互联网支付风险分析---银联网上支付业务风险防范11

Page1Page1WelcometoHUAWEITechnologiespresentation互联网支付风险分析----银联网上支付业务风险防范2009年9月中国银联·产品创新部Page2Page2背景互联网支付概述互联网支付风险分析中国银联CUPSecure安全分析银联辅助认证系统简介风险责任的划分主要内容Page3Page3背景Page4Page4背景机会—繁荣即将来临市场基础2009年预计电子商务交易量2.2万亿元2008年2007年电子商务交易量3万亿元电子商务交易量4.2万亿元银行卡发卡量超过19亿张——全球第一网民数2.53亿——全球第一PC保有量超过1亿台，宽带用户8808万——全球第一Page5Page5背景机会—银行卡网上支付成为主流银行卡网上支付48.1%的用户使用过借记卡网上支付42.0%的用户使用过贷记卡网上支付29.1%的用户经常使用借记卡网上支付24.6%的用户经常使用贷记卡网上支付Page6Page6背景互联网支付服务提供商商业银行银联子公司接入统一支付网关第三方支付平台虚拟账户挑战—群雄鼎立Page7Page7背景挑战—存在的问题安全隐患商户匮乏问题BECDA风险责任各自为网盈利能力Page8Page8互联网支付概述Page9Page9互联网支付概述互联网支付定义国际组织的定义：银行卡的网上支付是指持卡人通过互联网向发卡行发出支付请求，发卡行完成授权后反馈给持卡人及商户，发卡行返回授权信息可以通过互联网或者其它方式。技术化定义：互联网电子商务交易是参与交易的各主体使用交易设备通过交易网络进行的交易。交易主体：持卡人、商户、收单机构、银联和发卡机构。交易设备：持卡人终端、商户网络设备和服务器、收单机构网络设备和服务器、转接网络设备和服务器、发卡银行网络设备和服务器。交易网络：互联网和金融网。Page10Page10互联网支付概述国内外互联网支付模式简介3-DSecure：2001年9月由Visa国际组织提出。它是新一代的全球通用支付验证标准。通过复杂的加密、安全技术，3-DSecure能保护持卡人机密交易资料的安全传输，避免泄漏及截取，以减少网络信用卡诈欺及交易纠纷问题。3-DSecure电子支付验证标准VisaVerifiedbyVisaMasterCardSecureCodeJCBJ/Secure基于3-DSecure标准的不同服务Page11Page11互联网支付概述国内外互联网支付模式简介SET协议（SecureElectronicTransaction）最初是由VISA和MASTERCARD合作开发完成的，其它合作开发伙伴还包括GTE、IBM、Microsoft、Netscape、SAIC、Terisa和VeriSign等。SET规范使用了公开密钥体系对通信双方进行认证。SET体系中有一个关键的认证机构(CA)，此机构根据X.509标准发布和管理证书。SET协议规定发给每个持卡人一个数字证书。持卡人选中一个口令，用它对数字证书和私钥、信用卡号以及其他信息加密存储。这些与一个SET协议的软件一起组成了一个SET电子“钱夹”。Page12Page12互联网支付概述国内外互联网支付模式简介SET协议交易流程InternetInternetISSUERACQUIRERPaymentGatewayPaymentGatewayMerchantMerchantInternetInternetMerchantCertificateMerchantCertificateVIsaNetVIsaNetCertificateCertificateConsumerCertificateConsumerCertificateConsumerCertificateConsumerCertificateConsumerCertificateConsumerCertificateConsumerCertificateConsumerCertificateConsumerCertificate持卡人1.下单，付款MerchantServer商家2.请求交易授权支付网关收单行发卡行3.请求交易授权4.交易授权回复5.交易授权回复6.订单确认，完成交易CARDHOLDERCARDHOLDERConsumerCertificateConsumerCertificateConsumerCertificateConsumerCertificateConsumerCertificatePage13Page13互联网支付概述国内外互联网支付模式简介银行网关：以网上银行为载体，为消费者提供包括网上支付在内的、全面的个人金融服务；直接与商户连接，为商户提供快速的资金清算服务。InternetInternetISSUER支付网关支付网关MerchantMerchantInternetInternet持卡人1.下单商家发卡行5.订单确认，出货CARDHOLDERCARDHOLDERInternetInternet2.付款3.扣款4.扣款结果Page14Page14互联网支付概述国内外互联网支付模式简介支付网关：ChinaPay、首信和环讯。InternetInternetISSUER支付网关支付网关MerchantMerchantInternetInternet持卡人1.下单商家发卡行6.订单确认，出货CARDHOLDERCARDHOLDER3.扣款5.扣款结果商户代理支付网关商户代理支付网关ISSUER支付网关支付网关发卡行2ISSUER支付网关支付网关发卡行n4.扣款结果2.付款InternetInternetPage15Page15互联网支付概述国内外互联网支付模式简介虚拟账户：是一种非银行卡支付，实际上相当于互联网虚拟电子货币的发行者。目前主要应用于C2C领域。如：PAYPAL，淘宝网络“支付宝”，易趣“安付通”和首信“U豹”。交易信用中介担保帐户-资金沉淀Page16Page16互联网支付风险分析Page17Page17互联网支付风险分析交易环节风险分析Page18Page18互联网支付风险分析交易环节风险分析交易主体风险：互联网交易实质上是传统交易在网络上的延伸，其与传统交易的区别在于互联网带来的快捷性和便利性，同时互联网交易中交易主体的非面对面性也带来了相应的风险。Page19Page19互联网支付风险分析交易环节风险分析交易设备风险：参与互联网交易的设备必须部分或全部部署在互联网上，由此对系统的安全提出了更高的要求。设备安全包括交易设备的物理安全、网络设备安全、主机安全、系统软件安全、应用安全、加密机安全和持卡人终端安全。就目前来看，持卡人终端是整个互联网交易中最薄弱的环节。Page20Page20互联网支付风险分析交易环节风险分析交易网络风险：互联网交易网络包括互联网和金融网。互联网的开放性、快捷性和便利性给网上交易提供了足够的发展空间，但是同时也带来了互联网交易面临的最大问题——网络安全。Page21Page21互联网支付风险分析交易环节风险分析交易数据风险：互联网交易的数据安全包括两个层面：一是对敏感信息的安全保护，二是对交易关键信息的安全保护。Page22Page22互联网支付风险分析互联网支付案例分析银行卡冒用：由于不少持卡人在网上支付时采用了银行设置的初始密码或俗称“懒人密码”的简单密码，很容易被不法分子获取并进行银行卡冒用。不法分子可用过反复测试或适用的方式，推测出卡号及配套密码。同时，不法分子也有可能与商户勾结进行银行卡冒用。特点：短时间内连续多次的交易尝试；交易尝试大多数返回不成功应答码；涉及的卡号往往是连续的或相似的。Page23Page23互联网支付风险分析互联网支付案例分析套现：由于设立网上商户的成本很低，国内某些支付网关甚至提供了免费开设店铺的服务，极大降低了套现成本，使得目前网上支付交易中的违规套现屡禁不止。特点：网上店铺较为简陋，所提供商品较少，没有详细的说明，所销售的商品及提供的服务难以吸引消费者；商户的结算账户为个人账户；交易金额与所售商品的价值不符，如销售游戏点卡的商户经常发生数千元的交易；商户及持卡人的IP地址一样或比较类似；交易主要集中于少数几张信用卡。Page24Page24互联网支付风险分析互联网支付案例分析恶意倒闭：由于设立商户的成本比较低，不法分子可以非常容易的开设网上商户，在收到持卡人的资金后迅速倒闭并销声匿迹。特点：结算账户一般为个人账户；开设商户的时间较短；短时间内交易量突增；商户宣称可以提供异常优惠的商品及服务。Page25Page25互联网支付风险分析互联网支付案例分析窃取/信息泄露：在网上支付交易中，持卡人的账户信息往往由商户及收单机构的系统转接，这些信息包括了交易验证中的敏感信息，一旦发生泄漏，有可能造成银行卡资金损失。例如：网银大盗；钓鱼网站。Page26Page26互联网支付风险分析互联网支付案例分析非法交易：目前已有不法分子利用银行卡网上支付比较便利、不受地域限制的特点，将其引入到非法的赌博等行业中，严重违反了国家的法律，收单机构应尤其加以关注。特点：调退单及商户的反应，参赌人员赌输后常常会以种种借口否认交易，由发卡行发起调退单，造成商户的调退单率较高。商户由于收益较高，且担心收单机构的调查会发现其不法行为，出于息事宁人的考虑，往往比较干脆的承担退单损失；商户的网站提供商品较少，与其交易金额明显不符；商户对扣率不太关心，非常想开展银行卡受理业务。Page27Page27中国银联CUPSecure安全分析Page28Page28中国银联CUPSecure安全分析系统架构网络架构InternetInternet外部系统中国银联防火墙SSL服务器防火墙SR服务器SC服务器HTTPTPS服务器业务管理系统HTTPSHTTP防火墙CUPS生产网内部通信协议CUPSecure生产网安全区系统唯一对外接入点Page29Page29中国银联CUPSecure安全分析交易流程SC模式持卡人收单机构支付网关API银联SR银联SC银联CUPS发卡机构125671534138141011912Page30Page30中国银联CUPSecure安全分析交易流程SAA模式持卡人收单机构支付网关API银联SR发卡机构SAA银联CUPS发卡机构12567103498Page31Page31中国银联CUPSecure安全分析安全措施网络安全单点接入，URL过滤严格分层，不同层有不同的安全要求单向SSL、双向SSL接入异构的防火墙等安全设备访问控制安全审计入侵检测漏洞扫描Page32Page32中国银联CUPSecure安全分析安全措施应用安全Page33Page33中国银联CUPSecure安全分析安全措施应用安全SSL连接数字证书交易签名软键盘加密图形验证码硬件加密机不保存持卡人敏感信息动态口令卡号加密保存多重数据备份日交易次数、交易金额限制Page34Page34中国银联CUPSecure安全分析安全措施应用安全（系统间的认证）系统关系及证书分布图SASAAAPICUPSecureSSLServerSSLServerSSLServerSSLServerPage35Page35中国银联CUPSecure安全分析安全措施运维制度一系列的管理制度、操作规范和操作流程严格、层次分明的管理权限、角色划分用户操作审计严格的加密机管理维护和密钥更新制度风险交易监控和预警系统冗余设计和应急计划持卡人教育Page36Page36银联辅助认证系统(CUPACE)简介Page37Page37银联辅助认证系统简介背景自中国银联互联网安全支付系统CUPSecure上线以来，经过三年多的发展，共有包括工商银行、中国银行、建设银行、交通银行、邮政储蓄、招商银行、中信银行、民生银行、华夏银行、