劉沙

“現(xiàn)在，每購買10張遠程機票，就有8到9張是通過第三方支付公司提供支付服務的，而其中3張以上都是由易寶支付提供的。”這是一件讓很多易寶人倍感自豪的事情。

提起易寶支付，可能你會覺得陌生，但也可能你就是他們間接服務過的客戶。

第三方支付興起

2000年左右，以銀聯(lián)為代表的第三方支付開始在國內興起。2003年，支付寶、易寶支付等第三方支付企業(yè)如雨后春筍般涌現(xiàn)。隨著互聯(lián)網(wǎng)浪潮席卷各行各業(yè)，智能手機日益普及，電子商務、網(wǎng)絡游戲、付費視聽等線上消費模式逐步延伸到移動端，移動支付應運而生。到了2016年，我國已成為全球最大的移動支付市場，全年總交易額達到38.6萬億元人民幣，比2015年增長了200%。

成立于2003年的易寶支付見證并參與了我國第三方支付蓬勃發(fā)展的歷程，并開創(chuàng)了行業(yè)支付的模式，為航空旅游、教育、電信、保險、新零售、消費金融、互聯(lián)網(wǎng)金融、跨境電商等眾多行業(yè)提供量身定制的行業(yè)解決方案，幫助行業(yè)客戶提升直銷和金融增值等能力。

15年來，易寶支付服務的商家已經超過100萬，包括百度、京東、360、中國聯(lián)通、中國電信、中國國際航空公司、中國南方航空公司、攜程網(wǎng)、途牛旅游網(wǎng)、中國人民財產保險、陽光保險等知名企業(yè)。

該如何保護支付安全？

顯而易見，從現(xiàn)金支付到銀行卡支付，再到互聯(lián)網(wǎng)支付和移動支付，支付領域變革的腳步從未停止，但是支付安全的問題卻始終如影隨形。

涉及重大利益的金融數(shù)據(jù)一直是安全問題的焦點。作為金融服務的載體，數(shù)據(jù)不僅是金融企業(yè)經營管理的重要資產，還關系到用戶的財產安全、生命安全和社會穩(wěn)定。

據(jù)第三方平臺在2017年對國內數(shù)百家金融企業(yè)的安全情況統(tǒng)計，有18%的金融企業(yè)受到過92個安全漏洞的影響，44%的金融企業(yè)遭受過7759次DDoS拒絕服務攻擊，損失難以計數(shù)。

易寶支付CTO陳斌告訴記者，與To C支付交易相比，To B支付交易的實現(xiàn)門檻更高，業(yè)務邏輯更復雜，交易額度更大，與此相應，面臨的安全風險也會更多。

眾所周知，傳統(tǒng)金融企業(yè)的安全體系大多是基于“邊界防護”，通過構筑一道“城墻”來隔離威脅，在邊界端或者流量端進行防御。

然而，道高一尺，魔高一丈，黑客的攻擊手段越來越出其不意，加上企業(yè)自身的業(yè)務形態(tài)越來越復雜、環(huán)境越來越開放，僅靠防御已經不能有效解決金融企業(yè)的安全問題。那么，到底該建立什么樣的安全體系，才能讓數(shù)據(jù)得到有效保護呢？

陳斌指出，現(xiàn)在金融企業(yè)的數(shù)據(jù)量越來越多，環(huán)境變化越來越快，要求企業(yè)必須快速做出反應，因為除了數(shù)據(jù)安全問題，金融企業(yè)還常常會面臨欺詐的威脅。比如某一天突然比平時增加了110萬筆交易，我們就必須在20毫秒內做出反應，判斷出這筆交易能不能做，對應的卡是真的還是假的。在這種大并發(fā)的情況下，僅靠人工是處理不過來的，如果系統(tǒng)也反應不過來，讓交易通過了，那么錢就沒了。所以，基于人工智能和大數(shù)據(jù)的快速反應和自適應的做法才是未來安全的方向。

智能化的自適應安全體系

世界上沒有完全沒有風險的地方！陳斌強調，現(xiàn)在大家做信息安全保護措施時，已經不能像過去那樣簡單地做個策略，而是應該根據(jù)變化自己采取反應。就好像你動一下，我就自動地打你一下。我們內部叫智能化的安全防護，不需要傳統(tǒng)的手工部署，而是要根據(jù)外面的情況變化，自動化地適應外面的安全態(tài)勢變化。

面對大量的數(shù)據(jù)、不能間斷的網(wǎng)絡和400多個幾乎每天都有更新迭代的應用，易寶支付采取的是體系化的全面防護，除了在防護體系上貫徹信息安全理念，進行流程規(guī)范，還將資產進行分級，對數(shù)據(jù)進行全棧加密，在技術層面則與青藤云安全進行合作，量身打造了一套自適應安全架構體系。

作為面向下一代的安全體系，“自適應安全”以持續(xù)監(jiān)控和分析為核心，覆蓋了防御、監(jiān)控、響應、預測四個維度的安全架構，可自適應于不同基礎架構和業(yè)務變化，形成統(tǒng)一的安全策略，幫助企業(yè)持續(xù)動態(tài)地監(jiān)控自身安全，并加強快速分析和響應能力，有效地發(fā)現(xiàn)攻擊者，并阻斷其行為，將風險降至最低。

談到應用效果時，陳斌告訴記者，“青藤云安全是態(tài)勢感知一個重要的數(shù)據(jù)來源，能為態(tài)勢感知提供非常底層的數(shù)據(jù)。“因為傳統(tǒng)的IPS都是在網(wǎng)絡層，只能看到一層數(shù)據(jù)，看不到更底層的數(shù)據(jù)，而青藤在HIDS、主機方面是很好的入口，可以為我們判斷是否有攻擊提供很全的數(shù)據(jù)來源。我們可以完整地知道一個請求從外面應用處理，到數(shù)據(jù)庫存儲，再到底層，究竟做了什么事情，把這些全鏈條展現(xiàn)出來?！?/p>

陳斌還表示，現(xiàn)在做全面防護一定是從每個環(huán)節(jié)做起，在主機層這個環(huán)節(jié)上要特別加固，而青藤云安全的出現(xiàn)剛好填補了這個空白。

據(jù)悉，目前易寶支付的信息安全等級保護已經達到了國家三級標準，并覆蓋PCI和ISO 27001。除此之外，易寶支付的企業(yè)內部還設有安全審計措施，不僅信息安全部門會對公司的各種產品進行審計，由易寶支付CEO直屬的審計部門也會對信息安全部進行審計，整個安全體系環(huán)環(huán)相扣。

最后，陳斌總結道，在未來，隨著信息技術進一步發(fā)展，支付可能更多是基于個人真實的生物特征進行的，例如刷臉支付、刷指紋支付等等，這種支付的安全情況更復雜，這就要求我們的安全解決方案要更加自動化、智能化。