携程门暴露网络漏洞 卫士通等直面支付安全
携程“信用卡门”暴露网络安全漏洞
见习记者 阮润生
携程“信用卡门”事件爆发后,不少用户都在各类社交圈子里称“永远不上携程了”。但是,网络支付安全问题却不可能以这种“因噎废食”的方式解决。对于电商的网络支付安全,证券时报记者采访了多家相关网络安全上市公司,其中卫士通(002268)、蓝盾股份(300297)和证通电子(002197)高管表示公司涉及支付安全业务。
作为卫士通子公司,成都摩宝网络科技有限公司在上述3家网络安全公司中直接涉及支付安全业务。公司技术总监唐皓表示,公司拥有央行[微博]颁发的第三方支付牌照,对于类似携程的无卡快捷支付、网银支付等支付信息,都按照银联或银行的标准,经过加密、签名处理,直接传至银行或银联后台,不会以任何方式在本地存储,而第三方支付账户用户的敏感信息,涉及在本地传输存储的,都采用了自主研发的专用服务器密码机进行了加密保护,确保其难以被非法还原获取。
根据目前报道,携程事件属于内部设计问题导致信息泄露。唐皓称:“为确保支付安全,卫士通从系统设计和建设上,对生产运营系统和研发调试系统进行完全隔离、平台独立运行,极大程度上杜绝了用户信息被黑客通过调试方式在生产运营系统中获取的可能。”据悉,卫士通从2008年开始涉足支付安全领域,主要面向行业用户。
对卫士通的支付安全业务,蓝盾股份证券事务代表危永荧称:“卫士通的强项在于加密技术,而我们在于提供更加宏观的解决方案,部署整个网络结构的搭建,其中就会涉及支付安全环节。”不过, 危永荧表示,目前公司客户以政府为主,电商客户较少。
与前两者相比,证通电子的支付安全业务客户目前不涉及电商。公司证券事务代表王小姐表示,涉及的相关领域主要在终端和网络POS机(销售点终端)以及手机芯片,而主要销售对象是银行。
业内人士表示,相比隐形的安全布置,显性的流量投资对有些企业来说更实际,而根据支付卡产业数据安全标准(PCI-DSS)规定,CVV码(信用卡验证码)、PIN码(个人识别码)等敏感验证数据不能被各收单机构系统存储。
但据媒体报道,携程的IT系统完全自建,2009年以前,携程服务器并不留存用户CVV码,用户每次购买机票,预订酒店都需要输入CVV码;2009年后,为了简化操作流程,优化客户体验,携程服务器上开始留存CVV码,也为支付安全留下隐患。
中信证券分析师吕江峰对记者表示,目前在国内互联网安全领域,政府采购需求占整个安全市场约10%的份额,市场驱动属于合规性需求,广大中小企业由于对安全的重视程度不够,对网络信息安全的投入偏小。今后几年将会是信息安全行业享受政策红利的几年,行业也将快速发展。
进入【新浪财经股吧】讨论
