近年來，我國銀行卡產(chǎn)業(yè)發(fā)展迅速，銀行卡發(fā)卡量和消費總額呈現(xiàn)大幅上升趨勢，銀行卡逐漸成為人們?nèi)粘Ｉ钪械闹匾Ц豆ぞ咧?。但是，銀行卡的支付安全問題隨之而來，據(jù)有關(guān)機構(gòu)透露，當前我國銀行卡犯罪所造成的損失每年達到數(shù)億元，而且可能仍有上升趨勢，這對我國的銀行卡支付安全提出了更高的要求。為此，8月底的一個下午，本刊記者走訪了銀行卡檢測中心的主任田朝陽博士，期望通過與這位業(yè)界權(quán)威專家的訪談，探討我國銀行卡安全領(lǐng)域的現(xiàn)實情況和發(fā)展方向。 
　　 
　　銀行卡產(chǎn)品和賬戶信息安全問題日益突出 
　　 
　　“銀行卡安全問題不僅是業(yè)內(nèi)高度關(guān)注的話題，更關(guān)系到千千萬萬持卡人對使用銀行卡能否保持充足信心的問題，而這個問題，恰恰是決定銀行卡產(chǎn)業(yè)能否長期持續(xù)發(fā)展的根本問題。如果持卡人沒有信心，那么所謂的銀行卡產(chǎn)業(yè)發(fā)展將無從談起?！碧锊┦块_門見山，娓娓道來，直擊問題要害。據(jù)田博士介紹，從2006年開始，銀行卡檢測中心（以下簡稱“中心”）就開始關(guān)注卡基支付安全問題，關(guān)注銀行卡產(chǎn)品的安全技術(shù)和涉及到銀行卡支付交易的相關(guān)安全問題，同時對國內(nèi)和國際上在銀行卡安全方面的發(fā)展狀況進行持續(xù)的調(diào)查和研究。 

　　這兩年國內(nèi)銀行卡發(fā)展的速度雖然很快，但與發(fā)達國家安全支付環(huán)境的建設(shè)水平相比，我們現(xiàn)在還處于一個銀行卡發(fā)展的初級階段。無論是銀行還是生產(chǎn)企業(yè)，大家比較關(guān)注的仍然是業(yè)務(wù)和市場拓展，對于安全和風(fēng)險的關(guān)注度要低一些。就目前來看，盡管銀行卡犯罪的手段非常多樣化，包括盜竊持卡人賬號和密碼復(fù)制偽卡、欺詐申請和非法套現(xiàn)等各種形式，但究其根本主要是兩個方面的問題，銀行卡產(chǎn)品的安全問題和銀行卡賬戶信息的安全管理問題。根據(jù)中心從2006年以來做的研究來看，國際上對于銀行卡的安全問題也是分成前端和后端兩個方面，田博士介紹說。 
　　 
　　一方面，對于所謂的銀行卡的前端，也就是銀行卡產(chǎn)品本身，包括卡片、受理終端以及受理環(huán)境這些方面，它們本身安全不安全，這是一個很直接的問題。以我們使用的ATM機為例，如果自身就存在著很多安全隱患，就會給不法分子造成可乘之機。比如在輸入密碼的時候，就會有犯罪分子通過“釣魚”的方法，埋一個芯片在里面，竊取持卡人賬號和密碼；甚至還可以通過一定途徑破解出按鍵的聲音，從而獲得持卡人密碼，諸如此類問題在產(chǎn)品自身設(shè)計方面存在缺陷，導(dǎo)致潛伏大量的不安全因素，這是一個很直接的問題。 

　　另一方面，對于所謂的銀行卡的后端，也就是銀行卡的賬戶信息安全，主要是銀行卡交易支付處理系統(tǒng)安全方面的問題，持卡人使用銀行卡消費的過程中，持卡人的卡片敏感數(shù)據(jù)在傳輸、存儲和處理過程中是不是安全的？這同樣是一個重要的問題。實際上，大量的持卡人的敏感信息實際上是存在于銀行卡交易系統(tǒng)之中的，近一兩年來賬戶信息泄漏問題也越來越受到關(guān)注。銀行卡的敏感信息包括賬號、PIN和卡有效期等敏感信息的存儲是有一定要求的，在傳輸過程中應(yīng)該加密的，卡片交易的處理環(huán)境也應(yīng)該是安全的，但是我們的銀行卡賬戶信息安全管理的現(xiàn)狀如何呢？還是存在著一些不安全的因素。比如說，有些商場的刷卡交易信息通過MIS系統(tǒng)進行處理，雖然可能銀行卡是安全的，但是這個MIS系統(tǒng)如果存在問題，在對卡片敏感信息的存儲、傳輸和處理上存在安全缺陷，那么很多持卡人的信息都將面臨泄漏的威脅。 
　　 
　　因此，銀行卡的安全應(yīng)該從前端和后端兩處著手，生產(chǎn)企業(yè)要提高銀行卡產(chǎn)品的安全技術(shù)含量，收單銀行等機構(gòu)要通過有效的措施加強銀行卡賬戶信息安全管理，從而保障持卡人的支付行為從開始到結(jié)束的全過程的安全性，構(gòu)建一個銀行卡支付安全的防御體系。 

　　營造銀行卡支付安全環(huán)境仍需各方加大力度 
　　 
　　盡管銀行卡安全問題已經(jīng)備受關(guān)注，為什么目前安全支付環(huán)境建設(shè)方面仍無大的改觀？在這個問題上，主要涉及到三個方面的問題：即政府方面的安全標準缺失、生產(chǎn)企業(yè)研發(fā)資金投入不夠和檢測機構(gòu)的技術(shù)能力存在不足等問題，田博士說。 

　　首先是標準，銀行卡安全方面沒有系列化的安全標準可以遵循執(zhí)行。從去年起中心就開始專門研究安全問題，最終發(fā)現(xiàn)這條路走起來比較困難，首先一個問題就是國內(nèi)安全標準有所缺失，不管是對銀行卡產(chǎn)品，還是對銀行卡支付交易處理系統(tǒng)，都存在這種情況。要提高銀行卡安全性，衡量的指標是什么？只有定下一個標準，具備衡量安全的量化指標，才能判定產(chǎn)品或系統(tǒng)是否是安全的。所以，現(xiàn)在國內(nèi)銀行卡的安全工作，還是要從基礎(chǔ)做起，亟待出臺一套適用的安全標準，使銀行卡產(chǎn)業(yè)各參與方在面對安全問題時有據(jù)可依，有章可循。與發(fā)達國家相比，國內(nèi)的安全標準可以說還是不完善的。田博士認為，既然我們是從零開始，那就不妨參照一些國際上已經(jīng)成型的標準，采取引進、借鑒的方法，結(jié)合自身情況形成一個適合國情的銀行卡產(chǎn)品和賬戶系統(tǒng)的安全標準。如果沒有這樣一個標準作支撐點，銀行卡的安全支付環(huán)境仍然難有改善和進步。銀行卡發(fā)展離不開方便、快捷、好用、安全四個因素，如果缺乏“安全”要素，那么“方便、快捷、好用”也無從談起?？上驳氖?，近兩年來有關(guān)銀行卡的標準也一直在升級或重新制訂，但是制訂標準是一項費時費力的工程，牽扯到方方面面的因素，因此目前標準制訂情況遠遠跟不上銀行卡產(chǎn)業(yè)發(fā)展的實際需求。 
　　 
　　再者是企業(yè)方面，從銀行卡產(chǎn)業(yè)鏈上的企業(yè)來講，企業(yè)對于自身的產(chǎn)品，關(guān)注比較多的是功能上是不是能夠被市場接受，而對于怎樣提高產(chǎn)品的安全性，企業(yè)下的功夫還是不夠。當然，由于國內(nèi)外銀行卡產(chǎn)業(yè)發(fā)展階段的差異，國內(nèi)在銀行卡安全技術(shù)的研究起步比國外晚一些；同時，安全技術(shù)還存在著一些國際壁壘，比如說芯片的安全設(shè)計，現(xiàn)在全球技術(shù)領(lǐng)先的實驗室都是在歐洲、美國等地，其安全技術(shù)水平我們現(xiàn)在還達不到。由于安全技術(shù)的研究開發(fā)成本高，企業(yè)的投入自然成了問題。比如要生產(chǎn)達到國際標準要求的一款高安全性POS機，其成本會在現(xiàn)有基礎(chǔ)上增加30％~40％；或者開發(fā)一套高安全性的MIS收單系統(tǒng)，面臨的投入也會增加。在此情況下，怎樣降低成本、順利開展安全技術(shù)的研究，以及如何利用低成本的方法解決安全技術(shù)漏洞，生產(chǎn)出一流科技含量的軟硬件產(chǎn)品，是生產(chǎn)企業(yè)必須認真對待的問題，而這些問題恰恰應(yīng)該引起這些企業(yè)的高度關(guān)注。 

　　最后就是檢測機構(gòu)方面，也就是卡片、終端和賬戶信息處理系統(tǒng)的測試評估實施機構(gòu)方面，不能只是呼吁增強銀行卡安全性，而是應(yīng)該努力增強安全測試和評估能力，找到一把判別是否安全的標尺。比如，目前銀行卡產(chǎn)品在安全性上良莠不齊，怎樣去判別它，判別的手段是什么？這就是檢測單位需要解決的問題。田博士感慨的講道，以銀行卡產(chǎn)品的安全測試技術(shù)為例，在2006年5月她參加了國際銀行卡組織舉辦的一個銀行卡安全會議，在會上她提出中心是否能夠和國際上的安全研究機構(gòu)進行一些技術(shù)交流和培訓(xùn)，結(jié)果被告知這是絕對不可能的，這些安全技術(shù)完全保密。因此，在安全技術(shù)研究上，我們只能靠自己努力學(xué)習(xí)，自我加速成長。俗話說，道高一尺，魔高一丈，所以在對待安全的態(tài)度上，沒有最好，只有更好。對我們國內(nèi)的檢測評估機構(gòu)來講，研究銀行卡安全測評技術(shù)，不僅是一種技術(shù)上的較量，也是一種自我挑戰(zhàn)。 

　　堅定不移的走創(chuàng)新與發(fā)展的道路 
　　 
　　從1998年建成為行業(yè)服務(wù)的銀行卡及受理終端檢測實驗室，到2003年獲得CNAS認可資質(zhì)成為國家級實驗室，再到2005年一舉通過EMVCo的技術(shù)考核和管理評審，成為全球為數(shù)不多的具有國際資質(zhì)的EMV檢測實驗室，這些年來銀行卡檢測中心一直在保持著不斷創(chuàng)新和快速發(fā)展的步伐。以EMV檢測實驗室為例，由于要解決奧運會期間銀行卡消費的外卡收單問題，各奧運城市都要求新布放POS要具備IC卡受理功能，所以中心的EMV檢測實驗室就有了用武之地，其業(yè)務(wù)量目前居于全球同類實驗室之首。田博士說，“這不僅是源于中心的努力，也源于企業(yè)對中心的支持和信賴，源于中國銀行卡產(chǎn)業(yè)發(fā)展的大好形勢”。  

　　田博士認為，芯片卡的安全程度比起磁條卡來，是存在著一定的提高的，但這只是相對的安全，不能說是換成芯片卡就安全了；而且，安全不僅是卡的問題，終端受理機具也存在著安全問題，這是一個有多方面的要求體系問題。中心從2006年開始，從學(xué)習(xí)國際安全標準入手，從最基礎(chǔ)的安全研究做起，目前已經(jīng)有了一些成果和進展。比如在銀行卡產(chǎn)品測試方面，中心利用聲波來檢測POS機的安全性能，當持卡人在輸入密碼時，可以通過聲譜分析破譯個人密碼，實驗室內(nèi)部試驗成功率達到90%，這就對POS、ATM和自助設(shè)備的安全性能提出了新的安全設(shè)計要求。  
　　 
　　對于銀行卡產(chǎn)品安全的問題，主要涉及兩類技術(shù)。一類是物理安全技術(shù)，涉及到產(chǎn)品的防盜、防撬等方面，在有人去竊取、安裝芯片的時候，機具是不是會自毀，會不會報警，傳感器起不起作用，傳感器的安裝的位置正不正確，諸如此類的問題必須解決。另一類是邏輯安全技術(shù)，就是Timing 測試、密鑰的攻擊、隨機數(shù)的真?zhèn)蔚呐袛嗟燃夹g(shù)。田博士介紹說，現(xiàn)在就銀行卡產(chǎn)品的安全檢測來講，中心已經(jīng)擁有幾十種比較成熟的技術(shù)了，還有一些技術(shù)正在開發(fā)之中，取得了一些階段性的成果，當然后面還是有很多的工作去做，要提高安全檢測能力，還有許多技術(shù)難點要去突破。 

　　銀行卡賬戶信息安全問題，在國內(nèi)還是一個比較新的課題。從國際上的經(jīng)驗教訓(xùn)來看，至今為止最嚴重的一次事件是2005年6月MasterCard的大約4500萬持卡人銀行卡賬戶信息泄漏，它造成的損失遠遠比個人損失要大得多，因此目前國際上非常注重銀行卡賬戶信息系統(tǒng)的安全測試和評估。但是，國內(nèi)的現(xiàn)狀如何呢？國內(nèi)的賬戶信息系統(tǒng)安全標準尚待完善，賬戶信息安全評估能力有待提高，所以國內(nèi)在賬戶信息安全方面與國外相比還是有很大的差距的。銀行卡檢測中心目前已投入大量人力研究卡片賬戶信息的安全測試技術(shù)和安全評估等相關(guān)方面。 
　　 
　　田博士說：“國際上對交易量每天達到多少的收單機構(gòu)、特約商戶和第三方手段專業(yè)化服務(wù)提供商有具體的規(guī)定，必須對業(yè)務(wù)處理系統(tǒng)作定期的弱點掃描甚至現(xiàn)場評估，從而發(fā)現(xiàn)安全隱患、改進不足，加固安全。但是國內(nèi)情況呢？做了沒有？由誰來做？難道要讓外國人來做嗎？難道中國的銀行卡信息安全要掌握在外國人的手中嗎？我認為，我們的銀行，包括我們這樣的檢測機構(gòu)，都是有一定責任的。” 

　　今年6月，人民銀行的蘇寧副行長和科技司的文四立司長視察了銀行卡檢測中心，對正在建設(shè)中的銀行卡安全實驗室給予了高度重視。“上級領(lǐng)導(dǎo)對中心對安全實驗室里所有項目逐一仔細了解，并著重強調(diào)了要對銀行卡安全技術(shù)做好保密工作”，田博士微微笑著說。 
　　 
　　秋日下午的陽光溫暖而匆忙，不經(jīng)意間訪談已經(jīng)過去了兩個多小時。談話過程中，田博士辦公桌上的電話鈴聲時時響起，她對記者不時輕輕點頭表示歉意，然后停下來接電話處理各項事務(wù)。但是對于記者提出的問題，她回答的十分認真仔細，清晰而敏銳。從談話中可以看出，作為銀行卡檢測中心的帶頭人，作為業(yè)內(nèi)的權(quán)威人士，田博士對于銀行卡安全有著如此豐富見解，可見她在銀行卡安全事業(yè)上傾注了很多的心血。 

　　最后，田博士對推動銀行卡安全工作提了兩點建議：一是需要趕快出臺銀行卡產(chǎn)品和賬戶信息安全方面的相關(guān)標準，努力跟上國際水平；二是建立檢測和認證評估體系，執(zhí)行安全標準，只要各方合力協(xié)作來鑄造銀行卡的安全長城，一定能使我國的銀行卡安全支付環(huán)境大大改善，營造安全的銀行卡支付環(huán)境，減少銀行卡犯罪的發(fā)生機率，從而提高社會對使用銀行卡支付的信心，促進我國銀行卡產(chǎn)業(yè)的良性發(fā)展。