近年來(lái)，我國(guó)銀行卡產(chǎn)業(yè)發(fā)展迅速，銀行卡發(fā)卡量和消費(fèi)總額呈現(xiàn)大幅上升趨勢(shì)，銀行卡逐漸成為人們?nèi)粘Ｉ钪械闹匾Ц豆ぞ咧?。但是，銀行卡的支付安全問(wèn)題隨之而來(lái)，據(jù)有關(guān)機(jī)構(gòu)透露，當(dāng)前我國(guó)銀行卡犯罪所造成的損失每年達(dá)到數(shù)億元，而且可能仍有上升趨勢(shì)，這對(duì)我國(guó)的銀行卡支付安全提出了更高的要求。為此，8月底的一個(gè)下午，本刊記者走訪了銀行卡檢測(cè)中心的主任田朝陽(yáng)博士，期望通過(guò)與這位業(yè)界權(quán)威專家的訪談，探討我國(guó)銀行卡安全領(lǐng)域的現(xiàn)實(shí)情況和發(fā)展方向。 
　　 
　　銀行卡產(chǎn)品和賬戶信息安全問(wèn)題日益突出 
　　 
　　“銀行卡安全問(wèn)題不僅是業(yè)內(nèi)高度關(guān)注的話題，更關(guān)系到千千萬(wàn)萬(wàn)持卡人對(duì)使用銀行卡能否保持充足信心的問(wèn)題，而這個(gè)問(wèn)題，恰恰是決定銀行卡產(chǎn)業(yè)能否長(zhǎng)期持續(xù)發(fā)展的根本問(wèn)題。如果持卡人沒有信心，那么所謂的銀行卡產(chǎn)業(yè)發(fā)展將無(wú)從談起?！碧锊┦块_門見山，娓娓道來(lái)，直擊問(wèn)題要害。據(jù)田博士介紹，從2006年開始，銀行卡檢測(cè)中心（以下簡(jiǎn)稱“中心”）就開始關(guān)注卡基支付安全問(wèn)題，關(guān)注銀行卡產(chǎn)品的安全技術(shù)和涉及到銀行卡支付交易的相關(guān)安全問(wèn)題，同時(shí)對(duì)國(guó)內(nèi)和國(guó)際上在銀行卡安全方面的發(fā)展?fàn)顩r進(jìn)行持續(xù)的調(diào)查和研究。 

　　這兩年國(guó)內(nèi)銀行卡發(fā)展的速度雖然很快，但與發(fā)達(dá)國(guó)家安全支付環(huán)境的建設(shè)水平相比，我們現(xiàn)在還處于一個(gè)銀行卡發(fā)展的初級(jí)階段。無(wú)論是銀行還是生產(chǎn)企業(yè)，大家比較關(guān)注的仍然是業(yè)務(wù)和市場(chǎng)拓展，對(duì)于安全和風(fēng)險(xiǎn)的關(guān)注度要低一些。就目前來(lái)看，盡管銀行卡犯罪的手段非常多樣化，包括盜竊持卡人賬號(hào)和密碼復(fù)制偽卡、欺詐申請(qǐng)和非法套現(xiàn)等各種形式，但究其根本主要是兩個(gè)方面的問(wèn)題，銀行卡產(chǎn)品的安全問(wèn)題和銀行卡賬戶信息的安全管理問(wèn)題。根據(jù)中心從2006年以來(lái)做的研究來(lái)看，國(guó)際上對(duì)于銀行卡的安全問(wèn)題也是分成前端和后端兩個(gè)方面，田博士介紹說(shuō)。 
　　 
　　一方面，對(duì)于所謂的銀行卡的前端，也就是銀行卡產(chǎn)品本身，包括卡片、受理終端以及受理環(huán)境這些方面，它們本身安全不安全，這是一個(gè)很直接的問(wèn)題。以我們使用的ATM機(jī)為例，如果自身就存在著很多安全隱患，就會(huì)給不法分子造成可乘之機(jī)。比如在輸入密碼的時(shí)候，就會(huì)有犯罪分子通過(guò)“釣魚”的方法，埋一個(gè)芯片在里面，竊取持卡人賬號(hào)和密碼；甚至還可以通過(guò)一定途徑破解出按鍵的聲音，從而獲得持卡人密碼，諸如此類問(wèn)題在產(chǎn)品自身設(shè)計(jì)方面存在缺陷，導(dǎo)致潛伏大量的不安全因素，這是一個(gè)很直接的問(wèn)題。 

　　另一方面，對(duì)于所謂的銀行卡的后端，也就是銀行卡的賬戶信息安全，主要是銀行卡交易支付處理系統(tǒng)安全方面的問(wèn)題，持卡人使用銀行卡消費(fèi)的過(guò)程中，持卡人的卡片敏感數(shù)據(jù)在傳輸、存儲(chǔ)和處理過(guò)程中是不是安全的？這同樣是一個(gè)重要的問(wèn)題。實(shí)際上，大量的持卡人的敏感信息實(shí)際上是存在于銀行卡交易系統(tǒng)之中的，近一兩年來(lái)賬戶信息泄漏問(wèn)題也越來(lái)越受到關(guān)注。銀行卡的敏感信息包括賬號(hào)、PIN和卡有效期等敏感信息的存儲(chǔ)是有一定要求的，在傳輸過(guò)程中應(yīng)該加密的，卡片交易的處理環(huán)境也應(yīng)該是安全的，但是我們的銀行卡賬戶信息安全管理的現(xiàn)狀如何呢？還是存在著一些不安全的因素。比如說(shuō)，有些商場(chǎng)的刷卡交易信息通過(guò)MIS系統(tǒng)進(jìn)行處理，雖然可能銀行卡是安全的，但是這個(gè)MIS系統(tǒng)如果存在問(wèn)題，在對(duì)卡片敏感信息的存儲(chǔ)、傳輸和處理上存在安全缺陷，那么很多持卡人的信息都將面臨泄漏的威脅。 
　　 
　　因此，銀行卡的安全應(yīng)該從前端和后端兩處著手，生產(chǎn)企業(yè)要提高銀行卡產(chǎn)品的安全技術(shù)含量，收單銀行等機(jī)構(gòu)要通過(guò)有效的措施加強(qiáng)銀行卡賬戶信息安全管理，從而保障持卡人的支付行為從開始到結(jié)束的全過(guò)程的安全性，構(gòu)建一個(gè)銀行卡支付安全的防御體系。 

　　營(yíng)造銀行卡支付安全環(huán)境仍需各方加大力度 
　　 
　　盡管銀行卡安全問(wèn)題已經(jīng)備受關(guān)注，為什么目前安全支付環(huán)境建設(shè)方面仍無(wú)大的改觀？在這個(gè)問(wèn)題上，主要涉及到三個(gè)方面的問(wèn)題：即政府方面的安全標(biāo)準(zhǔn)缺失、生產(chǎn)企業(yè)研發(fā)資金投入不夠和檢測(cè)機(jī)構(gòu)的技術(shù)能力存在不足等問(wèn)題，田博士說(shuō)。 

　　首先是標(biāo)準(zhǔn)，銀行卡安全方面沒有系列化的安全標(biāo)準(zhǔn)可以遵循執(zhí)行。從去年起中心就開始專門研究安全問(wèn)題，最終發(fā)現(xiàn)這條路走起來(lái)比較困難，首先一個(gè)問(wèn)題就是國(guó)內(nèi)安全標(biāo)準(zhǔn)有所缺失，不管是對(duì)銀行卡產(chǎn)品，還是對(duì)銀行卡支付交易處理系統(tǒng)，都存在這種情況。要提高銀行卡安全性，衡量的指標(biāo)是什么？只有定下一個(gè)標(biāo)準(zhǔn)，具備衡量安全的量化指標(biāo)，才能判定產(chǎn)品或系統(tǒng)是否是安全的。所以，現(xiàn)在國(guó)內(nèi)銀行卡的安全工作，還是要從基礎(chǔ)做起，亟待出臺(tái)一套適用的安全標(biāo)準(zhǔn)，使銀行卡產(chǎn)業(yè)各參與方在面對(duì)安全問(wèn)題時(shí)有據(jù)可依，有章可循。與發(fā)達(dá)國(guó)家相比，國(guó)內(nèi)的安全標(biāo)準(zhǔn)可以說(shuō)還是不完善的。田博士認(rèn)為，既然我們是從零開始，那就不妨參照一些國(guó)際上已經(jīng)成型的標(biāo)準(zhǔn)，采取引進(jìn)、借鑒的方法，結(jié)合自身情況形成一個(gè)適合國(guó)情的銀行卡產(chǎn)品和賬戶系統(tǒng)的安全標(biāo)準(zhǔn)。如果沒有這樣一個(gè)標(biāo)準(zhǔn)作支撐點(diǎn)，銀行卡的安全支付環(huán)境仍然難有改善和進(jìn)步。銀行卡發(fā)展離不開方便、快捷、好用、安全四個(gè)因素，如果缺乏“安全”要素，那么“方便、快捷、好用”也無(wú)從談起?？上驳氖?，近兩年來(lái)有關(guān)銀行卡的標(biāo)準(zhǔn)也一直在升級(jí)或重新制訂，但是制訂標(biāo)準(zhǔn)是一項(xiàng)費(fèi)時(shí)費(fèi)力的工程，牽扯到方方面面的因素，因此目前標(biāo)準(zhǔn)制訂情況遠(yuǎn)遠(yuǎn)跟不上銀行卡產(chǎn)業(yè)發(fā)展的實(shí)際需求。 
　　 
　　再者是企業(yè)方面，從銀行卡產(chǎn)業(yè)鏈上的企業(yè)來(lái)講，企業(yè)對(duì)于自身的產(chǎn)品，關(guān)注比較多的是功能上是不是能夠被市場(chǎng)接受，而對(duì)于怎樣提高產(chǎn)品的安全性，企業(yè)下的功夫還是不夠。當(dāng)然，由于國(guó)內(nèi)外銀行卡產(chǎn)業(yè)發(fā)展階段的差異，國(guó)內(nèi)在銀行卡安全技術(shù)的研究起步比國(guó)外晚一些；同時(shí)，安全技術(shù)還存在著一些國(guó)際壁壘，比如說(shuō)芯片的安全設(shè)計(jì)，現(xiàn)在全球技術(shù)領(lǐng)先的實(shí)驗(yàn)室都是在歐洲、美國(guó)等地，其安全技術(shù)水平我們現(xiàn)在還達(dá)不到。由于安全技術(shù)的研究開發(fā)成本高，企業(yè)的投入自然成了問(wèn)題。比如要生產(chǎn)達(dá)到國(guó)際標(biāo)準(zhǔn)要求的一款高安全性POS機(jī)，其成本會(huì)在現(xiàn)有基礎(chǔ)上增加30％~40％；或者開發(fā)一套高安全性的MIS收單系統(tǒng)，面臨的投入也會(huì)增加。在此情況下，怎樣降低成本、順利開展安全技術(shù)的研究，以及如何利用低成本的方法解決安全技術(shù)漏洞，生產(chǎn)出一流科技含量的軟硬件產(chǎn)品，是生產(chǎn)企業(yè)必須認(rèn)真對(duì)待的問(wèn)題，而這些問(wèn)題恰恰應(yīng)該引起這些企業(yè)的高度關(guān)注。 

　　最后就是檢測(cè)機(jī)構(gòu)方面，也就是卡片、終端和賬戶信息處理系統(tǒng)的測(cè)試評(píng)估實(shí)施機(jī)構(gòu)方面，不能只是呼吁增強(qiáng)銀行卡安全性，而是應(yīng)該努力增強(qiáng)安全測(cè)試和評(píng)估能力，找到一把判別是否安全的標(biāo)尺。比如，目前銀行卡產(chǎn)品在安全性上良莠不齊，怎樣去判別它，判別的手段是什么？這就是檢測(cè)單位需要解決的問(wèn)題。田博士感慨的講道，以銀行卡產(chǎn)品的安全測(cè)試技術(shù)為例，在2006年5月她參加了國(guó)際銀行卡組織舉辦的一個(gè)銀行卡安全會(huì)議，在會(huì)上她提出中心是否能夠和國(guó)際上的安全研究機(jī)構(gòu)進(jìn)行一些技術(shù)交流和培訓(xùn)，結(jié)果被告知這是絕對(duì)不可能的，這些安全技術(shù)完全保密。因此，在安全技術(shù)研究上，我們只能靠自己努力學(xué)習(xí)，自我加速成長(zhǎng)。俗話說(shuō)，道高一尺，魔高一丈，所以在對(duì)待安全的態(tài)度上，沒有最好，只有更好。對(duì)我們國(guó)內(nèi)的檢測(cè)評(píng)估機(jī)構(gòu)來(lái)講，研究銀行卡安全測(cè)評(píng)技術(shù)，不僅是一種技術(shù)上的較量，也是一種自我挑戰(zhàn)。 

　　堅(jiān)定不移的走創(chuàng)新與發(fā)展的道路 
　　 
　　從1998年建成為行業(yè)服務(wù)的銀行卡及受理終端檢測(cè)實(shí)驗(yàn)室，到2003年獲得CNAS認(rèn)可資質(zhì)成為國(guó)家級(jí)實(shí)驗(yàn)室，再到2005年一舉通過(guò)EMVCo的技術(shù)考核和管理評(píng)審，成為全球?yàn)閿?shù)不多的具有國(guó)際資質(zhì)的EMV檢測(cè)實(shí)驗(yàn)室，這些年來(lái)銀行卡檢測(cè)中心一直在保持著不斷創(chuàng)新和快速發(fā)展的步伐。以EMV檢測(cè)實(shí)驗(yàn)室為例，由于要解決奧運(yùn)會(huì)期間銀行卡消費(fèi)的外卡收單問(wèn)題，各奧運(yùn)城市都要求新布放POS要具備IC卡受理功能，所以中心的EMV檢測(cè)實(shí)驗(yàn)室就有了用武之地，其業(yè)務(wù)量目前居于全球同類實(shí)驗(yàn)室之首。田博士說(shuō)，“這不僅是源于中心的努力，也源于企業(yè)對(duì)中心的支持和信賴，源于中國(guó)銀行卡產(chǎn)業(yè)發(fā)展的大好形勢(shì)”。  

　　田博士認(rèn)為，芯片卡的安全程度比起磁條卡來(lái)，是存在著一定的提高的，但這只是相對(duì)的安全，不能說(shuō)是換成芯片卡就安全了；而且，安全不僅是卡的問(wèn)題，終端受理機(jī)具也存在著安全問(wèn)題，這是一個(gè)有多方面的要求體系問(wèn)題。中心從2006年開始，從學(xué)習(xí)國(guó)際安全標(biāo)準(zhǔn)入手，從最基礎(chǔ)的安全研究做起，目前已經(jīng)有了一些成果和進(jìn)展。比如在銀行卡產(chǎn)品測(cè)試方面，中心利用聲波來(lái)檢測(cè)POS機(jī)的安全性能，當(dāng)持卡人在輸入密碼時(shí)，可以通過(guò)聲譜分析破譯個(gè)人密碼，實(shí)驗(yàn)室內(nèi)部試驗(yàn)成功率達(dá)到90%，這就對(duì)POS、ATM和自助設(shè)備的安全性能提出了新的安全設(shè)計(jì)要求。  
　　 
　　對(duì)于銀行卡產(chǎn)品安全的問(wèn)題，主要涉及兩類技術(shù)。一類是物理安全技術(shù)，涉及到產(chǎn)品的防盜、防撬等方面，在有人去竊取、安裝芯片的時(shí)候，機(jī)具是不是會(huì)自毀，會(huì)不會(huì)報(bào)警，傳感器起不起作用，傳感器的安裝的位置正不正確，諸如此類的問(wèn)題必須解決。另一類是邏輯安全技術(shù)，就是Timing 測(cè)試、密鑰的攻擊、隨機(jī)數(shù)的真?zhèn)蔚呐袛嗟燃夹g(shù)。田博士介紹說(shuō)，現(xiàn)在就銀行卡產(chǎn)品的安全檢測(cè)來(lái)講，中心已經(jīng)擁有幾十種比較成熟的技術(shù)了，還有一些技術(shù)正在開發(fā)之中，取得了一些階段性的成果，當(dāng)然后面還是有很多的工作去做，要提高安全檢測(cè)能力，還有許多技術(shù)難點(diǎn)要去突破。 

　　銀行卡賬戶信息安全問(wèn)題，在國(guó)內(nèi)還是一個(gè)比較新的課題。從國(guó)際上的經(jīng)驗(yàn)教訓(xùn)來(lái)看，至今為止最嚴(yán)重的一次事件是2005年6月MasterCard的大約4500萬(wàn)持卡人銀行卡賬戶信息泄漏，它造成的損失遠(yuǎn)遠(yuǎn)比個(gè)人損失要大得多，因此目前國(guó)際上非常注重銀行卡賬戶信息系統(tǒng)的安全測(cè)試和評(píng)估。但是，國(guó)內(nèi)的現(xiàn)狀如何呢？國(guó)內(nèi)的賬戶信息系統(tǒng)安全標(biāo)準(zhǔn)尚待完善，賬戶信息安全評(píng)估能力有待提高，所以國(guó)內(nèi)在賬戶信息安全方面與國(guó)外相比還是有很大的差距的。銀行卡檢測(cè)中心目前已投入大量人力研究卡片賬戶信息的安全測(cè)試技術(shù)和安全評(píng)估等相關(guān)方面。 
　　 
　　田博士說(shuō)：“國(guó)際上對(duì)交易量每天達(dá)到多少的收單機(jī)構(gòu)、特約商戶和第三方手段專業(yè)化服務(wù)提供商有具體的規(guī)定，必須對(duì)業(yè)務(wù)處理系統(tǒng)作定期的弱點(diǎn)掃描甚至現(xiàn)場(chǎng)評(píng)估，從而發(fā)現(xiàn)安全隱患、改進(jìn)不足，加固安全。但是國(guó)內(nèi)情況呢？做了沒有？由誰(shuí)來(lái)做？難道要讓外國(guó)人來(lái)做嗎？難道中國(guó)的銀行卡信息安全要掌握在外國(guó)人的手中嗎？我認(rèn)為，我們的銀行，包括我們這樣的檢測(cè)機(jī)構(gòu)，都是有一定責(zé)任的。” 

　　今年6月，人民銀行的蘇寧副行長(zhǎng)和科技司的文四立司長(zhǎng)視察了銀行卡檢測(cè)中心，對(duì)正在建設(shè)中的銀行卡安全實(shí)驗(yàn)室給予了高度重視?！吧霞?jí)領(lǐng)導(dǎo)對(duì)中心對(duì)安全實(shí)驗(yàn)室里所有項(xiàng)目逐一仔細(xì)了解，并著重強(qiáng)調(diào)了要對(duì)銀行卡安全技術(shù)做好保密工作”，田博士微微笑著說(shuō)。 
　　 
　　秋日下午的陽(yáng)光溫暖而匆忙，不經(jīng)意間訪談已經(jīng)過(guò)去了兩個(gè)多小時(shí)。談話過(guò)程中，田博士辦公桌上的電話鈴聲時(shí)時(shí)響起，她對(duì)記者不時(shí)輕輕點(diǎn)頭表示歉意，然后停下來(lái)接電話處理各項(xiàng)事務(wù)。但是對(duì)于記者提出的問(wèn)題，她回答的十分認(rèn)真仔細(xì)，清晰而敏銳。從談話中可以看出，作為銀行卡檢測(cè)中心的帶頭人，作為業(yè)內(nèi)的權(quán)威人士，田博士對(duì)于銀行卡安全有著如此豐富見解，可見她在銀行卡安全事業(yè)上傾注了很多的心血。 

　　最后，田博士對(duì)推動(dòng)銀行卡安全工作提了兩點(diǎn)建議：一是需要趕快出臺(tái)銀行卡產(chǎn)品和賬戶信息安全方面的相關(guān)標(biāo)準(zhǔn)，努力跟上國(guó)際水平；二是建立檢測(cè)和認(rèn)證評(píng)估體系，執(zhí)行安全標(biāo)準(zhǔn)，只要各方合力協(xié)作來(lái)鑄造銀行卡的安全長(zhǎng)城，一定能使我國(guó)的銀行卡安全支付環(huán)境大大改善，營(yíng)造安全的銀行卡支付環(huán)境，減少銀行卡犯罪的發(fā)生機(jī)率，從而提高社會(huì)對(duì)使用銀行卡支付的信心，促進(jìn)我國(guó)銀行卡產(chǎn)業(yè)的良性發(fā)展。