銀行卡檢測(cè)中心:構(gòu)建銀行卡安全支付環(huán)境——專訪銀行卡檢測(cè)中心主任田朝陽(yáng)博士
2007-10-23 09:24 卡市場(chǎng)
導(dǎo)讀:近年來(lái),我國(guó)銀行卡產(chǎn)業(yè)發(fā)展迅速,銀行卡發(fā)卡量和消費(fèi)總額呈現(xiàn)大幅上升趨勢(shì),銀行卡逐漸成為人們?nèi)粘I钪械闹匾Ц豆ぞ咧弧5?,銀行卡的支付安全問(wèn)題隨之而來(lái),據(jù)有關(guān)機(jī)構(gòu)透露,當(dāng)前我國(guó)銀行卡犯罪所造成的損失每年達(dá)到數(shù)億元,而且可能仍有上升趨勢(shì),這對(duì)我國(guó)的銀行卡支付安全提出了更高的要求。為此,8月底的一個(gè)下午,本刊記者走訪了銀行卡檢測(cè)中心的主任田朝陽(yáng)博士,期望通過(guò)與這位業(yè)界權(quán)威專家的訪談,探討我國(guó)銀行卡安全領(lǐng)域的現(xiàn)實(shí)情況和發(fā)展方向。
近年來(lái),我國(guó)銀行卡產(chǎn)業(yè)發(fā)展迅速,銀行卡發(fā)卡量和消費(fèi)總額呈現(xiàn)大幅上升趨勢(shì),銀行卡逐漸成為人們?nèi)粘I钪械闹匾Ц豆ぞ咧弧5?,銀行卡的支付安全問(wèn)題隨之而來(lái),據(jù)有關(guān)機(jī)構(gòu)透露,當(dāng)前我國(guó)銀行卡犯罪所造成的損失每年達(dá)到數(shù)億元,而且可能仍有上升趨勢(shì),這對(duì)我國(guó)的銀行卡支付安全提出了更高的要求。為此,8月底的一個(gè)下午,本刊記者走訪了銀行卡檢測(cè)中心的主任田朝陽(yáng)博士,期望通過(guò)與這位業(yè)界權(quán)威專家的訪談,探討我國(guó)銀行卡安全領(lǐng)域的現(xiàn)實(shí)情況和發(fā)展方向。
銀行卡產(chǎn)品和賬戶信息安全問(wèn)題日益突出
“銀行卡安全問(wèn)題不僅是業(yè)內(nèi)高度關(guān)注的話題,更關(guān)系到千千萬(wàn)萬(wàn)持卡人對(duì)使用銀行卡能否保持充足信心的問(wèn)題,而這個(gè)問(wèn)題,恰恰是決定銀行卡產(chǎn)業(yè)能否長(zhǎng)期持續(xù)發(fā)展的根本問(wèn)題。如果持卡人沒(méi)有信心,那么所謂的銀行卡產(chǎn)業(yè)發(fā)展將無(wú)從談起?!碧锊┦块_(kāi)門見(jiàn)山,娓娓道來(lái),直擊問(wèn)題要害。據(jù)田博士介紹,從2006年開(kāi)始,銀行卡檢測(cè)中心(以下簡(jiǎn)稱“中心”)就開(kāi)始關(guān)注卡基支付安全問(wèn)題,關(guān)注銀行卡產(chǎn)品的安全技術(shù)和涉及到銀行卡支付交易的相關(guān)安全問(wèn)題,同時(shí)對(duì)國(guó)內(nèi)和國(guó)際上在銀行卡安全方面的發(fā)展?fàn)顩r進(jìn)行持續(xù)的調(diào)查和研究。
這兩年國(guó)內(nèi)銀行卡發(fā)展的速度雖然很快,但與發(fā)達(dá)國(guó)家安全支付環(huán)境的建設(shè)水平相比,我們現(xiàn)在還處于一個(gè)銀行卡發(fā)展的初級(jí)階段。無(wú)論是銀行還是生產(chǎn)企業(yè),大家比較關(guān)注的仍然是業(yè)務(wù)和市場(chǎng)拓展,對(duì)于安全和風(fēng)險(xiǎn)的關(guān)注度要低一些。就目前來(lái)看,盡管銀行卡犯罪的手段非常多樣化,包括盜竊持卡人賬號(hào)和密碼復(fù)制偽卡、欺詐申請(qǐng)和非法套現(xiàn)等各種形式,但究其根本主要是兩個(gè)方面的問(wèn)題,銀行卡產(chǎn)品的安全問(wèn)題和銀行卡賬戶信息的安全管理問(wèn)題。根據(jù)中心從2006年以來(lái)做的研究來(lái)看,國(guó)際上對(duì)于銀行卡的安全問(wèn)題也是分成前端和后端兩個(gè)方面,田博士介紹說(shuō)。
一方面,對(duì)于所謂的銀行卡的前端,也就是銀行卡產(chǎn)品本身,包括卡片、受理終端以及受理環(huán)境這些方面,它們本身安全不安全,這是一個(gè)很直接的問(wèn)題。以我們使用的ATM機(jī)為例,如果自身就存在著很多安全隱患,就會(huì)給不法分子造成可乘之機(jī)。比如在輸入密碼的時(shí)候,就會(huì)有犯罪分子通過(guò)“釣魚”的方法,埋一個(gè)芯片在里面,竊取持卡人賬號(hào)和密碼;甚至還可以通過(guò)一定途徑破解出按鍵的聲音,從而獲得持卡人密碼,諸如此類問(wèn)題在產(chǎn)品自身設(shè)計(jì)方面存在缺陷,導(dǎo)致潛伏大量的不安全因素,這是一個(gè)很直接的問(wèn)題。
另一方面,對(duì)于所謂的銀行卡的后端,也就是銀行卡的賬戶信息安全,主要是銀行卡交易支付處理系統(tǒng)安全方面的問(wèn)題,持卡人使用銀行卡消費(fèi)的過(guò)程中,持卡人的卡片敏感數(shù)據(jù)在傳輸、存儲(chǔ)和處理過(guò)程中是不是安全的?這同樣是一個(gè)重要的問(wèn)題。實(shí)際上,大量的持卡人的敏感信息實(shí)際上是存在于銀行卡交易系統(tǒng)之中的,近一兩年來(lái)賬戶信息泄漏問(wèn)題也越來(lái)越受到關(guān)注。銀行卡的敏感信息包括賬號(hào)、PIN和卡有效期等敏感信息的存儲(chǔ)是有一定要求的,在傳輸過(guò)程中應(yīng)該加密的,卡片交易的處理環(huán)境也應(yīng)該是安全的,但是我們的銀行卡賬戶信息安全管理的現(xiàn)狀如何呢?還是存在著一些不安全的因素。比如說(shuō),有些商場(chǎng)的刷卡交易信息通過(guò)MIS系統(tǒng)進(jìn)行處理,雖然可能銀行卡是安全的,但是這個(gè)MIS系統(tǒng)如果存在問(wèn)題,在對(duì)卡片敏感信息的存儲(chǔ)、傳輸和處理上存在安全缺陷,那么很多持卡人的信息都將面臨泄漏的威脅。
因此,銀行卡的安全應(yīng)該從前端和后端兩處著手,生產(chǎn)企業(yè)要提高銀行卡產(chǎn)品的安全技術(shù)含量,收單銀行等機(jī)構(gòu)要通過(guò)有效的措施加強(qiáng)銀行卡賬戶信息安全管理,從而保障持卡人的支付行為從開(kāi)始到結(jié)束的全過(guò)程的安全性,構(gòu)建一個(gè)銀行卡支付安全的防御體系。
營(yíng)造銀行卡支付安全環(huán)境仍需各方加大力度
盡管銀行卡安全問(wèn)題已經(jīng)備受關(guān)注,為什么目前安全支付環(huán)境建設(shè)方面仍無(wú)大的改觀?在這個(gè)問(wèn)題上,主要涉及到三個(gè)方面的問(wèn)題:即政府方面的安全標(biāo)準(zhǔn)缺失、生產(chǎn)企業(yè)研發(fā)資金投入不夠和檢測(cè)機(jī)構(gòu)的技術(shù)能力存在不足等問(wèn)題,田博士說(shuō)。
首先是標(biāo)準(zhǔn),銀行卡安全方面沒(méi)有系列化的安全標(biāo)準(zhǔn)可以遵循執(zhí)行。從去年起中心就開(kāi)始專門研究安全問(wèn)題,最終發(fā)現(xiàn)這條路走起來(lái)比較困難,首先一個(gè)問(wèn)題就是國(guó)內(nèi)安全標(biāo)準(zhǔn)有所缺失,不管是對(duì)銀行卡產(chǎn)品,還是對(duì)銀行卡支付交易處理系統(tǒng),都存在這種情況。要提高銀行卡安全性,衡量的指標(biāo)是什么?只有定下一個(gè)標(biāo)準(zhǔn),具備衡量安全的量化指標(biāo),才能判定產(chǎn)品或系統(tǒng)是否是安全的。所以,現(xiàn)在國(guó)內(nèi)銀行卡的安全工作,還是要從基礎(chǔ)做起,亟待出臺(tái)一套適用的安全標(biāo)準(zhǔn),使銀行卡產(chǎn)業(yè)各參與方在面對(duì)安全問(wèn)題時(shí)有據(jù)可依,有章可循。與發(fā)達(dá)國(guó)家相比,國(guó)內(nèi)的安全標(biāo)準(zhǔn)可以說(shuō)還是不完善的。田博士認(rèn)為,既然我們是從零開(kāi)始,那就不妨參照一些國(guó)際上已經(jīng)成型的標(biāo)準(zhǔn),采取引進(jìn)、借鑒的方法,結(jié)合自身情況形成一個(gè)適合國(guó)情的銀行卡產(chǎn)品和賬戶系統(tǒng)的安全標(biāo)準(zhǔn)。如果沒(méi)有這樣一個(gè)標(biāo)準(zhǔn)作支撐點(diǎn),銀行卡的安全支付環(huán)境仍然難有改善和進(jìn)步。銀行卡發(fā)展離不開(kāi)方便、快捷、好用、安全四個(gè)因素,如果缺乏“安全”要素,那么“方便、快捷、好用”也無(wú)從談起??上驳氖牵鼉赡陙?lái)有關(guān)銀行卡的標(biāo)準(zhǔn)也一直在升級(jí)或重新制訂,但是制訂標(biāo)準(zhǔn)是一項(xiàng)費(fèi)時(shí)費(fèi)力的工程,牽扯到方方面面的因素,因此目前標(biāo)準(zhǔn)制訂情況遠(yuǎn)遠(yuǎn)跟不上銀行卡產(chǎn)業(yè)發(fā)展的實(shí)際需求。
再者是企業(yè)方面,從銀行卡產(chǎn)業(yè)鏈上的企業(yè)來(lái)講,企業(yè)對(duì)于自身的產(chǎn)品,關(guān)注比較多的是功能上是不是能夠被市場(chǎng)接受,而對(duì)于怎樣提高產(chǎn)品的安全性,企業(yè)下的功夫還是不夠。當(dāng)然,由于國(guó)內(nèi)外銀行卡產(chǎn)業(yè)發(fā)展階段的差異,國(guó)內(nèi)在銀行卡安全技術(shù)的研究起步比國(guó)外晚一些;同時(shí),安全技術(shù)還存在著一些國(guó)際壁壘,比如說(shuō)芯片的安全設(shè)計(jì),現(xiàn)在全球技術(shù)領(lǐng)先的實(shí)驗(yàn)室都是在歐洲、美國(guó)等地,其安全技術(shù)水平我們現(xiàn)在還達(dá)不到。由于安全技術(shù)的研究開(kāi)發(fā)成本高,企業(yè)的投入自然成了問(wèn)題。比如要生產(chǎn)達(dá)到國(guó)際標(biāo)準(zhǔn)要求的一款高安全性POS機(jī),其成本會(huì)在現(xiàn)有基礎(chǔ)上增加30%~40%;或者開(kāi)發(fā)一套高安全性的MIS收單系統(tǒng),面臨的投入也會(huì)增加。在此情況下,怎樣降低成本、順利開(kāi)展安全技術(shù)的研究,以及如何利用低成本的方法解決安全技術(shù)漏洞,生產(chǎn)出一流科技含量的軟硬件產(chǎn)品,是生產(chǎn)企業(yè)必須認(rèn)真對(duì)待的問(wèn)題,而這些問(wèn)題恰恰應(yīng)該引起這些企業(yè)的高度關(guān)注。
最后就是檢測(cè)機(jī)構(gòu)方面,也就是卡片、終端和賬戶信息處理系統(tǒng)的測(cè)試評(píng)估實(shí)施機(jī)構(gòu)方面,不能只是呼吁增強(qiáng)銀行卡安全性,而是應(yīng)該努力增強(qiáng)安全測(cè)試和評(píng)估能力,找到一把判別是否安全的標(biāo)尺。比如,目前銀行卡產(chǎn)品在安全性上良莠不齊,怎樣去判別它,判別的手段是什么?這就是檢測(cè)單位需要解決的問(wèn)題。田博士感慨的講道,以銀行卡產(chǎn)品的安全測(cè)試技術(shù)為例,在2006年5月她參加了國(guó)際銀行卡組織舉辦的一個(gè)銀行卡安全會(huì)議,在會(huì)上她提出中心是否能夠和國(guó)際上的安全研究機(jī)構(gòu)進(jìn)行一些技術(shù)交流和培訓(xùn),結(jié)果被告知這是絕對(duì)不可能的,這些安全技術(shù)完全保密。因此,在安全技術(shù)研究上,我們只能靠自己努力學(xué)習(xí),自我加速成長(zhǎng)。俗話說(shuō),道高一尺,魔高一丈,所以在對(duì)待安全的態(tài)度上,沒(méi)有最好,只有更好。對(duì)我們國(guó)內(nèi)的檢測(cè)評(píng)估機(jī)構(gòu)來(lái)講,研究銀行卡安全測(cè)評(píng)技術(shù),不僅是一種技術(shù)上的較量,也是一種自我挑戰(zhàn)。
堅(jiān)定不移的走創(chuàng)新與發(fā)展的道路
從1998年建成為行業(yè)服務(wù)的銀行卡及受理終端檢測(cè)實(shí)驗(yàn)室,到2003年獲得CNAS認(rèn)可資質(zhì)成為國(guó)家級(jí)實(shí)驗(yàn)室,再到2005年一舉通過(guò)EMVCo的技術(shù)考核和管理評(píng)審,成為全球?yàn)閿?shù)不多的具有國(guó)際資質(zhì)的EMV檢測(cè)實(shí)驗(yàn)室,這些年來(lái)銀行卡檢測(cè)中心一直在保持著不斷創(chuàng)新和快速發(fā)展的步伐。以EMV檢測(cè)實(shí)驗(yàn)室為例,由于要解決奧運(yùn)會(huì)期間銀行卡消費(fèi)的外卡收單問(wèn)題,各奧運(yùn)城市都要求新布放POS要具備IC卡受理功能,所以中心的EMV檢測(cè)實(shí)驗(yàn)室就有了用武之地,其業(yè)務(wù)量目前居于全球同類實(shí)驗(yàn)室之首。田博士說(shuō),“這不僅是源于中心的努力,也源于企業(yè)對(duì)中心的支持和信賴,源于中國(guó)銀行卡產(chǎn)業(yè)發(fā)展的大好形勢(shì)”。
田博士認(rèn)為,芯片卡的安全程度比起磁條卡來(lái),是存在著一定的提高的,但這只是相對(duì)的安全,不能說(shuō)是換成芯片卡就安全了;而且,安全不僅是卡的問(wèn)題,終端受理機(jī)具也存在著安全問(wèn)題,這是一個(gè)有多方面的要求體系問(wèn)題。中心從2006年開(kāi)始,從學(xué)習(xí)國(guó)際安全標(biāo)準(zhǔn)入手,從最基礎(chǔ)的安全研究做起,目前已經(jīng)有了一些成果和進(jìn)展。比如在銀行卡產(chǎn)品測(cè)試方面,中心利用聲波來(lái)檢測(cè)POS機(jī)的安全性能,當(dāng)持卡人在輸入密碼時(shí),可以通過(guò)聲譜分析破譯個(gè)人密碼,實(shí)驗(yàn)室內(nèi)部試驗(yàn)成功率達(dá)到90%,這就對(duì)POS、ATM和自助設(shè)備的安全性能提出了新的安全設(shè)計(jì)要求。
對(duì)于銀行卡產(chǎn)品安全的問(wèn)題,主要涉及兩類技術(shù)。一類是物理安全技術(shù),涉及到產(chǎn)品的防盜、防撬等方面,在有人去竊取、安裝芯片的時(shí)候,機(jī)具是不是會(huì)自毀,會(huì)不會(huì)報(bào)警,傳感器起不起作用,傳感器的安裝的位置正不正確,諸如此類的問(wèn)題必須解決。另一類是邏輯安全技術(shù),就是Timing 測(cè)試、密鑰的攻擊、隨機(jī)數(shù)的真?zhèn)蔚呐袛嗟燃夹g(shù)。田博士介紹說(shuō),現(xiàn)在就銀行卡產(chǎn)品的安全檢測(cè)來(lái)講,中心已經(jīng)擁有幾十種比較成熟的技術(shù)了,還有一些技術(shù)正在開(kāi)發(fā)之中,取得了一些階段性的成果,當(dāng)然后面還是有很多的工作去做,要提高安全檢測(cè)能力,還有許多技術(shù)難點(diǎn)要去突破。
銀行卡賬戶信息安全問(wèn)題,在國(guó)內(nèi)還是一個(gè)比較新的課題。從國(guó)際上的經(jīng)驗(yàn)教訓(xùn)來(lái)看,至今為止最嚴(yán)重的一次事件是2005年6月MasterCard的大約4500萬(wàn)持卡人銀行卡賬戶信息泄漏,它造成的損失遠(yuǎn)遠(yuǎn)比個(gè)人損失要大得多,因此目前國(guó)際上非常注重銀行卡賬戶信息系統(tǒng)的安全測(cè)試和評(píng)估。但是,國(guó)內(nèi)的現(xiàn)狀如何呢?國(guó)內(nèi)的賬戶信息系統(tǒng)安全標(biāo)準(zhǔn)尚待完善,賬戶信息安全評(píng)估能力有待提高,所以國(guó)內(nèi)在賬戶信息安全方面與國(guó)外相比還是有很大的差距的。銀行卡檢測(cè)中心目前已投入大量人力研究卡片賬戶信息的安全測(cè)試技術(shù)和安全評(píng)估等相關(guān)方面。
田博士說(shuō):“國(guó)際上對(duì)交易量每天達(dá)到多少的收單機(jī)構(gòu)、特約商戶和第三方手段專業(yè)化服務(wù)提供商有具體的規(guī)定,必須對(duì)業(yè)務(wù)處理系統(tǒng)作定期的弱點(diǎn)掃描甚至現(xiàn)場(chǎng)評(píng)估,從而發(fā)現(xiàn)安全隱患、改進(jìn)不足,加固安全。但是國(guó)內(nèi)情況呢?做了沒(méi)有?由誰(shuí)來(lái)做?難道要讓外國(guó)人來(lái)做嗎?難道中國(guó)的銀行卡信息安全要掌握在外國(guó)人的手中嗎?我認(rèn)為,我們的銀行,包括我們這樣的檢測(cè)機(jī)構(gòu),都是有一定責(zé)任的。”
今年6月,人民銀行的蘇寧副行長(zhǎng)和科技司的文四立司長(zhǎng)視察了銀行卡檢測(cè)中心,對(duì)正在建設(shè)中的銀行卡安全實(shí)驗(yàn)室給予了高度重視?!吧霞?jí)領(lǐng)導(dǎo)對(duì)中心對(duì)安全實(shí)驗(yàn)室里所有項(xiàng)目逐一仔細(xì)了解,并著重強(qiáng)調(diào)了要對(duì)銀行卡安全技術(shù)做好保密工作”,田博士微微笑著說(shuō)。
秋日下午的陽(yáng)光溫暖而匆忙,不經(jīng)意間訪談已經(jīng)過(guò)去了兩個(gè)多小時(shí)。談話過(guò)程中,田博士辦公桌上的電話鈴聲時(shí)時(shí)響起,她對(duì)記者不時(shí)輕輕點(diǎn)頭表示歉意,然后停下來(lái)接電話處理各項(xiàng)事務(wù)。但是對(duì)于記者提出的問(wèn)題,她回答的十分認(rèn)真仔細(xì),清晰而敏銳。從談話中可以看出,作為銀行卡檢測(cè)中心的帶頭人,作為業(yè)內(nèi)的權(quán)威人士,田博士對(duì)于銀行卡安全有著如此豐富見(jiàn)解,可見(jiàn)她在銀行卡安全事業(yè)上傾注了很多的心血。
最后,田博士對(duì)推動(dòng)銀行卡安全工作提了兩點(diǎn)建議:一是需要趕快出臺(tái)銀行卡產(chǎn)品和賬戶信息安全方面的相關(guān)標(biāo)準(zhǔn),努力跟上國(guó)際水平;二是建立檢測(cè)和認(rèn)證評(píng)估體系,執(zhí)行安全標(biāo)準(zhǔn),只要各方合力協(xié)作來(lái)鑄造銀行卡的安全長(zhǎng)城,一定能使我國(guó)的銀行卡安全支付環(huán)境大大改善,營(yíng)造安全的銀行卡支付環(huán)境,減少銀行卡犯罪的發(fā)生機(jī)率,從而提高社會(huì)對(duì)使用銀行卡支付的信心,促進(jìn)我國(guó)銀行卡產(chǎn)業(yè)的良性發(fā)展。