银行卡检测中心:构建银行卡安全支付环境——专访银行卡检测中心主任田朝阳博士
作者:卡市场
日期:2007-10-23 09:27:03
摘要:近年来,我国银行卡产业发展迅速,银行卡发卡量和消费总额呈现大幅上升趋势,银行卡逐渐成为人们日常生活中的重要支付工具之一。但是,银行卡的支付安全问题随之而来,据有关机构透露,当前我国银行卡犯罪所造成的损失每年达到数亿元,而且可能仍有上升趋势,这对我国的银行卡支付安全提出了更高的要求。为此,8月底的一个下午,本刊记者走访了银行卡检测中心的主任田朝阳博士,期望通过与这位业界权威专家的访谈,探讨我国银行卡安全领域的现实情况和发展方向。
近年来,我国银行卡产业发展迅速,银行卡发卡量和消费总额呈现大幅上升趋势,银行卡逐渐成为人们日常生活中的重要支付工具之一。但是,银行卡的支付安全问题随之而来,据有关机构透露,当前我国银行卡犯罪所造成的损失每年达到数亿元,而且可能仍有上升趋势,这对我国的银行卡支付安全提出了更高的要求。为此,8月底的一个下午,本刊记者走访了银行卡检测中心的主任田朝阳博士,期望通过与这位业界权威专家的访谈,探讨我国银行卡安全领域的现实情况和发展方向。
银行卡产品和账户信息安全问题日益突出
“银行卡安全问题不仅是业内高度关注的话题,更关系到千千万万持卡人对使用银行卡能否保持充足信心的问题,而这个问题,恰恰是决定银行卡产业能否长期持续发展的根本问题。如果持卡人没有信心,那么所谓的银行卡产业发展将无从谈起。”田博士开门见山,娓娓道来,直击问题要害。据田博士介绍,从2006年开始,银行卡检测中心(以下简称“中心”)就开始关注卡基支付安全问题,关注银行卡产品的安全技术和涉及到银行卡支付交易的相关安全问题,同时对国内和国际上在银行卡安全方面的发展状况进行持续的调查和研究。
这两年国内银行卡发展的速度虽然很快,但与发达国家安全支付环境的建设水平相比,我们现在还处于一个银行卡发展的初级阶段。无论是银行还是生产企业,大家比较关注的仍然是业务和市场拓展,对于安全和风险的关注度要低一些。就目前来看,尽管银行卡犯罪的手段非常多样化,包括盗窃持卡人账号和密码复制伪卡、欺诈申请和非法套现等各种形式,但究其根本主要是两个方面的问题,银行卡产品的安全问题和银行卡账户信息的安全管理问题。根据中心从2006年以来做的研究来看,国际上对于银行卡的安全问题也是分成前端和后端两个方面,田博士介绍说。
一方面,对于所谓的银行卡的前端,也就是银行卡产品本身,包括卡片、受理终端以及受理环境这些方面,它们本身安全不安全,这是一个很直接的问题。以我们使用的ATM机为例,如果自身就存在着很多安全隐患,就会给不法分子造成可乘之机。比如在输入密码的时候,就会有犯罪分子通过“钓鱼”的方法,埋一个芯片在里面,窃取持卡人账号和密码;甚至还可以通过一定途径破解出按键的声音,从而获得持卡人密码,诸如此类问题在产品自身设计方面存在缺陷,导致潜伏大量的不安全因素,这是一个很直接的问题。
另一方面,对于所谓的银行卡的后端,也就是银行卡的账户信息安全,主要是银行卡交易支付处理系统安全方面的问题,持卡人使用银行卡消费的过程中,持卡人的卡片敏感数据在传输、存储和处理过程中是不是安全的?这同样是一个重要的问题。实际上,大量的持卡人的敏感信息实际上是存在于银行卡交易系统之中的,近一两年来账户信息泄漏问题也越来越受到关注。银行卡的敏感信息包括账号、PIN和卡有效期等敏感信息的存储是有一定要求的,在传输过程中应该加密的,卡片交易的处理环境也应该是安全的,但是我们的银行卡账户信息安全管理的现状如何呢?还是存在着一些不安全的因素。比如说,有些商场的刷卡交易信息通过MIS系统进行处理,虽然可能银行卡是安全的,但是这个MIS系统如果存在问题,在对卡片敏感信息的存储、传输和处理上存在安全缺陷,那么很多持卡人的信息都将面临泄漏的威胁。
因此,银行卡的安全应该从前端和后端两处着手,生产企业要提高银行卡产品的安全技术含量,收单银行等机构要通过有效的措施加强银行卡账户信息安全管理,从而保障持卡人的支付行为从开始到结束的全过程的安全性,构建一个银行卡支付安全的防御体系。
营造银行卡支付安全环境仍需各方加大力度
尽管银行卡安全问题已经备受关注,为什么目前安全支付环境建设方面仍无大的改观?在这个问题上,主要涉及到三个方面的问题:即政府方面的安全标准缺失、生产企业研发资金投入不够和检测机构的技术能力存在不足等问题,田博士说。
首先是标准,银行卡安全方面没有系列化的安全标准可以遵循执行。从去年起中心就开始专门研究安全问题,最终发现这条路走起来比较困难,首先一个问题就是国内安全标准有所缺失,不管是对银行卡产品,还是对银行卡支付交易处理系统,都存在这种情况。要提高银行卡安全性,衡量的指标是什么?只有定下一个标准,具备衡量安全的量化指标,才能判定产品或系统是否是安全的。所以,现在国内银行卡的安全工作,还是要从基础做起,亟待出台一套适用的安全标准,使银行卡产业各参与方在面对安全问题时有据可依,有章可循。与发达国家相比,国内的安全标准可以说还是不完善的。田博士认为,既然我们是从零开始,那就不妨参照一些国际上已经成型的标准,采取引进、借鉴的方法,结合自身情况形成一个适合国情的银行卡产品和账户系统的安全标准。如果没有这样一个标准作支撑点,银行卡的安全支付环境仍然难有改善和进步。银行卡发展离不开方便、快捷、好用、安全四个因素,如果缺乏“安全”要素,那么“方便、快捷、好用”也无从谈起。可喜的是,近两年来有关银行卡的标准也一直在升级或重新制订,但是制订标准是一项费时费力的工程,牵扯到方方面面的因素,因此目前标准制订情况远远跟不上银行卡产业发展的实际需求。
再者是企业方面,从银行卡产业链上的企业来讲,企业对于自身的产品,关注比较多的是功能上是不是能够被市场接受,而对于怎样提高产品的安全性,企业下的功夫还是不够。当然,由于国内外银行卡产业发展阶段的差异,国内在银行卡安全技术的研究起步比国外晚一些;同时,安全技术还存在着一些国际壁垒,比如说芯片的安全设计,现在全球技术领先的实验室都是在欧洲、美国等地,其安全技术水平我们现在还达不到。由于安全技术的研究开发成本高,企业的投入自然成了问题。比如要生产达到国际标准要求的一款高安全性POS机,其成本会在现有基础上增加30%~40%;或者开发一套高安全性的MIS收单系统,面临的投入也会增加。在此情况下,怎样降低成本、顺利开展安全技术的研究,以及如何利用低成本的方法解决安全技术漏洞,生产出一流科技含量的软硬件产品,是生产企业必须认真对待的问题,而这些问题恰恰应该引起这些企业的高度关注。
最后就是检测机构方面,也就是卡片、终端和账户信息处理系统的测试评估实施机构方面,不能只是呼吁增强银行卡安全性,而是应该努力增强安全测试和评估能力,找到一把判别是否安全的标尺。比如,目前银行卡产品在安全性上良莠不齐,怎样去判别它,判别的手段是什么?这就是检测单位需要解决的问题。田博士感慨的讲道,以银行卡产品的安全测试技术为例,在2006年5月她参加了国际银行卡组织举办的一个银行卡安全会议,在会上她提出中心是否能够和国际上的安全研究机构进行一些技术交流和培训,结果被告知这是绝对不可能的,这些安全技术完全保密。因此,在安全技术研究上,我们只能靠自己努力学习,自我加速成长。俗话说,道高一尺,魔高一丈,所以在对待安全的态度上,没有最好,只有更好。对我们国内的检测评估机构来讲,研究银行卡安全测评技术,不仅是一种技术上的较量,也是一种自我挑战。
坚定不移的走创新与发展的道路
从1998年建成为行业服务的银行卡及受理终端检测实验室,到2003年获得CNAS认可资质成为国家级实验室,再到2005年一举通过EMVCo的技术考核和管理评审,成为全球为数不多的具有国际资质的EMV检测实验室,这些年来银行卡检测中心一直在保持着不断创新和快速发展的步伐。以EMV检测实验室为例,由于要解决奥运会期间银行卡消费的外卡收单问题,各奥运城市都要求新布放POS要具备IC卡受理功能,所以中心的EMV检测实验室就有了用武之地,其业务量目前居于全球同类实验室之首。田博士说,“这不仅是源于中心的努力,也源于企业对中心的支持和信赖,源于中国银行卡产业发展的大好形势”。
田博士认为,芯片卡的安全程度比起磁条卡来,是存在着一定的提高的,但这只是相对的安全,不能说是换成芯片卡就安全了;而且,安全不仅是卡的问题,终端受理机具也存在着安全问题,这是一个有多方面的要求体系问题。中心从2006年开始,从学习国际安全标准入手,从最基础的安全研究做起,目前已经有了一些成果和进展。比如在银行卡产品测试方面,中心利用声波来检测POS机的安全性能,当持卡人在输入密码时,可以通过声谱分析破译个人密码,实验室内部试验成功率达到90%,这就对POS、ATM和自助设备的安全性能提出了新的安全设计要求。
对于银行卡产品安全的问题,主要涉及两类技术。一类是物理安全技术,涉及到产品的防盗、防撬等方面,在有人去窃取、安装芯片的时候,机具是不是会自毁,会不会报警,传感器起不起作用,传感器的安装的位置正不正确,诸如此类的问题必须解决。另一类是逻辑安全技术,就是Timing 测试、密钥的攻击、随机数的真伪的判断等技术。田博士介绍说,现在就银行卡产品的安全检测来讲,中心已经拥有几十种比较成熟的技术了,还有一些技术正在开发之中,取得了一些阶段性的成果,当然后面还是有很多的工作去做,要提高安全检测能力,还有许多技术难点要去突破。
银行卡账户信息安全问题,在国内还是一个比较新的课题。从国际上的经验教训来看,至今为止最严重的一次事件是2005年6月MasterCard的大约4500万持卡人银行卡账户信息泄漏,它造成的损失远远比个人损失要大得多,因此目前国际上非常注重银行卡账户信息系统的安全测试和评估。但是,国内的现状如何呢?国内的账户信息系统安全标准尚待完善,账户信息安全评估能力有待提高,所以国内在账户信息安全方面与国外相比还是有很大的差距的。银行卡检测中心目前已投入大量人力研究卡片账户信息的安全测试技术和安全评估等相关方面。
田博士说:“国际上对交易量每天达到多少的收单机构、特约商户和第三方手段专业化服务提供商有具体的规定,必须对业务处理系统作定期的弱点扫描甚至现场评估,从而发现安全隐患、改进不足,加固安全。但是国内情况呢?做了没有?由谁来做?难道要让外国人来做吗?难道中国的银行卡信息安全要掌握在外国人的手中吗?我认为,我们的银行,包括我们这样的检测机构,都是有一定责任的。”
今年6月,人民银行的苏宁副行长和科技司的文四立司长视察了银行卡检测中心,对正在建设中的银行卡安全实验室给予了高度重视。“上级领导对中心对安全实验室里所有项目逐一仔细了解,并着重强调了要对银行卡安全技术做好保密工作”,田博士微微笑着说。
秋日下午的阳光温暖而匆忙,不经意间访谈已经过去了两个多小时。谈话过程中,田博士办公桌上的电话铃声时时响起,她对记者不时轻轻点头表示歉意,然后停下来接电话处理各项事务。但是对于记者提出的问题,她回答的十分认真仔细,清晰而敏锐。从谈话中可以看出,作为银行卡检测中心的带头人,作为业内的权威人士,田博士对于银行卡安全有着如此丰富见解,可见她在银行卡安全事业上倾注了很多的心血。
最后,田博士对推动银行卡安全工作提了两点建议:一是需要赶快出台银行卡产品和账户信息安全方面的相关标准,努力跟上国际水平;二是建立检测和认证评估体系,执行安全标准,只要各方合力协作来铸造银行卡的安全长城,一定能使我国的银行卡安全支付环境大大改善,营造安全的银行卡支付环境,减少银行卡犯罪的发生机率,从而提高社会对使用银行卡支付的信心,促进我国银行卡产业的良性发展。
银行卡产品和账户信息安全问题日益突出
“银行卡安全问题不仅是业内高度关注的话题,更关系到千千万万持卡人对使用银行卡能否保持充足信心的问题,而这个问题,恰恰是决定银行卡产业能否长期持续发展的根本问题。如果持卡人没有信心,那么所谓的银行卡产业发展将无从谈起。”田博士开门见山,娓娓道来,直击问题要害。据田博士介绍,从2006年开始,银行卡检测中心(以下简称“中心”)就开始关注卡基支付安全问题,关注银行卡产品的安全技术和涉及到银行卡支付交易的相关安全问题,同时对国内和国际上在银行卡安全方面的发展状况进行持续的调查和研究。
这两年国内银行卡发展的速度虽然很快,但与发达国家安全支付环境的建设水平相比,我们现在还处于一个银行卡发展的初级阶段。无论是银行还是生产企业,大家比较关注的仍然是业务和市场拓展,对于安全和风险的关注度要低一些。就目前来看,尽管银行卡犯罪的手段非常多样化,包括盗窃持卡人账号和密码复制伪卡、欺诈申请和非法套现等各种形式,但究其根本主要是两个方面的问题,银行卡产品的安全问题和银行卡账户信息的安全管理问题。根据中心从2006年以来做的研究来看,国际上对于银行卡的安全问题也是分成前端和后端两个方面,田博士介绍说。
一方面,对于所谓的银行卡的前端,也就是银行卡产品本身,包括卡片、受理终端以及受理环境这些方面,它们本身安全不安全,这是一个很直接的问题。以我们使用的ATM机为例,如果自身就存在着很多安全隐患,就会给不法分子造成可乘之机。比如在输入密码的时候,就会有犯罪分子通过“钓鱼”的方法,埋一个芯片在里面,窃取持卡人账号和密码;甚至还可以通过一定途径破解出按键的声音,从而获得持卡人密码,诸如此类问题在产品自身设计方面存在缺陷,导致潜伏大量的不安全因素,这是一个很直接的问题。
另一方面,对于所谓的银行卡的后端,也就是银行卡的账户信息安全,主要是银行卡交易支付处理系统安全方面的问题,持卡人使用银行卡消费的过程中,持卡人的卡片敏感数据在传输、存储和处理过程中是不是安全的?这同样是一个重要的问题。实际上,大量的持卡人的敏感信息实际上是存在于银行卡交易系统之中的,近一两年来账户信息泄漏问题也越来越受到关注。银行卡的敏感信息包括账号、PIN和卡有效期等敏感信息的存储是有一定要求的,在传输过程中应该加密的,卡片交易的处理环境也应该是安全的,但是我们的银行卡账户信息安全管理的现状如何呢?还是存在着一些不安全的因素。比如说,有些商场的刷卡交易信息通过MIS系统进行处理,虽然可能银行卡是安全的,但是这个MIS系统如果存在问题,在对卡片敏感信息的存储、传输和处理上存在安全缺陷,那么很多持卡人的信息都将面临泄漏的威胁。
因此,银行卡的安全应该从前端和后端两处着手,生产企业要提高银行卡产品的安全技术含量,收单银行等机构要通过有效的措施加强银行卡账户信息安全管理,从而保障持卡人的支付行为从开始到结束的全过程的安全性,构建一个银行卡支付安全的防御体系。
营造银行卡支付安全环境仍需各方加大力度
尽管银行卡安全问题已经备受关注,为什么目前安全支付环境建设方面仍无大的改观?在这个问题上,主要涉及到三个方面的问题:即政府方面的安全标准缺失、生产企业研发资金投入不够和检测机构的技术能力存在不足等问题,田博士说。
首先是标准,银行卡安全方面没有系列化的安全标准可以遵循执行。从去年起中心就开始专门研究安全问题,最终发现这条路走起来比较困难,首先一个问题就是国内安全标准有所缺失,不管是对银行卡产品,还是对银行卡支付交易处理系统,都存在这种情况。要提高银行卡安全性,衡量的指标是什么?只有定下一个标准,具备衡量安全的量化指标,才能判定产品或系统是否是安全的。所以,现在国内银行卡的安全工作,还是要从基础做起,亟待出台一套适用的安全标准,使银行卡产业各参与方在面对安全问题时有据可依,有章可循。与发达国家相比,国内的安全标准可以说还是不完善的。田博士认为,既然我们是从零开始,那就不妨参照一些国际上已经成型的标准,采取引进、借鉴的方法,结合自身情况形成一个适合国情的银行卡产品和账户系统的安全标准。如果没有这样一个标准作支撑点,银行卡的安全支付环境仍然难有改善和进步。银行卡发展离不开方便、快捷、好用、安全四个因素,如果缺乏“安全”要素,那么“方便、快捷、好用”也无从谈起。可喜的是,近两年来有关银行卡的标准也一直在升级或重新制订,但是制订标准是一项费时费力的工程,牵扯到方方面面的因素,因此目前标准制订情况远远跟不上银行卡产业发展的实际需求。
再者是企业方面,从银行卡产业链上的企业来讲,企业对于自身的产品,关注比较多的是功能上是不是能够被市场接受,而对于怎样提高产品的安全性,企业下的功夫还是不够。当然,由于国内外银行卡产业发展阶段的差异,国内在银行卡安全技术的研究起步比国外晚一些;同时,安全技术还存在着一些国际壁垒,比如说芯片的安全设计,现在全球技术领先的实验室都是在欧洲、美国等地,其安全技术水平我们现在还达不到。由于安全技术的研究开发成本高,企业的投入自然成了问题。比如要生产达到国际标准要求的一款高安全性POS机,其成本会在现有基础上增加30%~40%;或者开发一套高安全性的MIS收单系统,面临的投入也会增加。在此情况下,怎样降低成本、顺利开展安全技术的研究,以及如何利用低成本的方法解决安全技术漏洞,生产出一流科技含量的软硬件产品,是生产企业必须认真对待的问题,而这些问题恰恰应该引起这些企业的高度关注。
最后就是检测机构方面,也就是卡片、终端和账户信息处理系统的测试评估实施机构方面,不能只是呼吁增强银行卡安全性,而是应该努力增强安全测试和评估能力,找到一把判别是否安全的标尺。比如,目前银行卡产品在安全性上良莠不齐,怎样去判别它,判别的手段是什么?这就是检测单位需要解决的问题。田博士感慨的讲道,以银行卡产品的安全测试技术为例,在2006年5月她参加了国际银行卡组织举办的一个银行卡安全会议,在会上她提出中心是否能够和国际上的安全研究机构进行一些技术交流和培训,结果被告知这是绝对不可能的,这些安全技术完全保密。因此,在安全技术研究上,我们只能靠自己努力学习,自我加速成长。俗话说,道高一尺,魔高一丈,所以在对待安全的态度上,没有最好,只有更好。对我们国内的检测评估机构来讲,研究银行卡安全测评技术,不仅是一种技术上的较量,也是一种自我挑战。
坚定不移的走创新与发展的道路
从1998年建成为行业服务的银行卡及受理终端检测实验室,到2003年获得CNAS认可资质成为国家级实验室,再到2005年一举通过EMVCo的技术考核和管理评审,成为全球为数不多的具有国际资质的EMV检测实验室,这些年来银行卡检测中心一直在保持着不断创新和快速发展的步伐。以EMV检测实验室为例,由于要解决奥运会期间银行卡消费的外卡收单问题,各奥运城市都要求新布放POS要具备IC卡受理功能,所以中心的EMV检测实验室就有了用武之地,其业务量目前居于全球同类实验室之首。田博士说,“这不仅是源于中心的努力,也源于企业对中心的支持和信赖,源于中国银行卡产业发展的大好形势”。
田博士认为,芯片卡的安全程度比起磁条卡来,是存在着一定的提高的,但这只是相对的安全,不能说是换成芯片卡就安全了;而且,安全不仅是卡的问题,终端受理机具也存在着安全问题,这是一个有多方面的要求体系问题。中心从2006年开始,从学习国际安全标准入手,从最基础的安全研究做起,目前已经有了一些成果和进展。比如在银行卡产品测试方面,中心利用声波来检测POS机的安全性能,当持卡人在输入密码时,可以通过声谱分析破译个人密码,实验室内部试验成功率达到90%,这就对POS、ATM和自助设备的安全性能提出了新的安全设计要求。
对于银行卡产品安全的问题,主要涉及两类技术。一类是物理安全技术,涉及到产品的防盗、防撬等方面,在有人去窃取、安装芯片的时候,机具是不是会自毁,会不会报警,传感器起不起作用,传感器的安装的位置正不正确,诸如此类的问题必须解决。另一类是逻辑安全技术,就是Timing 测试、密钥的攻击、随机数的真伪的判断等技术。田博士介绍说,现在就银行卡产品的安全检测来讲,中心已经拥有几十种比较成熟的技术了,还有一些技术正在开发之中,取得了一些阶段性的成果,当然后面还是有很多的工作去做,要提高安全检测能力,还有许多技术难点要去突破。
银行卡账户信息安全问题,在国内还是一个比较新的课题。从国际上的经验教训来看,至今为止最严重的一次事件是2005年6月MasterCard的大约4500万持卡人银行卡账户信息泄漏,它造成的损失远远比个人损失要大得多,因此目前国际上非常注重银行卡账户信息系统的安全测试和评估。但是,国内的现状如何呢?国内的账户信息系统安全标准尚待完善,账户信息安全评估能力有待提高,所以国内在账户信息安全方面与国外相比还是有很大的差距的。银行卡检测中心目前已投入大量人力研究卡片账户信息的安全测试技术和安全评估等相关方面。
田博士说:“国际上对交易量每天达到多少的收单机构、特约商户和第三方手段专业化服务提供商有具体的规定,必须对业务处理系统作定期的弱点扫描甚至现场评估,从而发现安全隐患、改进不足,加固安全。但是国内情况呢?做了没有?由谁来做?难道要让外国人来做吗?难道中国的银行卡信息安全要掌握在外国人的手中吗?我认为,我们的银行,包括我们这样的检测机构,都是有一定责任的。”
今年6月,人民银行的苏宁副行长和科技司的文四立司长视察了银行卡检测中心,对正在建设中的银行卡安全实验室给予了高度重视。“上级领导对中心对安全实验室里所有项目逐一仔细了解,并着重强调了要对银行卡安全技术做好保密工作”,田博士微微笑着说。
秋日下午的阳光温暖而匆忙,不经意间访谈已经过去了两个多小时。谈话过程中,田博士办公桌上的电话铃声时时响起,她对记者不时轻轻点头表示歉意,然后停下来接电话处理各项事务。但是对于记者提出的问题,她回答的十分认真仔细,清晰而敏锐。从谈话中可以看出,作为银行卡检测中心的带头人,作为业内的权威人士,田博士对于银行卡安全有着如此丰富见解,可见她在银行卡安全事业上倾注了很多的心血。
最后,田博士对推动银行卡安全工作提了两点建议:一是需要赶快出台银行卡产品和账户信息安全方面的相关标准,努力跟上国际水平;二是建立检测和认证评估体系,执行安全标准,只要各方合力协作来铸造银行卡的安全长城,一定能使我国的银行卡安全支付环境大大改善,营造安全的银行卡支付环境,减少银行卡犯罪的发生机率,从而提高社会对使用银行卡支付的信心,促进我国银行卡产业的良性发展。