近年来，我国银行卡产业发展迅速，银行卡发卡量和消费总额呈现大幅上升趋势，银行卡逐渐成为人们日常生活中的重要支付工具之一。但是，银行卡的支付安全问题随之而来，据有关机构透露，当前我国银行卡犯罪所造成的损失每年达到数亿元，而且可能仍有上升趋势，这对我国的银行卡支付安全提出了更高的要求。为此，8月底的一个下午，本刊记者走访了银行卡检测中心的主任田朝阳博士，期望通过与这位业界权威专家的访谈，探讨我国银行卡安全领域的现实情况和发展方向。 
　　 
　　银行卡产品和账户信息安全问题日益突出 
　　 
　　“银行卡安全问题不仅是业内高度关注的话题，更关系到千千万万持卡人对使用银行卡能否保持充足信心的问题，而这个问题，恰恰是决定银行卡产业能否长期持续发展的根本问题。如果持卡人没有信心，那么所谓的银行卡产业发展将无从谈起。”田博士开门见山，娓娓道来，直击问题要害。据田博士介绍，从2006年开始，银行卡检测中心（以下简称“中心”）就开始关注卡基支付安全问题，关注银行卡产品的安全技术和涉及到银行卡支付交易的相关安全问题，同时对国内和国际上在银行卡安全方面的发展状况进行持续的调查和研究。 

　　这两年国内银行卡发展的速度虽然很快，但与发达国家安全支付环境的建设水平相比，我们现在还处于一个银行卡发展的初级阶段。无论是银行还是生产企业，大家比较关注的仍然是业务和市场拓展，对于安全和风险的关注度要低一些。就目前来看，尽管银行卡犯罪的手段非常多样化，包括盗窃持卡人账号和密码复制伪卡、欺诈申请和非法套现等各种形式，但究其根本主要是两个方面的问题，银行卡产品的安全问题和银行卡账户信息的安全管理问题。根据中心从2006年以来做的研究来看，国际上对于银行卡的安全问题也是分成前端和后端两个方面，田博士介绍说。 
　　 
　　一方面，对于所谓的银行卡的前端，也就是银行卡产品本身，包括卡片、受理终端以及受理环境这些方面，它们本身安全不安全，这是一个很直接的问题。以我们使用的ATM机为例，如果自身就存在着很多安全隐患，就会给不法分子造成可乘之机。比如在输入密码的时候，就会有犯罪分子通过“钓鱼”的方法，埋一个芯片在里面，窃取持卡人账号和密码；甚至还可以通过一定途径破解出按键的声音，从而获得持卡人密码，诸如此类问题在产品自身设计方面存在缺陷，导致潜伏大量的不安全因素，这是一个很直接的问题。 

　　另一方面，对于所谓的银行卡的后端，也就是银行卡的账户信息安全，主要是银行卡交易支付处理系统安全方面的问题，持卡人使用银行卡消费的过程中，持卡人的卡片敏感数据在传输、存储和处理过程中是不是安全的？这同样是一个重要的问题。实际上，大量的持卡人的敏感信息实际上是存在于银行卡交易系统之中的，近一两年来账户信息泄漏问题也越来越受到关注。银行卡的敏感信息包括账号、PIN和卡有效期等敏感信息的存储是有一定要求的，在传输过程中应该加密的，卡片交易的处理环境也应该是安全的，但是我们的银行卡账户信息安全管理的现状如何呢？还是存在着一些不安全的因素。比如说，有些商场的刷卡交易信息通过MIS系统进行处理，虽然可能银行卡是安全的，但是这个MIS系统如果存在问题，在对卡片敏感信息的存储、传输和处理上存在安全缺陷，那么很多持卡人的信息都将面临泄漏的威胁。 
　　 
　　因此，银行卡的安全应该从前端和后端两处着手，生产企业要提高银行卡产品的安全技术含量，收单银行等机构要通过有效的措施加强银行卡账户信息安全管理，从而保障持卡人的支付行为从开始到结束的全过程的安全性，构建一个银行卡支付安全的防御体系。 

　　营造银行卡支付安全环境仍需各方加大力度 
　　 
　　尽管银行卡安全问题已经备受关注，为什么目前安全支付环境建设方面仍无大的改观？在这个问题上，主要涉及到三个方面的问题：即政府方面的安全标准缺失、生产企业研发资金投入不够和检测机构的技术能力存在不足等问题，田博士说。 

　　首先是标准，银行卡安全方面没有系列化的安全标准可以遵循执行。从去年起中心就开始专门研究安全问题，最终发现这条路走起来比较困难，首先一个问题就是国内安全标准有所缺失，不管是对银行卡产品，还是对银行卡支付交易处理系统，都存在这种情况。要提高银行卡安全性，衡量的指标是什么？只有定下一个标准，具备衡量安全的量化指标，才能判定产品或系统是否是安全的。所以，现在国内银行卡的安全工作，还是要从基础做起，亟待出台一套适用的安全标准，使银行卡产业各参与方在面对安全问题时有据可依，有章可循。与发达国家相比，国内的安全标准可以说还是不完善的。田博士认为，既然我们是从零开始，那就不妨参照一些国际上已经成型的标准，采取引进、借鉴的方法，结合自身情况形成一个适合国情的银行卡产品和账户系统的安全标准。如果没有这样一个标准作支撑点，银行卡的安全支付环境仍然难有改善和进步。银行卡发展离不开方便、快捷、好用、安全四个因素，如果缺乏“安全”要素，那么“方便、快捷、好用”也无从谈起。可喜的是，近两年来有关银行卡的标准也一直在升级或重新制订，但是制订标准是一项费时费力的工程，牵扯到方方面面的因素，因此目前标准制订情况远远跟不上银行卡产业发展的实际需求。 
　　 
　　再者是企业方面，从银行卡产业链上的企业来讲，企业对于自身的产品，关注比较多的是功能上是不是能够被市场接受，而对于怎样提高产品的安全性，企业下的功夫还是不够。当然，由于国内外银行卡产业发展阶段的差异，国内在银行卡安全技术的研究起步比国外晚一些；同时，安全技术还存在着一些国际壁垒，比如说芯片的安全设计，现在全球技术领先的实验室都是在欧洲、美国等地，其安全技术水平我们现在还达不到。由于安全技术的研究开发成本高，企业的投入自然成了问题。比如要生产达到国际标准要求的一款高安全性POS机，其成本会在现有基础上增加30％~40％；或者开发一套高安全性的MIS收单系统，面临的投入也会增加。在此情况下，怎样降低成本、顺利开展安全技术的研究，以及如何利用低成本的方法解决安全技术漏洞，生产出一流科技含量的软硬件产品，是生产企业必须认真对待的问题，而这些问题恰恰应该引起这些企业的高度关注。 

　　最后就是检测机构方面，也就是卡片、终端和账户信息处理系统的测试评估实施机构方面，不能只是呼吁增强银行卡安全性，而是应该努力增强安全测试和评估能力，找到一把判别是否安全的标尺。比如，目前银行卡产品在安全性上良莠不齐，怎样去判别它，判别的手段是什么？这就是检测单位需要解决的问题。田博士感慨的讲道，以银行卡产品的安全测试技术为例，在2006年5月她参加了国际银行卡组织举办的一个银行卡安全会议，在会上她提出中心是否能够和国际上的安全研究机构进行一些技术交流和培训，结果被告知这是绝对不可能的，这些安全技术完全保密。因此，在安全技术研究上，我们只能靠自己努力学习，自我加速成长。俗话说，道高一尺，魔高一丈，所以在对待安全的态度上，没有最好，只有更好。对我们国内的检测评估机构来讲，研究银行卡安全测评技术，不仅是一种技术上的较量，也是一种自我挑战。