用户名密码 [免费注册] [找回密码] 推广技巧 发布求购 建商铺  发产品  会员体制比较  
 

紧跟银行卡产业需求 力保银行卡支付安全

专访银行卡检测中心田朝阳总经理

来源:中国智能卡网  作者:皎丽丽  发布时间:2008-12-03 10:40:38  字体:[ ]

关键字:银行卡检测  银行卡产业  银行卡支付  银行卡  

摘   要:银行卡的用卡环境以及支付安全是信息安全的重要组成部分,与奥运的安全运行息息相关。作为第三方检测机构的银行卡检测中心,也一直在以实际行动为奥运献计献策。日前,针对银行卡检测中心在银行卡用卡安全领域取得的成就以及中心的未来走向等问题,记者专门走访了银行卡检测中心田朝阳总经理。

     2008年北京奥运会聚焦了全世界人民的目光,这场激情飞扬、举世瞩目的体育盛事在“科技奥运”的光环下,为全世界人民献上了一场科技的饕餮盛宴。这场以“科技奥运”为口号的盛会,不仅推动了中国信息化建设的进程,也对中国信息化的安全建设提出了更高的要求,因此为奥运会服务的信息系统的安全性迎来了严峻的挑战。银行卡的用卡环境以及支付安全是信息安全的重要组成部分,与奥运的安全运行息息相关。作为第三方检测机构的银行卡检测中心,也一直在以实际行动为奥运献计献策。日前,针对银行卡检测中心在银行卡用卡安全领域取得的成就以及中心的未来走向等问题,记者专门走访了银行卡检测中心田朝阳总经理(以下简称“田总”)。 

    紧跟国际步伐 提高银行卡用卡安全

    截止2008年6月,我国银行卡发卡总量已超过16亿张。伴随着银行卡发卡量的日渐扩大,银行卡交易规模也与日俱增。但是,我国银行卡市场仍处于发展阶段,在银行卡产品的品牌建设、服务多样性以及银行卡用卡安全等方面还需要加大发展力度。尤其是近两年来,越来越高的金融犯罪率已经开始把银行卡产品和账户信息的安全技术推到了风口浪尖。在这种形势下,银行卡检测中心紧跟国际国内银行卡产业发展趋势,及时推出了银行卡产品及账户信息安全测评项目。

    “作为一家银行卡产品专业化测试单位,银行卡产业内新产品的推出、产品的个性化以及用卡的安全都是我们必须重视的。”田总说,从2006年下半年开始,中心便开始致力于银行卡安全实验室的建设,致力于银行卡安全与风险研究,这主要包含如下两个方面:

    一是银行卡产品安全领域。中心专门成立银行卡产品安全项目组,学习跟踪国际上相应安全技术标准,并对标准涵盖的技术要点加以应用。两年间,中心通过自主研发,先后开发了随机数测试系统、按键声分析识别系统、终端显示安全评估工具、IC卡安全评估工具、磁条阅读器安全评估工具等几十项软硬件测试方法,这些系统将用于检测IC卡、USB KEY和终端设备(包括PED和EPP)的安全性能。中心还针对终端设备固件安全进行了逆向工程研究,模拟实际可能遭受到的安全威胁,进而对终端安全性能给出评价。

    目前,中心已基本具备银行卡产品安全评估逻辑安全部分的评估能力,具备物理安全大部分评估项目的评估能力。截止7月,中心今年共完成了9款终端、USBKEY、密码键盘等产品的安全评估与测试,并为厂商提供了完整的安全评估报告。中心的安全测试技术受到了企业的肯定,安全技术水平基本上与国际接轨。

    二是银行卡账户信息系统安全领域。2005年5月,万事达卡的一家第三方支付数据处理公司——CardSystems Solutions储存有4千万信用卡客户信息的电脑系统遭到黑客入侵。此次信用卡信息泄露造成了重大的损失,德国受到波及的持卡人有五万余人,影响到中国的有九千人。从此以后,国际上对账户信息系统开始产生一系列的标准,包括认证、测试、评估。从国内来讲,近年来国内银行卡账户信息泄露时有发生。据不完全统计,2006年国内已发生的各类账户信息泄漏事件多达四百余起,但我国银行卡账户信息安全研究仍属空白,因此引入安全检测机制成为中心义不容辞的一项责任。

    07年下半年,银联开始牵头国内银行卡账户信息系统的安全研究工作。在银联的支持下,中心成立了银行卡账户信息安全项目组,消化和吸收国际上的一些安全标准,参与制定了《收单机构账户信息安全标准》、《银联卡收单业务账户信息安全合规评估管理暂行规定》、《银联卡账户信息安全合规评估机构管理暂行办法》等标准和评估办法,同时引进了数十台(套)设备、工具与系统。

    中心一直跟踪国际、国内相关账户信息安全标准,自主研发了主机安全评估系统和数据库安全评估系统,具有安全评估系统和安全扫描工具二十余种,形成了一整套系统安全评估方案,包括评估指南、评估案例、自查问卷、提交的材料清单、现场评估指导手册等,可以对主流的操作系统、数据库、网络应用系统和网路安全设备进行安全评估。因而,中心目前已具备开展银行卡发卡、收单系统的安全、功能、性能、联网联合符合性等方面的综合测试能力,银行卡账户信息系统安全扫描与评估平台基本搭建成功。

    从已有试点扫描的结果来看,中心的安全评估报告与国际权威机构相比基本齐平,且中心的专业化技术水平明显高于国内同类IT审计公司,更能深入到银行卡账户信息系统的底层环节。

    在今年8月份刚刚结束的银联风险管理委员会的专业会议上,银联关于账户信息系统的安全评估方案与管理办法获得了上百家成员银行的认同。因此,中心仍将继续配合银联大力开展账户信息安全研究及实践工作,大力提升中心在银行卡安全领域的技术能力。

    聚焦奥运城市 打造安全用卡环境

    作为一个独立的第三方检测机构,银行卡检测中心一直在为我国银行卡的“联网通用”和“交易安全”提供专业技术检测服务,积极推动我国银行卡产业健康有序的发展。在奥运期间,其针对奥运的银行卡用卡环境以及安全等做了大量的工作,并得到了人民银行的认可与好评。

    田总介绍,在2008年奥运会的前期,中国人民银行、公安部决定以“迎奥运、放心用卡、安全支付”为宣传口号,重点针对奥运会举办城市联手开展整治银行卡违法犯罪专项行动,排查银行卡支付体系的安全隐患。在时间短、任务重的情况下,中心配合人民银行完成了关于奥运用卡安全检测方案的起草,包括概要和详细测试方案,受到人民银行安全处的好评;

    继“数字王府井”试点安全扫描评估工作开展后,为改善奥运银行卡受理环境的需要,中心继续探索在银联体系内部进一步推广账户信息系统安全扫描与评估试点项目。经银联风险管理部协调,中心与银联商务总公司达成合作协议,在北京、上海等6个奥运城市中选取了典型商户银行卡收单系统实施现场评估和扫描,并出具了相应的安全扫描和合规性评估报告。中心项目组在发现问题后及时反馈相关单位进行安全整改,将安全问题消灭在萌芽状态,受到了中国银联风险管理部、银联商务、银行卡收单机构和受理商户的充分肯定,切实提高了奥运期间银行卡的用卡安全。

    另外截止9月中旬,中心按人民银行要求共完成了对渣打银行借记卡、东亚银行贷记卡发卡系统的安全扫描和安全评估,对发卡系统包括核心账务系统、卡管理系统、ATM前置系统在内的整个网络和系统进行全方位测评,专业的测试内容和敬业的服务受到了两大外资银行的肯定,为央行的决策提供了重要的参考依据。

    紧扣时代脉搏 拓展重点领域

    银行卡检测中心成立十年来,凭借自己年轻的研发队伍,不断钻研、探索银行卡检测领域的相关技术,并取得了丰硕的成果,共获银行科技发展一等奖1项、国家专利4项、国家计算机软件著作权15项,共承担部级科技项目10余项,并参与了10余项行业和企业标准的制定,为我国银行卡产业的迅猛发展提供了技术支持。

    田总介绍,在未来的发展中,中心将聚焦以下两项重点工作:一是时刻关注国际银行卡产业的最新动态,包括测试标准和测试技术上的变化。中心将及时更新标准规范和测试脚本,升级测试系统,确保中心与国际支付卡管理组织和同类实验室保持同步,实现真正意义上的国际接轨;

    二是继续关注银行卡的用卡安全。银行卡是一种金融产品,它与国家和个人的金融安全密不可分。随着持卡人越来越多,用卡安全问题就显得异常重要。所以,银行、企业和测试单位应一同重视银行卡安全用卡环境的塑造,探索安全风险的规避机制和举措。对银行卡检测中心而言,这仍是中心近三至五年内的工作目标。

    在采访的最后,田总指出,目前我国银行卡产品的标准、产品本身的安全性能和测试单位的安全测试技术仍需进一步提高。银行卡检测中心正处于发展的起步阶段,还需要不断地学习,希望在未来的发展中能更好、更积极地为支付卡应用行业提供更加优质的测试服务。

新闻投稿合作邮箱:yktchina-admin@163.com    字体[ ] [收藏] [进入论坛]

新闻榜
推荐新闻
论坛热帖