【正文】 的服務(wù)提供商直接接觸銀行卡信息（包括卡號(hào)、有效期、CVV2，甚至交易密碼等），即通常所稱的銀行卡信息“落地”，隱含大規(guī)模信息泄露風(fēng)險(xiǎn)。據(jù)調(diào)查，各種新型支付方式均普遍存在銀行卡信息“落地”的現(xiàn)象，前些年美國就發(fā)生數(shù)起黑客通過腳本程序侵入服務(wù)提供商的電腦系統(tǒng)，竊取后臺(tái)數(shù)據(jù)庫違規(guī)留存的包括磁道信息在內(nèi)的賬戶信息的案件。當(dāng)前利用ATM等自助設(shè)備竊取用戶現(xiàn)金主要有幾下方式：(1) 猜測密碼：攻擊者可以通過猜測用戶身份識(shí)別碼的方式，使用有意義的數(shù)字組合對(duì)ATM 進(jìn)行試探性攻擊。銀行客戶的范圍廣，難免會(huì)有一部分客戶使用自己的有意義數(shù)字組合進(jìn)行設(shè)置，如子女生生日、電話號(hào)碼、身份證號(hào)碼等，這部分密碼通常容易被攻擊者猜測出來。(2) 窺探：攻擊者可以通過錄像設(shè)備或本人親自到ATM 周邊進(jìn)行窺視，從而通過按鍵方式得到客戶的身份識(shí)別碼。(3) 垃圾搜索：ATM 在完成交易后，通常會(huì)吐出一張交易憑證，而大量客戶將其隨手扔掉。攻擊者通過拾得客戶的交易憑證得到與攻擊相關(guān)的信息。這種方式在Et常生活中已被不少不法分子成功使用。(4) 網(wǎng)絡(luò)欺騙：不法分子通過網(wǎng)絡(luò)或短信，以看上去合法的理由騙取客戶的銀行賬號(hào)和密碼，一旦成功，不法分子則可以通過自制銀行卡到ATM 機(jī)上取錢。為解決現(xiàn)有ATM 應(yīng)用的安全隱患，最有效和最根本的辦法是提高ATM 的身份認(rèn)證的安全性，從而杜絕不法分子的投機(jī)倒把行為。（三）研究目標(biāo)與創(chuàng)新點(diǎn)研究以下銀行卡與自助設(shè)備風(fēng)險(xiǎn)防御體系：(1) 主動(dòng)型防御體系：如基于磁條卡的多重保障技術(shù)；磁條卡向IC卡的遷移；提高客戶利用銀行卡、信用卡通過電子渠道支付時(shí)的安全性, 提高客戶利用銀行卡、信用卡通過電子渠道支付時(shí)的安全性。 提升銀行卡受理終端的系統(tǒng)安全性；(2) 預(yù)防性防御體系：如銀行卡受理點(diǎn)的監(jiān)控管理；實(shí)現(xiàn)對(duì)欺詐交易實(shí)現(xiàn)事前早期預(yù)警、事中實(shí)時(shí)監(jiān)控和事后分析。在此基礎(chǔ)上，提出和驗(yàn)證針對(duì)當(dāng)前城市商業(yè)銀行的銀行卡與自助設(shè)備風(fēng)險(xiǎn)管理措施。四、研究方向與要點(diǎn)（一）主要研究方法包括定性分析、定量統(tǒng)計(jì)、發(fā)放調(diào)查問卷、文獻(xiàn)研究、跨學(xué)科研究、個(gè)案研究、探索性研究等。（二）研究調(diào)研一級(jí)目錄二級(jí)目錄調(diào)研主題調(diào)研對(duì)象調(diào)研地區(qū)賬戶信息保障核心體系銀行卡多渠道身份認(rèn)證技術(shù)調(diào)研防盜讀持卡使用情況和其主要引發(fā)的風(fēng)險(xiǎn)；分析哪些多渠道身份認(rèn)證技術(shù)能降低通過盜取用戶信息后偽造用戶身份盜取銀行卡資金的案件引發(fā)的風(fēng)險(xiǎn)；分析現(xiàn)代生物技術(shù)在身份證技術(shù)中的未來應(yīng)用前景24個(gè)城市商業(yè)銀行和國有大中型銀行，具體包括：渤海銀行、工行浙江省分行、光大銀行、杭州銀行、嘉興銀行、交通銀行浙江省分行、民生銀行、民泰銀行、南京銀行杭州分行、寧波銀行杭州分行、浦發(fā)銀行、紹興銀行、中信銀行、深圳發(fā)展銀行杭州分行、省建行、臺(tái)州銀行、溫州銀行、上海銀行、又出銀行、浙江農(nóng)行、浙商銀行、中國銀行、恒豐銀行、廣東發(fā)展銀行杭州銀行卡受理點(diǎn)賬戶信息安全防范技術(shù)重點(diǎn)調(diào)研POS機(jī)的銀行卡賬戶信息安全認(rèn)證銀行卡的芯片化機(jī)制調(diào)研當(dāng)前國內(nèi)外IC卡的密鑰管理和分發(fā)；調(diào)研和借鑒歐洲和其他國家的IC遷移是如何降低遷移成本的銀行卡網(wǎng)上支付時(shí)的風(fēng)險(xiǎn)防范措施調(diào)研當(dāng)前用戶銀行卡網(wǎng)上支付風(fēng)險(xiǎn)的主要來源在哪里改進(jìn)當(dāng)前ATM機(jī)的身份認(rèn)證機(jī)制將生物認(rèn)證技術(shù)運(yùn)用到ATM機(jī)的身份認(rèn)證機(jī)制中外圍保障體系銀行卡交易的實(shí)時(shí)監(jiān)控調(diào)研當(dāng)前大中行的交易行為實(shí)時(shí)監(jiān)控；分析基于規(guī)則引擎的銀行卡交易實(shí)時(shí)監(jiān)控在大中行未來實(shí)施的可行性銀行卡交易風(fēng)險(xiǎn)的早期預(yù)警和事后分析調(diào)研高風(fēng)險(xiǎn)交易行為挖掘分析等模型、具體實(shí)施策略和所遇到的困難ATM機(jī)等自助設(shè)備的硬件和軟件的加強(qiáng)措施調(diào)研當(dāng)前自助設(shè)備的安全防范技術(shù)和措施，包括硬件措施和軟件措施，這些措施有哪些不足；調(diào)研當(dāng)前自助設(shè)備系統(tǒng)軟件（ATMC）的業(yè)務(wù)操作流程存在哪些風(fēng)險(xiǎn)根據(jù)初步調(diào)研，當(dāng)前和“十二五”時(shí)期各家銀行的銀行卡賬戶信息安全保障的重點(diǎn)關(guān)注度如圖1所示：圖2：當(dāng)前和“十二五”時(shí)期各家銀行的銀行卡賬戶信息安全保障關(guān)注度統(tǒng)計(jì)當(dāng)前和“十二五”時(shí)期各家銀行的銀行卡外圍安全保障的重點(diǎn)關(guān)注度如圖3所示：圖3：當(dāng)前和“十二五”時(shí)期各家銀行的銀行卡外圍安全保障關(guān)注度統(tǒng)計(jì)（三）當(dāng)前研究內(nèi)容1銀行卡賬戶信息安全保障核心體系 多渠道身份認(rèn)證技術(shù)分析不法分子采用的幾種手段，我們可以看到，暴力破解技術(shù)含量低，實(shí)施難度大，對(duì)安全體系與防護(hù)策略完善的銀行系統(tǒng)不構(gòu)成大的安全威脅；修改或監(jiān)聽用戶交易數(shù)據(jù)需要對(duì)用戶的物理網(wǎng)絡(luò)部署非常了解，且需要入侵更改ISP服務(wù)器上DNS服務(wù)、控制路由器，具體實(shí)施難度非常大；盜取用戶信息是幾種技術(shù)手段中目前犯罪分子最常使用、案發(fā)率最高、破壞性最大的一種。當(dāng)前防范銀行卡信息盜取技術(shù)主要包括：(1) 防范盜讀磁條；(2) 防范竊取靜態(tài)密碼等靜態(tài)信息；(3) 多渠道認(rèn)證防范信息盜用。當(dāng)前防范竊取靜態(tài)密碼等靜態(tài)信息和多渠道身份認(rèn)證防范信息盜用技術(shù)的采用率還不高，需要在“十二五”時(shí)期進(jìn)一步強(qiáng)化。其中，對(duì)于防范竊取靜態(tài)密碼的技術(shù)措施主要包括一次一密的動(dòng)態(tài)密碼硬件、賬戶的手機(jī)安全認(rèn)證等。其中一次一密的動(dòng)態(tài)密碼硬件的實(shí)現(xiàn)需要用戶在柜臺(tái)申請(qǐng)（比如，該動(dòng)態(tài)密碼硬件擁有液晶屏能在客戶做交易時(shí)即時(shí)顯示動(dòng)態(tài)密碼且易攜帶，申請(qǐng)了該動(dòng)態(tài)密碼硬件的用戶在每次進(jìn)行交易時(shí)只需輸入硬件上顯示的密碼即可）；其他主要包括UKEY數(shù)字證書等。其中，基于手機(jī)的動(dòng)態(tài)密碼技術(shù)研制是“十二五”時(shí)期防范靜態(tài)密碼竊取的重點(diǎn)。對(duì)于銀行卡安全認(rèn)證新技術(shù)的研究和應(yīng)用，當(dāng)前主要包括銀行卡加固、非傳統(tǒng)銀行卡的引入和現(xiàn)代生物技術(shù)的應(yīng)用，其中非傳統(tǒng)銀行卡的引入包括通過手機(jī)銀行在銀行卡支付雙方建立信任的介質(zhì)或渠道，實(shí)現(xiàn)現(xiàn)有的銀行卡功能，現(xiàn)代生物技術(shù)的引入包括比如通過人臉識(shí)別、視網(wǎng)膜識(shí)別、指紋（掌紋）識(shí)別、腦波介入技術(shù)等幫助實(shí)現(xiàn)銀行卡安全認(rèn)證。研究發(fā)現(xiàn)，銀行卡的芯片化機(jī)制和手機(jī)支付技術(shù)是“十二五”時(shí)期研究和推廣的重點(diǎn)。 銀行卡網(wǎng)上支付時(shí)的風(fēng)險(xiǎn)防范措施在網(wǎng)上支付過程中，客戶與商家、商家與銀行、客戶與銀行之間都存在著相互關(guān)聯(lián)。在支付過程中難免會(huì)有風(fēng)險(xiǎn)，這些風(fēng)險(xiǎn)有些可控，有些不可控。當(dāng)前我國銀行卡的網(wǎng)上支付由于支付系統(tǒng)的結(jié)構(gòu)不完善、支付系統(tǒng)的功能實(shí)現(xiàn)存在不足和支付系統(tǒng)的外部環(huán)境影響等原因會(huì)存在很多網(wǎng)上支付風(fēng)險(xiǎn)。當(dāng)前各家銀行網(wǎng)上支付風(fēng)險(xiǎn)依次為信用風(fēng)險(xiǎn)、技術(shù)風(fēng)險(xiǎn)和流動(dòng)性風(fēng)險(xiǎn)。針對(duì)網(wǎng)上銀行的技術(shù)風(fēng)險(xiǎn)，銀行卡網(wǎng)上支付系統(tǒng)需要實(shí)現(xiàn)以下四種安全服務(wù)：(1) 針對(duì)假冒攻擊提供認(rèn)證服務(wù)；(2) 針對(duì)竊聽攻擊提供保密服務(wù)；(3) 針對(duì)完整性侵犯提供完整性服務(wù)；(4) 針對(duì)業(yè)務(wù)否認(rèn)提供不可否認(rèn)服務(wù)。這四種服務(wù)當(dāng)前各家銀行采用已比較高，當(dāng)前各家銀行的銀行卡網(wǎng)上支付系統(tǒng)說提供的安全服務(wù)功能已經(jīng)比較完善。網(wǎng)上支付的信用風(fēng)險(xiǎn)主要包括針對(duì)資金與道德的風(fēng)險(xiǎn)和針對(duì)銀行卡的風(fēng)險(xiǎn)。針對(duì)資金與道德的風(fēng)險(xiǎn)，當(dāng)前各家銀行向中央銀行提出了如下意見和建議，來對(duì)第三方支付賬戶做以下哪些規(guī)范管理：建議一：中央銀行應(yīng)當(dāng)要求中轉(zhuǎn)賬戶必須是一個(gè)特殊或臨時(shí)的賬戶，第三方無權(quán)獲取規(guī)定時(shí)限外滯留資金的利息收入，時(shí)限外的利息收入應(yīng)為客戶擁有。只有第三方提供的支付服務(wù)獲取的服務(wù)費(fèi)用才具有合法性，在交易時(shí)限內(nèi)的正常滯留資金的利息可歸第三方所有；建議二：中央銀行應(yīng)要求第三方嚴(yán)格區(qū)分自有資金和中轉(zhuǎn)資金，中轉(zhuǎn)資金不能用于第三方自身的任何運(yùn)營，更不能允許第三方利用中轉(zhuǎn)資金進(jìn)行風(fēng)險(xiǎn)投資，以此來保證第三方支付平臺(tái)中廣大用戶的利益；建議三：中央銀行應(yīng)當(dāng)要求第三方應(yīng)在其開戶銀行存有一定數(shù)額的保證金，一旦第三方出現(xiàn)什么問題銀行可以立即凍結(jié)這部分資金來抵御風(fēng)險(xiǎn)，保障廣大用戶的資金安全；建議四：加強(qiáng)第三方支付賬戶的實(shí)名認(rèn)證機(jī)制。針對(duì)銀行卡風(fēng)險(xiǎn)，當(dāng)前各家銀行向中央銀行提出了如下意見和建議，從而盡快建立個(gè)人信用體系以加強(qiáng)內(nèi)部刮泥，建立健全內(nèi)控體系和風(fēng)險(xiǎn)管理制度：建議一：一是建立完善的內(nèi)控體系，做好授權(quán)、掛失、止付等工作。發(fā)卡機(jī)構(gòu)在開戶、制卡、發(fā)卡、收卡、授權(quán)、掛失、