【正文】 些難點的 出鈔口的惡意操作規(guī)避措施。 其中，對于措施三中針對出鈔口的惡意操作，當前各家銀行主要采用如下軟件措施： 措施一：通過自助設備系統(tǒng)軟件 (ATMC)對出鈔模塊進行相關監(jiān)測。 這些硬件措施的實現(xiàn)難點主要包括以下幾部分： ? 硬件升級投入巨大，成本較高； ? 增強的卡驅動或抖動 (ECD)方案對磁條卡的磁性有一定影響，同時也容易造成吞卡，部分銀行暫不便于實施； ? 防窺罩等硬件防范措施存在容易脫落或被犯罪 分子利用在內(nèi)部安裝微型探頭的問題 ，無人銀行客戶對語音對話，報警裝置使用不熟悉； ? 犯罪分子暴力破壞防范措施、定期巡邏難度大； ? 加裝防護罩后，增加了自助設備設立成本，也提高了房屋結構、面積等要求，一定程度上增加了選址設立難度。并通過在自助設備上張貼業(yè)務“告示”、“提示”、“安全使用須知”等，誘使客戶撥打指定電話，通過電話對客戶進行轉賬詐騙； 手法四：在自助設備讀卡器口加裝讀卡裝置盜取客戶銀行卡信息，通過用望遠鏡偷窺，在客戶鍵盤表面加裝假密碼鍵盤、貼薄膜，在客戶鍵盤上方加裝攝像裝置等手法盜取客戶銀行卡密碼，然后利用偽卡詐騙客戶資金。 當前有 3 家銀行打算在“十二五”時期在 ATM 機上使用生物認證技術，以提高 ATM 的安全性，占總數(shù)的 %。 (4) 網(wǎng)絡欺騙。 (4) 財政要適當給予補貼。 當前各家銀行認為在“十二五”時期實現(xiàn)銀行卡的芯片化機制 的主要難點包括新舊卡轉換工作量大、投入加大和宣傳工作滯后?，F(xiàn)在使用的磁條卡非常容易磨損，信息存儲量小，更大的缺點是磁條易讀出和偽造，很容易就能盜取磁條上的資料，制造一張假卡； 一卡多用體現(xiàn)在金融 IC 卡可以在社保、醫(yī)療、交通、文化、休閑等領域使用，實現(xiàn)生活與消費“一卡通行”。芯片卡可以存儲密鑰、數(shù)字證書、指紋等信息，以功能多、信息難以破譯或仿造以及可以實現(xiàn)一卡多用等特點，受到社會各界的關注和青睞，被廣泛應用于金融、通信、交通運輸、醫(yī)療衛(wèi)生、教育、娛樂、企業(yè)管理、個人安全識別等領域。 因此， 業(yè)界期盼已久的《銀行卡條例》應盡快出臺，以對銀行卡組織、發(fā)卡行、收單行、第三方機構、外包商等的責職和行為進行更好的定義和規(guī)范。 其中收單行所要部署的實施監(jiān)控系統(tǒng)應當包括交易處理模塊、交易處理模塊、商戶管理模塊和帳務管理模塊。（ 2）偽卡交易形態(tài)更為 隱蔽。 當前各家銀行 的 銀行卡網(wǎng)上支付中的流動性風險比例不大，針對銀行在網(wǎng)上支付過程中可能遇到的流動性風險， 當前各家銀行向中央銀行提出如下意見和建議： 建議一：中央銀行應對商業(yè)銀行的存款準備金進行監(jiān)管并對每個賬戶的轉賬金額設定上限； 建議二：中央銀行應通過報表分析、監(jiān)測銀行的資金需求，從而降低銀行的 周轉風險； 建議三：中央銀行應建立健全流動性風險預警機制。實行“三分離” ，即制卡人員與電腦程序員相分離、會計復核員與授權人員相分離、記賬員與發(fā)卡員相分離，形成一種相互制約、相互協(xié)調(diào)、相互監(jiān)督的機制。針對資金與道德的風險， 當前 各家銀行向 中央銀行提出了如下意見和建議，來對第三方支付賬戶做以下哪些規(guī)范管理： 建議一：中央銀行應當要求中轉賬戶必須是一個特殊或臨時的賬戶，第三方無權獲取規(guī)定時限外滯留資金的利息收入，時 限外的利息收入應為客戶擁有。 當前各家銀行網(wǎng)上支付風險依次為信用風險、技術風險和流動性風險。研究發(fā)現(xiàn)，銀行 卡的芯片化機制和手機支付技術是“十二五”時期研究和推廣的重點。 其中，對于防范竊取靜態(tài)密碼的技術措施 主要包括一次一密的動態(tài)密碼硬件、賬戶的手機安全認證等。 四 、研究方向與要點 （一）主要研究方法 包括定性分析、定量統(tǒng)計、發(fā)放調(diào)查問卷 、文獻研究、跨學科研究、個案研究、探索性研究 等。為解決現(xiàn)有 ATM 應用的安全隱患，最有效和最根本的辦法是提高 ATM 的身份認證的安全性，從而杜絕不法分子的投機倒把行為。 (3) 垃圾搜索 ： ATM 在完成交易后，通常會吐出一張交易憑證，而大量客戶將其隨手扔掉。據(jù)調(diào)查，各種新型支付方式均普遍存在銀行卡信息“落地”的現(xiàn)象，前些年美國就發(fā)生數(shù)起黑客通過腳本程序侵入服務提供商的電腦系統(tǒng)，竊取后臺數(shù)據(jù)庫違規(guī)留存的包括磁道信息在內(nèi)的賬戶信息的案件。二是部分行的 ATM 交易仍采取通過分支機構前置系統(tǒng)中轉的方式，并保留關于交易明細的詳細日志，存在較大的信息泄露隱患；三是部分行對客戶密碼信息仍采用單 DES 算法進行加密，容易被犯罪分子利用解密工具較快解密。三是部分行對于科技人員從職業(yè)發(fā) 展和企業(yè)文化角度關心不夠，極易引發(fā)一系列的思想和道德問題。 一是部分行對生產(chǎn)網(wǎng)絡與辦公網(wǎng)絡之間未實施有效的安全隔離，為犯罪分子提供了非法下載數(shù)據(jù)的機會；二是部分行在開發(fā)測試環(huán)境中使用了真實的生產(chǎn)數(shù)據(jù)及密鑰，或只是簡單進行了變更，沒有按規(guī)定進行嚴格脫敏處理；三是關鍵崗位缺乏雙重控制，特別是在數(shù)據(jù)庫管理員等崗位的權限管 理和設置方面存在問題，往往是單一人員負責敏感工作，且存在開發(fā)、運維人員互相兼崗現(xiàn)象，缺乏最基本的監(jiān)督和制約機制。 （二）存在的問題 造成當前銀行卡犯罪的主要原因在于以下幾個薄弱環(huán)節(jié)： (1) 銀行卡 密鑰管理基本要求落實不到位。為了維護商業(yè)銀行自助業(yè)務品牌形象，給客戶提供一個安全的用卡環(huán)境，促進銀行自助業(yè)務的快速發(fā)展，制訂可行的自助設備安全防范措施勢在必行。該網(wǎng)站或插件在服務供應商和用戶之間透明轉發(fā)信息并試圖獲取真實用戶的相關信息，如賬號、密碼等。 當前有 10 家銀行存在不法分子盜用銀行卡信息的情況，占到總數(shù)的 %，對于竊取銀行卡信息的情況分析， 10 家銀行認為原因在于不法分子利用自制機具在 ATM 銀行卡槽口外安裝讀卡器獲取用戶銀行卡或拷貝其磁條信息，并安裝攝像頭攝錄用戶密碼的方式盜取用戶銀行卡資金， 4 家銀行認為原因在于不法分子竊取靜態(tài)密碼或其他靜態(tài)信息，包括竊取用戶在第三方收單機上留下的交易密碼等靜態(tài)信息，且多發(fā)生在 借記卡 上。 信息盜用 。 當前犯罪分子的銀行卡犯罪主要由以下原 因引起： 暴力破解 。 當前銀行卡和 ATM 機犯罪事件頻發(fā)，主要包括 銀行卡偽造 、 信息盜取 和 利用銀行卡和 ATM 機的欺詐交易 等三類： 銀行卡偽造 主要包括 直接編造信息或利用工作之便竊取信息之后偽造銀行卡 ，其中包括 利用高科技手段竊取用戶信息后再進行銀行卡偽造 ，也包括 利用工作之便盜取儲戶信息后進行的銀行卡偽造 。 銀行卡自助設備安全風險管理重點研究一 、 課題概述 銀行卡及其自助終端風險防范的管理研究 二、課題的目標與任務 確定的課題目標：接合當前銀行卡應用和發(fā)展的實際情況，研究基于銀行卡應用的風險管理體系，探索未來 35 年的銀行卡風險防范和控制路徑。 銀行卡 犯罪的激增已使許多持卡人產(chǎn)生了放棄使用 銀行 卡 的念頭，確保 銀行卡信息安全是 銀行卡 業(yè)務持續(xù)快速發(fā)展的重要技術支撐。 根據(jù)當前對 24 家銀行的調(diào)研， 有 5 家銀行存在銀行卡賬號信息泄露的情況，占到總數(shù)的 %，其中 2 家銀行由于暴力破解銀行卡密碼引起， 1 家銀行由于修改監(jiān)聽用戶交易數(shù)據(jù)引起， 5 家銀行由于盜取用戶信息引起。 對于暴力竊取銀行卡賬戶信息導致信息泄露的情況分析， 2 家銀行都認為被針對的系統(tǒng)是只需要賬號加密碼 (或再加簡單圖形碼 )的輸入即可通過校驗的模式， 1 家銀行認為被針對的 系統(tǒng)沒有對用戶輸人有校驗失敗次數(shù)限制或訪問控制。對于輸入交易密碼等靜態(tài)信息的情況，雖然交易渠道 (手機或電話等 )在一定程度上能夠保證用戶身份，但是并線、移動信號截獲都是威脅這 些渠道安全的一大隱患。通常情況下，這種典型的攻擊會在用戶和在線服務供應商之間架設一個欺詐網(wǎng)站或在供應商網(wǎng)站上添加一些相應的插件或代碼。案件不僅對客戶資金安全構成威脅，也對銀行聲譽造成負面影響，而且還 對銀行自助業(yè)務的發(fā)展和設備的日常運營管理工作帶來極大的壓力。 各類手法的比重如圖 1 所示： 圖 1：當前不法分子利用 ATM 機等自助設備作案 手法統(tǒng)計 與此同時，許多新興技術正在被運用于更高水平的安全防護領域中，因此，當前我們必須研究新興技術以用來解決 銀行卡 的安全問題及用于防范利用 銀行卡 進行欺騙的行為。 (2) 銀行卡 運行開發(fā)環(huán)節(jié)存在漏洞。二是部分行在核心業(yè)務數(shù)據(jù)大集中后，分支機構放松了對科技人員的內(nèi)控管理，部分科技崗位沒有作為要害人員管理，人員離職離崗沒有嚴格的離任審計。目前我國的銀行卡大多采用磁條卡技術，