【正文】 銀行浙江省分行、民生銀行、民泰銀行、南京銀行杭州分行、寧波銀行杭州分行、浦發(fā)銀行、紹興銀行、中信銀行、深圳發(fā)展銀行杭州分行、省建行、臺(tái)州銀行、溫州銀行、上海銀行、又出銀行、浙江農(nóng)行、浙商銀行、中國(guó)銀行、恒豐銀行、廣東發(fā)展銀行杭州銀行卡受理點(diǎn)賬戶信息安全防范技術(shù)重點(diǎn)調(diào)研POS機(jī)的銀行卡賬戶信息安全認(rèn)證銀行卡的芯片化機(jī)制調(diào)研當(dāng)前國(guó)內(nèi)外IC卡的密鑰管理和分發(fā)；調(diào)研和借鑒歐洲和其他國(guó)家的IC遷移是如何降低遷移成本的銀行卡網(wǎng)上支付時(shí)的風(fēng)險(xiǎn)防范措施調(diào)研當(dāng)前用戶銀行卡網(wǎng)上支付風(fēng)險(xiǎn)的主要來(lái)源在哪里改進(jìn)當(dāng)前ATM機(jī)的身份認(rèn)證機(jī)制將生物認(rèn)證技術(shù)運(yùn)用到ATM機(jī)的身份認(rèn)證機(jī)制中外圍保障體系銀行卡交易的實(shí)時(shí)監(jiān)控調(diào)研當(dāng)前大中行的交易行為實(shí)時(shí)監(jiān)控；分析基于規(guī)則引擎的銀行卡交易實(shí)時(shí)監(jiān)控在大中行未來(lái)實(shí)施的可行性銀行卡交易風(fēng)險(xiǎn)的早期預(yù)警和事后分析調(diào)研高風(fēng)險(xiǎn)交易行為挖掘分析等模型、具體實(shí)施策略和所遇到的困難ATM機(jī)等自助設(shè)備的硬件和軟件的加強(qiáng)措施調(diào)研當(dāng)前自助設(shè)備的安全防范技術(shù)和措施，包括硬件措施和軟件措施，這些措施有哪些不足；調(diào)研當(dāng)前自助設(shè)備系統(tǒng)軟件（ATMC）的業(yè)務(wù)操作流程存在哪些風(fēng)險(xiǎn)根據(jù)初步調(diào)研，當(dāng)前和“十二五”時(shí)期各家銀行的銀行卡賬戶信息安全保障的重點(diǎn)關(guān)注度如圖1所示：圖2：當(dāng)前和“十二五”時(shí)期各家銀行的銀行卡賬戶信息安全保障關(guān)注度統(tǒng)計(jì)當(dāng)前和“十二五”時(shí)期各家銀行的銀行卡外圍安全保障的重點(diǎn)關(guān)注度如圖3所示：圖3：當(dāng)前和“十二五”時(shí)期各家銀行的銀行卡外圍安全保障關(guān)注度統(tǒng)計(jì)（三）當(dāng)前研究?jī)?nèi)容1銀行卡賬戶信息安全保障核心體系 多渠道身份認(rèn)證技術(shù)分析不法分子采用的幾種手段，我們可以看到，暴力破解技術(shù)含量低，實(shí)施難度大，對(duì)安全體系與防護(hù)策略完善的銀行系統(tǒng)不構(gòu)成大的安全威脅；修改或監(jiān)聽(tīng)用戶交易數(shù)據(jù)需要對(duì)用戶的物理網(wǎng)絡(luò)部署非常了解，且需要入侵更改ISP服務(wù)器上DNS服務(wù)、控制路由器，具體實(shí)施難度非常大；盜取用戶信息是幾種技術(shù)手段中目前犯罪分子最常使用、案發(fā)率最高、破壞性最大的一種。只有第三方提供的支付服務(wù)獲取的服務(wù)費(fèi)用才具有合法性，在交易時(shí)限內(nèi)的正常滯留資金的利息可歸第三方所有；建議二：中央銀行應(yīng)要求第三方嚴(yán)格區(qū)分自有資金和中轉(zhuǎn)資金，中轉(zhuǎn)資金不能用于第三方自身的任何運(yùn)營(yíng)，更不能允許第三方利用中轉(zhuǎn)資金進(jìn)行風(fēng)險(xiǎn)投資，以此來(lái)保證第三方支付平臺(tái)中廣大用戶的利益；建議三：中央銀行應(yīng)當(dāng)要求第三方應(yīng)在其開(kāi)戶銀行存有一定數(shù)額的保證金，一旦第三方出現(xiàn)什么問(wèn)題銀行可以立即凍結(jié)這部分資金來(lái)抵御風(fēng)險(xiǎn)，保障廣大用戶的資金安全；建議四：加強(qiáng)第三方支付賬戶的實(shí)名認(rèn)證機(jī)制。對(duì)于部分地區(qū)銀聯(lián)直聯(lián)壟斷的局面的打破，根據(jù)我們的調(diào)研，當(dāng)前有17家銀行的終端機(jī)通過(guò)收單銀行直接與銀聯(lián)系統(tǒng)相連，%，其中大部分是由于銀聯(lián)的要求才這樣做的，當(dāng)前這17家銀行認(rèn)為收單機(jī)直接與銀聯(lián)相連有存在如下缺陷：缺陷一：收單機(jī)無(wú)法對(duì)交易進(jìn)行監(jiān)控，從而無(wú)法對(duì)商戶進(jìn)行嚴(yán)格監(jiān)管。當(dāng)前各家銀行認(rèn)為在“十二五”時(shí)期實(shí)現(xiàn)銀行卡的芯片化機(jī)制中的以下幾步工作量較大或需要投入較大成本（按成本從高到低排列）：216。當(dāng)前有3家銀行打算在“十二五”時(shí)期在ATM機(jī)上使用生物認(rèn)證技術(shù)，以提高ATM的安全性，%。軟件措施的實(shí)施難點(diǎn)不多，部分銀行提出在實(shí)施客戶操作界面提示動(dòng)畫(huà)目前需要系統(tǒng)改造的同時(shí)，同時(shí)影響客戶操作的界面空間，目前各家銀行尚未普及；當(dāng)ATM出鈔擋板被擋時(shí)ATM停止出鈔一定時(shí)間的控制精度和操作命中率還有待提高等，更多的銀行指出當(dāng)前客戶自我保護(hù)意識(shí)較弱是最大問(wèn)題。 夜間巡查難度較大；216。 能有效彌補(bǔ)聯(lián)機(jī)系統(tǒng)的風(fēng)險(xiǎn)防范先天不足，更有效的幫助銀行做好風(fēng)險(xiǎn)管控，準(zhǔn)確定位風(fēng)險(xiǎn)交易，做好事后分析處理工作；更有效的幫助銀行做好風(fēng)險(xiǎn)管控，準(zhǔn)確定位風(fēng)險(xiǎn)交易，做好事后分析處理工作；同規(guī)則引擎技術(shù)相比，數(shù)據(jù)挖掘的優(yōu)勢(shì)還集中體現(xiàn)在如下幾個(gè)方面：216。 計(jì)劃進(jìn)一步研究和引進(jìn)先進(jìn)工具，提高系統(tǒng)可用性。 加深對(duì)客戶行為挖掘，盡可能的簡(jiǎn)歷完整的風(fēng)險(xiǎn)模型，同時(shí)借鑒他行的經(jīng)驗(yàn)，盡可能的涵蓋客戶交易風(fēng)險(xiǎn)的各個(gè)方面；216。 偽卡交易；216。其中，各家銀行最關(guān)注的銀行卡交易風(fēng)險(xiǎn)監(jiān)控系統(tǒng)中的準(zhǔn)確性、可用性和實(shí)時(shí)性，其次是自適應(yīng)性和可維護(hù)性。 自動(dòng)識(shí)別外部客戶欺詐交易；216。 新開(kāi)卡的大額透支；216。 目前針對(duì)銀行卡交易風(fēng)險(xiǎn)的數(shù)據(jù)倉(cāng)庫(kù)只做到簡(jiǎn)單的分析，無(wú)法深入挖掘并分析；216。 所有數(shù)據(jù)源采用統(tǒng)一標(biāo)準(zhǔn)，同時(shí)提高數(shù)據(jù)質(zhì)量檢查 ，保證數(shù)據(jù)的可靠性216。 為銀行受理、審查、審批、交易監(jiān)控、賬戶管理、催收等各環(huán)節(jié)提供決策依據(jù)，有利于實(shí)現(xiàn)決策系統(tǒng)化、作用周期長(zhǎng)、作用面廣；216。 很多自助設(shè)備網(wǎng)點(diǎn)周邊無(wú)保安晝夜值班的單位，難以形成聯(lián)防。 犯罪分子暴力破壞防范措施、定期巡邏難度大；216。(4) 網(wǎng)絡(luò)欺騙。央行數(shù)據(jù)顯示，目前我國(guó)已有200多萬(wàn)臺(tái)的銷(xiāo)售點(diǎn)終端(POS)已可受理金融IC卡，占POS機(jī)總量的2/3左右；存儲(chǔ)量大體現(xiàn)在可脫機(jī)交易：存儲(chǔ)器可以存儲(chǔ)幾十個(gè)至幾千個(gè)漢字，可以分為若干個(gè)應(yīng)用區(qū)，便于一卡多用；同時(shí)金融IC卡可實(shí)現(xiàn)可脫機(jī)消費(fèi)（支付不用連接銀行后臺(tái)），持卡人可以設(shè)定電子現(xiàn)金初始余額，系統(tǒng)將自動(dòng)從信用卡額度中向電子現(xiàn)金進(jìn)行充值。（3）偽卡集團(tuán)與商戶勾結(jié)的案例頻頻出現(xiàn)。針對(duì)網(wǎng)上銀行的技術(shù)風(fēng)險(xiǎn)，銀行卡網(wǎng)上支付系統(tǒng)需要實(shí)現(xiàn)以下四種安全服務(wù)：(1) 針對(duì)假冒攻擊提供認(rèn)證服務(wù)；(2) 針對(duì)竊聽(tīng)攻擊提供保密服務(wù)；(3) 針對(duì)完整性侵犯提供完整性服務(wù)；(4) 針對(duì)業(yè)務(wù)否認(rèn)提供不可否認(rèn)服務(wù)。（三）研究目標(biāo)與創(chuàng)新點(diǎn)研究以下銀行卡與自助設(shè)備風(fēng)險(xiǎn)防御體系：(1) 主動(dòng)型防御體系：如基于磁條卡的多重保障技術(shù)；磁條卡向IC卡的遷移；提高客戶利用銀行卡、信用卡通過(guò)電子渠道支付時(shí)的安全性, 提高客戶利用銀行卡、信用卡通過(guò)電子渠道支付時(shí)的安全性。(4) 銀行卡技術(shù)標(biāo)準(zhǔn)規(guī)范陳舊。當(dāng)前，自助設(shè)備(ATM)的安全防范日益成為各商業(yè)銀行面臨的嚴(yán)峻挑戰(zhàn)和迫切需要解決的問(wèn)題。對(duì)客戶銀行卡和AMT機(jī)信息盜取的案件其中多數(shù)是利用先用電子銀行信息系統(tǒng)的漏洞，設(shè)置盜取客戶信息的應(yīng)用程序或者直接破解客戶交易密碼等竊取客戶信息，也有銀行內(nèi)部人員直接作案的案例。歸納起來(lái)，暴力破解的實(shí)施方法主要有以下兩種：固定某賬號(hào)，采用窮舉密碼方式試探該賬號(hào)是否能登錄；固定密碼，采用窮舉賬號(hào)方式試探該賬號(hào)是否能登錄。并通過(guò)在自助設(shè)備上張貼業(yè)務(wù)“告示”、“提示”、“安全使用須知”等，誘使客戶撥打指定電話，通過(guò)電話對(duì)客戶進(jìn)行轉(zhuǎn)賬詐騙；手法四：在自助設(shè)備讀卡器口加裝讀卡裝置盜取客戶銀行卡信息，通過(guò)用望遠(yuǎn)鏡偷窺，在客戶鍵盤(pán)表面加裝假密碼鍵盤(pán)、貼薄膜，在客戶鍵盤(pán)上方加裝攝像裝置等手法盜取客戶銀行卡密碼，然后利用偽卡詐騙客戶資金。目前銀行卡支付方式不斷推陳出新，郵購(gòu)電購(gòu)、網(wǎng)上支付、有線電視支付和指紋支付等新型支付方式日益涌現(xiàn)。當(dāng)前防范銀行卡信息盜取技術(shù)主要包括：(1) 防范盜讀磁條；(2) 防范竊取靜態(tài)密碼等靜態(tài)信息；(3) 多渠道認(rèn)證防范信息盜用。針對(duì)銀行卡風(fēng)險(xiǎn)，當(dāng)前各家銀行向中央銀行提出了如下意見(jiàn)和建議，從而盡快建立個(gè)人信用體系以加強(qiáng)內(nèi)部刮泥，建立健全內(nèi)控體系和風(fēng)險(xiǎn)管理制度：建議一：一是建立完善的內(nèi)控體系，做好授權(quán)、掛失、止付等工作。缺陷二：由于在直聯(lián)模式下，商戶終端機(jī)直接與銀聯(lián)系統(tǒng)相連，此間并不經(jīng)過(guò)收單行，故收單行無(wú)法看到交易數(shù)據(jù)；因此，當(dāng)前應(yīng)當(dāng)由監(jiān)管機(jī)構(gòu)出面，統(tǒng)一銀行卡收單市場(chǎng)秩序，支持商業(yè)銀行自主選擇終端布設(shè)方式，勢(shì)在必行。 終端機(jī)具改造216。如果采用生物認(rèn)證技術(shù)來(lái)改進(jìn)ATM機(jī)的身份認(rèn)證機(jī)制，則當(dāng)前各家銀行會(huì)選擇指紋識(shí)別、人臉識(shí)別、聲紋識(shí)別和多種生物識(shí)別技術(shù)的綜合利用，具體見(jiàn)附件：《生物認(rèn)證技術(shù)在ATM身份認(rèn)證機(jī)制中的應(yīng)用和實(shí)現(xiàn)》。其中，對(duì)于措施三中針對(duì)出鈔口的惡意操作，當(dāng)前各家銀行主要采用如下軟件措施：措施一：通過(guò)自助設(shè)備系統(tǒng)軟件(ATMC)對(duì)出鈔模塊進(jìn)行相關(guān)監(jiān)測(cè)。 人員短缺、力量不夠；216。 有助于對(duì)客戶