xx地区安全用卡环境的调查与思考

1/6XX地区安全用卡环境的调查与思考一、XX地区银行卡环境的基本情况XX地区地区银行及信用卡发卡中心的用卡环境基本情况如下1物力人力投入过少由于思想认识偏差，经济实力有限，技术人员短缺，使得欠发达地区信用卡业务缺少必要的物力人力投入。一方面在硬件投入上舍不得下大本钱，设备档次低、升级换代难、操作手段落后，不少二级发卡行，甚至少数一级发卡行没有安置必要的设备如A1M、POS、TBS等，导致结算速度过慢、服务时间过长，另一方面在软件投入上舍不得下真功夫，人员数量不够、技术人员尤其短缺，而且人员结构不合理。许多发卡行没有按最低标准配足工作人员，没有按需要选聘技术和管理人员，出现有事没人做，有人没事做之怪现象，从而间接影响用卡环境质量。2受理网点运作服务差欠发达地区信用卡受理网点建立时间晚、起点低、经验少，许多地方不能把信用卡服务上升到树立商业银行整体形象的高度而予以重视，不能胜任发卡、收单、结算、透交迫索等工作，不能充当发卡中心、持卡人和特约商户的纽带，不能为持卡人和特约商户提供优质高效的服务。3特约单位台作不力2/6信用卡业务管理办法第24条明确规定各商业银行应按如下标准向特约单位收取交易手续费人民币信用卡，不得低于交易金额的2；境外机构发行、在中国境内使用的信用卡，不得低于交易金额的4。在XX地区，商业单位微薄的利润一般难以支付高比例的信用卡业务手续费，经济杠杆使无利可图的特约单位内无动力，外无压力，因而拒收信用卡的现象时有发生，名符其实的特约单位寥寥无几，发卡中心对特约单位的拓展工作走进了特约单位越少越难拓展，越难拓展特约单位越少的怪圈。二、XX地区安全用卡环境存在的主要问题1支付环境建设问题用卡支付环境的首要问题是网上银行的支付安全问题。安全问题已经严重影响了XX地区整体网上支付市场的发展。现代金融造假手段,使不法分子在网民网上购物时,利用与银行网站相类似的网络页面,很容易通过网上转账的方式将资金转走另外,黑客、木马病毒攻击也让网民在支付过程中防不胜防。木马潜伏在计算机中,时刻监视用户的一举一动,从而盗取账户和密码信息,而黑客则利用系统漏洞、用户的安全意识薄弱入侵用户的计算机,获取用户的相关信息和密码,导致网民在网上支付受损。安全问题已经成为影响网上支付发展的主要因素。2现行的银行卡技术问题3/6对于我国广泛使用的磁条银行卡，虽然技术成熟，规范，但制作技术并不复杂，银行磁条卡磁道标准已经是公开的秘密，仅凭一台电脑和一台磁条读写器就可以顺利“克隆”银行卡。另外制卡机销售管理不够严格。不法分子利用银行卡诈骗案件时有发生，主要手段就是通过各种方式“克隆”或者盗用银行卡。目前，XX地区各家商业银行也采取了一些技术手段防止伪造和克隆卡，如采用CVVCHECKVALUEVERIFY技术，在生成卡磁条信息的同时产生一组校验值，该校验值与每个卡片本身的特性相关联，从而达到复制无效的功能。虽然采取了多种措施，但磁条卡本身固有的缺陷己严重威胁到客户的利益。3机在技防上的问题由于CUPS连接的是各家成员行的ATM或者商户的POS终端，这些设备属于自助设备，或无人值守或操作由客户完成。因此，对设备的稳定性和安全性要求较高，从以往的运行情况看，也存在一些安全隐患。不法分子终端诈骗做案目前的银行卡诈骗犯罪，根本目的就在于窃取资金，焦点集中于ATM机上，不法分子手法千奇百怪，令人防不胜防。为获得持卡人卡号、密码等资料，既有在ATM机旁边直接偷窥银行卡密码的初级手法，也有种种骗术，更有利用现代电子技术，挖空心思的高科技手段。另外，还有自助设备管理问题如清机押运现金过程的安全疏忽，没有4/6严格执行双人清机加钞设备人为破坏现象严重等。部分自助设备安装没有按照公安部的要求对设备进行与地面加固连接有的电气环境没有达到要求有的没有设置110连动报警或者没有可视监控报警，有的监控录象不够清晰，监控录象保存时间没有达到规定要求等。还有一些自助设备端软件设计缺陷，特别是某些国产设备软件设计不够合理，软件变更随意性大，存在漏洞，造成错帐可能性比较大。4用户安全意识问题XX地区属于中小城市，银行卡客户缺乏有关银行卡的知识，在使用自助设备的安全意识不高。作为持卡人，也要提高安全用卡的意识，学习基本的用卡常识，提防ATM机布放场所的可疑情况。对ATM机上张贴的各类通知、ATM机的改动、ATM机旁边人员的窥视、卡被吞吃等情况，请提高警惕。如果不放心，请直接拨打银行的客户服务热线，或者到银行柜台询问，不能拨打张贴通知上面所留的电话。此外，有的客户风险意识和自我保护意识不强，设置的交易密码过于简单，如123456,000000,888888，或者本人生日等，往往很容易被猜到。5行业间联动机制问题在CUPS网络中银联的地位最为重要，作为交换中心，它的安全性和可靠性起着举足轻重的作用，因此，银联总中心和各城市中心也都花费很大精力在安全问题上，采取5/6了双机热备，异地灾备，线路冗余，设备冗余等多项措施。但安全问题依然存在。对于其他行业的成员机构，由于数量众多，行业性质不同，对内部信息系统的安全要求也不尽相同，而且，安全问题还涉及到各个成员机构的重视程度，人员数量和素质，系统复杂程度以及资金投入等多方面的问题，因此，CUPS成员机构面临的安全问题不可统一而论，这也是为什么CUPSV20标准规范中只是对安全性有个基本要求，而成员机构在设计与CUPS的接口，以及系统安全性能时，需要根据本单位的安全情况充分考虑的原因。三、打造XX地区安全用用卡环境工作中的对策和建议为了彻底控制此类案件的发生，我们在ATM的安全防范方面采取了多种措施，具体如下1网络安全技术的应用。利用路由器、防火墙、加密机本身的设备IP限制技术，降低ATM的C端设备权限，使非法IP设备无法侵人到中心机。2有效卡控制技术早期金融软件