浅析信用卡系统的安全性

中央财经大学：原松琪

---信用卡安全是信用卡应用的永恒主题。

信用卡安全涉及持卡人、信用卡本身、发卡银行内部、金融终端（如自动柜员机）和通信网络等诸多环节。
安全威胁手段大体上可分为被动攻击和主动攻击两类。
被动攻击旨在破坏信息的机密性，主动攻击旨在破坏信息的真实性和完整性。以军用计算机为代表的国家安全领域用于封闭环境，为保密而把被动攻击作为主要防范对象，这也是传统的安全模式；而以金融系统为代表的商用安全领域用于开放环境（对客户是开放的，所使用的公用网络也是开放的），这种环境下机密并不能完全保得住，所以为保证金融信息的真实性与完整性而把主动攻击置于防范的首位。防主动攻击比防被动攻击更难，后者不易发觉但易制止，前者虽能发觉但难制止。后者靠加密技术和方法能够奏效，前者的威胁则来自机、网、库、卡诸多层次，这主要靠鉴定技术和方 法，以及多层次综合保护机制和措施。

实际使用时，信用卡授权取决于PIN（个人标识号），本质上它为卡主的电子签名，在金融终端它用于制止丢卡、窃卡或伪卡的使用。为保证卡主的真实性，PIN需要绝对保密。为了使PIN保密而不被猜得，它本身必须具有相当长的数位，使拾卡人、窃贼或伪卡主难以用直接猜试法求得PIN值。但是PIN的数位越长就越难于记忆，卡主输人时出错的概率就越大，也会延长电子转帐交易时间，造成许多不便。实践证明，一般人难以牢记超过6位的十进制数PIN。当今流行的PIN值在4－6位之间，便是实用性和安全性的折衷体现。金融电子支付系统都有核查PIN猜试的检测系统，对连续输人有差错的PIN值的许可次数都有限制，这也有效防止了PIN的非法猜试。这种次数限制可以是累积次数，也可以按日计数。采取了上述限制规定后，在金融终端内，有必要没收失效的信用卡，以防止非法卡片再度使用。

但是，如果信用卡为磁卡，就易于被读出卡上信息或被仿制成伪卡。从统计资料可以看出，由于磁卡具有易于涂改和仿制的固有弊端，1991年仅亚太地区因此而致的损失就达1．25亿美元，伪卡作案占信用卡犯罪案例总数的70％。对此，为验证卡主真实身份，可采取在受理终端设置鉴定卡主出示的指纹或视网膜脉管图像的扫描设备，以取代鉴定PIN，从而制止伪卡作案，另外尚有辩认卡主人体特征的其它办法可供参用，但是，凡是这类方法旨在判别卡主身份的真伪，只是针对防范伪卡作案的单一安全措施。其实，除验证卡主身份外，也可以对信用卡自身做改进，用智能（IC）卡取代磁卡。IC卡较磁卡的一大优点是，卡内信息密封而难伪造，这可以从根本上杜绝伪卡出宠；IC卡还能提高信用卡系统其它环节的安全，尤其是制止伪卡在受理终端作案；IC卡还具备一卡多用的前景。由此可见，IC卡具有一举多得的综合保护机制和经济效果。在21世纪来临之际，IC卡取代磁卡而成为信用卡的主流势在必行。

金融机构对卡主PIN的保密负有首要责任，应当杜绝金融机构内部人员非法获取PIN。在公用通信线路上PIN不能以明码传送，因为线路易被窃听。在金融中心计算机任何数据库内，PIN不能以明码驻留，即使是短暂驻留，也不允许用明码的形 式，因为这总会给程序员或操作员以可趁之机。PIN不能为金融机构内部人员所知，也不能给他们有任何接近PIN文件的机会，即使在向客户发放PIN的过程中也要如此。如果要用信使传递PIN，则必须始终在严密控制管理之下进行。

有些金融机构把实施PIN保安措施作为经济负担，但若把金融机构为PIN采取保安措施所付出的代价和无这些措施可能遭受的损失作权衡对比，则可看出节省这笔费用是得不偿失的，因为由PIN泄密而造成的重大损失往往难以估算。在PIN失密后造成的最严重后果使伪卡者使用有机可趁。它使卡主帐目上出现诈取借贷而一时不被察觉。当在银行结算单上发现卡主帐目出现透支或有非法借贷时，为时已晚。如果这些损失并非卡主疏忽所致，则金融机构必须承担所受损失。另外，这种诈取案件一经传开，一些卡主虽实际上未受诈取，只是记不清结算单上一些交易转帐项目，也会怀疑自己受到诈取而对金融机构起诉；一些钻空子的卡主明白金融机构无从查证，就会矢口抵赖自己曾做过的一些交易，这类派生出的继发性案件甚至比原发性案件的后果更为严重。PIN失密更为严重的后果是金融机构不为客户所信任，客户纷纷把资金从金融机构转出，这比PIN泄密构成的直接损失要大得多，对于信用卡应用还很不成熟的我国，这几乎是致命的。

理论和实践证明，一个绝对安全的金融电子系统并不存在。但是，在工程应用上最大限度地降低安全风险，制定相应的安全指标并付诸实施是完全必要和可行的。总的安全指标是，无论内情人还是局外人均不能对金融电子报文交易构成安全威胁。内情人系指许可用特许权的编程人员和内部工作人员；局外人系指有合法身份的用户和外界黑手。无论在国外或国内，凡大案要案多出自内部、知情人或内外勾结，据上海第二中级人民法院的一项统计，1998年l－10月，在该院一审受理的金融犯罪案中，家贼占45．5％。因此。审计对于任何一个安全系统都是不可或缺的，它对内情人有不可低估的威慑作用。审计在金融机构中使用为时已久，传统审计方法以帐本记录为依据，靠人工查对帐目，与传统方式不同，信用卡交易的特点是有大量在线原始文件无需人工参与便可以从远地金融终端输人。在这种情况下，整个信用卡交易过程的准确性和可靠性有赖于自动控制措施。信用卡审计技术和自动控制措施相辅相成，旨在发现和制止滥用自动控制措施的案件和存在的弊端。审计方法一般包括有记帐责任、复核（交叉检验）和保险检查等。

此外，对和电子支付系统配合使用的现金支付器和自动柜员机等自动经营系统的设计应力求谨慎。因为自动经营系统缺乏机动性，一开始就需设计有安全措施并嵌入该系统内，在使用过程中很难对已有安全措施作重大改进。对作案者来说，初期对新的自动经营系统可能很不熟悉，但是通过长时间的使用，作案者会找到一套诈骗手段。一旦案犯得手，他就会大肆作案，因为这种系统是自动化经营的，所以诈取也会“自动化”。这就是说，一旦作案得逞，这种自动化经营方式也会使案犯的重复、高速生成变为可能，从而给银行或客户造成严 重损失。

当前在我国市场上牡丹卡、长城卡、金穗卡等多卡并存，互不通用。在我国经济由粗放型向集约型过渡之际，为实现各卡通用，就要采取跨行交易方法。跨行交易时受理终端并不属发卡行管辖，而通信网络一般为公用网络，显然，跨行交易比本行范围内交易的技术问题更为复杂，安全风险也更大，因此，信息安全保护工作更加艰巨和重要。