作者:紫琪
随着信息化建设的不断推进,信息安全成为社会普遍关注的焦点。信息化是一把双刃剑,它带给大家便利的同时,也给大家带来了很多的安全隐患。无论是银行卡,还是各大行业发行的智能IC卡,以及新的RFID应用,其安全防范方面的缺陷和漏洞也受到越来越大的挑战。如何应对这些安全挑战?采取怎样的措施才能规避这些风险?这些都是厄待解决的问题。
日前在北京召开的第三届(2007)中国国际证卡票券防伪、安全技术展示暨高峰论坛会议上,国家金卡工程协调领导小组办公室主任、信息产业部电子科技委副主任、中国信息产业商会会长张琪女士就这方面的问题与与会代表做了深入的探讨。
张琪首先介绍了金卡工程所取得的丰硕成果。她指出金卡工程是中国信息化建设的起步工程之一,实施14年来,在国务院各有关部委及各地方政府的密切配合和共同努力下取得了显著成效。实践证明:金卡工程的实施,加强了国家对经济的宏观调控,促进了银行卡全国联网、业务快速发展,推动了金融商贸电子化进程。随着智能IC卡在各行业、各地方的广泛应用,不仅创立了中国的智能卡产业、提高了人民的信息化意识,而且促进了政府与行业管理模式与工作方法的转变,推动着国家经济与社会的协调发展,并为我国信息化建设进行了有益探索,作出了重要贡献。
张琪进一步举出实例说明这问题。她认为金卡工程在以下方面取得了突出成绩。
(一)银行卡应用推动着金融业的改革与发展
1993年金卡工程首先从电子货币应用起步,促进了我国银行卡业务联营与发展,经过10多年努力,具有中国特色的银行卡支付体系初步形成。截至2006年底,我国银行卡发卡机构已达175家,发卡总量11.75亿张;2006年全国银行卡交易总额60万亿元,其中消费交易额1.6万亿元,同比增长70%以上。我国银行卡受理环境不断改善,市场快速发展。截至2006年底,国内受理银行卡的特约商户约52万家,安装POS终端81万台,ATM机9.8万台。境外受理银联卡的国家和地区达到24个,特约商户5.5万家,全年交易额达255亿元,增长了99%,这为人民币走向世界奠定了技术与环境基础。
2006年中国网上支付、电话支付、移动支付等电子支付工具发展迅速,市场规模已达330亿元,同比增长122%。2006年国内手机移动支付新增定制用户236万,同比增长一倍,手机支付的用户总数已超过500万,发展很快。值得重视的一个趋势是:更多的网络运营商加入到支付行业,并把网上支付与手机终端结合应用,使移动支付与互联网、电信网、广电网支付相互配合,营造出广阔的发展空间和业务潜力,不仅促进了银行电子化建设,而且正推动着我国金融行业的改革与发展。
(二)智能IC卡应用蓬勃发展
国家金卡工程的启动实施,促进了各类卡基应用,迅速渗透到国民经济各行各业。随着金卡工程的发展,行业性IC卡应用工程陆续启动,IC卡已在我国电信、社会保障、公安、税务、交通、建设及公用事业、卫生、金融、石油石化、组织机构代码管理等多个领域得到广泛应用,发卡总量超过35亿张。IC卡的广泛应用对提高各行业及各级政府部门现代化管理水平,方便百姓生活,推动国民经济和社会信息化进程发挥了重要作用。
电信行业始终是我国IC卡应用的最大市场,总发卡量已超过20多亿张,占我国IC卡发行总量的75%左右。电话卡的功能也从单一的通话身份鉴权认证和短信功能发展到目前的多元化业务,成为支持各种移动增值服务的公共应用平台,同时不断加强运营商与手机用户间的双向安全认证机制。
公安行业采用非接触式IC卡换发第二代居民身份证,二代证所用的芯片、模块、IC卡、各类读卡机具及应用系统完全由国内信息产业界自主研发和提供。2005年至2006年共完成4亿只二代身份证用芯片、模块的供应,有效保证了换证工作的顺利实施和二代证的安全使用,预计2008年末完成约9亿张的发行量。这项工作体现了政府相关部门的合作精神和执政能力,也充分发挥了国家金卡工程协调领导小组及其办公室跨行业、跨部门的组织协调作用。
建设事业IC卡已被广泛应用到城市交通、市政公用、居民社区数字化建设以及燃气、自来水、供暖、路桥收费、停车场管理、公园景点等领域,取得了显著成绩,提高了城市公用企事业单位的现代化管理水平,同时也加强了数字化社区建设,目前正为行业内的“一卡多用”进行规划和试点。
金融行业随着全球银行卡组织联手推行银行IC卡,即EMV迁移,我国银行业已开始从磁条卡逐步向IC卡应用过渡。金卡办正努力促进银行IC卡与各大行业性IC卡应用的结合,务实推动中央领导关于鼓励多领域结合,实现“一卡多用”,发行“多功能卡”的指示的落实,加强跨部门的协调,进行着应用试点,最大限度的实现资源共享与协调发展。
劳动和社会保障行业发行社保卡,截至2006年底,全国共有68个地区完成社会保障卡发行注册,持卡人累计达2000多万。
石油石化行业:中石化加油卡工程已建成1个全国数据总中心,20个省级中心和171个地级数据中心;完成了IC卡联网加油站1.5万座,发卡网点3200多个。
卫生系统积极推进IC卡的应用。不断推出就诊卡、体检卡、医保卡等,并把RFID电子标签用于药品和医疗器械的实时、动态、跟踪管理,以确保百姓的健康和安全诊疗。
旅游行业已建立全国导游员IC卡管理系统;国家质检部门成功发行了组织机构代码卡;海关系统成功推行了“电子口岸”,实现通关自动化;税务系统发行了金税卡和推广税控收款机系统等。
拓展IC卡新应用:随着计算机、通信、消费类电子(即:数字化3C)的融合发展,以及3G第三代移动通信商用网的启动和三网融合的大趋势,促进了IC卡的新应用,开拓着更广阔的市场。如:基于数字化3C产品、具有电子支付功能的各类信息终端和系统;基于智能电信卡和手机的移动支付与“多功能卡”应用的结合,推行“一卡多用”,以提供多元化业务和多媒体信息服务等;此外网络电视、手机电视、手机游戏、手机定位以及基于手机的众多RFID电子标签应用,以及广义的智能交通管理系统和现代物流等都将带来巨大的新兴市场,并有利于社会和谐发展。在电子商务与CA认证中,以及无线宽带多媒体应用也会带动IC卡新的用户群,进一步促进中国智能卡产业、RFID产业和多媒体应用的融合发展,打造更为完整的产业链。有关金卡工程首批12个试点省市的应用情况就不展开讲了。
张琪进一步强调,金卡工程建设,使中国的智能卡产业从无到有、从小到大,迅猛发展。目前我国从事与IC卡相关产品研发与生产的企业约有2800家,从业人员有10多万人。国内自主研制的各类卡、读写机具、应用软件及系统产品已占据了中国IC卡市场80%以上的份额,新兴的智能卡产业已成为我国电子信息产业和国民经济新的增长点。
当谈到RFID这一新兴技术,张琪认为随着金卡工程建设和IC卡应用的蓬勃发展,射频识别RFID技术已经得到实际应用,如:在金卡工程行业性IC卡应用中,公安部采用RFID技术制做非接触式IC卡电子证照,即第二代居民身份证,这是RFID技术在中国金卡工程建设中最早启动的成功应用范例。此外,我国在城市公共交通“一卡通”、高速公路收费、自动化通关、城市暂住证等各类电子证照与重要商品防伪、特种设备强检、CA认证与信息安全管理、动植物电子标识、食品/药品、宠物、军用物资的实时跟踪管理以及现代物流管理等领域已先后启动了RFID应用试点,并取得了初步成效。
她介绍说,根据金卡工程建设的需要,国家金卡办自2004年已把RFID技术与电子标签应用正式列入国家金卡工程重点工作;2006年国家金卡办又会同23个部门(行业)共同成立了国家金卡办RFID应用工作组。目前已在有条件的部门和地方积极而又稳妥地启动了RFID应用试点工作,主要涉及以下领域:
1、建设社会主义新农村,服务于“三农”,推进农业(农产品)产业化,应用于农、畜产品养殖过程的可追溯管理,为食品安全和人民健康提供保障;如:把RFID用于生猪、肉牛等畜牧业饲养和食品加工领域。
2、面向工业生产过程与安全生产管理,促进和谐社会建设;如:RFID用于煤矿安全生产,有效保护矿工的安全、减少瓦斯爆炸带来的巨大损失。
3、供应链管理与现代物流
大家选择邮政、铁路、民航、电子通关、远洋运输及大型连锁超市等行业进行试点,包括:仓储管理、物流配送、集装箱运输及邮政业务等,实现物品的动态跟踪和信息共享。
4、重要物品的防伪和安全管理
如:RFID用于工业危险化工品、煤气与天然气钢瓶、烟花爆竹、消防器材等的安全管理与动态跟踪,有效防范和减少事故风险;对贵重物品、独生子女、新生儿及宠物的鉴权识别及定位动态管理;军用物资等动态定位及可视化管理等。
5、智能交通系统与机动车、驾驶员的综合管理信息系统
国家金卡工程电子标签应用试点工作的启动使金卡工程建设突破了原来以部门(大行业)的IC卡应用和城市信息化建设为重点应用领域的范围,迅速扩展到工农业生产第一线;从以政府部门的电子政务及业务管理为重点,扩展到对物品(含人、动物)的实时、动态、可追溯的信息管理,因此其应用范围更广,更加贴近生产力,并直接涉及民生、服务于百姓、服务于基层,对减少和化解不安定因素,构建社会主义和谐社会发挥着日益重要的作用。正像中央领导同志曾指示的:“金卡工程是一项利国利民的工程,各部门和地方要集中必要的人力、物力、财力,干一些关系到国家经济、社会发展全局的大事情,这一点任何时候都不能少”。
在谈到信息安全这一大家普遍关心的问题,张琪首先分析了我国信息化所面临的挑战,她认为:随着信息技术、网络技术的高速发展和广泛应用,信息化正在改变着人们工作、学习、生活的模式,并使这个世界发生着巨变。在全球网络化、信息化的新形势下,大家在充分享受信息技术带给人类的众多实惠的同时,也正在饱尝由其引发的信息安全挑战。比如谍件(Spyware)用“新、奇、利、色”作诱饵,捕钓对象的私密信息或密码,还可篡改内容,以假乱真,甚至可用多层次、多密码隐藏和还原。目前的攻击对象多数是金融业。再比如黑客,去年信产部计算机网络安全监测中心仅统计六个月就有三千多个网站被攻击了,其中有600多是政府网站,直接威胁着我国电子政务建设。此外形形色色的病毒、黑客,构成“登录陷阱”、“协议弱点”、“运行劫持”,以及软件的“恶意夹带”、进行着信息窍取和篡改等等。仅就计算机病毒而言,从1987年巴基斯坦两兄弟为防止自己的软件被任意盗拷而编写出首例病毒。经过20年先后三代发展,至今已成为互联网不能平静生存的主要威胁。电脑病毒高速增长,仅今年上半年,据金山毒霸一个检测中心统计,就截获新病毒11万多种,同比增长了23%,仅木马病毒的新增数就占病毒总量的68.7%,高达7.7万种。2006年底“熊猫烧香”病毒一夜间使百万台计算机受感染而破坏了文件;“灰鸽子2007”病毒使我国25.8万台电脑被感染,占当时感染病毒电脑总量的10%。据统计2003年病毒造成的全球经济损失为280亿美元,到2007将超过750亿美元,四年增长了2.7倍。现在全球平均每天有一万多个新病毒出现,每年造成的损失近千亿美金。更为严重的是,“病毒”编写者与“专职盗号”人员及“黑客”结合,形成了黑色产业链。他们无本万利,一个人一年就能通过敲诈,谋取暴利上千万元。大家的杀毒厂商必须技高一筹的研发“预杀毒技术”,而不是停留在出现了新病毒再去捕杀,被动等着病毒产业的反哺。
张琪进一步提出了金卡工程所面临的安全挑战。她指出,国家金卡工程建设中无论是银行卡,还是各大行业发行的智能IC卡,以及新的RFID应用,其安全防范方面的缺陷和漏洞都不容忽视。据统计,全国信用卡诈骗案件每年高达数千起,涉案金额上亿;随着电子支付与网络银行的兴起,以及手机移动支付等应用引发的诈骗案件,已覆盖全国各省,有上亿的手机用户收到过假冒各银行或银联商户的欺诈信息,数以千万的持卡人曾上当受骗,损失巨大。严重影响了持卡人利用最新科技进行网上交易和购物的信心。此外利用黑客软件、网络病毒、谍件等盗取客户银行卡号、密码,非法获取银行业网站后台数据库中客户资料和信息,通过网上银行大肆盗划持卡人卡内资金;还有甚者,在网上设立假的金融网站,骗取客户银行卡号、密码的“谍件”,网络钓鱼,异地跨行的跳跃式作案,不断发生。这严重影响了金卡工程新技术与新业务的推广应用。
面对这些问题,如何应对?张琪提出了应对措施的建议。她强调,金卡工程也如一切信息化工程一样,面临着来自信息安全方面的严峻挑战,无论是银行卡,还是各类IC卡和电子标签,均属本次论坛谈及的“证卡票券”范畴。如何有效防伪、保证其本身的真实性,还要确保其应用过程中的安全,同样至关重要!谈信息安全,不仅仅涉及个人隐私问题,也不单纯是识别各种法定证卡的真伪及保护其安全,当今的不安全因素已直接影响到我国金融、电信、公安、财税、海关等各要害部门及重大信息应用系统的安全,包括:电子政务、电子商务、电子支付、城市信息化和企业信息化系统等等。在当今的网络化社会,安全隐患其影响往往是跨部门、跨地区,甚至是国际化的。所以她认为大家谈证卡票券的安全防伪,其内涵绝不仅仅是研究各种防伪技术,还应与时俱进的考虑到各种证卡票券在应用过程中涉及到的信息应用系统及整个网络化应用的安全。对此大家必须要提高认识,透过证、卡、票、券看到其直接涉及到各类应用信息系统安全、网络安全、内容的安全,以至国家的经济安全及政治安全,这绝不是耸人听闻!比如:一张银行卡即使它本身是真的、没有伪造,但如果在应用过程中存在安全漏洞,透过它同样可以盗取银行卡密码、骗取资金、植入病毒、修改信息数据,以致使整个银行电子化系统陷于瘫痪。
她还指出大家必须整体的考虑信息安全。“魔高一尺,道高一丈”,如何确保信息产品的自身安全,即物理安全;确保数据存储和交换的正确性;确保网络通信的安全性,以及信息系统的安全和信息内容、资源的可信,始终是信息安全体系不可或缺的重点。大家应重点研讨如何适应信息技术高速发展带给证卡票券行业的新产品与新应用,认真分析当今信息安全方面的新形势与新挑战,做到知己知彼,同时与时俱进的抓住信息技术与应用未来发展趋势和面临的安全挑战,求真务实地研究落实应对措施。
最后,张琪总结说,随着入世后的进一步对外开放,利用卡基犯罪的国际化趋势也日益明显。有的非法加工制造假信用卡,直接使用假卡大宗购物行骗、刷卡套现;随着网络化应用的拓展,电话转帐、网络银行、电子交易、CA认证、网上征税、手机银行、手机购物、手机网游等等,利用信息技术的新型业务不断涌现,但同时也衍生出新的卡基犯罪手段。结合今天会议的主题:证卡票券安全防伪,她认为应站在国家信息安全及金卡工程安全体系建设的高度,综合考虑信息安全技术和产品的应用,以及国家信息安全产业的发展,进一步统一认识,统筹规划,加强组织协调,采取联合行动。必须坚持科学发展观,加强自主创新,更多的应用新技术、新产品来加强安全防范。大家要以创新的思维、创新的观念和创新的工作思路,积极应对,采取务实有效的措施加以解决。随着金卡工程向纵深发展,无论是银行卡,还是智能IC卡的应用,以及今后市场更为广阔的RFID电子标签应用试点工作,都将有益于安全防伪技术的发展和信息安全产业建设,以保障我国信息化建设健康有序推进。