人、技术、管理有机结合保障信息安全（1）_滚动新闻_科技时代_新浪网
人、技术、管理有机结合保障信息安全（1）
.cn 日&16:21 赛迪网
　　【赛迪网讯】
　　冯登国 “国家863计划”信息安全专家组组长
　　潘柱廷 北京启明星辰信息技术有限公司首席战略官
　　邹 维 北京大学计算机科学技术研究所副所长
　　王 宏 信息产业部信息化推进司
　　林雪焰 北京数字证书认证中心总经理助理
　　张俊兵 公安部公共信息网络安全监察局
　　吴鸿钟 卫士通信息产业股份有限公司副总工程师
　　田 野 北京天融信网络安全技术有限公司安全服务总监
　　胡小明 中国信息协会副会长
　　曹 鹏 东软软件股份有限公司网络安全方案部部长
　　面对日渐严峻的网络信息安全形势，在由中国信息协会信息安全专业委员会主办的“十一五”信息安全发展趋势高峰论坛上，与会专家和代表指出，要强化安全监控、网络信任等信息安全基础设施建设，健全等级保护、风险评估和安全准入制度，建立一个综合性的安全保障体系。
　　主动驱动力
　　更利于安全环境建设
　　冯登国 《国家中长期科学和技术发展规划纲要(2006年～2020年)》、《关于加强信息安全保障工作的意见》、《国家“十一五”信息安全科技发展规划》，要求重点研究开发国家基础信息网络和重要信息系统中的安全保障技术，开发复杂大系统下的网络生存、主动实时防护、安全存储、网络病毒防范、恶意攻击防范、网络信任体系与新的密码技术等。
　　我国在若干信息安全关键技术的研究开发和产业化方面，由于政府主管部门的有力推进和规模化商用市场的形成等原因，取得了一批较好的技术成果。特别是在“十五”期间，在“国家863计划”等国家计划的支持下，已经在PKI/CA技术、密码标准和芯片、网络积极防御、网络入侵检测与快速响应、网络不良内容的监控与处理等方面取得了较大的进展。
　　但是纵观我国在信息安全技术领域的发展历史，我们不难看出，虽然取得了很多优秀成果，但还存在许多问题。首先是研究与应用相互脱节，偏应用的工作需要企业和应用部门的参与，才能做出满足实际应用的高水平研究成果；其次是技术发展存在不平衡性，技术成果水平高低不一，在某些方面很突出，在其他方面则有待于提高；第三，研究工作缺乏系统性和持久性；第四，研究工作主要集中在某几个方向上，没有覆盖到信息安全所有主要方向。总的来讲就是缺乏信息安全关键技术的创新研究。
　　潘柱廷 信息安全保障有四种需求驱动类型：问题型、体系化、政策性和合规性。
　　问题型的需求来自于自己机构(或看到其他机构)正在发生、曾经发生的安全问题所引出的安全需求。比如：网站被入侵、网络遭到病毒侵害、发生火灾导致数据丢失等等。这些问题会立刻引发安全问题解决的需求，比如：防病毒、入侵检测、备份等等。这类需求是信息安全产业最原始的动力，其特点是直接来自于客户，要求得到快速解决。
　　体系化的需求常常来自于专家和厂商的技术推动或者客户零散的问题，被内外部专家提炼。客户开始从体系化的角度考虑安全需求和安全建设，强调建立“信息安全保障体系”、“监控体系”、“应急体系”、“业务安全体系”等等。这样的体系化需求，能够让客户建立起来一些持续多年的持续性需求，这种需求常常会表现为一个持续2-3年以上的安全规划。
　　政策性的需求主要是来自于由于主管机关的要求和政策性引导，敦促机构对于安全问题的重视，加强安全投入，从而引出了很多安全需求。这样的需求，常常由于机构自身对于问题的紧迫性不足，对于需求的理解不透，而导致安全投入和安全建设流于形式，但是这个需求是在一定阶段中支撑了整个信息安全产业的发展。
　　作者：杨庆广　　合规性的需求常常表现为法律法规的要求、标准的要求、行业主管机关和监管机关的行政要求等等。比如国际上的萨班斯-奥克斯利法案、巴塞尔协议、ISO27000系列(7799系列)等；再比如国内的等级保护要求、风险评估、商业银行内控要求等等，这些合规性要求已经是多方面安全需求和经验的综合，常常具有一定的强制性。通过合规性所引发的安全需求会形成非常稳定的产业交易需求，可以说是产业稳定发展的重要支柱。
　　我国信息系统
　　需解决脆弱性问题
　　冯登国 未来我们的信息安全技术面临着四大挑战，包括计算模型和计算能力，网络化和普适化，智能化和自动化，理论研究与现实需求的差异性。
　　在计算模型和计算能力方面，由于当前的实用信息安全技术特别是密码技术与计算技术密切相关，其安全性本质上是计算安全性。计算模型的演变是追求更具表达能力、更符合人类思维模式、更具易构造性和易演化性的计算模型。这需要我们在计算技术上不断进行拓展。
　　网络化和普适化在给人类社会带来方便的时候，由于它的开放性和共享性，也引发了很多安全问题，如网络病毒、网络攻击、网络恐怖、垃圾信息等一系列的麻烦。在新的网络环境下信息安全保障更加难以得到实现。
　　在智能化和自动化方面，由于信息技术是一把双刃剑，给人类社会带来方便的时候，也带来了安全问题，如智能化和自动化技术，人们利用智能和自动化技术编写了大量的攻击工具、病毒、垃圾邮件。网络攻击工具的智能化和自动化程度的提升，使得网络攻击更加容易、成本更低，以很小的开销就可以造成严重后果或影响。
　　理论研究与现实需求存在着不小的差异性。理论研究相对比较单纯、考虑因素和实验环境有限与现实世界复杂多变、环境恶劣形成鲜明对比。从人类认识角度来讲，安全是一个过程，只有相对安全，没有绝对安全。而且实际需求特别是政府的高度要求(万无一失、安全的绝对性和紧迫性)与技术能够解决安全问题的有限性(安全的相对性)之间存在鸿沟，所以需要我们去尽量弥补理论和现实之间的差距。
　　邹 维 信息系统脆弱性是指信息资产及其防护措施在安全方面的不足和弱点。目前我国关键部门信息系统依赖于国外操作系统、应用平台软件的现象形成了我国信息系统本身的脆弱性，让我们的信息系统的安全性和可信性大大降低。“十一五”期间如果不能提前或者同步解决这一严重的脆弱性问题，那么新研发的众多信息安全方面的科研成果将可能成为沙滩上的建筑。所以我们要尽快培育包括信息系统脆弱性分析新理论新方法研究、各类系统漏洞发掘整理以及业务信息系统风险评估在内的专业队伍。
　　电子认证
　　需加强应用
　　王 宏 网络信任体系是以密码技术为基础，以法律法规、技术标准和基础设施为主要内容，以解决网络应用中身份认证、授权管理和责任认定等为目的的完整体系。网络信任体系的内涵和外延仍有待深入研究，但可以就三个重要组成部分开展工作。
　　网络信任体系建设有以下几个主要关注点：
　　第一是要规范建设和推广应用。信息产业部批准的电子认证服务机构已经有19家，从目前应用市场的容量看已经超出许多，但应用相对滞后，需要加强宏观指导，充分利用已有资源，做到服务和资源共享，重点推进应用。第二，对面向社会的面向电子政务的电子认证服务按照不同的法律法规要求分别进行管理。第三，走社会化专业化道路。面向社会公众提供服务的电子政务认证活动，提倡走社会化、专业化道路，原则上应利用已经依法设立的认证机构提供服务。应用部门要从有利于互通互认、信息交换和资源共享，减少建设和运行成本，降低企业负担的角度考虑相应的电子认证服务应用和认证系统建设问题。第四，主管部门要加强管理，提高电子认证服务质量和可信度，推广电子签名应用，鼓励资源和服务共享，防止盲目重复建设，提高资源利用水平。
　　未来要依法做好电子认证服务机构行政许可，推广电子签名应用；制定相关管理办法，对电子认证服务业进行监督管理；积极开展电子认证服务机构监督检查工作；加强电子认证服务行业建设，提高电子认证服务质量和可信度。
　　林雪焰 迈过开展电子认证业务资质门槛的CA，面临的主要问题是如何成功拓展电子认证服务。开展电子认证服务需要包括以下几方面的重要内容：鉴证服务、业务可持续性、投资回报和风险与责任管理。
　　鉴证是电子认证服务机构的核心功能之一，只有可靠的鉴证服务，才能构建起可信的电子认证服务。CA机构需要针对不同的业务，设计不同的鉴证模式，以及相应的流程和方法。CA中心要严格执行鉴证流程和方法，电子签名业务要求认证服务具有高度的可持续性。证书认证体系建立后，需要长期持续稳定服务。证书发放后，在证书的整个生命周期，CA中心需要提供证书验证和查询等认证服务。证书信息需要长期保存。通过分析电子认证服务的业务体系，CA中心的风险来自人员、物理环境、系统、密钥等方面。因此业务可持续性建设应包括：安全风险评估、可信的人员、安全的物理环境、系统可靠性设计、系统的安全防护、密钥、设备管理、文档资料管理、应急处理预案以及CPS符合行审查。总体目标是建立具有高可靠性、高可用性、能够有效应对危机的电子认证服务。
　　作者：杨庆广　　CA机构要重视风险与责任管理。电子认证服务提供者依照《电子认证业务规则》需要承担相应的责任。CA机构应当为用户提供全面的安全支撑，用电子认证服务加强用户的安全，降低用户的风险。
　　客户付费使用CA机构提供的认证服务，需要可见的投资回报。而第三方认证服务不是强制性的，所以电子认证服务需要给客户带来业务的差异性，带来切实的投资回报。
　　总体上说成功的电子认证服务需要随需应变的解决方案、全面的证书应用产品和可信规范的运营。
　　加快建设
　　信息安全等级保护体系
　　张俊兵 等级保护制度是国家信息安全的基本制度，首先要根据信息系统的重要性以及遭到破坏以后对国计民生造成的危害性，以及信息系统必须达到的安全保护水平的程度来确定信息安全的保护等级，按照规定分成五个等级。国家通过制定统一的管理规范和技术标准，组织行政机关、公民、法人和其他组织，根据信息和信息系统不同的重要程度有针对性地开展保护工作。国家对不同安全保护级别的信息和信息系统实行的是不同强度的管理政策。三级或者三级以上的涉密系统需要接受公安机关的强制性的监督检查和指导。
　　国家对信息产品的使用实行分等级管理，同时要求信息安全事件也要分等级。今年我们主要根据国家信息安全等级保护工作的总体部署，继续抓好以下几个方面工作：
　　第一，开展试点积极探索等级保护的工作模式。第二，突出重点切实加强对重要信息系统开展等级保护的指导工作。第三，面对信息安全企业对等级保护工作有关步骤和方法措施了解不是十分透彻的情况，我们继续加强面向社会加大宣传信息安全等级保护的工作的力度。第四，我们将积极探索推动信息安全测评和技术支撑体系建设。
　　吴鸿钟 等级保护是我国信息安全领域的一项基本政策，其核心是将传统的定性设计逐步进化为定量的安全保障设计，体现了差异化的安全保障思想。
　　在建设信息安全等级保护系统上需要下面几个主要步骤，包括信息系统的划分、系统的定级、风险评估、等级化保障体系设计流程和等级化保障体系设计，信息系统的概念有大有小，在工程实践中，过大的划分不利于对信息进行有针对性的保护，因此需要对信息系统进行有效的划分。信息系统的划分原则是相同的管理机构、相同的业务类型、相同的物理位置或相似的运行环境。信息系统的划分可以从安全区域、业务系统和保护对象三个不同角度进行。
　　系统的定级主要是按照国家政策要求进行等级确定和安全措施的确定。风险评估是等级保护的基础组成部分，依据风险评估结果调整安全措施。等级化安全保障体系设计流程揭示了各种因素对等级化保护所带来的潜移默化的影响，也展现出了等级保护和传统信息安全保护的本质联系，他们都需要遵循信息系统安全工程的思想。最后形成整体的等级化安全保障体系。
　　田 野 等级保护基本需求包括政策要求和客户实际需求两个方面。政策要求需要等级保护系统符合国家的信息系统定级要求和系统评测要求。实际需求则是要适应客户实际情况，适应客户的业务特性与安全要求的差异性，同时等级保护系统要可以实现工程化实施。
　　国家的等级保护标准主要是从“单个系统”出发，但实际工作是从组织整体出发，需要整体考虑所有系统。如果各系统单独保护，将引发冲突和割裂，形成信息孤岛。复杂大系统的分解和差异性安全要求描述困难，如果各安全系统单独建设，将造成安全系统的建设分散、重复和低水平。针对这些问题需要从组织整体出发，综合考核所有系统，引入体系设计方法；准确地进行大系统的分解和描述，反映实际特性和差异性安全要求，引入保护对象框架设计方法；统一规划，集中建设，避免重复和分散，降低成本，提高建设水平，引入安全平台的设计与建设方法。
　　在等级系统建设过程中还要注意建立长效机制，建立可持续运行、发展和完善的安全保障体系。同时为了减少管理难度和管理成本，需要引入高水平、自动化的安全管理工具。
　　电子政务安全建设
　　要注重易用性
　　胡小明 保密与信息安全要求直接影响了电子政务的实施成本、推进速度和实际效益。目前在电子政务建设上，存在过度追求安全性的问题，造成了电子政务成本上升、易用性变差。比如在电子政务实际建设过程中“内网”、“外网”概念不是很清晰，这就带来了地方电子政务安排上的麻烦。一些区政府的内网也要求物理隔离，直接增大了电子政务成本。还有就是国家秘密目前没有一个非常明确的界限，造成了一些部委专网保密级别不合理的升级，进而不计成本地要求地方政府物理隔离向下延伸，极大地增加了地方电子政务的配套成本，使地方政府很难管理和使用。
　　作者：杨庆广　　过度的保密观念会造成地方政府只关注保密而不关注系统的整体安全性能、不关注对社会服务的可靠性与稳定性、不关注对企业商业秘密和个人隐私的保护，从而会严重地影响了地方电子政务的健康发展。
　　所以为了保障电子政务的健康发展，一定要严格划分涉及国家秘密和非涉及国家秘密的电子政务系统。涉密网的范围越小才越有利于保密，涉密网的数目越少才越有利于管理。只有那些特殊的部门如国防、公安、国家安全及一些关键部门才需要建立涉及国家秘密的系统。一般政府部门可沿用原来的保密渠道传送保密资料，没有必要自找麻烦让保密资料上网。
　　电子政务是一个公共服务系统，其重要的任务是要为公众负责。信息安全的首要目标是保证服务的可靠性。电子政务系统在保护政府的工作秘密时，宜采取商用的信息保密手段，以利于实现效益与成本的协调。同时电子政务系统也要注重保护企业的商业秘密和个人的隐私。
　　基于网络的安全技术
　　是发展方向
　　冯登国 未来信息安全技术发展趋势包括抽象化、可信化、网络化、标准化和集成化，整体上讲未来信息安全技术的发展方向是基于网络的。
　　抽象化，公理化研究方法逐步成为信息安全的基本研究工具。其中包括，密码学：算法可证明安全性理论、分析方法、检测评估方法；安全协议：协议可证明安全性理论、形式化分析方法；系统安全：安全模型、高安全等级系统理论、复杂系统安全理论；网络安全：安全体系结构、大规模入侵检测理论、网络的可生存性理论；应用安全：安全基础设施(如PKI等)的自身安全性理论、新技术应用带来的安全问题。
　　可信化，从传统计算机安全理念过渡到以可信计算理念为核心的计算机安全。这是因为近年来计算机安全问题愈演愈烈，传统安全理念很难有所突破，人们试图利用可信计算的理念来解决计算机安全问题，其主要思想是在硬件平台上引入安全芯片，从而将部分或整个计算平台变为“可信”的计算平台，有很多问题需要研究和探索，如：基于TCP的访问控制、基于TCP的安全操作系统等。
　　网络化，网络应用和普及仍然会进一步引发安全技术的创新发展。由网络应用和普及引发的技术和应用模式的变革推动着已成形的信息安全关键技术的进一步创新，并诱发新技术和应用模式的出现。
　　标准化，从发达国家和地区高度重视过渡到世界各国高度重视，逐步体现专利标准化、标准专利化的观点。由于信息安全技术与产品的广泛应用，政府、产业界、学术界等必将更加高度重视信息安全标准的研究与制定，也必将形成信息安全标准体系，技术标准的研究与制定工作将得到进一步的深化和细化。
　　集成化，从单一功能的信息安全技术与产品向多种功能的或融于某一信息产品的信息安全技术与产品的方向发展。
　　曹 鹏 现在是信息保障时代，强调人、技术、运维管理三者的有机结合。面向未来的安全解决方案要从这三个方面全面提升我们的安全保障能力。
　　建立一套务实的信息安全保障体系，需要有效地衔接安全管理和安全技术，把当前安全管理思路融入到各个业务系统的操作层面中去，将安全管理的目标利用可量化实现的技术手段来实现。
　　信息安全未来的关注焦点在于技术框架的搭建(由各种成熟的安全产品和安全技术来进行完善)、人员水平能力的提升(定期的安全培训、工作经验积累来实现)、安全策略制度的操作管理。
　　从整体信息安全的层面来看物理安全、网络安全、系统安全已经储备了充分的安全相关知识和实施维护工具，未来关注焦点主要是应用安全与管理安全。(n101)
　　作者：杨庆广
【】【】【
】【】【】【】【】
赛迪网的其他文章
不支持Flash
热 点 专 题
　电话：010-5　　　欢迎批评指正 |
Copyright & 1996 - 2006 SINA Inc. All Rights Reserved新浪公司　银行业金融机构开展信息安全等级保护工作的研究--《高等财经教育研究》2014年S1期
银行业金融机构开展信息安全等级保护工作的研究
【摘要】：信息安全等级保护制度是国家在信息化建设和信息安全保障中的一项基本制度,实施信息安全等级保护,能够提高信息系统安全建设的整体水平;促进信息安全设施建设,为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务,有效控制信息安全建设成本。文章对银行业金融机构信息安全等级保护工作做了整体介绍,并给出了金融机构开展信息系统等级测评详细流程,对于其他行业开展信息安全等级保护工作亦有较高的参考价值。
【作者单位】：
【关键词】：
【分类号】：F832.3;TP309【正文快照】：
一、引言金融是现代经济的核心,银行是金融活动的核心,国家经济建设、社会生活都离不开银行的支撑服务。现代银行已经高度信息化,所有的业务流程和管理规则都通过信息系统承载并发生作用,也就是说银行的经营管理、业务创新等活动都必须依靠信息系统的正常运作。因此,银行信息
欢迎：、、)
支持CAJ、PDF文件格式，仅支持PDF格式
【参考文献】
中国期刊全文数据库
高向前;;[J];金融电子化;2014年01期
【相似文献】
中国期刊全文数据库
孙铁;;[J];网络安全技术与应用;2007年11期
;[J];信息网络安全;2007年11期
詹榜华;;[J];信息化建设;2008年05期
程斌;;[J];信息网络安全;2011年05期
程斌;;[J];信息网络安全;2011年07期
余波;王丽芳;张静静;乐炯;;[J];中国传媒科技;2013年22期
,李晓勇;[J];网络安全技术与应用;2004年06期
,李秉栋;[J];网络安全技术与应用;2004年07期
胡明浩;[J];湖北档案;2005年07期
景乾元;[J];网络安全技术与应用;2005年09期
中国重要会议论文全文数据库
王春元;杨善林;冯响林;;[A];全国计算机安全学术交流会论文集（第二十二卷）[C];2007年
;[A];第二届全国信息安全等级保护测评体系建设会议论文集[C];2012年
张益;;[A];第二届全国信息安全等级保护测评体系建设会议论文集[C];2012年
唐斐;;[A];2012年电力通信管理暨智能电网通信技术论坛论文集[C];2013年
李双成;;[A];第十九次全国计算机安全学术交流会论文集[C];2004年
陆臻;顾健;;[A];第二十次全国计算机安全学术交流会论文集[C];2005年
王世铎;;[A];第二十次全国计算机安全学术交流会论文集[C];2005年
陈文放;周学锋;杨凤瑞;谭波涛;;[A];第二十一次全国计算机安全学术交流会论文集[C];2006年
李禹;;[A];全国计算机安全学术交流会论文集（第二十二卷）[C];2007年
;[A];第二届全国信息安全等级保护测评体系建设会议论文集[C];2012年
中国重要报纸全文数据库
中国农业银行总行
赵金波　李伟楠
中国农业银行菏泽分行
山林;[N];计算机世界;2012年
本报记者　 毛江华;[N];计算机世界;2006年
陈芳丹;[N];计算机世界;2007年
李刚 朱杰;[N];中国计算机报;2006年
赵嵘　邢忠祥;[N];玉溪日报;2009年
清华同方电脑总工程师
邱锋　梁爽;[N];中国政府采购报;2011年
解放军信息安全测评认证中心
李智勇 孙凤毅
李蒙;[N];计算机世界;2014年
邹大斌;[N];计算机世界;2012年
中国硕士学位论文全文数据库
田庆宜;[D];重庆大学;2006年
方勤;[D];重庆大学;2008年
&快捷付款方式
&订购知网充值卡
400-819-9993
《中国学术期刊（光盘版）》电子杂志社有限公司
同方知网数字出版技术股份有限公司
地址：北京清华大学 84-48信箱 大众知识服务
出版物经营许可证 新出发京批字第直0595号
订购热线：400-819-82499
服务热线：010--
在线咨询：
传真：010-
京公网安备75号储户质疑银行卡安全　有关方面称不保证万无一失
　 05:32:32　来源: 北京娱乐信报　　　
农业银行的服务网点遍布京城。信报记者 李方宇／摄
ＡＴＭ取款机有使用便捷的优点。
昨日，本报刊发了《20多名职工卡内工资被盗》后，引发市民和有关方面的广泛关注。昨天，又有多名市民打来电话，称自己也遭遇了类似的情况。其中一位王先生称，去年11月他的农行卡没丢，但卡内5000元被盗。还有一些存款没有被盗的市民也打来电话，质疑“银行卡的安全系数到底有多少？”
■储户担心
银行卡技术含量有多高
昨日报道中，农行卡内被盗2000元的郝女士称：“我把钱存到银行卡里，是因为我相信银行有妥善保管的责任，如果不是我遗失银行卡造成的存款被盗，那么以后谁还敢往银行存钱啊？”
而昨天打来电话的王先生则强烈质疑：“如果卡内存款这么容易被盗，是不是银行卡在技术含量上存在问题呢？银行的监管部门是不是应该对此进行调查，提高银行卡防止伪造、复制等方面的技术含量？”
没有丢钱但担心银行卡安全系数的读者柳金叶来电话说：“应该不是资金问题造成技术含量跟不上，担心监管部门对银行内部管理和服务质量的监管不到位。”
■银行访谈
要求储户定期更改密码
昨天，农行北京分行信用卡处的白处长就银行卡如何规避盗取风险等问题接受了记者的采访。
记者（以下简称记）：“中国银联股份有限公司的一位姓黄的专业人士在接受我的采访时说，如果罪犯只知道卡号和密码，没有真卡是取不出钱的，除非伪造或复制一张卡，对吗？”
白处长（以下简称白）：“是的，一般来说是这样的。”
记：“这位专业人士称，罪犯要伪造或复制银行卡，必须要进入银行的‘密钥’，仅仅知道用户的卡号和密码还不能盗取。现在有一些农行卡被盗取，是不是银行的‘密钥’出了问题？”
白：“不会的，我们对‘密钥’的管理非常谨慎和严密。”
记：“这几天连续出现北京市农行卡存款被盗的事件，是不是农行卡在技术含量上存在一些容易被罪犯盗取的问题呢？”
白：“不会的，目前我们发行的借记卡，在技术含量和‘密钥’上都已经达到了国际先进水平。被盗的原因可能是储户没有定期更改密码，因为有些借记卡发下来时，密码都是6个‘0’或‘1’，一旦卡号丢了，很容易被盗取。”
记：“那么，他们又是怎样盗取的呢？”
白：“我不方便说，因为说出来会有助于犯罪。”
记：“如果是罪犯钻了技术上的漏洞，你们会采取什么措施保证银行卡存款不会轻易被盗？”
白：“这个问题您问技术部门吧。”
随后，记者拨通了该行科技部的电话，工作人员拒绝答复。
■储户质疑
卡内丢钱谁来负责
对这些存款被盗的储户而言，此刻最关心的就是责任由谁来负。前文提到的卡内丢失5000元钱的王先生称，经过多次交涉后，现在银行对他置之不理；而郝女士称，日前她被告知，只有去天津报案，自己的2000元才有希望追回。
“难道银行没有责任吗”储户们连连追问。银行负责人回答他们，应该交由公安部门处理。储户们又问：“如果罪犯查不到，银行承担什么责任呢？”
农行北京分行信用卡处的白处长说，是储户不小心丢失了密码，或者是密码没有及时更新才导致卡内存款被盗的，“责任嘛，等公安部门处理后，我们会给予一个答复。”
■相关解答
不能保证万无一失
昨天下午，记者采访中国银监会北京市监管局。该局投诉科的李先生告诉记者，目前他们还没有接到持卡人关于卡内现金丢失的任何投诉，所以不便对银行卡是否安全作出任何答复。至于银行是否应该对持卡人的损失负责，要看银行是否在被盗事件上存在过失。
他说，卡内现金被盗可能有很多种原因，比如客户自己泄露了密码，或者是单位工作人员的过失导致卡内信息外泄。
记者提问，如持卡人不外泄个人信息是否还有可能发生类似问题时，李先生表示，各行银行卡技术含量各不相同，有些技术含量较高，有的则低一些，“任何事都不能保证万无一失，这个问题不太好说。”之后，记者又询问是否会对本报报道的密云县农行进行调查，其回答只有在接到当事人投诉，了解了详细情况才能调查。而受理投诉的时限一般为90天。
■业内分析
盗取方式有两种
一位不愿透露姓名的农行职员告诉记者，一般来说，犯罪分子非法盗取持卡人卡中现金主要有两种方式：
一种是获知银行卡卡号和密码，利用网上银行和电话银行转账到自己账户，之后取出现金。
另一种是采取摄像头摄录或ＡＴＭ机取款凭据或ＰＯＳ机消费回执盗取卡号和密码，并复制银行卡进行犯罪行为。
除此之外，犯罪分子很有可能还会假扮银行工作人员，以假卡掉包，或利用倒钩或其他微小器械，造成ＡＴＭ机“吃卡”获得用户银行卡。
■律师说法
银行应该承担全部责任
北京市首信律师事务所的孙勇律师说，在卡和存折都在储户手中，但现金却被取走的情况下，银行应该承担全部责任。原因有二：
其一，犯罪分子盗走的是银行的钱，而不是储户的，所以损失不应由储户承担。孙律师说，储户本身没有支取卡内现金，也没有将其丢失。储户的钱还在银行的监管之下，至于银行账上为何没钱，是银行的问题，所以不应该由储户承担损失。
其二，犯罪分子利用储户的卡号和密码盗取尚在银行的现金，卡号和密码只是一种犯罪手段。银行不能防止其犯罪行为，是其本身没有尽到对储户财产安全的保护义务。因此，银行应该承担全部损失。
■学者希望
技术上应超越罪犯
北京工业大学计算机系研究学者李丙强先生认为，银行的计算机管理系统目前还是比较先进的，如果把银行计算机系统管理员“监守自盗”排除在外，还可能出现黑客入侵、计算机系统设计漏洞、用户密码信息在银行系统内的传输过程中被截取等情况，这些都可能造成银行管理系统中的数据泄密。
这是因为一些高科技犯罪分子的技术水平越来越高，如果想不让他们轻易进入银行的“密钥”，银行的技术部门必须及时“更新”，最起码要跑在罪犯前面。
ＡＴＭ取款机有使用便捷的优点。
■术语解读
据银行业内人士称，银行密钥是指银行业务服务器与自助终端之间通讯所使用的系统密码。银行密钥一般有三个，一个是银行主密钥ＭａｓｔＫｅｙ，一个是工作密钥ＷｏｒｋｉｎｇＫｅｙ，一个是键盘密钥ＰｉｎＫｅｙ，三者缺一不可，否则无法进入银行的业务管理系统。他打了个比方，银行管理系统就像房子，密钥就像防盗门钥匙。
■相关案例
一夜盗取工资卡27次
据《重庆时报》报道，2004年11月初至12月间，一个只有初中文化的男青年尤昌杰，凭着对网络和数字编码技术的“潜心钻研”，攻破了福州市某银行的储户账号系统，利用少数持卡人对银行卡初始密码不加更改这一漏洞，短短50多天的时间里疯狂作案，单在12月31日一夜间就连续作案27起，盗窃数额达19万元，累计作案共134起，窃得存款总计30余万元。
■相关新闻
■2月21日，密云西滨河医院20多名职工农行代发工资卡中的钱同时被盗走，其中损失最多的一名职工卡内被盗取约2万元。卡里的钱丢失前，工资卡和对应的存折都在职工自己手中。
■2月21日，读者郝女士去农行ＡＴＭ机取钱时，发现日存到农行卡的2000元只剩下了7．94元，而这期间郝女士从未取过钱，卡也没丢失。据有关方面调查，2000元钱是于日从天津一家工行的ＡＴＭ机中以正常的交易方式取走的。
■昨天，读者王先生打电话说，去年11月其存在北京市农行骡马市分理处的5000元钱也离奇丢失，当时卡和相应的存折全在自己手中，银行至今没有说法。记者 张玉玮 王翠霄
欢迎读者朋友对“银行卡安全问题”发表见解和看法，并通过信报热线和信报网站ｗｗｗ．ｓｔａｒｄａｉｌｙ．ｃｏｍ．ｃｎ留言板以及编辑信箱ｒｕｉｄｕｏ＠ｓｉｎａ．ｃｏｍ及时告诉我们。 ——编者
05:32:32 )
11:10:38 )
20:00:56 )
12:05:32 )
17:30:26 )
17:00:39 )
02:45:11 )
13:34:25 )
08:50:20 )
03:56:04 )
·每日关注·
·最新评论·
人气评论TOP 5
评 7654 条
评 9896 条
评 3734 条
评 1318 条
评 1318 条
热 点 推 荐
网 易 无 线
频 道 精 选