安全領域不存在最佳解決方案？

聯邦銀行(澳大利亞金融服務供應商)出版過這樣一篇名為「ATM卡資訊讀取和PIN號碼獲取指南」的報告，報告指出，信用卡資訊讀取技術主要是通過盜取ATM卡背面磁條的資料來進行的，用於讀取信用卡磁條資訊的設備和卡片的大小差不多 ，通常會在製造ATM的工廠在ATM機的上面或者旁邊安裝這種讀卡機。 然後詐騙者會安裝另一種設備來獲取與使用者信用卡相關的PIN號碼，在強光的照耀下，可以發現ATM的鍵盤上安裝有這種設備，或者在發生器和螢幕的旁邊，也就是說，可能在機器的任何位置。 該報導還提供了被安裝了讀卡機設備的ATM機器的照片，令人驚訝的是，這些設備看起來就像ATM的一部分一樣。 很難從視覺上判斷你插入信用卡的設備是另外添加的。 PIN號碼的獲取設備也是這樣，大部分PIN號碼獲取設備都是及其隱蔽的，甚至有可能使用偽造鍵盤替換真實鍵盤來獲取資料。 這些犯罪份子通常會在深夜或者清晨的時候來獲取讀卡機的資訊。 那麼對於管理這種ATM機有何建議呢?其中最關鍵的建議就是：瞭解ATM。 當然，這是個不太好的解決方案，因為那些製作ATM的人按理來說，應該是仔細和勤奮的，雖然這只是理想。 其次，這些製造ATM的人要解決的一個基本問題就是設計缺陷問題，如果不能輕而易舉辨認出ATM是否被修改過，那麼即使是最勤奮的ATM看守人都可能導致安全洩漏問題。 這裡有一個典型的風險管理問題：雖然已經在廣泛運用一種解決方案，但是我們現在卻發現這個方案存在嚴重的問題。 現在我們有兩個選擇：不去考慮費用問題和複雜程度，重新設計解決方案，從而完美解決這些問題並降低安全風險，或者制定可行的政策。 否則，將面臨著比重新設計更大的損失，和成本損失。 在ATM的案例中同樣也要考慮消費者的信心，不過大多數消費者都不太關心這些問題，雖然有些銀行開始使用一次性生成的驗證碼來制止讀卡機和資訊獲取問題，但是這些設備也很容易丟失。 ATM安全問題就像很多其他IT安全問題一樣，並沒有最好的解決方案。 【編輯推薦】無線ADSL小型網路解決方案 我國資訊安全風險評估的現狀與發展 J2EE 應用程式的授權概念和解決方案servlet與Struts action執行緒安全問題分析！ 【責任編輯：建穎 TEL：（010）68476606】 原文：安全領域不存在最佳解決方案？ 返回網路安全首頁