Главная: Рефераты

Рефераты. Защита удаленных банковских транзакций

Соблюдение правил использования паролей -- необходимое условие надежной защиты.

2.3 Безопасность удаленных электронных платежей

Специфической чертой защиты банковских систем является специальная форма обмена электронными данными - электронных платежей, без которых ни один современный банк не может существовать.

Обмен электронными данными (ОЭД) -- это межкомпьютерный обмен деловыми, коммерческими, финансовыми электронными документами. Например, заказами, платежными инструкциями, контрактными предложениями, накладными, квитанциями.

ОЭД обеспечивает оперативное взаимодействие торговых партнеров (клиентов, поставщиков, торговых посредников и др.) на всех этапах подготовки торговой сделки, заключения контракта и реализации поставки. На этапе оплаты контракта и перевода денежных средств ОЭД может приводить к электронному обмену финансовыми документами. При этом создается эффективная среда для торгово-платежных операций [8]:

- возможно ознакомление торговых партнеров с предложениями товаров и услуг, выбор необходимого товара/услуги, уточнение коммерческих условий (стоимости и сроков поставки, торговых скидок, гарантийных и сервисных обязательств) в реальном масштабе времени;

- заказ товара/услуг или запрос контрактного предложения в реальном масштабе времени;

- оперативный контроль поставки товара, получение по электронной почте сопроводительных документов (накладных, фактур, комплектующих ведомостей и т.д.);

- подтверждение завершения поставки товара/услуги, выставление и оплата счетов;

- выполнение банковских кредитных и платежных операций.

К достоинствам ОЭД следует отнести:

- уменьшение стоимости операций за счет перехода на безбумажную технологию. Эксперты оценивают стоимость обработки и ведения бумажной документации в 3-8 % от общей стоимости коммерческих операций и доставки товаров. Выигрыш от применения ОЭД оценивается, например, в автомобильной промышленности США более чем в 200 условных единиц на один изготовленный автомобиль [8];

- повышение скорости расчета и оборота денег;

- повышение удобства расчетов.

Суть концепции удаленных электронных платежей заключается в том, что пересылаемые по линиям связи сообщения, должным образом оформленные и переданные, являются основанием для выполнения одной или нескольких банковских операций. Никаких бумажных документов для выполнения этих операций в принципе не требуется (хотя они могут быть выданы). Другими словами, пересылаемое по линиям связи сообщение несет информацию о том, что отправитель выполнил некоторые операции над своим счетом, в частности над корреспондентским счетом банка-получателя (в роли которого может выступать клиринговый центр), и что получатель должен выполнить определенные в сообщении операции. На основании такого сообщения можно переслать или получить деньги, открыть кредит, оплатить покупку или услугу и выполнить любую другую банковскую операцию. Такие сообщения называются электронными деньгами, а выполнение банковских операций на основании посылки или получения таких сообщений - электронными платежами. Естественно, весь процесс осуществления электронных платежей нуждается в надежной защите. Иначе банк и его клиентов ожидают серьезные неприятности. Электронные платежи применяются при межбанковских, торговых и персональных расчетах.

Пересылка денег с помощью системы электронных платежей включает следующие этапы (в зависимости от конкретных условий и самой системы порядок может меняться):

- определенный счет в системе первого банка уменьшается на требуемую сумму;

- корреспондентский счет второго банка в первом увеличивается на ту же сумму;

- от первого банка второму посылается сообщение, содержащее информацию о выполняемых действиях (идентификаторы счетов, сумма, дата, условия и т.д.); при этом пересылаемое сообщение должно быть соответствующим образом защищено от подделки: зашифровано, снабжено цифровой подписью и контрольными полями и т.д.;

- с корреспондентского счета первого банка во втором списывается требуемая сумма;

- определенный счет во втором банке увеличивается на требуемую сумму;

- второй банк посылает первому уведомление о произведенных корректировках счета; это сообщение также должно быть защищено от подделки способом, аналогичным защите платежного сообщения;

- протокол обмена фиксируется у обоих абонентов и, возможно, у третьего лица (в центре управления сетью) для предотвращения конфликтов.

На пути передачи сообщений могут быть посредники - клиринговые центры, банки-посредники в передаче информации и т.п. Основная сложность таких расчетов - уверенность в своем партнере, то есть каждый из абонентов должен быть уверен, что его корреспондент выполнит все необходимые действия.

Для определения общих проблем защиты удаленных транзакций, можно выделить три основных этапа:

- подготовка документа к отправке;

- передача документа по каналу связи;

- прием документа и его обратное преобразование.

С точки зрения защиты в системах удаленных платежей существуют следующие уязвимые места [9]:

- пересылка платежных и других сообщений между банками или между банком и клиентом

- обработка информации внутри организаций отправителя и получателя;

- доступ клиента к средствам, аккумулированным на счете.

При пересылке платежных и других сообщений возникают следующие проблемы:

- внутренние системы организаций получателя и отправителя должны быть приспособлены к получению/отправке электронных документов и обеспечивать необходимую защиту при их обработке внутри организации (защита оконечных систем);

- взаимодействие получателя и отправителя документа осуществляется опосредованно - через канал связи. Это порождает такие виды проблем как взаимное опознавания абонентов (проблема установления аутентификации при установлении соединения), защиты документов, передаваемых по каналам связи (обеспечение целостности и конфиденциальности документов), защиты самого процесса обмена документами (проблема доказательства отправления/доставки документа);

- в общем случае отправитель и получатель документа принадлежат к различным организациям и друг от друга независимы. Этот факт порождает проблему недоверия - будут ли предприняты необходимые меры по данному документу (обеспечение исполнения документа).

Рассмотрим перечень угроз, возникающих при пересылке платежных и других сообщений:

- несанкционированный доступ к ресурсам и данным системы (подбор пароля, взлом систем защиты и администрирования, маскарад);

- перехват и подмена трафика (подделка платежных поручений, атака типа "человек посередине");

- IР-спуфинг (подмена сетевых адресов);

- отказ в обслуживании;

- атака на уровне приложений;

- сканирование сетей или сетевая разведка;

- использование отношений доверия в сети.

Причины, приводящие к появлению подобных уязвимостей:

- отсутствие гарантии конфиденциальности и целостности передаваемых данных;

- недостаточный уровень проверки участников соединения;

- недостаточная реализация или некорректная разработка политики безопасности;

- отсутствие или недостаточный уровень защиты от несанкционированного доступа (антивирусы, контроль доступа, системы обнаружения атак);

- существующие уязвимости используемых операционных систем (ОС), ПО, СУБД, веб-систем и сетевых протоколов;

- непрофессиональное и слабое администрирование систем;

- проблемы при построении межсетевых фильтров;

- сбои в работе компонентов системы или их низкая производительность;

- уязвимости при управлении ключами.

Наиболее часто информационное пространство банковской системы используется для передачи сообщений, связанных с движением финансов.

Основные виды атак на финансовые сообщения и финансовые транзакции:

- раскрытие содержимого;

- представление документа от имени другого участника;

- несанкционированная модификация;

- повтор переданной информации.

Существует четыре основные формы удаленного банковского обслуживания клиентов [5]:

- домашнее (телефонное) обслуживание;

- расчет с автоматическим кассовым аппаратом (банкоматом);

- расчет в точке продажи;

- финансовый сервис с использованием всемирной сети Интернет.

Домашнее банковское обслуживание позволяет клиентам получить доступ к банковским и информационным услугам не выходя из дома.

Достоинства этого вида обслуживания:

- для клиента - большая доступность данных и управление своими финансовыми делами;

- для банка - уменьшение стоимости обслуживания.

Ввод данных для платежа при голосовой связи (идентификатор, номер счета, размер платежа) производится клиентом либо с клавиатуры телефона либо голосом (что менее надежно с точки зрения безопасности, но более технически доступно).

Банковский автомат-кассир (АКА, банкомат) - специализированное устройство, предназначенное для обслуживания клиента в отсутствие банковского персонала. Это наиболее существенная часть банковской системы, предназначенная, в основном, для выдачи наличных денег. Помимо этой функции АКА может выполнять ряд дополнительных, а числе которых:

- проверка состояния счета клиента;

- изменение параметров счета клиента;

- осуществление различных платежей;

- предоставление информации о:

а) страховом полисе клиента;

б) котировках ценных бумаг на фондовом рынке;

в) покупке и продаже акций;

г) обменных курсах валют и т.д.

Системы, обеспечивающие расчеты продавца и покупателя в точке продажи, (point-of-sale, POS). В основном, все терминалы, подключенные к этим системам, размещены на предприятиях торговли. Большинство таких терминалов установлены в супермаркетах, так как там совершается большое количество покупок в течении дня, а также в других магазинах и на автозаправочных станциях.

Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17
2012 © Все права защищены
При использовании материалов активная ссылка на источник обязательна.