Технології захисту платіжних систем в internet

Розгляд класифікації електронних платіжних систем. Характеристика основних технологій їх захисту. Вивчення погроз, пов'язаних з допомогою систем електронних платежів. Аналіз технологій щодо відповідності базовим вимогам до систем електронних платежів.

Рубрика Программирование, компьютеры и кибернетика
Вид реферат
Язык украинский
Дата добавления 27.03.2014
Размер файла 30,4 K

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru

Міністерство освіти і науки, молоді та спорту України

Державний вищий навчальний заклад

«Київський національний економічний університет імені Вадима Гетьмана»

Дисциплiна «інформаційні системи і технології в обліку»

Реферат

на тему: «Технології захисту платіжних систем в internet»

Виконала

студентка Глемба Ю.В.

4 групи, 4 курсу

Київ 2013

План

Вступ

1. Системи електронних платежів

2. Класифікація електронних платіжних систем

3. Погрози, пов'язані з допомогою систем електронних платежів

4. Технології захисту електронних платіжних систем

5. Аналіз технологій щодо відповідності базовим вимогам до систем електронних платежів

Висновок

Список використаної літератури

електронний платіжний захист

Вступ

Вузькоспеціальна, небагатьом цікава ще 10 років тому тема електронних платежів і електронних грошей до останнім часом стала актуальною як для бізнесменів, а й кінцевих користувачів. Модні слова ">e-business", ">e-commerce" знає, напевно, кожна друга, хто хоч іноді читає комп'ютерну чи популярну пресу. Завдання дистанційної оплати (переказування грошей великі відстані) з розряду спеціальних перейшов у повсякденні. Проте багато інформації з цього питання зовсім не від сприяє ясності умонастроїв громадян. Як через складність і концептуальноїнепроработанности проблеми електронних розрахунків, і у силу те, що багатопопуляризатори працюють найчастіше за принципом зіпсованого телефону, набитовом-то рівні всі, звісно, зрозуміло кожному. Але це близько того часу, доки настане черга практичного освоєння електронних платежів. Ось і можна знайти нерозуміння того, наскільки доречно використання електронних платежів до тих чи інших випадках.

Тим більше що завдання прийому електронних платежів стає дедалі актуальною тим, хто хоче займатися комерцією з допомогою Інтернету, так само як й тих, хто хоче здійснювати купівлі через Мережа.

Основною проблемою під час розгляду систем електронних платежів для новачка є розмаїття їх пристрої і засад роботи і те, що з зовнішньої схожості реалізації у тому глибині може бути заховані досить різні технологічні і фінансові механізми.

Бурхливий розвиток популярності глобальне Інтернету призвело до виникнення потужного імпульсу розвитку нових підходів і рішень на найрізноманітніших галузях світової економіки. Новим течіям піддалися навіть ті консервативні системи, як системи електронних платежів до банках. Це виявилося у появі та розвитку нових систем платежів - систем електронних платежів через Інтернет, найголовніша перевага яких у тому, що клієнти можуть здійснювати платежі (фінансові транзакції), минаючи виснажливі і часом технічнотрудноосуществимий етап фізичної транспортування платіжного доручення до банку. Банки і з банківських установ також у впровадженні даних систем, то вони дозволяють підвищити швидкість обслуговування клієнтів - і знизити накладні Витрати здійснення платежів.

У системах електронних платежів циркулюють інформація, зокрема і конфіденційна, що потребує захисту від перегляду, модифікації і нав'язуванні удаваної інформації. Розробка відповідних технологій захисту, орієнтованих Інтернет, виникають серйозні складнощі у час. Причина цього, у тому, що архітектура, основні ресурси, і технології мережі Internet орієнтовані організацію доступу або збирання відкритої інформації. Проте, останнім часом з'явилися підходи і рішення, які свідчать про можливість застосування стандартних технологій Інтернет у побудові систем захищеної передачі через Інтернет.

1. Системи електронних платежів

Електронні розрахунки. Почати з те, що правомірно говорити про появу електронних розрахунків як виду безготівкових розрахунків у другій половині сучасності. Інакше кажучи, передача інформації йдеться про платежі дротами існувала давно, але придбала принципово нова якість, коли обох кінцях дротів з'явилися комп'ютери. Інформація передавалася з допомогою телекса, телетайпа, комп'ютерних мереж, що з'явилися тоді. Якісно новий стрибок висловлювався у цьому, що швидкість здійснення платежів значно зросла і з'явилася можливість їх автоматичної обробки.

Надалі виникли ще й електронні еквівалентами інших напрямів розрахунків -- готівкових платежів та інших платіжних коштів (наприклад, чеків).

Електронні платіжні системи (>ЕПС). Електронної платіжної системою ми називаємо будь-який комплекс специфічних апаратних і програмних засобів, дозволяє проводити електронні розрахунки.

Є різноманітні кошти та канали зв'язку для доступу доЕПС. Сьогодні найпоширенішим з цих каналів є Інтернет. Посилюється поширенняЕПС, доступом до яких здійснюються з допомогою мобільного телефону (через SMS, WAP та інші протоколи). Менш поширені інші способи: по модему, телефоном із тональним набором, телефоном через оператора.

Електронні гроші.Распливчатий термін. Якщо уважно розглянути те, що його криється, легко зрозуміти, що електронні гроші -- це некоректне назва "електронної готівки", і навіть електронних платіжних систем як.

Це непорозуміння в термінології зумовлено вольністю перекладу термінів з англійської мови. Оскільки електронні розрахунки у Росії розвивалися значно повільніше, ніж у Європі й Америці, змушені були користуватися міцновнедрившимися термінами. Безумовно, мають право життя такі назви електронної готівки, як "цифрова готівку" (>e-cash), "цифрові гроші" (>digital money), "електронна готівку" (>digitalcash)2.

У цілому нині термін "електронні гроші" нічого конкретного значить, тому надалі ми намагатися уникати її використання.

Електронна готівку:

-- це що з'явилася 90-ті роки уже минулого століття технологія, що дозволяє проводити електронні розрахунки, не прив'язані прямо до переведення грошей із рахунку з цього приводу у банку або інший фінансової організації, тобто безпосередньо між особами -- кінцевими учасниками платежу. Іншим найважливішим властивістю електронної готівки є забезпечувана нею анонімність платежів.Авторизационний центр, котра засвідчує платіж, немає інформації у тому, хто конкретно і до кого перекладав гроші.

Електронна готівку є одне із видів електронних розрахунків. Одиниця електронної готівки -- нічим іншим, як фінансове зобов'язання емітента (банку або іншого фінансової установи), в суті своїй схоже зі звичайним векселем. Розрахунки з допомогою електронної готівки з'являються там, де стає незручним використання інших систем оплати. Наочний -- небажання покупця повідомляти інформацію про своєї кредитної картці на товару з Інтернету.

Визначившись із термінологією, ми можемо переступити до наступного етапу нашої розмови -- ми поговоримо про класифікаціїЕПС. ОскількиЕПСопосредуют електронні розрахунки, основою розподілуЕПС покладено різні види цих розрахунків.

З іншого боку, із цього питання дуже є програмна і/або апаратна технологія, де базується механізмЕПС.

2. Класифікація електронних платіжних систем

Електронні платіжні системи можна класифікувати, базуючись як у специфіці електронних розрахунків, і з урахуванням конкретної технології, що у основіЕПС.

КласифікаціяЕПС залежно від виду електронних розрахунків:

1. По складу учасників платежу (таб. 1).

Таблиця 1

Вигляд електронних розрахунків

Сторони платежу

Аналог у традиційній системі грошових розрахунків

ПрикладЕПС

Платежібанк-банк

Фінансові інститути

немає аналогів

SWIFT

Платежі B2B

Юридичні особи

Безготівкові розрахунки між організаціями

>Cyberplat

ПлатежіС2B

Кінцеві споживачі товарів та послуг і юридичних осіб - продавці

Готівкові і безготівкові платежі покупців продавцям

Webmoney

>Paycash

>Cyberplat

>Assist

>E-port

>Кредит-пилот

>Eaccess

>Phonepay

>Rapida

ПлатежіC2C

Фізичні особи

Прямі розрахунки готівкою між фізичними особами, поштовий, телеграфний переклад

Webmoney

>Paycash

>Anelik

Contact

>Rapida

Ми не надалі розглядає тіЕПС, які мають обслуговувати електронні розрахунки виду ">банк--банк". Такі системи надзвичайно складні, вони зачіпають більшою мірою технологічні аспекти функціонування банківської системи, і широких мас наших читачів вони, швидше за все, нецікаві.

Додатково треба сказати, що існує один тип платежів, логічно ні вписується в таблицю 1. По формальними ознаками він цілком потрапляє у областьС2В, але з тих щонайменше може бути забезпечений засобами дуже поширенихЕПС цього виду. Длямикроплатежей характерна вкрай невеличка (центи чи частки центи) вартість товару. Найбільш характерний всіх популярних статей приклад системи, реалізуємикроплатежи, -- це продаж анекдотів (по центу кожне). Длямикроплатежей підходять такі, якEaccess іPhonepay.

2. По виду проведених операцій (таб. 2).

Таблиця 2

Вигляд електронних розрахунків

Де використовуються

ПрикладЕПС

Операції із управління банківським рахунком

Системи "клієнт банк" з доступом через модем, Інтернет, мобільного телефона тощо.

Операції із управління банківським рахунком Системи "клієнт

Операції із переведення грошей без відкриття банківського рахунки

Системи переказування грошей по комп'ютерних мережах, аналогічні поштовим і телеграфним перекладам

>Anelik

Western Union

MoneyGram

Contact

>Rapida

Операції з картковими банківськими рахунками

>Дебетовие і кредитні пластикові картки

>Cyberplat (>Cyberpos)

Операції з електронними чеками та інші негрошовими платіжними зобов'язаннями

Закриті системи міжкорпоративних платежів

>Cyberplat (>Cybercheck)

Операції з електронною (>квази) готівкою

Розрахунки з фіз. особами, електронні аналоги жетонів і передоплачених карт, використовуваних як грошових сурогатів на оплату товару

>Paycash

Webmoney

Слід зазначити, що системи виду "клієнт -- банк" відомі досить давно. Доступ до свого рахунку у банку можна давалися з допомогою модему. Впродовж останнього десятиліття з'явилися нові можливості управління своїм рахунком із допомогою Інтернету, через зручний для користувачаweb-интерфейс. Ця послуга отримав назву "Інтернет-банкінгу" і внесла нічого нового континенту в платіжні системи виду "клієнт-банк". З іншого боку, існують інші можливості доступу до банківському рахунку, наприклад, з допомогою мобільного телефону (WAP-банкинг,SMS-банкинг). У зв'язку з цим у цій статті не будемо спеціально зупинятися на такого родуЕПС, відзначимо лише, що зараз у Росії послуги Інтернет-банкінгу надають близько 100 комерційних банків, використовуючи понад десять різнихЕПС.

КласифікаціяЕПС залежно від використовуваної технології:

Одне з найважливіших якостейЕПС є стійкість до злому. Мабуть, це найбільш обговорювана характеристика подібних систем. Як очевидно з таблиці 3, під час вирішення проблеми безпеки системи більшість підходів побудуватиЕПС полягає в таємності певної центральної бази даних, що міститькритичную інформацію. У той самий час окремі додають до цієї секретної базі даних додаткові рівні захисту, засновані на стійкості апаратури.

У принципі так, є й інші технології, основі яких можуть будуватисяЕПС. Наприклад, нещодавно у ЗМІ промайнуло повідомлення про розробкуЕПС, заснованої наCDR-дисках, вмонтованих у пластикові картки. Але такі системи не отримали поширення у у світовій практиці, у зв'язку з чому ми думати загострювати ними увагу.

Таблиця 3

Технологія

Після чого заснована стійкість системи

ПрикладЕПС

Системи з центральним сервером клієнт банк, переклад коштів

Секретність ключів доступу

>Телебанк (Гута-банк),

"Інтернет Сервіс Банк" (>Автобанк)

>Anelik

>Смарт карти

>Аппаратная стійкістьсмарт карти до злому

Mondex, АКОРД

Магнітні карта народження і віртуальні кредитки

Секретність баз даних, містятьавторизационную інформацію (номери карт,PIN коди, імена клієнтів - і т.д.)

>Assist, Еліт

>Скреч-карти

Секретність бази даних із номерами і кодамискреч-карт

>E-port,Creditpilot, Webmoney,Paycash,Rapira

>Файл/кошелек як програми за комп'ютером користувача

>Криптографическая стійкість протоколу обміну

>Paycash

Webmoney

>Оплачиваемий телефонний дзвінок

Секретність центральної бази даних ізpin-кодами і апаратна стійкість інтелектуальної телефонної мережі

>Eaccess,Phonepay

3. Погрози, пов'язані з допомогою систем електронних платежів

Розглянемо можливі загрози що руйнують дій зловмисника стосовно даної системи. І тому розглянемо основні об'єкти нападу зловмисника. Головним об'єктом нападу зловмисника є фінансові ресурси, їх електронні заступники (сурогати) - платіжні доручення, що циркулюють у платіжної системі. Стосовно даним засобам зловмисник може переслідувати такі цілі:

1. Викрадення фінансових коштів.

2. Впровадження фальшивих фінансових коштів (порушення фінансового балансу системи).

3. Порушення працездатності системи (технічна загроза).

Зазначені об'єкти і цілі нападу носять абстрактний характері і неможливо проаналізувати й розробку необхідних заходів захисту, у таблиці 4 наводиться конкретизація об'єктів і цілей що руйнують впливів зловмисника.

Таблиця 4 Модель можливих що руйнують дій зловмисника

Об'єкт впливу

Мета впливу

Можливі механізми реалізації впливу.

>HTML-страници наweb-сервере банку

Підміна із єдиною метою отримання інформації,вносимой в платіжного доручення клієнтом.

Атака на сервер і підміна сторінок на сервері.

Підміна сторінок на трафіку.

Атака на комп'ютер імені клієнта й підміна сторінок у клієнта

Клієнтські інформаційні сторінки на сервері

Одержання інформації йдеться про платежі клієнта (>ов)

Атака на сервер.

Атака на трафік.

Атака на комп'ютер клієнта.

Дані платіжного доручення, внесені клієнтом до форми

Одержання інформації,вносимой в платіжного доручення клієнтом.

Атака на комп'ютер клієнта (віруси тощо.).

Атака на дані доручення за його пересилання за трафіком.

Атака на сервер.

Приватна інформація клієнта, розташована за комп'ютером імені клієнта й не належить системі електронних платежів

Одержання конфіденційної комп'ютерної інформації клієнта.

>Модификация інформації клієнта.

Виведення з експлуатації комп'ютера клієнта.

Весь комплекс відомих атак на комп'ютер, підключений до Інтернету.

Додаткові атаки, які у результаті використання механізмів платіжної системи.

Інформація процесингового центру банку.

Розкриття і модифікація інформації процесингового центру і локальної мережі банку.

Атака на локальну мережу, підключену до Інтернету.

Із даної таблиці випливають базові вимоги, яким має задовольняти будь-яку систему електронних платежів через Інтернет:

По-перше, система мають забезпечувати захист даних платіжних доручень від несанкціонованого зміни і модифікації.

По-друге, система має не повинна збільшувати можливості зловмисника з організації атак на комп'ютер клієнта.

По-третє, система мають забезпечувати захист даних, розташованих на сервері від несанкціонованого читання і модифікації.

По-четверте, система мають забезпечувати чи підтримувати система захисту локальної мережі банку від впливу з глобальної мережі.

У результаті розробки конкретних систем захисту електронних платежів, дана модель й підвищити вимоги мали бути зацікавленими приголомшені подальшої деталізації. Проте, для поточного викладу така деталізація непотрібен.

4. Технології захисту електронних платіжних систем

Певний час розвиток WWW стримувалося тим, щоhtml-страници, що є основою WWW, є статичний текст, тобто. з допомогою складно організувати інтерактивний обміну інформацією між користувачем і сервером. Розробники пропонували безліч способів можливостей HTML у цьому напрямі, чимало з яких не отримали поширення. Однією з найбільш потужних рішень, що з'явилися новим етапом розвитку Інтернету, стало пропозиції компанії Sun використовувати як інтерактивних компонентів,подключаемих доHTML-страницамJava-апплетов.

>Java-апплет є програму, написану мовою програмування Java, іоткомпилирована у спеціальнібайт-коди, що є кодами деякого віртуального комп'ютера -Java-машини - і відмінні від кодів процесорів сімейства Intel.Апплетиразмешаются на сервері у Мережі і завантажуються на комп'ютер користувача щоразу, коли відбувається звернення доHTML-странице, що містить у собі виклик даногоапплета.

На виконання кодівапплетов стандартний браузер включає у собі реалізаціюJava-машини, яка проводить інтерпретаціюбайт-кодов в машинні команди процесорів сімейства Intel (чи іншого сімейства). Закладені в технологіюJava-апплетов можливості, з одного боку, дозволяють розробляти потужні користувальні інтерфейси, організовувати доступом до будь-яким ресурсів мережі поURL, легко використовувати протоколиTCP/IP,FTP тощо., з другого боку, позбавляють можливості здійснити доступ безпосередньо до ресурсів комп'ютера. Наприклад,апплети немає доступу до файлової системі комп'ютера та до підключеним пристроям.

Аналогічним рішенням з розширення можливостей WWW є й технологія компанії Microsoft -Active X. Найбільш суттєвими відзнаками даної технології від Java і те, що компоненти (аналогиапплетов) - це програми в кодах процесора Intel і те, що це компоненти мають доступ всім ресурсів комп'ютера, і навіть інтерфейсам і сервісів Windows.

Ще однією менш поширеним підходом до розширення можливостей WWW є підхід, заснований на використанні технології які вбудовуються модулівPlug-infor NetscapeNavigator компанії Netscape. Саме ця технологія й представляється найоптимальнішою підвалинами побудови систем захисту електронних платежів через Інтернет. Для подальшого викладу розглянемо, як за допомогою даної технології вирішується проблема захистуWeb-сервера.

Припустимо, що є певнийWeb-сервер і адміністратору даного серверу потрібно обмежити доступом до певної частини інформаційного масиву серверу, тобто. організувати те щоб одні користувачі мали доступом до з деякою інформацією, інші ж немає.

Нині пропонується ряд підходів до вирішення цієї проблеми, зокрема, багато операційні системи, під керівництвом яких функціонує сервери Інтернету, вимагають пароль на доступом до деяким своїм областям, тобто. вимагають проведення аутентифікації. Такий їхній підхід має дві суттєвих недоліки: по-перше, дані зберігаються на сервері у вигляді, а, по-друге, дані передаються через мережу й у відкритому вигляді. Отже, у зловмисника виникає можливість організації двох атак: власне на сервер (добір пароля, обхід пароляи.т.) і атаки на трафік. Факти реалізації таких атак широковідоміИнтернет-сообществу.

Іншим відомим підходом е розв'язання проблеми захисту є підхід, заснований на технологіїSSL (>SecureSocketsLayer). З використаннямSSL між клієнтом і сервером встановлюється захищений канал зв'язку, яким передаються дані, тобто. питання передачі даних у вигляді через мережу може вважатися відносно розв'язаною. Головною проблемоюSSL у побудові ключовою системи та контролю за ній. Що й казати гойдається проблеми зберігання даних на сервері у вигляді, вона залишається невирішеною.

Ще однією важливим недоліком описаних вище підходів необхідно їх підтримки з боку програмного забезпечення і серверу, і клієнта мережі, що не є можливим і дуже зручним. Особливо у системах орієнтованих масового і неорганізованого клієнта.

Запропонований автором підхід грунтується на захисту безпосередньоhtml-страниц, що є основним носієм інформація в Internet. Суть захисту у тому, що файли, містятьHTML-страници, зберігаються на сервері в зашифрованому вигляді. У цьому ключ, де вони зашифровані, відомий тількизашифровавшему його (адміністратору) і клієнтам (загалом проблема побудови ключовою системи вирішується як і, як у прозорого шифрування файлів).

Доступ клієнтів до захищеної інформації здійснюється з допомогою технології які вбудовуються модулівPlug-infor Netscape компанії Netscape. Дані модулі є програми, точніше програмні компоненти, пов'язані з деякими типами файлів у стандартіMIME.MIME - це міжнародний стандарт, визначальний формати файлів до Інтернету. Наприклад, існують такі типи файлів:text/html,text/plane,image/jpg,image/bmp тощо. З іншого боку, стандарт визначає механізм завдання користувальних типів файлів, що потенційно можуть визначатися і використовуватися незалежними розробниками.

Отже, використовуються модуліPlug-ins, пов'язані з деякимиMIME-типами файлів. Зв'язок полягає у цьому, що з зверненні користувача до файлам відповідного типу, браузер запускає пов'язані з нимPlug-in і це модуль виконує всі дії по візуалізації даних файла та їх обробки дій користувача з цим файлів.

Як найвідоміших модулівPlug-in можна навести модулі,проигривающие відеоролики в форматіavi. Перегляд даних файлів не входить у штатні можливості браузерів, але встановивши відповіднийPlug-in можна легко переглядати дані файли в браузері.

Далі, все зашифровані файли відповідно до встановленим міжнародним стандартом порядком визначаються як файлиMIME типу. ">application/x-shp". Потім у відповідність до технологією та протоколами Netscape розробляєтьсяPlug-in, який пов'язують із даним типом файлів. Цей модуль виконує дві функції: по-перше, він затребувана пароль і ідентифікатор користувача, а по-друге, він працює порасшифрованию і висновку файла у вікно браузери. Дані модуль встановлюється, відповідно до штатним, встановленим Netscape, порядком на браузери всіх комп'ютерів клієнтів.

У цьому підготовчий етап роботи завершено система готова функціонуванню. Працюючи клієнти звертаються до зашифрованимhtml-страницам з їхньої стандартному адресою (>URL).Браузер, визначає тип цих сторінок, і автоматично запускає розроблений нами модуль, віддавши йому вміст зашифрованого файла. Модуль проводитьаутентификацию імені клієнта й при успішному її завершенні розшифровує і виводить на екран вміст сторінки.

За виконання всієї даної процедури у клієнта складається враження “прозорого” шифрування сторінок, оскільки все описана вище робота системи прихована з його очей. У цьому все стандартні можливості, закладені уhtml-страницах, такі як використання картинок,Java-апплетов,CGI-сценариев - зберігаються.

Легко бачити, що з даному підході вирішуються багато проблем захисту,т.к. у вигляді вона лише з комп'ютерах у клієнтів, через мережу дані передаються в зашифрованому вигляді. Зловмисник, маючи на меті одержувати інформацію, може здійснити, лише атаку" на конкретного користувача, як від даної атаки неспроможна захистити жодна системи захисту серверу.

Нині, автором розроблено дві системи захисту, засновані на запропонованому підході, для браузери NetscapeNavigator (>3.x) і NetscapeCommunicator4.х. У ході попереднього тестування встановлено, що розроблені системи можуть нормально функціонувати й під управліннямMExplorer, але в першій-ліпшій нагоді.

Важливо, що ці версії систем не здійснюютьзашифрование асоційованих зHTML-страницей об'єктів: картинок,апплетов сценаріїв тощо.

Система 1 пропонує захист (шифрування) власнеhtml-страниц, як єдиного об'єкта. Ви створюєте сторінку, та був їїзашифровиваете і копіюєте на сервер. При зверненні до зашифрованої сторінці, вона автоматично розшифровується і виводиться до спеціального вікно. Підтримки системи захисту із боку програмного забезпечення серверу непотрібен. Уся десятилітня робота позашифрованию ірасшифрованию складає робочої станції клієнта. Ця система є універсальною, тобто. залежить від структури та призначення сторінки.

Система 2 пропонує інший підхід до захисту. Ця система забезпечує відображення у певній області Вашої сторінки захищеної інформації. Інформація лежать у зашифрованому файлі (необов'язково в форматі html) на сервері. При перехід до Вашої сторінці система захисту автоматично звертається до цього файлу, зчитує потім із нього дані і відображає в певній галузі сторінки. Дані підхід дає змогу досягти максимальній ефективності і естетичної краси, при мінімальної універсальності. Тобто. система виявляється яка орієнтована конкретне призначення.

Цей підхід може бути застосований і за побудові систем електронних платежів через Інтернет. І тут, при зверненні до деякою сторінціWeb-сервера відбувається запуск модуляPlug-in, який користувачеві форму платіжного доручення. Коли клієнт заповнить її, модуль зашифровує дані платежу і відправляє їх у сервер. Заодно він може зажадати електронну підпис у користувача. Понад те, ключі шифрування і підпису можуть зчитуватися з будь-якої світової носія: гнучких дисків, електронних таблеток, смарт-карт тощо.

5. Аналіз технологій щодо відповідності базовим вимогам до систем електронних платежів

Вище ми описали три технології, які можна використані при побудові платіжних систем через Інтернет: це технологія, джерело якої вJava-апплетах, компонентахActive-X і які вбудовуються модуляхPlug-in. Назвемо їх технологіїJ,AX іP відповідно.

Розглянемо й вимога щодо незбільшення можливостей атак зловмисника на комп'ютер. І тому проаналізуємо одне із можливих типів атак - підміну зловмисником відповідних клієнтських модулів захисту. Що стосується технологіїJ - цеапплети, Що стосуєтьсяAX -погружаемие компоненти, у разіP - цевключаемие модуліPlug-in. Вочевидь, що з зловмисника є можливість підмінити модулі захисту безпосередньо за комп'ютером клієнта. Механізми реалізації даної атаки лежать поза даного аналізу, тим щонайменше, слід зазначити, що реалізація даної атаки залежить від аналізованої технології захисту. І рівень захищеності кожної технології збігається, тобто. усі вони однаково нестійкі до цієї атаці.

Найуразливішим місцем технологіяхJ іAX, з погляду підміни, був частиною їхнього завантаження з Інтернет. Саме на цей момент зловмисник може здійснити підміну. Понад те, якщо зловмиснику доводиться робити підміну даних модулів на сервері банку, він отримує доступ всім обсягам інформації платіжної системи, що циркулюють у Інтернет.

Що стосується технологіїP небезпеки підміни немає, оскільки модуль не завантажується із електромережі - він постійно зберігається за комп'ютером клієнта.

Наслідки підміни різні: у разіJ-технологии зловмисник може лише викрастивводимую клієнтом інформацію (що є серйозною загрозою), а разі,Active-X іPlug-in зловмисник може мати простий будь-яку інформацію, до котрої я має доступ, працюючий за комп'ютером клієнт.

Нині автору невідомі конкретні способи реалізації атак по підмініJava-апплетов. Певне дані атаки погано розвиваються, оскільки результуючі спроби з викрадення інформації немає. І це атаки на компонентиActive-X поширені і добре відомі.

Розглянемо вимога про захист інформації, що циркулювала у системі електронних платежів через Інтернет. Вочевидь, у цьому разі технологіяJ поступається іP іAX щодо одного дуже істотному питанні. Усі механізми захисту засновані на шифруванні чи електронного підпису, проте відповідні алгоритми засновані на криптографічних перетвореннях, які прагнуть запровадження ключових елементів. Нині довжина ключових елементів становить близько 32-128 байт, тому вимагати запровадження їх користувачем з клавіатури практично неможливо. Постає питання як його вводити? Оскільки технологіїP іAX мають доступом до ресурсів комп'ютера, те решіння цієї проблеми мабуть, і ж добре відомо - ключі зчитуються з локальних файлів, зфлоппи-дисков, таблеток чиsmart-карт. А в разі технологіїJ такий введення неможливий, отже доводиться чи вимагатимуть від клієнта введення довгою послідовностінеосмисленной інформації, або, зменшуючи довжину ключових елементів, знижувати стійкість криптографічних перетворень та отже знижувати надійність механізмів захисту. Причому дане зниження є вельми істотним.

Розглянемо вимога у тому, що систему електронних платежів повинна організовувати захист даних, розташованих на сервері від несанкціонованого читання і модифікації. Цю вимогу випливає речей, що систему передбачає розміщення на сервері конфіденційну інформацію, призначену для користувача. Наприклад, перелік відправлених їм платіжних доручень з позначкою про результати обробки.

Що стосується технологіїP дані інформація представляється з виглядіhtml-страниц, які зашифровуються, так і розміщуються на сервері. Усі дії виконуються відповідно до описаним вище (шифруванняhtml-страниц) алгоритмом.

Що стосується технологійJ іAX дана інформація може бути у певній структурованому вигляді у файлі на сервері, а компоненти чиапплети мають виконувати операції з зчитуванню і візуалізації даних. Усе, це цілому призводить до збільшення сумарної величиниапплетов і компонентів, і, отже, до зменшення швидкості завантаження відповідних сторінок.

З погляду даного вимоги технологіяP виграє завдяки більшої технологічності, тобто. менших накладних витратах розробці, та набуттям більшої опірності підміні компонентів за її проходженні через мережу.

Що ж до останнього вимоги про захист банківської локальної мережі, воно виконується з допомогою грамотного побудови системимежсетевих екранів (>брандмауеров) і південь від аналізованих технологій залежною.

Отже, вище було проведено попередній з порівняльного аналізу технологійJ,AX іP, з яких випливає, що технологіюJ треба використовувати у разі, якщо збереження ступеня захищеності комп'ютера клієнта істотно важливіше стійкості криптографічних перетворень, що використовуються у системах електронних платежів.

Технологія Р представляється найоптимальнішим технологічним рішенням, лежачим основу систем захисту платежів, оскільки він поєднує у собі потужність стандартного докладанняWin32 і захищеність від атак через мережу Інтернет. Практичної і комерційної реалізацією проектів із використанням даної технологією займається, наприклад, компанія "Російські фінансові комунікації".

Що ж до технологіїAX, що його використання представляється неефективною й що хистким до атакам зловмисників.

Висновок

Електронні гроші дедалі більше явно починають ставати нашому повсякденному реальністю, з якою, принаймні, вже необхідно вважатися. Звісно, ніхто у найближчі років п'ятдесят (напевно) не скасує звичайні гроші. Не вміти давати раду електронними грішми і упускати ті можливості, які з собою несуть, - отже добровільно будувати навколо себе «залізну завісу», що з такими зусиллями розсовувався протягом півтора десятки років. Багато потужні фірми пропонують оплату своїх послуг і товарів через електронні розрахунки. Споживачеві йому це значно заощаджує час.

Безкоштовне програмне забезпечення відкриття свого електронного гаманця й у всієї хірургічної роботи з грішми максимально адаптовано для масових комп'ютерів, і після невеличкий практики у пересічного користувача ніяких проблем. Наш час - час комп'ютерів, Інтернету й електронної комерції. Люди, які мають знаннями у цих галузях і відповідними засобами, домагаються колосальних успіхів. Електронні гроші - гроші, котрі отримують усе ширше поширення з дня на день, що відкривали дедалі більше можливостей в людини, має доступ до Мережі.

Список використаної літератури

1. АнтоновН.Г.,Пессель М.А. Грошове звернення, кредит і банки. -М.:Финстатинформ, 2005, стор. 179-185.

2. Банківський портфель - 3. -М.:Соминтек, 2005, стор. 288-328.

3. МихайловД.М. Міжнародні розрахунки і гарантії. М.:ФБК-ПРЕСС, 2008, стор. 20-66.

4. Поляков В.П.,МосковкинаЛ.А. Структура і функції центральних банків. Зарубіжний досвід: Навчальний посібник. - М.:ИНФРА-М, 2006.

5.Гайкович Ю.В, Першин О.С. Безпека електронних банківських систем. -- М: Єдина Європа, 2004 р.

6. Дьомін В.С. та інших.Автоматизированние банківські системи. -- М:Менатеп-Информ, 2007 р.

7. КРИСІН В.А. Безпека підприємницької діяльності. --М:Финанси і статистика, 2006 р.

8.Линьков І.І. та інших. Інформаційні підрозділу комерційних структурах: як вижити й заробити процвітати. -- М: НІТ, 2008 р.

9.Титоренко Г.А. та інших. Комп'ютеризація банківську діяльність. -- М:Финстатинформ, 2007 р.

10.NovellNetWare. Керівництво користувача, 2008 р.

Размещено на Allbest.ru


Подобные документы

  • Захист електронних платежів у мережі Іntегnеt. Побудова захисту електронних банківських документів. Криптографічний захист інформації. Захист інформації та вирішення питань безпеки у СЕП. Роботи програмно-технічних комплексів в інформаційній мережі.

    контрольная работа [293,9 K], добавлен 26.07.2009

  • Розгляд результатів аналізу загальних електронних документів та електронних бібліотечних фондів. Вивчення та характеристика особливостей сучасного документознавства, які полягають, насамперед, у широкому застосуванні комп’ютерних систем оброблення.

    статья [31,6 K], добавлен 27.08.2017

  • Принципи побудови захисту електронних банківських документів. Забезпечення автентифікації адресата та відправника міжбанківських електронних розрахункових документів і службових повідомлень. Апаратно-програмні засоби криптографічного захисту інформації.

    контрольная работа [54,9 K], добавлен 26.07.2009

  • Основні функції та принцип роботи в системах інтернет-банкінгу українських фінансових установ на прикладі ПриватБанку. Огляд можливостей сервісу "Приват24". Критерії та питання для аналізу безпеки систем електронних платежів передових банків в Україні.

    лабораторная работа [2,2 M], добавлен 18.09.2013

  • Класифікація за характером, механізмом та технологією здійснення платежів. Системи міжбанківських розрахунків. Внутрішньобанківські платіжні системи. Системи масових платежів та типу "клієнт – банк". Основні учасники системи карткових розрахунків.

    контрольная работа [96,1 K], добавлен 26.07.2009

  • Дослідження ключових інструментів електронної торгівлі: системи електронних платежів, переказів грошових коштів, обміну даними та глобальної мережі Інтернет. Характеристика використання інформаційних технологій у виробничій та збутовій сфері комерції.

    реферат [20,9 K], добавлен 14.05.2011

  • Розгляд основ сучасної технології підготовки та рішення на електронних обчислювальних машинах розрахункових задач військового та прикладного характеру. Побудова блок схеми, програмної реалізації алгоритму сортування. Оцінка трудомісткості сортування.

    курсовая работа [301,5 K], добавлен 08.07.2015

  • Розрахунки з використанням телекомунікаційної інфраструктури, їх характеристика та сучасний розвиток. Методи реалізації та захисту платежів у мережі Інтернет. Проблеми, пов'язані із впровадженням систем електронної комерції, та шляхи їх вирішення.

    контрольная работа [658,9 K], добавлен 26.07.2009

  • Використання комп’ютерних тренажерних систем як електронних екзаменаторів для підготовки професійного персоналу. Формування моторно-рефлекторних навиків дій при виникненні позаштатних ситуацій. Використання тренажерних систем в авіації та збройних силах.

    курсовая работа [2,7 M], добавлен 09.04.2009

  • Складові системи "клієнт-банк", її призначення та необхідне апаратне забезпечення. Принцип роботи системи та основні етапи її реалізації. Порядок автоматизації касових розрахунків в ПТК ОДБ. Підтвердження платежів в системі електронних платежів банку.

    контрольная работа [67,0 K], добавлен 26.07.2009

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.