Защита удаленных банковских транзакций
ВВЕДЕНИЕ В наши дни в связи со всеобщей информатизацией и компьютеризацией банковской деятельности значение информационной безопасности удаленных транзакций многократно возросло. В результате повсеместного распространения электронных платежей, пластиковых карт, компьютерных сетей объектом информационных атак стали непосредственно денежные средства как банков, так и их клиентов. Совершить попытку хищения может любой -- необходимо лишь наличие компьютера, подключенного к сети Интернет. Удаленная банковская транзакция - это совокупность операций, которые сопровождают удаленное взаимодействие покупателя и платежной системы. В качестве примеров удаленных транзакций можно привести оплату товаров через Интернет, использование банкоматов, расчеты в точках продаж. Обычно транзакция включает в себя запрос, выполнение задания и ответ. Однако в случает банковских транзакций эти три составляющие представляют собой денежные средства передаваемые по линиям связи. Поэтому вопрос защиты удаленных банковских транзакций является актуальным и существует большое количество механизмов и средств их защиты. В этом направлении прилагаются серьезные усилия, как в практическом, так и в теоретическом плане, используются самые последние достижения науки, привлекаются передовые технологии. Целью дипломного проекта является разработка учебного электронного пособия, в котором по средствам интерактивного участия пользователь сможет освоить механизмы осуществления удаленных банковских транзакциях и методы их защиты. 1. УДАЛЕННЫЕ БАНКОВСКИЕ ТРАНЗАКЦИИ В СФЕРЕ ЭЛЕКТРОННОЙ КОММЕРЦИИ 1.1 Традиционная и электронная коммерция В наиболее общем виде любая экономика состоит из процесса производства товаров и коммерческой деятельности, основной целью которой является получение прибыли посредством реализации произведенного товара. Коммерческая деятельность, или просто коммерция - это широкое понятие, которое не сводится лишь к продаже какого-либо товара и получению оплаты за него. Традиционная коммерция - это типичный бизнес-процесс, который можно представить в виде коммерческой транзакции, включающей в себя несколько этапов. Сначала компания производит новую продукцию, затем выходит с ней на рынок, распространяет и обеспечивает послепродажную поддержку. Потребители определяют свою потребность в какой-либо продукции, знакомятся с информацией о ней, ищут места покупки, сравнивают возможные варианты с учетом цены, уровня обслуживания, репутации производителя и лишь после этого что-либо приобретают. Коммерческая транзакция включает также переговоры о цене, форме оплаты и сроках доставки товара, заключение сделки, оплату и выполнение заказа, фиксацию в виде документа факта совершения сделки. Кроме потребителей и поставщиков участниками транзакции являются также платежные системы, банки и другие финансовые учреждения, обеспечивающие перемещение финансовых средств, а также агенты доставки, выполняющие физическую доставку товара потребителям. В качестве потребителей и поставщиков могут выступать [1]: - отдельные граждане (физические лица); - организации и предприятия (юридические лица). После этапа рекламы и маркетинга поставщик предъявляет потребителю каталог товаров или услуг. Потребитель производит заказ, в котором указывает наименование и тип товара. На основании заказа поставщик направляет ему предложение заключить сделку (оферту). Оферта может выполняться в виде договора либо, в упрощенном варианте, в виде счета. В случае согласия потребитель возвращает поставщику акцепт. Акцепт может быть реализован в виде подписанного договора либо каким-то другим способом. Оплата товара, в зависимости от возможностей потребителя и поставщика, может быть осуществлена наличным либо безналичным способом. Оплата товара должна быть взаимосвязана с этапом физической поставки товара или услуги потребителю. Коммерческая транзакция завершается этапом фиксации факта окончания сделки, в процессе этого этапа оформляются итоговые документы (счет-фактура, акт, накладные). В простейшем случае, например при розничной продаже товаров относительно невысокой стоимости, оферта представляет собой счет, который передается потребителю по почте, по факсу или при личной встрече. Акцепт в этом случае реализуется в виде оплаты выставленного счета. Электронная коммерция - это разновидность коммерческой деятельности, в которой взаимодействие между ее участниками на всех или некоторых ее этапах осуществляется электронным способом. Иначе говоря, электронная коммерция предполагает взаимодействие между партнерами с использованием информационных технологий, что существенно повышает гибкость, эффективность и масштабность бизнес-процессов. Электронная коммерция включает в себя не только операции, связанные с куплей-продажей товаров и услуг, но и операции, направленные на поддержку извлечения прибыли, создание спроса на товары и услуги, послепродажную поддержку клиентов и т.п. На рисунке 1.1 показано взаимодействие участников коммерческой деятельности [1]. Рисунок 1.1 - Взаимодействие участников коммерческой деятельности Электронная коммерция, т.е. технология поддержания внешних бизнес-контактов - это одна из двух базовых составляющих электронного бизнеса. Вторая составляющая - это комплексная автоматизация внутренней деятельности компании. 1.2 Виды электронной коммерции Электронная коммерция - это использование компьютеров, работающих в Интернет, для того, чтобы трансформировать старые и создать новые бизнес отношения с партнерами и клиентами. Существуют различные приложения, которые обеспечивают новые бизнес решения, которые позволяют улучшить качество товаров и предоставляемых услуг, повышают скорость обслуживания, снижают операционные издержки. Новая методология ведения бизнеса имеет несколько сфер приложения[2]: - между различными видами бизнеса - сфера В2В (business-to-business); - между бизнесом и потребителем - В2С (business-to-consumer); - между потребителями - С2С (consumer-to-consumer); - между бизнесом и государственными органами - B2A/B2G (business-to-administration/government); - между государством и потребителями -- А2C, или G2C (administration/government-to-consumer); - в рамках отдельного бизнеса , или Intra-business. В2С или "бизнес - потребитель" -- категория электронной коммерции, которая является эквивалентом розничной торговли и представлена различными видами электронных магазинов с полным предложением любых потребительских товаров. Этот вид электронной коммерции наиболее интересный и рискованный, при котором поставщик и потребитель, как правило, никогда ранее не имели взаимных деловых контактов. Интернет-магазины, виртуальные банки - классические примеры систем В2С. В2В или "бизнес - бизнес" -- категория электронной коммерции, когда компании осуществляют свою деятельность, начиная от выбора поставщика, или продукта , процесса заказа товаров у поставщиков, получения счетов-фактур, до проведения платежей и других операций на основе использования электронной сети. Этот вид электронной коммерции характеризует взаимодействие между относительно постоянными партнерами, связанными единой цепочкой бизнес-процесса и интенсивным двухсторонним информационным обменом. Как правило, это долгосрочные отношения между крупными компаниями, а также между отдельными подразделениями компании. При этом вопрос взаимного недоверия стоит менее остро и может быть отрегулирован на начальном этапе взаимодействия обменом юридически значимыми подписанными документами. Примерами систем В2В являются международная система передачи банковской и финансовой информации (SWIT). В2А или "бизнес - администрация" -- категория электронной коммерции, которая охватывает все виды трансакций между компаниями и государственными организациями. Пока этот вид электронной коммерции находится в стадии зарождения, но имеет перспективы быстрого развития по таким направлениям, как возмещение налога на добавленную стоимость и уплата корпоративных налоговых платежей. С2А или "потребители - администрация". Такая категория существует пока только теоретически, ее рост связывают с различного рода выплатами социального назначения. В основном, электронная коммерция ассоциируется с покупкой и продажей информации, продуктов и услуг через Интернет, но также используется для передачи информации внутри организации через интранет, чтобы улучшить процесс принятия решений и устранить дублирование на различных этапах его выработки. Новая концепция электронной коммерции строится не только на улучшении проведения транзакций, но и на строительстве устойчиво улучшающихся взаимоотношений с партнерами, клиентами, как существующими, так и потенциальными. 1.3 Мобильная коммерция Термин мобильная коммерция - одно из словосочетаний, которые начинают все чаще попадаться на страницах газет и журналов, но при этом широкого распространения еще не получили. Мобильная коммерция - это продолжение электронной коммерции, ее перевод в мобильные формы. С появлением электронной коммерции стало возможным совершить покупку, провести платеж, принять участие в аукционе, не отходя от компьютера, если только он подключен к Интернету. Мобильная же коммерция делает пользователя еще более независимым, не привязанным к стационарным устройствам, предоставляя все вышеперечисленные возможности при наличии одного только мобильного телефона или карманного компьютера. Это очень важно для делового человека: часто многое зависит от мгновенно принятого решения, и этому не должны препятствовать такие факторы, как невозможность быстрого оформления сделки или отсутствие доступа к информационным каналам. Мобильная коммерция способна привнести немало удобств, которые будут по достоинству оценены всеми владельцами мобильных устройств. Так, телефон, сохраняя все свои прежние функции, становится еще и средством идентификации его владельца, выполняет функции кредитной карты и т.д. Итак, мобильная коммерция - это использование мобильных портативных устройств для общения, развлечения, получения и передачи информации, совершения транзакций через общественные и частные сети. Наиболее распространенные устройства используемые для мобильной коммерции [2]: - PDA (Personal Digital Assistant) - портативный карманный компьютер. В это семейство входят устройства, подчас довольно-таки сильно различающиеся между собой. Это могут быть и умещающиеся в ладони бесклавиатурные устройства типа Palm, и более дорогие устройства со встроенной клавиатурой, имеющие размеры среднего органайзера, и, наконец, аппараты, являющиеся уже скорее миниатюрными ноутбуками. Основные операционные системы - Palm OS, Windows CE или EPOC. Связь с Интернетом осуществляется через беспроводной модем или посредством синхронизации с персональным компьютером, подключенным к Сети; - мобильный телефон с функцией WAP или некоторым собственным микробраузером; - смартфон - гибрид мобильного телефона и PDA, совмещающий голосовые возможности телефона с функциями обработки и передачи данных, таких как почта, выход в Интернет, работа с файлами и т.д. Мобильный доступ в Интернет может осуществляться с помощью беспроводного модема, встроенного WAP-браузера или путем синхронизации устройства с другим, уже подключенным к Интернету. Протокол WAP - результат совместной работы ассоциации WAP Forum, объединяющей производителей устройств и технологий мобильной связи, среди которых можно назвать Nokia, Ericsson, Motorola; телекоммуникационных операторов - Deutche Telecom, France Telecom, AT&T; компании-производителей программного обеспечения и провайдеров услуг - Microsoft, IBM, RSA, Unwired Planet, Symbian. Ассоциация объединяет более 500 членов, охватывает около 90 % рынка беспроводных устройств. Цель ассоциации - разработка единого открытого стандарта для обмена контентом между беспроводными устройствами и Web-сервером. Повышенное внимание к WAP обусловлено несколькими причинами. Одна из них: Интернет и мобильные устройства являются двумя очень перспективными и быстроразвивающимися отраслями, следовательно, разработка стандарта связи между ними - одно из самых востребованных на сегодняшний день решений. Присутствие же среди разработчиков крупнейших производителей беспроводных устройств, таких как Nokia, Ericsson, Motorola, придает дополнительный вес этому начинанию, да и количество членов ассоциации впечатляет. Однако если раньше о WAP говорили одно только хорошее, то теперь внимание акцентируется в основном на его недостатках, которых оказалось немало. WAP состоит из следующего набора протоколов [2]: - WSP (Wireless Session Protocol) - протокол обеспечения обмена данными между клиентом и сервером; - WTP (Wireless Transaction Protocol) - протокол обеспечения проведения транзакций на основе транспортного механизма запросов и ответов (request and reply); - WTLS (Wireless Transport Layer Security) - протокол для обеспечения безопасности; - WDP (Wireless Datagram Protocol) - протокол беспроводной передачи датаграмм. На рисунке 1.2 показано, каким образом происходит обмен данными с помощью WAP. Рисунок 1.2 - Архитектура сети WAP Информация передается между WAP-клиентом и WAP-сервером. В качестве WAP-клиента может выступать обычный мобильный WAP-телефон. С помощью программы-микробраузера направляется запрос по сети беспроводного доступа, который принимается WAP-шлюзом. WAP-шлюз, в свою очередь, направляет URL-запрос, используя протокол HTTP, к запрашиваемому Web-узлу, правда запрашиваемые Web-страницы должны быть написаны на языке WML (Wireless Markup Language). Web-узел формирует ответ в формате WML, передает его на WAP-шлюз, и уже оттуда, в двоичном формате, запрошенная информация передается на мобильный телефон клиента.
Страницы: 1, 2, 3, 4, 5, 6, 7
|