Защита удаленных банковских транзакций

ВВЕДЕНИЕ

В наши дни в связи со всеобщей информатизацией и компьютеризацией банковской деятельности значение информационной безопасности удаленных транзакций многократно возросло. В результате повсеместного распространения электронных платежей, пластиковых карт, компьютерных сетей объектом информационных атак стали непосредственно денежные средства как банков, так и их клиентов. Совершить попытку хищения может любой -- необходимо лишь наличие компьютера, подключенного к сети Интернет.

Удаленная банковская транзакция - это совокупность операций, которые сопровождают удаленное взаимодействие покупателя и платежной системы. В качестве примеров удаленных транзакций можно привести оплату товаров через Интернет, использование банкоматов, расчеты в точках продаж. Обычно транзакция включает в себя запрос, выполнение задания и ответ. Однако в случает банковских транзакций эти три составляющие представляют собой денежные средства передаваемые по линиям связи. Поэтому вопрос защиты удаленных банковских транзакций является актуальным и существует большое количество механизмов и средств их защиты. В этом направлении прилагаются серьезные усилия, как в практическом, так и в теоретическом плане, используются самые последние достижения науки, привлекаются передовые технологии.

Целью дипломного проекта является разработка учебного электронного пособия, в котором по средствам интерактивного участия пользователь сможет освоить механизмы осуществления удаленных банковских транзакциях и методы их защиты.

1. УДАЛЕННЫЕ БАНКОВСКИЕ ТРАНЗАКЦИИ В СФЕРЕ ЭЛЕКТРОННОЙ КОММЕРЦИИ

1.1 Традиционная и электронная коммерция

В наиболее общем виде любая экономика состоит из процесса производства товаров и коммерческой деятельности, основной целью которой является получение прибыли посредством реализации произведенного товара. Коммерческая деятельность, или просто коммерция - это широкое понятие, которое не сводится лишь к продаже какого-либо товара и получению оплаты за него.

Традиционная коммерция - это типичный бизнес-процесс, который можно представить в виде коммерческой транзакции, включающей в себя несколько этапов. Сначала компания производит новую продукцию, затем выходит с ней на рынок, распространяет и обеспечивает послепродажную поддержку. Потребители определяют свою потребность в какой-либо продукции, знакомятся с информацией о ней, ищут места покупки, сравнивают возможные варианты с учетом цены, уровня обслуживания, репутации производителя и лишь после этого что-либо приобретают. Коммерческая транзакция включает также переговоры о цене, форме оплаты и сроках доставки товара, заключение сделки, оплату и выполнение заказа, фиксацию в виде документа факта совершения сделки. Кроме потребителей и поставщиков участниками транзакции являются также платежные системы, банки и другие финансовые учреждения, обеспечивающие перемещение финансовых средств, а также агенты доставки, выполняющие физическую доставку товара потребителям.

В качестве потребителей и поставщиков могут выступать [1]:

- отдельные граждане (физические лица);

- организации и предприятия (юридические лица).

После этапа рекламы и маркетинга поставщик предъявляет потребителю каталог товаров или услуг. Потребитель производит заказ, в котором указывает наименование и тип товара. На основании заказа поставщик направляет ему предложение заключить сделку (оферту).

Оферта может выполняться в виде договора либо, в упрощенном варианте, в виде счета. В случае согласия потребитель возвращает поставщику акцепт. Акцепт может быть реализован в виде подписанного договора либо каким-то другим способом. Оплата товара, в зависимости от возможностей потребителя и поставщика, может быть осуществлена наличным либо безналичным способом. Оплата товара должна быть взаимосвязана с этапом физической поставки товара или услуги потребителю. Коммерческая транзакция завершается этапом фиксации факта окончания сделки, в процессе этого этапа оформляются итоговые документы (счет-фактура, акт, накладные). В простейшем случае, например при розничной продаже товаров относительно невысокой стоимости, оферта представляет собой счет, который передается потребителю по почте, по факсу или при личной встрече. Акцепт в этом случае реализуется в виде оплаты выставленного счета.

Электронная коммерция - это разновидность коммерческой деятельности, в которой взаимодействие между ее участниками на всех или некоторых ее этапах осуществляется электронным способом. Иначе говоря, электронная коммерция предполагает взаимодействие между партнерами с использованием информационных технологий, что существенно повышает гибкость, эффективность и масштабность бизнес-процессов. Электронная коммерция включает в себя не только операции, связанные с куплей-продажей товаров и услуг, но и операции, направленные на поддержку извлечения прибыли, создание спроса на товары и услуги, послепродажную поддержку клиентов и т.п.

На рисунке 1.1 показано взаимодействие участников коммерческой деятельности [1].

Рисунок 1.1 - Взаимодействие участников коммерческой деятельности

Электронная коммерция, т.е. технология поддержания внешних бизнес-контактов - это одна из двух базовых составляющих электронного бизнеса. Вторая составляющая - это комплексная автоматизация внутренней деятельности компании.

1.2 Виды электронной коммерции

Электронная коммерция - это использование компьютеров, работающих в Интернет, для того, чтобы трансформировать старые и создать новые бизнес отношения с партнерами и клиентами.

Существуют различные приложения, которые обеспечивают новые бизнес решения, которые позволяют улучшить качество товаров и предоставляемых услуг, повышают скорость обслуживания, снижают операционные издержки.

Новая методология ведения бизнеса имеет несколько сфер приложения[2]:

- между различными видами бизнеса - сфера В2В (business-to-business);

- между бизнесом и потребителем - В2С (business-to-consumer);

- между потребителями - С2С (consumer-to-consumer);

- между бизнесом и государственными органами - B2A/B2G (business-to-administration/government);

- между государством и потребителями -- А2C, или G2C (administration/government-to-consumer);

- в рамках отдельного бизнеса , или Intra-business.

В2С или "бизнес - потребитель" -- категория электронной коммерции, которая является эквивалентом розничной торговли и представлена различными видами электронных магазинов с полным предложением любых потребительских товаров. Этот вид электронной коммерции наиболее интересный и рискованный, при котором поставщик и потребитель, как правило, никогда ранее не имели взаимных деловых контактов. Интернет-магазины, виртуальные банки - классические примеры систем В2С.

В2В или "бизнес - бизнес" -- категория электронной коммерции, когда компании осуществляют свою деятельность, начиная от выбора поставщика, или продукта , процесса заказа товаров у поставщиков, получения счетов-фактур, до проведения платежей и других операций на основе использования электронной сети. Этот вид электронной коммерции характеризует взаимодействие между относительно постоянными партнерами, связанными единой цепочкой бизнес-процесса и интенсивным двухсторонним информационным обменом. Как правило, это долгосрочные отношения между крупными компаниями, а также между отдельными подразделениями компании. При этом вопрос взаимного недоверия стоит менее остро и может быть отрегулирован на начальном этапе взаимодействия обменом юридически значимыми подписанными документами. Примерами систем В2В являются международная система передачи банковской и финансовой информации (SWIT).

В2А или "бизнес - администрация" -- категория электронной коммерции, которая охватывает все виды трансакций между компаниями и государственными организациями. Пока этот вид электронной коммерции находится в стадии зарождения, но имеет перспективы быстрого развития по таким направлениям, как возмещение налога на добавленную стоимость и уплата корпоративных налоговых платежей.

С2А или "потребители - администрация". Такая категория существует пока только теоретически, ее рост связывают с различного рода выплатами социального назначения.

В основном, электронная коммерция ассоциируется с покупкой и продажей информации, продуктов и услуг через Интернет, но также используется для передачи информации внутри организации через интранет, чтобы улучшить процесс принятия решений и устранить дублирование на различных этапах его выработки.

Новая концепция электронной коммерции строится не только на улучшении проведения транзакций, но и на строительстве устойчиво улучшающихся взаимоотношений с партнерами, клиентами, как существующими, так и потенциальными.

1.3 Мобильная коммерция

Термин мобильная коммерция - одно из словосочетаний, которые начинают все чаще попадаться на страницах газет и журналов, но при этом широкого распространения еще не получили. Мобильная коммерция - это продолжение электронной коммерции, ее перевод в мобильные формы. С появлением электронной коммерции стало возможным совершить покупку, провести платеж, принять участие в аукционе, не отходя от компьютера, если только он подключен к Интернету. Мобильная же коммерция делает пользователя еще более независимым, не привязанным к стационарным устройствам, предоставляя все вышеперечисленные возможности при наличии одного только мобильного телефона или карманного компьютера. Это очень важно для делового человека: часто многое зависит от мгновенно принятого решения, и этому не должны препятствовать такие факторы, как невозможность быстрого оформления сделки или отсутствие доступа к информационным каналам.

Мобильная коммерция способна привнести немало удобств, которые будут по достоинству оценены всеми владельцами мобильных устройств. Так, телефон, сохраняя все свои прежние функции, становится еще и средством идентификации его владельца, выполняет функции кредитной карты и т.д.

Итак, мобильная коммерция - это использование мобильных портативных устройств для общения, развлечения, получения и передачи информации, совершения транзакций через общественные и частные сети.

Наиболее распространенные устройства используемые для мобильной коммерции [2]:

- PDA (Personal Digital Assistant) - портативный карманный компьютер. В это семейство входят устройства, подчас довольно-таки сильно различающиеся между собой. Это могут быть и умещающиеся в ладони бесклавиатурные устройства типа Palm, и более дорогие устройства со встроенной клавиатурой, имеющие размеры среднего органайзера, и, наконец, аппараты, являющиеся уже скорее миниатюрными ноутбуками. Основные операционные системы - Palm OS, Windows CE или EPOC. Связь с Интернетом осуществляется через беспроводной модем или посредством синхронизации с персональным компьютером, подключенным к Сети;

- мобильный телефон с функцией WAP или некоторым собственным микробраузером;

- смартфон - гибрид мобильного телефона и PDA, совмещающий голосовые возможности телефона с функциями обработки и передачи данных, таких как почта, выход в Интернет, работа с файлами и т.д.

Мобильный доступ в Интернет может осуществляться с помощью беспроводного модема, встроенного WAP-браузера или путем синхронизации устройства с другим, уже подключенным к Интернету.

Протокол WAP - результат совместной работы ассоциации WAP Forum, объединяющей производителей устройств и технологий мобильной связи, среди которых можно назвать Nokia, Ericsson, Motorola; телекоммуникационных операторов - Deutche Telecom, France Telecom, AT&T; компании-производителей программного обеспечения и провайдеров услуг - Microsoft, IBM, RSA, Unwired Planet, Symbian. Ассоциация объединяет более 500 членов, охватывает около 90 % рынка беспроводных устройств. Цель ассоциации - разработка единого открытого стандарта для обмена контентом между беспроводными устройствами и Web-сервером.

Повышенное внимание к WAP обусловлено несколькими причинами. Одна из них: Интернет и мобильные устройства являются двумя очень перспективными и быстроразвивающимися отраслями, следовательно, разработка стандарта связи между ними - одно из самых востребованных на сегодняшний день решений. Присутствие же среди разработчиков крупнейших производителей беспроводных устройств, таких как Nokia, Ericsson, Motorola, придает дополнительный вес этому начинанию, да и количество членов ассоциации впечатляет. Однако если раньше о WAP говорили одно только хорошее, то теперь внимание акцентируется в основном на его недостатках, которых оказалось немало.

WAP состоит из следующего набора протоколов [2]:

- WSP (Wireless Session Protocol) - протокол обеспечения обмена данными между клиентом и сервером;

- WTP (Wireless Transaction Protocol) - протокол обеспечения проведения транзакций на основе транспортного механизма запросов и ответов (request and reply);

- WTLS (Wireless Transport Layer Security) - протокол для обеспечения безопасности;

- WDP (Wireless Datagram Protocol) - протокол беспроводной передачи датаграмм.

На рисунке 1.2 показано, каким образом происходит обмен данными с помощью WAP.

Рисунок 1.2 - Архитектура сети WAP

Информация передается между WAP-клиентом и WAP-сервером. В качестве WAP-клиента может выступать обычный мобильный WAP-телефон. С помощью программы-микробраузера направляется запрос по сети беспроводного доступа, который принимается WAP-шлюзом. WAP-шлюз, в свою очередь, направляет URL-запрос, используя протокол HTTP, к запрашиваемому Web-узлу, правда запрашиваемые Web-страницы должны быть написаны на языке WML (Wireless Markup Language). Web-узел формирует ответ в формате WML, передает его на WAP-шлюз, и уже оттуда, в двоичном формате, запрошенная информация передается на мобильный телефон клиента.

Страницы: 1, 2, 3, 4, 5, 6, 7