p align="left">Обмен электронными данными (ОЭД) -- это межкомпьютерный обмен деловыми, коммерческими, финансовыми электронными документами. Например, заказами, платежными инструкциями, контрактными предложениями, накладными, квитанциями. ОЭД обеспечивает оперативное взаимодействие торговых партнеров (клиентов, поставщиков, торговых посредников и др.) на всех этапах подготовки торговой сделки, заключения контракта и реализации поставки. На этапе оплаты контракта и перевода денежных средств ОЭД может приводить к электронному обмену финансовыми документами. При этом создается эффективная среда для торгово-платежных операций [8]: - возможно ознакомление торговых партнеров с предложениями товаров и услуг, выбор необходимого товара/услуги, уточнение коммерческих условий (стоимости и сроков поставки, торговых скидок, гарантийных и сервисных обязательств) в реальном масштабе времени; - заказ товара/услуг или запрос контрактного предложения в реальном масштабе времени; - оперативный контроль поставки товара, получение по электронной почте сопроводительных документов (накладных, фактур, комплектующих ведомостей и т.д.); - подтверждение завершения поставки товара/услуги, выставление и оплата счетов; - выполнение банковских кредитных и платежных операций. К достоинствам ОЭД следует отнести: - уменьшение стоимости операций за счет перехода на безбумажную технологию. Эксперты оценивают стоимость обработки и ведения бумажной документации в 3-8 % от общей стоимости коммерческих операций и доставки товаров. Выигрыш от применения ОЭД оценивается, например, в автомобильной промышленности США более чем в 200 условных единиц на один изготовленный автомобиль [8]; - повышение скорости расчета и оборота денег; - повышение удобства расчетов. Суть концепции удаленных электронных платежей заключается в том, что пересылаемые по линиям связи сообщения, должным образом оформленные и переданные, являются основанием для выполнения одной или нескольких банковских операций. Никаких бумажных документов для выполнения этих операций в принципе не требуется (хотя они могут быть выданы). Другими словами, пересылаемое по линиям связи сообщение несет информацию о том, что отправитель выполнил некоторые операции над своим счетом, в частности над корреспондентским счетом банка-получателя (в роли которого может выступать клиринговый центр), и что получатель должен выполнить определенные в сообщении операции. На основании такого сообщения можно переслать или получить деньги, открыть кредит, оплатить покупку или услугу и выполнить любую другую банковскую операцию. Такие сообщения называются электронными деньгами, а выполнение банковских операций на основании посылки или получения таких сообщений - электронными платежами. Естественно, весь процесс осуществления электронных платежей нуждается в надежной защите. Иначе банк и его клиентов ожидают серьезные неприятности. Электронные платежи применяются при межбанковских, торговых и персональных расчетах. Пересылка денег с помощью системы электронных платежей включает следующие этапы (в зависимости от конкретных условий и самой системы порядок может меняться): - определенный счет в системе первого банка уменьшается на требуемую сумму; - корреспондентский счет второго банка в первом увеличивается на ту же сумму; - от первого банка второму посылается сообщение, содержащее информацию о выполняемых действиях (идентификаторы счетов, сумма, дата, условия и т.д.); при этом пересылаемое сообщение должно быть соответствующим образом защищено от подделки: зашифровано, снабжено цифровой подписью и контрольными полями и т.д.; - с корреспондентского счета первого банка во втором списывается требуемая сумма; - определенный счет во втором банке увеличивается на требуемую сумму; - второй банк посылает первому уведомление о произведенных корректировках счета; это сообщение также должно быть защищено от подделки способом, аналогичным защите платежного сообщения; - протокол обмена фиксируется у обоих абонентов и, возможно, у третьего лица (в центре управления сетью) для предотвращения конфликтов. На пути передачи сообщений могут быть посредники - клиринговые центры, банки-посредники в передаче информации и т.п. Основная сложность таких расчетов - уверенность в своем партнере, то есть каждый из абонентов должен быть уверен, что его корреспондент выполнит все необходимые действия. Для определения общих проблем защиты удаленных транзакций, можно выделить три основных этапа: - подготовка документа к отправке; - передача документа по каналу связи; - прием документа и его обратное преобразование. С точки зрения защиты в системах удаленных платежей существуют следующие уязвимые места [9]: - пересылка платежных и других сообщений между банками или между банком и клиентом - обработка информации внутри организаций отправителя и получателя; - доступ клиента к средствам, аккумулированным на счете. При пересылке платежных и других сообщений возникают следующие проблемы: - внутренние системы организаций получателя и отправителя должны быть приспособлены к получению/отправке электронных документов и обеспечивать необходимую защиту при их обработке внутри организации (защита оконечных систем); - взаимодействие получателя и отправителя документа осуществляется опосредованно - через канал связи. Это порождает такие виды проблем как взаимное опознавания абонентов (проблема установления аутентификации при установлении соединения), защиты документов, передаваемых по каналам связи (обеспечение целостности и конфиденциальности документов), защиты самого процесса обмена документами (проблема доказательства отправления/доставки документа); - в общем случае отправитель и получатель документа принадлежат к различным организациям и друг от друга независимы. Этот факт порождает проблему недоверия - будут ли предприняты необходимые меры по данному документу (обеспечение исполнения документа). Рассмотрим перечень угроз, возникающих при пересылке платежных и других сообщений: - несанкционированный доступ к ресурсам и данным системы (подбор пароля, взлом систем защиты и администрирования, маскарад); - перехват и подмена трафика (подделка платежных поручений, атака типа "человек посередине"); - IР-спуфинг (подмена сетевых адресов); - отказ в обслуживании; - атака на уровне приложений; - сканирование сетей или сетевая разведка; - использование отношений доверия в сети. Причины, приводящие к появлению подобных уязвимостей: - отсутствие гарантии конфиденциальности и целостности передаваемых данных; - недостаточный уровень проверки участников соединения; - недостаточная реализация или некорректная разработка политики безопасности; - отсутствие или недостаточный уровень защиты от несанкционированного доступа (антивирусы, контроль доступа, системы обнаружения атак); - существующие уязвимости используемых операционных систем (ОС), ПО, СУБД, веб-систем и сетевых протоколов; - непрофессиональное и слабое администрирование систем; - проблемы при построении межсетевых фильтров; - сбои в работе компонентов системы или их низкая производительность; - уязвимости при управлении ключами. Наиболее часто информационное пространство банковской системы используется для передачи сообщений, связанных с движением финансов. Основные виды атак на финансовые сообщения и финансовые транзакции: - раскрытие содержимого; - представление документа от имени другого участника; - несанкционированная модификация; - повтор переданной информации. Существует четыре основные формы удаленного банковского обслуживания клиентов [5]: - домашнее (телефонное) обслуживание; - расчет с автоматическим кассовым аппаратом (банкоматом); - расчет в точке продажи; - финансовый сервис с использованием всемирной сети Интернет. Домашнее банковское обслуживание позволяет клиентам получить доступ к банковским и информационным услугам не выходя из дома. Достоинства этого вида обслуживания: - для клиента - большая доступность данных и управление своими финансовыми делами; - для банка - уменьшение стоимости обслуживания. Ввод данных для платежа при голосовой связи (идентификатор, номер счета, размер платежа) производится клиентом либо с клавиатуры телефона либо голосом (что менее надежно с точки зрения безопасности, но более технически доступно). Банковский автомат-кассир (АКА, банкомат) - специализированное устройство, предназначенное для обслуживания клиента в отсутствие банковского персонала. Это наиболее существенная часть банковской системы, предназначенная, в основном, для выдачи наличных денег. Помимо этой функции АКА может выполнять ряд дополнительных, а числе которых: - проверка состояния счета клиента; - изменение параметров счета клиента; - осуществление различных платежей; - предоставление информации о: а) страховом полисе клиента; б) котировках ценных бумаг на фондовом рынке; в) покупке и продаже акций; г) обменных курсах валют и т.д. Системы, обеспечивающие расчеты продавца и покупателя в точке продажи, (point-of-sale, POS). В основном, все терминалы, подключенные к этим системам, размещены на предприятиях торговли. Большинство таких терминалов установлены в супермаркетах, так как там совершается большое количество покупок в течении дня, а также в других магазинах и на автозаправочных станциях. Системы POS обеспечивают следующие услуги: - проверку и подтверждение чеков; - проверку и обслуживание дебетовых и кредитных карточек; - использование системы электронных расчетов. Банки, финансирующие систему расчетов в точке продажи, таким образом расширяют список своих клиентов путем предоставления им больших удобств для покупок в магазинах с использованием удаленных устройств. Торговля, в свою очередь, увеличивает количество клиентов, расширяет управление имуществом, сохраняет время клиентов и уменьшает риск потери наличных денег. Существует два типа систем POS. Основной из них предполагает, что продавец и покупатель имеют счета в одном и том же банке. Данные, необходимые для платежа, передаются через терминалы системы POS банковскому компьютеру, производится платеж, и деньги переводятся со счета покупателя на счет продавца. В более сложной системе участвуют два или более банков. При платеже сначала вызывается банк покупателя, производится платеж и записывается на магнитную ленту для передачи в расчетную палату. Расчетная палата в свою очередь пересылает данные о платеже в банк продавца, который кредитует платеж. 2.4 Проблемы идентификации при удаленном обслуживании Персональный номер (идентификатор) (Personal Identification Number, PIN) - это последовательность цифр, используемая для идентификации клиента. Для ввода PIN как в АКА, так и в терминалах систем POS предусмотрена цифровая клавиатура, аналогичная телефонной. По способу назначения можно выделить следующие типы PIN [3]: - назначаемые выведенные PIN; - назначаемые случайные PIN; - PIN, выбираемые пользователем. Клиент различает только два типа PIN: PIN, который назначен ему банком, выдавшим карточку, и PIN, который пользователь может выбирать себе самостоятельно. В связи с тем, что PIN предназначен для идентификации и аутентификации клиента, его значение должно быть известно только клиенту. Однако на практике PIN трудно удержать в памяти и поэтому клиент банка куда-нибудь его запишет (иногда - на саму карточку). В результате задача злоумышленника бывает сильно облегчена. Использование PIN, назначенных банком, неудобно даже при небольшом их количестве. Много цифр сложно удерживать в памяти их приходится записывать. Для большего удобства клиента используются PIN, выбираемые им самим. Такой способ определения PIN, во-первых, позволяет клиенту использовать один и тот же PIN для различных целей, и, во-вторых, позволяет задавать PIN как совокупность букв и цифр. PIN обычно состоит из четырех или шести цифр. Следовательно, для его перебора в наихудшем (для защиты естественно) случае необходимо осуществить 10.000 комбинаций (четырехсимвольный PIN). Такой перебор возможен за короткое время. Поэтому в системах, использующих такой PIN , должны быть предусмотрены меры защиты от подбора PIN. Всего существуют два основных способа проверки PIN: алгоритмический и неалгоритмический. Алгоритмический способ проверки заключается в том, что у пользователя запрашивается PIN, который преобразуется по определенному алгоритму с использованием секретного ключа и затем сравнивается со значением PIN, хранившемся на карточке. Достоинством этого метода проверки является:
Страницы: 1, 2, 3, 4, 5, 6, 7
|