Remkomplekty.ru

IT Новости из мира ПК
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Обеспечение безопасности электронных систем

Методы обеспечения безопасности в платежных системах

Меры обеспечения безопасности банковских расчетов можно разделить на две большие группы — меры пассивной безопасности и меры активной безопасности (рис.1).

Рис. 5.1. Системы безопасности банковских электронных операций.

Как видно из рис.5.1, меры пассивной безопасности направлены на то, чтобы затруднить саму возможность получения третьими лицами доступа к клиентским счетам и совершения с ними мошеннических операций. Системы активной безопасности, напротив, предназначены для мониторинга операций управления счетом и выделения подозрительных транзакций.

К мерам пассивной безопасности банковских расчетов можно отнести, прежде всего, способы идентификации клиентов, среди которых в свою очередь можно выделить кодовые, программные и аппаратные. Наиболее распространенными являются кодовые способы идентификации. К ним в частности относятся:

· секретные коды, которые печатаются в единственном экземпляре и выдаются лично клиенту;

· защита передачи данных при помощи паролей;

· динамическая генерация паролей и секретных кодов;

Основным преимуществом средств кодовой идентификации является удобство, низкая стоимость, простота реализации и возможность многократного изменения, дублирования и передачи кодов доступа. Однако это же определяет основной недостаток таких средств – низкую защищенность от несанкционированного получения средств доступа к счету. Тем не менее, кодовые способы идентификации в настоящее время являются наиболее распространенными в системах электронных платежей.

К программным средствам идентификации можно отнести:

· защиту передачи данных при помощи программных сертификатов;

· системы шифрования данных.

В большинстве случаев программные средства идентификации представляют собой некоторый программный код (цифровой сертификат), записанный на электронный носитель информации. Пользователь системы принимает этот код по электронной почте и устанавливает его на своем компьютере, после чего получает возможность полноценного доступа к счету. Как правило, программные средства идентификации используются совместно с кодовыми. Несмотря на более высокий уровень защиты, программные средства идентификации не так распространены, как кодовые, из-за сложности и меньшего удобства в использовании. В качестве примера системы, использующей программные средства идентификации можно привести систему электронных денег WebMoney, популярную на территории СНГ. Анализ материалов по данной проблеме, представленных в Internet, позволяет сделать вывод, что успешных попыток получения несанкционированного доступа к счетам WebMoney, с установленным максимальным уровнем безопасности, еще не было.

Однако наиболее высокий уровень безопасности обеспечивают аппаратные средства идентификации клиентов, к которым относятся:

· идентификация посредством программных кодов на нетиражируемых носителях;

· использование выделенных каналов связи.

При использовании этих средств обеспечивается жесткая привязка возможности пользования системой к одному терминалу. Таким образом, несанкционированный доступ к счету может быть осуществлен только при наличии у третьего лица возможности физического доступа к терминалу с установленным аппаратным средством идентификации. Однако, поскольку подобные системы, как правило, используются совместно с программными и кодовыми средствами защиты, возможность несанкционированного доступа к ним практически отсутствует и может являться только результатам несоблюдения элементарных правил безопасности. В то же время системы с аппаратной идентификацией клиентов имеют существенные недостатки, такие как низкая мобильность, сложность тиражирования средств доступа и высокая цена, что обуславливает их применение преимущественно в системах управления банковскими операциями, ориентированных на юридических лиц.

В табл.5.1 приведены характеристики средств пассивной безопасности банковских электронных операций.

Характеристики средств пассивной безопасности электронных операций

Пассивные методы обеспечения безопасности являются наиболее распространенными в банковской практике. В большинстве своем они обладают такими неоспоримыми преимуществами, как незначительный процент ложных срабатываний, прозрачность для клиентов, возможность включения в стоимость банковских услуг. Но в то же время пассивные меры безопасности не в состоянии обеспечить адекватную защиту при незаконном получении третьими лицами средств доступа к счету. В этом случае система безопасности, получив от третьего лица те же идентификационные признаки, что и от владельца счета, будет нейтрализована и не сможет препятствовать дальнейшим операциям по перемещению денежных средств.

Для того чтобы противодействовать несанкционированным операциям третьих лиц со счетами клиентов банка, в случае если система пассивной безопасности нейтрализована, применяются меры активной безопасности.

Действие систем активной безопасности основано на мониторинге операций клиентов со счетами, с целью выделения и блокирования подозрительных транзакций. Поскольку надежность работы активных систем безопасности во многом определяется тем, насколько потенциальные мошенники знакомы с её структурой, признаки транзакций, попадающих в категорию подозрительных, являются «ноу-хау» банковских служб безопасности. Однако можно выделить некоторые основные категории таких транзакций.

1. Транзакции в торговых точках, которые были замечены в мошеннических операциях.

2. Транзакции, связанные с оплатой товаров, потенциально подходящих для «отмывания» денег (например, ювелирных изделий).

3. Большое количество транзакций, совершенных за короткое время.

4. Совершение транзакций на необычно большие для данного клиента суммы.

5. Получение доступа к счету за короткое время из разных точек, физически удаленных одна от другой на большие расстояния.

6. Подбор сумм транзакции.

Очевидно, что категории транзакций 2-5 можно обобщить одним понятием – «необычные». Именно выделение необычных, нехарактерных транзакций является основной задачей активных систем безопасности. Это связано с тем, что третьи лица, получив доступ к счету, обычно пытаются вывести с него деньги как можно быстрее и для этого вынуждены совершать транзакции на большие суммы. Цель функционирования активных систем безопасности –предотвращение несанкционированных списаний средств в течении первых часов, максимум – суток после утери клиентом ключевых средств доступа к счету. Как только клиент сообщает в банк о возможном переходе этих средств к третьим лицам, либо подтверждает банку подозрения, выявленные активной системой безопасности, происходит немедленная блокировка счета и замораживание средств на нем. После этого получить доступ к средствам на счете становится возможным только при личном визите в банк и предъявлении официальных документов, удостоверяющих личность.

К основным недостаткам существующих систем активной безопасности можно отнести высокий уровень ложных срабатываний и статичность правил выделения подозрительных транзакций. Поэтому дальнейшее совершенствование таких систем должно быть направлено на преодоление указанных недостатков. Наиболее перспективным представляется применение интеллектуальных методов идентификации подозрительных транзакций.

Безопасность электронных платежей

Основные правила, которые стоит соблюдать покупателю

  1. Никогда никому не сообщайте ваш пароль, включая сотрудников платежных систем.
  2. Проверяйте, что соединение действительно происходит в защищенном режиме SSL — в правом нижнем углу вашего браузера должен быть виден значок закрытого замка;
  3. Проверяйте, что соединение установлено именно с адресом платежной системы или интернет-банка;
  4. Никогда не сохраняйте информацию о вашем пароле на любых носителях, в том числе и на компьютере. Если у вас возникли подозрения, что кто-либо получил доступ к вашему личному кабинету, смените пароль или заблокируйте ваш счет/аккаунт;
  5. После окончания работы обязательно нажимайте кнопку Выход;
  6. Убедитесь, что компьютер не поражен какими-либо вирусами. Установите и активизируйте антивирусные программы. Старайтесь их постоянно обновлять, так как действие вирусов может быть направлено на передачу третьим лицам информации о вашем пароле;
  7. Используйте программное обеспечение из проверенных и надежных источников, выполняйте регулярные обновления.

Статистика
По статистике, чаще всего подвергаются атакам следующие системы: терминалы (32%), сервера баз данных (30%), серверы приложений (12%), веб-серверы (10%). На рабочие станции, серверы аутентификации, серверы резервного копирования, файловые хранилища и прочее приходится только 10%. Из данной статистики наглядно видна актуальность безопасности именно сайтов и приложений, так как через их уязвимости чаще всего становится возможным получение доступа к данным.

Что обеспечивает безопасность платежных систем

Безопасные/зашифрованные интернет-соединения

  • В настоящее время наличие SSL сертификата на сайте не является достаточным условием для безопасного проведения интернет-платежей. Только комплексный подход, сертифицированный по современным международным стандартам, позволяет говорить о том, что безопасность обработки интернет-платежей обеспечивается на самом высоком уровне.


Читайте также:

Клиентская защита

  • Логин/пароль доступа для входа в систему, который проходит тестирование на сложность;
  • Комбинация номера банковской карты, срока действия, имени держателя карты, CVV/CVC кодов;
  • Возможность создания виртуальной карты, дублирующей основную, для проведения интернет-платежей;

Техническая защита

  • Привязка платежного сервиса к фиксированному IP-адресу и телефонному номеру клиента;
  • Осуществление клиентского доступа в систему по зашифрованному протоколу HTTPS/SSL;
  • Возможность использования виртуальной клавиатуры для набора данных идентификации (противодействие перехвату личных данных);
  • Разделение каналов формирования транзакций и канала авторизации транзакций:
    • авторизация транзакций осуществляется через специальный код, который при совершении платежа клиент получает от системы на свой мобильный телефон по SMS (случайная комбинация букв и цифр, действующая только в течение нескольких минут).

Защита пластиковых карт
Злоумышленники чаще всего пытаются получить доступ к карточным данным. В отчетах исследований специалистов в области платежной безопасности — компаний Verizon и Trustwave указывается статистика: в 85-ти и 98-ми случаев из 100 соответственно, целью атаки были именно карточные данные.

Сертификация платежных систем
Сертификация сервис-провайдеров и владельцев бизнеса (мерчантов) с количеством транзакций более 6 млн. в год подлежит сертификации Qualified Security Assessor (QSA), которые в России выдаются компаниями IBM, NVision Group, Deiteriy, Digital Security, TrustWave, ЕВРААС ИТ, Информзащита, Инфосистемы Джет, Крок Инкорпорейтед.

  1. Сертификат соответствия стандарту Payment Card Industry Data Security Standard (PCI DSS);
  2. Сертификат безопасности на соответствие международным требованиям к менеджменту информационной безопасности в сфере разработки, внедрения и сопровождения программных средств ISO/IEC 27001:2005;
  3. Использование электронно-цифровой подписи (ЭЦП);
  4. Лицензии на право осуществления деятельности по предоставлению, техническому обслуживанию, распространению шифровальных (криптографических) средств.
Читать еще:  Yandex использует недействительный сертификат безопасности

Начиная с 1 июля 2012 года использование несертифицированных приложений компаниями, попадающими под действие стандарта PCI DSS, будет запрещено.
PCI DSS стандарт защиты информации в индустрии платёжных карт был разработан международными платёжными системами Visa и MasterCard и представляет собой совокупность 12 детализированных требований по обеспечению безопасности данных о держателях платёжных карт, которые передаются, хранятся и обрабатываются в информационных инфраструктурах организаций. Принятие соответствующих мер по обеспечению соответствия требованиям стандарта подразумевает комплексный подход к обеспечению информационной безопасности данных платёжных карт.

Уязвимые места и способы защиты
С точки зрения информационной безопасности в системах электронных платежей существуют следующие уязвимые места:

  1. Пересылка платежных и других сообщений между банком и клиентом и между банками;
  2. Обработка информации внутри организаций отправителя и получателя сообщений;
  3. Доступ клиентов к средствам, аккумулированным на счетах.
  4. Одним из наиболее уязвимых мест в системе электронных платежей является пересылка платежных и других сообщений между банками, между банком и банкоматом, между банком и клиентом.

Защита при пересылке платежных сообщений:

  1. Внутренние системы организаций отправителя и получателя должны быть приспособлены для отправки и получения электронных документов и обеспечивать необходимую защиту при их обработке внутри организации (защита оконечных систем);
  2. Взаимодействие отправителя и получателя электронного документа осуществляется опосредовано – через канал связи.

Проблемы, решаемые при организации защиты платежей:

  • взаимное опознавание абонентов (проблема установления взаимной подлинности при установлении соединения);
  • защита электронных документов, передаваемых по каналам связи (проблемы обеспечения конфиденциальности и целостности документов);
  • защита процесса обмена электронными документами (проблема доказательства отправления и доставки документа);
  • обеспечение исполнения документа (проблема взаимного недоверия между отправителем и получателем из-за их принадлежности к разным организациям и взаимной независимости).

Обеспечение безопасности платежных систем
Для обеспечения функций защиты информации на отдельных узлах системы электронных платежей должны быть реализованы следующие механизмы защиты:

  • управление доступом на оконечных системах;
  • контроль целостности сообщения;
  • обеспечение конфиденциальности сообщения;
  • взаимная аутентификация абонентов;
  • невозможность отказа от авторства сообщения;
  • гарантии доставки сообщения;
  • невозможность отказа от принятия мер по сообщению;
  • регистрация последовательности сообщений;
  • контроль целостности последовательности сообщений.

Качество решения указанных выше проблем в значительной мере определяется рациональным выбором криптографических средств при реализации механизмов защиты.

Платежная система — это система взаимодействия участников
С организационной точки зрения ядром платежной системы является ассоциация банков, объединенная договорными обязательствами. Кроме того, в состав электронной платежной системы входят предприятия торговли и сервиса, образующие сеть точек обслуживания. Для успешного функционирования платежной системы необходимы и специализированные организации, осуществляющие техническую поддержку обслуживания карт: процессинговые и коммуникационные центры, центры технического обслуживания и т.п.

Безопасность электронных платежных систем

Опубликовано 07.12.2011 · Обновлено 07.12.2011

Электронные платежные системы являются одним из самых популярных видов работы с электронной валютой. С каждым годом они развиваются все активнее, занимая довольно большую долю рынка по работе с валютой. Вместе с ними развиваются и технологии обеспечения их безопасности. Поскольку на сегодняшний день ни одна электронная платежная система не может существовать без хороших технологий и систем безопасности, которые в свою очередь обеспечивают безопасную транзакцию денежных операций. Самих электронных платежных систем, собственно, как и технологий по защите, существует очень много. Каждая из них имеет различные принципы и технологии работы, а также свои достоинства и недостатки. Кроме того, остается нерешенным целый ряд вопросов теоретического и практического характера, что и определяет актуальность темы исследования.

Каждая электронная платежная системы использует свои методы, алгоритмы шифрования, протоколы передачи данных для выполнения безопасных транзакций и передачи данных. Одни системы используют алгоритм шифрования RSA и протокол передачи HTTPs, другие используют алгоритм DES и протокол SSL для передачи зашифрованных данных. В основу идеи написания статьи положено то, чтобы изучить и проанализировать ряд популярных платежных систем, а именно технологии безопасности, используемые в них, и выяснить какая наиболее совершенная.

В ходе написания статьи, были проведены исследования платежных систем, анализ безопасности существующих платежных систем. Были проанализированы четыре платежные системы (Webmoney, «Яндекс.Деньги», РауРа1 и E-Port) по одним и тем же критериям. Оценивания систем проводилось по многоуровневой системе, которая включает вложенные параметры. Разумеется, все эти критерии относятся к сфере информационной безопасности. Есть два основных критерия: техническое обеспечение информационной безопасности платежей и организационно-правовое обеспечение. Каждый из двух этих параметров оценивался по трехбалльной системе. Шкала оценок именно такая, поскольку нынешнее развитие электронных платежных систем в нашей стране находится на таком уровне, что большинство их параметров можно описать только словами «да или нет». Соответственно если система электронных платежей максимально соответствует какому-либо параметру, она получает высший балл (3), если совсем не отвечает – минимальный (0). Если в системе этого критерия в его явном виде нет, но если присутствуют какие сервисы или возможности, связанные с отсутствующим, присуждаем промежуточный балл – единицу или двойку.

Оценивая системы электронных платежей, следует помнить о том, что при различных условиях значение одного и того же параметра неодинаковы. Например, несколько сервисов, которые значительно повышают уровень защиты, могут быть реализованы пользователем только добровольно, дополнительно – ценное само наличие этих сервисов в системе. Человеческий фактор никто не отменял и никогда не отменит, поэтому учитывается, что сервис может быть как реализован, так и нереализованный.

Техническое обеспечение безопасности транзакций

Это первый из критериев – набор параметров, обеспечивающий, как ясно из его названия, техническую сторону защиты информации. До этого параметра включены: криптографические методы шифрования, аутентификации и доступ с помощью специального аппаратного обеспечения (в самом примитивном случае – с помощью USB-ключей).

Ни для кого не секрет, что основным критерием защиты информации в техническом плане является, конечно, шифрование данных, а конкретнее – криптографические алгоритмы, с помощью которых они реализованы. Известно также, что чем больше длина ключа, тем труднее расшифровать его и соответственно получить доступ к конфиденциальной информации. Три из испытуемых систем используют широко известный и широко уважаемый алгоритм RSA: Webmoney, «Яндекс.Деньги», PayPal. В E-Port применяется шифрование через SSL-протокол версии 3.0.Фактически шифрование реализовано с помощью SSL-ключей, которые уникальны, они генерируются во время сессии, так и названы сеансового ключа. Длина SSL-ключа в системе E-Port варьируется в пределах от 40 до 128-ми бит, что вполне достаточно для приемлемого уровня безопасности транзакций.

Следующий параметр в техническом обеспечении информационной безопасности транзакций – аутентификация, т.е. совокупность решений, которые нужны пользователю для доступа к его собственной персональной информации. Здесь все просто. В системах Webmoney и «Яндекс.Деньги» для доступа используются два критерия, тогда как в PayPal и E-Port – только один. В Webmoney для доступа в систему и проведения платежей необходимо вводить пароль и специальный ключ.Подобно работает и «Яндекс.Деньги»: требуется пароль и специальная программа-кошелек. Во всех остальных систем доступ осуществляется по паролю. Однако в системе E-Port для работы по SSL-протоколу web-сервер потенциального клиента (и любого другого участника системы) должен иметь специальный цифровой сертификат, полученный от одной из уполномоченных компаний. Этот сертификат используется для аутентификации web-сервера клиента. Механизм защиты сертификата, который используется в E-Port, сертифицированный компанией RSA Security. Третий и последний параметр в данном исследовании критерии – доступ к системе с помощью специального аппаратного обеспечения, например USB-ключей.

Криптографические методы шифрования

Webmoney и «Яндекс.Деньги» применяется ключ длиной 1024 бита (очень высокий показатель, взломать такой ключ методом простого перебора практически невозможно), а в PayPal используется ключ в два раза короче – 512 бит.Соответственно для первых двух систем по этому критерию получаем максимальный балл – 3. PayPal, потому что применяет ключ шифрования меньшей длины, получает два балла. Остается только оценить по этому параметру E-Port.Несмотря на использование в ней SSL-протокола и даже на длину ключа до 128-ми битов, в E-Port есть некоторая потенциальная уязвимость: много старых версий браузеров поддерживают шифрование с ключами меньшей длины, поэтому существует возможность взломать полученные данные; соответственно, для тех, кто использует браузер как клиент для платежной системы, необходимо работать с его последней версией (конечно, это не всегда удобно и возможно). Однако в графе «шифрование» можно выставить для E-Port 1,7 балла: система заслужила такую ​​оценку благодаря применению прогрессивного протокола PGP для шифрования сообщений электронной почты.

Аутентификация

В системах Webmoney и «Яндекс.Деньги» для доступа используются два критерия, тогда как в PayPal и E-Port – только один. В Webmoney для доступа в систему и проведения платежей необходимо вводить пароль и специальный ключ. Подобно работает и «Яндекс.Деньги»: требуется пароль и специальная программа-кошелек.Во всех остальных систем доступ осуществляется по паролю. Однако в системе E-Port для работы по SSL-протоколу web-сервер потенциального клиента.

Читать еще:  Асус ноут безопасный режим

Согласно Webmoney и «Яндекс.Деньги» получают здесь по три балла, PayPal – 0 баллов, E-Port – один.

Здесь еще проще, чем с предыдущими параметрами. Подобную дополнительную опцию из всех систем имеет лишь Webmoney PayPal, последние не предоставляют такой возможности. Таким образом, с учетом весового коэффициента, Webmoney и PayPal получили по этому параметру 1,5 балла, все остальные – по нулю.

После оценки двух критериев можно подвести итоги. По сумме рассмотренных параметров безопасной оказалась Webmoney. Действительно, если пользователь задействует все предоставляемые ею сервисы обеспечения безопасности, он может остаться фактически неуязвимым для мошенников. Второе место заняла система «Яндекс.Деньги», третье – PayPal (эта система идеально подойдет юридическим лицам за значительной юридическую прозрачность платежей), а последнее место присуждено системе E-Port.

Кроме того, подведя итог анализа платежных систем, можно сказать, что, выбор электронной платежной системы осуществляется вовсе не по одному параметру безопасности, пусть даже он один из самых важных. Системы электронных платежей также отличаются наличием сервисов, удобством использования – есть множество других факторов.

Выводы

Электронные платежи – это закономерный этап в развитии телекоммуникаций.Востребованность высока в тех нишах, где есть полноценный продукт – цифровой товар, чьи свойства хорошо «накладываются» на свойства онлайнового платежа: моментальность уплаты, моментальность доставки, простота и безвидзивнисть.

Методы обеспечения безопасности в платежных системах

Меры обеспечения безопасности банковских расчетов можно разделить на две большие группы — меры пассивной безопасности и меры активной безопасности (рис.1).

Рис. 5.1. Системы безопасности банковских электронных операций.

Как видно из рис.5.1, меры пассивной безопасности направлены на то, чтобы затруднить саму возможность получения третьими лицами доступа к клиентским счетам и совершения с ними мошеннических операций. Системы активной безопасности, напротив, предназначены для мониторинга операций управления счетом и выделения подозрительных транзакций.

К мерам пассивной безопасности банковских расчетов можно отнести, прежде всего, способы идентификации клиентов, среди которых в свою очередь можно выделить кодовые, программные и аппаратные. Наиболее распространенными являются кодовые способы идентификации. К ним в частности относятся:

· секретные коды, которые печатаются в единственном экземпляре и выдаются лично клиенту;

· защита передачи данных при помощи паролей;

· динамическая генерация паролей и секретных кодов;

Основным преимуществом средств кодовой идентификации является удобство, низкая стоимость, простота реализации и возможность многократного изменения, дублирования и передачи кодов доступа. Однако это же определяет основной недостаток таких средств – низкую защищенность от несанкционированного получения средств доступа к счету. Тем не менее, кодовые способы идентификации в настоящее время являются наиболее распространенными в системах электронных платежей.

К программным средствам идентификации можно отнести:

· защиту передачи данных при помощи программных сертификатов;

· системы шифрования данных.

В большинстве случаев программные средства идентификации представляют собой некоторый программный код (цифровой сертификат), записанный на электронный носитель информации. Пользователь системы принимает этот код по электронной почте и устанавливает его на своем компьютере, после чего получает возможность полноценного доступа к счету. Как правило, программные средства идентификации используются совместно с кодовыми. Несмотря на более высокий уровень защиты, программные средства идентификации не так распространены, как кодовые, из-за сложности и меньшего удобства в использовании. В качестве примера системы, использующей программные средства идентификации можно привести систему электронных денег WebMoney, популярную на территории СНГ. Анализ материалов по данной проблеме, представленных в Internet, позволяет сделать вывод, что успешных попыток получения несанкционированного доступа к счетам WebMoney, с установленным максимальным уровнем безопасности, еще не было.

Однако наиболее высокий уровень безопасности обеспечивают аппаратные средства идентификации клиентов, к которым относятся:

· идентификация посредством программных кодов на нетиражируемых носителях;

· использование выделенных каналов связи.

При использовании этих средств обеспечивается жесткая привязка возможности пользования системой к одному терминалу. Таким образом, несанкционированный доступ к счету может быть осуществлен только при наличии у третьего лица возможности физического доступа к терминалу с установленным аппаратным средством идентификации. Однако, поскольку подобные системы, как правило, используются совместно с программными и кодовыми средствами защиты, возможность несанкционированного доступа к ним практически отсутствует и может являться только результатам несоблюдения элементарных правил безопасности. В то же время системы с аппаратной идентификацией клиентов имеют существенные недостатки, такие как низкая мобильность, сложность тиражирования средств доступа и высокая цена, что обуславливает их применение преимущественно в системах управления банковскими операциями, ориентированных на юридических лиц.

В табл.5.1 приведены характеристики средств пассивной безопасности банковских электронных операций.

Характеристики средств пассивной безопасности электронных операций

Пассивные методы обеспечения безопасности являются наиболее распространенными в банковской практике. В большинстве своем они обладают такими неоспоримыми преимуществами, как незначительный процент ложных срабатываний, прозрачность для клиентов, возможность включения в стоимость банковских услуг. Но в то же время пассивные меры безопасности не в состоянии обеспечить адекватную защиту при незаконном получении третьими лицами средств доступа к счету. В этом случае система безопасности, получив от третьего лица те же идентификационные признаки, что и от владельца счета, будет нейтрализована и не сможет препятствовать дальнейшим операциям по перемещению денежных средств.

Для того чтобы противодействовать несанкционированным операциям третьих лиц со счетами клиентов банка, в случае если система пассивной безопасности нейтрализована, применяются меры активной безопасности.

Действие систем активной безопасности основано на мониторинге операций клиентов со счетами, с целью выделения и блокирования подозрительных транзакций. Поскольку надежность работы активных систем безопасности во многом определяется тем, насколько потенциальные мошенники знакомы с её структурой, признаки транзакций, попадающих в категорию подозрительных, являются «ноу-хау» банковских служб безопасности. Однако можно выделить некоторые основные категории таких транзакций.

1. Транзакции в торговых точках, которые были замечены в мошеннических операциях.

2. Транзакции, связанные с оплатой товаров, потенциально подходящих для «отмывания» денег (например, ювелирных изделий).

3. Большое количество транзакций, совершенных за короткое время.

4. Совершение транзакций на необычно большие для данного клиента суммы.

5. Получение доступа к счету за короткое время из разных точек, физически удаленных одна от другой на большие расстояния.

6. Подбор сумм транзакции.

Очевидно, что категории транзакций 2-5 можно обобщить одним понятием – «необычные». Именно выделение необычных, нехарактерных транзакций является основной задачей активных систем безопасности. Это связано с тем, что третьи лица, получив доступ к счету, обычно пытаются вывести с него деньги как можно быстрее и для этого вынуждены совершать транзакции на большие суммы. Цель функционирования активных систем безопасности –предотвращение несанкционированных списаний средств в течении первых часов, максимум – суток после утери клиентом ключевых средств доступа к счету. Как только клиент сообщает в банк о возможном переходе этих средств к третьим лицам, либо подтверждает банку подозрения, выявленные активной системой безопасности, происходит немедленная блокировка счета и замораживание средств на нем. После этого получить доступ к средствам на счете становится возможным только при личном визите в банк и предъявлении официальных документов, удостоверяющих личность.

К основным недостаткам существующих систем активной безопасности можно отнести высокий уровень ложных срабатываний и статичность правил выделения подозрительных транзакций. Поэтому дальнейшее совершенствование таких систем должно быть направлено на преодоление указанных недостатков. Наиболее перспективным представляется применение интеллектуальных методов идентификации подозрительных транзакций.

Обеспечение безопасности электронных платежей через сеть Internet

Сегодня Internet может рассматриваться как огромный рынок, спо­собный охватить практически все население нашей планеты. Места со­вершения сделок постепенно перемещаются от традиционных рынков к более комфортным для потребителя — в дом или офис. Именно поэтому производители программных и аппаратных средств, торговые и финан­совые организации активно развивают различные виды и методы веде­ния коммерческой деятельности в Internet — электронной торговли, про­являя надлежащую заботу об обеспечении ее безопасности.

Под термином «электронная торговля» понимают предоставление товаров и платных услуг через глобальные информационные сети. Ос­новными видами электронной торговли являются:

• продажа информации (например, подписка на базы данных, функ­ционирующих в режиме on-line);

• концепция «электронных магазинов» (Web-site, в котором имеется оперативный каталог товаров, виртуальная «тележка» покупателя и средства оплаты);

• электронные банки, основным достоинством которых являются от­носительно низкая себестоимость и широкий охват клиентов (эти банки имеют свои собственные системы безопасности и защиты электронной информации, например, специальные карты- генераторы случайных паролей, синхронизируемых с паролем на банковском сервере, или персональные смарт-карты, также позво­ляющие генерировать сеансовые ключи).

Основные методы защиты электронной торговли должны обеспе­чивать немедленную авторизацию и шифрование финансовой информа­ции в сети Internet, что позволяет обеспечить два типа протоколов: из­вестный SSL (один из существующих протоколов обмена данными, обеспечивающий шифрование передаваемой информации. В настоящее время это наиболее распространенный метод защиты электронных транзакций в Интернете. Он использует асимметричную криптографию для аутентификации ключей обмена, симметричное шифрование для сохранения конфиденциальности, коды аутентификации сообщений для целостности сообщений. Протокол широко использовался для обмена мгновенными сообщениями и передачи голоса через IP в таких приложениях, как электронная почта, Интернет-факс и др. В настоящее время известно, что протокол не является безопасным) и протокол SET (Secure Electronic Transactions). Использовать для шифрования финансо­вой информации. Благодаря использованию цифровых сертификатов и технологий шифрования, SET позволяет как продавцам, так и покупателям производить аутентификацию всех участников сделки. Кроме того, SET обеспечивает надежную защиту номеров кредитных карт и другой конфиденциальной информации, пересылаемой через Интернет, а открытость стандарта позволяет разработчикам создавать решения, которые могут взаимодействовать между собой.

Читать еще:  Ноутбук toshiba безопасный режим

Протокол SET должен гарантировать непременное соблюдение следующих условий:

• абсолютная конфиденциальность информации;

• полная сохранность данных (одним из средств, обеспечивающих это, является ЭЦП);

• аутентификация счета владельца карточки и коммерсанта (это обеспечит, с одной стороны, сертификат владельца и ЭЦП, с дру­гой — сертификат коммерсанта и ЭЦП).

Протокол SET гарантирует, что при взаимодействиях владельца карточки с коммерсантом через Internet информация о счете кредитной карточки будет оставаться конфиденциальной, так как для защиты тран­закций используются процедуры шифрования и ЭЦП, при этом приме­няются криптосистемы обоих типов: симметричные и асимметричные. Правила SET нредусматривают комбинированное шифрование сообще­ния: сначала с использованием случайным образом сгенерированного симметричного ключа, который для передачи по сети, в свою очередь, шифруется (а затем расшифровывается) по методу Диффи-Хеллмана. В результате образуется электронный конверт. Целостность информации и аутентификация участников транзакции гарантируются использовани­ем ЭЦП.

(1 слайд) Тема 8. Алгоритмы безопасности в компьютерных сетях

Первая сетевая компьютерная технология — централизованные сис­темы доставки информации, по­зволяла сравнительно легко находить необходимые данные, однако в ней был затруднен обмен информацией, и централизованные компью­терные системы были сложны и дороги. Следующая технология кли­ент-сервер — получение информации из сети персональных компьюте­ров — оказалась дешевле, но пользователи ищут необходимые данные на множестве машин, среди большого числа приложений с различными интерфейсами.

В середине 90-х гг. появилась новая технология, заимствованная из организации глобальных компьютерных сетей Internet и представляющая собой технологию универсального клиента Web-сервиса. Web-сервис — это сервис, необходимый каж­дой организации со сколько-нибудь заметными информационными пото­ками. Поэтому он сразу после возникновения стал использоваться не только в Internet — глобальной вычислительной сети, для которой и был создан, но и в рамках небольших локальных вычислительных сетей, раз­работанных по протоколу TCP/IP, т. е. в режиме своеобразно внутренне­го Internet, или, как его называют теперь — Intranet.

И, наконец, последнее достижение — Java-технология, при приме­нении которой Web-сервис, и без того имевший огромную популяр­ность в мире, получил новый импульс. Теперь стало воз­можно выполнять все, не выходя из Web-браузера: запускать приложения, находящиеся на сервере, получать результаты прямо в HTML-страничку, не заботиться о клиентской части, распределенной среде, о доступе к различным базам данных

Базовую основу для Intranet-сетей составляют TCP/IP, NFS, Web-серверы, HTML-редакторы и e-mail. Такие сети и системы, создаваемые на основе стандартов Internet, отличаются относительной простотой на­стройки, низкой стоимостью, легко масштабируются, поддерживают распределенную обработку информации и обеспечивают быструю отда­чу вложении. Основным сдерживающим препятствием развития Intranet являются общеизвестные факты нарушения безопасности в Internet и через Internet (ежегодный ущерб от компь­ютерных преступлений составляет несколько млрд долларов и 80 % из них совершается через Internet). Отмеченная выше совместимость архи­тектурных концепции в различного класса сетях повлияла и на обеспе­чение безопасности обоих сетей.

(2 слайд) Теперь речь должна идти не о «защи­щенности» Internet, а об обеспечении принципа разумной достаточно­сти информационной безопасности сети. Под ним понимают следующее:

• в сети не должна храниться информация, раскрытие которой при­ведет к серьезным последствиям;

• в сети не должна храниться информация, распространение которой не желательно ее владельцу;

• необходимо учитывать тот факт, что в любой момент хранимая в сети информация может быть перехвачена, искажена, стать недоступной.

Не­обходимо применять специальные методы защиты для Intranet сетей и для них проблемы безопасности выходят на первый план, ибо помимо защиты информации в корпоративной сети необходимо учитывать воз­можность атак ее со стороны Internet.

Internet создавался как незащищенная система, не предназначенная для хранения и обработки конфиденциальной информации. Более того, за­щищенный Internet не смог бы стать той системой, которой он сейчас является, и не превратился бы в информационный образ мировой куль­туры, ее прошлого и настоящего.

(3 слайд)Особенности защиты на уровнях взаимодействия ISO/OSI

В зависимости от уровня взаимодействия открытых систем (OSI/ISO), когда в качестве основы взят стек протоколов TCP/IP, суще­ствуют свои наборы механизмов и служб обеспечения безопасности и соответственно свои угрозы. При этом каждый уровень с точки зрения реализации СрЗИ имеет свои преимущества и недостатки. Кроме того, атаки на каждом уровне проводятся с целью компрометации, изменения или уничтожения критических ресурсов данного уровня. Поэтому каж­дый уровень в соответствии с возможными угрозами должен быть за­щищен специальными средствами защиты, которые, взаимно дополняя друг друга, в совокупности обеспечат защиту системы в целом.

(4 слайд)Физический и канальный уровни. Здесь в качестве механизмов за­щиты используется шифрование соединения или трафика (всего или его части), т.е. обеспечивается конфиденциальность передаваемой инфор­мации. В качестве вероятных угроз выделяются следующие:

• имитоатаки (радиоэлектронное воздействие, которых может вызывать скрытное нарушение функционирования средств связи на канальном и информационном уровне);

• физическое уничтожение канала связи.

Для защиты на этих уровнях обычно применяют скремблирование (обратимое преобразование цифрового потока без изменения скорости передачи с целью получения свойств случайной последовательности), шифрующие модемы, специализированные канальные адаптеры.

Достоинства: простота применения, аппаратная реализация полная защита трафика, прозрачность выполнения СрЗИ своих функций. Не­достатки: негибкость решения, низкая совместимость и высокая стои­мость.

(5 слайд)Сетевой уровень. Здесь решаются следующие задачи защиты ин­формации:

• защищаются непосредственно пакеты, передаваемые по сети;

• в канале шифруется вся информация (защита трафика);

• контролируется доступ к сети.

На данном уровне может быть реализована аутентификация рабо­чей станции, являющейся источником сообщений. Угрозами могут являться:

• анализ служебной информации сетевого уровня (топологии сети);

• атаки на систему маршрутизации (модификация маршрутизационных таблиц через протоколы динамической маршрутизации и ICMP);

• атаки на систему управления (фальсификация IP-адресов);

• прослушивание, перехват и фальсификация информации

К решениям, способным устранить угрозы, можно отнести:

• административную защиту на маршрутизаторах;

• протоколы зашиты информации сетевого уровня (защита и аутен­тификация трафика);

• динамическое распределение сетевых адресов;

Достоинства: полнота контроля трафика, универсальность, про­зрачность, совместимость, адаптивность к сетевой технологам. Кроме того, защита информации на этом уровне имеет ряд архитектурных пре­имуществ:

• на сетевом уровне сеть становится полносвязанной системой, в то время как на более низких уровнях защита может быть реализована только как набор двухточечных звеньев защиты;

• можно установить защищенное соединение между двумя компью­терами в любых точках сети;

• появляется понятие топологии сети;

• можно различить внутренние и внешние каналы и реализовать фильтрацию трафика между внутренней (корпоративной) и внеш­ней (коммуникационной) сетью.

• неподконтрольность протоколов на транспортном и прикладном уровнях;

• невозможно оказать существенное влияние на прикладные систе­мы.

(6 слайд)Транспортный уровень. На этом уровне опасными угрозами явля­ются:

• несанкционированные соединения и проведение разведки имею­щихся приложений;

• атаки на систему управления;

• прослушивание, перехват и фальсификация информации.

Традиционные решения по защите от этих угроз:

• защита в составе межсетевых экранов;

• транспортные протоколы защиты и идентификация данных.

Достоинства: развитая функциональность и высокая гибкость за­щиты.

Недостатки: неполнота защиты и неподконтрольность событий в рамках прикладных и сетевых протоколов.

(7 слайд)Прикладной уровень. Если необходимо применить к каким-то объ­ектам этого уровня криптографические СрЗИ, то они должны продол­жать действовать и на нижестоящих уровнях. Кроме механизмов обес­печения целостности и конфиденциальности, на прикладном уровне существует возможность обеспечить жесткую связь информации с по­родившим ее пользователем, т. е. обеспечить аутентификацию пользо­вателя по созданной информации.

Основными угрозами на прикладном уровне следует считать:

· разведку имен и паролей пользователей;

· атаки на систему разграничения нрав пользователей;

· маскировку под легитимного пользователя;

· атаки на систему управления и атаки через стандартные приклад­ные протоколы;

Защита на этом уровне может быть традиционна: встроенная защи­та приложений, межсетевые экраны с фильтрацией прикладных прото­колов, proxy-системы и т. п.

• полнота и высокая функциональность в рамках конкретного при­ложения;

• контроль на уровне действий конкретного процесса (пользователя). Недостатки:

• ограниченность рамками заданного приложения;

• неподконтрольность событий в нижележащих уровнях управления. Криптографическая защита информации на этом уровне наиболее предпочтительна с точки зрения ее гибкости, однако ее аппаратно-программная реализация сложна.

Дата добавления: 2018-05-12 ; просмотров: 244 ;

Ссылка на основную публикацию
Adblock
detector