УГРОЗЫ БЕЗОПАСНОСТИ БАНКОВСКИХ ИНФОРМАЦИОННЫХ СИСТЕМ

Особенности электронных платежных систем

Ключевым вопросом, связанным с внедрением и надежным функционированием системы электронной коммерции, является обеспечение денежных расчетов в электронном виде между поставщиком и потребителем. Для этой цели могут быть использованы электронные платежные системы, которые представляют собой электронные аналоги традиционных платежных систем с использованием наличных, чеков, кредитных карт, банковских переводов. Принципиальное отличие электронного платежа от традиционного заключается в том, что весь процесс от начала до конца происходит в электронной (цифровой) форме.

Электронные платежные системы можно разделить на два больших класса. Первый из них тесно связан с использованием банковского счета; в этих системах расчеты осуществляются посредством традиционных и виртуальных платежных карт, электронных чеков и переводов. Второй класс — это отчуждаемые от счета цифровые аналоги наличности и предоплатные карты (прототипом предоплатных карт в традиционной коммерции являются транспортные проездные билеты). В этом случае банковский счет потребителя может вообще отсутствовать. Появление платежных систем этого класса связано в том числе с проблемой электронных микроплатежей, которые невозможно выполнить с помощью традиционных инструментов — пластиковых карт и чеков. Дополнительным стимулом успешного развития таких систем является то, что налоговые службы и часто практикующие злоумышленники не интересуются системами, в которых заведомо мало денег.

Основными участниками системы являются:

О банки, объединенные договорными обязательствами;

О предприятия торговли и сервиса, образующие сеть точек обслуживания клиентов;

О процессинговые центры;

О держатели платежных средств.

Помимо них в состав системы входят организации — поставщики коммуникативных услуг и центры технического обслуживания.

Банк-эмитент выпускает платежные средства (например, пластиковые карты) и гарантирует выполнение финансовых обязательств, связанных с их использованием. Банк-эквайер обслуживает торговые точки, принимающие к оплате упомянутые выше средства, через свои отделения принимает эти средства к обналичиванию. Технические атрибуты проведения финансовых операций делегированы процессинговому центру — специальной организации, которая обеспечивает обработку запросов на авторизацию, хранение и пересылку данных о проведенных транзакциях, обработку документов, фиксирующих факт сделки, поддерживает список аннулированных платежных средств и проч. На основе итоговых данных, полученных от процессингового центра, расчетный банк проводит взаимные расчеты между эквайером и эмитентом.

Платежные системы, связанные с использованием банковского счета, можно разделить на дебетовые, работающие с электронными чеками или цифровой наличностью, и кредитные, работающие с кредитными картами.

На практике банкам приходится сталкиваться со следующими типами нарушений безопасности:

О несанкционированный доступ (НСД) к секретной или конфиденциальной информации;

О представление себя в качестве другого лица с целью уклонения от ответственности, либо отказа от обязательств, либо с целью использования прав другого лица для: отправки фальсифицированной информации, искажения имеющейся информации, НСД с помощью фальсификации или кражи идентификационных данных или их носителей, фальсифицированной авторизации транзакций или их подтверждения;

О уклонение от ответственности за созданную информацию;

О фальсификация источника информации или степени ответственности, например заявление о получении некоторой информации от другого абонента, хотя на самом деле информация была создана самим нарушителем;

О фальсификация времени отправки или самого факта отправки информации;

О отрицание факта получения информации или искажение сведений о времени ее получения;

О расширение нарушителем своих полномочий, например на получение доступа, создание информации, ее распространение и т.п.;

О несанкционированное создание учетных записей или изменение (ограничение или расширение) полномочий других пользователей;

О использование скрытых каналов передачи данных, например сокрытие наличия некой тайной информации в другой информации (стеганографическое сокрытие информации);

О внедрение в линию связи между другими абонентами в качестве активного тайного ретранслятора;

О слежение за особенностями информационного обмена и анализ различных характеристик (объекты и субъекты доступа, время доступа и проч.) передаваемых данных;

О дискредитация защищенного протокола информационного взаимодействия, например путем разглашения сведений, которые, согласно этому протоколу, должны храниться в секрете;

О изменение функций программного обеспечения (обычно за счет добавления скрытых функций);

О провоцирование других участников информационного взаимодействия на нарушение защищенного протокола, например в результате предоставления неправильной информации;

О препятствование взаимодействию других абонентов, например путем скрытого вмешательства, вызывающего отказ в обслуживании, или прекращение легального сеанса как якобы нелегального и др.

Основной набор функций защиты банковских информационных систем представлен ниже.

  • 1) Обеспечение секретности и конфиденциальности информации за счет средств, назначение которых — защитить информацию от пассивных атак при этом иногда устанавливается несколько уровней защиты в зависимости от важности содержания сообщений.
  • 2) Обеспечение аутентичности субъектов информационного взаимодействия: в случае единичного сообщения назначение средств обеспечения аутентичности — проверка того, что источником данного сообщения является именно тот субъект, за которого выдает себя отправитель. При интерактивном взаимодействии эти средства, во-первых, должны гарантировать, что оба участника информационного взаимодействия аутентичны (т.е. действительно являются теми, за кого себя выдают), во-вторых, не должны допускать несанкционированного влияния на информационный обмен какой-либо третьей стороны.
  • 3) Обеспечение целостности информации осуществляется за счет средств, назначение которых — гарантировать, что принятые сообщения в точности соответствуют отправленным и не содержат изъятий, дополнений, повторов и изменений порядка следования фрагментов. При этом может контролироваться целостность как частей сообщения, так и сообщения в целом, а также потока сообщений. Дополнительной функцией соответствующих средств (помимо основной — оперативного обнаружения нарушений целостности) может являться восстановление искаженной информации.
  • 4) Управление доступом осуществляется с помощью средств, назначение которых — исключить из процессов информационного взаимодействия незаконных участников (субъектов и объектов) и предотвратить выход законных участников за рамки своих полномочий. В процессе аутентификации субъекта выделяют три стадии:
  • 0 идентификацию — проверку подлинности идентификаторов субъекта;
  • 0 собственно аутентификацию;
  • 0 авторизацию — проверку того, какие права предоставлены данному субъекту, какие ресурсы он может использовать, какие действия он может совершать и проч.

Аутентичность пользователей (субъектов) устанавливается на основе следующих принципов:

  • 0 предъявление пользователем пароля;
  • 0 предъявление пользователем доказательств, что он обладает секретной ключевой информацией, в том числе, возможно, хранящейся на смарт-карте;
  • 0 предъявление пользователем некоторых признаков, неразрывно связанных с ним;
  • 0 установление подлинности пользователя некой третьей, доверенной стороной.
  • 5) Невозможность отказа от факта отправки или получения сообщения: если сообщение было отправлено не внушающим доверия отправителем, получатель должен иметь возможность доказать, что сообщение было действительно отправлено. Наоборот, если сообщение было отправлено не внушающему доверия получателю, отправитель должен иметь возможность доказать, что сообщение этим адресатом получено.
  • 6) Доступность ресурсов.

Как будет показано в последующих главах, помимо перечисленных функций желательно обеспечить неотслеживаемость информации, например, для обеспечения анонимности участников финансовых транзакций.

 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ   ОРИГИНАЛ   След >