Методи за заштита на системот на електронски плаќања дигитални пари. Кои се главните начини за заштита на електронските пари? Средства за заштита на електронските платежни системи
Електронските системи за плаќање се еден од најпопуларните типови на работа со електронска валута. Секоја година тие се развиваат сè поактивно, заземајќи прилично голем дел од пазарот за работа со валута. Заедно со нив се развиваат и технологии за обезбедување на нивната безбедност. Од денес ниту еден електронски систем за плаќање не може да постои без добри технологии и безбедносни системи, кои пак обезбедуваат сигурна трансакција на паричните трансакции. Постојат многу самите системи за електронско плаќање, всушност, како и безбедносни технологии. Секој од нив има различни принципи и технологии на работа, како и свои предности и недостатоци. Дополнително, голем број теоретски и практични прашања остануваат нерешени, што ја одредува релевантноста на темата за истражување.
Секој електронски систем за плаќање користи свои методи, алгоритми за шифрирање, протоколи за пренос на податоци за да изврши безбедни трансакции и пренос на податоци. Некои системи користат алгоритам за шифрирање RSA и протокол за пренос на HTTP, други го користат алгоритмот DES и протоколот SSL за пренос на шифрирани податоци. Идејата за пишување напис се заснова на проучување и анализа на голем број популарни платежни системи, имено безбедносните технологии што се користат во нив, и откривање која е најнапредната.
Во текот на пишувањето на статијата беа направени студии за платните системи, анализа на безбедноста на постоечките платни системи. Четири платежни системи (Webmoney, Yandex.Money, PauPa1 и E-Port) беа анализирани според истите критериуми. Системите беа евалуирани со користење на систем на повеќе нивоа кој вклучува вгнездени параметри. Се разбира, сите овие критериуми важат за сферата безбедност на информации. Постојат два главни критериуми: техничка поддршка за информациска сигурност на плаќањата и организациона и правна поддршка. Секој од овие два параметри беше оценет на систем со три точки. Скалата за рејтинг е токму оваа, бидејќи сегашниот развој на системите за електронско плаќање кај нас е на такво ниво што повеќето од нивните параметри можат да се опишат само со зборовите „да или не“. Соодветно на тоа, доколку системот за електронско плаќање максимално одговара на кој било параметар, тој добива највисока оценка (3), доколку воопшто не одговори, минимална оценка (0). Ако системот го нема овој критериум во неговата експлицитна форма, но ако има некои услуги или способности поврзани со оној што недостасува, доделуваме среден резултат - еден или два.
При евалуација на електронските системи за плаќање, треба да се запомни дека под различни услови вредноста на истиот параметар не е иста. На пример, неколку услуги кои значително го зголемуваат нивото на заштита, корисникот може да ги имплементира само доброволно, дополнително, драгоцено е самото присуство на овие услуги во системот. Човечкиот фактор никој не го откажал и никогаш нема да го укине, затоа се зема предвид дека услугата може да биде и имплементирана и нереализирана.
Техничка сигурност на трансакциите
Ова е првиот од критериумите - збир на параметри кои обезбедуваат, како што кажува неговото име, техничката страна на заштитата на информациите. До оваа поставка, овозможено: криптографски методи на шифрирање, автентикација и пристап со помош на специјален хардвер(во најпримитивниот случај - користење USB клучеви).
Не е тајна дека главниот критериум за заштита на информациите во техничка смисла е, се разбира, шифрирањето на податоците, а поконкретно, криптографските алгоритми со кои се имплементирани. Исто така, познато е дека колку е подолга должината на клучот, толку е потешко да се дешифрира и, соодветно, да се добие пристап до доверливи информации. Три од тестираните системи го користат добро познатиот и широко почитуван алгоритам RSA: Webmoney, Yandex.Money, PayPal. E-Port користи шифрирање SSL верзија 3.0. Всушност, шифрирањето се спроведува со користење на SSL клучеви, кои се единствени, тие се генерираат за време на сесијата и се нарекуваат клуч за сесија. Должината на SSL клучот во системот E-Port варира од 40 до 128 бита, што е сосема доволно за прифатливо ниво на безбедност на трансакциите.
Следниот параметар во техничката поддршка на информациската безбедност на трансакциите е автентикацијата, т.е. збир на решенија што му се потребни на корисникот за пристап до неговите лични информации. Сè е едноставно овде. Системите Webmoney и Yandex.Money користат два критериуми за пристап, додека PayPal и E-Port користат само еден. Во Webmoney, за да пристапите до системот и да извршите плаќања, мора да внесете лозинка и посебен клуч. Yandex.Money работи на сличен начин: потребна е лозинка и специјална програма за паричник. Во сите други системи, пристапот е со лозинка. Меѓутоа, во системот E-Port, за да работи со користење на SSL протоколот, веб-серверот на потенцијалниот клиент (и кој било друг член на системот) мора да има посебен дигитален сертификат добиен од една од овластените компании. Овој сертификат се користи за автентикација на веб-серверот на клиентот. Механизмот за заштита на сертификати што го користи E-Port е сертифициран од RSA Security. Третиот и последен параметар во критериумите за оваа студија е пристапот до системот со помош на специјален хардвер, како што се USB клучеви.
Криптографски методи на криптирање
Webmoney и Yandex.Money користат клуч од 1024 бита (многу висока бројка, речиси е невозможно да се пробие таков клуч со едноставно набројување), а PayPal користи клуч кој е два пати пократок - 512 бита. Според тоа, за првиот два системи, според овој критериум, ја добиваме максималната поен - 3. PayPal, бидејќи користи помал клуч за шифрирање, добива два поени. Останува само да се оцени E-Port според овој параметар. И покрај употребата на SSL протоколот во него, па дури и должината на клучот до 128 бита, постои одредена ранливост во E-Port: многу постари верзии на прелистувачи поддржуваат шифрирање со клучеви со помала должина, затоа е можно да се хакираат примените податоци; соодветно, за оние кои го користат прелистувачот како клиент за платен систем, треба да работите со него Најновата верзија(се разбира, ова не е секогаш погодно и можно). Сепак, во колоната „енкрипција“, можете да поставите 1,7 поени за E-Port: системот ја заслужи оваа оцена поради употребата на прогресивниот протокол PGP за шифрирање на е-пошта.
Автентикација
Системите Webmoney и Yandex.Money користат два критериуми за пристап, додека PayPal и E-Port користат само еден. Во Webmoney, за да пристапите до системот и да извршите плаќања, мора да внесете лозинка и посебен клуч. Yandex.Money работи на сличен начин: потребна е лозинка и специјална програма за паричник.Во сите други системи, пристапот е со лозинка. Сепак, во системот E-Port да работи преку протоколот SSL, веб-серверот на потенцијалниот клиент.
Според Webmoney и Yandex.Money, тие добиваат по три поени, PayPal - 0 поени, E-Port - еден.
Ова е уште полесно отколку со претходните опции. Од сите системи, само Webmoney PayPal има таква дополнителна опција, вторите не даваат таква можност. Така, земајќи го предвид факторот на тежина, Webmoney и PayPal добија 1,5 поени за овој параметар, а остатокот - нула.
По евалуација на двата критериуми, резултатите може да се сумираат. Според збирот на разгледаните параметри, Webmoney се покажа како безбеден. Навистина, ако корисникот ги користи сите безбедносни услуги што ги обезбедува, тој може да остане практично неранлив за измамниците. Второто место го зазеде системот Yandex.Money, третото место го зазеде PayPal (овој систем е идеален за правни лица за значителна правна транспарентност на плаќањата), а последното место му беше доделено на системот E-Port.
Дополнително, сумирајќи ја анализата на платните системи, можеме да кажеме дека изборот на систем за електронско плаќање не се врши според еден безбедносен параметар, дури и ако тој е еден од најважните. Системите за електронско плаќање исто така се разликуваат во достапноста на услугите, леснотијата на користење - има многу други фактори.
заклучоци
Електронските плаќања се природна фаза во развојот на телекомуникациите Побарувачката е висока во оние ниши каде што има полноправен производ - дигитален производ, чии својства се добро „надредени“ на својствата на онлајн плаќањето: инстант плаќање, моментална испорака , едноставност и безбедност.
Интернет систем за плаќањее систем за спроведување на порамнувања помеѓу финансиски, деловни организации и корисници на Интернет во процесот на купување/продажба на стоки и услуги преку Интернет. Тоа е платежниот систем кој ви овозможува да претворите услуга за обработка на нарачки или електронски излог во полноправна продавница со сите стандардни атрибути: со избирање производ или услуга на веб-страницата на продавачот, купувачот може да изврши плаќање без да го напушти компјутер.
Во системот за е-трговија, плаќањата се вршат под голем број услови:
1. Почитување на доверливоста. Кога врши плаќања преку Интернет, купувачот сака неговите податоци (на пример, бројот на кредитна картичка) да им бидат познати само на организациите кои имаат законско право да го сторат тоа.
2. Одржување на интегритетот на информациите. Никој не може да ги промени информациите за купување.
3. Автентикација. Купувачите и продавачите мора да бидат сигурни дека сите страни вклучени во трансакцијата се онакви какви што велат дека се.
4. Средства за плаќање. Можност за плаќање со кое било платежно средство кое му е на располагање на купувачот.
6. Гаранции за ризикот на продавачот. Кога тргува на Интернет, продавачот е изложен на многу ризици поврзани со одбивањето на стоката и лошата волја на купувачот. Големината на ризиците мора да се договори со давателот на платниот систем и другите организации вклучени во трговските синџири преку посебни договори.
7. Минимизирајте ги провизиите за трансакција. Надоместокот за обработка на трансакцијата за нарачка и плаќање на стоки природно е вклучен во нивната цена, така што намалувањето на цената на трансакцијата ја зголемува конкурентноста. Важно е да се напомене дека трансакцијата мора да се плати во секој случај, дури и ако купувачот ја одбие стоката.
Сите овие услови мора да се имплементираат во системот за плаќање преку Интернет, кои, во суштина, се електронски верзии на традиционалните платежни системи.
Така, сите платежни системи се поделени на:
Дебит (работа со електронски чекови и дигитална готовина);
Кредит (работа со кредитни картички).
Дебитни системи
Шемите за дебитни плаќања се изградени слично како и нивните офлајн прототипови: чек и редовна готовина. Во шемата се вклучени две независни страни: издавачи и корисници. Издавачот се подразбира како субјект кој управува со платниот систем. Издава некои електронски единици кои претставуваат плаќања (на пример, пари на банкарски сметки). Корисниците на системот извршуваат две главни функции. Тие вршат и прифаќаат плаќања на Интернет користејќи издадени електронски артикли.
Електронските проверки се аналогни на редовните проверки на хартија. Ова се упатства на исплатувачот до неговата банка да префрли пари од неговата сметка на сметката на примачот. Операцијата се одвива кога примачот ќе приложи чек во банката. Тука има две главни разлики. Прво, кога пишувате чек на хартија, исплатувачот го става својот вистински потпис, а во онлајн верзијата - електронски потпис. Второ, самите чекови се издаваат по електронски пат.
Плаќањата се вршат во неколку фази:
1. Исплаќачот издава електронски чек, го потпишува со електронски потпис и го испраќа до примачот. Со цел да се обезбеди поголема доверливост и сигурност, бројот на тековната сметка може да се шифрира со јавниот клуч на банката.
2. Чекот се прикажува за исплата на платниот систем. Понатаму, (или овде или во банката што му служи на примачот), се врши проверка Електронски потпис.
3. Доколку се потврди неговата автентичност, се испорачува производ или се обезбедува услуга. Парите се префрлаат од сметката на исплатувачот на сметката на примачот.
Едноставноста на шемата за плаќање (сл. 43), за жал, се компензира со тешкотиите при нејзиното спроведување поради фактот што шемите за проверка сè уште не се широко распространети и нема центри за сертификација за имплементација на електронски потписи.
Електронскиот дигитален потпис (EDS) користи систем за шифрирање на јавен клуч. Ова создава приватен клуч за потпишување и јавен клуч за верификација. Приватниот клуч го чува корисникот, додека до јавниот клуч може да пристапи сите. Најзгодниот начин за дистрибуција на јавните клучеви е да се користат центри за сертификација. Ги чува дигиталните сертификати кои го содржат јавниот клуч и информации за сопственикот. Ова го ослободува корисникот од обврската самиот да го дистрибуира својот јавен клуч. Покрај тоа, властите за сертификација обезбедуваат автентикација за да се осигураат дека никој не може да генерира клучеви во име на друго лице.
Електронските пари целосно симулираат вистински пари. Во исто време, организацијата издавач - издавачот - ги издава нивните електронски колеги, наречени различно во различни системи (на пример, купони). Понатаму, тие се купуваат од корисници кои ги користат за плаќање за набавки, а потоа продавачот ги откупува од издавачот. При издавањето, секоја парична единица е заверена со електронски печат, кој се проверува од структурата на издавачот пред откупот.
Една од карактеристиките на физичките пари е нивната анонимност, односно не укажува кој и кога ги користел. Некои системи, по аналогија, му дозволуваат на клиентот да добива електронска готовина на таков начин што не може да се утврди односот меѓу него и парите. Ова е направено со помош на слепа шема за потпис.
Исто така, треба да се забележи дека при употреба електронски паринема потреба од автентикација, бидејќи системот се заснова на издавање пари во оптек пред да се користат.
Слика 44 ја прикажува шемата за плаќање со користење на електронски пари.
Механизмот за плаќање е како што следува:
1. Купувачот однапред разменува вистински пари за електронски пари. Чувањето готовина кај клиентот може да се изврши на два начина, што се одредува според системот што се користи:
На хард дискот на компјутерот;
на паметните картички.
Различни системи нудат различни шеми за размена. Некои отвораат посебни сметки на кои се префрлаат средства од сметката на купувачот во замена за електронски банкноти. Некои банки може сами да издаваат електронска готовина. Во исто време, се издава само на барање на клиентот, со негово последователно пренесување на компјутерот или картичката на овој клиент и повлекување на паричниот еквивалент од неговата сметка. При спроведување на слеп потпис, купувачот самиот создава електронски банкноти, ги испраќа до банката, каде што, по приемот на вистински пари на сметката, тие се заверуваат со печат и се враќаат назад до клиентот.
Заедно со практичноста на таквото складирање, има и недостатоци. Оштетувањето на диск или паметна картичка резултира со неповратна загуба на електронски пари.
2. Купувачот префрла електронски пари за купување на серверот на продавачот.
3. Парите се доставуваат до издавачот, кој ја потврдува нивната автентичност.
4. Доколку електронските банкноти се автентични, сметката на продавачот се зголемува за износот на купувањето, а стоката се испраќа до купувачот или се обезбедува услугата.
Една од важните карактеристики на електронските пари е можноста за микроплаќања. Ова се должи на фактот дека деноминацијата на банкнотите можеби не одговара на вистинските монети (на пример, 37 копејки).
И банките и небанкарските организации можат да издаваат електронска готовина. Сепак, тој сè уште не е развиен еден системконвертирање на различни видови електронски пари. Затоа, само самите издавачи можат да ја откупат електронската готовина издадена од нив. Дополнително, користењето на таквите пари од нефинансиските структури не е гарантирано од државата. Сепак, ниската цена на трансакцијата ја прави е-готовината атрактивна алатка за плаќања на Интернет.
Кредитни системи
Интернет-кредитните системи се аналози на конвенционалните системи кои работат со кредитни картички. Разликата лежи во спроведувањето на сите трансакции преку Интернет, а како резултат на тоа, потребата за дополнителна безбедност и автентикација.
Следниве се вклучени во плаќањето преку Интернет користејќи кредитни картички:
1. Купувач. Клиент кој има компјутер со веб-прелистувач и пристап до Интернет.
2. Издавачка банка. Еве ја сметката на купувачот. Издавачката банка издава картички и е гарант за исполнување на финансиските обврски на клиентот.
3. Продавачи. Продавачите се сервери за е-трговија кои одржуваат каталози на стоки и услуги и прифаќаат нарачки за купување од клиенти.
4. Стекнување на банки. Банките што им служат на трговците. Секој продавач има една банка во која ја чува својата тековна сметка.
5. Интернет систем за плаќање. Електронски компоненти кои се посредници меѓу другите учесници.
6. Традиционален платен систем. Збир на финансиски и технолошки средства за сервисирање на картички од овој тип. Меѓу главните задачи што ги решава платниот систем се обезбедување на користење на картички како средство за плаќање на стоки и услуги, користење на банкарски услуги, меѓусебни порамнувања итн. Учесници во платниот систем се физички и правни лица обединети со односи за користење на кредитни картички.
7. Центар за обработка на платниот систем. Организација која обезбедува информации и технолошка интеракција помеѓу учесниците во традиционалниот платен систем.
8. Банка за порамнување на платниот систем. Кредитна институција која врши меѓусебни порамнувања помеѓу учесниците во платниот систем во име на процесорскиот центар.
Општата шема на плаќања во таков систем е прикажана на Слика 45.
1. Купувачот во електронската продавница формира кошница со стоки и го избира начинот на плаќање „кредитна картичка“.
Преку продавницата, односно параметрите на картичката се внесуваат директно на веб-страницата на продавницата, по што се пренесуваат на системот за плаќање преку Интернет (2а);
На серверот на платниот систем (2б).
Предностите на вториот начин се очигледни. Во овој случај, информациите за картичките не остануваат во продавницата и, соодветно, ризикот од нивно примање од трети лица или измама од продавачот е намален. И во двата случаи, при пренос на податоци за кредитна картичка, се уште постои можност тие да бидат пресретнати од напаѓачи на мрежата. За да се спречи ова, податоците се шифрираат за време на преносот.
Шифрирањето, се разбира, ја намалува можноста за пресретнување на податоците на мрежата, затоа, комуникациите на купувачот/продавачот, продавачот/интернет платниот систем, купувачот/интернет платниот систем се претпочитаат да се вршат со помош на безбедни протоколи. Најчестиот од нив денес е протоколот SSL (Secure Sockets Layer), како и SET (Secure Electronic Transaction) стандардот за безбедна електронска трансакција, дизајниран на крајот да го замени SSL во процесирањето на трансакциите поврзани со плаќања за купувања со кредитна картичка на Интернет.
3. Системот за плаќање преку Интернет го испраќа барањето за овластување до традиционалниот платен систем.
4. Следниот чекор зависи од тоа дали емисионата банка одржува онлајн база на податоци (ДБ) на сметки. Ако базата на податоци е достапна, центарот за обработка испраќа до банката-издавач барање за овластување на картичката (види вовед или речник) (4а), а потоа (4б) го добива својот резултат. Ако не постои таква база, тогаш самиот процесорски центар складира информации за статусот на сметките на сопствениците на картички, списоците за стопирање и ги исполнува барањата за овластување. Оваа информација редовно се ажурира од банките издавачи.
Продавницата обезбедува услуга или испраќа производ (8а);
Центарот за обработка испраќа информации за завршената трансакција до банката за порамнување (8б). Парите од сметката на купувачот во банката-издавач се префрлаат преку банката за порамнување на сметката на продавницата во банката што презема.
Со цел да се направат такви плаќања, во повеќето случаи, посебен софтвер. Може да се достави до купувачот (наречен електронски паричник), продавачот и неговата банка за сервисирање.
Вовед
1. Системи за електронско плаќање и нивна класификација
1.1 Основни концепти
1.2 Класификација на системи за електронско плаќање
1.3 Анализа на главните електронски системи за плаќање што се користат во Русија
2. Средства за заштита на електронските платежни системи
2.1 Закани поврзани со употребата на електронските системи за плаќање
2.2 Безбедносни технологии за системи за електронско плаќање
2.3 Анализа на технологии за усогласеност основни барањана електронските системи за плаќање
Заклучок
Библиографска листа
ВОВЕД
Високо специјализирана тема за електронските плаќања и електронските пари, која беше од мал интерес пред 10 години, неодамна стана актуелна не само за бизнисмените, туку и за крајните корисници. Модните зборови „е-бизнис“, „е-трговија“ веројатно ги знае секој втор човек кој барем повремено чита компјутер или популарен печат. Задачата за далечинско плаќање (префрлање пари на долги растојанија) се префрли од категоријата специјални во секојдневни. Сепак, изобилството на информации за ова прашање воопшто не придонесува за јасност во главите на граѓаните. И поради сложеноста и концептуалната неразвиеност на проблемот со електронските плаќања, и поради фактот што многу популаризатори често работат на принципот на оштетен телефон, на ниво на домаќинство, се разбира, секому му е јасно. Но, ова е додека не дојде редот на практичниот развој на електронските плаќања. Токму тука се открива недоразбирањето за тоа колку е соодветно користењето на електронските плаќања во одредени случаи.
Во меѓувреме, задачата за прифаќање електронски плаќања станува сè поважна за оние кои ќе работат преку Интернет, како и за оние кои ќе купуваат преку Интернет. Оваа статија е за двете.
Главниот проблем кога се разгледуваат електронските системи за плаќање за почетници е разновидноста на нивниот дизајн и принципи на работа, како и фактот дека, и покрај надворешната сличност на имплементацијата, во нивните длабочини можат да се кријат сосема различни технолошки и финансиски механизми.
Брзиот развој на популарноста на глобалниот интернет доведе до моќен поттик за развој на нови пристапи и решенија во различни области на светската економија. Дури и таквите конзервативни системи како електронските платежни системи во банките подлегнаа на новите трендови. Ова се одрази со појавата и развојот на нови платежни системи - системи за електронско плаќање преку Интернет, чија главна предност е што клиентите можат да вршат плаќања (финансиски трансакции) заобиколувајќи ја исцрпувачката, а понекогаш и технички тешка фаза на физички транспорт на платен налог. до банката. Банките и банкарските институции се исто така заинтересирани за имплементација на овие системи, бидејќи тие овозможуваат да се зголеми брзината на услугите на клиентите и да се намалат општите трошоци за плаќање.
Електронските системи за плаќање циркулираат информации, вклучително и доверливи информации, кои бараат заштита од гледање, модификација и наметнување на лажни информации. Развојот на соодветни безбедносни технологии ориентирани кон Интернет во моментов е голем предизвик. Причината за ова е дека архитектурата, основните ресурси и технологиите Интернет мрежифокусирани на организирање пристап или собирање отворени информации. Меѓутоа, неодамна се појавија пристапи и решенија кои укажуваат на можноста за користење на стандардни интернет технологии во градењето системи за безбеден пренос на информации преку Интернет.
Целта на RGR е да ги анализира електронските системи за плаќање и да развие препораки за користење на секој од нив. Врз основа на целта, формулирани се следните фази од спроведувањето на RGR:
1. Определете ги главните задачи на системите за електронско плаќање и принципите на нивното функционирање, нивните карактеристики.
2. Анализирајте ги главните системи на електронски плаќања.
3. Анализирајте ги заканите поврзани со употребата на електронски пари.
4. Анализирајте ги средствата за заштита при користење на системи за електронско плаќање.
1. ЕЛЕКТРОНСКИ ПЛАТНИ СИСТЕМИ И НИВНА КЛАСИФИКАЦИЈА
1.1 Основни концепти
Електронски плаќања. Да почнеме со фактот дека е легитимно да се зборува за појавата на електронските плаќања како вид на безготовински плаќања во втората половина на дваесеттиот век. Со други зборови, преносот на информации за плаќањата преку жица постои долго време, но се здоби со фундаментално нов квалитет кога компјутерите се појавија на двата краја на жиците. Информациите се пренесуваа со помош на телекс, телетип, компјутерски мрежи што се појавија во тоа време. Квалитативно нов скок беше изразен во фактот што брзината на извршување на плаќањата значително се зголеми и стана можно автоматски да се обработуваат.
Подоцна се појавија и електронски еквиваленти на други видови плаќања - готовински плаќања и други средства за плаќање (на пример, чекови).
Системи за електронско плаќање (EPS). Ние го нарекуваме електронски систем за плаќање секој комплекс на специфичен хардвер и софтверски алаткиовозможувајќи електронски плаќања.
Постои различни начинии комуникациски канали за пристап до EPS. Денес, најраспространет од овие канали е Интернетот. Распространетоста на EPS се зголемува, пристапот до кој се врши со помош на мобилен телефон(преку SMS, WAP и други протоколи). Други методи се поретки: со модем, со телефон со тонско бирање, со телефон преку оператор.
Електронски пари. Нејасен термин. Ако внимателно размислите што се крие зад тоа, лесно е да се разбере дека електронските пари се неточно име за „електронска готовина“, како и за електронските системи за плаќање како такви.
Ова недоразбирање во терминологијата се должи на слободата да се преведуваат термини од англиски. Бидејќи електронските плаќања во Русија се развиваа многу побавно отколку во Европа и Америка, бевме принудени да користиме цврсто вкоренети термини. Се разбира, таквите имиња на електронската готовина како „дигитална готовина“ (е-готовина), „дигитални пари“ (дигитални пари), „електронска готовина“ (дигитална готовина)2 имаат право на живот.
Генерално, терминот „електронски пари“ не значи ништо конкретно, па затоа во иднина ќе се трудиме да ја избегнеме нивната употреба.
Електронска готовина:
Ова е технологија што се појави во 90-тите години на минатиот век која ви овозможува да вршите електронски плаќања кои не се директно поврзани со пренос на пари од сметка на сметка во банка или друга финансиска организација, односно директно помеѓу лица - крајните учесници во исплатата. Друга важна особина на електронската готовина е анонимноста на плаќањата што ги обезбедува. Центарот за овластување кој го потврдува плаќањето нема информации кој точно и на кого префрлил пари.
Електронската готовина е еден од видовите електронски плаќања. Единицата електронска готовина не е ништо повеќе од финансиска обврска на издавачот (банка или друга финансиска институција), во суштина слична на обична меница. Плаќањата со електронска готовина се појавуваат таму каде што станува незгодно да се користат други платежни системи. Добар пример е неподготвеноста на купувачот да обезбеди информации за неговата кредитна картичка кога плаќа за стоки на Интернет.
Откако се одлучивме за терминологијата, можеме да преминеме на следната фаза од нашиот разговор - ајде да зборуваме за класификацијата на EPS. Бидејќи EPS посредува во електронските пресметки, поделбата на EPS се заснова на различни типови на овие пресметки.
Покрај тоа, софтверот и/или хардверската технологија на која се базира механизмот EPS игра многу важна улога во ова прашање.
1.2 Класификација на системи за електронско плаќање
Системите за електронско плаќање може да се класифицираат и врз основа на спецификите на електронските плаќања и врз основа на специфичната технологија во основата на EPS.
Класификација на EPS во зависност од видот на електронските плаќања:
1. Според составот на учесниците во плаќањето (Табела 1).
Табела 1
| Вид на електронски плаќања | Страни за плаќање | Аналоген во традиционалниот систем на парични порамнувања | EPS пример |
| Плаќања од банка до банка | Финансиски институции | нема аналози | |
| Б2Б плаќања | Правни лица | Безготовински плаќања помеѓу организациите | |
| С2Б плаќања | Крајни потрошувачи на стоки и услуги и правни лица - продавачи | Готовински и безготовински плаќања од купувачи до продавачи | Пилот за заем |
| C2C плаќања | Поединци | Директни готовински порамнувања помеѓу физички лица, поштенски, телеграфски трансфер |
Во иднина нема да ги разгледуваме оние EPS кои се дизајнирани да опслужуваат електронски порамнувања од типот „банка-банка“. Ваквите системи се исклучително сложени, во поголема мера влијаат на технолошките аспекти на функционирањето на банкарскиот систем и најверојатно не се интересни за широките маси на нашите читатели.
Дополнително, треба да се забележи дека постои уште еден вид плаќања што логично не се вклопува сосема во Табела 1. Според формалните карактеристики, тој целосно спаѓа во областа C2B, но сепак не може да се обезбеди со помош на широко распространети EPS од овој тип . Микроплаќањата се карактеризираат со исклучително мала (центи или делови од цент) вредност на стоката. Најкарактеристично од сите популарни статиипример за систем кој имплементира микроплаќања е продажбата на шеги (за цент по парче). Системите како Eaccess и Phonepay се погодни за микроплаќања.
2. Според видот на извршените операции (Табела 2).
табела 2
| Вид на електронски плаќања | Каде се користат | EPS пример |
| Операции за управување со банкарска сметка | Системи „Клиент банка“ со пристап преку модем, интернет, мобилен телефон и сл. | Операциите за управување со банкарска сметка на Системот „клиент |
| Работа на трансфер на пари без отворање банкарска сметка | системи за трансфер на пари компјутерски мрежислично на поштенските и телеграфските трансфери | |
| Операции со банкарски сметки со картички | Дебитни и кредитни пластични картички | Сајберплат (Cyberpos) |
| Работење со електронски чекови и други непарични обврски за плаќање | Затворени системи на меѓукорпоративни плаќања | Сајберплат (Сајбер-проверка) |
| Трансакции со електронски (квази) готовина | Пресметки со физички поединци, електронски аналози на токени и припејд картички кои се користат како сурогати на пари за плаќање на стоки |
Треба да се напомене дека системите „клиент-банка“ се познати подолго време. Може да пристапите до вашата банкарска сметка користејќи модем. Во текот на изминатата деценија, се појавија нови можности за управување со вашата сметка преку Интернет, преку веб-интерфејс кој е лесен за корисниците. Оваа услуга беше наречена „Интернет банкарство“ и не воведе ништо суштински ново во платните системи од типот „клиент-банка“. Покрај тоа, постојат и други опции за пристап до банкарска сметка, на пример, со користење на мобилен телефон (WAP-банкарство, SMS-банкарство). Во овој поглед, во оваа статија нема конкретно да се задржиме на овој вид EPS, само ќе забележиме дека сега во Русија околу 100 комерцијални банки обезбедуваат услуги за интернет банкарство користејќи повеќе од 10 различни EPS.
Класификација на EPS во зависност од користената технологија:
Една од најважните квалитети на EPS е отпорноста на кражба. Можеби ова е најдискутираната карактеристика на таквите системи. Како што може да се види од Табела 3, кога се решава проблемот со безбедноста на системот, повеќето пристапи за градење на EPS се засноваат на тајноста на одредена централна база на податоци што содржи критични информации. Во исто време, некои од нив додаваат на ова тајна базадополнителни нивоа на заштита врз основа на издржливоста на хардверот.
Во принцип, постојат и други технологии врз основа на кои може да се изгради EPS. На пример, не толку одамна имаше порака во медиумите за развој на EPS базиран на CDR-дискови вградени во пластична картичка. Сепак слични системине се широко користени во светската практика и затоа нема да се фокусираме на нив.
Табела 3
| Технологија | На што се заснова стабилноста на системот? | EPS пример |
| Системи со банка на клиент на централен сервер, трансфер на средства | Безбедност на клучевите за пристап | Телебанка (Гута-банка), „Банка за Интернет услуги“ (Автобанка) |
| Паметни картички | Хардверска отпорност на паметна картичка на хакирање | Мондекс, СПОРЕД |
| Магнетни картички и виртуелни кредитни картички | Помош, елита |
|
| гребнатинки | Тајност на базата на податоци со броеви и шифри на гребнатинки | Е-порта, Creditpilot, Webmoney, Paycash, Rapira |
| Датотека/паричник како програма на компјутерот на корисникот | Криптографска сила на протоколот за размена на информации | |
| Платен телефонски повик | Тајност на централната база на податоци со пин кодови и хардверска стабилност на интелигентната телефонска мрежа | Пристап, телефонска исплата |
1.3 Анализа на главните електронски системи за плаќање што се користат во Русија
Во моментов, доста системи за електронско плаќање се користат на рускиот Интернет, иако не сите од нив се широко користени. Карактеристично, речиси сите западни платежни системи што се користат во Runet се врзани за кредитни картички. Некои од нив, како PayPal, официјално одбиваат да работат со клиенти од Русија. Следниве системи се најшироко користени денес:
CyberPlat се однесува на системи од мешан тип (во однос на која било од горенаведените класификации). Всушност, можеме да кажеме дека во рамките на овој систем, три посебни се собрани под еден покрив: класичниот систем „клиент-банка“, кој им овозможува на клиентите да управуваат со сметките отворени во банките кои учествуваат во системот (11 руски банки и 1 латвиска ); системот CyberCheck, кој овозможува безбедни плаќања помеѓу правни лица поврзани на системот; и системот за стекнување на Интернет, односно обработка на плаќања прифатени од кредитни картички - CyberPos. Меѓу сите системи за стекнување интернет достапни на рускиот пазар, CyberPlat обезбедува обработка на најголем број видови кредитни картички, имено: Visa, Mastercard/Eurocard, American Express7, Diners Club, JCB, Union Card, непосредна врска со STB- најавен е картички систем и ACCORD-card/Bashkard. Неофицијално, вработените во компанијата тврдат дека работат на можноста за приклучување со други руски системи за картички. Покрај горенаведеното, CyberPlat обезбедува обработка на гребење картички на системот за плаќање Е-порт и најави претстојно пуштање во употреба на портата со системот Paycash.
Во моментов, за да го зголеми нивото на заштита од плаќања од украдени кредитни картички, компанијата развива специјализирана технологија PalPay, која се состои во тоа што на продавачот му се дава можност да провери дали купувачот навистина има пристап до банкарската сметка поврзана со кредитната картичка или ги знае само нејзините детали. Официјално, воведувањето на оваа технологија во функција се уште не е најавено.
Системот CyberCheck е од голем интерес за организирање работа со корпоративни партнери. Неговата главна карактеристика (во споредба со прифаќањето плаќања со кредитни картички) е неможноста на одбивањето на исплатувачот да изврши плаќање после фактот. Со други зборови, добивањето потврда за плаќање од CyberCheck е исто толку веродостојно како и добивањето таква потврда од банката каде што се наоѓа сметката на продавачот. Сите овие карактеристики го прават CyberPlat можеби најнапредниот и најинтересен за продавачите на EPS на рускиот Интернет.
Системот за помош во однос на обработката на плаќањата од кредитни картички е во многу аспекти функционален аналог на CyberPlat. Во Москва, нејзините интереси ги застапува Алфа-банка. На системот се приклучени вкупно 5 банки. Подсистемот за стекнување на Интернет ви овозможува да прифаќате плаќања од Visa, Mastercard/Eurocard, STB-картичка. Од септември, прифаќањето на плаќањата од други системи со картички декларирани на серверот на системот Assist навистина не беше обезбедено. Сепак, според неофицијални информации, во блиска иднина ќе може да се примаат картичките Diners Club, Cirrus Maestro и Visa Electron дебитните картички. Интересно, овој тип на картички обично не е прифатен од компаниите што преземаат, но поради нивната евтина цена, овие картички се многу чести. Обично, одбивањето да се прифатат дебитни картички е мотивирано од безбедносни причини. Можеби ASSIST ќе може да го надмине овој проблем со користење на протоколот SET, чија поддршка беше објавена од компанијата пред некој ден. За разлика од традиционалниот начин на плаќање со пластични картички на Интернет, кој му овозможува на сопственикот на картичката да одбие плаќање направено од неа (наплата), протоколот SET ја гарантира автентичноста на трансакцијата, значително намалувајќи го ризикот за трговецот.
Начинот на плаќање објавен на веб-страницата Assist со користење на електронски сертификати купени од интернет-провајдер е доста интересен бидејќи отвора нови деловни линии за провајдерите, меѓутоа, според достапните информации, поради правни потешкотии, никој всушност го нема користено до неодамна . Сепак, повторно, според неофицијални информации, оваа состојба наскоро ќе се промени - во есента 2001 година, можеби ќе ја видиме првата практична примена на овој метод на пресметка.
Покрај системите за картички CyberPlat и Assist споменати во описите, има и други кои добија одредена дистрибуција на пазарот. Discover/NOVUS е широко дистрибуиран во Северна Америка и може да биде од интерес за оние електронски продавници што работат за западната публика. Не ни се познати домашните преземачи на компании кои би ги обработувале картичките од овој систем, меѓутоа, има голем број понуди од посредници кои ги застапуваат интересите на западните стекнувачи. Меѓу руските системи за картички, по STB и Union Card, најзабележливи на пазарот се Zolotaya Korona, Sbercard (Сбербанк), Universal Card и ICB-card (Promstroybank), како и картичката ACCORD / Bashcard веќе спомената погоре. Со „ICB-картичката“ ракуваат неколку мали компании што купуваат, прифаќањето на плаќањата преку Интернет од картичките „Златна круна“ и „Сберкард“ наводно е обезбедено директно од издавачите и/или компаниите поврзани со нив, и во случајот со Универзалната картичка, се чини дека никој не ја обезбедува.
Paycash и Webmoney се позиционирани од нивните развивачи како електронски системи за готовина, но по поблиско испитување, само Paycash со право може да бара таков статус.
Развојот на Paycash беше инициран од Tauride Bank, но други банки во моментов се поврзани со системот, на пример, Guta-Bank.
Од технолошка гледна точка, Paycash обезбедува речиси целосна имитација на готовинските плаќања. Од еден електронски паричник (специјализирана програма инсталирана од клиентот на неговиот компјутер), парите може да се префрлаат на друг, притоа обезбедувајќи анонимност на плаќањето во однос на банката. Системот стана доста распространет во Русија и во моментов прави обиди да влезе на светскиот пазар.
Тесното грло на Paycash е постапката за префрлање пари на електронски паричник. До неодамна единствениот начинЗа да го направите ова, требаше да отидете во филијала на банка и да префрлите пари на сметката на системот. Точно, имаше алтернативи - за корисниците на системот Гута-банк Телебанк, беше можно да се префрлат пари од сметка во Гута-банка без да се напушти дома, но во некои случаи, очигледно, полесно е да се префрлат директно на сметката на продавачот - електронска продавница без користење Paycash како посредник. Исто така, беше можно да се префрлат пари преку Western Union или поштенски/телеграфски трансфер, но атрактивноста на оваа рута беше ограничена од високото ниво на провизија. За жителите на Санкт Петербург, постои многу егзотична можност - да повикаат курир за пари дома. Одлично, но, за жал, не живееме сите во северниот главен град.
Можноста за префрлање пари на Paycash од кредитни картички сè уште недостасува. Ова се должи на фактот што компаниите кои ја поддржуваат работата на системите за картички им обезбедуваат на своите клиенти можност за таканаречено „задолжување“ - одбивање да се изврши плаќање „назад“. „Charge back“ е механизам кој го штити сопственикот на кредитната картичка од измамници кои можат да ги користат нејзините детали. Во случај на такво одбивање, товарот на докажување дека стоката навистина е испорачана на вистинскиот сопственик на картичката и дека плаќањето треба да се изврши паѓа на трговецот. Но, во случајот со Paycash, овој вид на доказ е во основа невозможен - од очигледни причини. Портата со CyberPlat спомената погоре, која е во развој, исто така е дизајнирана да го реши овој проблем.
Засега да го извеземе тесно грлово системот, PayCash презеде два прилично разумни потези - издавање при-пејд гребење картички и обезбедување дека плаќањата се прифаќаат преку системот за пренос на Контакт, чии стапки се значително пониски од поштенските стапки (2,2% наспроти 8%).
Системот Webmoney е еден од „пионерите“ на пазарот за електронско плаќање во Русија. Во моментов е меѓународен. Според некои извештаи, Webmoney има претставници не само во земјите - републики од поранешниот СССР, туку и во странски земји. Операторот на системот е автономната некомерцијална организација „ВМ-центар“.
Начинот на работа на Webmoney е многу сличен на работата со електронска готовина, само внимателна и заробена анализа ни овозможува да се увериме дека всушност Webmoney не обезбедува целосна анонимност на плаќањата, односно тие не се затворени од самите сопственици на системот . Сепак, практиката на Webmoney покажа дека овој имот е прилично корисен, што овозможува во некои случаи да се справи со измама. Исто така, како посебна платена услуга, „ВМ-Центар“ нуди сертификација на правно и физичко лице, природно лишувајќи го од анонимност во однос на другите учесници во системот. Оваа можност е неопходна, пред сè, за оние кои сакаат да организираат чесна електронска продавница и имаат намера да ги убедат потенцијалните купувачи во нивната сигурност. Webmoney ви овозможува да отворате сметки и да префрлувате средства во две валути: рубли и долари.
За пристап до системот, се користи програмата „електронски паричник“. Дополнителни карактеристики на системот се пренос на кратки пораки од паричник на паричник, како и кредитни трансакции помеѓу сопствениците на паричникот. Сепак, според нас, ретко кој ќе се согласи да позајмува на анонимни лица преку Интернет, не можејќи присилно да наплати заем во случај на неотплата.
За разлика од Paycash, Webmoney првично обезбеди можност и за пренос на обични готовина во паричник и за уплата на содржината на паричниците без мачни процедури за пополнување на налози за плаќање во банката, но на прилично чуден начин од правен аспект. Во принцип, правната поддршка на Webmoney во однос на нејзината работа со организации долго време предизвика многу критики.
Ова беше причината зошто додека крајните корисници активно инсталираа „паричници“ за себе, многу е-продавници одбиваа да го користат овој EPS. Точно, во моментов оваа ситуација е малку подобрена, а активната маркетинг позиција на сопствениците на Webmoney води до фактот дека имиџот на системот постојано се подобрува. Еден од интересни карактеристикиОваа маркетинг стратегија беше дека речиси веднаш по неговото влегување на пазарот, на сите им беше дадена можност да заработи пари во овој систем (некои луѓе можеби се сеќаваат на проектот Nails и неговиот подоцнежен развој - visiting.ru). Исто како и Paycash, Webmoney издава припејд гребнатинки дизајнирани да депонираат пари во системот.
Два системи засновани на гребнатинки: E-port (Autocard-holding) и CreditPilot (Creditpilot.com) се како браќа близнаци. И двајцата претпоставуваат дека купувачот прво ќе купи гребење со тајна шифра некаде во широка дистрибутивна мрежа или со нарачување курир до неговиот дом, по што ќе почне да плаќа на Интернет користејќи ја оваа шифра со продавници што прифаќаат плаќања. на овие системи. E-port дополнително нуди можност за креирање „виртуелни“ гребнатинки со префрлање пари на сметката на компанијата преку банка или преку системот „Webmoney“.
Системот Рапида, кој започна со работа во септември 2001 година, исто како и двата претходни, нуди депонирање пари на сметката на корисникот преку гребење картички или плаќање во банка-членка на системот. Дополнително, беше најавена можност за работа во режимот „Клиент-банка“ и префрлање пари на сметки на правни лица кои не се учесници во системот, како и на физички лица без отворање жиро сметка. Пристапот до системот е обезбеден не само преку Интернет, туку и преку телефон, користејќи бирање со допир. Генерално, системот изгледа технолошки напреден и многу интересен, но досега не помина доволно време од неговото пуштање во функција за да може да се зборува за перспективите.
EPS, кои дозволуваат плаќање на ист начин како што се плаќа за долги разговори (по факт, врз основа на сметката што доаѓа од телефонската компанија), првпат се појави во Соединетите Американски Држави и требаше да плати за пристап до порно ресурси . Сепак, поради систематските измамнички постапки на многу сопственици на такви системи, тие не се здобија со популарност кај купувачите, а продавачите не беа особено задоволни со нив, бидејќи овие системи се обидоа значително да ги одложат плаќањата.
Две домашни имплементации на овој концепт - Phonepay и Eaccess - се на самиот почеток на нивното патување. Двата системи претпоставуваат дека клиентот, за да изврши плаќање, мора да се јави на одреден број на далечина во кодот 8-809 (обезбеден, очигледно, од компанијата MTU-inform), по што некои клучни информации ќе да му диктира роботот. во случај на Eaccess, ова е пин-код што се користи за пристап до платен информативен ресурс, а во случајот со Phonepay, тоа е универзална „дигитална монета“ која се состои од 12 цифри на една од пет деноминации хард-кодирани во системот - пристапот сè уште постепено се развива, зголемувајќи го бројот на продавници поврзани со системот, а Phonepay нема поврзано ниту една продавница што не им припаѓа на програмерите во својот систем.
Според мое мислење, таквите системи во Русија имаат сосема дефинитивни изгледи поврзани со леснотијата на пристап до нив од страна на крајниот корисник, сепак, нивниот опсег ќе биде ограничен на продажба информациски ресурси. Долгото доцнење во примањето плаќања (системот ќе ги пренесе во продавницата не порано од купувачот да ја плати телефонската сметка) го прави тргувањето со материјални средства со користење на овие EPS прилично непрофитабилно.
Конечно, треба да се спомене уште еден тип на EPS - специјализирани системи за пренос помеѓу поединци кои се натпреваруваат со традиционалните поштенски и телеграфски трансфери. Оваа ниша за прв пат беше окупирана од такви странски системи како Western Union и Money Gram. Во споредба со традиционалните трансфери, тие обезбедуваат побрзи и посигурни плаќања. Во исто време, тие имаат голем број значајни недостатоци, од кои главната е високата цена на нивните услуги, достигнувајќи до 10% од износот на трансферот. Друга досада е што овие системи не можат легално да се користат за систематски прифаќање плаќања за стоки. Сепак, за оние кои само сакаат да испраќаат пари на роднини и пријатели, има смисла да се обрне внимание на овие системи, како и на нивните домашни колеги (Анелик и Контакт). Засега, ниту Paycash ниту Webmoney не можат да се натпреваруваат со нив, бидејќи не е можно да се добие готовина со извлекување од електронски паричник некаде во Австралија или Германија. ЕПС Рапида изјавува таква можност, но засега нема детали на страницата, а географијата на канцелариите на системот не може да се спореди со системите кои се веќе на пазарот.
Сопствениците на електронски продавници, очигледно, треба пред сè да размислуваат за прифаќање пари од кредитни картички и електронски системи за готовина - Webmoney и Paycash. Во однос на комбинацијата на карактеристики на потрошувачите, според наше мислење, ниту еден од системите за прифаќање плаќања од кредитни картички на рускиот пазар не може да се натпреварува со CyberPlat. Сите други системи се предмет на опционална употреба, особено ако се сеќавате дека истата Е-порта не мора да се инсталира посебно, бидејќи нејзините картички се сервисирани од CyberPlat.
2. СРЕДСТВА ЗА ЗАШТИТА НА ЕЛЕКТРОНСКИТЕ ПЛАТНИ СИСТЕМИ
2.1 Закани поврзани со употребата на електронските системи за плаќање
Да се разгледа можни заканидеструктивни дејства на напаѓачот во однос на овој систем. За да го направите ова, разгледајте ги главните објекти на напад од страна на напаѓачот. Главен објект на нападот на напаѓачот се финансиските ресурси, поточно нивните електронски замени (сурогати) - платни налози кои циркулираат во платниот систем. Во однос на овие алатки, напаѓачот може да ги следи следните цели:
1. Кражба на средства.
2. Воведување фалсификувани средства (повреда на финансиската рамнотежа на системот).
3. Повреда на перформансите на системот ( техничка закана).
Наведените објекти и цели на нападот се апстрактни по природа и не дозволуваат анализа и развој на потребните мерки за заштита на информациите, така што Табела 4 дава спецификација на предметите и целите на деструктивните ефекти на напаѓачот.
Табела 4 Модел на можни деструктивни дејства на напаѓач
| Објект на влијание | Целта на влијанието | Можни механизми за спроведување на влијанието. |
| HTML страници на веб-серверот на банката | Замена заради добивање информации внесени во налогот за плаќање од страна на клиентот. | Напад на серверот и замена на страници на серверот. Замена на страници во сообраќајот. Напад на компјутерот на клиентот и замена на страници на клиентот |
| Страници со информации за клиентот на серверот | Добивање информации за плаќањата на клиентите | Напад на серверот. Напад во сообраќајот. Напад на компјутерот на клиентот. |
| Податоци за налог за плаќање внесени од клиентот во формуларот | Добивање на информации внесени во налогот за плаќање од страна на клиентот. | Напад на компјутерот на клиентот (вируси, итн.). Напад на овие инструкции кога тие се испраќаат низ сообраќајот. Напад на серверот. |
| Приватни информации за клиентот лоцирани на компјутерот на клиентот и не се поврзани со системот за електронско плаќање | Добивање доверливи информации за клиентот. Измена на информации за клиентот. Оневозможување на компјутерот на клиентот. | Цел комплекс познати нападина компјутер поврзан на Интернет. Дополнителни напади кои се појавуваат како резултат на употребата на механизмите на платниот систем. |
| Информации за центарот за обработка на банка. | Откривање и измена на информации на процесорскиот центар и локална мрежатегла. | Напад на локална мрежа поврзана на Интернет. |
Од оваа табела следат основните барања што секој систем на електронски плаќања преку Интернет мора да ги исполнува:
Прво, системот мора да обезбеди заштита на податоците за налозите за плаќање од неовластени промени и модификации.
Второ, системот не треба да ја зголеми способноста на напаѓачот да организира напади на компјутерот на клиентот.
Трето, системот мора да обезбеди заштита на податоците лоцирани на серверот од неовластено читање и модификација.
Четврто, системот мора да обезбеди или поддржува систем за заштита на локалната мрежа на банката од изложеност од глобалната мрежа.
За време на развојот на специфични системи за заштита на информациите за електронско плаќање, овој модела барањата мора да бидат подложени на дополнителни детали. Меѓутоа, за сегашната презентација, такви детали не се потребни.
2.2 Безбедносни технологии за системи за електронско плаќање
Извесно време, развојот на WWW беше задржан од фактот дека html страниците, кои се основата на WWW, се статичен текст, т.е. со нивна помош, тешко е да се организира интерактивна размена на информации помеѓу корисникот и серверот. Програмерите предложија многу начини за проширување на можностите на HTML во оваа насока, од кои многу не се широко прифатени. Едно од најмоќните решенија, кое беше нова фаза во развојот на интернетот, беше предлогот на Sun да се користат Java аплетите како интерактивни компоненти поврзани со HTML страници.
Јава аплетот е програма која е напишана на програмскиот јазик Јава и компајлирана во специјални бајтекодови, кои се шифри на некој виртуелен компјутер - Java машина - и се различни од шифрите на процесорите на Интел. Аплетите се хостирани на сервер на Интернет и се преземаат на компјутерот на корисникот секогаш кога се пристапува до HTML страница која содржи повик до тој аплет.
За извршување на аплет-кодови, стандардниот прелистувач вклучува Java машина имплементација која ги толкува бајтекодовите во машински инструкции од семејството на процесори Intel (или друго). Способностите својствени за технологијата на Java аплетите, од една страна, овозможуваат развој на моќни кориснички интерфејси, организирајте го пристапот до сите мрежни ресурси по URL, лесно е да се користат протоколите TCP/IP, FTP итн., а од друга страна го оневозможуваат директно пристапот до компјутерските ресурси. На пример, аплетите немаат пристап до датотечен системкомпјутер и поврзани уреди.
Слично решение за проширување на можностите на WWW е технологијата Active X на Microsoft. Најзначајната разлика помеѓу оваа технологија и Java е тоа што компонентите (аналози на аплетите) се програми во кодови Интел процесори дека овие компоненти имаат пристап до сите компјутерски ресурси, како и до интерфејсите и услугите на Windows.
Друг помалку вообичаен пристап за подобрување на WWW е Netscape's Plug-in for Netscape Navigator технологијата. Токму оваа технологија се чини дека е најоптималната основа за градење системи за безбедност на информации за електронски плаќања преку Интернет. За понатамошна презентација, да разгледаме како оваа технологија го решава проблемот со заштитата на информациите за веб-серверот.
Да претпоставиме дека има некој веб-сервер и администраторот овој серверпотребно е да се ограничи пристапот до некој дел од информативната низа на серверот, т.е. организирајте така што некои корисници имаат пристап до некои информации, додека други немаат.
Во моментов, се предлагаат голем број пристапи за решавање на овој проблем, особено многу ОС, под чија контрола функционираат интернет серверите, бараат лозинка за пристап до некои од нивните области, т.е. бараат автентикација. Овој пристап има две значајни недостатоци: прво, податоците се складираат на самиот сервер во отворена форма, и, второ, податоците се пренесуваат и преку мрежата во отворена форма. Така, напаѓачот има можност да организира два напади: на самиот сервер (погодување лозинка, заобиколување лозинка, итн.) и напад на сообраќај. Фактите за спроведувањето на ваквите напади се нашироко познати на интернет заедницата.
Друг добро познат пристап за решавање на проблемот со безбедноста на информациите е пристап базиран на технологијата SSL (Secure Sockets Layer). При користење на SSL се воспоставува безбеден комуникациски канал помеѓу клиентот и серверот преку кој се пренесуваат податоците, т.е. проблемот со пренос на податоци во јасен текст преку мрежа може да се смета за релативно решен. Главниот проблем со SSL лежи во изградбата на клучен систем и контрола над него. Што се однесува до проблемот со складирање на податоци на серверот во отворена форма, тој останува нерешен.
Друг важен недостаток на пристапите опишани погоре е потребата за нивна поддршка од софтверската страна и на серверот и на мрежниот клиент, што не е секогаш можно и практично. Особено во системите фокусирани на масовниот и неорганизиран клиент.
Пристапот предложен од авторот се заснова на директно заштита на html страниците, кои се главниот носител на информации на Интернет. Суштината на заштитата лежи во фактот дека датотеките што содржат HTML страници се зачувани на серверот во шифрирана форма. Во исто време, клучот на кој се шифрирани им е познат само на лицето кое го шифрирало (администраторот) и клиентите (општо, проблемот со градење клучен систем е решен на ист начин како и во случајот со транспарентен шифрирање на датотеки).
Клиентите пристапуваат до безбедни информации преку Netscape's Plug-in for Netscape технологијата. Овие модули се програми, поточно софтверски компоненти, кои се поврзани со одредени типови датотеки во стандардот MIME. MIME е меѓународен стандард кој ги дефинира форматите на датотеки на Интернет. На пример, постојат следниве типови датотеки: текст/html, текст/рамнина, слика/jpg, слика/bmp, итн. Покрај тоа, стандардот го дефинира механизмот за поставување прилагодени типовидатотеки што може да се дефинираат и користат од независни програмери.
Значи, се користат приклучоци, кои се поврзани со одредени типови на датотеки MIME. Врската лежи во фактот дека кога корисникот пристапува до датотеки од соодветниот тип, прелистувачот го стартува Plug-in-от поврзан со него и овој модул ги извршува сите дејства за да ги визуелизира податоците на датотеката и да ги обработи дејствата на корисникот со овие датотеки.
Најпознатите Plug-in модули се модули кои репродуцираат видео клипови во avi формат. Гледањето на овие датотеки не е вклучено во редовните можности на прелистувачите, но со инсталирање на соодветниот Plug-in, можете лесно да ги прегледате овие датотеки во прелистувачот.
Понатаму, сите шифрирани датотеки во согласност со воспоставениот меѓународен стандарден редослед се дефинирани како датотеки од типот MIME. „апликација/x-shp“. Потоа, според технологијата и протоколите на Netscape, се развива Plug-in што се поврзува со овој тип на датотека. Овој модул прави две работи: прво, бара лозинка и кориснички ID, и второ, ја врши работата на дешифрирање и прикажување на датотеката во прозорецот на прелистувачот. Овој модул е инсталиран, во согласност со редовната, воспоставена од Netscape, нарачка на прелистувачите на сите клиентски компјутери.
Во оваа подготвителна фаза на работа, системот е подготвен за работа. За време на работата, клиентите пристапуваат до шифрирани html страници на нивната стандардна адреса (URL). Прелистувачот го одредува типот на овие страници и автоматски го стартува модулот што го развивме, пренесувајќи му ја содржината на шифрираната датотека. Модулот го автентицира клиентот и, по успешното завршување, ја дешифрира и прикажува содржината на страницата.
При извршување на целата оваа постапка, клиентот добива чувство на „транспарентна“ шифрирање на страницата, бидејќи целата системска операција опишана погоре е скриена од неговите очи. Во исто време, зачувани се сите стандардни функции вградени во html страниците, како што се употребата на слики, Java аплети, CGI скрипти.
Лесно е да се види дека овој пристап решава многу проблеми со безбедноста на информациите, бидејќи во отворена форма, тоа е само на компјутерите на клиентите; податоците се пренесуваат преку мрежата во шифрирана форма. Напаѓачот, кој ја следи целта за добивање информации, може да изврши напад само врз одреден корисник, а ниту еден систем за заштита на информации за серверот не може да заштити од овој напад.
Во моментов, авторот има развиено два системи за безбедност на информации врз основа на предложениот пристап за прелистувачите Netscape Navigator (3.x) и Netscape Communicator 4.x. За време на пред-тестирањебеше откриено дека развиените системи можат нормално да функционираат под контрола на MExplorer, но не во сите случаи.
Важно е да се забележи дека овие верзии на системите не ги шифрираат објектите поврзани со страницата HTML: слики, аплети за скрипти итн.
Систем 1 нуди заштита (шифрирање) на вистинските html страници како единствен ентитет. Креирате страница, потоа ја шифрирате и копирате на серверот. Кога пристапувате до шифрирана страница, таа автоматски се дешифрира и се прикажува во посебен прозорец. Не е потребна поддршка на безбедносниот систем од софтверот на серверот. Целата работа на шифрирање и дешифрирање се врши на работната станица на клиентот. Овој системе универзален, т.е. не зависи од структурата и целта на страницата.
Систем 2 нуди поинаков пристап за заштита. Овој систем обезбедува прикажување на заштитени информации во одредена област на вашата страница. Информациите се во шифрирана датотека (не мора во html формат) на серверот. Кога одите на вашата страница, системот за заштита автоматски пристапува до оваа датотека, ги чита податоците од неа и ги прикажува во одредена област на страницата. Овој пристап ви овозможува да постигнете максимална ефикасност и естетска убавина, со минимална разновидност. Оние. системот се покажува дека е фокусиран на одредена цел.
Овој пристап може да се примени и при изградба на системи за електронско плаќање преку Интернет. Во овој случај, при пристапување на одредена страница на веб-серверот, се активира модулот Plug-in, кој го прикажува формуларот за налог за плаќање на корисникот. Откако клиентот ќе го пополни, модулот ги шифрира податоците за плаќање и ги испраќа до серверот. Истовремено, тој може да побара електронски потпис од корисникот. Покрај тоа, клучевите и потписите за шифрирање може да се читаат од кој било медиум: флопи дискови, електронски таблети, паметни картички итн.
2.3 Анализа на технологии за усогласеност со основните барања за електронските системи за плаќање
Погоре, опишавме три технологии кои можат да се користат при градење системи за плаќање преку Интернет: ова е технологија базирана на Java аплети, компоненти Active-X и приклучоци. Да ги наречеме технологии J, AX и P, соодветно.
Размислете за барањето способноста на напаѓачот да нападне компјутер да не се зголемува. За да го направите ова, ајде да анализираме еден од можните типови на напади - замена од страна на напаѓачот на соодветните модули за заштита на клиентот. Во случајот со технологијата J, тоа се аплети, во случајот со AX, потопни компоненти, во случајот со P, тоа се приклучоци. Очигледно е дека напаѓачот има способност да ги замени заштитните модули директно на компјутерот на клиентот. Механизмите за спроведување на овој напад се надвор од опсегот на оваа анализа, меѓутоа, треба да се забележи дека имплементацијата на овој напад не зависи од заштитната технологија што се разгледува. И нивото на безбедност на секоја технологија е исто, т.е. сите тие се подеднакво ранливи на овој напад.
Најранливата точка во технологиите J и AX, од гледна точка на замена, е нивното преземање од Интернет. Во овој момент напаѓачот може да направи замена. Покрај тоа, ако напаѓачот успее да ги замени овие модули на серверот на банката, тогаш тој добива пристап до сите информации на платниот систем што циркулираат на Интернет.
Во случај на технологија P, нема опасност од замена, бидејќи модулот не е вчитан од мрежата - тој е трајно зачуван на компјутерот на клиентот.
Последиците од лажирањето се различни: во случај на J-технологија, напаѓачот може да ги украде само информациите внесени од клиентот (што е сериозна закана), а во случајот на Active-X и Plug-in, напаѓачот може да добиете какви било информации до кои има пристап клиентот што работи на компјутерот.
Во моментов, авторот не е свесен за конкретни начини за имплементација на напади на лажирање на Java аплет. Очигледно, овие напади се развиваат слабо, бидејќи резултирачките можности за кражба на информации практично отсуствуваат. Но, нападите врз компонентите Active-X се широко распространети и добро познати.
Размислете за барањето за заштита на информациите што циркулираат во системот за електронско плаќање преку Интернет. Очигледно, во овој случај, технологијата J е инфериорна и во однос на P и AX во едно многу значајно прашање. Сите механизми за заштита на информациите се засноваат на шифрирање или електронски потпис, а сите релевантни алгоритми се засноваат на криптографски трансформации кои бараат воведување на клучни елементи. Во моментов, должината на клучните елементи е околу 32-128 бајти, така што е речиси невозможно да се бара од корисникот да ги внесе од тастатурата. Се поставува прашањето како да се внесат во нив? Бидејќи технологиите P и AX имаат пристап до компјутерските ресурси, решението за овој проблем е очигледно и добро познато - копчињата се читаат од локални датотеки, флопи дискови, таблети или паметни картички. Но, во случајот на технологијата J, таков влез е невозможен, што значи дека или треба да барате од клиентот да внесе долга низа од бесмислени информации или, со намалување на должината на клучните елементи, да ја намалите јачината на криптографските трансформации и , следствено, ја намалуваат веродостојноста на заштитните механизми. Покрај тоа, ова намалување е многу значајно.
Размислете за барањето дека системот за електронско плаќање мора да организира заштита на податоците лоцирани на серверот од неовластено читање и модификација. Ова барање произлегува од фактот дека системот вклучува поставување на серверот на доверливи информации наменети за корисникот. На пример, список на платни налози испратени од него со забелешка за резултатите од обработката.
Во случајот со технологијата P, податоците се претставени во форма на html страници, кои се шифрираат и се ставаат на серверот. Сите дејства се изведуваат во согласност со алгоритмот опишан погоре (шифрирање html страници).
Во случајот на технологиите J и AX, овие информации може да се стават во некоја структурирана форма во датотека на серверот, а компонентите или аплетите мора да вршат операции за читање и визуелизација на податоците. Сето ова генерално води до зголемување на вкупната големина на аплети и компоненти, и, следствено, до намалување на брзината на преземање на соодветните страници.
Од гледна точка на ова барање, технологијата P победува поради нејзината поголема производствена способност, т.е. помалку трошоци за развој и поголема отпорност на замена на компонентите додека минуваат низ мрежата.
Што се однесува до последното барање за заштита на банкарската локална мрежа, тоа е исполнето преку компетентна изградба на систем на заштитни ѕидови (firewalls) и не зависи од технологиите што се разгледуваат.
Така, горенаведеното беше прелиминарно компаративна анализатехнологии J, AX и P, од кои произлегува дека технологијата J треба да се користи доколку одржувањето на степенот на безбедност на компјутерот на клиентот е многу поважно од силата на криптографските трансформации што се користат во електронските платежни системи.
Технологијата P се чини дека е најоптимално технолошко решение во основата на безбедносните системи за информации за плаќање, бидејќи ја комбинира моќта стандардна апликација Win32 и заштита од напади преку Интернет. Практичната и комерцијална имплементација на проекти со помош на оваа технологија ја спроведува, на пример, руската компанија за финансиски комуникации.
Што се однесува до технологијата AX, нејзината употреба се чини дека е неефикасна и нестабилна за малициозни напади.
ЗАКЛУЧОК
Електронските пари се повеќе стануваат наша секојдневна реалност, на која, барем, мора да се смета. Се разбира, никој во следните педесет години (најверојатно) нема да укине обични пари. Но, неможноста да управувате со електронските пари и да ги пропуштите можностите што тие ги носат со себе, значи доброволно подигнување на „железна завеса“ околу себе, која со толку тешкотија се расклопуваше во последните петнаесет години. Многу големи фирми нудат плаќање за нивните услуги и стоки преку електронски плаќања. За потрошувачот, ова заштедува многу време.
Бесплатниот софтвер за отворање на вашиот електронски паричник и за секаква работа со пари е максимално прилагоден за масовни компјутери и по малку вежбање не му прави никакви проблеми на просечниот корисник. Нашето време е време на компјутери, интернет и е-трговија. Луѓето кои имаат знаење во овие области и соодветни средства постигнуваат огромен успех. Електронските пари се пари кои секојдневно стануваат се помасовно, отворајќи се повеќе можности за лице кое има пристап до Мрежата.
Целта на пресметковната и графичката работа е исполнета и решена следните задачи:
1. Се утврдуваат главните задачи на системите за електронско плаќање и принципите на нивното функционирање, нивните карактеристики.
2. Анализирани се главните системи на електронски плаќања.
3. Ги анализираше заканите поврзани со употребата на електронски пари.
4. Ги анализираше средствата за заштита при користење на системи за електронско плаќање.
РЕФЕРЕНЦИ
1. Антонов Н.Г., Песел М.А. Промет на пари, кредит и банки. -М.: Finstatinform, 2005, стр. 179-185.
2. Банкарски портфолио - 3. - М .: Соминтек, 2005 година, стр. 288-328.
3. Михаилов Д.М. Меѓународни плаќања и гаранции. Москва: ФБК-ПРЕС, 2008, стр. 20-66.
4. Полјаков В.П., Московкина Л.А. Структура и функции на централните банки. Странско искуство: Учебник. - М.: ИНФРА-М, 2006 г.
5. Гајкович Ју.В., Першин А.С. Безбедност на електронските банкарски системи. - М: Обединета Европа, 2004 година
6. Демин В.С. итн. Автоматизирани банкарски системи. - М: Менатеп-Информ, 2007 г
7. Крисин В.А. Деловна безбедност. - М: Финансии и статистика, 2006 година
8. Линков И.И. et al.Информативни поделби во комерцијални структури: како да се преживее и да се успее. - М: НИТ, 2008 година
9. Титоренко Г.А. и други Компјутеризација на банкарството. - М: Finstatinform, 2007 година
10. Тушнолобов И.Б., Урусов Д.П., Јарцев В.И. Дистрибуирани мрежи. - Санкт Петербург: Петар, 2008 година
12. Aglitsky I. Состојба и изгледи за информативна поддршка на руските банки. - Банкарски технологии, 2007 година бр.1.
Подучување
Ви треба помош за учење на тема?
Нашите експерти ќе советуваат или ќе обезбедат услуги за туторство за теми од интерес за вас.
Поднесете апликацијаукажувајќи на темата токму сега за да дознаете за можноста за добивање консултација.
3. Заштита на електронските плаќања
Прашањето за банкарската безбедност е особено акутно, како банкарски информации, прво, претставува вистински пари, а второ, влијае на доверливите интереси на голем број клиенти на банките.
Големината на пазарот за е-трговија во 2000 г
| Обем на пазарот и карактеристики | Проценка, УСД |
| Вкупните трошоци за сите купувања на производи преку Интернет | 4,5-6 милијарди |
| Вкупна вредност на сите набавки по просечен клиент | 600-800 |
| Просечен трошок за стекнување по интернет трансакција | 25-35 |
| Вкупниот обем на трансакции-превземања преку Интернет | 130-200 милиони |
| Удел на купувања на производи преку Интернет | 60-70% |
| Удел на набавките на испорачаната стока | 30-40% |
Општа шема на функционирање на електронските платежни системи
Банка која склучила договор со системот и добила соодветна лиценца може да дејствува во две функции - како издавач на платежни средства на овој систем прифатени за плаќање од сите други банки учеснички и како преземач на банка за сервисирање претпријатија кои прифаќаат плаќање. средства на овој систем за плаќање, издадени од други издавачи и прифаќање на овие платежни средства за уплата во нивните филијали.
Процесот на плаќање е прилично едноставен. Пред сè, касиерот на претпријатието мора да ја потврди автентичноста на картичката според соодветните знаци.
При плаќањето, компанијата мора да ги пренесе податоците од картичката на клиентот на посебен чек со помош на копир - импринтер, да ја внесе во чекот износот за кој е извршено купувањето или дадени услуги и да го добие потписот на клиентот.
Вака составен чек се нарекува ливче. Со цел безбедно извршување на трансакциите, платниот систем препорачува пониски лимити за износите за различни региони и типови на бизниси кои може да се користат за порамнување без овластување. Доколку се надмине граничниот износ или ако постои сомнеж за идентитетот на клиентот, компанијата е должна да спроведе процес на овластување.
Без да се задржиме на техничките аспекти на постапката, укажуваме дека при овластувањето, претпријатието всушност добива пристап до информации за статусот на сметката на клиентот и на тој начин добива можност да ја утврди сопственоста на картичката од страна на клиентот и нејзиниот платежен капацитет. во висина на износот на трансакцијата. Еден примерок од уплатницата останува во компанијата, вториот се пренесува на клиентот, третиот се доставува до банката што презема и служи како основа за враќање на износот на уплатата на компанијата од сметката на клиентот.
Во последниве години, POS-терминалите добија широка популарност, при користење на кои нема потреба да се пополнуваат ливчиња. Деталите за картичката се читаат од магнетната лента на читачот вграден во ПОС-терминалот, износот на трансакцијата се внесува од тастатурата, а терминалот, преку вградениот модем, аплицира за овластување до соодветниот платен систем. Во овој случај се користат техничките капацитети на процесорскиот центар, чии услуги на трговецот ги обезбедува банката. Во овој случај, компанијата известува до банката со копија од лентата за готовина со примерок од потписот на клиентот и сериските датотеки што терминалот ги генерира на крајот на работниот ден.
Во последниве години, се повеќе се привлекува внимание банкарски системи кои користат микропроцесорски картички.
Однадвор, овие носители на информации не се разликуваат од обичните картички, освен за мемориски чип или микропроцесор залемени внатре во картичката и контактните плочи поставени на нејзината површина.
Основната разлика помеѓу овие картички и сите горенаведени е тоа што тие директно носат информации за состојбата на сметката на клиентот, бидејќи тие самите се транзитна сметка. Јасно е дека секоја точка на прифаќање на таквите картички мора да биде опремена со посебен ПОС-терминал (со читач на чипови).
За да може да ја користи картичката, клиентот мора да ја преземе од неговата сметка на терминалот на банката. Сите трансакции се прават во OFF-LINE режим за време на картичката за дијалог - терминал или клиентска картичка - трговска картичка.
Таквиот систем е речиси целосно безбеден поради високиот степен на безбедност на чиповите и шемата за целосно порамнување на дебитот. Покрај тоа, иако самата картичка е значително поскапа од вообичаената, системот во процесот на работа се покажува уште поевтин поради фактот што оптоварувањето на телекомуникациите не се користи во режимот OFF-LINE.
Електронски плаќања со користење на пластични банкарски картички разни видовипретставуваат доволно флексибилен и универзален механизам за порамнување во синџирот „Банка 1 - Клиент - Претпријатие - Банка 2“ и меѓубанкарски порамнувања од типот „Банка 1 - ... - Банка N“. Сепак, разновидноста на овие платежни инструменти ги прави особено атрактивни цели за измама. Годишната загуба поради злоупотреба е импресивна сума, иако релативно мала во споредба со вкупниот промет.
Системот за безбедност и неговиот развој не може да се разгледуваат изолирано од методите на нелегално работење со пластични картички, кои можат да се поделат на 5 главни видови на кривични дела.
1. Операции со фалсификувани картички.
Овој тип на измама зазема најголем дел од загубите на платниот систем. Поради високата техничка и технолошка безбедност на вистинските картички, само-направените картички ретко се користат во последно време и тие можат да се идентификуваат со наједноставна дијагностика.
По правило, за фалсификување се користат украдени празнини на картички, на кои се применуваат деталите на банката и клиентот. Бидејќи се технички високо опремени, криминалците можат дури и да стават информации на магнетната лента на картичката или да ја копираат, со еден збор, да вршат фалсификати на високо ниво.
Извршителите на ваквите дејствија, по правило, се организирани криминални групи, кои понекогаш се заговараат со вработени во емисионите банки кои имаат пристап до информации за сметките на клиентите и постапката за вршење трансакции. Оддавајќи почит на меѓународната криминална заедница, треба да се забележи дека лажните картички се појавија во Русија речиси истовремено со почетокот на развојот на овој сектор на банкарскиот пазар.
2. Операции со украдени/изгубени картички.
Можно е да се нанесе голема штета на украдената картичка само ако измамникот го знае PIN-кодот на клиентот. Тогаш станува возможно да се повлече голема сума од сметката на клиентот преку мрежа на електронски каси - банкомати пред банката-издавач на украдената картичка да има време да ја стави на електронската стоп листа (список на неважечки картички).
3. Повеќекратно плаќање за услуги и стоки за износи кои не го надминуваат „подниот лимит“ и за кои не е потребно овластување. За да изврши плаќања, криминалецот треба само да го фалсификува потписот на клиентот. Меѓутоа, со оваа шема, најатрактивниот предмет на злоупотреба станува недостапен - готовина. Во оваа категорија спаѓаат кривични дела со украдени картички при нивното пренесување од страна на емисионата банка до нејзините клиенти по пошта.
4. Измама со пошта/телефонски нарачки.
Овој вид криминал се појавил во врска со развојот на услуга за испорака на стоки и услуги по пошта или телефонска нарачка на клиент. Знаејќи го бројот на кредитната картичка на неговата жртва, криминалецот може да го наведе на формуларот за нарачка и, откако добил налог за адреса на привремен престој, да исчезне.
5. Повеќекратни повлекувања од сметката.
Овие кривични дела обично ги вршат работници правно лице, прифаќање плаќање од клиентот за стоки и услуги со кредитна картичка, а се врши со издавање на повеќе потврди за плаќање за еден факт на плаќање. Врз основа на презентираните проверки, на сметката на компанијата се кредитираат повеќе пари отколку трошоците за продадените стоки или дадените услуги. Меѓутоа, по голем број трансакции, криминалецот е принуден да го затвори или да го напушти претпријатието.
За да се избегнат ваквите дејствија, на корисниците на картички им се препорачува да обрнат поголемо внимание на потпишаните документи при извршување на трансакциите (дури и за мали износи).
Методите што ги користат безбедносните одделенија може да се поделат во две главни категории. Првото и, можеби, најважното ниво е поврзано со техничката безбедност на самата пластична картичка. Сега можеме со сигурност да кажеме дека од гледна точка на технологијата, картичката е подобро заштитена од банкнотите и речиси е невозможно да ја направите сами без употреба на софистицирани технологии.
Картичките од кој било платен систем ги исполнуваат строго утврдените стандарди. Картичката има стандардна форма. Идентификацискиот број на банката во системот (BIN код) и бројот на сметката на клиентот во банката, неговото име и презиме, периодот на важност на картичката се втиснати и поставени на строго одредени позиции на предната страна на картичката. Има и симбол на платниот систем, направен на холограмски начин. Последните четири цифри од бројот на картичката се втиснати (втиснати) директно на холографскиот симбол, што го оневозможува копирањето на холограмот или повторното втиснување на шифрата без да се уништи симболот.
На задната страна на картичката има магнетна лента и површина со примерок од потписот на сопственикот. На магнетната лента во строго дефинирани позиции и со користење на криптографски алгоритми, се запишуваат деталите за самиот платежен систем, безбедносните ознаки, симболите кои го спречуваат копирањето на информациите, а информациите отпечатени на предната страна на картичката се дуплираат. Областа за примерок со потпис на сопственикот има посебен слој. При најмал обид да се направат бришења или да се проследи потписот, облогата се уништува и се појавува подлога со различна боја со безбедносните симболи на платниот систем.
Остатокот од површината на картичката е целосно на располагање на банката-издавач и произволно е составен со симболите на банката, нејзиното рекламирање и информации потребни за клиентите. Самата картичка е заштитена со знаци кои се видливи само под ултравиолетова светлина.
Мерките за техничка заштита, исто така, вклучуваат заштита на банкарските комуникации, банкарските мрежи од нелегални упади, дефекти и други надворешни влијанија што доведуваат до истекување или дури и уништување на информации. Заштитата се врши со софтвер и хардвер и е сертифицирана од овластени организации на платниот систем.
Втората категорија на мерки за заштита опфаќа мерки за спречување на истекување на информации од банкарските оддели кои се занимаваат со пластични картички. Главниот принцип е јасно разграничување на должностите на вработените и, во согласност со ова, ограничување на пристапот до класифицирани информации во износ што не го надминува минимумот неопходен за работа.
Овие мерки го намалуваат ризикот и можноста за дослух меѓу криминалците и вработените. Со вработените се одржуваат тематски семинари за напредна обука. Платежните системи редовно дистрибуираат безбедносни билтени во кои објавуваат официјален материјал и статистика за криминал со картички, пријавуваат знаци на криминалци и знаци на лажни картички кои влегуваат во нелегален промет. Преку билтените се обучува персоналот и се организираат превентивни и специјални настани за намалување на криминалот.
Особено внимание се посветува на изборот на персоналот на вработените во одделот. Сите безбедносни работи се одговорност на посветен службеник за безбедност. Меѓу превентивните мерки, најважно место зазема работата со клиенти насочени кон подигнување на културното ниво на ракување со „пластичните пари“. Внимателно и внимателно ракување со картичката значително ја намалува веројатноста да станете жртва на кривично дело.
Анализа на прекршоци во системот на електронски порамнувања и плаќања
Во специјализираните кругови е добро познато дека брзиот пад на Норвешка во Втората светска војна во голема мера се должи на фактот што шифрите на британската кралска морнарица беа пробиени од германски криптографи кои ги користеа истите методи што ги користеше единицата соба 40 на Кралската морнарица. против Германија во претходната војна.
Од Втората светска војна, превезот на тајност се спушти над владината употреба на криптографијата. Ова не е изненадувачки, и не само поради Студената војна, туку и поради неподготвеноста на бирократите (во која било организација) да ги признаат своите грешки.
Ајде да погледнеме некои од начините на кои всушност биле извршени измамите на банкоматите. Целта е да се анализираат идеите на дизајнерите насочени кон теоретската неповредливост на нивниот производ и да се извлечат поуки од она што се случило.
Да почнеме со неколку едноставни примери кои покажуваат неколку видови на измами кои можат да се спроведат без големи технички дотерувања, како и банкарските процедури кои дозволиле да се случат.
Добро е познато дека магнетната лента на картичката на клиентот треба да го содржи само неговиот број на сметка, а неговиот личен идентификациски број (PIN) се добива со шифрирање на бројот на сметката и земање четири цифри од резултатот. Така, банкоматот мора да може да ја изврши процедурата за шифрирање или на друг начин да изврши проверка на PIN-кодот (на пример, со интерактивно барање).
Неодамна, Крунскиот суд во Винчестер во Англија осуди двајца криминалци кои користеле едноставна, но ефикасна шема. Тие стоеја во редици на банкоматите, ги гледаа ПИН-кодовите на клиентите, ги земаа картичките одбиени од банкоматот и ги копираа броевите на сметките од нив на празни картички што се користеа за ограбување на сметките на клиентите.
Овој трик беше искористен (и пријавен) пред неколку години во банка во Њујорк. Виновникот бил отпуштен техничар на банкомат кој успеал да украде 80.000 долари пред банката, откако го наполнила просторот со обезбедување, да го фати на дело.
Овие напади успеаја бидејќи банките го испечатија бројот на сметката на клиентот во целост на банкарската картичка, а покрај тоа, немаше криптографски вишок на магнетната лента. Некој би помислил дека лекцијата на Њујоршката банка ќе се научи, но не.
Друг тип на технички напад се потпира на фактот дека во многу мрежи на банкомати, пораките не се шифрирани и процедурите за автентикација не се извршуваат кога трансакцијата е овластена. Ова значи дека напаѓачот може да сними одговор од банката на банкоматот „Дозволувам плаќање“ и потоа повторно да го скролува записот додека банкоматот не се испразни. Оваа техника, позната како евисцерација, не се користи само од надворешни напаѓачи. Познат е случајот кога банкарските оператори користеле уред за контрола на мрежата за да ги „исцрпат“ банкоматите заедно со соучесниците.
Тест трансакциите се уште еден извор на проблеми
За еден тип на банкомат, се користеше клучна секвенца од четиринаесет цифри за тестирање на издавање десет банкноти. Една банка ја испечати оваа низа во прирачник за користење на далечински банкомати. Три години подоцна, наеднаш започна исчезнувањето на парите. Тие продолжија се додека сите банки кои го користат овој тип на банкомат не вклучија софтверски закрпи кои ја забранија тест трансакцијата.
Најбрзиот раст е прикажан со измамите кои користат лажни терминали за собирање сметки на клиенти и ПИН кодови. Нападите од овој тип првпат беа опишани во САД во 1988 година. Измамниците изградија машина која прифаќа секаква картичка и издава кутија цигари. Овој изум бил ставен во продавница, а ПИН-кодовите и податоците од магнетните картички се пренесувале преку модем. Трикот се рашири низ светот.
Техничарите, исто така, крадат пари од клиентите, знаејќи дека нивните поплаки најверојатно ќе бидат игнорирани. Во една банка во Шкотска, инженер за помош прикачи компјутер на банкомат и ги сними броевите на сметките на клиентите и PIN-овите. Потоа ги фалсификувал картичките и украл пари од сметките. И повторно, клиентите се пожалија на празните ѕидови. За ваквата практика банката беше јавно критикувана од еден од највисоките правни функционери во Шкотска.
Целта на користењето на четирицифрениот ПИН е дека ако некој ја пронајде или украде банкарската картичка на друго лице, има една од десет илјади шанси случајно да ја погоди шифрата. Ако се дозволени само три обиди за ПИН, тогаш шансата за повлекување пари од украдена картичка е помала од еден на три илјади. Сепак, некои банки успеаја да ја намалат сортата дадена за четири цифри.
Некои банки не ја следат шемата за добивање ПИН-код со криптографска конвертирање на бројот на сметката, туку со користење на случајно избран ПИН-код (или дозволувајќи им на клиентите да изберат) и потоа криптографски го претвораат за паметење. Покрај тоа што му дозволува на клиентот да избере PIN што е лесно да се погоди, овој пристап води до некои технички стапици.
Некои банки чуваат шифрирана вредност на ПИН во датотеката. Ова значи дека програмерот може да ја добие шифрираната вредност на сопствениот PIN и да ја пребарува базата на податоци за сите други сметки со истиот PIN.
Една голема банка во ОК дури ја снимила шифрираната вредност на PIN-от на магнетната лента на картичката. Беа потребни петнаесет години за криминалната заедница да сфати дека е можно да се замени бројот на сметката на магнетната лента на сопствената картичка, а потоа да се користи со свој PIN за да се украде од некоја сметка.
Поради оваа причина, во системот VISA се препорачува банките да го комбинираат бројот на сметката на клиентот со нивниот ПИН пред шифрирање. Сепак, не сите банки го прават тоа.
Пософистицираните напади досега се должат на едноставни грешки во имплементацијата и оперативните процедури. Професионалните безбедносни истражувачи имаа тенденција да ги гледаат ваквите грешки како неинтересни и затоа се фокусираа на напади врз основа на развојот на посуптилни технички недостатоци. Банкарството исто така има голем број безбедносни пропусти.
Иако нападите врз банкарските системи засновани на високи технологии се ретки, тие се интересни од јавен аспект, бидејќи владините иницијативи, како што се Критериумите за проценка на технологијата за информатичка безбедност на ЕУ (ITSEC), имаат за цел да развијат збир на производи кои се сертифицирани за да бидат ослободени од познати технички грешки. Предлозите во основата на оваа програма се дека имплементацијата и технолошките процедури на соодветните производи ќе бидат во суштина без грешки и дека за напад е потребна техничка обука споредлива со онаа на владините безбедносни агенции. Очигледно, овој пристап е посоодветен за воените системи отколку за цивилните.
За да се разбере како се извршуваат пософистицирани напади, неопходно е подетално да се разгледа банкарскиот безбедносен систем.
Проблеми поврзани со безбедносните модули
Не сите безбедносни производи се со ист висок квалитет, а малку банки имаат квалификувани експерти да ги разликуваат добрите производи од просечните.
Во реалната практика, има некои проблеми со производите за шифрирање, особено, стариот безбедносен модул IBM 3848 или модули кои моментално се препорачуваат за банкарските организации.
Доколку банката нема безбедносни модули засновани на хардвер, функцијата за шифрирање на PIN кодот ќе се имплементира во софтвер со соодветни непожелни последици. Софтверот за безбедносни модули може да има точки на прекин за дебагирање софтверски производи од инженерите на производителот. На овој факт беше привлечено внимание кога во една од банките беше донесена одлука да се вклучи во мрежата и системскиот инженер на производителот не можеше да обезбеди работа на потребната порта. За да ја заврши работата, користел еден од овие трикови за да ги извади PIN-овите од системот. Постоењето на такви точки на прекин го оневозможува создавањето сигурни процедури за управување со безбедносните модули.
Некои производители на безбедносни модули сами ги олеснуваат ваквите напади. На пример, се користи метод за генерирање на работни клучеви врз основа на времето од денот и, како резултат на тоа, всушност се користат само 20 битови за клучеви, наместо очекуваните 56. Така, според теоријата на веројатност, на секои 1000 генерирани клучеви, две ќе одговараат.
Ова овозможува одредена суптилна злоупотреба во која напаѓачот манипулира со комуникациите на банката, така што трансакциите на еден терминал се заменуваат со трансакциите на друг.
Програмерите на една банка не се ни мачеа со проблемите поврзани со воведувањето на клучевите на клиентите во програмите за шифрирање. Тие едноставно поставуваат покажувачи на клучните вредности во мемориската област која секогаш е поставена на нула при стартување на системот. резултат оваа одлукабеше дека реалните и тест системи ги користеа истите клучни области за складирање. Техничарите на банката сфатија дека можат да добијат PIN-кодови на клиентите на опремата за тестирање. Неколку од нив контактирале со локални криминалци со цел да изберат ПИН кодови за украдени банкарски картички. Кога менаџерот за обезбедување на банката откри што се случува, тој загина во сообраќајна несреќа (а локалната полиција ги „изгуби“ сите релевантни материјали). Банката не се потруди да испрати нови картички до своите клиенти.
Една од главните цели на безбедносните модули е да ги спречат програмерите и персоналот со пристап до компјутерите да добијат клучни банкарски информации. Сепак, тајноста обезбедена од електронските компоненти на безбедносните модули честопати не успева да ги издржи обидите за криптографска пенетрација.
Безбедносните модули имаат свои главни клучеви за внатрешна употреба и овие клучеви мора да се чуваат на одредена локација. Резервната копија на клучот често се одржува во лесно читлива форма, како што е PROM меморијата, а клучот може да се чита од време на време, како на пример кога се префрла контрола на збир на зонски и терминални клучеви од еден безбедносен модул на друг. Во вакви случаи, банката е целосно на милост и немилост на експертите во процесот на извршување на оваа операција.
Проблеми поврзани со дизајн технологии
Ајде накратко да разговараме за технологијата на дизајнирање банкомати. Кај постарите модели, кодот за програмите за шифрирање беше поставен на погрешно место - во контролниот уред, а не во самиот модул. Контролниот уред требаше да биде поставен во непосредна близина на модулот во одредена област. Но, голем број банкомати во моментов не се наоѓаат во непосредна близина на зградата на банката. На еден универзитет во ОК, банкомат беше лоциран на кампусот и испрати нешифрирани броеви на сметки и PIN-кодови на телефонска линијаво контролната единица на подружницата, која се наоѓала на неколку километри оддалеченост од градот. Секој кој не бил премногу мрзлив да користи уред за прислушување телефонски линии, можел да фалсификува картички од илјадници.
Дури и во случаите кога се купува еден од најдобрите производи, има голем број случаи во кои неправилната имплементација или лошо замислените технолошки процедури доведуваат до проблеми за банката. Повеќето безбедносни модули враќаат опсег на шифри за враќање за секоја трансакција. Некои од нив, како што е „грешка во клучната паритет“, даваат предупредување дека програмерот експериментира со вистинскиот модул што се користи. Сепак, неколку банки се мачеа да го напишат двигателот на уредот што е потребен за да се фатат овие предупредувања и да постапат соодветно.
Познато е дека банките го склучуваат целиот или дел од системот за снабдување со банкомати со поддоговор на фирми кои „обезбедуваат поврзани услуги“ и ги префрлаат PIN-кодовите на овие фирми.
Имаше и преседани каде ПИН-кодовите беа споделени помеѓу две или повеќе банки. Дури и ако целиот персонал на банката се смета за доверлив, надворешните фирми можеби нема да ги одржуваат безбедносните политики што се специфични за банките. Персоналот на овие фирми не е секогаш соодветно проверен, веројатно е недоволно платен, љубопитен и несовесен, што може да доведе до дизајнирање и извршување на измама.
Во срцето на многу од опишаните менаџерски грешки лежи недостатокот на развој на психолошкиот дел од проектот. Експозитурите и компјутерските центри на банката мора да ги следат стандардните процедури кога го завршуваат својот работен ден, но само оние контролни процедури чија цел е очигледна веројатно ќе бидат строго спроведени. На пример, добро е разбрано споделувањето на клучевите од сефот на филијалата помеѓу менаџер и сметководител: тоа ги штити и двајцата да не бидат земени како заложници од нивните семејства. Криптографските клучеви не се често спакувани во форма погодна за корисниците и затоа веројатно нема да се користат правилно. Делумен одговор би можеле да бидат уреди кои всушност личат на клучеви (на сликата на криптографските клучеви на осигурувачите за нуклеарно оружје).
Многу би можело да се пишува за подобрување на оперативните процедури, но ако целта е да се спречи кој било криптографски клуч да падне во рацете на некој со техничка способност да го злоупотреби, тогаш треба да се постави прецизна цел во прирачниците и курсевите за обука. Принципот на „безбедност преку нејасност“ често прави повеќе штета отколку корист.
Дистрибуција на клучеви
Дистрибуцијата на клучеви претставува особен проблем за филијалите на банките. Како што знаете, теоријата бара секој од двајцата банкари да внесе различна клучна компонента, така што нивната комбинација го дава главниот клуч на терминалот. PIN-кодот шифриран на главниот клуч на терминалот се испраќа до банкоматот при првата трансакција по одржувањето.
Ако техничарот на банкомат ги добие двете компоненти на клучот, тој може да го дешифрира PIN-от и да ги фалсификува картичките. Во пракса, менаџерите на експозитурите кои ги чуваат клучевите речиси со задоволство ги предаваат на инженерот, бидејќи не сакаат да стојат до банкоматот додека се сервисира. Покрај тоа, внесувањето на терминалниот клуч значи користење на тастатурата, која постарите менаџери ја сметаат за под нивното достоинство.
Вообичаена практика е погрешното управување со клучевите. Познат е случајот кога двата микростега со мастер клучеви биле предадени на инженер од сервисниот персонал. Иако теоретски постоеја процедури за двојна контрола, безбедносниот персонал ги предаде чиповите бидејќи беа користени последните клучеви и никој не знаеше што да прави. Инженер не само што можеше да фалсификува картички. Можеше да замине со клучевите и да ги прекине сите операции на банкарски банкомат.
Не е без интерес и фактот што клучевите почесто се чуваат во отворени датотеки отколку во заштитени. Ова не се однесува само на клучеви од банкомати, туку и на клучеви за меѓубанкарски системи за порамнување, како што е SWIFT, во кој се вршат трансакции вредни милијарди. Би било мудро да се користат копчињата за иницијализација, како што се терминалните копчиња и копчињата за зона, само еднаш, а потоа да се уништат.
Криптоаналитички закани
Криптаналитичарите се веројатно најмалата закана за банкарските системи, но тие не можат да бидат целосно намалени. Некои банки (вклучувајќи ги и големите и познатите) сè уште користат домашни криптографски алгоритми од годините пред DES. Во една податочна мрежа, податочните блокови едноставно беа „помешани“ со додавање на константа. Овој метод не беше критикуван пет години, и покрај фактот што мрежата ја користеа повеќе од 40 банки. Згора на тоа, сите експерти за осигурување, ревизија и безбедност на овие банки, очигледно, ги прочитале спецификациите на системот.
Дури и ако се користи „почитуван“ алгоритам, тој може да се имплементира со несоодветни параметри. На пример, некои банки го имаат имплементирано алгоритмот RSA со должина на клучот од 100 до 400 бита, и покрај фактот што должината на клучот мора да биде најмалку 500 бита за да се обезбеди потребното ниво на безбедност.
Можете исто така да го најдете клучот со употреба на брутална сила, испробувајќи ги сите можни клучеви за шифрирање додека не најдете клуч што користи одредена банка.
Протоколите што се користат во меѓународните мрежи за шифрирање на оперативните клучеви со зонски клучеви го олеснуваат нападот на зонскиот клуч на овој начин. Ако клучот за зона е отворен еднаш, сите PlN кодови испратени или примени од банката преку мрежата може да се дешифрираат. Една неодамнешна студија на канадската банка покажа дека овој вид напад врз DES би чинел околу 30.000 фунти по клуч за зона. Следствено, за такво кривично дело, ресурсите на организираниот криминал се сосема доволни, а такво кривично дело би можело да го изврши доволно богат поединец.
Веројатно, специјализираните компјутери потребни за пронаоѓање на клучевите се создадени во специјалните служби на некои земји, вклучително и оние во земјите кои сега се во состојба на хаос. Затоа, постои одреден ризик чуварите на оваа опрема да ја користат за лична корист.
Сите системи, мали и големи, содржат грешки и се склони кон грешки на операторот. Банкарските системи не се исклучок и за тоа се свесни сите што работеле во индустриското производство. Системите за населување на гранки имаат тенденција да станат поголеми и посложени, со многу интерактивни модули кои се развиваат со децении. Некои трансакции неизбежно ќе се извршат погрешно: дебитот може да се дуплира или сметката е погрешно променета.
Ваквата состојба не е нова за финансиските контролори на големите компании, кои одржуваат специјален персонал за усогласување на банкарските сметки. Кога ќе се случи погрешно задолжување, овие службеници бараат соодветни документи за анализа и, доколку недостасуваат документи, добиваат рефундирање на погрешното плаќање од банката.
Сепак, клиентите на банкомати ја немаат оваа можност да ги откупат спорните плаќања. Повеќето банкари надвор од САД едноставно велат дека нема грешки во нивните системи.
Таквата политика повлекува одредени правни и административни ризици. Прво, тоа создава можност за злоупотреба, бидејќи измамата е конспиративна. Второ, тоа води до премногу сложени докази за клиентот, што беше причина за поедноставување на постапката во американските судови. Трето, тоа е морална штета поврзана со индиректното охрабрување на вработените во банката да крадат, врз основа на сознанието дека веројатно нема да бидат фатени. Четврто, ова е идеолошки дефект, бидејќи поради недостаток на централизирана евиденција на барањата на клиентите, не постои можност за правилно организирана контрола врз случаите на измами.
Влијанието врз деловната активност поврзано со загубите на банкоматите е доста тешко точно да се процени. Во ОК, економскиот секретар на Министерството за финансии (министерот одговорен за банкарската регулатива) изјави во јуни 1992 година дека таквите грешки влијаат на најмалку две од трите милиони дневни трансакции. Меѓутоа, под притисок на неодамнешните судски спорови, оваа бројка прво беше ревидирана на 1 погрешна трансакција на 250.000, потоа 1 на 100.000 и на крајот 1 на 34.000.
Бидејќи клиентите кои поднесуваат жалби обично се одбиваат од вработените во банката и повеќето луѓе едноставно не можат да забележат еднократно повлекување од сметката, најреалната претпоставка е дека има околу 1 погрешна трансакција на 10.000. Така, ако просечниот клиент користи банкомат еднаш неделно во текот на 50 години, можеме да очекуваме секој четврти клиент да има проблеми со користење на банкомат во текот на нивниот животен век.
Дизајнерите на криптографските системи се во неповолна положба поради недостаток на информации за тоа како се случуваат неуспесите на системот во пракса, наместо како тие може да се појават во теорија. Овој недостаток повратни информациидоведува до употреба на погрешен модел на закана. Дизајнерите се фокусираат на она што во системот може да доведе до расипување, наместо да се фокусираат на она што вообичаено би довело до грешки. Многу производи се толку сложени и сложени што ретко се користат правилно. Последица на тоа е фактот што најголем дел од грешките се поврзани со имплементацијата и одржувањето на системот. Специфичниот резултат беше серија измами со банкомати кои не само што доведоа до финансиски загуби, туку и до грешки на правдата и намалена доверба во банкарскиот систем.
Еден пример за имплементација на криптографски методи е системот за заштита на криптографски информации користејќи го дигиталниот потпис EXCELLENCE.
Софтверскиот криптографски систем EXCELLENCE е дизајниран да ги заштити информациите обработени, складирани и пренесени помеѓу персоналните компјутери компатибилни со IBM користејќи функции за криптографско шифрирање, дигитален потпис и автентикација.
Системот имплементира криптографски алгоритми кои ги исполнуваат државните стандарди: шифрирање - ГОСТ 28147-89. Дигиталниот потпис е заснован на алгоритмот RSA.
Клучниот систем со силна автентикација и сертификација на клучеви се заснова на широко користен во меѓународната практика: протоколот X.509 и принципот на јавна дистрибуција на клучевите RSA.
Системот содржи криптографски функции за обработка на информации на ниво на датотека:
и криптографски функции за работа со клучеви:
Секој претплатник на мрежата има свој таен и јавен клуч. Тајниот клуч на секој корисник се запишува на неговиот поединечен клуч на дискета или на индивидуална електронска картичка. Тајноста на клучот на претплатникот обезбедува заштита на информациите шифрирани за него и неможноста за фалсификување на неговиот дигитален потпис.
Системот поддржува два вида клучни медиуми:
Секој претплатник на мрежата има датотека-каталог на јавни клучеви на сите претплатници на системот, заштитени од неовластени промени, заедно со нивните имиња. Секој претплатник е должен да го чува во тајност својот таен клуч.
Функционално, системот EXCELLENCE се имплементира како програмски модул excell_s.exe и работи под MS DOS 3.30 и погоре. Параметрите за извршување на функциите се пренесуваат во форма командна линијаДОС. Дополнително, се испорачува графичка обвивка за интерфејс. Програмата автоматски препознава и поддржува 32-битни операции на процесорот Intel386/486/Pentium.
За вградување во други софтверски системиимплементирана е варијанта на системот EXCELLENCE, која ги содржи главните криптографски функции за работа со податоци во RAM меморијата во следните режими: меморија - меморија; меморија - датотека; датотеката е меморија.
Прогноза за почетокот на XXI век
Уделот на банкарскиот менаџмент, кој ќе преземе ефективни мерки за решавање на проблемот со безбедноста на информациите, треба да се зголеми на 40-80%. Главниот проблем ќе биде одржувањето (вклучувајќи го и поранешниот) персонал (од 40% до 95% од случаите), а главните видови на закани ќе бидат неовластен пристап (UAS) и вирусите (до 100% од банките ќе бидат подложени на вирусни напади ).
Најважните мерки за обезбедување на безбедноста на информациите ќе бидат највисокиот професионализам на службите за информациска безбедност. За ова банките ќе треба да потрошат до 30% од својата добивка за безбедност на информациите.
И покрај сите мерки наведени погоре, апсолутно решение за проблемот со безбедноста на информациите е невозможно. Во исто време, ефективноста на системот за информациска безбедност на банката е целосно одредена од износот на средствата инвестирани во него и професионалноста на службата за информациска безбедност, а можноста за нарушување на системот за информациска безбедност на банката е целосно одредена од трошоците за надминување на системот за заштита и квалификациите на измамниците. (Во странската практика, се верува дека има смисла да се „пробие“ системот за заштита ако трошоците за негово надминување не надминуваат 25% од цената на заштитените информации).
Поглавје 4 ги разгледа карактеристиките на пристапот кон заштитата на електронските банкарски системи. Специфична карактеристика на овие системи е посебна форма на електронска размена на податоци - електронски плаќања, без која не може да постои ниту една модерна банка.
Electronic Data Interchange (EDI) е размена на деловни, комерцијални, финансиски електронски документи од компјутер на компјутер. На пример, нарачки, упатства за плаќање, понуди за договори, фактури, сметки итн.
OED обезбедува оперативна интеракција на трговските партнери (клиенти, добавувачи, препродавачи итн.) во сите фази на подготовка на трговска трансакција, склучување договор и спроведување на испорака. Во фаза на плаќање за договорот и трансфер на средства, EOS може да доведе до електронска размена на финансиски документи. Ова создава ефективна средина за трговски и платежни трансакции:
* Можно е да се запознаат трговските партнери со понудите на стоки и услуги, да се избере потребниот производ/услуга, да се разјаснат комерцијалните услови (трошок и време на испорака, трговски попусти, гаранција и обврски за услуги) во реално време;
* Нарачување стоки/услуги или барање понуда за договор во реално време;
* Оперативна контрола на испорака на стоки, прием на придружни документи по е-пошта (фактури, фактури, изводи на компоненти и сл.);
* Потврда за завршена набавка на стоки/услуги, издавање и плаќање на фактури;
* Вршење банкарски кредитни и платежни трансакции. Предностите на OED вклучуваат:
* Намалување на трошоците за трансакции поради преминот кон технологија без хартија. Експертите ги проценуваат трошоците за обработка и одржување на хартиена евиденција на 3-8% од вкупните трошоци за комерцијални операции и испорака на стоки. Добивката од употребата на EOS се проценува, на пример, во американската автомобилска индустрија на повеќе од 200 долари по произведен автомобил;
* Зголемување на брзината на пресметка и обрт на пари;
* Подобрување на практичноста на пресметките.
Постојат две клучни стратегии за развој на ЕЕА:
1. OED се користи како конкурентна предност, што овозможува поблиска интеракција со партнерите. Оваа стратегија е усвоена во големите организации и се нарекува Проширен пристап на претпријатијата.
2. OED се користи во некои конкретни индустриски проекти или во иницијативи на здруженија на комерцијални и други организации за да се зголеми ефикасноста на нивната интеракција.
Банките во Соединетите Американски Држави и Западна Европа веќе ја реализираа својата клучна улога во ширењето на ОВЖС и ги сфатија значајните придобивки што доаѓаат од поблиската интеракција со деловните и личните партнери. OED им помага на банките да обезбедуваат услуги на клиентите, особено на малите, оние кои претходно не можеа да си дозволат да ги користат поради нивната висока цена.
Главната пречка за широката дисеминација на EOS е разновидноста на претставување на документите при нивното разменување преку комуникациски канали. За да се надмине оваа пречка, различни организации развија стандарди за презентација на документи во EOS системи за различни индустрии:
QDTI - Општа трговска размена (Европа, меѓународна трговија);
MDSND - Национална асоцијација за автоматизирана клириншка куќа (САД, Национална асоцијација на автоматизирани клириншки куќи);
TDCC - Координативен комитет за транспортни податоци;
VICS - Доброволен стандард за меѓуиндустриска комуникација (САД, Доброволен стандард за меѓуиндустриска комуникација);
WINS - Стандарди за информативна мрежа за складишта информативна мрежамагацини).
Во октомври 1993 година, меѓународната група на UN/ECE ја објави првата верзија на стандардот EDIFACT. Развиениот сет на синтаксни правила и комерцијални податоци елементи беше формализиран во форма на два ISO стандарди:
ISO 7372 - Директориум на елементи за трговски податоци (Директориум на комерцијални податочни елементи);
ISO 9735 - EDIFACT - Правила за синтакса на ниво на апликација.
Посебен случај на ЕОД се електронските плаќања - размена на финансиски документи помеѓу клиентите и банките, помеѓу банките и другите финансиски и комерцијални организации.
Суштината на концептот на електронски плаќања лежи во тоа што пораките испратени преку комуникациски линии, уредно извршени и пренесени, претставуваат основа за извршување на едно или повеќе банкарски операции. Во принцип, не се потребни хартиени документи за извршување на овие операции (иако може да се издаваат). Со други зборови, пораката испратена преку линиите за комуникација носи информации дека испраќачот извршил некои операции на неговата сметка, особено на кореспондентната сметка на банката примател (која може да биде клириншки центар), и дека примачот мора да ги изврши операции наведени во пораката. Врз основа на таква порака, можете да испраќате или примате пари, да отворите заем, да платите за купување или услуга и да извршите било која друга банкарско работење. Ваквите пораки се нарекуваат електронски пари, а извршувањето на банкарското работење врз основа на испраќање или примање такви пораки се нарекува електронски плаќања. Нормално дека целиот процес на електронско плаќање има потреба сигурна заштита. Во спротивно, банката и нејзините клиенти ќе се соочат со сериозни проблеми.
Електронските плаќања се користат за меѓубанкарски, трговски и лични порамнувања.
Меѓубанкарските и трговските порамнувања се прават помеѓу организации (правни лица), затоа понекогаш се нарекуваат корпоративни. Населбите кои вклучуваат индивидуални клиенти се нарекуваат лични.
Повеќето големи кражби во банкарските системи се директно или индиректно поврзани со електронските платежни системи.
На патот кон создавање електронски системи за плаќање, особено глобални, кои опфаќаат голем број финансиски институции и нивни клиенти во различни земји, има многу пречки. Главните се:
1. Недостаток на единствени стандарди за работење и услуги, што значително го отежнува создавањето на унифицирани банкарски системи. Секоја голема банка се обидува да создаде сопствена мрежа на ETO, што ги зголемува трошоците за нејзиното работење и одржување. Дупликатните системи го отежнуваат нивното користење, создавајќи меѓусебни пречки и ограничувајќи ја способноста на клиентите.
2. Зголемувањето на мобилноста на паричната маса, што доведува до зголемување на можноста за финансиски шпекулации, го проширува протокот на „скитнички капитал“. Овие пари се способни за кратко време да ја променат состојбата на пазарот, дестабилизирајќи го.
3. Неуспеси и неуспеси на хардверски и софтверски грешки при спроведувањето на финансиските порамнувања, што може да доведе до сериозни компликации за понатамошни порамнувања и губење на довербата во банката од страна на клиентите, особено поради тесно испреплетување на банкарските врски (а вид на „пропагирање на грешка“). Истовремено, значително се зголемува улогата и одговорноста на операторите и администрацијата на системот, кои директно ја контролираат обработката на информациите.
Секоја организација која сака да стане клиент на кој било систем за електронско плаќање или да организира сопствен систем, мора да биде свесна за ова.
За да работи сигурно, системот за електронско плаќање мора да биде добро заштитен.
Трговските порамнувања се прават помеѓу различни трговски организации. Банките учествуваат во овие пресметки како посредници кога префрлаат пари од сметката на организацијата која плаќа на сметката на организацијата примател.
Трговското порамнување е од клучно значење за севкупниот успех на програмата за електронско плаќање. Обемот на финансиски трансакции на различни компании обично сочинува значаен дел од вкупниот обем на работење на банките.
Видовите на трговски порамнувања се разликуваат многу за различни организации, но два вида информации секогаш се обработуваат при нивното спроведување: пораки за плаќање и помошни информации (статистички податоци, резимеа, известувања). За финансиските институции, секако, од најголем интерес се информациите за платежните пораки - броеви на сметки, износи, салдо итн. За трговските организации, двата вида информации се подеднакво важни - првиот дава поим за финансиската состојба, вториот - помага во донесувањето одлуки и развојот на политиките.
Најчесто користените трговски населби се од следниве два вида:
* Директен депозит.
Значењето на овој вид на плаќање е дека организацијата и дава инструкции на банката автоматски да врши одредени видови плаќања за своите вработени или клиенти, користејќи претходно подготвени магнетни медиуми или специјални пораки. Условите за спроведување на таквите пресметки се однапред договорени (извор на финансирање, износ и сл.). Тие се користат главно за редовни плаќања (плаќања на разни видови осигурување, отплата на заеми, плати и сл.). Во организациска смисла, директниот депозит е попогоден од, на пример, плаќањата со чекови.
Од 1989 година, бројот на вработени кои користат директен депозит е двојно зголемен на 25% од вкупниот број. Повеќе од 7 милиони Американци денес добиваат плати во форма на директен депозит. За банките, директниот депозит ги нуди следниве придобивки:
Намалување на обемот на задачи поврзани со обработка на хартиени документи и, како резултат на тоа, заштеда на значителни суми;
Зголемување на бројот на депозити, бидејќи 100% од обемот на плаќања мора да се изврши на депозит.
Покрај банките, корист имаат и сопствениците и вработените; зголемување на удобноста и намалување на трошоците.
* Пресметки со помош на EOS.
Податоците овде се фактури, фактури, извештаи за компоненти итн.
Имплементацијата на ЕЕА бара имплементација на следниот сет на основни услуги:
X.400 е-пошта;
Пренос на датотеки;
Комуникација од точка до точка;
Пристап до бази на податоци во on-line режим;
Поштенско сандаче;
Трансформација на стандардите за презентација на информации.
Примери на тековно постоечки системи на трговски порамнувања кои користат EOS се:
Народната банка и Кралската банка (Канада) се поврзуваат со своите клиенти и партнери преку информативната мрежа IBM;
Трансконтиненталната автоматизирана услуга за плаќање на Банката на Шкотска (TAPS), основана во 1986 година, ја поврзува Банката на Шкотска со клиенти и партнери во 15 земји преку кореспондентни банки и автоматски клириншки куќи.
Електронските меѓубанкарски порамнувања се главно од два вида:
* Расчистување на порамнувања со помош на моќен компјутерски систем на посредничка банка (клириншка банка) и дописнички сметки на банките кои учествуваат во порамнувања со оваа банка. Системот се заснова на пребивање на меѓусебните парични побарувања и обврски на правните лица со последователен пренос на салдото. Расчистувањето е исто така широко користено на берзите за акции и стоки, каде што пребивањето на меѓусебните побарувања на учесниците во трансакциите се врши преку клириншка куќа или специјален електронски клириншки систем.
Меѓубанкарските клириншки порамнувања се вршат преку посебни клириншки куќи, деловни банки, помеѓу филијали и филијали на една банка - преку седиштето. Во голем број земји, функциите на клириншките куќи ги вршат централните банки. Автоматските клириншки куќи (АЦП) обезбедуваат услуги за размена на средства помеѓу финансиските институции. Платежните трансакции се во основа или дебити или кредити. Членови на системот ACP се финансиски институции кои се членки на здружението ACP. Здружението е формирано со цел да развие правила, процедури и стандарди за извршување на електронските плаќања во географски регион. Треба да се напомене дека АКП не е ништо повеќе од механизам за движење на средства и придружни информации. Тие сами по себе не вршат платежни услуги. АЦП се создадени за да ги надополнат системите за обработка на финансиски документи базирани на хартија. Првиот ACP се појави во Калифорнија во 1972 година, во моментов има 48 ACP во САД. Во 1978 година, беше создадена Националната асоцијација за автоматизирана клириншка куќа (NACHA), која ги обедини сите 48 ACP мрежи на кооперативна основа.
Обемот и природата на операциите постојано се прошируваат. АКП почнуваат да вршат деловни порамнувања и операции за електронска размена на податоци. По тригодишни напори на различни банки и компании, беше креиран системот CTP (Corporate Trade Payment), дизајниран за автоматска обработка на кредити и задолжувања. Според експертите, во блиска иднина ќе продолжи трендот на проширување на функциите на АКП.
* Директни порамнувања, во кои две банки директно комуницираат меѓу себе преку сметките на Лоро ностро, можеби со учество на трето лице во организациска или помошна улога. Секако, обемот на меѓусебните трансакции треба да биде доволно голем за да ги оправда трошоците за организирање на таков систем за порамнување. Вообичаено, таков систем комбинира неколку банки, додека секој пар може директно да комуницира едни со други, заобиколувајќи ги посредниците. Меѓутоа, во овој случај, постои потреба од контролен центар кој ќе се занимава со заштита на банките кои се во интеракција (распределба на клучеви, управување, контрола на функционирањето и регистрација на настани).
Има доста такви системи во светот - од мали, поврзувајќи неколку банки или филијали, до гигантски меѓународни, поврзувајќи илјадници учесници. Најпознатиот систем од оваа класа е SWIFT.
Неодамна се појави трет тип на електронско плаќање - обработка на електронски чекови (електронско скратување на чековите), чија суштина е да се запре патот на испраќање хартиена чек до финансиската институција во која беше презентиран. Доколку е потребно, неговиот електронски колега „патува“ понатаму во форма на посебна порака. Препраќањето и откупувањето на електронска проверка се врши со помош на ACP.
Во 1990 година, NACHA ја објави првата фаза на тестирање на националната експериментална програма наречена „Скратување на електронска проверка“. Неговата цел е да ги намали трошоците за обработка на огромната количина хартиени чекови.
Испраќањето пари преку електронски систем за плаќање ги вклучува следните чекори (во зависност од специфичните услови и самиот систем, постапката може да варира):
1. Одредена сметка во системот на првата банка се намалува за потребниот износ.
2. За истиот износ се зголемува дописничката сметка на втората банка во првата.
3. Од првата банка до втората се испраќа порака која содржи информации за извршените дејствија (идентификатори на сметка, износ, датум, услови итн.); во исто време, проследената порака мора да биде соодветно заштитена од фалсификување: шифрирана, дигитално потпишана и со контролни полиња итн.
4. Потребниот износ се задолжува од дописничката сметка на првата банка во втората.
5. Одредена сметка во втората банка се зголемува за потребниот износ.
6. Втората банка испраќа известување до првата банка за извршените корекции на сметката; оваа порака, исто така, мора да биде заштитена од фалсификување на начин сличен на оној на пораката за плаќање.
7. Протоколот за размена е фиксиран и за претплатниците и, можеби, за трета страна (во контролниот центар на мрежата) за да се спречат конфликти.
Можно е да има посредници на начинот на пренесување пораки - клириншки центри, банки посредници во преносот на информации итн. Главната тешкотија на ваквите пресметки е довербата во вашиот партнер, односно секој од претплатниците мора да биде сигурен дека неговиот дописник ќе ги изврши сите потребни дејства.
За проширување на употребата на електронските плаќања, се врши стандардизација на електронската презентација на финансиските документи. Започна во 70-тите години како дел од две организации:
1) ANSI (Американски национален институт за стандарди) го објави ANSI X9.2-1080, (Спецификација на пораки за размена за размена на пораки со дебитни и кредитни картички меѓу финансискиот институт). Во 1988 година, сличен стандард беше усвоен од страна на ISO и именуван ISO 8583 (Спецификации за размена на пораки со потекло од банкарска картичка - содржина за финансиски трансакции);
2) SWIFT (Society for Worldwide Interbank Financial Telecommunications) има развиено серија стандарди за меѓубанкарски пораки.
Во согласност со стандардот ISO 8583, финансискиот документ содржи голем број на податочни елементи (реквизити) лоцирани во одредени полиња на порака или електронски документ (електронска кредитна картичка, порака X.400 или документ во синтаксата EDIFACT) . На секој податочен елемент (ED) му е доделен свој единствен број. Елементот на податоци може да биде или задолжителен (т.е. вклучен во секоја порака од овој тип) или опционален (може да го нема во некои пораки).
Скалата на битови го одредува составот на пораката (оние ЕД што се присутни во неа). Ако некоја цифра од битската скала е поставена на еден, тоа значи дека соодветниот ED е присутен во пораката. Благодарение на овој метод на кодирање пораки, вкупната должина на пораката се намалува, се постигнува флексибилност во прикажувањето на пораките со многу ЕД, а можно е да се вклучат нови ЕД и типови пораки во електронски документ со стандардна структура.
Постојат неколку начини на електронско меѓубанкарско плаќање. Размислете за две од нив: плаќање со чек (плаќање по услугата) и плаќање со акредитив (плаќање за очекуваната услуга). Слична организација имаат и други методи, како што се плаќање со налози или платни налози.
Плаќањето со чек се заснова на хартија или друг документ кој го содржи идентитетот на исплатувачот. Овој документ е основа за пренос на износот наведен во чекот од сметката на сопственикот на сметката на подносителот. Плаќањето со чек ги вклучува следните чекори:
Прием на чек;
Презентирање на чек во банка;
Барање за пренос од сметката на имателот на чекот на сметката на издавачот;
Трансфер на пари;
Известување за плаќање.
Главните недостатоци на ваквите плаќања се потребата од помошен документ (чек), кој лесно се фалсификува, како и значително време поминато за плаќање (до неколку дена).
Затоа, во последниве години, таков вид на плаќање како плаќање со акредитив стана се почест. Ги вклучува следните чекори:
Известување на банката од страна на клиентот за давање кредит;
Известување на банката на корисникот за давање заем и трансфер на пари;
Известување на примачот за приемот на заемот.
Овој систем ви овозможува да вршите плаќања за многу кратко време. Известувањето за заем може да се испрати по (e-mail) пошта, дискети, магнетни ленти.
Секој од горенаведените видови на плаќања има свои предности и недостатоци. Чековите се најпогодни за плаќање мали суми, како и за повремени плаќања. Во овие случаи, доцнењето на плаќањето не е многу значајно, а користењето на кредитот е несоодветно. Порамнувањата со акредитив обично се користат за редовни плаќања и за значителни износи. Во овие случаи, отсуството на одложување на расчистувањето заштедува многу време и пари со намалување на периодот на промет. Вообичаен недостаток на овие два методи е потребата од трошоците за организирање сигурен систем на електронски плаќања.
