- •1 Анализ основных уязвимых мест и требований к платёжным системам
- •1.3 Требования по надежности
- •1.4 Специальные требования
- •2 Проблемы криптографической защиты платежной системы
- •3 Анализ возможных угроз безопасности
- •3.1 Основные виды угроз информационной безопасности платёжных систем
- •3.2 Классификация угроз безопасности
- •3.3 Основные непреднамеренные искусственные угрозы
- •3.4 Основные преднамеренные искусственные угрозы
- •4 Виды подходов к защите платёжных систем
- •6 Криптография и безопасность системы webmoney
- •В. Шаньгин "Компьютерная безопасность информационных систем"
- •Романец ю.В., Тимофеев п.А., Шаньгин в.Ф., «Защита информации в компьютерных системах и сетях»
Министерство образования и науки Украины
Донецкий национальный технический университет
Факультет вычислительной техники и информатики
Кафедра компьютерных систем мониторинга
ОТЧЕТ О НИРС
Обзор методов защиты платёжных систем
7.08040745..11.935НР
Руководитель
К. т. н., доцент________________________ Губенко Н.Е.
(подпись) (дата)
Выполнил
ст.гр. КЭМ-07 _____________________ Муравьёв В. С.
(подпись) (дата)
Донецк, 2011
РЕФЕРАТ
Научно-исследовательская работа: 28 страниц. Объект исследования – методы защиты инфрмации в электронных платёжных системах. Цель работы – совершенствование методов защиты информации в платёжной системе.
КРИПТОГРАФИЯ, ПЛАТЁЖНАЯ СИСТЕМА, УГРОЗА БЕЗОПАСНОСТИ, ПРОБЛЕМА ЗАЩИТЫ
|
||||||||||
|
|
|
|
|
Д0407.52.05.935 НР |
|||||
|
|
|
|
|
||||||
Изм |
лист |
№ документа |
Подп. |
Дата |
||||||
Разраб. |
Муравьёв В.С. |
|
|
Обзор методов защиты платёжных систем
|
Литера |
Лист |
Листов |
|||
Консул. |
|
|
|
Б |
|
|
2 |
28 |
||
Руковод. |
Губенко Н.Е. |
|
|
ДонНТУ, каф. КСМ КЭМ–07 |
||||||
Зав. каф |
Аверин Г.В. |
|
|
СОДЕРЖАНИЕ
ВВЕДЕНИЕ………………………………………………………………….4
-
Анализ основных уязвимых мест и требований к платёжным системам………………………………………………………………….5
-
Требования по конфиденциальности………………………………7
-
Требования по реализации………………………………………….8
-
Требования по надёжности………………………………………….8
-
Специальные требования….……………………………………….9
-
-
Проблемы криптографической защиты платежной системы………10
-
Анализ возможных угроз безопасности….…………………………...12
-
Основные виды угроз безопасности………………………………13
-
Классификация угроз безопасности………………………………13
-
Основные непреднамеренные угрозы безопасности…………….14
-
Основные преднамеренные угрозы безопасности………………..15
-
-
Виды подходов к защите платёжных систем…………….…………...18
-
Комплексный подход………………………………………………19
-
Фрагментарный подход……………………………………………21
-
-
Криптография и безопасность системы Яндекс.Деньги……………..22
-
Криптография и безопасность системы Webmoney…...……………..24
ВЫВОДЫ…………………………………………………………………...28
СПИСОК ЛИТЕРАТУРЫ…………………………………………………29
ВВЕДЕНИЕ
Цель информационной защиты – обеспечение надежной, корректной и безопасной работы всех компонентов платёжной системы, что подразумевает создание надежных и удобных механизмов регламента деятельности служб, пользователей и обслуживающего персонала, соблюдение дисциплины доступа к ресурсам информационной системы.
Исключительно важным элементом для платежной системы является также защита юридической значимости платежных документов для справедливого разрешения споров и определения виновных в нанесенном ущербе, так как только юридическая защищенность создает доверие к системе платежей у ее участников и повышает их дисциплинированность при совершении расчетов.
Это является еще одним аргументом в пользу того, что для платежной системы более приоритетными являются криптографические методы обеспечения подлинности и целостности платежных документов, а не методы обеспечения конфиденциальности.
1 Анализ основных уязвимых мест и требований к платёжным системам
Для реализации защиты информации необходимо разработать концепцию комплексной системы защиты информации, поэтапно выполнять комплекс мер по её внедрению. На рисунке 1 показана структура платёжной системы России.
C точки зрения информационной безопасности в системах электронных платежей существуют следующие уязвимые места:
-
пересылка платежных и других сообщений между банками, между банком и банкоматом, между банком и клиентом;
-
обработка информации внутри организаций отправителя и получателя сообщений;
-
доступ клиентов к средствам, аккумулированным на счетах.
Пересылка платежных и других сообщений связана с такими особенностями:
-
внутренние системы организаций отправителя и получателя должны обеспечивать необходимую защиту при обработке электронных документов (защита оконечных систем);
-
взаимодействие отправителя и получателя электронного документа осуществляется опосредовано - через канал связи.
Эти особенности порождают следующие проблемы:
-
взаимное опознание абонентов (проблема установления взаимной подлинности при установлении соединения);
-
защита электронных документов, передаваемых по каналам связи (проблема обеспечения конфиденциальности и целостности документов);
-
защита процесса обмена электронными документами (проблема доказательства отправления и доставки документа);
-
обеспечение исполнения документа (проблема взаимного недоверия между отправителем и получателем из-за их принадлежности к разным оррганизациям и взаимной независимости).
Для обеспечения функций защиты информации на отдельных узлах системы электронных платежей должны быть реализованы следующие механизмы защиты:
-
управление доступом на оконечных системах;
-
контроль целостности сообщения;
-
обеспечение конфиденциальности сообщения;
-
взаимная аутентификация абонентов;
-
невозможность отказа от авторства сообщения;
-
гарантии доставки сообщения;
-
невозможность отказа от принятия мер по сообщения;
-
регистрация последовательности сообщений;
-
контроль целостности последовательности сообщений [3]
Рисунок 1 – Структура информационной сети электронной платёжной системы
1.1 Требования по конфиденциальности
И Интернет в целом, и любые платежи всегда тесно связаны с понятием конфиденциальности. Поэтому необходимо, чтобы платежная система сама по себе не навязывала пользователям никаких нарушений конфиденциальности, а предоставление расширенной и дополнительной информации всегда оставлялось на усмотрение пользователя. Таким образом, требования по конфиденциальности включают в себя:
-
исключение возможности получения информации о действиях пользователей сторонними наблюдателями;
-
обеспечение необходимой степени анонимности плательщика для получателя платежа;
-
исключение возможности получения эмитентом информации о назначении платежа;
-
исключение возможности получения эмитентом информации о том, с каким из поступлений на аккаунт получателя связано каждое из списаний с аккаунта плательщика.
-
Требования по реализации
Требования к реализации обычно направлены на простоту и надежность работы системы, поскольку отказы в таких решениях могут привести к большим финансовым потерям сторон. Требования по реализации обычно заключаются в следующем:
-
Система должна быть простой - как с точки зрения пользователей, так и для разработчиков. Простота системы удешевляет и ускоряет ее реализацию и техническую поддержку, способствует расширению сообщества применяющих ее организаций и привлекает потребителей.
-
Система должна базироваться на хорошо проверенной и надежной технологии, что также будет залогом простоты ее реализации и уверенности в достаточном уровне безопасности.
-
Система должна иметь возможность работать с пользователями извне организации, использующей данную платежную систему, так как очевидно, что множество потенциальных пользователей не являются сотрудниками этой организации.