29

Министерство образования и науки Украины

Донецкий национальный технический университет

Факультет вычислительной техники и информатики

Кафедра компьютерных систем мониторинга

ОТЧЕТ О НИРС

Обзор методов защиты платёжных систем

7.08040745..11.935НР

Руководитель

К. т. н., доцент________________________ Губенко Н.Е.

^{(подпись) (дата)}

Выполнил

ст.гр. КЭМ-07 _____________________ Муравьёв В. С.

^{(подпись) (дата)}

Донецк, 2011

РЕФЕРАТ Научно-исследовательская работа: 28 страниц. Объект исследования – методы защиты инфрмации в электронных платёжных системах. Цель работы – совершенствование методов защиты информации в платёжной системе. КРИПТОГРАФИЯ, ПЛАТЁЖНАЯ СИСТЕМА, УГРОЗА БЕЗОПАСНОСТИ, ПРОБЛЕМА ЗАЩИТЫ
					Д0407.52.05.935 НР
Изм	лист	№ документа	Подп.	Дата
Разраб.		Муравьёв В.С.			Обзор методов защиты платёжных систем	Литера			Лист	Листов
Консул.						Б			2	28
Руковод.		Губенко Н.Е.				ДонНТУ, каф. КСМ КЭМ–07
Зав. каф		Аверин Г.В.

СОДЕРЖАНИЕ

ВВЕДЕНИЕ………………………………………………………………….4

1. Анализ основных уязвимых мест и требований к платёжным системам………………………………………………………………….5

   1. Требования по конфиденциальности………………………………7

   2. Требования по реализации………………………………………….8

   3. Требования по надёжности………………………………………….8

   4. Специальные требования….……………………………………….9

2. Проблемы криптографической защиты платежной системы………10

3. Анализ возможных угроз безопасности….…………………………...12

   1. Основные виды угроз безопасности………………………………13

   2. Классификация угроз безопасности………………………………13

   3. Основные непреднамеренные угрозы безопасности…………….14

   4. Основные преднамеренные угрозы безопасности………………..15

4. Виды подходов к защите платёжных систем…………….…………...18

   1. Комплексный подход………………………………………………19

   2. Фрагментарный подход……………………………………………21

5. Криптография и безопасность системы Яндекс.Деньги……………..22

6. Криптография и безопасность системы Webmoney…...……………..24

ВЫВОДЫ…………………………………………………………………...28

СПИСОК ЛИТЕРАТУРЫ…………………………………………………29

ВВЕДЕНИЕ

Цель информационной защиты – обеспечение надежной, корректной и безопасной работы всех компонентов платёжной системы, что подразумевает создание надежных и удобных механизмов регламента деятельности служб, пользователей и обслуживающего персонала, соблюдение дисциплины доступа к ресурсам информационной системы.

Исключительно важным элементом для платежной системы является также защита юридической значимости платежных документов для справедливого разрешения споров и определения виновных в нанесенном ущербе, так как только юридическая защищенность создает доверие к системе платежей у ее участников и повышает их дисциплинированность при совершении расчетов.

Это является еще одним аргументом в пользу того, что для платежной системы более приоритетными являются криптографические методы обеспечения подлинности и целостности платежных документов, а не методы обеспечения конфиденциальности.

1 Анализ основных уязвимых мест и требований к платёжным системам

Для реализации защиты информации необходимо разработать концепцию комплексной системы защиты информации, поэтапно выполнять комплекс мер по её внедрению. На рисунке 1 показана структура платёжной системы России.

C точки зрения информационной безопасности в системах электронных платежей существуют следующие уязвимые места:

• пересылка платежных и других сообщений между банками, между банком и банкоматом, между банком и клиентом;

• обработка информации внутри организаций отправителя и получателя сообщений;

• доступ клиентов к средствам, аккумулированным на счетах.

Пересылка платежных и других сообщений связана с такими особенностями:

• внутренние системы организаций отправителя и получателя должны обеспечивать необходимую защиту при обработке электронных документов (защита оконечных систем);

• взаимодействие отправителя и получателя электронного документа осуществляется опосредовано - через канал связи.

Эти особенности порождают следующие проблемы:

• взаимное опознание абонентов (проблема установления взаимной подлинности при установлении соединения);

• защита электронных документов, передаваемых по каналам связи (проблема обеспечения конфиденциальности и целостности документов);

• защита процесса обмена электронными документами (проблема доказательства отправления и доставки документа);

• обеспечение исполнения документа (проблема взаимного недоверия между отправителем и получателем из-за их принадлежности к разным оррганизациям и взаимной независимости).

Для обеспечения функций защиты информации на отдельных узлах системы электронных платежей должны быть реализованы следующие механизмы защиты:

• управление доступом на оконечных системах;

• контроль целостности сообщения;

• обеспечение конфиденциальности сообщения;

• взаимная аутентификация абонентов;

• невозможность отказа от авторства сообщения;

• гарантии доставки сообщения;

• невозможность отказа от принятия мер по сообщения;

• регистрация последовательности сообщений;

• контроль целостности последовательности сообщений [3]

Рисунок 1 – Структура информационной сети электронной платёжной системы

1.1 Требования по конфиденциальности

И Интернет в целом, и любые платежи всегда тесно связаны с понятием конфиденциальности. Поэтому необходимо, чтобы платежная система сама по себе не навязывала пользователям никаких нарушений конфиденциальности, а предоставление расширенной и дополнительной информации всегда оставлялось на усмотрение пользователя. Таким образом, требования по конфиденциальности включают в себя:

• исключение возможности получения информации о действиях пользователей сторонними наблюдателями;

• обеспечение необходимой степени анонимности плательщика для получателя платежа;

• исключение возможности получения эмитентом информации о назначении платежа;

• исключение возможности получения эмитентом информации о том, с каким из поступлений на аккаунт получателя связано каждое из списаний с аккаунта плательщика.

2. Требования по реализации

Требования к реализации обычно направлены на простоту и надежность работы системы, поскольку отказы в таких решениях могут привести к большим финансовым потерям сторон. Требования по реализации обычно заключаются в следующем:

• Система должна быть простой - как с точки зрения пользователей, так и для разработчиков. Простота системы удешевляет и ускоряет ее реализацию и техническую поддержку, способствует расширению сообщества применяющих ее организаций и привлекает потребителей.

• Система должна базироваться на хорошо проверенной и надежной технологии, что также будет залогом простоты ее реализации и уверенности в достаточном уровне безопасности.

• Система должна иметь возможность работать с пользователями извне организации, использующей данную платежную систему, так как очевидно, что множество потенциальных пользователей не являются сотрудниками этой организации.