Файловый архив студентов. Файловый архив студентов.
1261 вуз, 4606 предмет.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Харьковский национальный университет радиоэлектроники
Предмет:
Системы банковской безопасности
Файл:
Экзамен Сбб / сбб экзамен (2).docx
Скачиваний:
27
Добавлен:
10.08.2019
Размер:
2.1 Mб
Скачать
►Содержание►

Протокол записи[править]

Протокол записи (Record Layer) — это уровневый протокол. На каждом уровне сообщения включают поля для длины, описания и проверки. Протокол записи принимает сообщения, которые нужно передать, фрагментирует данные в управляемые блоки, разумно сжимает данные, применяя MAC (message authentication code), шифрует и передаёт результат. Полученные данные он расшифровывает, проверяет, распаковывает, собирает и доставляет к более верхним уровням клиента.

Существует четыре протокола записи:

  • Протокол рукопожатия (handshake protocol);

  • Протокол тревоги (alert protocol);

  • Протокол изменения шифра (the change cipher spec protocol);

  • Протокол приложения (application data protocol);

4.Що підписується подвійним підписом в SET?

Эта процедура позволяет связывать элементы двух сообщений, каждое из которых отсылается своему адресату с одной сигнатурой во избежание лишнего обмена данными. При помощи такой процедуры каждый получатель может прочитать сообщение, адресованное лично ему и проверить целостность остальных сообщений, не читая их. Например: предположим, что покупатель одновременно посылает (через платежный шлюз) продавцу ордер заказа, a банку ‑ платежную инструкцию. Конечно, покупатель предпочтет, чтобы его платежи инструкции выполнились только после того, как продавец примет ордер заказа.

Пусть m1 - сообщение, адресованное продавцу, a m2 - сообщение для платежного шлюза. Покупатель объединяет дайджесты сообщений для создания нового сообщения m3.

m3 = H(m1)||H(m2).

Затем покупатель применяет хеш-функцию H() к новому сообщению m3. Соответственно сообщение, отправляемое продавцу, состоит из следующих элементов:

m1, H(m2), {m2, H(m2)}PKG, {H(m3)}SKC,

где PKG ‑ открытый ключ платежного шлюза,

SKC ‑ закрытый ключ покупателя.

5.Що забезпечує система захисту електронних банківських документів в СЕП?

1. Система захисту електронних банківських документів (далі - система захисту) забезпечує:

а) захист від несанкціонованої модифікації та несанкціонованого ознайомлення зі змістом електронних банківських документів на будь-якому етапі їх оброблення;

б) автоматичне ведення захищеного від несанкціонованої модифікації протоколу оброблення електронних банківських документів з метою визначення причин появи порушень роботи програмно-технічних комплексів у СЕП;

в) захист від технічних порушень роботи апаратури (у тому числі від псування апаратних і програмних засобів, перешкод у каналах зв'язку);

г) умови для роботи програмно-технічних комплексів у СЕП, за яких фахівці банків - учасників СЕП і Національного банку не можуть утручатися в оброблення електронних банківських документів після їх формування, та автоматичний контроль на кожному етапі їх оброблення.

2. Система захисту:

а) охоплює всі етапи розроблення, упровадження та експлуатації програмно-технічного забезпечення в банках (філіях);

б) уключає технологічні, апаратні, програмні засоби та організаційні заходи захисту;

в) визначає чіткий розподіл відповідальності на кожному етапі підготовки, оброблення та виконання електронних банківських документів на всіх рівнях.

Екзаменаційний білет № 29

1.Поясніть типи анонімності для банківських карт і електронних або віртуальних гаманців.

Анонимность означает, что нет прямой связи между платежом и личностью покупателя. Напротив, персонализация устанавливает прямую или косвенную связь между дебитором и средством платежа. Наличность в виде банкнот и монет анонимна, так как отсутствует связь между ее владельцем и его банковскими реквизитами. В случае удаленной банковской транзакции возникает две проблемы: проблема анонимной связи и проблема совершения анонимных платежей. Действительно, анонимное общение - необходимое условие для анонимного платежа, потому что после идентификации клиента (например, звонящего по телефону) любые самые изощренные стратегии маскировки платежей становятся бессмысленными.

Для банковских карт и электронных или виртуальных кошельков существует четыре типа анонимности.

1) Пластиковая карта анонимна, если она не содержит идентификатор, позволяющий установить связь карты с ее владельцем. Пример: телефонные карты. Напротив, банковская карта не анонимна, так как содержит номер карты, имя держателя и номер счета.

2) Транзакция перезарядки электронного кошелька анонимна, если при ее совершении не устанавливается связь между личностью ее владельца, например при пополнении карты наличными. Транзакция временно теряет анонимность, если она защищена PIN-кодом. Однако анонимность может быть восстановлена при отправлении транзакции в архив.

3) Примером частичной анонимности является случай, когда платежные транзакции группируются в единую сумму за некоторый период времени. В этом случае, возможно определить личность владельца, так как сгруппированные транзакции должны быть связаны с банковскими счетами для возможности проведения последующих финансовых расчетов.

4) Анонимность транзакций fасе-tо-fасе отличается от анонимности удаленных транзакций. В коммерции face-to-face защитить личность и предмет транзакции можно, используя смарт-карты с офлайн-верификацией. Защита осуществляется за счет использования алгоритмов аутентификации, хранимых в памяти карты и действующих независимо от каких-либо внешних управляющих центров. Случай проведения удаленных коммерческих транзакций отличается тем, что для их нормального осуществления необходима однозначная аутентификация обеих сторон сделки для предотвращения будущих споров по факту совершения обмена.

В этом случае полная анонимность несовместима с принципом строгого выполнения обязательств. Максимум, что может быть достигнуто в данном случае, - это частичная анонимность. Например, продавец не имеет доступа к реквизитам владельца карты или кошелька, а реквизиты хранятся у третьей стороны, которая выступает арбитром в случае спорных ситуаций.

2.Із чого складається банківська система України та якими є основні банківські операції?

Банк - юридична особа, яка має виключне право на підставі ліцензії Національного банку України здійснювати у сукупності такі операції: залучення у вклади грошових коштів фізичних і юридичних осіб та розміщення зазначених коштів від свого імені, на власних умовах та на власний ризик, відкриття і ведення банківських рахунків фізичних та юридичних осіб. Банківська система України складається з Національного банку України та інших банків, а також філій іноземних банків, що створені і діють на території України (рис.1)

Банківські операції На підставі банківської ліцензії банки мають право здійснювати такі банківські операції:

1) приймання вкладів (депозитів) від юридичних і фізичних осіб;

2) відкриття та ведення поточних рахунків клієнтів і банків-кореспондентів, у тому числі переказ грошових коштів з цих рахунків за допомогою платіжних інструментів та зарахування коштів на них;

3) розміщення залучених коштів від свого імені, на власних умовах та на власний ризик.

Банк, крім перелічених операцій, має право здійснювати такі операції та угоди:

1) операції з валютними цінностями;

2) емісію власних цінних паперів;

3) організацію купівлі та продажу цінних паперів за дорученням клієнтів;

4) здійснення операцій на ринку цінних паперів від свого імені (включаючи андеррайтинг6 );

5) надання гарантій і поручительств та інших зобов'язань від третіх осіб, які передбачають їх виконання у грошовій формі;

6) придбання права вимоги на виконання зобов'язань у грошовій формі за поставлені товари чи надані послуги, приймаючи на себе ризик виконання таких вимог та прийом платежів (факторинг);

7) лізинг ;

8) послуги з відповідального зберігання та надання в оренду сейфів для зберігання цінностей та документів;

9) випуск, купівлю, продаж і обслуговування чеків, векселів та інших оборотних платіжних інструментів;

10) випуск банківських платіжних карток і здійснення операцій з використанням цих карток;

11) надання консультаційних та інформаційних послуг щодо банківських операцій.

За умови отримання письмового дозволу Національного банку України банки також мають право здійснювати такі операції:

1) здійснення інвестицій у статутні фонди та акції інших юридичних осіб;

2) здійснення випуску, обігу, погашення (розповсюдження) державної та іншої грошової лотереї;

3) перевезення валютних цінностей та інкасацію коштів;

4) операції за дорученням клієнтів або від свого імені:  з інструментами грошового ринку;  з інструментами, що базуються на обмінних курсах та відсотках;  з фінансовими ф'ючерсами та опціонами;

5) довірче управління коштами та цінними паперами за договорами з юридичними та фізичними особами;

6) депозитарну діяльність і діяльність з ведення реєстрів власників іменних цінних паперів. Банк має право здійснювати інші угоди згідно із законодавством України.

3.Яке місце займає SSL протокол в ієрархії моделі OSI?

SSL дополняет стандарт Winsock, работает на уровне сокетов, обеспечивая безопасность ряда других протоколов, использующих сокеты.

4.Які існують типи платіжних повідомлень SET?

При использовании сертификата цифровых подписей сервер производит отправку последовательности из двух сообщений:

 сообщения Certificate, которое содержит в себе открытый ключ для выработки цифровой подписи, использующийся сервером совместно с секретным ключом цифровой подписи центра сертификации. Клиент производит проверку полученного сертификата с использованием открытого ключа для цифровой подписи центра сертификации;

 сообщения ServerKeyExchange, содержащего параметры алгоритма обмена секретным ключом. Данные параметры имеют цифровую подпись, выработанную с использованием секретного ключа для цифровой подписи сервера, который соответствует открытому ключу, полученному на предыдущем этапе. После получения второго сообщения клиент производит полную проверку полученных параметров.

Необходимо отметить, что число сообщений можно если использовать параметры, определенные при установлении предыдущих сеансов. Данное решение может быть полезно в случае, если клиент делает все заказы с использованием одного и того же посредника

Существует два типа платежных сообщений:

  • обязательные

  • и необязательные.

Обязательные сообщения передаются при каждой транзакции заказа и платежа, тогда как необязательные — при реализации дополнительных сервисов.

Сообщение

Направление передачи

Смысл

PReq

Владелец карты  Продавец

Заказ

PRes

Продавец  Владелец карты

Ответ на заказ

AuthReq

Продавец  Платежный шлюз

Авторизационный запрос

AuthRes

Платежный шлюз  Продавец

Ответ на авторизационный запрос

CapReq

Продавец  Платежный шлюз

Запрос на проведение сбора информации об авторизациях и отсылку клирингового запроса в банк

CapRes

Платежный шлюз  Продавец

Ответ на запрос о сборе информации

Обязательные сообщения можно сгруппировать в три категории:

  • ордер заказа,

  • авторизация платежа

и финансовое возмещение по парам ответ/запрос

5.Що має робити учасник СЕП у разі виходу з ладу апаратури криптографічного захисту інформації?

Учасник СЕП на випадок виходу з ладу комп'ютера, на якому функціонує АРМ-СЕП, зобов'язаний мати резервний комп'ютер, на якому розгорнута діюча версія АРМ-СЕП, з актуальними таблицями відкритих ключів, файлами конфігурації та допоміжними файлами.

2. Учасник СЕП у разі пошкодження комп'ютера, на якому функціонує АРМ-СЕП, повинен підключити до резервного комп'ютера АКЗІ та продовжувати функціонування АРМ-СЕП на резервному комп'ютері.

Учасник СЕП зобов'язаний (якщо відновлення функціонування АРМ-СЕП на резервному комп'ютері відбулося протягом банківського дня):

1) зробити копію протоколу роботи й арбітражних журналів АРМ-СЕП за поточний банківський день із пошкодженого комп'ютера, якщо рівень пошкодження дає змогу це зробити, і зберігати її надалі разом з архівом банківського дня, що створюватиметься АРМ-СЕП на резервному комп'ютері;

2) повідомити засобами системи ЕП Департамент безпеки Національного банку про відновлення функціонування АРМ-СЕП на резервному комп'ютері.

3. Учасник СЕП у разі виходу з ладу АКЗІ надсилає до Департаменту інформаційних технологій засобами системи ЕП повідомлення про переведення його на роботу в програмному режимі криптографічного захисту.

Персонал ЦОСЕП установлює відповідні параметри роботи ЦОСЕП із цим учасником після отримання такого повідомлення від учасника СЕП.

Учасник СЕП установлює відповідні параметри роботи АРМ-СЕП.

Персонал ЦОСЕП перешифровує за допомогою програмних засобів захисту інформації і надсилає повторно учаснику СЕП, за його клопотанням, файли, що були сформовані в ЦОСЕП для цього учасника СЕП із використанням АКЗІ.

4. Учасник СЕП звертається до Департаменту безпеки Національного банку для відновлення працездатності АКЗІ. Повернення АРМ-СЕП до роботи з АКЗІ після відновлення працездатності або заміни АКЗІ здійснюється після закінчення одного банківського дня та до початку наступного банківського дня.

5. Перенесення АРМ-СЕП на інший комп'ютер у випадках, не зумовлених потребою негайного відновлення його функціонування, дозволяється тільки після закінчення одного банківського дня та до початку наступного банківського дня.".

1 Парадигма - это исходная концептуальная схема, модель постановки проблем и их решения, методов исследования, господствующих в течении определенного исторического периода в научном сообществе (Советский энциклопедический словарь/ Гл. ред. А.М. Прохоров 4-е изд. – М.: Сов. энциклопедия, 1989, - 1632 с.)

2

3

Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности