Дипломная работа
| Вид материала | Диплом |
- Дипломная работа по истории, 400.74kb.
- Дипломная работа мгоу 2001 Арапов, 688.73kb.
- Методические указания по дипломному проектированию дипломная работа по учебной дисциплине, 620.15kb.
- Дипломная работа выполнена на тему: «Ресторанный комплекс при клубе знаменитых людей:, 638.16kb.
- Дипломная работа: выполнение и защита методические рекомендации, 248.83kb.
- Дипломная работа Антона Кондратова на тему «Интернет-коммуникации в деятельности предприятия, 1083.86kb.
- Итоги VII всероссийского конкурса «Лучшая студенческая дипломная работа в области маркетинга», 99.02kb.
- Выпускная квалификационная (дипломная) работа методические указания по подготовке,, 629.59kb.
- Дипломная Работа на тему Аспекты взаимодействия категорий Языковая одушевленность неодушевленность, 908.09kb.
- Дипломная работа тема: Анализ удовлетворенности потребителей на рынке стоматологических, 187.27kb.
Санкт-Петербургский государственный университет
Математико-механический факультет
Кафедра системного программирования
Дипломная работа
“Обеспечение безопасности информационной системы в соответствии с требованиями
PCI DSS”
Допущен к защите
Зав. кафедрой,
доктором физ.-мат. наук, профессором Тереховым А.Н
Выполнил:
Студент 545 группы
Залог Леонид Витальевич
Научный руководитель:
Доцент кафедры,
Кандидат физ.-мат. наук
Графеева Наталья Генриховна
Рецензент:
Старший преподаватель кафедры системного программирования
Григорьева Людмила Ивановна
Санкт-Петербург
2010
Saint Petersburg State University
Faculty of Mathematics and Mechanics
Department of Software Engineering
Graduate Paper
“Information system security assurance in accordance with the PCI DSS standard”
Admitted to proof
Head of the Chair:
Dr. of Phys. and Math. Sci., Professor Terekhov A.N.
Student:
Zalog Leonid Vitalievich
Scientific advisor:
Associate Professor,
Candidate of Phys. and Math. Sci.
Grafeeva Natalia Genrikhovna
Reviewer:
Grigorieva Liudmila Ivanovna
Saint Petersburg
2010
Оглавление
Оглавление 3
Введение 4
Постановка задачи 5
О стандарте 6
Немного истории 7
Область применения PCI DSS 8
Расположение данных платежных карт и критичных данных авторизации 10
Данные трек 1 и трек 2 11
Задачи и требования стандарта PCI DSS 13
Реализация тестовой информационной системы 21
Общая архитектура инструментария 21
Общая схема прохождения транзакции 22
Схема базы данных 23
Применение стандарта PCI DSS к тестовой информационной системе 27
Реализация требований к парольной аутентификации 27
Реализация требований к защите хранения данных платежных карт 31
Реализация инструмента для поиска критичной информации в информационной системе. 35
Защита доступа 37
Разграничение доступа 38
Обзор технологии Database Vault и реализация настроек для тестовой информационной системы 39
Для реализации разграничения доступа к тестовой карточной системе будем рассматривать следующие настройки: 39
Внедрение аудита действий сотрудников 44
Требования к серверу базы данных 46
Требования к файловому серверу 47
Требования к рабочим станциям пользователей 48
Требования для доступа к данным 48
Требования к передаче данных 49
Требования к конфигурации системы 49
Требования к данным, используемым при тестировании системы 50
Влияние на производительность 51
Источники 56
Приложение 1 56
Детальное изложение требований PCI DSS 56
Введение
Рынок пластиковых карт в России начал развиваться с конца 20 века, тем не менее, пластиковые карточки перестали быть для нас экзотикой и стали привычными в самых разнообразных сферах деятельности — при получении заработной платы, при оплате товаров и услуг, при поездках в командировку. Сегодня практически не осталось ни одного банка, который бы не предлагал клиентам разместить денежные средства на «пластик».
Тысячи людей и многочисленные организации владеют пластиковыми карточками международных и внутренних платежных систем, локальными карточками различных банков пользуются преимуществами, которые даёт «пластик». Пластиковые карточки удивляют все больше и больше своим разнообразием. Само по себе владение пластиковой картой означает уже некий более высокий социальный статус сотрудника и подчеркивает современный деловой имидж компании.
Держатель карты, придя в пункт обслуживания, предъявляет карту к оплате товаров (услуг) либо для получения наличных денег. Пунктом обслуживания может быть не только торгово-сервисное предприятие, но и отделение банка либо банкомат - в случае выдачи наличных денег. Работник пункта обслуживания проверяет подлинность карты и правомочность держателя распоряжаться ею, используя для этого данные, указанные на самой карте. Затем он приводит процедуру авторизации, осуществляя запрос Банку, выпустившему карту (Эмитенту), о подтверждении полномочий держателя карты и его финансовых возможностей. Результатом выполнения процедуры авторизации является разрешение или запрет на совершение операции. Технология авторизации зависит от схемы платежной системы, типа карты и технического оснащения пункта обслуживания.
Авторизационная информация крайне привлекательна для различного рода мошенников, так как, владея секретными данными, злоумышленники с легкостью могут получить доступ к средствам клиента. Таким образом, проблема защиты информации в карточном бизнесе стоит очень остро. С недавнего времени существует специальный стандарт PCI DSS, регламентирующий процесс передачи и хранения авторизационной информации.