«Электронные банковские услуги 1 и сопутствующие риски». 1
| Вид материала | Курсовой проект |
СодержаниеБезопасность систем "Клиент-Банк" и Интернет-банкинга Акб "бин" Список литературы |
- Методические указания по курсовому проектированию по дисциплине «Банковские электронные, 301.79kb.
- Методические указания по курсовому проектированию по дисциплине «Банковские электронные, 254.47kb.
- Экзаменационные вопросы по дисциплине "Банковские электронные услуги, 22.31kb.
- Конспект лекций по дисциплине «Банковские электронные услуги» Для студентов, 1478.29kb.
- Рабочая программа дисциплины банковские продукты и услуги (название дисциплины) для, 33.15kb.
- Туризм является сложным межотраслевым комплексом, требующим системного подхода к регулированию, 275.95kb.
- Marriott Royal Aurora. Врамках конференции «Банковские розничные услуги в России» будут, 20.2kb.
- Учебная программа по дисциплине банковские электронные услуги для специальности 06., 127.92kb.
- Банковские карты, 1709.98kb.
- Private Banking, 225.76kb.
Безопасность систем "Клиент-Банк" и Интернет-банкинга
Разработчики уделяют большое внимание безопасности систем Интернет-банкинга в силу того, что вся информация в данных системах от клиента к банку передается по открытой сети Интернет. Как правило, для повышения безопасности защита передаваемой информации обеспечивается на двух уровнях. Во-первых, для входа в любую систему от клиента требуется введение его идентификационных данных - логина и пароля. Возможность перехвата конфиденциальной информации во время ее передачи от клиента в систему предотвращается шифрованием пересылаемых данных.
Второй и наиболее существенный момент состоит в том, что при осуществлении любой транзакции система должна убедиться, что все распоряжения производятся зарегистрированным клиентом. Для этого вся передаваемая информация "подписывается" клиентом электронно-цифровой подписью (ЭЦП). Именно по этой "подписи" система аутентифицирует пользователя и позволяет совершить необходимую операцию. ЭЦП - последовательность байтов, формируемая путем преобразования подписываемого электронного документа специальным программным средством по криптографическому алгоритму и предназначенная для проверки авторства электронного документа. ЭЦП является подтверждением подлинности, целостности и авторства электронного документа.
Для передачи логина и пароля пользователя часто используются стандартные средства обеспечения защиты информации в открытых сетях. Наиболее распространенным является протокол SSL (Secure Sockets Layer) - обязательный атрибут любого современного браузера. Протокол был разработан компанией Netscape в 1994 году. SSL обеспечивает шифрование всей информации, передаваемой от компьютера клиента до сервера банка. Максимальная длина ключа, используемого в данном протоколе, 128 бит, т.е. существуют 2128 возможных комбинаций "ключей", но лишь один из этих ключей позволяет получить доступ к информации.
В России нередко для передачи всех данных в системах Интернет-банкинг используются алгоритмы шифрования, отличные от SSL, которые позволяют повысить безопасность систем путем использования более длинных криптографических ключей.
Одним из самых распространенных алгоритмов является алгоритм RSA, длина ключа которого обычно 1024 бит. Принцип работы этого алгоритма достаточно простой. Каждый участник криптосистемы генерирует два случайных больших простых числа p и q, выбирает число e, меньшее pq и не имеющее общего делителя с (p-1)(q-1), и число d, такое, что (ed-1) делится на (p-1)(q-1). Затем он вычисляет n=pq, а p и q уничтожает.
Пара (n, e) называется "открытым ключом", а пара (n, d) - "закрытым ключом". Открытый ключ передается всем остальным участникам криптосистемы (обычно это означает, что клиент должен придти в офис банка для заверения открытого ключа), а закрытый сохраняется в тайне.
Стойкость RSA есть функция сложности разложения произведения pq на простые множители p и q (эту задачу придется решать тому, кто вознамерится "вычислить" закрытый ключ из открытого). При достаточной длине этих простых чисел (несколько тысяч двоичных разрядов) такое разложение вычислительно невозможно (Прим автора: ломается со свистом за день, при стоимости системы <500000$).
Обычно первоначальный обмен ключами между клиентом и банком осуществляется на магнитных носителях без передачи ключей через открытые компьютерные сети. Секретный ключ клиента хранится на сервере сертификации банка и не имеет открытого доступа. Для осуществления всех операций с ЭЦП на компьютер клиента устанавливается программное обеспечение, которое предоставляет банк. А все необходимые данные для клиента - открытый, закрытый ключ, идентификационные данные и пр.- обычно хранятся на отдельной дискете или в специальном аппаратном устройстве, которое подключается к компьютеру клиента.
Ниже приведена таблица с кратким описанием организации безопасности систем "Интернет-банкинг" российских банков.
| Банк | Система | Организация безопасности |
| Автобанк | Домашний Банк | SSL + ЭЦП + аппаратное устройство Touch Memory для хранения информации |
| АКБ "БИН" | КОРТИС | SSL + ЭЦП + ридер и смарт-карта |
| Банк "НОМОС" | Интернет-клиент | Excellence, Lan Crypto + BS-Defender для наложения ЭЦП |
| Банк "Северная Казна" | ИнтернетБанк | Использование ПО Inter-Pro - усовершенствует SSL и позволяет создавать ЭЦП |
| Банк "Югра" (С-Пб ф-л) | Ibank Домашний Банк | SSL + ЭЦП, используется ключевая дискета |
| Гута Банк | Телебанк | Использование ПО Inter-Pro - усовершенствует SSL и позволяет создавать ЭЦП |
| КБ "Эллипс Банк" | Телебанк-НН | Использование ПО Inter-Pro - усовершенствует SSL и позволяет создавать ЭЦП |
| Межтопэнергобанк | БАНК++ | DES - 128 бит + смарт-карта + ЭЦП |
| ОАО "Акционерный банк "РОССИЯ" | Банк-Клиент | SSL 3.0 + ЭЦП "Лан Крипто" длина ключа 512 бит, используется ключевая дискета |
| ОАО Банк Дорожник | Интернет-банкинг | SSL для входа, в системе - RSA + ЭЦП, используется ключевая дискета |
| Судостроительный банк | Sbank | При соединении с сервером - SSL, в системе RSA 1024 бита + ЭЦП 2048 бит |
| Юниаструм Банк | Интернет Банк-Клиент | SSL, TLS + ЭЦП, используется ключевая дискета. |
Намного ниже уровень безопасности систем Интернет-банкинг, позволяющих клиенту иметь доступ к счету с помощью сотового телефона, поддерживающего WAP. Проблема кроется в самом протоколе WAP и процедуре преобразования трафика при смене протоколов передачи. В сотовой сети на участке между мобильным телефоном и WAP-шлюзом (защита радиоканала) применяется Wireless Transport Layer Security (WTLS), а в Интернет (защита стека TCP/IP), как уже было сказано, - SSL. При перекодировке из одного протокола в другой информация остается без защиты. Пока почти во всех системах WAP-банкинга клиент не может проводить платежные операции, а только получает доступ к необходимой информации, поэтому уровень безопасности не так важен. Но скорее всего, в ближайшее время ситуация изменится в сторону увеличения функциональных возможностей WAP-банкинга. И тогда к безопасности протокола WAP будут предъявлены новые требования. На данный момент уже существует решение описанной выше проблемы, оно должно воплотится в следующей версии WAP - 2.0. Еще одним нюансом безопасности WAP систем является то, что вся передаваемая информация шифруется с криптографическим ключом не более 124 бита.[2.3]
Заключение
Торговый оборот в системе Интернет в 2003 году, по прогнозам, превысит 1 трлн. долл. Об этом говорится в результатах исследования компании WEFA Group, проведенного по поручению VISA Int. [4]
В исследовании был проведен анализ 17 рынков по всему миру, представляющих 85 процентов всех возможностей. Согласно полученным данным 94 процентов объема торговых сделок приходится на 5 стран: Францию, Германию, Японию, Великобританию и США. На долю последнего государства приходится 59 процентов объема, а на Европу и Азиатско-Тихоокеанский регион - примерно 20 процентов. Более всего Интернет используется для осуществления коммерческих сделок, за ними следуют правительственные и образовательные учреждения, финансовые услуги и розничная торговля.
Результаты проведенного исследования доказывают, что использование коммерческих платежных карт в качестве преимущественного метода оплаты обладает значительными потенциальными возможностями.
Общий годовой объем операций VISA оценивается в 1,3 трлн. долл и торговля в Интернет составит значительную часть оборота. [4]
На западе уже существует огромное количество различных услуг, предоставляемых по Интернету: Вы можете выбрать, написать и послать поздравительную открытку практически к любому знаменательному дню, можете заказать вино или торт с придуманной Вами надписью и отправить их адресату; купить CD, видео, книгу, Вы можете посетить виртуальное казино, и даже купить машину. Для серьезных людей - многочисленные возможности по купле-продаже акций, аналитическая информация, консультации.
Таким образом, и практическая готовность Интернета для ведения бизнеса и реальные обороты западного бизнеса в Интернете приводят к выводу о том, что если мы собираемся двигаться вместе с прогрессом, то и нашему бизнесу придется “переходить” в Интернет и использовать цифровые деньги в ближайшем будущем.
Однако на этом пути возникает множество проблем. Основные из них – юридические (например, связанные с уплатой налогов) и проблемы мошенничества при электронных платежах. Решать эти проблемы придется непременно, так как будущее – за описанными технологиями – передовыми достижениями мировой науки.
Интернет развивается, Интернет-банки создаются и работают, хакеры мифологизируются в кино и литературе, и в итоге все думают о безопасности.
Интернет представляет собой прекрасную среду для движения нематериальных активов. Что можно продавать лучше через Интернет, чем возможность делать изменения в базе данных? Именно в этом и заключается суть технологии i-banking. Интернет - прекрасный канал для распространения банковских услуг: при низкой стоимости обслуживания клиентов можно обеспечить большую пропускную способность...
...если решить следующие задачи:
- обеспечить конфиденциальность - никто третий, кроме клиента и банка, не должен знать о совершаемой операции;
- обеспечить аутентификацию банка и клиента - и банк, и клиент должны удостовериться в том, что они именно те, за кого себя выдают;
- обеспечить целостность информации - банк, получая информацию от клиента, и клиент, получая информацию от банка, должны быть уверены в том, что во время пересылки никто третий не модифицировал информацию;
- должна быть разрешена проблема неотказа - и банк, и клиент должны иметь доказательства совершенной сделки;
- отсутствие повторов.
Раньше системы информационной безопасности разрабатывались вокруг информационной системы, как укрепленные стены вокруг замка. Интернет возник в качестве открытой среды взаимодействия различных информационных систем. С началом переноса бизнес-приложений в Интернет изменился взгляд на информационную безопасность. Из превентивных мер по обеспечению работоспособности информационной системы безопасность становится основой построения Интернет-бизнеса.
Все перечисленные выше проблемы были решены - появились технологии генерации общего секретного ключа по открытому каналу, асимметричное шифрование, цифровая подпись, цифровые сертификаты и т. д.[2.4]
Список литературы:
- Тедеев А.А. «Электронная коммерция (электронная экономическая деятельность): правовое регулирование и налогообложение», 2002, издательство «Приор»
(ссылка скрыта - Купить)
- www.I2R.ru: раздел «Электронная коммерция» Статьи:
- Варианты приема платежей с использованием пластиковых карт при расчетах в сети Интернет
- Риски, возникающие при приеме платежей с использованием пластиковых карт при расчетах в сети Интернет
- Перспективы и новые возможности средств дистанционного доступа к банковскому счету
- Безопасность при работе с банковскими карточками
- И другие…
- Варианты приема платежей с использованием пластиковых карт при расчетах в сети Интернет
(прямые ссылки невозможны в силу особенностей сайта (динамические ссылки))
- Сайт «Новая экономика» (o.ru/)
- Источник - ПРАЙМ-ТАСС. Материал с сайта газеты «Экономика и жизнь» (ссылка скрыта)
- Официальный сайт «Золотой короны» (ссылка скрыта)
- Официальный сайт «Union card» (ссылка скрыта)
- Visa Intl. (ссылка скрыта)
1 К сожалению нет более новой информации, т.к. английское зеркало сайта не работает на момент написания