Информационная безопасность коммерческих систем

Содержание

Введение…………………………………………………………………….3

Глава 1. Безопасность электронных платежей………………………...…4

1. Электронные платежи в банке……………………….……………4
2. Вопросы безопасности электронных платежей …..……………..7

Глава 2.Методы защиты информации в платежных и банковских                            системах.Криптографические методы защиты………………………………..12

2.1 Оценка надежности криптоалгоритмов…………………………….12

2.2 Классификация методов шифрования информации………….13

2.3 Абсолютно стойкий шифр.Гаммирование………………………… 14

2.4 Поточные шифры……………………………………………………………….17

Глава 3 Идентификация и проверка подлинности……………………..18

3.1 Основные понятия…………………………………………….….18

3.2 Взаимная проверка подлинности пользователей………….…...19

3.3 Протоколы  идентификации с нулевой передачей  знаний…... ..20

3.4 Упрощенная  схема идентификации с нулевой  передачей знаний……………………………………………………………..20

3.5 Схема  идентификации Гиллау-Куискуотера…………………...23

Заключение……………………………………………………………….26

Список используемой литературы……………………….......................28

 

 

 

 

 

 

 

 

 

ВВЕДЕНИЕ

Электронные деньги применяют в расчетах довольно давно. Они обращаются внутри электронной  платежной системы (ЭПС), в которой  открывают счета – так называемые электронные кошельки. Примерами  таких систем могут служить WebMoney, Яндекс.Деньги, RUpay. Однако с принятием Закона № 161-ФЗ нормативно оформлено само понятие электронных расчетов. Электронные расчеты – это расчеты электронными денежными средствами с использованием электронных средств платежа. Электронные деньги – средства, которые компания предоставляет платежной системе для исполнения обязательств перед третьими лицами. Это следует из пункта 18 статьи 3 Закона № 161-ФЗ. Электронное средство платежа – средство и (или) способ, позволяющие компании – клиенту ЭПС составлять, удостоверять и передавать распоряжения в целях перевода денежных средств в рамках применяемых форм безналичных расчетов. При этом используются информационно-коммуникационные технологии, электронные носители информации, в том числе платежные карты, а также иные технические устройства (п. 19 ст. 3 Закона № 161-ФЗ) [ 1]

 

Электронные расчеты как вид безналичных  расчетов появились во второй половине XX века. Они приобрели принципиально новое качество, когда на обоих концах линии связи появились компьютеры. Качественный скачок выражался в том, что скорость осуществления платежей значительно возросла и появилась возможность их автоматической обработки. В дальнейшем появились электронные эквиваленты различных классических платежных средств.

Коммерческая  деятельность в электронных сетях  убирает многие физические ограничения. Компании, подключая свои компьютерные системы к Интернету, способны предоставлять своим клиентам услуги без каких-либо ограничений по времени. Заказы на продукцию могут приниматься в любое время из любого места. В электронной коммерции все документы создаются в цифровом виде и с помощью различных приложений обрабатываются и передаются в сеть.

К сожалению, компьютерная сеть в качестве посредника между продавцами, покупателями и  их банками доступна как для правомерных  акций, так и для злоумышленных  несанкционированных действий. Сделать  «посредника» как можно более  надежным – это одна из важнейших  и в то же время самая трудная  задача разработки. От качества решения  задачи обеспечения безопасности совершаемых  по Сети финансовых транзакций во многом зависят темпы и перспективы  развития электронной коммерции.

Вступление  России в Интернет-бизнес несколько  запоздало по сравнению с развитыми  зарубежными странами, однако, во-первых, это отставание не столь велико, а во-вторых, у него есть положительные  моменты. Это отставание по востребованности Интернет-технологий, используемых в электронной коммерции, позволяет не допускать повторения ошибок зарубежных компаний, занимающихся разработкой ПО для электронной коммерции. Имеются в виду в первую очередь ошибки, связанные с информационной безопасностью, следствием которых становятся возможным различного рода мошенничества.

Таким образом, при создании и модернизации автоматизированных систем обработки информации в банковских и платежных системах необходимо уделять пристальное внимание обеспечению  ее безопасности. Именно этой проблеме посвящена данная курсовая работа, т. к. эта проблема является сейчас наиболее актуальной и требует исследования. Если в обеспечении физической и классической информационной безопасности давно уже выработаны устоявшиеся подходы, то в связи с частыми радикальными изменениями в компьютерных технологиях методы безопасности автоматизированных банковских и платежных систем требуют постоянного обновления.

В данной работе рассматриваются особенности информационной безопасности коммерческих систем, показывается, что именно для банков (в отличие от других предприятий) информационная безопасность имеет решающее значение. Рассмотрены методы защиты платежных систем. Особое внимание уделено рассмотрению алгоритмов и методов криптографических систем.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

ГЛАВА 1. БЕЗОПАСНОСТЬ ЭЛЕКТРОННЫХ  ПЛАТЕЖЕЙ

§1.1. Электронные платежи в банке.

 

Специфической чертой электронных банковских систем является специальная форма обмена электронными данными - электронных платежей, без которых ни один современный банк не может существовать.

Обмен электронными данными — это межкомпьютерный обмен деловыми, коммерческими, финансовыми электронными документами. Например, заказами, платежными инструкциями, контрактными предложениями, накладными, квитанциями и т.п.

Обмен электронными данными обеспечивает оперативное взаимодействие торговых партнеров (клиентов, поставщиков, торговых посредников и др.) на всех этапах подготовки торговой сделки, заключения контракта и реализации поставки. На этапе оплаты контракта и перевода денежных средств обмена электронными данными может приводить к электронному обмену финансовыми документами. При этом создается эффективная среда для торгово-платежных операций:

• Возможно ознакомление торговых партнеров с предложениями товаров и услуг, выбор необходимого товара/услуги, уточнение коммерческих условий (стоимости и сроков поставки, торговых скидок, гарантийных и сервисных обязательств) в реальном масштабе времени;
• Заказ товара/услуг или запрос контрактного предложения в реальном масштабе времени;
• Оперативный контроль поставки товара, получение по электронной почте сопроводительных документов (накладных, фактур, комплектующих ведомостей и т.д.);
• Подтверждение завершения поставки товара/услуги, выставление и оплата счетов;
• Выполнение банковских кредитных и платежных операций.

К достоинствам обмена электронными данными следует отнести:

• Уменьшение стоимости операций за счет перехода на безбумажную технологию. Эксперты оценивают стоимость обработки и ведения бумажной документации в 3-8% от общей стоимости коммерческих операций и доставки товаров;
• Повышение скорости расчета и оборота денег;
• Повышение удобства расчетов.

Банки в  США и Западной Европе уже осознали свою ключевую роль в распространении обмена электронными данными и поняли те значительные преимущества, которые дает более тесное взаимодействие с деловыми и личными партнерами. Обмен электронными данными помогает банкам в предоставлении услуг клиентам, особенно мелким, тем, которые ранее не могли позволить себе ими воспользоваться из-за их высокой стоимости.

Частным случаем обмена электронными данными являются электронные платежи - обмен финансовыми документами между клиентами и банками, между банками и другими финансовыми и коммерческими организациями.

Суть  концепции электронных платежей заключается в том, что пересылаемые по линиям связи сообщения, должным  образом оформленные и переданные, являются основанием для выполнения одной или нескольких банковских операций. Никаких бумажных документов для выполнения этих операций в принципе не требуется (хотя они могут быть выданы). Другими словами, пересылаемое по линиям связи сообщение несет  информацию о том, что отправитель  выполнил некоторые операции над  своим счетом, в частности над  корреспондентским счетом банка-получателя (в роли которого может выступать  клиринговый центр), и что получатель должен выполнить определенные в  сообщении операции. На основании  такого сообщения можно переслать  или получить деньги, открыть кредит, оплатить покупку или услугу и  выполнить любую другую банковскую операцию. Такие сообщения называются электронными деньгами, а выполнение банковских операций на основании посылки  или получения таких сообщений - электронными платежами. Естественно, весь процесс осуществления электронных платежей нуждается в надежной защите. Иначе банк и его клиентов ожидают серьезные неприятности.

Электронные платежи применяются при межбанковских, торговых и персональных расчетах.

Межбанковские и торговые расчеты производятся между организациями (юридическими лицами), поэтому их иногда называют корпоративными. Расчеты с участием физических лиц-клиентов получили название персональных.

Большинство крупных хищений в банковских системах прямо или косвенно связано  именно с системами электронных  платежей.

Любая организация, которая хочет стать клиентом какой-либо системы электронных  платежей, либо организовать собственную  систему, должна отдавать себе в этом отчет. Для надежной работы система электронных платежей должна быть хорошо защищена.

Торговые  расчеты производятся между различными торговыми организациями. Банки  в этих расчетах участвуют как  посредники при перечислении денег  со счета организации-плательщика  на счет организации-получателя. Торговые расчеты чрезвычайно важны для общего успеха программы электронных платежей. Объем финансовых операций различных компаний обычно составляет значительную часть общего объема операций банка.

Виды  торговых расчетов сильно различаются  для разных организаций, но всегда при  их осуществлении обрабатывается два  типа информации: платежных сообщений  и вспомогательная (статистика, сводки, уведомления). Для финансовых организаций  наибольший интерес представляет, конечно, информация платежных сообщений - номера счетов, суммы, баланс и т.д. Для торговых организаций оба вида сведений одинаково важны – первый дает ключ к финансовому состоянию, второй – помогает при принятии решений и выработке политики. [2]

§1.2. Вопросы безопасности электронных платежей.

 

Для определения  общих проблем защиты систем обмена электронными данными рассмотрим в прохождение документа при обмене электронными данными. Можно выделить три основных этапа:

• подготовка документа к отправке;
• передача документа по каналу связи;
• прием документа и его обратное преобразование.

С точки  зрения защиты в системах обмена электронными данными существуют следующие уязвимые места:

1. Пересылка  платежных и других сообщений  между банками или между банком  и клиентом;

2. Обработка  информации внутри организаций  отправителя и получателя;

3. Доступ  клиента к средствам, аккумулированным  на счете.

Одно  из наиболее уязвимых мест в системе обмена электронными данными – пересылка платежных и других сообщений между банками, или между банком и банкоматом, или между банком и клиентом. При пересылке платежных и других сообщений возникают следующие проблемы:

• внутренние системы организаций получателя и отправителя должны быть приспособлены к получению/отправке электронных документов и обеспечивать необходимую защиту при их обработке внутри организации (защита оконечных систем);
• взаимодействие получателя и отправителя документа осуществляется опосредованно – через канал связи. Это порождает три типа проблем:
1. взаимного опознавания абонентов (проблема установления аутентификации при установлении соединения);
2. защиты документов, передаваемых по каналам связи (обеспечение целостности и конфиденциальности документов);
3. защиты самого процесса обмена документами (проблема доказательства отправления/доставки документа);

В общем  случае отправитель и получатель документа принадлежат к различным организациям и друг от друга независимы. Этот факт порождает проблему недоверия – будут ли предприняты необходимые меры по данному документу (обеспечение исполнения документа).

В системах обмена электронными данными должны быть реализованы следующие механизмы, обеспечивающие реализацию функций защиты на отдельных узлах системы ОЭД и на уровне протоколов высокого уровня:

- равноправная аутентификацию абонентов;

- невозможность  отказа от авторства сообщения/приема  сообщения;