|
|||||
Вопрос 39. Защите информации в электронных платежных системахДата добавления: 2014-11-24 | Просмотров: 1650
1. Общие понятия об электронных платежных системах. 2. Проблемы безопасности в электронных платежных системах. 3. Электронные пластиковые карты. 1. Электронной платежной системойназывают совокупность методов и реализующих их субъектов, обеспечивающих в рамках системы использование банковских пластиковых карт в качестве платежного средства. Пластиковая карта- это персонифицированный платежный инструмент на материальном носителе, предоставляющий пользующемуся этой картой лицу возможность безналичной оплаты товаров и услуг, а также получения наличных средств в банковских автоматах и отделениях банков. По виду расчетов, выполняемых е помощью пластиковых карт, различают; · кредитные карты; • дебетовые карты. Кредитные картыявляются наиболее распространенным видом пластиковых карт, К ним относятся карты общенациональных систем США Visa и MasterCard, American Express и ряда других, Эти карты предъявляют на предприятиях торговли и сервиса для оплаты товаров и услуг. Держатель дебетовой картыдолжен заранее внести на свой счет в банке-эмитенте определенную сумму. Размер этой суммы определяет лимит доступных средств, При осуществлении расчетов с использованием этой карты соответственно уменьшается и лимит. Контроль лимита выполняется при проведении авторизации, которая при использовании дебетовой карты является обязательной. Для возобновления или увеличения лимита держателю карты необходимо вновь внести средства на свой счет. Для страхования временного разрыва осуществления платежа и моментом получения банком соответствующей информации на счете клиента должен поддерживаться неснижаемый остаток. Как кредитная, так и дебетовая карты могут быть не только персональными, но и корпоративными. Корпоративные карты предоставляются компанией своим сотрудникам для оплаты командировочных или других служебных расходов. Большое внимание привлекают к себе электронные платежные системы с использованием микропроцессорных карт. Они непосредственно несут информацию о состоянии счета клиента, поскольку являются в сущности транзитным счетом. Все транзакции совершаются в режиме Off-line в процессе диалога карта-терминал или карта клиента — карта торговца. Такая система является почти полностью безопасной благодаря высокой степени защищенности кристалла с микропроцессором и полной дебетовой схеме расчетов. Хотя карта с микропроцессором дороже обычной, платежная система оказывается дешевле в эксплуатации за счет того, что в режиме off-line нет нагрузки на телекоммуникации. 2. В последние годы широкую популярность приобрели автоматизированные торговые POS-терминалы (Point-Of-Sale — оплата в точке продажи) и банкоматы. При использовании POS-терминалов нет необходимости в заполнении слипов. Реквизиты пластиковой карты считываются с ее магнитной полосы на встроенном в POS-терминал считывателе. Клиент вводит в терминал свой PIN-код (Personal Identification Number — персональный идентификационный номер), известный только ему. Элементы PIN-кода включаются в общий алгоритм шифрования записи на магнитной полосе и служат электронной подписью владельца карты. На клавиатуре POS-терминала набирается сумма сделки. Процессинговый центр представляет собой специализированную сервисную организацию, которая обеспечивает обработку поступающих от банков-эквайеров или непосредственно из точек обслуживания запросов на авторизацию и протоколов транзакций — фиксируемых данных о произведенных посредством пластиковых карт платежах и выдачах наличными. Для этого процессинговый центр ведет базу данных, которая, в частности, содержит данные о банках — членах платежной системы и держателях пластиковых карт. Процессинговый центр хранит сведения о лимитах держателей карт и выполняет запросы на авторизацию в том случае, если банк-эмитент не ведет собственной базы данных (off-line банк). В противном случае (on-line банк) процессинговый центр пересылает полученный запрос в банк-эмитент авторизируемой карты. Очевидно, что процессинговый центр обеспечивает и пересылку ответа банку-эквайеру. Для обеспечения надежной работы электронная платежная система должна быть надежно защищена. С точки зрения информационной безопасности в системах электронных платежей существуют следующие уязвимые место: • пересылка платежных и других сообщений между банком и клиентом и между банками; • обработка информации внутри организаций отправителя и получателя сообщений; • доступ клиентов к средствам, аккумулированным на счетах. Одним из наиболее уязвимых мест в системе электронных платежей является пересылка платежных и других сообщений между банками, между банком и банкоматом, между банком и клиентом. Пересылка платежных и других сообщений связана со следующими особенностями: · внутренние системы организаций отправителя и получателя должны быть приспособлены для отправки и получения электронных документов и обеспечивать необходимую защиту при их обработке внутри организации (защита оконечных систем); • взаимодействие отправителя и получателя электронного документа осуществляется опосредованно — через канал связи. Для обеспечения функций защиты информации на отдельных узлах системы электронных платежей должны быть реализованы следующие механизмы защиты: · управление доступом на оконечных системах; • контроль целостности сообщения; • обеспечение конфиденциальности сообщения; • взаимная аутентификация абонентов; • невозможность отказа от авторства сообщения; • гарантии доставки сообщения; • невозможность отказа от принятия мер по сообщению; • регистрация последовательности сообщений; • контроль целостности последовательности сообщений. Качество решения указанных выше проблем в значительной мере определяется рациональным выбором криптографических средств при реализации механизмов защиты. 3. Применение POS-терминалов и банкоматов возможно при использовании некоторого носителя информации, который мог бы идентифицировать пользователя и хранить определенные учетные данные. В качестве такого носителя информации выступают пластиковые карты. Одна из основных функций пластиковой карты — обеспечение идентификации использующего ее лица как субъекта платежной системы. Для этого на пластиковую карту наносят логотипы банка-эмитента и платежной системы, обслуживающей эту карту; имя держателя карты, номер его счета, срок действия карты и т. п. Кроме того, на карте может присутствовать фотография держателя и его подпись. Алфавитно-цифровые данные — имя, номер счета и др. — могут быть эмбоссированы, то есть нанесены рельефным шрифтом. Это дает возможность при ручной обработке принимаемых к оплате карт быстро перенести данные на чек с помощью специального устройства-импринтера, осуществляющего "прокатывание" карты (аналогично получению второго экземпляра при использовании копировальной бумаги). По принципу действия различают: • пассивные пластиковые карты; • активные пластиковые карты. Пассивные пластиковые карты всего лишь хранят информацию на том или ином носителе. К ним относятся пластиковые карты с магнитной полосой. Карты с магнитной полосой являются на сегодняшний день наиболее распространенными. Магнитная полоса располагается на обратной стороне карты и в соответствии со стандартом ISO 7811 состоит из трех дорожек. Из них первые две предназначены для хранения идентификационных данных, а на третью дорожку можно записывать информацию (например текущее значение лимита дебетовой карты). Однако из-за невысокой надежности многократно повторяемого процесса записи и считывания запись на магнитную полосу обычно не практикуется, и такие карты используются только в режиме считывания информации. Карты с магнитной полосой относительно уязвимы для мошенничества. Для повышения защищенности своих карт некоторые системы используют дополнительные графические средства защиты: голограммы и нестандартные шрифты для эмбоссирования. Платежные системы с подобными картами требуют on-line авторизации в торговых точках и, как следствие, наличия разветвленных, высококачественных средств коммуникации (телефонных линий). Поэтому с технической точки зрения подобные системы имеют серьезные ограничения по их применению в странах с плохо развитыми системами связи. Отличительная особенность активных пластиковых карт — наличие встроенной в нее электронной микросхемы. Стандарт ISO 7816 определяет основные требования к картам на интегральных микросхемах. В недалеком будущем карты с микросхемой вытеснят карты с магнитной полосой. Карты с микросхемой можно классифицировать по следующим признакам: • функциональные возможности карты: • карты-счетчики; • карты с памятью; • карты с микропроцессором; • тип обмена со считывающим устройством: • карты с контактным считыванием; • карты с индукционным считыванием. Карты-счетчикиприменяются, как правило, в тех случаях, когда та или инаяплатежная операция требует уменьшения остатка на счете держателя карты на некоторую фиксированную сумму. Подобные карты используются в специализированных приложениях с предоплатой (плата за использование телефона-автомата, оплата автостоянки и т. д.). Применение карт со счетчиком ограничено и не имеет большой перспективы. Карты с памятьюявляются переходными между картами со счетчиком и картами с процессором. Карта с памятью — это перезаписываемаякарта со счетчиком, а которой приняты меры, повышающие ее защищенность от атак злоумышленников. У простейших из существующих карт с памятью объем памяти может обставлятьот 32 байт до 16 килобайт. Карты с памятью можно подразделить на два типа: · с незащищенной (полнодоступной) памятью; • с защищенной памятью, В картах с незащищенной памятью нет никаких ограничений на чтение и запись данных, Их нельзя использоватьа качестве платежных, так как специалист средней квалификации может их достаточно просто "взломать". Карты с защищенной памятью имеют область идентификационных данных и одну или несколько прикладных областей, Идентификационная область карт допускает лишь однократную запись при персонализациии в дальнейшем доступна лишь для считывания. Доступ к прикладным областям регламентируется и осуществляется только при выполненииопределенных операций, в частности при вводе секретного PIN-кода, Уровень защиты карт с памятью выше, чем у магнитных карт, и они могут быть использованы в прикладных системах, в которых финансовые риски, связанные с мошенничеством, относительно невелики. В качестве платежного средства карты с памятью используются для оплаты таксофонов общего пользования, проезда в транспорте, в локальных платежных системах (клубные карты). Карты с памятью применяются также в системах допуска в помещения и доступа к ресурсам компьютерных сетей (идентификационные карты). Карты с памятью имеют более низкую стоимость по сравнению с картами с микропроцессором. Карты с микропроцессором также называют интеллектуальными картами, или смарт-картами (smart cards). Карты с микропроцессором представляют собой микрокомпьютеры и содержат все соответствующие основные аппаратные компоненты: центральный процессор (ЦП), оперативное запоминающее устройство (ОЗУ), постоянное запоминающее устройство (ПЗУ) и электрически стираемое программируемое ПЗУ (ЭСППЗУ). Смарт-карта обеспечивает обширный набор функций: • разграничение полномочий доступа к внутренним ресурсам (благодаря работе сзащищенной файловой системой); • шифрование данных с применением различных алгоритмов; • формирование электронной цифровой подписи; • выполнение всех операций взаимодействия владельца карты, Некоторые карты обеспечивают режим "самоблокировки" (невозможность дальнейшей работы с ней) при попытке несанкционированного доступа. Смарт-карты позволяют существенно упростить процедуру идентификации клиента. Для проверки PIN-кода применяется алгоритм, реализуемый микропроцессором на карте. Это позволяет отказаться от работы POS-терминала и банкомата в режиме реального времени и централизованной проверки PIN. Отмеченные выше особенности делают смарт-карту высокозащищенным платежным инструментом, который может быть использован в финансовых приложениях, предъявляющих повышенные требования к защите информации. Именно поэтому микропроцессорные смарт-карты рассматриваются в настоящее время как наиболее перспективный вид пластиковых карт. По принципу взаимодействия со считывающим устройством различают карты двух типов: • карты с контактным считыванием; • карты с бесконтактным считыванием. Карта с контактным считыванием имеет на своей поверхности контактные пластины. Их размещение, количество и назначение выводов различны у разных производителей и естественно, что считыватели для карт данного типа различаются между собой. В картах с бесконтактным считыванием обмен данными между картой и считывающим устройством производится индукционным способом. Такие карты надежнее и долговечнее. Важными этапами подготовки и применения пластиковых карт являются: • персонализация карты, которая осуществляется при выдаче карты клиенту. При этом на карту заносятся данные, позволяющие идентифицировать карту и ее держателя, а также осуществить • авторизация карты, то есть процесс утверждения продажи или выдачи наличных по карте. Для проведения авторизации точка обслуживания делает запрос платежной системе о подтверждении Способами персонализации карт являются: • эмбоссирование — процесс рельефного тиснения данных на пластиковой основе карты. На картах банков-эмитентов эмбоссируются, как правило, следующие данные: • номер карты; • даты начала и окончания срока ее действия; • фамилия и имя владельца; • кодирование магнитной полосы, при котором часть информации о карте, содержащая номер карты и период ее действия, одинакова как на магнитной полосе, так и на рельефе; • программирование микросхемы. Оно не требует особых технологических приемов, но зато ему присущи некоторые организационные особенности. Для повышения безопасности и исключения возможных злоупотреблений операции по программированию различных областей микросхемы разнесены территориально и разграничены по правам различных сотрудников, участвующих в этом процессе. Обычно эта процедура разбивается на три этапа: • на первом рабочем месте выполняется активация карты (ввод ее в действие); • на втором рабочем месте выполняются операции, связанные с обеспечением безопасности; • на третьем рабочем месте производится собственно персонализация карты. Процесс авторизации проводится либо "вручную", когда продавец или кассир передает запрос по телефону оператору (голосовая авторизация), либо автоматически, когда карта помещается в POS-терминал, данные считываются с карты, кассиром вводится сумма платежа, а владельцем карты со специальной клавиатуры — секретный PIN-код. После этого терминал осуществляет авторизацию, либо устанавливая связь с базой данных платежной системы (on-line режим), либо реализуя дополнительный обмен данными с самой картой (off-line авторизация). В случае выдачи наличных денег процесс носит аналогичный характер с той лишь особенностью, что деньги в автоматическом режиме выдаются специальным устройством — банкоматом, который и проводит авторизацию. Для защиты карт отподделки и последующего несанкционированного применения используются различные методы и способы: • нанесение на пластиковую основу черно-белой или цветной фотографии владельца карты методом термопечати; • наличие специальной полоски с образцом подписи владельца карты; • специальные объемные изображения на лицевой и оборотной стороне карты (голограммы).
|
При использовании материала ссылка на сайт Конспекта.Нет обязательна! (0.048 сек.) |