Автор работы: Пользователь скрыл имя, 25 Февраля 2014 в 13:35, курсовая работа
Основні завдання системи:
- задоволення потреб економіки, що реформується i розвивається;
- забезпечення керiвництва Національного банку оперативною i точною iнформацiєю про переміщення грошових коштів i стан кореспондентських рахунків для прийняття рішень щодо монетарної політики Національного банку України;
- скорочення витрат часу на виконання мiжбанкiвських розрахункiв;
- рiзке прискорення обiгу грошових коштiв, особливо великих сум;
- пiдвищення рiвня безпеки системи мiжбанкiвських розрахункiв;
- розширення спектра послуг для користувачiв;
ПЕРЕЛІК УМОВНИХ ПОЗНАЧЕНЬ ТА СКОРОЧЕНЬ……………………….8
ВСТУП……………………………………………………………………………....9
РОЗДІЛ 1. ЗАГАЛЬНІ ВІДОМОСТІ ПРО СИСТЕМУ ЕЛЕКТРОННИХ ПЛАТЕЖІВ
1.1. Огляд нормативно-правової бази СЕП……………………………….........11
1.2. Огляд міжнародних стандартів електронних розрахунків…………….....16
1.3. Структура та основні поняття платіжних систем…………………………18
1.4. Класифікація електронних систем…………………………………………20
1.4.1 Основні вимоги до платіжних систем……………………………..20
1.4.2. Класи цифрових грошей…………………………………………...20
1.4.3. Опис схем розрахунків платіжних систем …………………..…...22
1.5 Висновки по розділу ………………………………………………………...24
РОЗДІЛ 2. ОСНОВНІ АСПЕКТИ ЗАХИСТУ СИСТЕМИ ЕЛЕКТРОННИХ ПЛАТЕЖІВ
2.1. Складові СЕП………………………………………………………………..26
2.2. Канали передачі даних в СЕП……………………………………………..29
2.3. Етапи створення захисту платіжних систем………………………………31
2.3.1. Аналіз можливих загроз…………………………………………...31
2.3.2. Планування системи захисту…………………………………........33
2.3.3 Опис етапу реалізації системи захисту…………………………....34
2.4. Класифікація моделей порушників………………………………………...35
2.5 Засоби захисту інформаційної безпеки платіжних систем………………..38
2.6. Криптографічний захист інформації в СЕП………………………………40
2.6.1. Використання ЕЦП на базі RSA…………………………………..40
2.6.2. Засоби шифрування банківської інформації АЗЕГО, АРМ-НБУ та АРМ-СТП……………………………………………………………….43
2.7. Висновки по розділу………………………………………………………...45
РОЗДІЛ 3. ОСНОВНІ ПОНЯТТЯ І ПРИНЦИПИ ВИКОРИСТАННЯ ПЛАСТИКОВИХ КАРТОК
3.1. Види платіжних карт, основні поняття. ………………………………….47
3.1.1. Класифікація пластикових карток. ……………………………...49
3.1.2. Платіжна система. ………………………... ……………………….52
3.2. Технічні засоби використання карт. ……………………………………..54
3.2.1. Способи ідентифікації пластикових карт………………………..54
3.2.2. Особливості пристрою смарт-карти. ……………………………..58
3.3 Висновки по розділу……………………………………………………..…68
РОЗДІЛ 4. БЕЗПЕКА ВИКОРИСТАННЯ КАРТ ІЗ МАГНІТНОЮ СМУГОЮ
4.1. Застосування криптографії для карт із магнітною смугою………….….70
4.1.1 Просте шифрування. ……………………………………………….70
4.1.2.Обмін динамічним ключем.…………………………………….….72
4.1.3. Обробка PІN………………………………………………………..73
4.1.4. Обробка CVV………………………………………………………74
4.1.5.Работа з ключами…………………………………………………...75
4.1.6.Шифрування в закритому пристрої……………………………....76
4.1.7. Інші програми шифрування у фінансах…………………….. …....77
4.2. Пристрої обслуговування електронних платежів..……………………...78
4.2.1 Використання POS-терміналів. ……………………………………78
4.2.2. Використання банкоматів…………………………………………81
4.3. Висновки по розділу……………………………………………………….82
ВИСНОВКИ……………………………………………………………………..84
СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ ТА ЛІТЕРАТУРИ………………....8
2.6.2 Засоби шифрування банківської інформації АЗЕГО, АРМ-НБУ та АРМ-СТП.
Основним засобом шифрування платіжних файлів є апаратура захисту електронного грошового обігу (АЗЕГО). Робота цієї апаратури захисту контролюється вбудованою в АРМ-НБУ бібліотекою захисту і забезпечує апаратне шифрування інформації, що відповідає ГОСТ 28147-89.
Як резервний засіб шифрування в СЕП використовується вбудована в АРМ-НБУ функція програмного шифрування. Для інформаційних систем Національного банку програмне шифрування є основним засобом шифрування. Для кожного службового або інформаційного повідомлення, що обробляється АРМ-НБУ, генерується сеансовий ключ шифрування для алгоритму ГОСТ 28147-89, який обробляється відповідно до стандарту ISO 11166-94 і додасться до повідомлення в зашифрованому вигляді. Такий спосіб передавання повідомлень гарантує, що лише дійсний адресат повідомлення має змогу виконати дешифрування повідомлення .
Засоби шифрування АРМ-НБУ (як АЗЕГО, так і програмне шифрування) забезпечують сувору аутентифікацію адресата та відправника електронного банківського документа, його абсолютну достовірність та цілісність у результаті неможливості його підробки або викривлення в шифрованому вигляді.
АРМ-СТП (система термінових переказів) має вбудовану систему криптографічного захисту інформації, яка забезпечує взаємну аутентифікацію АРМ-СТП та NBU-NET під час встановлення сеансу зв'язку. Програмне шифрування пакетів електронних банківських документів виконується з використанням сеансового ключа, який формується під час встановлення сеансу зв'язку .
Під час роботи засобів шифрування банківської інформації в АРМ-НБУ та АРМ-СТП ведуться шифровані архіви оброблених електронних банківських документів у каталозі відкритого робочого дня разом із захищеним від модифікації протоколом роботи. Наприкінці банківського дня шифровані архіви та протоколи роботи АРМ-НБУ та АРМ-СТП підлягають обов'язковому архівуванню. Цей архів використовується службою захисту інформації Національного банку для надання інформаційних послуг відповідно до глави 6 цього розділу.
Основою криптографічного захисту є ключова система та самі ключі, тому інформація про це має закритий характер і розголошенню не піддягає.
Побудова ключової системи виконується службою захисту інформації Національного банку згідно з діючою системою захисту. Ключова система вміщує ключі асиметричного криптографічного алгоритму, що генеруються в банківських установах за допомогою наданих генераторів ключів та ключів симетричного шифрування, що використовуються для апаратного шифрування у формі захищених записів на електронних картках .
Ключова інформація та пароль дозволу роботи з апаратурою шифрування зберігаються в електронній картці, що унеможливлює підроблення ключової інформації та гарантує її захист від несанкціонованого використання під час виконання адміністративних вимог щодо зберігання та використання електронних карток. Електронні картки виготовляються службою захисту інформації Національного банку персонально для кожної банківської установи та розповсюджуються серед банківських установ - учасників СЕП службами захисту інформації територіальних управлінь.
Ключова інформація для програмного шифрування та для ЕЦП має генеруватися безпосередньо службовою особою банківської установи в присутності адміністратора захисту інформації (адміністратора банківської безпеки) за допомогою генератора ключів, який надасться службою захисту територіального управління. Генератори ключів є персональними, мають вбудований ідентифікатор банківської установи, який не може бути вилучений або змінений. Генератори мають можливість запису таємного ключа на носії двох видів - на дискету або на Touch Memory, у якому додатково вбудований захист від копіювання ключової інформації з одного носія на інший. Захист паролем таємних ключів, які зберігаються на дискетах, обов'язковий, що забезпечує додатковий захист від спроб несанкціонованого використання скопійованих таємних ключів. Довжина пароля становить шість символів і не може бути зменшена .
Генерація ключової інформації для апаратури захисту, її транспортування, контроль за її обліком і використанням, контроль за використанням апаратури захисту, техніко-експлуатаційне обслуговування та ремонт апаратури захисту, а також сертифікація відкритих ключів покладаються лише на службу захисту інформації Національного банку. [11]
2.7. Висновки по розділу
В другому розділі дипломної роботи були розглянуті основні аспекти захисту системи електронних платежів. Спочатку був огляд складових системи електронних платежів : прикладного програмного забезпечення, телекомунікаційного середовища та засобів захисту інформації. Потім описувались канали передачі даних в СЕП.
Далі розгляд класифікації моделей порушників: рівні порушників за можливостями; порушники за рівнем знань; порушники за методами і способами.
Потім був проведений аналіз етапів створення захисту платіжних систем: аналіз можливих загроз, планування системи захисту, опис етапу реалізації системи захисту. До засобів захисту інформаційної безпеки платіжних систем відносять правові, морально-етичні, адміністративні та фізичні засоби.
В пункті про криптографічний захист інформації в СЕП , розглядалися такі засоби як використання електронного цифрового підпису на базі асиметричного методу шифрування RSA, також засоби шифрування АЗЕГО, АРМ-НБУ та АРМ-СТП.
Додатково для захисту інформації в СЕП використовуються апаратні засоби шифрування в каналах телекомунікаційного зв'язку – апаратура захисту банківських даних (АЗБД). Ця апаратура забезпечує гарантований захист банківських електронних повідомлень від перейняття, підроблення та викривлення їх унаслідок зовнішнього впливу, підтримує абсолютну достовірність повідомлень, використовуючи електронні картки як носії ключової інформації. Ці засоби захисту «прозорі» для телекомунікаційних систем, сумісні зі стандартними протоколами зв'язку та працюють в автоматичному режимі.
РОЗДІЛ 3.
ОСНОВНІ ПОНЯТТЯ І ПРИНЦИПИ ВИКОРИСТАННЯ ПЛАСТИКОВИХ КАРТОК
3.1. Види платіжних карт, основні поняття.
Пластикові картки
Рис 3.1.
Пластикова картка ‒ це персоніфікований платіжний інструмент, що надає особі можливість безготівкової оплати товарів і / або послуг, а також отримання готівкових коштів у відділеннях (філіях) банків та банківських автоматах (банкоматах). Приймаючи картку підприємства торгівлі/сервісу та відділення банків утворюють мережу точок обслуговування картки (або прийомну мережу).
Особливістю продажу та видачі готівки по картках є те, що ці операції здійснюються магазинами і, відповідно, банками "в борг" ‒ товари та готівкові надаються клієнтам відразу, а кошти на їх відшкодування надходять на рахунки обслуговуючих підприємств найчастіше через деякий час (не більше декількох днів). Гарантом виконання платіжних зобов'язань, що виникають у процесі обслуговування пластикових карток, є їх банк-емітент. Тому картки протягом усього терміну дії залишаються власністю банку, а клієнти карток отримують їх лише у користування. Характер гарантій банка-емітента залежить від платіжних повноважень, наданих клієнту і фіксуються класом картки.
При видачі картки клієнту здійснюється його персоналізація - на неї заносяться дані, що дозволяють ідентифікувати картку і її власника, а також здійснити перевірку платоспроможності картки при прийомі її до оплати або видачі готівкових грошей. Процес затвердження продажу або видачі готівки по картці називається авторизацією. Для її проведення точка обслуговування робить запит платіжній системі про підтвердження повноважень пред'явника картки і його фінансових можливостей. Технологія авторизації залежить від схеми платіжної системи, типу картки і технічної оснащеності точки обслуговування. Традиційно авторизація проводиться "вручну", коли продавець або касир передає запит по телефону оператору (голосова авторизація), або автоматично, картка поміщається в POS-термінал або торговий термінал (POS - Point Of Sale), дані зчитуються з картки, касиром вводиться сума платежу, а власником картки зі спеціальної клавіатури - секретний ПІН-код (ПІН - Персональний Ідентифікаційний Номер). Після цього термінал здійснює авторизацію або встановлюючи зв'язок з базою даних платіжної системи (on-line режим), або здійснюючи додатковий обмін даними з самою карткою (off-line авторизація). У разі видачі готівки процедура носить аналогічний характер з тією лише особливістю, що гроші в автоматичному режимі видаються спеціальним пристроєм - банкоматом, який і проводить авторизацію.
При здійсненні розрахунків власник картки обмежений рядом лімітів. Характер лімітів і умови їх використання можуть бути досить різноманітними. Однак в загальних рисах все зводиться до двох основних сценаріїв.
Тримач дебетової картки повинен заздалегідь внести на свій рахунок у банку-емітенті деяку суму. Її розмір і визначає ліміт доступних коштів. При здійсненні розрахунків з використанням картки синхронно зменшується і ліміт. Контроль ліміту здійснюється при проведенні авторизації, яка при використанні дебетової картки є обов'язковою завжди. Для відновлення (або збільшення) ліміту власникові картки необхідно знову внести кошти на свій рахунок.
Для забезпечення платежів власник картки може не вносити попередньо кошти, а отримати в банку-емітенті кредит. Подібна схема реалізується при оплаті за допомогою кредитної картки. У цьому випадку ліміт пов'язаний з величиною наданого кредиту, в рамках якого власник картки може витрачати кошти. Кредит може бути як одноразовим, так і поновлюваним. Поновлення кредиту в залежності від договору з власником картки відбувається після погашення, або всієї суми заборгованості, або певної її частини.
За способом розрахунків:
- Кредитні картки, дає власнику
користуватися кредитом при
- Дебетові картки, призначені для
отримання готівки в банківськи
За способом запису інформації на картку:
Графічна запис - найбільш проста форма запису інформації на картку. Графічним методом наноситься фотографічне зображення власника картки і лазерний зразок підпису.
Ембосування (emboss) нанесення даних на карту у вигляді рельєфних знаків дозволило швидше оформляти операції оплати карткою, роблячи відбиток зліпка. З метою боротьби з шахрайством використовуються зліпи без копіювального шару, але спосіб інформації залишився тим самим - механічний тиск.
Штрих-кодування - спосіб запису на карту застосовувався до винаходу магнітної смуги і в платіжних системах розповсюдження не отримав.
Магнітні картки - пластикові картки з магнітною смугою, яка містить обсяг інформаційної пам'яті близько 100MB, яка зчитується спеціальним пристроєм. Інформація, що міститься на магнітній смузі, збігається з записами на передній стороні картки: ім'я, номер рахунку власника і дата закінчення дії картки.
В даний час магнітний запис ‒ є найпоширеніший спосіб нанесення інформації на пластикові картки. Проте магнітна смуга не забезпечує необхідного рівня захисту від підробок.
Карти пам'яті (смарт-карти) ‒ пластикова картка з вбудованою мікросхемою, яка містить запам'ятовуючий пристрій. Рівень захисту карти пам'яті досить не високий, і вони використовуються для оплати телефонних розмов та інших операцій, що не вимагають високого рівня захисту інформації. Смарт-карта зовні схожі на карти пам'яті, проте мікросхема смарт-карти є мікропроцесор. Назва смарт-карта (smart- з анг. розумний) пов'язано з можливістю виконувати складні операції з обробки інформації.
Мікросхеми смарт-карти є повні мікроконтролери, здатні виконувати розрахунки. Виготовлення смарт-карт дорожче інших видів пластикових карток: вартість залежить від обсягу пам'яті і рівня захисту вбудованої мікросхеми.
Карти оптичної пам'яті - мають велику ємність, запис і зчитування проводиться спеціальною апаратурою. Великого поширення в банківських технологіях не знайшла у зв'язку з високою вартістю карт і зчитуючого обладнання.
За приналежності до установи-емітенту:
- Банківські картки (емітент банк або консорціум банків);
-Комерційні картки (емітент нефінансова установа).
За сферою використання:
- Універсальні картки - для оплати будь-яких товарів і послуг;
- Приватні комерційні карти - для оплати спеціальних послуг (карти готельних мереж, автозаправних станцій, супермаркетів).
За територіальну приналежність:
- Міжнародні;
- Національні;
- Локальні;
- Карти, що діють в одній установі.
За часом використання:
- Обмежені часовим проміжком;
- Необмежені (безстрокові).
Банківські та інші карти, що використовуються
для розрахунків:
- Автономний «електронний гаманець» (працює
в режимі off-line);
- Ключ до рахунку ‒ засіб ідентифікації.
Більшість сучасних карток, є ідентифікаторами, а не електронними гаманцями. [10]