Угрозы, связанные с использованием систем электронных платежей
Материалы » Анализ электронных платежных систем » Угрозы, связанные с использованием систем электронных платежей
Рассмотрим возможные угрозы разрушающих действий злоумышленника по отношению к данной системе. Для этого рассмотрим основные объекты нападения злоумышленника. Главным объектом нападения злоумышленника являются финансовые средства, точнее их электронные заместители (суррогаты) - платежные поручения, циркулирующие в платежной системе. По отношению к данным средствам злоумышленник может преследовать следующие цели:
1. Похищение финансовых средств.
2. Внедрение фальшивых финансовых средств (нарушение финансового баланса системы).
3. Нарушение работоспособности системы (техническая угроза).
Указанные объекты и цели нападения носят абстрактный характер и не позволяют провести анализ и разработку необходимых мер защиты информации, поэтому в таблице 4 приводится конкретизация объектов и целей разрушающих воздействий злоумышленника.
Таблица 4 Модель возможных разрушающих действий злоумышленника
|
Объект воздействия |
Цель воздействия |
Возможные механизмы реализации воздействия. |
|
HTML-страницы на web-сервере банка |
Подмена с целью получение информации, вносимой в платежное поручение клиентом. |
Атака на сервер и подмена страниц на сервере. Подмена страниц в трафике. Атака на компьютер клиента и подмена страниц у клиента |
|
Клиентские информационные страницы на сервере |
Получение информации о платежах клиента (ов) |
Атака на сервер. Атака на трафик. Атака на компьютер клиента. |
|
Данные платежного поручения, вносимые клиентом в форму |
Получение информации, вносимой в платежное поручение клиентом. |
Атака на компьютер клиента (вирусы и т.д.). Атака на данные поручения при его пересылке по трафику. Атака на сервер. |
|
Частная информация клиента, расположенная на компьютере клиента и не относящаяся к системе электронных платежей |
Получение конфиденциальной информации клиента. Модификация информации клиента. Выведение из строя компьютера клиента. |
Весь комплекс известных атак на компьютер, подключенный к сети Интернет. Дополнительные атаки, которые появляются в результате использования механизмов платежной системы. |
|
Информация процессингового центра банка. |
Раскрытие и модификация информации процессингового центра и локальной сети банка. |
Атака на локальную сеть, подключенную к Интернет. |
Из данной таблицы вытекают базовые требования, которым должна удовлетворять любая система электронных платежей через Интернет:
Во-первых, система должна обеспечивать защиту данных платежных поручений от несанкционированного изменения и модификации.
Во-вторых, система не должна увеличивать возможности злоумышленника по организации атак на компьютер клиента.
В-третьих, система должна обеспечивать защиту данных, расположенных на сервере от несанкционированного чтения и модификации.
В-четвертых, система должна обеспечивать или поддерживать систему защиты локальной сети банка от воздействия из глобальной сети.
В ходе разработки конкретных систем защиты информации электронных платежей, данная модель и требования должны быть повергнуты дальнейшей детализации. Тем не менее, для текущего изложения подобная детализация не требуется.
Статьи по теме:
Страховой надзор. Нормативная документация страхового надзора
Закон «Об организации страхового дела в Российской Федерации» от 27 ноября 1992 года №4015–1 (с последними изменениями, внесенными Федеральным Законом от 07.03.2005 №12-ФЗ), определяет, что страховой надзор за деятельностью субъектов страхового дела осуществляется в целях соблюдения ими страхового ...
Проблемы организации ипотечного бизнеса в России
Ипотечному бизнесу в РФ насчитывается несколько лет. За это время было создано 35 специализированных ипотечных банков, которые, по сути, таковыми не стали. Некоторые из них успели или разориться, или в корне пересмотреть свою политику на финансовом рынке в сторону коммерческих кредитов. Банки в ус ...
Экономическое содержание
страхового рынка
страхование защита общество
Страховой рынок - это сфера специфических экономических отношений, складывающихся между страхователями (застрахованными лицами, выгодоприобретателями), нуждающимися в силу возможного случайного наступления неблагоприятных для их материальных, нематериальных ценностей ( ...