Угрозы, связанные с использованием систем электронных платежей
Материалы » Анализ электронных платежных систем » Угрозы, связанные с использованием систем электронных платежей
Рассмотрим возможные угрозы разрушающих действий злоумышленника по отношению к данной системе. Для этого рассмотрим основные объекты нападения злоумышленника. Главным объектом нападения злоумышленника являются финансовые средства, точнее их электронные заместители (суррогаты) - платежные поручения, циркулирующие в платежной системе. По отношению к данным средствам злоумышленник может преследовать следующие цели:
1. Похищение финансовых средств.
2. Внедрение фальшивых финансовых средств (нарушение финансового баланса системы).
3. Нарушение работоспособности системы (техническая угроза).
Указанные объекты и цели нападения носят абстрактный характер и не позволяют провести анализ и разработку необходимых мер защиты информации, поэтому в таблице 4 приводится конкретизация объектов и целей разрушающих воздействий злоумышленника.
Таблица 4 Модель возможных разрушающих действий злоумышленника
|
Объект воздействия |
Цель воздействия |
Возможные механизмы реализации воздействия. |
|
HTML-страницы на web-сервере банка |
Подмена с целью получение информации, вносимой в платежное поручение клиентом. |
Атака на сервер и подмена страниц на сервере. Подмена страниц в трафике. Атака на компьютер клиента и подмена страниц у клиента |
|
Клиентские информационные страницы на сервере |
Получение информации о платежах клиента (ов) |
Атака на сервер. Атака на трафик. Атака на компьютер клиента. |
|
Данные платежного поручения, вносимые клиентом в форму |
Получение информации, вносимой в платежное поручение клиентом. |
Атака на компьютер клиента (вирусы и т.д.). Атака на данные поручения при его пересылке по трафику. Атака на сервер. |
|
Частная информация клиента, расположенная на компьютере клиента и не относящаяся к системе электронных платежей |
Получение конфиденциальной информации клиента. Модификация информации клиента. Выведение из строя компьютера клиента. |
Весь комплекс известных атак на компьютер, подключенный к сети Интернет. Дополнительные атаки, которые появляются в результате использования механизмов платежной системы. |
|
Информация процессингового центра банка. |
Раскрытие и модификация информации процессингового центра и локальной сети банка. |
Атака на локальную сеть, подключенную к Интернет. |
Из данной таблицы вытекают базовые требования, которым должна удовлетворять любая система электронных платежей через Интернет:
Во-первых, система должна обеспечивать защиту данных платежных поручений от несанкционированного изменения и модификации.
Во-вторых, система не должна увеличивать возможности злоумышленника по организации атак на компьютер клиента.
В-третьих, система должна обеспечивать защиту данных, расположенных на сервере от несанкционированного чтения и модификации.
В-четвертых, система должна обеспечивать или поддерживать систему защиты локальной сети банка от воздействия из глобальной сети.
В ходе разработки конкретных систем защиты информации электронных платежей, данная модель и требования должны быть повергнуты дальнейшей детализации. Тем не менее, для текущего изложения подобная детализация не требуется.
Статьи по теме:
Комплексное изучение бухгалтерского баланса
в целях уточнения кредитного рейтинга предприятия
В связи с тем, что в отчетных документах ООО "Прогресс-Агро" встречаются сомнительные показатели, бухгалтерия предприятия должна с особой тщательностью относиться ко всем бухгалтерским записям, не допуская ошибок в проводках.
При отражении операций, связанных с учетом движения краткосро ...
Действия страхователей и потерпевших при наступлении страхового случая и
определение размера страховой выплаты
В случае, когда страхователь, а также водитель, управляющий транспортным средством в отсутствие страхователя, являются участниками дорожно-транспортного происшествия, они обязаны сообщить другим участникам указанного происшествия по их требованию сведения о договоре обязательного страхования, по к ...
Виды банковских счетов и счетов по вкладам
Для понимания сущности и значения договора банковского счета для современного гражданского оборота необходимо рассмотреть разновидности счетов, открываемых в соответствии с действующим законодательством и подзаконными актами.
Банки открывают в валюте Российской Федерации и иностранных валютах сле ...