Угрозы, связанные с использованием систем электронных платежей
Материалы » Анализ электронных платежных систем » Угрозы, связанные с использованием систем электронных платежей
Рассмотрим возможные угрозы разрушающих действий злоумышленника по отношению к данной системе. Для этого рассмотрим основные объекты нападения злоумышленника. Главным объектом нападения злоумышленника являются финансовые средства, точнее их электронные заместители (суррогаты) - платежные поручения, циркулирующие в платежной системе. По отношению к данным средствам злоумышленник может преследовать следующие цели:
1. Похищение финансовых средств.
2. Внедрение фальшивых финансовых средств (нарушение финансового баланса системы).
3. Нарушение работоспособности системы (техническая угроза).
Указанные объекты и цели нападения носят абстрактный характер и не позволяют провести анализ и разработку необходимых мер защиты информации, поэтому в таблице 4 приводится конкретизация объектов и целей разрушающих воздействий злоумышленника.
Таблица 4 Модель возможных разрушающих действий злоумышленника
|
Объект воздействия |
Цель воздействия |
Возможные механизмы реализации воздействия. |
|
HTML-страницы на web-сервере банка |
Подмена с целью получение информации, вносимой в платежное поручение клиентом. |
Атака на сервер и подмена страниц на сервере. Подмена страниц в трафике. Атака на компьютер клиента и подмена страниц у клиента |
|
Клиентские информационные страницы на сервере |
Получение информации о платежах клиента (ов) |
Атака на сервер. Атака на трафик. Атака на компьютер клиента. |
|
Данные платежного поручения, вносимые клиентом в форму |
Получение информации, вносимой в платежное поручение клиентом. |
Атака на компьютер клиента (вирусы и т.д.). Атака на данные поручения при его пересылке по трафику. Атака на сервер. |
|
Частная информация клиента, расположенная на компьютере клиента и не относящаяся к системе электронных платежей |
Получение конфиденциальной информации клиента. Модификация информации клиента. Выведение из строя компьютера клиента. |
Весь комплекс известных атак на компьютер, подключенный к сети Интернет. Дополнительные атаки, которые появляются в результате использования механизмов платежной системы. |
|
Информация процессингового центра банка. |
Раскрытие и модификация информации процессингового центра и локальной сети банка. |
Атака на локальную сеть, подключенную к Интернет. |
Из данной таблицы вытекают базовые требования, которым должна удовлетворять любая система электронных платежей через Интернет:
Во-первых, система должна обеспечивать защиту данных платежных поручений от несанкционированного изменения и модификации.
Во-вторых, система не должна увеличивать возможности злоумышленника по организации атак на компьютер клиента.
В-третьих, система должна обеспечивать защиту данных, расположенных на сервере от несанкционированного чтения и модификации.
В-четвертых, система должна обеспечивать или поддерживать систему защиты локальной сети банка от воздействия из глобальной сети.
В ходе разработки конкретных систем защиты информации электронных платежей, данная модель и требования должны быть повергнуты дальнейшей детализации. Тем не менее, для текущего изложения подобная детализация не требуется.
Статьи по теме:
Оценка кредитоспособности физических лиц
Оценка финансового состояния заемщика ― физического лица как и юридического лица является важным этапом в кредитном процессе. Вместе с тем методика данной оценки имеет определенные особенности и осуществляется перед предоставлением ему кредита. Дальнейший анализ осуществляется в случае измен ...
Условия и предпосылки возникновения менеджмента
Сегодня вряд ли кто скажет, как и когда зародилось искусство и наука управления. Менеджмент в той или иной форме существовал всегда там, где люди работали группами и, как правило, в трех сферах человеческого общества:
Политической – необходимость установления и поддержания порядка в группах;
Эко ...
Анализ продуктов и услуг, предлагаемых банком
В 2008 году банк проводил консервативную политику в части кредитования, направленную на снижение рисков при кредитовании клиентов, при этом внимание уделялось не только совершенствованию внутренних процедур рассмотрения и предоставления кредитов, но и информационному взаимодействию в системе бюро ...