ЗМІСТ
Введення
1. Системи електронних платежів та їх класифікація
1.1 Основні поняття
1.2 Класифікація електронних платіжних систем
1.3 Аналіз основних електронних платіжних систем, що використовуються в Росії
2. Засоби захисту систем електронних платежів
2.1 Загрози, пов'язані з використанням систем електронних платежів
2.2 Технології захисту електронних платіжних систем
2.3 Аналіз технологій на відповідність базовим вимогам до систем електронних платежів
Висновок
Бібліографічний список
ВСТУП
Вузькоспеціальні, мало кому цікава ще років 10 тому тема електронних платежів та електронних грошей останнім часом стала актуальною не тільки для бізнесменів, але й кінцевих користувачів. Модні слова "e-business", "e-commerce" знає, напевно, кожен другий, хто хоч зрідка читає комп'ютерну або популярну пресу. Завдання дистанційної оплати (переказу грошей на великі відстані) з розряду спеціальних перейшла в повсякденні. Однак велика кількість інформації з цього питання зовсім не сприяє ясності в умах громадян. Як через складність і концептуальної неопрацьованість проблеми електронних розрахунків, так і в силу того, що багато популяризатори працюють найчастіше за принципом зіпсованого телефону, на побутовому-то рівні всі, звичайно, зрозуміло кожному. Але це до тих пір, поки не настане черга практичного освоєння електронних платежів. Ось тут-то і виявляється нерозуміння того, наскільки доречно використання електронних платежів в тих чи інших випадках.
Між тим задача прийому електронних платежів стає все більш актуальною для тих, хто збирається займатися комерцією з використанням Інтернету, а також і для тих, хто збирається здійснювати покупки через Мережу. Ця стаття призначена і тим, і іншим.
Основною проблемою при розгляді систем електронних платежів для новачка є різноманіття їх принципів роботи і те, що при зовнішній схожості реалізації в їх глибині можуть бути приховані досить різні технологічні та фінансові механізми.
Стрімкий розвиток популярності глобальне мережі Інтернет призвело до виникнення потужного імпульсу розвитку нових підходів і рішень в самих різних областях світової економіки. Новим течіям піддалися навіть такі консервативні системи, як системи електронних платежів в банках. Це виразилося в появі і розвитку нових систем платежів - систем електронних платежів через Інтернет, головна перевага яких полягає в тому, що клієнти можуть здійснювати платежі (фінансові транзакції), минаючи виснажливі і іноді технічно трудноосуществіма етап фізичної транспортування платіжного доручення до банку. Банки та банківські установи також зацікавлені у впровадженні даних систем, так вони дозволяють підвищити швидкість обслуговування клієнтів і знизити накладні витрати на здійснення платежів.
У системах електронних платежів циркулюють інформація, в тому числі і конфіденційна, яка вимагає захисту від перегляду, модифікації та нав'язуванні неправдивої інформації. Розробка відповідних технологій захисту, орієнтованих на Інтернет, викликає серйозні труднощі в даний час. Причина цього в тому, що архітектура, основні ресурси і технології мережі Internet орієнтовані на організацію доступу або збору відкритої інформації. Тим не менш, останнім часом з'явилися підходи і рішення, що свідчать про можливість застосування стандартних технологій Інтернет в побудові систем захищеної передачі інформації через Інтернет.
Метою РГР є аналіз систем електронних платежів і розробка рекомендацій щодо використання кожної з них. Виходячи з поставленої мети, сформульовані такі етапи виконання РГР:
1. Визначити основні завдання систем електронних платежів і принципи їх функціонування, їх особливості.
2. Проаналізувати основні системи електронних платежів.
3. Проаналізувати загрози, пов'язані з використанням електронних грошей.
4. Проаналізувати засоби захисту при використанні електронних платіжних систем.
5. Розробити рекомендації щодо використання електронних платіжних систем.
1. СИСТЕМИ ЕЛЕКТРОННИХ ПЛАТЕЖІВ ТА ЇХ КЛАСИФІКАЦІЯ
1.1 Основні поняття
Електронні розрахунки. Почнемо з того, що правомірно говорити про появу електронних розрахунків як виду безготівкових розрахунків у другій половині ХХ століття. Говорячи інакше, передача інформації про платежі по проводах існувала давно, але набула принципово нову якість, коли на обох кінцях проводів з'явилися комп'ютери. Інформація передавалася за допомогою телекса, телетайпа, комп'ютерних мереж, що з'явилися у той час. Якісно новий стрибок висловлювався в тому, що швидкість здійснення платежів значно зросла і з'явилася можливість їх автоматичної обробки.
У подальшому виникли також і електронні еквіваленти інших видів розрахунків - готівкових платежів та інших платіжних засобів (наприклад, чеків).
Електронні платіжні системи (ЕПС). Електронної платіжною системою ми називаємо будь-який комплекс специфічних апаратних і програмних засобів, що дозволяє проводити електронні розрахунки.
Існують різні способи і канали зв'язку для доступу до ЕПС. Сьогодні найпоширенішим з цих каналів є Інтернет. Посилюється поширення ЕПС, доступ до яких здійснюється за допомогою мобільного телефону (через SMS, WAP та інші протоколи). Менш поширені інші способи: по модему, по телефону з тональним набором, по телефону через оператора.
Електронні гроші. Розпливчастий термін. Якщо уважно розглянути те, що за ним криється, легко зрозуміти, що електронні гроші - це некоректна назва "електронної готівки", а також електронних платіжних систем як таких.
Це непорозуміння в термінології обумовлено вільністю перекладу термінів з англійської мови. Оскільки електронні розрахунки в Росії розвивалися набагато повільніше, ніж у Європі та Америці, ми змушені були користуватися міцно укоренилася термінами. Безумовно, мають право на життя такі назви електронної готівки, як "цифрова готівка" (e-cash), "цифрові гроші" (digital money), "електронна готівка" (digital cash) 2.
У цілому термін "електронні гроші" нічого конкретного не означає, тому надалі ми будемо намагатися уникати його використання.
Електронна готівка:
- Це з'явилася в 90-х роках минулого століття технологія, що дозволяє проводити електронні розрахунки, не прив'язані прямо до перекладу грошей з рахунку на рахунок у банку чи іншої фінансової установи, тобто безпосередньо між особами - кінцевими учасниками платежу. Іншим найважливішим властивістю електронної готівки є забезпечувана нею анонімність платежів. Авторизаційний центр, що засвідчує платіж, не має інформації про те, хто конкретно і кому перекладав гроші.
Електронна готівка представляє собою один з видів електронних розрахунків. Одиниця електронної готівки - не що інше, як фінансове зобов'язання емітента (банку або іншої фінансової установи), по суті своїй схоже з звичайним векселем. Розрахунки за допомогою електронної готівки з'являються там, де стає незручним використання інших систем оплати. Наочний приклад - небажання покупця повідомляти інформацію про свою кредитну картку при оплаті товару в Інтернеті.
Визначившись з термінологією, ми можемо перейти до наступного етапу нашої розмови - поговоримо про класифікацію ЕПС. Оскільки ЕРС опосередковує електронні розрахунки, в основу розподілу ЕПС покладено різні види цих розрахунків.
Крім того, в цьому питанні дуже важливу роль грає програмна та / або апаратна технологія, на якій базується механізм ЕПС.
1.2 Класифікація електронних платіжних систем
Електронні платіжні системи можна класифікувати, грунтуючись як на специфіці електронних розрахунків, так і на базі конкретної технології, що лежить в основі ЕПС.
Класифікація ЕПС в залежності від виду електронних розрахунків:
1. За складом учасників платежу (таб. 1).
Таблиця 1
Ми не будемо в подальшому розглядати ті ЕРС, які покликані обслуговувати електронні розрахунки виду "банк-банк". Такі системи надзвичайно складні, вони зачіпають більшою мірою технологічні аспекти функціонування банківської системи, і широким масам наших читачів вони, швидше за все, нецікаві.
Додатково слід зазначити, що існує ще один тип платежів, логічно не зовсім вписується в таблицю 1. За формальними ознаками він повністю потрапляє в область С2В, але тим не менше не може бути забезпечений засобами широко поширених ЕРС цього виду. Для мікроплатежів характерна вкрай невелика (центи або частки цента) вартість товару. Найхарактерніший для всіх популярних статей приклад системи, що реалізує мікроплатежі, - це продаж анекдотів (по центу за штуку). Для здійснення мікроплатежів підходять такі системи, як Eaccess і Phonepay.
2. По виду проведення операцій (таб. 2).
Таблиця 2
Необхідно зазначити, що системи виду "клієнт - банк" відомі досить давно. Доступ до свого рахунку в банку можна було отримати за допомогою модему. За останнє десятиліття з'явилися нові можливості управління своїм рахунком з допомогою Інтернету, через зручний для користувача web-інтерфейс. Ця послуга отримала назву "Інтернет-банкінгу" і не внесла нічого принципово нового в платіжні системи виду "клієнт-банк". Крім того, існують інші можливості доступу до банківського рахунку, наприклад, за допомогою мобільного телефону (WAP-банкінг, SMS-банкінг). У зв'язку з цим у цій статті ми не будемо спеціально зупинятися на подібного роду ЕПС, відзначимо лише, що зараз в Росії послуги Інтернет-банкінгу надають близько 100 комерційних банків, використовуючи більш 10 різних ЕПС.
Класифікація ЕПС в залежності від використовуваної технології:
Одним з найважливіших якостей ЕРС є стійкість до злому. Мабуть, це найбільш обговорювана характеристика подібних систем. Як видно з таблиці 3, при вирішенні проблеми безпеки системи більшість підходів до побудови ЕПС грунтується на секретності якоїсь центральної бази даних, яка містить критичну інформацію. У той же час деякі з них додають до цієї секретній базі даних додаткові рівні захисту, засновані на стійкості апаратури.
У принципі, є й інші технології, на основі яких можуть будуватися ЕПС. Наприклад, не так давно в ЗМІ пройшло повідомлення про розробку ЕПС, заснованої на CDR-дисках, вбудованих в пластикову картку. Однак подібні системи не отримали широкого поширення у світовій практиці, у зв'язку з чим ми не будемо загострювати на них увагу.
Таблиця 3
1.3 Аналіз основних електронних платіжних систем, що використовуються в Росії
В даний час в російському Інтернеті використовується досить багато електронних платіжних систем, хоча не всі вони отримали широке поширення. Характерно, що практично всі західні платіжні системи, що використовуються в Рунеті, прив'язані до кредитних карток. Деякі з них, наприклад, PayPal, офіційно відмовляються працювати з клієнтами з Росії. Найбільшого поширення на сьогоднішній день отримали наступні системи:
1) CyberPlat
2) Assist
3) Paycash
4) Webmoney
CyberPlat відноситься до систем змішаного типу (з точки зору будь-який з вищенаведених класифікацій). По суті справи, можна сказати, що всередині цієї системи під одним дахом зібрані три окремі: класична система "клієнт-банк", що дозволяє клієнтам управляти рахунками, відкритими в банках-учасниках системи (11 російських банків і 1 латвійський); система CyberCheck, що дозволяє проводити захищені платежі між юридичними особами, підключеними до системи; і система Інтернет-еквайрингу, тобто обробки платежів, які вживаються з кредитних карток - CyberPos. Серед всіх систем Інтернет-еквайрингу, наявних на російському ринку, CyberPlat забезпечує обробку найбільшої кількості видів кредитних карток, а саме: Visa, Mastercard / Eurocard, American Exdivss7, Diners Club, JCB, Union Card, оголошено про швидке підключення до системи STB-card і АККОРД-кард/Башкард. Неофіційно співробітники компанії стверджували, що опрацьовують можливість стикування і з іншими російськими картковими системами. На додаток до перерахованих компанія CyberPlat забезпечує обробку скретч-карток платіжної системи E-port і оголосила про підготовку введення в дію шлюзу з системою Paycash.
В даний час для підвищення рівня захисту від платежів з крадених кредитних карт компанія виробляє розробку спеціалізованої технології PalPay, яка полягає у тому, що продавцю надається можливість перевірити, чи дійсно покупець має доступ до банківського рахунку, пов'язаному з кредитною картою, або тільки знає її реквізити. Офіційно про введення цієї технології в експлуатацію ще не оголошено.
Великий інтерес для організації роботи з корпоративними партнерами представляє система CyberCheck. Її основною особливістю (у порівнянні з прийомом платежів за кредитними картками) є неможливість відмови платника від здійснення платежу постфактум. Іншими словами, отримання підтвердження про платіж з CyberCheck так само надійно, як і отримання такого підтвердження з банку, де розміщений рахунок продавця. Всі ці характеристики роблять CyberPlat, мабуть, найбільш просунутою і цікавою для продавців ЕПС російського Інтернету. Введення
1. Системи електронних платежів та їх класифікація
1.1 Основні поняття
1.2 Класифікація електронних платіжних систем
1.3 Аналіз основних електронних платіжних систем, що використовуються в Росії
2. Засоби захисту систем електронних платежів
2.1 Загрози, пов'язані з використанням систем електронних платежів
2.2 Технології захисту електронних платіжних систем
2.3 Аналіз технологій на відповідність базовим вимогам до систем електронних платежів
Висновок
Бібліографічний список
ВСТУП
Вузькоспеціальні, мало кому цікава ще років 10 тому тема електронних платежів та електронних грошей останнім часом стала актуальною не тільки для бізнесменів, але й кінцевих користувачів. Модні слова "e-business", "e-commerce" знає, напевно, кожен другий, хто хоч зрідка читає комп'ютерну або популярну пресу. Завдання дистанційної оплати (переказу грошей на великі відстані) з розряду спеціальних перейшла в повсякденні. Однак велика кількість інформації з цього питання зовсім не сприяє ясності в умах громадян. Як через складність і концептуальної неопрацьованість проблеми електронних розрахунків, так і в силу того, що багато популяризатори працюють найчастіше за принципом зіпсованого телефону, на побутовому-то рівні всі, звичайно, зрозуміло кожному. Але це до тих пір, поки не настане черга практичного освоєння електронних платежів. Ось тут-то і виявляється нерозуміння того, наскільки доречно використання електронних платежів в тих чи інших випадках.
Між тим задача прийому електронних платежів стає все більш актуальною для тих, хто збирається займатися комерцією з використанням Інтернету, а також і для тих, хто збирається здійснювати покупки через Мережу. Ця стаття призначена і тим, і іншим.
Основною проблемою при розгляді систем електронних платежів для новачка є різноманіття їх принципів роботи і те, що при зовнішній схожості реалізації в їх глибині можуть бути приховані досить різні технологічні та фінансові механізми.
Стрімкий розвиток популярності глобальне мережі Інтернет призвело до виникнення потужного імпульсу розвитку нових підходів і рішень в самих різних областях світової економіки. Новим течіям піддалися навіть такі консервативні системи, як системи електронних платежів в банках. Це виразилося в появі і розвитку нових систем платежів - систем електронних платежів через Інтернет, головна перевага яких полягає в тому, що клієнти можуть здійснювати платежі (фінансові транзакції), минаючи виснажливі і іноді технічно трудноосуществіма етап фізичної транспортування платіжного доручення до банку. Банки та банківські установи також зацікавлені у впровадженні даних систем, так вони дозволяють підвищити швидкість обслуговування клієнтів і знизити накладні витрати на здійснення платежів.
У системах електронних платежів циркулюють інформація, в тому числі і конфіденційна, яка вимагає захисту від перегляду, модифікації та нав'язуванні неправдивої інформації. Розробка відповідних технологій захисту, орієнтованих на Інтернет, викликає серйозні труднощі в даний час. Причина цього в тому, що архітектура, основні ресурси і технології мережі Internet орієнтовані на організацію доступу або збору відкритої інформації. Тим не менш, останнім часом з'явилися підходи і рішення, що свідчать про можливість застосування стандартних технологій Інтернет в побудові систем захищеної передачі інформації через Інтернет.
Метою РГР є аналіз систем електронних платежів і розробка рекомендацій щодо використання кожної з них. Виходячи з поставленої мети, сформульовані такі етапи виконання РГР:
1. Визначити основні завдання систем електронних платежів і принципи їх функціонування, їх особливості.
2. Проаналізувати основні системи електронних платежів.
3. Проаналізувати загрози, пов'язані з використанням електронних грошей.
4. Проаналізувати засоби захисту при використанні електронних платіжних систем.
5. Розробити рекомендації щодо використання електронних платіжних систем.
1. СИСТЕМИ ЕЛЕКТРОННИХ ПЛАТЕЖІВ ТА ЇХ КЛАСИФІКАЦІЯ
1.1 Основні поняття
Електронні розрахунки. Почнемо з того, що правомірно говорити про появу електронних розрахунків як виду безготівкових розрахунків у другій половині ХХ століття. Говорячи інакше, передача інформації про платежі по проводах існувала давно, але набула принципово нову якість, коли на обох кінцях проводів з'явилися комп'ютери. Інформація передавалася за допомогою телекса, телетайпа, комп'ютерних мереж, що з'явилися у той час. Якісно новий стрибок висловлювався в тому, що швидкість здійснення платежів значно зросла і з'явилася можливість їх автоматичної обробки.
У подальшому виникли також і електронні еквіваленти інших видів розрахунків - готівкових платежів та інших платіжних засобів (наприклад, чеків).
Електронні платіжні системи (ЕПС). Електронної платіжною системою ми називаємо будь-який комплекс специфічних апаратних і програмних засобів, що дозволяє проводити електронні розрахунки.
Існують різні способи і канали зв'язку для доступу до ЕПС. Сьогодні найпоширенішим з цих каналів є Інтернет. Посилюється поширення ЕПС, доступ до яких здійснюється за допомогою мобільного телефону (через SMS, WAP та інші протоколи). Менш поширені інші способи: по модему, по телефону з тональним набором, по телефону через оператора.
Електронні гроші. Розпливчастий термін. Якщо уважно розглянути те, що за ним криється, легко зрозуміти, що електронні гроші - це некоректна назва "електронної готівки", а також електронних платіжних систем як таких.
Це непорозуміння в термінології обумовлено вільністю перекладу термінів з англійської мови. Оскільки електронні розрахунки в Росії розвивалися набагато повільніше, ніж у Європі та Америці, ми змушені були користуватися міцно укоренилася термінами. Безумовно, мають право на життя такі назви електронної готівки, як "цифрова готівка" (e-cash), "цифрові гроші" (digital money), "електронна готівка" (digital cash) 2.
У цілому термін "електронні гроші" нічого конкретного не означає, тому надалі ми будемо намагатися уникати його використання.
Електронна готівка:
- Це з'явилася в 90-х роках минулого століття технологія, що дозволяє проводити електронні розрахунки, не прив'язані прямо до перекладу грошей з рахунку на рахунок у банку чи іншої фінансової установи, тобто безпосередньо між особами - кінцевими учасниками платежу. Іншим найважливішим властивістю електронної готівки є забезпечувана нею анонімність платежів. Авторизаційний центр, що засвідчує платіж, не має інформації про те, хто конкретно і кому перекладав гроші.
Електронна готівка представляє собою один з видів електронних розрахунків. Одиниця електронної готівки - не що інше, як фінансове зобов'язання емітента (банку або іншої фінансової установи), по суті своїй схоже з звичайним векселем. Розрахунки за допомогою електронної готівки з'являються там, де стає незручним використання інших систем оплати. Наочний приклад - небажання покупця повідомляти інформацію про свою кредитну картку при оплаті товару в Інтернеті.
Визначившись з термінологією, ми можемо перейти до наступного етапу нашої розмови - поговоримо про класифікацію ЕПС. Оскільки ЕРС опосередковує електронні розрахунки, в основу розподілу ЕПС покладено різні види цих розрахунків.
Крім того, в цьому питанні дуже важливу роль грає програмна та / або апаратна технологія, на якій базується механізм ЕПС.
1.2 Класифікація електронних платіжних систем
Електронні платіжні системи можна класифікувати, грунтуючись як на специфіці електронних розрахунків, так і на базі конкретної технології, що лежить в основі ЕПС.
Класифікація ЕПС в залежності від виду електронних розрахунків:
1. За складом учасників платежу (таб. 1).
Таблиця 1
| Вид електронних розрахунків | Сторони платежу | Аналог у традиційній системі грошових розрахунків | Приклад ЕПС |
| Платежі банк-банк | Фінансові інститути | немає аналогів | SWIFT |
| Платежі B2B | Юридичні особи | Безготівкові розрахунки між організаціями | Cyberplat |
| Платежі С2B | Кінцеві споживачі товарів і послуг та юридичні особи - продавці | Готівкові і безготівкові платежі покупців продавцям | Webmoney Paycash Cyberplat Assist E-port Кредит-пілот Eaccess Phonepay Rapida |
| Платежі C2C | Фізичні особи | Прямі розрахунки готівкою між фізичними особами, поштовий, телеграфний переклад | Webmoney Paycash Anelik Contact Rapida |
Додатково слід зазначити, що існує ще один тип платежів, логічно не зовсім вписується в таблицю 1. За формальними ознаками він повністю потрапляє в область С2В, але тим не менше не може бути забезпечений засобами широко поширених ЕРС цього виду. Для мікроплатежів характерна вкрай невелика (центи або частки цента) вартість товару. Найхарактерніший для всіх популярних статей приклад системи, що реалізує мікроплатежі, - це продаж анекдотів (по центу за штуку). Для здійснення мікроплатежів підходять такі системи, як Eaccess і Phonepay.
2. По виду проведення операцій (таб. 2).
Таблиця 2
| Вид електронних розрахунків | Де використовуються | Приклад ЕПС |
| Операції з управління банківським рахунком | Системи "клієнт банк" з доступом через модем, Інтернет, мобільний телефон і т.п. | Операції з управління банківським рахунком Системи "клієнт |
| Операції з переказу грошей без відкриття банківського рахунку | Системи перекладу грошей з комп'ютерних мереж, аналогічні поштовим і телеграфним перекладам | Anelik Western Union Money Gram Contact Rapida |
| Операції з картковими банківськими рахунками | Дебетові і кредитні пластикові картки | Cyberplat (Cyberpos) |
| Операції з електронними чеками та іншими негрошовими платіжними зобов'язаннями | Закриті системи міжкорпоративних платежів | Cyberplat (Cybercheck) |
| Операції з електронною (квазі) готівкою | Розрахунки з фіз. особами, електронні аналоги жетонів і предоплачених карт, що використовуються в якості грошових сурогатів для оплати товару | Paycash Webmoney |
Необхідно зазначити, що системи виду "клієнт - банк" відомі досить давно. Доступ до свого рахунку в банку можна було отримати за допомогою модему. За останнє десятиліття з'явилися нові можливості управління своїм рахунком з допомогою Інтернету, через зручний для користувача web-інтерфейс. Ця послуга отримала назву "Інтернет-банкінгу" і не внесла нічого принципово нового в платіжні системи виду "клієнт-банк". Крім того, існують інші можливості доступу до банківського рахунку, наприклад, за допомогою мобільного телефону (WAP-банкінг, SMS-банкінг). У зв'язку з цим у цій статті ми не будемо спеціально зупинятися на подібного роду ЕПС, відзначимо лише, що зараз в Росії послуги Інтернет-банкінгу надають близько 100 комерційних банків, використовуючи більш 10 різних ЕПС.
Класифікація ЕПС в залежності від використовуваної технології:
Одним з найважливіших якостей ЕРС є стійкість до злому. Мабуть, це найбільш обговорювана характеристика подібних систем. Як видно з таблиці 3, при вирішенні проблеми безпеки системи більшість підходів до побудови ЕПС грунтується на секретності якоїсь центральної бази даних, яка містить критичну інформацію. У той же час деякі з них додають до цієї секретній базі даних додаткові рівні захисту, засновані на стійкості апаратури.
У принципі, є й інші технології, на основі яких можуть будуватися ЕПС. Наприклад, не так давно в ЗМІ пройшло повідомлення про розробку ЕПС, заснованої на CDR-дисках, вбудованих в пластикову картку. Однак подібні системи не отримали широкого поширення у світовій практиці, у зв'язку з чим ми не будемо загострювати на них увагу.
Таблиця 3
| Технологія | На чому заснована стійкість системи | Приклад ЕПС |
| Системи з центральним сервером клієнт банк, переказ коштів | Секретність ключів доступу | Телебанк (Гута-банк), "Інтернет Сервіс Банк" (Автобанк) Anelik |
| Смарт карти | Апаратна стійкість смарт карти до злому | Mondex, АКОРД |
| Магнітні картки та віртуальні кредитки | Секретність баз даних, що містять авторизаційний інформацію (номери карток, PIN коди, імена клієнтів і т.д.) | Assist, Еліт |
| Скреч-карти | Секретність бази даних з номерами та кодами скреч-карт | E-port, Creditpilot, Webmoney, Paycash, Rapira |
| Файл / гаманець у вигляді програми на комп'ютері користувача | Криптографічна стійкість протоколу обміну інформацією | Paycash Webmoney |
| Оплачувана телефонний дзвінок | Секретність центральної бази даних з pin-кодами і апаратна стійкість інтелектуальної телефонної мережі | Eaccess, Phonepay |
В даний час в російському Інтернеті використовується досить багато електронних платіжних систем, хоча не всі вони отримали широке поширення. Характерно, що практично всі західні платіжні системи, що використовуються в Рунеті, прив'язані до кредитних карток. Деякі з них, наприклад, PayPal, офіційно відмовляються працювати з клієнтами з Росії. Найбільшого поширення на сьогоднішній день отримали наступні системи:
1) CyberPlat
2) Assist
3) Paycash
4) Webmoney
CyberPlat відноситься до систем змішаного типу (з точки зору будь-який з вищенаведених класифікацій). По суті справи, можна сказати, що всередині цієї системи під одним дахом зібрані три окремі: класична система "клієнт-банк", що дозволяє клієнтам управляти рахунками, відкритими в банках-учасниках системи (11 російських банків і 1 латвійський); система CyberCheck, що дозволяє проводити захищені платежі між юридичними особами, підключеними до системи; і система Інтернет-еквайрингу, тобто обробки платежів, які вживаються з кредитних карток - CyberPos. Серед всіх систем Інтернет-еквайрингу, наявних на російському ринку, CyberPlat забезпечує обробку найбільшої кількості видів кредитних карток, а саме: Visa, Mastercard / Eurocard, American Exdivss7, Diners Club, JCB, Union Card, оголошено про швидке підключення до системи STB-card і АККОРД-кард/Башкард. Неофіційно співробітники компанії стверджували, що опрацьовують можливість стикування і з іншими російськими картковими системами. На додаток до перерахованих компанія CyberPlat забезпечує обробку скретч-карток платіжної системи E-port і оголосила про підготовку введення в дію шлюзу з системою Paycash.
В даний час для підвищення рівня захисту від платежів з крадених кредитних карт компанія виробляє розробку спеціалізованої технології PalPay, яка полягає у тому, що продавцю надається можливість перевірити, чи дійсно покупець має доступ до банківського рахунку, пов'язаному з кредитною картою, або тільки знає її реквізити. Офіційно про введення цієї технології в експлуатацію ще не оголошено.
Система Assist в частині обробки платежів з кредитних карток є багато в чому функціональним аналогом CyberPlat. У Москві її інтереси представляє "Альфа-банк". Усього до системи підключено 5 банків. Підсистема Інтернет-еквайрингу дозволяє приймати платежі з карт Visa, Mastercard / Eurocard, STB-card. Станом на вересень прийом платежів з інших карткових систем, заявлених на сервері системи Assist, реально не забезпечувався. Втім, за неофіційною інформацією, найближчим часом буде можливий прийом карток Diners Club, дебетових карт Cirrus Maestro і Visa Electron. Цікаво, що такий тип карт звичайно не приймається еквайринговими компаніями, проте в силу своєї дешевизни ці карти дуже поширені. Зазвичай відмова від прийому дебетових карт мотивується міркуваннями безпеки. Можливо, ASSIST зуміє обійти цю проблему, використавши протокол SET, про підтримку якого було оголошено компанією буквально днями. На відміну від традиційного способу оплати за пластиковими картками в Інтернеті, що допускає можливість відмови власника картки від здійсненого з неї платежу (charge-back), протокол SET гарантує достовірність транзакції, істотно зменшуючи ризик для продавця.
Оголошений на сайті Assist спосіб розрахунків за допомогою електронних сертифікатів, що купуються у Інтернет-провайдера, досить цікавий як відкриває провайдерам нові напрямки бізнесу, однак, за наявними відомостями, з-за правових складнощів до останнього часу реально ніким не використовувався. Тим не менш, знову ж таки за неофіційною інформацією, це ситуація різко зміниться - вже восени 2001-го ми, можливо, побачимо, першу практичну реалізацію цього способу розрахунків.
Крім згаданих в описах карткових систем CyberPlat і Assist, існують і інші, що отримали певне поширення на ринку. Discover / NOVUS має широке поширення в Північній Америці і може бути цікавий тим електронних магазинів, які працюють на західну аудиторію. Нам невідомі вітчизняні еквайрингові компанії, які обробляли б карти цієї системи, однак є ряд пропозицій від посередників, що представляють інтереси західних еквайєрів. Серед російських карткових систем, після STB і Union Card, найбільш помітні на ринку "Золота корона", "Сберкард" (Ощадбанк), "Universal Card" і "ICB-card" (Промбудбанк), а також вже згадувані вище АКОРД кард / Башкард . "ICB-card" обробляється парою невеликих еквайрингових компаній, прийом платежів через Інтернет з карт "Золотої корони" і "Сберкард" нібито забезпечується безпосередньо емітентами та / або пов'язаними з ними компаніями, а у випадку з Universal Card, схоже, не забезпечується ніким.
Paycash і Webmoney позиціонуються їх розробниками як системи електронної готівки, проте при найближчому розгляді тільки Paycash може по праву претендувати на такий статус.
Розробка Paycash була ініційована банком "Таврійський", але в даний час до системи підключені й інші банки, наприклад, "Гута-банк".
З технологічної точки зору, Paycash забезпечує практично повну імітацію розрахунків готівкою. З одного електронного гаманця (спеціалізованої програми, яка встановлюється клієнтом на свій комп'ютер) гроші можуть бути переведені в інший, при цьому забезпечується анонімність платежу по відношенню до банку. Система отримала досить широке поширення в Росії і в даний час робить спроби виходу на світовий ринок.
Вузьким місцем Paycash є процедура з перерахування грошей в електронний гаманець. До останнього часу єдиним способом зробити це було - піти у відділення банку і перевести гроші на рахунок системи. Правда, були і альтернативи - для користувачів системи "Телебанк" Гута-банку, існувала можливість перевести гроші з рахунку у Гута-банку, не виходячи з дому, але в ряді випадків, по всій видимості, простіше переводити їх безпосередньо на рахунок продавця - електронного магазину, не використовуючи Paycash в якості посередника. Також можна було переводити гроші через Western Union чи поштовим / телеграфним переказом, але привабливість цього шляху обмежувалася високим рівнем комісії. Для мешканців Петербурга існує зовсім вже екзотична можливість - викликати за грошима кур'єра додому. Чудово, але, на жаль, не всі ми живемо в Північній столиці.
Можливість перерахування грошей в Paycash з кредитних карт до цього дня відсутній. Це пов'язано з тим, що компанії, що підтримують роботу карткових систем, забезпечують своїм клієнтам можливість так званого "charge back" - відмови від здійснення платежу "заднім числом". "Charge back" є механізмом, що захищає власника кредитної картки від шахраїв, які можуть скористатися її реквізитами. У разі такої відмови тягар докази того, що товар дійсно був поставлений справжньому власнику картки і що платіж повинен бути здійснений, падає на продавця. Але у випадку з Paycash такого роду доказ в принципі неможливо - з цілком очевидних причин. Згаданий вище шлюз з CyberPlat, що знаходиться в стадії розробки, призначений у тому числі і для вирішення цієї проблеми.
Поки ж, щоб розшити це вузьке місце в системі, PayCash зробив два досить розумних ходу - випустив передплачені скретч-карти і забезпечив прийом платежів через систему переказів Contact, чиї тарифи значно нижчі поштових (2,2% проти 8%).
Система Webmoney - один з "піонерів" на ринку електронних платежів в Росії. В даний час вона має міжнародний характер. За деякими відомостями, Webmoney має представників не тільки в країнах - республіках колишнього СРСР, але і в далекому зарубіжжі. Оператором системи є автономна некомерційна організація "ВМ-центр".
Режим функціонування Webmoney дуже нагадує роботу з електронною готівкою, тільки уважний і прискіпливий аналіз дозволяє переконатися, що насправді Webmoney не забезпечує повної анонімності платежів, тобто вони не є закритими від самих власників системи. Втім, практика роботи Webmoney показала, що це її властивість йде скоріше на користь, дозволяючи в деяких випадках боротися з шахрайством. Більш того, в якості окремого платного сервісу "ВМ-центр" пропонує сертифікацію юридичної і фізичної особи, природно, що позбавляє його анонімності по відношенню до інших учасників системи. Ця можливість необхідна перш за все тим, хто хоче організувати чесний електронний магазин і має намір переконати потенційних покупців у своїй надійності. Webmoney дозволяє відкривати рахунки і переводити кошти в двох валютах: гривнях та доларах.
Для доступу до системи використовується програма "електронний гаманець". Додатковими можливостями системи є передача коротких повідомлень з гаманця на гаманець, а також кредитні операції між власниками гаманців. Втім, на нашу думку, мало хто погодиться кредитувати анонімів через Інтернет, не маючи можливості примусово стягувати кредит у разі його неповернення.
На відміну від Paycash, Webmoney спочатку забезпечувала можливість як передачі звичайних готівки в гаманець, так і переведення в готівку вмісту гаманців без утомливих процедур заповнення платіжних доручень у банку, але досить дивним, з юридичної точки зору, спосіб. Взагалі, юридичне забезпечення Webmoney в частині її роботи з організаціями довгий час викликало багато нарікань.
Це було причиною того, що в той час як кінцеві користувачі активно встановлювали собі "гаманці", багато електронні магазини відмовлялися від використання цієї ЕРС. Правда, в даний час ця ситуація дещо виправилася, та й активна маркетингова позиція власників Webmoney призводить до того, що імідж системи постійно поліпшується. Однією з цікавих особливостей цієї маркетингової стратегії стало те, що майже відразу після її виходу на ринок всім бажаючим була надана можливість заробляти гроші в цій системі (дехто, може бути, згадає проект "Цвяхи" і його більш пізнього розвитку - visiting.ru ). Так само, як і Paycash, Webmoney випускає передплачені скретч-карти, призначені для введення грошей в систему.
Дві системи, засновані на скретч-картках: E-port (Автокард-холдинг) і "КредітПілот" ("Кредітпілот.ком"), схожі як близнюки-брати. І та, і інша припускають, що покупець спочатку купить скретч-картку з секретним кодом десь у широкій мережі розповсюдження або замовивши кур'єром додому, після чого почне розплачуватися в Інтернеті за допомогою цього коду з магазинами, які беруть платежі цих систем. E-port додатково пропонує можливість створення "віртуальних" скретч-карт шляхом перерахування грошей на рахунок компанії через банк або через систему "Webmoney".
Система Rapida, що почала працювати з вересня 2001 року, так само, як і дві попередні, пропонує введення грошей на рахунок користувача через скретч-картки або платіж в банку-учасника системи. Додатково заявлені можливість роботи в режимі "Клієнт-банк" і перекладу грошей на рахунки юридичних осіб, які не є учасниками системи, а також фізичним особам без відкриття банківського рахунку. Доступ до системи надається не тільки через Інтернет, але і по телефону, з використанням тонального набору номера. У цілому система виглядає технологічно досконалим і дуже цікавою, але поки що минуло недостатньо часу після її запуску в експлуатацію, щоб можна було міркувати про перспективи.
ЕПС, що дозволяють проводити оплату тим же шляхом, яким вона вноситься за міжміські дзвінки (постфактум, на підставі рахунку, що приходить з телефонної компанії), вперше з'явилися в США і призначалися для оплати доступу до порноресурсів. Однак у зв'язку з систематичними шахрайськими діями багатьох власників таких систем вони не здобули популярності серед покупців, та і продавці ними були не особливо задоволені, тому що ці системи норовили істотно затримувати платежі.
Дві вітчизняні реалізації подібної концепції - Phonepay і Eaccess - знаходяться на самому початку свого шляху. І та, й інша системи припускають, що клієнт для здійснення платежу повинен зробити дзвінок на певний міжміський номер у коді 8-809 (надається, по всій видимості, компанією "МТУ-інформ), після чого йому буде продиктована роботом якась ключова інформація. У випадку Eaccess це pin-код, що використовується для доступу до платного інформаційного ресурсу, а у випадку з Phonepay - універсальна "цифрова монетка", що складається з 12 цифр одного з п'яти жорстко заданих в системі номіналів. Дивлячись на сайти систем, можна відзначити, що e -access все-таки поступово розвивається, збільшуючи кількість підключених до системи магазинів, а Phonepay так і не підключив до своєї системи жодного магазину, що не належить розробникам.
На мій погляд, подібні системи в Росії мають цілком певні перспективи, пов'язані з легкістю доступу до них з кінцевим користувачем, однак сфера їх застосування буде обмежуватися продажем інформаційних ресурсів. Тривала затримка в отриманні платежів (система перерахує їх магазину не раніше, ніж покупець сплатить телефонний рахунок) робить торгівлю матеріальними цінностями з використанням цих ЕПС досить невигідним заняттям.
Нарешті, слід згадати ще один вид ЕПС - спеціалізовані системи переказів між фізичними особами, що конкурують з традиційними поштовими і телеграфними переказами. Першими цю нішу зайняли такі зарубіжні системи, як Western Union і Money Gram. У порівнянні з традиційними перекладами вони забезпечують більшу швидкість і надійність платежу. У той же час вони мають ряд істотних недоліків, головним з яких є висока вартість їх послуг, яка доходила до 10% від суми переказу. Інша неприємність полягає в тому, що ці системи не можуть бути використані легально для систематичного прийому платежів за товар. Однак тим, хто хоче просто пересилати гроші рідним та близьким, має сенс звернути свою увагу на ці системи, а також на їх вітчизняні аналоги (Anelik і Contact). Поки що ні Paycash, ні Webmoney не в змозі скласти їм конкуренцію, тому що одержати на руки готівку, витягши їх з електронного гаманця де-небудь в Австралії чи Німеччині, не представляється можливим. У ЕПС Rapida заявлена така можливість, але поки що на сайті відсутні будь-які подробиці, та й географія офісів системи не йде ні в яке порівняння з уже наявними на ринку системами.
Власникам електронних магазинів, по всій видимості, слід думати насамперед про прийом грошей з кредитних карт і систем електронної готівки - Webmoney і Paycash. За сукупністю споживчих характеристик, на нашу думку, конкуренції з CyberPlat не витримує жодна з наявних на російському ринку систем прийому платежів з кредитних карток. Всі інші системи підлягають факультативного використання, особливо якщо пам'ятати, що той же самий E-port зовсім не обов'язково встановлювати окремо, тому що його карти обслуговуються CyberPlat.
2. ЗАСОБИ ЗАХИСТУ СИСТЕМ ЕЛЕКТРОННИХ ПЛАТЕЖІВ
2.1 Загрози, пов'язані з використанням систем електронних платежів
Розглянемо можливі загрози руйнуючих дій зловмисника по відношенню до даної системи. Для цього розглянемо основні об'єкти нападу зловмисника. Головним об'єктом нападу зловмисника є фінансові кошти, точніше їх електронні заступники (сурогати) - платіжні доручення, циркулюючі в платіжній системі. По відношенню до даних засобів зловмисник може переслідувати наступні цілі:
1. Викрадення фінансових коштів.
2. Впровадження фальшивих фінансових коштів (порушення фінансового балансу системи).
3. Порушення працездатності системи (технічна загроза).
Зазначені об'єкти і цілі нападу носять абстрактний характер і не дозволяють провести аналіз та розробку необхідних заходів захисту інформації, тому в таблиці 4 наводиться конкретизація об'єктів і цілей руйнуючих дій зловмисника.
Таблиця 4 Модель можливих руйнуючих дій зловмисника
| Об'єкт впливу | Мета впливу | Можливі механізми реалізації впливу. |
| HTML-сторінки на web-сервері банку | Підміна з метою отримання інформації, яка вноситься до платіжне доручення клієнтом. | Атака на сервер і підміна сторінок на сервері. Підміна сторінок в трафіку. Атака на комп'ютер клієнта і підміна сторінок у клієнта |
| Клієнтські інформаційні сторінки на сервері | Отримання інформації про платежі клієнта (ів) | Атака на сервер. Атака на трафік. Атака на комп'ютер клієнта. |
| Дані платіжного доручення, що вносяться клієнтом у форму | Отримання інформації, яка вноситься до платіжне доручення клієнтом. | Атака на комп'ютер клієнта (віруси і т.д.). Атака на дані доручення при його пересилання по трафіку. Атака на сервер. |
| Приватна інформація клієнта, розташована на комп'ютері клієнта і не відноситься до системи електронних платежів | Отримання конфіденційної інформації клієнта. Модифікація інформації клієнта. Виведення з ладу комп'ютера клієнта. | Весь комплекс відомих атак на комп'ютер, підключений до мережі Інтернет. Додаткові атаки, які з'являються в результаті використання механізмів платіжної системи. |
| Інформація процесингового центру банку. | Розкриття і модифікація інформації процесингового центру та локальної мережі банку. | Атака на локальну мережу, підключену до Інтернет. |
По-перше, система повинна забезпечувати захист даних платіжних доручень від несанкціонованого зміни і модифікації.
По-друге, система не повинна збільшувати можливості зловмисника з організації атак на комп'ютер клієнта.
По-третє, система повинна забезпечувати захист даних, розташованих на сервері від несанкціонованого читання і модифікації.
По-четверте, система повинна забезпечувати або підтримувати систему захисту локальної мережі банку від впливу з глобальної мережі.
У ході розробки конкретних систем захисту інформації електронних платежів, дана модель і вимоги повинні бути подолані подальшої деталізації. Тим не менш, для поточного викладу подібна деталізація не потрібна.
2.2 Технології захисту електронних платіжних систем
Деякий час розвиток WWW стримувалося тим, що html-сторінки, які є основою WWW, являють собою статичний текст, тобто з їх допомогою важко організувати інтерактивний обмін інформацією між користувачем і сервером. Розробники пропонували безліч способів розширення можливостей HTML в цьому напрямку, багато з яких так і не набули широкого поширення. Одним з найбільш потужних рішень, що з'явилися новим етапом розвитку Інтернет, стало пропозиції компанії Sun використовувати як інтерактивних компонентів, що підключаються до HTML-сторінок Java-аплетів.
Java-аплет представляють собою програму, яка написана на мові програмування Java, і відкомпілювалися в спеціальні байт-коди, які є кодами деякого віртуального комп'ютера - Java-машини - і відмінні від кодів процесорів сімейства Intel. Аплети размешаются на сервері в Мережі і завантажуються на комп'ютер користувача щоразу, коли відбувається звернення до HTML-сторінці, яка містить в собі виклик даного аплету.
Для виконання кодів аплетів стандартний браузер включає в себе реалізацію Java-машини, яка здійснює інтерпретацію байт-кодів в машинні команди процесорів сімейства Intel (або іншого сімейства). Закладені в технологію Java-аплетів можливості, з одного боку, дозволяють розробляти потужні користувальницькі інтерфейси, організовувати доступ до будь-яких ресурсів мережі по URL, легко використовувати протоколи TCP / IP, FTP і т.д., а, з іншого боку, позбавляють можливості здійснити доступ безпосередньо до ресурсів комп'ютера. Наприклад, аплети не мають доступу до файлової системи комп'ютера і до підключеним пристроям.
Аналогічним рішенням щодо розширення можливостей WWW є і технологія компанії Microsoft - Active X. Найбільш істотними відмінностями даної технології від Java є те, що компоненти (аналоги аплетів) - це програми в кодах процесора Intel і те, що ці компоненти мають доступ до всіх ресурсів комп'ютера, а також інтерфейсів і сервісів Windows.
Ще одним менш поширеним підходом до розширення можливостей WWW є підхід, заснований на використанні технології вбудовуваних модулів Plug-in for Netscape Navigator компанії Netscape. Саме ця технологія і представляється найбільш оптимальною основою для побудови систем захисту інформації електронних платежів через Інтернет. Для подальшого викладу розглянемо, як за допомогою даної технології вирішується проблема захисту інформації Web-сервера.
Припустимо, що існує деякий Web-сервер та адміністратору цього сервера потрібно обмежити доступ до деякої частини інформаційного масиву сервера, тобто організувати так, щоб одні користувачі мали доступ до деякої інформації, а інші ні.
В даний час пропонується ряд підходів до вирішення даної проблеми, зокрема, багато операційні системи, під управлінням яких функціонує сервери мережі Інтернет, запитують пароль на доступ до деяких своїх областях, тобто вимагають проведення аутентифікації. Такий підхід має два суттєвих недоліки: по-перше, дані зберігаються на самому сервері у відкритому вигляді, а, по-друге, дані передаються по мережі також у відкритому вигляді. Таким чином, у зловмисника виникає можливість організації двох атак: власне на сервер (підбір пароля, обхід пароля и.т.) і атаки на трафік. Факти реалізації подібних атак широко відомі Інтернет-спільноті.
Іншим відомим підходом е вирішення проблеми захисту інформації є підхід, заснований на технології SSL (Secure Sockets Layer). При використанні SSL між клієнтом і сервером встановлюється захищений канал зв'язку, по якому передаються дані, тобто проблема передачі даних у відкритому вигляді по мережі може вважатися відносно вирішеною. Головна проблема SSL полягає в побудові ключовою системи і контроль над нею. Що ж стосується проблеми зберігання даних на сервері у відкритому вигляді, то вона залишається невирішеною.
Ще одним важливим недоліком описаних вище підходів є необхідність їх підтримки з боку програмного забезпечення і сервера, і клієнта мережі, що не завжди є можливим і зручним. Особливо в системах орієнтованих на масового і неорганізованого клієнта.
Пропонований автором підхід заснований на захисті безпосередньо html-сторінок, які є основним носієм інформація в Internet. Існує захисту полягає в тому, що файли, що містять HTML-сторінки, зберігаються на сервері в зашифрованому вигляді. При цьому ключ, на якому вони зашифровані, відомий тільки зашифрувати його (адміністратора) і клієнтам (в цілому проблема побудови ключової системи вирішується так само, як у випадку прозорого шифрування файлів).
Доступ клієнтів до захищеної інформації здійснюється за допомогою технології вбудовуваних модулів Plug-in for Netscape компанії Netscape. Дані модулі є програми, точніше програмні компоненти, які пов'язані з певними типами файлів в стандарті MIME. MIME - це міжнародний стандарт, що визначає формати файлів в Інтернет. Наприклад, існують такі типи файлів: text / html, text / plane, image / jpg, image / bmp і т.д. Крім того, стандарт визначає механізм завдання для користувача типів файлів, які можуть визначатися і використовуватися незалежними розробниками.
Отже, використовуються модулі Plug-ins, які пов'язані з певними MIME-типами файлів. Зв'язок полягатимуть в тому, що при зверненні користувача до файлів відповідного типу, браузер запускає пов'язаний з ним Plug-in і цей модуль виконує всі дії з візуалізації даних файлу і обробці дій користувача з цим файлів.
В якості найбільш відомих модулів Plug-in можна навести модулі, що програють відеоролики у форматі avi. Перегляд даних файлів не входить в штатні можливості браузерів, але встановивши відповідний Plug-in можна легко переглядати дані файли в браузері.
Далі, все зашифровані файли у відповідності з встановленим міжнародним стандартом порядком визначаються як файли MIME типу. "Application / x-shp". Потім у відповідності з технологією та протоколами Netscape розробляється Plug-in, який пов'язується з даним типом файлів. Цей модуль виконує дві функції: по-перше, він запитує пароль та ідентифікатор користувача, а по-друге, він виконує роботу з розшифрування та висновку файлу у вікно браузера. Дані модуль встановлюється, відповідно до штатного, встановленим Netscape, порядком на браузери всіх комп'ютерів клієнтів.
На цьому підготовчий етап роботи завершено система готова до функціонування. При роботі клієнти звертаються до зашифрованих html-сторінок з їх стандартному адресою (URL). Браузер, визначає тип цих сторінок і автоматично запускає розроблений нами модуль, передавши йому вміст зашифрованого файлу. Модуль проводить аутентифікацію клієнта і при успішному її завершенні розшифровує і виводить на екран вміст сторінки.
При виконанні всієї цієї процедури у клієнта створюється відчуття "прозорого" шифрування сторінок, так як вся вищезазначена робота системи прихована від його очей. При цьому всі стандартні можливості, закладені в html-сторінках, такі як використання картинок, Java-аплетів, CGI-сценаріїв - зберігаються.
Легко бачити, що при даному підході вирішуються багато проблем захисту інформації, тому що у відкритому вигляді вона знаходиться тільки на комп'ютерах у клієнтів, по мережі дані передаються в зашифрованому вигляді. Зловмисник, маючи на меті отримати інформацію, може здійснити тільки атаку на конкретного користувача, а від даної атаки не може захистити жодна системи захисту інформації сервера.
В даний час, автором розроблено дві системи захисту інформації, засновані на пропонованому підході, для браузера Netscape Navigator (3.x) і Netscape Communicator 4.х. У ході попереднього тестування встановлено, що розроблені системи можуть нормально функціонувати і під управлінням MExplorer, але не у всіх випадках.
Важливо відзначити, що дані версії систем не здійснюють зашифрование асоційованих з HTML-сторінкою об'єктів: картинок, аплетів сценаріїв і т.д.
Система 1 пропонує захист (шифрування) власне html-сторінок, як єдиного об'єкта. Ви створюєте сторінку, а потім її зашифровуєте і копіюєте на сервер. При зверненні до зашифрованої сторінці, вона автоматично розшифровується і виводиться в спеціальне вікно. Підтримки системи захисту з боку програмного забезпечення сервера не вимагається. Вся робота з зашифрування і розшифрування здійснюється на робочій станції клієнта. Дана система є універсальною, тобто не залежить від структури і призначення сторінки.
Система 2 пропонує інший підхід до захисту. Дана система забезпечує відображення в деякій області Вашої сторінки захищеної інформації. Інформація лежить в зашифрованому файлі (не обов'язково в форматі html) на сервері. При переході до Вашої сторінці система захисту автоматично звертається до цього файлу, зчитує з нього дані та відображає їх у певній галузі сторінки. Дані підхід дозволяє досягти максимальної ефективності та естетичної краси, при мінімальній універсальності. Тобто система виявляється орієнтованої на конкретне призначення.
Даний підхід може бути застосований і при побудові систем електронних платежів через Інтернет. У цьому випадку, при зверненні до деякої сторінці Web-сервера відбувається запуск модуля Plug-in, який виводить користувачеві форму платіжного доручення. Після того як клієнт заповнить її, модуль зашифровує дані платежу і відправляє їх на сервер. При цьому він може зажадати електронний підпис у користувача. Більш того, ключі шифрування і підписи можуть зчитуватися з будь-якого носія: гнучких дисків, електронних таблеток, смарт-карт і т.д.
2.3 Аналіз технологій на відповідність базовим вимогам до систем електронних платежів
Вище ми описали три технології, які можуть бути використані при побудові платіжних систем через Інтернет: це технологія, заснована на Java-аплетах, компонентах Active-X та вбудованих модулях Plug-in. Назвемо їх технології J, AX і P відповідно.
Розглянемо вимога про незбільшення можливостей атак зловмисника на комп'ютер. Для цього проаналізуємо один з можливих типів атак - підміну зловмисником відповідних клієнтських модулів захисту. У випадку технології J - це аплети, У разі AX - зануренням компоненти, у разі P - це включаються модулі Plug-in. Очевидно, що у зловмисника існує можливість підмінити модулі захисту безпосередньо на комп'ютері клієнта. Механізми реалізації даної атаки лежать за межами даного аналізу, тим не менш, необхідно відзначити, що реалізація даної атаки не залежить від розглянутої технології захисту. І рівень захищеності кожної технології збігається, тобто всі вони однаково нестійкі до даної атаки.
Самим уразливим місцем в технологіях J і AX, з точки зору підміни, є їх завантаження з Інтернет. Саме в цей момент зловмисник може здійснити підміну. Більш того, якщо зловмисникові вдається здійснити підміну даних модулів на сервері банку, то він отримує доступ до всіх обсягами інформації платіжної системи, що циркулюють в Інтернет.
У випадку технології P небезпеки підміни немає, тому що програмі не завантажується з мережі - він постійно зберігається на комп'ютері клієнта.
Наслідки підміни різні: у разі J-технології зловмисник може тільки викрасти вводиться клієнтом інформацію (що є серйозною загрозою), а в разі, Active-X і Plug-in зловмисник може отримати будь-яку інформацію, до якої має доступ, що працює на комп'ютері клієнт.
В даний час автору невідомі конкретні способи реалізації атак з підміни Java-аплетів. Мабуть дані атаки погано розвиваються, так як результуючі можливості з викрадення інформації практично відсутні. А ось атаки на компоненти Active-X широко поширені і добре відомі.
Розглянемо вимога про захист інформації, що циркулює в системі електронних платежів через Інтернет. Очевидно, що в цьому випадку технологія J поступається і P і AX в одному дуже істотному питанні. Усі механізми захисту інформації засновані на шифрування або електронного підпису, а всі відповідні алгоритми грунтуються на криптографічних перетвореннях, які вимагають введення ключових елементів. В даний час довжина ключових елементів складає близько 32-128 байт, тому вимагати введення їх користувачем з клавіатури практично неможливо. Виникає питання як їх вводити? Так як технології P і AX мають доступ до ресурсів комп'ютера, то рішення даної проблеми очевидне і добре відомо - ключі зчитуються з локальних файлів, з флоппі-дисків, пігулок або smart-карт. А от у випадку технології J такий введення неможливий, значить доводиться або вимагати від клієнта введення довгій послідовності неосмислене інформації, або, зменшуючи довжину ключових елементів, знижувати стійкість криптографічних перетворень і отже знижувати надійність механізмів захисту. Причому дане зниження є дуже істотним.
Розглянемо вимога про те, що система електронних платежів має організовувати захист даних, розташованих на сервері від несанкціонованого читання і модифікації. Дана вимога випливає з того, що система передбачає розміщення на сервері конфіденційну інформацію, призначену для користувача. Наприклад, перелік відправлених ним платіжних доручень з відміткою про результати обробки.
У випадку технології P дані інформація представляється з вигляді html-сторінок, які зашифровуються і розміщуються на сервері. Всі дії виконуються відповідно до описаного вище (шифрування html-сторінок) алгоритмом.
У разі технологій J і AX дана інформація може бути розміщена в деякому структурованому вигляді в файлі на сервері, а компоненти або аплети повинні виконувати операції з зчитування та візуалізації даних. Все це в цілому приводить до збільшення сумарного розміру аплетів і компонентів, і, отже, до зменшення швидкості завантаження відповідних сторінок.
З точки зору даної вимоги технологія P виграє завдяки більшої технологічності, тобто менших накладних витратах на розробку, і більшої стійкості до підміни компонентів при їх проходженні по мережі.
Що ж стосується останньої вимоги про захист банківської локальної мережі, то воно виконується за рахунок грамотної побудови системи міжмережевих екранів (брандмауерів) і від розглянутих технологій не залежить.
Таким чином, вище було проведено попередній порівняльний аналіз технологій J, AX і P, з якого випливає, що технологію J слід застосовувати в тому випадку, якщо збереження ступеня захищеності комп'ютера клієнта істотно важливіше стійкості криптографічних перетворень, що використовуються в системах електронних платежів.
Технологія Р представляється найбільш оптимальним технологічним рішенням, що лежить в основі систем захисту інформації платежів, так як вона поєднує в собі потужність стандартного додатка Win32 і захищеність від атак через мережу Інтернет. Практичної та комерційною реалізацією проектів з використанням даною технологією займається, наприклад, компанія "Російські фінансові комунікації".
Що ж стосується технології AX, то її використання представляється неефективним і нестійким до атак зловмисників.
ВИСНОВОК
Електронні гроші все більш явно починають ставати нашою повсякденною реальністю, з якою, як мінімум, вже необхідно рахуватися. Звичайно, ніхто в найближчі років п'ятдесят (напевно) не скасує звичайні гроші. Але не вміти управлятися з електронними грошима і упускати ті можливості, які вони з собою несуть, - значить добровільно зводити навколо себе «залізна завіса», який з такою працею розсуваються за останні півтора десятка років. Багато великих фірм пропонують оплату своїх послуг і товарів через електронні розрахунки. Споживачеві ж це значно економить час.
Безкоштовне програмне забезпечення для відкриття свого електронного гаманця і для всієї роботи з грошима максимально адаптовано для масових комп'ютерів, і після невеликої практики не викликає у рядового користувача ніяких проблем. Наш час - час комп'ютерів, Інтернету та електронної комерції. Люди, що володіють знаннями в цих областях та відповідними засобами, домагаються колосальних успіхів. Електронні гроші - гроші, які отримують все більш широке поширення з кожним днем, відкривають все більше можливостей для людини, що має доступ в Мережу.
Мета розрахунково-графічної роботи виконані і вирішені наступні завдання:
1. Визначено основні завдання систем електронних платежів і принципи їх функціонування, їх особливості.
2. Проаналізовано основні системи електронних платежів.
3. Проаналізовано загрози, пов'язані з використанням електронних грошей.
4. Проаналізовано засоби захисту при використанні електронних платіжних систем.
5. Розроблено рекомендації щодо використання електронних платіжних систем.
СПИСОК
1. Антонов Н.Г., Пессель М.А. Грошовий обіг, кредит і банки. -М.: Финстатинформ, 2005, стор 179-185.
2. Банківський портфель - 3. -М.: Сомінтек, 2005, стор 288-328.
3. Михайлов Д.М. Міжнародні розрахунки і гарантії. М.: ФБК-ПРЕС, 2008, стор 20-66.
4. Поляков В.П., Московкина Л.А. Структура і функції центральних банків. Зарубіжний досвід: Навчальний посібник. - М.: ИНФРА-М, 2006.
5. Гайкович Ю.В, Першин А.С. Безпека електронних банківських систем. - М: Єдина Європа, 2004 р .
6. Дьомін В.С. та ін Автоматизовані банківські системи. - М: Менатеп-Інформ, 2007 р .
7. Крисін В.А. Безпека підприємницької діяльності. - М: Фінанси і статистика, 2006 р .
8. Ліньков І.І. та ін Інформаційні підрозділи в комерційних структурах: як вижити і досягти успіху. - М: НІТ, 2008 р .
9. Титоренко Г.А. та ін Комп'ютеризація банківської діяльності. - М: Финстатинформ, 2007 р .
10. Тушнолобов І.Б., Урусов Д.П., Ярцев В.І. Розподілені мережі. - СПБ: Пітер, 2008 р .
11. Novell NetWare. Керівництво користувача, 2008 р .
12. Аглицьких І. Стан і перспективи інформаційного забезпечення російських банків. - Банківські технології, 2007 р . № 1.
По-четверте, система повинна забезпечувати або підтримувати систему захисту локальної мережі банку від впливу з глобальної мережі.
У ході розробки конкретних систем захисту інформації електронних платежів, дана модель і вимоги повинні бути подолані подальшої деталізації. Тим не менш, для поточного викладу подібна деталізація не потрібна.
2.2 Технології захисту електронних платіжних систем
Деякий час розвиток WWW стримувалося тим, що html-сторінки, які є основою WWW, являють собою статичний текст, тобто з їх допомогою важко організувати інтерактивний обмін інформацією між користувачем і сервером. Розробники пропонували безліч способів розширення можливостей HTML в цьому напрямку, багато з яких так і не набули широкого поширення. Одним з найбільш потужних рішень, що з'явилися новим етапом розвитку Інтернет, стало пропозиції компанії Sun використовувати як інтерактивних компонентів, що підключаються до HTML-сторінок Java-аплетів.
Java-аплет представляють собою програму, яка написана на мові програмування Java, і відкомпілювалися в спеціальні байт-коди, які є кодами деякого віртуального комп'ютера - Java-машини - і відмінні від кодів процесорів сімейства Intel. Аплети размешаются на сервері в Мережі і завантажуються на комп'ютер користувача щоразу, коли відбувається звернення до HTML-сторінці, яка містить в собі виклик даного аплету.
Для виконання кодів аплетів стандартний браузер включає в себе реалізацію Java-машини, яка здійснює інтерпретацію байт-кодів в машинні команди процесорів сімейства Intel (або іншого сімейства). Закладені в технологію Java-аплетів можливості, з одного боку, дозволяють розробляти потужні користувальницькі інтерфейси, організовувати доступ до будь-яких ресурсів мережі по URL, легко використовувати протоколи TCP / IP, FTP і т.д., а, з іншого боку, позбавляють можливості здійснити доступ безпосередньо до ресурсів комп'ютера. Наприклад, аплети не мають доступу до файлової системи комп'ютера і до підключеним пристроям.
Аналогічним рішенням щодо розширення можливостей WWW є і технологія компанії Microsoft - Active X. Найбільш істотними відмінностями даної технології від Java є те, що компоненти (аналоги аплетів) - це програми в кодах процесора Intel і те, що ці компоненти мають доступ до всіх ресурсів комп'ютера, а також інтерфейсів і сервісів Windows.
Ще одним менш поширеним підходом до розширення можливостей WWW є підхід, заснований на використанні технології вбудовуваних модулів Plug-in for Netscape Navigator компанії Netscape. Саме ця технологія і представляється найбільш оптимальною основою для побудови систем захисту інформації електронних платежів через Інтернет. Для подальшого викладу розглянемо, як за допомогою даної технології вирішується проблема захисту інформації Web-сервера.
Припустимо, що існує деякий Web-сервер та адміністратору цього сервера потрібно обмежити доступ до деякої частини інформаційного масиву сервера, тобто організувати так, щоб одні користувачі мали доступ до деякої інформації, а інші ні.
В даний час пропонується ряд підходів до вирішення даної проблеми, зокрема, багато операційні системи, під управлінням яких функціонує сервери мережі Інтернет, запитують пароль на доступ до деяких своїх областях, тобто вимагають проведення аутентифікації. Такий підхід має два суттєвих недоліки: по-перше, дані зберігаються на самому сервері у відкритому вигляді, а, по-друге, дані передаються по мережі також у відкритому вигляді. Таким чином, у зловмисника виникає можливість організації двох атак: власне на сервер (підбір пароля, обхід пароля и.т.) і атаки на трафік. Факти реалізації подібних атак широко відомі Інтернет-спільноті.
Іншим відомим підходом е вирішення проблеми захисту інформації є підхід, заснований на технології SSL (Secure Sockets Layer). При використанні SSL між клієнтом і сервером встановлюється захищений канал зв'язку, по якому передаються дані, тобто проблема передачі даних у відкритому вигляді по мережі може вважатися відносно вирішеною. Головна проблема SSL полягає в побудові ключовою системи і контроль над нею. Що ж стосується проблеми зберігання даних на сервері у відкритому вигляді, то вона залишається невирішеною.
Ще одним важливим недоліком описаних вище підходів є необхідність їх підтримки з боку програмного забезпечення і сервера, і клієнта мережі, що не завжди є можливим і зручним. Особливо в системах орієнтованих на масового і неорганізованого клієнта.
Пропонований автором підхід заснований на захисті безпосередньо html-сторінок, які є основним носієм інформація в Internet. Існує захисту полягає в тому, що файли, що містять HTML-сторінки, зберігаються на сервері в зашифрованому вигляді. При цьому ключ, на якому вони зашифровані, відомий тільки зашифрувати його (адміністратора) і клієнтам (в цілому проблема побудови ключової системи вирішується так само, як у випадку прозорого шифрування файлів).
Доступ клієнтів до захищеної інформації здійснюється за допомогою технології вбудовуваних модулів Plug-in for Netscape компанії Netscape. Дані модулі є програми, точніше програмні компоненти, які пов'язані з певними типами файлів в стандарті MIME. MIME - це міжнародний стандарт, що визначає формати файлів в Інтернет. Наприклад, існують такі типи файлів: text / html, text / plane, image / jpg, image / bmp і т.д. Крім того, стандарт визначає механізм завдання для користувача типів файлів, які можуть визначатися і використовуватися незалежними розробниками.
Отже, використовуються модулі Plug-ins, які пов'язані з певними MIME-типами файлів. Зв'язок полягатимуть в тому, що при зверненні користувача до файлів відповідного типу, браузер запускає пов'язаний з ним Plug-in і цей модуль виконує всі дії з візуалізації даних файлу і обробці дій користувача з цим файлів.
В якості найбільш відомих модулів Plug-in можна навести модулі, що програють відеоролики у форматі avi. Перегляд даних файлів не входить в штатні можливості браузерів, але встановивши відповідний Plug-in можна легко переглядати дані файли в браузері.
Далі, все зашифровані файли у відповідності з встановленим міжнародним стандартом порядком визначаються як файли MIME типу. "Application / x-shp". Потім у відповідності з технологією та протоколами Netscape розробляється Plug-in, який пов'язується з даним типом файлів. Цей модуль виконує дві функції: по-перше, він запитує пароль та ідентифікатор користувача, а по-друге, він виконує роботу з розшифрування та висновку файлу у вікно браузера. Дані модуль встановлюється, відповідно до штатного, встановленим Netscape, порядком на браузери всіх комп'ютерів клієнтів.
На цьому підготовчий етап роботи завершено система готова до функціонування. При роботі клієнти звертаються до зашифрованих html-сторінок з їх стандартному адресою (URL). Браузер, визначає тип цих сторінок і автоматично запускає розроблений нами модуль, передавши йому вміст зашифрованого файлу. Модуль проводить аутентифікацію клієнта і при успішному її завершенні розшифровує і виводить на екран вміст сторінки.
При виконанні всієї цієї процедури у клієнта створюється відчуття "прозорого" шифрування сторінок, так як вся вищезазначена робота системи прихована від його очей. При цьому всі стандартні можливості, закладені в html-сторінках, такі як використання картинок, Java-аплетів, CGI-сценаріїв - зберігаються.
Легко бачити, що при даному підході вирішуються багато проблем захисту інформації, тому що у відкритому вигляді вона знаходиться тільки на комп'ютерах у клієнтів, по мережі дані передаються в зашифрованому вигляді. Зловмисник, маючи на меті отримати інформацію, може здійснити тільки атаку на конкретного користувача, а від даної атаки не може захистити жодна системи захисту інформації сервера.
В даний час, автором розроблено дві системи захисту інформації, засновані на пропонованому підході, для браузера Netscape Navigator (3.x) і Netscape Communicator 4.х. У ході попереднього тестування встановлено, що розроблені системи можуть нормально функціонувати і під управлінням MExplorer, але не у всіх випадках.
Важливо відзначити, що дані версії систем не здійснюють зашифрование асоційованих з HTML-сторінкою об'єктів: картинок, аплетів сценаріїв і т.д.
Система 1 пропонує захист (шифрування) власне html-сторінок, як єдиного об'єкта. Ви створюєте сторінку, а потім її зашифровуєте і копіюєте на сервер. При зверненні до зашифрованої сторінці, вона автоматично розшифровується і виводиться в спеціальне вікно. Підтримки системи захисту з боку програмного забезпечення сервера не вимагається. Вся робота з зашифрування і розшифрування здійснюється на робочій станції клієнта. Дана система є універсальною, тобто не залежить від структури і призначення сторінки.
Система 2 пропонує інший підхід до захисту. Дана система забезпечує відображення в деякій області Вашої сторінки захищеної інформації. Інформація лежить в зашифрованому файлі (не обов'язково в форматі html) на сервері. При переході до Вашої сторінці система захисту автоматично звертається до цього файлу, зчитує з нього дані та відображає їх у певній галузі сторінки. Дані підхід дозволяє досягти максимальної ефективності та естетичної краси, при мінімальній універсальності. Тобто система виявляється орієнтованої на конкретне призначення.
Даний підхід може бути застосований і при побудові систем електронних платежів через Інтернет. У цьому випадку, при зверненні до деякої сторінці Web-сервера відбувається запуск модуля Plug-in, який виводить користувачеві форму платіжного доручення. Після того як клієнт заповнить її, модуль зашифровує дані платежу і відправляє їх на сервер. При цьому він може зажадати електронний підпис у користувача. Більш того, ключі шифрування і підписи можуть зчитуватися з будь-якого носія: гнучких дисків, електронних таблеток, смарт-карт і т.д.
2.3 Аналіз технологій на відповідність базовим вимогам до систем електронних платежів
Вище ми описали три технології, які можуть бути використані при побудові платіжних систем через Інтернет: це технологія, заснована на Java-аплетах, компонентах Active-X та вбудованих модулях Plug-in. Назвемо їх технології J, AX і P відповідно.
Розглянемо вимога про незбільшення можливостей атак зловмисника на комп'ютер. Для цього проаналізуємо один з можливих типів атак - підміну зловмисником відповідних клієнтських модулів захисту. У випадку технології J - це аплети, У разі AX - зануренням компоненти, у разі P - це включаються модулі Plug-in. Очевидно, що у зловмисника існує можливість підмінити модулі захисту безпосередньо на комп'ютері клієнта. Механізми реалізації даної атаки лежать за межами даного аналізу, тим не менш, необхідно відзначити, що реалізація даної атаки не залежить від розглянутої технології захисту. І рівень захищеності кожної технології збігається, тобто всі вони однаково нестійкі до даної атаки.
Самим уразливим місцем в технологіях J і AX, з точки зору підміни, є їх завантаження з Інтернет. Саме в цей момент зловмисник може здійснити підміну. Більш того, якщо зловмисникові вдається здійснити підміну даних модулів на сервері банку, то він отримує доступ до всіх обсягами інформації платіжної системи, що циркулюють в Інтернет.
У випадку технології P небезпеки підміни немає, тому що програмі не завантажується з мережі - він постійно зберігається на комп'ютері клієнта.
Наслідки підміни різні: у разі J-технології зловмисник може тільки викрасти вводиться клієнтом інформацію (що є серйозною загрозою), а в разі, Active-X і Plug-in зловмисник може отримати будь-яку інформацію, до якої має доступ, що працює на комп'ютері клієнт.
В даний час автору невідомі конкретні способи реалізації атак з підміни Java-аплетів. Мабуть дані атаки погано розвиваються, так як результуючі можливості з викрадення інформації практично відсутні. А ось атаки на компоненти Active-X широко поширені і добре відомі.
Розглянемо вимога про захист інформації, що циркулює в системі електронних платежів через Інтернет. Очевидно, що в цьому випадку технологія J поступається і P і AX в одному дуже істотному питанні. Усі механізми захисту інформації засновані на шифрування або електронного підпису, а всі відповідні алгоритми грунтуються на криптографічних перетвореннях, які вимагають введення ключових елементів. В даний час довжина ключових елементів складає близько 32-128 байт, тому вимагати введення їх користувачем з клавіатури практично неможливо. Виникає питання як їх вводити? Так як технології P і AX мають доступ до ресурсів комп'ютера, то рішення даної проблеми очевидне і добре відомо - ключі зчитуються з локальних файлів, з флоппі-дисків, пігулок або smart-карт. А от у випадку технології J такий введення неможливий, значить доводиться або вимагати від клієнта введення довгій послідовності неосмислене інформації, або, зменшуючи довжину ключових елементів, знижувати стійкість криптографічних перетворень і отже знижувати надійність механізмів захисту. Причому дане зниження є дуже істотним.
Розглянемо вимога про те, що система електронних платежів має організовувати захист даних, розташованих на сервері від несанкціонованого читання і модифікації. Дана вимога випливає з того, що система передбачає розміщення на сервері конфіденційну інформацію, призначену для користувача. Наприклад, перелік відправлених ним платіжних доручень з відміткою про результати обробки.
У випадку технології P дані інформація представляється з вигляді html-сторінок, які зашифровуються і розміщуються на сервері. Всі дії виконуються відповідно до описаного вище (шифрування html-сторінок) алгоритмом.
У разі технологій J і AX дана інформація може бути розміщена в деякому структурованому вигляді в файлі на сервері, а компоненти або аплети повинні виконувати операції з зчитування та візуалізації даних. Все це в цілому приводить до збільшення сумарного розміру аплетів і компонентів, і, отже, до зменшення швидкості завантаження відповідних сторінок.
З точки зору даної вимоги технологія P виграє завдяки більшої технологічності, тобто менших накладних витратах на розробку, і більшої стійкості до підміни компонентів при їх проходженні по мережі.
Що ж стосується останньої вимоги про захист банківської локальної мережі, то воно виконується за рахунок грамотної побудови системи міжмережевих екранів (брандмауерів) і від розглянутих технологій не залежить.
Таким чином, вище було проведено попередній порівняльний аналіз технологій J, AX і P, з якого випливає, що технологію J слід застосовувати в тому випадку, якщо збереження ступеня захищеності комп'ютера клієнта істотно важливіше стійкості криптографічних перетворень, що використовуються в системах електронних платежів.
Технологія Р представляється найбільш оптимальним технологічним рішенням, що лежить в основі систем захисту інформації платежів, так як вона поєднує в собі потужність стандартного додатка Win32 і захищеність від атак через мережу Інтернет. Практичної та комерційною реалізацією проектів з використанням даною технологією займається, наприклад, компанія "Російські фінансові комунікації".
Що ж стосується технології AX, то її використання представляється неефективним і нестійким до атак зловмисників.
ВИСНОВОК
Електронні гроші все більш явно починають ставати нашою повсякденною реальністю, з якою, як мінімум, вже необхідно рахуватися. Звичайно, ніхто в найближчі років п'ятдесят (напевно) не скасує звичайні гроші. Але не вміти управлятися з електронними грошима і упускати ті можливості, які вони з собою несуть, - значить добровільно зводити навколо себе «залізна завіса», який з такою працею розсуваються за останні півтора десятка років. Багато великих фірм пропонують оплату своїх послуг і товарів через електронні розрахунки. Споживачеві ж це значно економить час.
Безкоштовне програмне забезпечення для відкриття свого електронного гаманця і для всієї роботи з грошима максимально адаптовано для масових комп'ютерів, і після невеликої практики не викликає у рядового користувача ніяких проблем. Наш час - час комп'ютерів, Інтернету та електронної комерції. Люди, що володіють знаннями в цих областях та відповідними засобами, домагаються колосальних успіхів. Електронні гроші - гроші, які отримують все більш широке поширення з кожним днем, відкривають все більше можливостей для людини, що має доступ в Мережу.
Мета розрахунково-графічної роботи виконані і вирішені наступні завдання:
1. Визначено основні завдання систем електронних платежів і принципи їх функціонування, їх особливості.
2. Проаналізовано основні системи електронних платежів.
3. Проаналізовано загрози, пов'язані з використанням електронних грошей.
4. Проаналізовано засоби захисту при використанні електронних платіжних систем.
5. Розроблено рекомендації щодо використання електронних платіжних систем.
СПИСОК
1. Антонов Н.Г., Пессель М.А. Грошовий обіг, кредит і банки. -М.: Финстатинформ, 2005, стор 179-185.
2. Банківський портфель - 3. -М.: Сомінтек, 2005, стор 288-328.
3. Михайлов Д.М. Міжнародні розрахунки і гарантії. М.: ФБК-ПРЕС, 2008, стор 20-66.
4. Поляков В.П., Московкина Л.А. Структура і функції центральних банків. Зарубіжний досвід: Навчальний посібник. - М.: ИНФРА-М, 2006.
5. Гайкович Ю.В, Першин А.С. Безпека електронних банківських систем. - М: Єдина Європа,
6. Дьомін В.С. та ін Автоматизовані банківські системи. - М: Менатеп-Інформ,
7. Крисін В.А. Безпека підприємницької діяльності. - М: Фінанси і статистика,
8. Ліньков І.І. та ін Інформаційні підрозділи в комерційних структурах: як вижити і досягти успіху. - М: НІТ,
9. Титоренко Г.А. та ін Комп'ютеризація банківської діяльності. - М: Финстатинформ,
10. Тушнолобов І.Б., Урусов Д.П., Ярцев В.І. Розподілені мережі. - СПБ: Пітер,
11. Novell NetWare. Керівництво користувача,
12. Аглицьких І. Стан і перспективи інформаційного забезпечення російських банків. - Банківські технології,