Використання Internet у банківському обслуговуванні клієнтів - рефераты, скачать рефераты, бесплатно рефераты

Рефераты. Використання Internet у банківському обслуговуванні клієнтів

p align="left">Безпека даних є однією з головних вимог до БС та інтернет послуг. Повинна бути передбачена як стійкість роботи при неправильних діях персоналу, так і спеціалізовані системи захисту від навмисного злому з корисливими або іншими цілями. На сьогоднішній день безпека банківських інформаційних технологій така важлива, що ми розглянемо це питання докладніше. Система захисту і безпеки інформації в БС припускає наявність:

Засоби фізичного обмеження доступу до комп'ютерів БС (ідентифікаційні картки, знімні блокуючі пристрої і т.п.).

Надання повноважень, привілеїв і прав доступу до БС на рівні окремого користувача (співробітника або клієнта банку).

Засоби централізованого виявлення несанкціонованих спроб проникнути до ресурсів БС, що дають можливість своєчасно вжити відповідні заходи.

Захист даних при їх передачі по каналах зв'язку (особливо актуально при використовуванні відкритих каналів зв'язку, наприклад мережі Internet). Тут можливе використовування "цифрового електронного підпису" і інших криптографічних методів.

Питання безпеки діляться на дві групи. До першої групи відносяться питання захисту клієнта від несанкціонованого доступу до його інформації, що знаходиться в системах банку або передається по лініях зв'язку. Так, система інтернет-банкінга повинна забезпечити конфіденційність інформації про клієнта (залишки і надходження на рахунки, проведені операції) і захист від спроб несанкціонованого доступу до коштів клієнта. Слід зазначити, що захист клієнта припускає опосередковано і захист інтересів банку, тому що конфлікт із клієнтом із приводу розголошення його інформації може мати для банку неприємні наслідки.

Друга група питань відноситься до захисту від несумлінних клієнтів (здатних, наприклад, у корисливих цілях оспорювати проведені операції).

Забезпечення безпеки при використанні інтернет-банкінга засновано на використанні механізмів контролю доступу і повноважень і включає вирішення наступних завдань:

Ідентифікація -- встановлення відповідності між абонентом, що установив з'єднання по каналу віддаленого доступу, і клієнтом системи телебанкінга. Ідентифікація клієнтів робиться по користувальному імені, яким є визначена послідовність символів. З обліком того, що деякі пристрої доступу підтримують уведення тільки цифрової інформації, доцільно імена користувачів у системі телебанкінга обмежити цифровими послідовностями.

Аутентифікація -- підтвердження повноважень абонента використовувати введений їм ідентифікатор клієнта.

Контроль цілісності розпоряджень -- комплекс заходів, що забезпечує неможливість зміни чи утримання розпорядження при передачі від абонента до системи телебанкінга по каналу віддаленого доступу.

Забезпечення невідречности -- встановлення авторства розпорядження, що забезпечує неможливість відмови клієнта від операції, проведеної на підставі і відповідно до розпорядження.

Забезпечення конфіденціальності -- запобігання потрапляння даних, переданих по каналу віддаленого доступу, у розпорядження третьої сторони.

Аутентифікація -- підтвердження повноважень абонента використовувати введений їм ідентифікатор клієнта.

Особлива увага при розробці систем «клієнт-банк» та інтернет-банкінгу була надана забезпеченню безпеки передачі інформації та доступу до неї.

Рис.3.1. Шифрування та дешифрування електронного документу

Для цього в системі використовуються наступні засоби:

Система паролів доступу до абонентного місця.

Шифрування даних при передачі по відкритих каналах зв'язку за допомогою алгоритму DES (рис.3.2.).

Застосування цифрового підпису для забезпечення достовірності документів, передаваних по відкритих каналах зв'язку.

Для формування цифрового підпису використовується комбінована схема відкритого і закритого підпису RSA (стандарти ISO 8730, ISO 8731-1).

У деяких системах передачі даних існує так звана підсистема аудиту. Вона призначена для збору інформації про події системи і містить два типи реєстраційних журналів -- системний і аудиту безпеки. Системний журнал містить відомості про функціонування системи, журнал аудиту безпеки -- дані, пов'язані з інформаційною безпекою системи. Додатково підсистема аудиту може включати реєстраційний журнал серверу з даними по всіх мережевих з'єднаннях, які були встановлені через цей сервер. Для кожної події підсистема реєструє дату і час виникнення події, порядковий номер події, категорію події, джерело події і іншу інформацію, пов'язану з цією подією.

Перелік подій, що підлягають аудиту, може бути визначений адміністратором безпеки за допомогою фільтрів. Фільтри можуть містити наступну інформацію: ім'я користувача, дії якого повинні реєструватися в журналі аудиту; класи подій, реєстровані системою; рівень пріоритету подій, реєстрованих системою, і ін. Відповідно до настройок адміністратора безпеки при виникненні подій певного типу підсистема аудиту безпеки може виводити інформацію про ці події на консоль адміністратора системи.

Підсистема аудиту, крім того, повинна містити фільтри, що дозволяють фіксувати всі події, пов'язані з діями користувача, а також всі високопріоритетні події, що стосуються дій адміністратора системи.

Ще використовується контроль ідентифікації і аутентифікації користувачів системи. Підсистема ідентифікації і аутентифікації призначена для захисту мережі від несанкціонованого доступу шляхом перевірки аутентифікаційних даних, що надаються користувачами системи. Процедури ідентифікації і аутентифікації підсистеми можуть бути реалізовані наступними способами:

* за допомогою реєстраційних імен і паролів, що вводяться користувачами на етапі отримання доступу до системи;

* з використанням сертифікатів. При реалізації даного механізму аутентифікації замість реєстраційних імен і паролів користувач надає свій сертифікат. Аутентифікація з використанням сертифікатів використовується при віддаленому підключенні користувачів до системи через мережу Інтернет та ін.

Обмеження числа спроб доступу до системи. Для виконання цієї дії необхідно внести додаткові параметри в профіль системи шляхом виконання транзакції або ручного редагування файлу, що містить профіль.

Настройка правил по формуванню і зміні пароля. Для виконання настройки спочатку вказується мінімально допустима довжина пароля і час, необхідний для зміни пароля. Окрім зміни профілю адміністратор безпеки повинен визначити перелік паролів, використання яких користувачами в системі є неприпустимим.

* пароль не повинен співпадати з ім'ям облікового запису користувача;

* пароль повинен містити алфавітні символи різних регістрів;

* пароль повинен містити як алфавітні, так і цифрові символи;

* пароль повинен бути випадковою послідовністю символів.

Необхідно відзначити, що в цілях безпеки в системі зберігаються не паролі користувачів, а їх хэш-значения. Для їх обчислення використовується модифіковані алгоритми.

Представлений аналіз можливого рівня захищеності систем вселяє певний оптимізм виробникам і користувачам. Проте всі базові підсистеми захисту припускають застосування зовнішніх модулів, що реалізовують криптографічні функції відповідно до заданих вимог. В даний час на Українському ринку присутні декілька таких модулів, але всі вони реалізують зарубіжні криптографічні алгоритми, що ускладнює їх використовування на території України.

Розглянемо дещо детальніше поняття цифрового підпису, що служить одним з найголовнішим засобом захисту та підтвердження достовірності передаваної коммерційної та банківської інформаціі та є базою надійності банківських інформаційних технологій.

Рис.3.2. Формування та використання електронного цифрового підпису

Електронний цифровий підпис (ЕЦП) - аналог власноручного підпису фізичної особи у вигляді послідовності символів, одержаної в результаті криптографічного перетворення електронного документа (початкової інформації) з використанням секретного ключа ЕЦП, дозволяючий встановити авторство ЕЦП, а також цілісність і незмінність електронного документа.

Секретний ключ ЕЦП (секретний ключ) - послідовність символів, призначена для вироблення ЕЦП і відома тільки власнику секретного ключа.

Відкритий ключ ЕЦП (відкритий ключ) - послідовність символів, однозначно пов'язана з відповідним секретним ключем ЕЦП, призначена для перевірки ЕЦП і доступна широкого кола осіб.

Діючий відкритий ключ - відкритий ключ, зареєстрований в Банку, термін дії якого не закінчився, дію якого не відмінено.

Електронний цифровий сертифікат (сертифікат) - інформаційний масив, завірений ЕЦП Банка, що містить відкритий ключ власника секретного ключа, інформацію про власника секретного ключа, серійний номер сертифікату, період дії сертифікату, а також деяку допоміжну інформацію.

Електронні документи, підписані коректною ЕЦП Клієнта, є підставою для здійснення операцій від імені Клієнта і тягнуть такі ж правові наслідки, як і ідентичні по значенню і змісту документи на паперовому носії, підписані власноручним підписом Клієнта.

Операції ув'язнені шляхом обміну електронними документами, підписаними ЕЦП, задовольняють вимозі здійснення операції в простій письмовій формі у випадках, передбачених цивільним законодавством, і тягнуть юридичні наслідки, аналогічні наслідкам здійснення операцій, скоюваним з фізичною присутністю особи (взаємній присутності осіб), що здійснюють операцію.

Операції або інші дії, здійснені Банком, а також операції укладені між Клієнтом і Банком на підставі електронних документів, підписаними ЕЦП, не можуть бути оспорені тільки на тій підставі, що ці дії не підтверджуються документами, складеними на паперовому носії.

Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17