4 Виды подходов к защите платёжных систем

При создании платежных систем необходимо уделить как можно больше внимания защите и обеспечению их безопасности. Обычно различается внутренняя и внешняя безопасность. Внутренняя безопасность должна обеспечивать целостность программ и данных, обеспечение нормальной работы всей системы. Внешняя — должна защищать от любых угрожающих сбоем в системе проникновений. В настоящее время существует два подхода к построению защиты платежных систем:

• комплексный подход — объединяет разнообразные методы противодействия угрозам;

• фрагментарный подход — противодействие определенным угрозам (антивирусные средства и т. п.).

4.1 Комплексный подход

Комплексный подход применяется для защиты крупных систем (например, международные межбанковские сети). В 1985 г. Национальным центром компьютерной безопасности Министерства обороны США была опубликована «Оранжевая книга», в которой был приведен свод правил и норм, а также основные понятия защищенности информационно-вычислительных систем. В ней определяются описанные ниже понятия.

Политика безопасности, т. е. совокупность норм, правил и методик, на основе которых в дальнейшем строится деятельность информационной системы в области обращения, хранения, распределения критичной информации. Политика безопасности определяет:

1. Цели, задачи, приоритеты системы безопасности.

2. Гарантированный минимальный уровень защиты.

3. Обязанности персонала по обеспечению защиты.

4. Санкции за нарушение защиты.

5. Области действия отдельных подсистем.

Рисунок 5 – Схема использования политики безопасности

Анализ риска, который состоит из нескольких этапов:

1. Описание состава системы (т. е. документация, аппаратные средства, данные, персонал и т. д.).

2. Определение по каждому элементу системы уязвимых мест.

3. Оценка вероятности реализации угроз.

4. Оценка ожидаемых размеров потерь.

5. Анализ методов и средств защиты.

6. Оценка оптимальности предлагаемых мер.

Окончательно анализ риска выливается в стратегический план обеспечения безопасности, важным при этом является разбивка информации на категории. Наиболее простой метод такого разграничения информации следующий:

• конфиденциальная информация — доступ к которой строго ограничен;

• открытая информация — доступ к которой посторонних не связан с материальными и другими потерями.

Проблема обеспечения своей информационной безопасности выходит за рамки одной страны. Ни один из пользователей сети не защищен на все 100%. В зависимости от существующих угроз, различают следующие направления защиты электронных систем:

1. Защита аппаратуры и носителей информации от повреждения, похищения, уничтожения.

2. Защита информационных ресурсов от несанкционированного использования.

3. Защита информационных ресурсов от несанкционированного доступа.

4. Защита информации в каналах связи и узлах коммутации (блокирует угрозу «подслушивания»),

5. Защита юридической значимости электронных документов.

6. Защита систем от вирусов.

Существуют различные программно-технические средства защиты.

К классу технических средств относятся: средства физической защиты территорий, сети электропитания, аппаратные и аппаратно- программные средства управления доступом к персональным компьютерам, комбинированные устройства и системы.

К классу программных средств защиты относятся: проверка паролей, программы шифрования (криптографического преобразования), программы цифровой подписи, средства антивирусной защиту программы восстановления и резервного хранения информации. Например, разработчики платежной системы Webmoney Transfer предприняли повышенные меры безопасности для всех сообщений в системе с помощью их кодировки. Использование специального алгоритма защиты информации (похожего на алгоритм RSA, где длина ключа более 1024 бит) и использование специальных ключей при каждом сеансе передачи информации позволяет защитить информацию о назначении и сумме платежа от чужого любопытства.

4.2 Фрагментарный подход

Фрагментарный подход направлен на противодействие четко определенным угрозам в заданных условиях. В качестве примеров реализации такого подхода можно указать отдельные средства управления доступом, автономные средства шифрования, специализированные антивирусные программы и т. п.

Достоинством такого подхода является высокая избирательность к конкретной угрозе. Существенный недостаток — отсутствие единой защищенной среды обработки информации. Фрагментарные меры защиты информации обеспечивают защиту конкретных объектов системы только от конкретной угрозы. Даже небольшое видоизменение угрозы ведет к потере эффективности защиты.

В качестве примеров реализации такого подхода можно указать отдельные средства управления доступом, автономные средства шифрования двух электронных платёжных систем – Яндекс.Деньги и WebMoney.

5 КРИПТОГРАФИЯ И БЕЗОПАСНОСТЬ СИСТЕМЫ ЯНДЕКС.ДЕНЬГИ

Электронная платежная система Яндекс.Деньги работает по технологии Paycash, защищенной четырьмя патентами РФ и обеспечивающей высокую безопасность и надежность работы системы. Для обеспечения безопасности участников системы используются различные методы защиты информации: генераторы случайных чисел, метод представления денежных обязательств, «Способ проведения платежей (варианты)», контроль целостности критических данных при помощи CRC, хэш-функции и прочее. Канал, по которому осуществляется обмен данными между пользователем и системой, защищается SSL-соединением с длинной ключа 128 бит. Для установления подлинности сервера платежной системы используется сертификат, содержащий открытый ключ и другие параметры, характеризующие сервер. Соединение не произойдет, если сертификат не подписан или подписан неизвестным лицом. После идентификации сервера генерируется действующий только в течение данной сессии временный ключ, которым сервер и пользователь будут в дальнейшем кодировать отправляемую информацию.

Другой стойкий криптографический алгоритм RSA с длиной ключа 1024 бит используется при работе с Интернет.Кошельком. Все сообщения в системе подписываются и шифруются отправляющей стороной и передаются через открытую сеть только в защищенном виде. Процессинговый Центр Яндекс.Деньги заверяет своей подписью каждую финансовую операцию в системе.

Система также предоставляет дополнительные возможности защиты денежных средств, хранимых на счете в системе, посредством подтверждения платежей. Режим подтверждения пользователь может выбрать самостоятельно. В настоящее время в системе предлагаются следующие возможности подтверждения:

• Платежный пароль. Это еще более защищенная система авторизации. Выбранным клиентом платежным паролем подтверждается каждая произведенная транзакция. Платежный пароль передается по шифрованным каналам, что исключает возможность его перехвата по пути, кроме случая, когда сознательно была выбрана опция «использовать платежный пароль как обычный»; Авторизация по платежному паролю автоматически пропадает после 15 минут неактивности пользователя. Даже если пользователь просто забыл закрыть браузер, через 15 минут теряется доступ к информации, и никто не сможет воспользоваться его забывчивостью; После 5 попыток ввести неправильный платежный пароль доступ к платным сервисам, защищенным платежным паролем, будет временно заблокирован.

• Усиленная авторизация. Это услуга, позволяющая надежно защитить счет в системе Яндекс.Деньги от большинства известных сегодня способов взлома.

• Этот способ защиты счета является альтернативой использованию платежного пароля. После перехода на усиленную авторизацию пользователю уже не угрожает опасность кражи или перехвата платежного пароля, поскольку вместо него каждый раз требуется вводить новый набор символов.

Этот набор можно получить одним из трех способов:

1. Из jpg-файла с таблицей кодов;

2. С пластиковой карты с таблицей кодов;

3. С экрана электронного токена.

Переход на усиленную авторизацию стоит 30 рублей и оплачивается только один раз, при подключении услуги. В дальнейшем переход с одного способа усиленной авторизации на другой осуществляется без дополнительной оплаты [2].