Securitatea sistemelor de e -banking [602065]
UNIVERSITATEA DE VEST DIN TIMIȘOARA
FACULTATEA DE MATEMATICĂ ȘI INFORMATICĂ
LUCRARE DE DISERTAȚIE
Coordonator științific :
Conf. univ. Dr. Victoria Iordan
Absolvent: [anonimizat]
2015
UNIVERSITATEA DE VEST DIN TIMIȘOARA
FACULTATEA DE MATEMATICĂ ȘI INFORMATICĂ
LUCRARE DE DISERTAȚIE
Securitatea sistemelor de e -banking
Coordonator științific :
Conf. univ. Dr. Victoria Iordan
Absolvent: [anonimizat]
2015
REFERAT
8 Securitatea sistemelor de e -banking
CUPRINS
INTRODUCERE …………………………………………………………………………………………………………. 9
CAPITOLUL 1: SISTEME ELECTRONICE DE BANKI NG ……………………………………………………… 11
1.1.
INTRODUCERE ÎN SERVIC II ELECTRONICE DE BA NKING …………………………………………………………….. 11
1.2. DEFINIREA CONCEPTELOR SPECIFICE E -BANKING ………………………………………………………………….. 13
1.3. IMPACTUL E -BANKING ASUPRA SERVI CIILOR BANCARE TRADIȚIONALE ………………………………………….. 15
1.4. SERVICIILE BANCARE EL ECTRONICE ………………………………………………………………………………….. 16
1.5. CANALELE DE ACCES UTI LIZATE DE E -BANKING …………………………………………………………………….. 17
1.6. AVANTAJELE SERVICIILO R BANCARE ONLINE ……………………………………………………………………….. 17
1.7. PROBLEME ȘI RISCURI ÎN BANKING -UL ELECTRONIC ……………………………………………………………….. 19
CAPITOLUL 2: ARHITEC TURA SISTEMELOR DE E- BANKING …………………………………………….. 20
2.1. CONTEXT DIAGRAM …………………………………………………………………………………………………… 20
2.2. SEQUENCE DIAGRAM …………………………………………………………………………………………………. 21
2.3. CLASS DIAGRAM ………………………………………………………………………………………………………. 24
2.4. DIAGR AMA FLUX DE DATE …………………………………………………………………………………………… 25
2.5. DESIGNUL ARHITECTURAL ……………………………………………………………………………………………. 27
CAPITOLUL 3: SECURIT ATEA SISTEMELOR DE B ANKING ………………………………………………… 32
3.1. PROBLEME LEGATE DE SE CURITATE …………………………………………………………………………………. 32
3.2. ATACURI ……………………………………………………………………………………………………………….. 33
3.3. SOLUȚII …………………………………………………………………………………………………………………. 34
3.3.1. Soluții software ……………………………………………………………………………………………… 34
3.3.2. Soluții software ……………………………………………………………………………………………… 35
3.4. TEHNOLOGIA CONFIDENȚI ALITĂȚII ………………………………………………………………………………….. 36
3.5. ASIGURAREA SECURITĂȚII DATELOR …………………………………………………………………………………. 37
3.5.1. Analiza riscului ………………………………………………………………………………………………. 37
3.5.2. Politici de securitate ……………………………………………………………………………………….. 38
3.5.3. Serviciile de securitate ……………………………………………………………………………………. 38
CONCLUZII …………………………………………………………………………………………………………….. 40
GLOSAR ………………………………………………………………………………………………………………… 41
BIBLIOGRAFIE ………………………………………………………………………………………………………… 42
Facultatea de Matematică și Informatică
9
Securitatea sistemelor de e -banking
Rezumat: Internetul a avut un rol cheie în dezvoltarea relațiilor dintre oameni și tot odată în
dezvoltarea afacerilor. Apariția internetului a avut ca rezultat comerțul electronic, permițând
afacerilor să interacționeze mai eficient cu clienții și alte corporații di năuntrul sau din afara
domeniului lor de activitate. Un domeniu de business care utilizează acest nou canal de
comunicare pentru a ajunge la client este banca. Serviciile bancare electronice încurajează câteva curente noi: p osibilitatea de a utilize serviciile oricând, oriunde și reducerea
complexității birocatice.
Atenția în domeniul securității este orientată către transferul informației, protocoalele de
la nivelul sesiunii și vulnerabilitățile care pot apărea pe parcursul canalului de comunicare de la cap la coadă. O sesiune securizată complet de utilizator până la serviciul bancar necesită un protocol sigur pentru a comunica privat într -un ambient public și de o aplicație fără
vulnerabilități la ambele capete ale canalului. Soluțiile sunt menite a încuraja utilizatorii să folosească protocoale sigure deoaremce în general acestea nu există mai ales când vorbim de
utilizatori care nu cunosc toate aceste aspecte de securitate.
Soluțiile la aceste probleme sunt sisteme bazate pe software, bazate pe hardware sau un
sistem hibrid. Soluțiile bazate pe software implică utilizarea algoritmilor de criptare, bazate pe cheie publică/privată, semnatura digitală pentru a forma aplicații software numite Secure
Electronic Transaction folosite de Master Card si Pretty Good Privacy. Soluțiile bazate pe sisteme hardwere sunt Smartcard și chip- ul MeChip care oferă un plus de conf idențialitate
informaților personale. Soluțiile bazate pe software sunt mai avantajoase decât cele bazate pe hardwere pentru că sunt distribuite mai ușor și în general mai ieftine de implementat.
INTRO DUCERE
Imaginează- ți următoarea situație: e ști singur acasă și ești conectat online la contul tău
bancar. Vrei să verifici câți bani ai în cont. Ca și majoritatea utilizatorilor mai ai și bani cash pe
care îi ții în casă pentru că nu ai încredere totală în sistemul bancar. Dintr -o dată auzi un sunet și
te ridici în grabă de pe scaun, te grabești la fereastră ca sa vezi ce sa întâmplat și constați că este
un hoț. Conștientizezi că ai mulți bani ascunși și ți -e frică că iți vor fi luați. Având în vedere că
traim în secolul tehnologiei, bancomatele te ajută să transferi banii cash în bani virtuali pe care
mai apoi îi poti transfera în contul tău bancar folosind internetul. Acest dispozitiv distruge efectiv banii fizici creând în locul lor bani virtuali, menținând evidența acestei conversii. Realizezi că îți poți salva banii din calea hoțului și te duci să îi iei imediat. Îți pui toți banii în
acest aparat și acesta îi transformă în bani electronici. Prin simpla apăsare a unui buton banii se transferă în contul tău bancar unde sunt depozitați într -un mediu si gur. Acum banii sunt în
siguranță, iar singura ta grijă este să te ferești de hoți.
În ziua de astazi când tehnologia este la un nivel înalt, acest dispozitiv este departe de
realitate, dar partea în care o persoană interacționează la orice oră și de oriu nde cu contul ei
bancara devine din ce în ce mai uzuală. Accesul la internet se regăsește peste tot în case, școli, afaceri și instituții. Mulți indivizi îl folosesc pentru a obține informații despre vreme, sport, știri locale și multe alte informații din diverse domenii. Mulți dintre aceștia folosesc internetul pentru
a cumpăra și a vinde bunuri. In consecință multe afaceri ajung la clienții aflați în toate colțurile lumii datorită internetului. Acest canal electronic de comunicare s -a maturizat în ceea ce noi
numim astazi comerț electronic. "Comertul electronic integrează comunicarea managementului
10 Securitatea sistemelor de e -banking
de date și serviciile de securitate pentru a permite aplicațiilor de business din difierite organizații
să schimbe informații într -un mod automat și fluid. Come rțul electronic este format din rețele de
comunicare intraconectate; Hardwer avansat sau de ultimă generație, aplicații software și
servicii; Standarde de interoperabilitate, schimb de date; Soluții de securitate și de confidențialitate agreate; Practici m anageriale și culturale maturizate. Această infrastructură va
facilita companii diverse și distribuite de la nivel national să se dezvolte rapid și le va permite flexibilitate și un mediu sigur pentru a face mai departe business.
Industria bancară este u nul dintre aceste domenii care utilizează acest mijloc de
comunicare pentru a adauga un plus de comoditate utilizatorilor serviciilor. Acet sistem de interacțiune între clienți și bancă se numește Electronic Banking. "Banking- ul electronic este
utilizarea calculatorului pentru a primi și procesa datele bancare (Sold, tranzactii etc), a inițializa
tranzacții (plati, transferuri), direct cu banca s -au alte servicii financiare furnizate prin
intermediul rețelei de telecomunicatii.
Banking- un electronic este u n domeniu nou care permite indivizilor sa interacționeze cu
contul lor bancar folosind internetul de oriunde din lume. Banking- ul electronic se adresează
câtorva curente noi: Nevoia clientului pentru un serviciu pe care poate sa îl folosească oricând și oriunde, simplu de utilizat și cât mai nebirocratic. Acest sistem permite clienților să își acceseze
conturile bancare, să își vizualizeze cele mai recente tranzacții, să își interogheze soldul, să transfere bani, să afle informații despre ratele de conversi e și informații despre produsele
bancare. Acest tip de serviciu este oferit în prezent de majoritatea băncilor din statele dezvoltate și cele în curs de dezvoltare. Sistemul electronic bancar poate fi văzut ca o extensie a acestor bănci.
Aceste bănci ajun g la un numar mare de utilizatori de internet. Statisticile estimează mai
mult de 423 de milioane de utilizatori în momentul de față. Mai sunt și alte studii care indică aceleași rezultate ceea ce indică că internetul v -a juca un rol important în promovare a și
maturizarea Electronic bankingu -ului.
Acest studiu va discuta în primul rând motivațiile din acest domeniu al sistemului bancar.
In al doilea rând v -a expune un scenariu dezatru folosind un exemplu. In al treilea rând acest
studiu v -a discuta diferi tele probleme care pot aparea din diverse perspective. In al patrulea rând
problemele de securitate și atacurile care pot fi adresate acestor sisteme, soluții atât software cât și hardware. In final se vor analiza tehnologiile pentru a furniza confidențial itate.
Facultatea de Matematică și Informatică
11
CAPITOLUL 1: SISTEME ELECTRONICE DE BANKI NG
1.1. Introducere în servicii electronice de banking
Bancile internationale au introdus pe piata romaneasca functionarul electronic, care pana
la urma a ajuns sa faca parte din oferta majoritatii bancilor romanesti. Pentru inceput a fost electronic banking dupaceea a urmat internet banking, iar de curand in tara noastra a fost
introdus serviciul de mobil banking. Cele trei servicii ofera clientului bancii in principiu cam
aceleasi facilitati. Diferentele dintre ele consta in libertatea de miscare oferita si folosirea canalului pentru a comunica cu banca. Electronic bankingul sau e+bankingul fiind primul dintre
serviciile care il scutesc pe omul de afaceri de frecvente drumuri la b anca. E -bankingul
permitandu- i utilizatorului sa faca din fata calculatorului operatiuni in contul bancar, omul de
afaceri ne mai fiind obligat sa faca drumuri dese si corvoada de a sta la coada ghiseului
complectand formulare, semnandu -le si asteptand dupa stampile, apoi sa le inmaneze
functionarului bancar intr -un cuvant pierdere de timp pretios. Acest tipul de serviciu ne fiind o
noutate in mediul bancar. City Bank utilizeaza sisteme de e- banking de aproape 25 de ani, iar in
tara noastra alaturi de ING B arings si ABN Amro sunt printre primi in introducerea aces tui tip de
serviciu.
Prin e -banking se pot efectua operatiuni ce pornesc de la vizualizarea soldurilor
conturilor firmelor ajungandu- se pana la plati, transferuri schimburi valutare,creare depozite la
termen si o multitudine de astfel de tranzactii. Conexiunea dintre banca si computerul companiei
poate fi facuta cu usurinta printr -o linie telefonica obisnuita doar avand calculatorul conectat cu
ajutorul unui modem. Computerul nu trebuie sa fie sofist icat. O alta facilitate de care beneficiaza
utilizatorii e -bankingului o reprezinta interfata care se realizeaza intre softul instalat si intre
serviciul si contabilitate a firmei. In acest fel tranzactiile pe care le realizeaza prin e- banking
fiind automa t inregistrate si in contabilitate.
De asemenea la bancile cu retele internationale se pot realiza operatiuni in conturile
filialei din Romania de la sediul central al firmei din strainatate.
Daca la e- banking nu se putea accesa decat de la calculatorul af lat in companie la internet
banking poate fi utilizat de la orice alt calculator conectat la internet indiferent unde se afla acesta. In cele mai multe cazuri se poate utiliza cu usurinta si un alt calculator chiar daca nu este
calculatorul personal. Operatiunile care se pot realiza sunt aceleasi ca in cazul e- banking- ului:
Transmiterea ordinelor de plata, schimbul valutar, transferul, vizualizarea situatiilor conturilor si altele. Unele banci au inceput sa sara peste etapa primara a e- banking- ului intrand direct la
internet banking.
Dar totusi trebuie avuta in vedere de catre o banca momentul in care implementeaza acest
tip de serviciu avand la baza securitatea comunicatiilor prin internet. Procedura trebuie urmata pentru a beneficia de serviciu si este st ricta tocmai pentru o siguranta maxima. Cel care
soliciteaza va trebui sa aiba cont deschis lao anumita banca, copleteaza o cerere, apoi i se
inmaneaza un plic inchis in care exista „ user name ” si o parola. Va intra apoi de acasa pe siteul
bancii, introducand user name -ul si parola primita, iar in acel monent aesta va fi conectat. Dupa
aceasta avand obligativitatea de a -si schimba parola primita astfel incat nici angajatii bancii sa nu
o mai cunoasca. In momentul de fata oamenii de afaceri romani po t beneficia chiar de libertatea
totala in contactul cu banca. Ordinele de plata, transferuile bancare, schimburile bancare precum
si consultarea istoricului operatiunilor se pot realiza direct de pe telefonul mobil. Demirbank a introdus fiind in premiera i n Romania serviciul mobil banking prin telefonul mobil cu
WAP/Wireless si de un abonament pentru acest serviciu in retelele de telefonie mobila. Fiecare
12 Securitatea sistemelor de e -banking
producator de celulare are implementat in portofoliul de produse telefonice aceasta facilitate.
Avand un pret variabil de la foarte mic la un pret mai mare fiind la telefoanele mai sofisticate.
Clientii bancilor pentru a utiliza mobil banking -ul trebuie sa semneze in prealabil un contract cu
banca, primind in s chimb un user name si o parola, putand apoi sa utilizeze telefonul mobil in
operatiuni bancare. Exista o clauza si anume banii din cont pot fi transferati catre o lista predefinita de companii. In cazul in care telefonul mobil este pierdut, iar cel care l- a gasit prin
absurd ar cunoaste user name- ul si parola nu ar putea sa transfere banii din cont decat spre o
firma din lista predefinita.
Descrierea serviciului Online Banking
Online -Bankig este o formă modernă de administrare a conturilor deschise la bancă.
Datorită acestui serviciu, clienții își pot accesa conturile 24 ore pe zi, 7 zile din 7. Clienții care
folos esc Online Banking pot face urmă toarele prin intermediul Internetului:
Verificarea soldului și a tranzacțiilor de pe conturile personale.
ordonarea de plăți interne;
transferuri interne ;
efectuarea de plăți interne programate;
efectuarea de depozite la termen. In funcție de cererea clienților aceste servicii pot fi extinse sau ajustate.
Beneficiile Online Banking
Clienții utilizatori ai Online -Banking beneficiază de urmă toarele avantaje:
TIMP – tranzacții non- stop;
LOC – accesare din orice locațtie : acasă, la lucru și chiar de ce nu în vacanță ;
METODA – operativitate și rapididate ;
PREȚ – mai ieftin cu jumatate decât modul tradițional de operare prin intermediul
sucursalelor băncii;
SECURI TATE – s -a pus bazele unei siguranțe de operare bancară.
Cum sa deveniți un utilizator Online Banking?
Pentru a putea beneficia de serviciile Online Banking- ului trebuie:
Incheierea un contract pentru serviciul Online Banking;
Specificarea conturilor desemnate pentru Online Banking;
Beneficiați un aparat de securitate din filiala băncii ;
Să percepe o taxa pentru aparatul de securitate.
Cerințe tehnice:
din punct de vedere tehnic, pentru a accesa Online Banking aveți nevoie de un PC cu sistem de operare Microsoft Windows 95, 98, NT, 2000 sau Millennium și acces la Internet cu Internet Explorer 4.01 s -au mai performant. MS Java Virtual Machines
trebuie sa fie versiunea 5.0 release 3194 sau mai mare.
față de aceste condiții, când se efectuează conectarea f olosind Online Banking trebuie să
folosească întotdeauna dispozitivul de securitate pe care banca îl oferă spre folosire, conform contractului Online Banking.
Securitate:
Produsul Online Banking al BA/CA Romania S.A. a fost conceput în cooperare cu o compa nie specializată în software cu experiență în produse similare.
Din motive de securitate se folosește o tehnologie de encriptare pe 128 -biti care
momentan este cea mai avansata tehnologie de encriptare pentru comunicarea între computerul Dvs. și serverul băncii.
Formula de codificare este generată în funcție de mișcările mouse- ului Dvs. de fiecare
dată când vă conectați la Online Banking. De aceea este necesar să mișcați mouse- ul
întotdeauna pentru câteva secunde când vă conectați. Datorită acestor mișcăr i este
asigurat un nivel înalt al siguranței transferului de date.
Facultatea de Matematică și Informatică
13
Pentru a vă conecta de fiecare dată, trebuie să introduceți în de dispozitivul de securitate
(numit TOKEN) pe care îl veți primi la semnarea contractului pentru serviciul Online
Banking. O ricum, va trebui sa confirmați orice tranzacție pe care o veți face folosind
dispozitivul de securitate.
1.2. Definirea conceptelor specifice e- banking
a) Electronic banking reprezintă un fel de “umbrelă”, acoper ind întregul proces prin care
client ul poate să realieze tranzacții bancare direct pe cale ele ctronică, fără a fi nevoie vizita la
banc ă. Cele mai utilizate servicii banca re electronice sunt:
computerul personal (PC banking);
Internet banking ;
serviciile bancare on -line.
Facem o precizare totuși că termenii utilizați pentru diferite tipuri bancare electronice
sunt adesea utilizați concomitent. PC banking fiind o formă de servicii banca re online care le atribuie clienților
posibilitatea de a executa tranzacții bancare având un computer via un modem. Specificându- se
că îm acest caz, banca oferă clientului în proprietate un software financiar care permite clientului
să realizeze unele tranzacții financiare având la ba ză propriul său computer de acasă. În mod
curent, multe bănci oferă sisteme d e PC banking c are permit clienților să obțină extrase de cont
cu soldurile conturilor, note de plată și transferuri de fonduri între conturi.
Internet banking având și denumit servici u bancar online reprezintă o formă mai
avansată de PC banking. Internet banking ut ilizează Internetul ca și canal de distribuție prin care
se dirijează activitatea bancară, cum ar fi : transferarea fondurilor, plata facturilor, vizualizarea
soldurilor conturilor de economii, plata ipotecilor și cumpărarea instrumentelor financiare și a
certificatelor de depozit. Serviciile bancare de Internet sunt cunoscuteca ca fiind servicii v irtuale
interactive sau web -banks (web -site-urile băncilor).
Multe bănci și -au realizat reclame publicitare la început sub forma unor web-site-uri cu
informații, apoi și- au creat web -site-uri interactive și, ulterior, și- au creat web site-uri
tranzacționale. Totuși, există un numă r de bănci care nu și -au oferit încă serviciile bancare de
tranzacționare prin Internet, acestea și -au anunțat clienții, însă, pe web- sit-uri că și ele vor oferi
în viitor astfel de activități bancare.
Serviciile bancare prin Internet au în general, costuri operaționale și tranzacționale mai
scăzute decât serviciile bancare obișnuite.
În comparație cu canalele tradiționale prin care se oferă servicii bancare prin intermediul
sucursalelor, e- banking- ul utilizează Internetul pentru a distribui clienților lor servicii bancare
tradiționale cum ar fi: deschiderea de conturi, transferul de fonduri și plățile electronice de facturi.
E-banking- ul poate fi oferit prin două căi . Prima, o bancă existentă care are, în mod fizic,
birouri, poate să înființeze un site onli ne și să ofere servicii bancare electronice clienților săi.
Citibank permite clienților accesarea conturil e bancare prin Int ernet adaugând în plus serviciile
servicii ca: interogarea contului, transfer de fonduri și plata electronică a facturilor. E-banking- ul
este distribuit clienților prin Internet și prin paginile web utilizând Hypertext Markup
Language (HTML) . În vederea utilizării serviciilor e -banking, clienții au nevoie de acces la
Internet și de un program care să permită navigarea pe I nternet (web browser software). Contul
clientului băncii și informația cu privire la tranzacție sunt depozitate într -o bază de date.
Principala problemă cu care se confruntă e -banking- ul o reprezintă securitatea. E-
bankingul oferindu- le clienților securitatea sistemului nemaifiind nevoie să utilizeze rețele le
publice cum ar fi Internet -ul. Unele dintre amenințările securității sunt furtul și violarea
intimității individului și a confidențialității informațiilor.
14 Securitatea sistemelor de e -banking
Băncile care utilizează e -banking- ul oferă mai multe metode pentru a asigura un nivel
ridicat de securitate:
• identificare și autentificare: utilizarea numelui de utilizator și a unei parole pentru a putea
accesa conturile;
• criptare: chiar dacă informația este interceptată, hacker -ul să nu o poată vizualiza ;
• firewall: bariere pentru protejarea servere -lor și a bazelor de date ale băncilor.
b) E-banking -ul este definit de Comitetul de Supraveg here Bancară cu sediul la Basel ca fiind
activitatea de distribuire a serviciilor și produselor bancare detail ate de valori diferite, prin
intermediul canalelor electronice.
Aceste servicii bancare pot include:
atragerea depozitelor bancare;
acordarea împrumuturilor;
managementul contabil;
acordarea de consultanță financiară;
furnizarea altor servicii și produse de plată electronică, cum ar fi moneda electronică.
Conceptul de bancă virtuală a fost definit și în litera tura de specialitate.
În mod obișnuit, cele mai la îndemână procedee pr in care se distribuie consumatorilor
produse și servicii bancare electronice sunt:
terminal POS (point of sale terminals);
ATM -uri (automatic teller machine);
telefoane mobile;
calculatoare personale;
terminal la distanță;
Video Kiosk;
Internet și altele.
Prin intermediul Internet -ului, o persoană poate avea acces 24 de ore/7 zile pe săptămână
la conturile sale și poate realiza tranzacții, fiindu -i necesar pentru aceasta doar u n calculator
conectat la Internet și un browser. Serviciile bancare prin Internet pot fi accesate și prin
dispozitivele de telefonie mobi lă și cu ajutorul WAP (Wireless Application Protocol). Astfel,
datorită extinderii sal e rapide, Internet -ul aduce noi oportunități pentru industria bancară.
Din punctul de vedere al băncilor, segmentele de clienț i cărora li se adresează aceste
servicii sunt:
piața clienților individuali;
piața clienților instituționali (clienții corporaționali).
Utilizarea Internet- ului pentru furnizarea produselor și serviciilor bancare are avantaje
pentru bănci și pentru clienți așa cum reiese din tabelul de mai jos:
Facultatea de Matematică și Informatică
15
Tabelul 1 : Avantajele utilizării Internetului în banking
Banca • imagine bunăpepiață;
• costurireduse ale tranzacțiilor;
• răspuns rapid la cerințelepieței;
• creșteraveniturilor;
• creștereanumarului de clienți.
Client individual • costuriredusepentruaccesulșifolosireadiferitelorproduse;
• comoditate;
• vitzeă;
• administrareafondurilor.
Client instituțional • costuriredusepentruaccesareașiutilizareaproduselor;
• administrarealichidităților.
1.3. Impactul e -banking asupra serviciilor bancare tradiționale
În aprofunda rea serviciile e -banking, trebuie să ne ținem cont de revoluționarea pe care ar
putea să o realizeze e- banking- ul în viitor. Folosindu- se "e", ne gândim la tot cee a ce este
electronic, nu neaparat Internet, televiziune, telefon sau toate trei la un loc.
Internet -ul a revoluționat economia și este un adevăr ce poate fi demonstrat având
următoarele argumente:
• Serviciile oferite de e- banking fiind mult mai ieftine decât alte servicii derulate prin
sucursale băncilor sau prin telefon.
• Serviciile e -bankin poate fi efectua fără dificultate, după instalarea aplicațiilor
informatice.
• Furnizorii de portal – providers – vor fi în măsură să atragă cea mai semnificativă parte
din profiturile băncilor.
• Produsele vor fi distribuite prin linii individuale. În felul acesta, b ăncile tradiționale vor fi
părăsite și nu vor mai efectua plăți și decontări.
Cele mai eficiente e- banking- uri și servicii oferite de ele se gasesc în zona Peninsulei
Scandinave. C lienții din acestă zonă au posibilitatea tuturor serviciilor bancare având la
dispoiție canale de distribuție. Viitorul îl reprezintă ‘Martini Banking’ având un concept
oricând, în orice loc, oriunde, oricum .
Demararea activității de e -banking presupune costuri foarte ridicate. Obținerea uneimărci
de încredere este foarte costi sitoare și presupune costuri pentru reclama comercială și în plus,
costuri ridicate pentru cumpărarea tehnologiei.
În prezent, supraveghetorii pieței financiar- bancare trebuie să -și concentreze atenția
asupra impactului pe care activitatea de e- banking o are asupra băncilor tradiționale prin
supravegherea, de exemplu a următoarelor:
strategia ;
nivelul clientului ;
veniturile și cheltuielile ;
cheltuielile efectuate cu reclama comercială;
marje/limite de profit.
16 Securitatea sistemelor de e -banking
Astfel, în Anglia, nu există un regim special pentru activitatea de e- banking, iar
supraveghetorii consideră că pot să autorizeze orice activitate e- banking nouă care îndeplinește
standardele minime de prudență bancară.
Comitetul de supraveghere bancară are în vedere supravegherea inter națională a întregii
comunități de distribuirea a linii directoare cu privire la electronic banking", incluzând Basel
Comitet E -Banking Grup. In atare situație este necesară de asem enea furnizarea unui pache t de
reglementări interne având în vedere sprijinirea educației clientului și inclusiv a băncii. Aducând
la un nivel global un asemenea ghid care ar contribui la realizarea cooperării internaționale și ar
fi de facto un fundament pentru realizarea abordări coerente și a suparvegherii activității e-
banking. Astfel s -ar facilita creșterea încrederii clienților în bănci sanatoase, care totuși au la
bază regimuri diferite de supraveghere și reglementare.
Grupul a identificat următoarele probleme asupra cărora să -și concentreze activitateaîn
viitor:
autorizarea;
standarde prudențiale;
transparență;
secret profes ional;
spălarea banilor;
supravegherea operațiunilor transfrontaliere.
1.4. Serviciile bancare electronice
Serviciile bancare elect ronice se pot clasifica în două categorii:
a) furnizarea de inf ormații;
b) efectuarea de transferuri de fonduri și de plăți .
a) Informațiile bancare furnizate electronic de bancă sunt informații cu privire la contul
bancar și informații financiar- bancare generale, cum ar fi cele referitoare la cursul de schimb
valutar, dobânzile sau comisioanele curente, rețeaua de ATM -uri, cele de utilitate generală.
Informațiile cu privire la cont se referă la: valoarea soldului contului curent, istoricul
tranzacțiilor efectuate în și din cont, situația extraselor de cont. Tot în categoria informațiilor bancare furnizate electronic se pot încadra și mesajele SMS trimise de bancă deținătorului de cont de card, la momentul efectuării unei tranzacții cu cardul.
b) Transferurile de fonduri din cont pot fi transferuri intrabancare sau interbancare.
Plățile ordonate se pot efectua către un cont intrabancar (între clienții băncii), către o alta
bancă sau către trezorerii, în moneda țării sau în altă monedă. Se poate ordona vânzarea sau cumpărarea de valută. O companie poate ordona plata salariilor către angajații săi, pornind de la
un cont de salarii al companiei, către o listă prestabilită de conturi de salariați (care pot fi și conturi de card). Se pot face plăți de facturi și de reîncărcare a cartelelor telefonice.
Fiecare bancă deven ită e -bancă oferă unele dintre aceste servicii sau chiar pe toate,
grupate pe pachete de servicii adecvate unor anumite canale de acces. Dacă accesul se face spre exemplu prin SMS de la un telefon mobil, atunci, de regulă se oferă numai informații, în cazul unui acces prin Internet pot fi disponibile toate serviciile, inclusiv plățile și transferurile. Pentru a avea acces la toate aceste servicii, un deținător de cont, persoană fizică sau
companie, trebuie să se înregistreze la e- banca la care deține contu l. Ca urmare a aprobării
înregistrării, sistemul bancar informatizat al băncii (SBI) îl înregistrează în lista celor care au drept de acces și îi furnizează o metoda de identificare, care va fi folosită de solicitant în momentul apelării serviciului.
În general, identificarea se face prin nume și parolă, dar pot fi și alte metode, cum ar fi
alocarea unui PNB (Personal Banking Number; util atunci când accesul la servicii se face prin
Facultatea de Matematică și Informatică
17
mai multe canale de acces, la alegere), împreuna cu un PIN, cuplarea la calculatorul de acces la
Internet a unui cititor de carduri cu cip de identificare sau furnizarea unui mic dispozitiv de
securitate (token), care generează un cod recunoscut de server -ul băncii, cod care e citit din
dispozitiv și introdus de solicitant. Soli citantul va plăti aceste servicii printr- un abonament lunar,
în care intră diverse servicii de furnizare de informații la care se pot adăuga comisioane pentru unele servicii, cum ar fi plățile.
Serviciile bancare electronice sunt implementate de e- bancă prin aplicații special aflate în
SBI-ul propriu (programe, proceduri) sau, în cazul conturilor de card, în SMC -ul (Sistem de
Management de Carduri) băncii. Aceste aplicații primesc solicitarea de serviciu, identifică solicitantul, efectuează serviciul cerut, trimit un mesaj de răspuns către solicitant și păstrează o înregistrare a tranzacției. Aplicațiile de e- bancă pot fi dezvoltate chiar de bancă sau pot fi
achiziționate de la furnizorii specializați. În cazul unui acces prin Internet, legăturile de teleco municații sunt sigure (SSL – Secure Socket Layer), iar în cazul unei legături prin telefonul
mobil mesajele pot fi criptate.
1.5. Canalele de acces utilizate de e- banking
Accesul de la distanță la serviciile de e- bancă se poate reali za apelând la mai mul te canale
de acces, având la baza telefonul fix, telefonul mobil și pe calculatorul personal. Prin canale le
respective se pot transmite mesajele, datele și servicii. Se pot desfășura dialoguri între solicitant
și serviciu având posibilitatea abordării unor mesajele și datele furnizate de serviciu .
Cel mai simplu și la îndemână este un canal general de acces la serviciile bancar e
electronice prin telefonul fix sau mobil, prin care se poate solicita orice serviciu apelând la un
numar de telefon special al băncii , la care va răspunde un operator uman din Centrala de
Asistență Telefonică al băncii. Acesta este fiind un canal de acces prin voce.
Clientul solicitant se va identifică verbal, iar operatorul intră în baza de date și verifică
identitatea, după care s olicitantul poate să ceră serviciul dorit.
Serviciile de E -banca pot fi obținute având la bază un calculator personal PC, putând fi
accesate prin două metode: cuplarea PC la internet accesarea unei pagini specializate de site al băncii. Totodata poate fi accesat și prin cuplarea PC -ului dotat cu un modem și o aplicație
furnizată de bancă.
Serviciile bancare apelându -se la Internet (Internet Banking, Web Banking) sunt din ce în
ce căutate și mai folosite, deoarece au o marja de siguranță sporită și pot ofe ri gamă comple xă de
servicii bancare. Legătura de telecomunicații până în serverul băncii fiind asigură de protocolul
SSL/TLS (T ransaction Layer Security), solicitantul fiind identificat prin nume și parolă. Unele
servicii bancare electronice pot fi obținu te prin intermediul unui telefon mobil în două
modalități: apelându- se la un mesaj SMS și tot odată prin acces la internet WAR.
Prin mesaj ul SMS de obicei pot fi primite diverse informații cu referire la soldul contului
și tot odată la soldul ultimelor tranzacții, iar prin WAP putem primi pagini cu aceleași informații,
la care de obicei se pot adăuga unele informații generale bancare cu privire la comisioanele,
dobânzile, cursul valutar curent și altele.
1.6. Avantajele serviciilor bancare online
Analiz a atuurilor serviciilor bancare on -line trebuie efectuată atât din perspective
instituției bancare, cât și din punctul de vedere al clientului/utilizator sub cele două forme în care se prezintă acesta:
clientul individual ;
clientul instituțional.
18 Securitatea sistemelor de e -banking
Din punct ul de vedere al băncii furnizoare, serviciile de electronic -banking au următoarele
avantaje:
• Creșterea gradului de satisfacere a cerințelor clientului, datorită faptului că acest serviciu
este disponibil 24 de ore pe zi și 7 zile pe săptămână, lăsând clien tului posibilitatea să
aleagă când și unde să își efectueze tranzacțiile;
• Creșterea ratei de păstrare a clienților prin eliminarea condiționării față de locația fizică a
unei bănci sau de numărul de filiale și personalul disponibil, având în vedere că un
contact direct cu reprezentanții unei bănci este mult mai rar;
• Posibilitatea extinderii regionale cu investiții mult reduse în locațiile fizice ale filialelor
sau agențiilor
• Internet -ul, prin intermediul marketingului bazelor de date, prezintă oportunități unice de
oferte personalizate pentru un număr mult mai mare de clienți.Spre exemplu, în
momentul în care un client accesează website -ul, cunoscând serviciile pe care clientul
respectiv le folosește și interesele pe care le are, prin intermediul unui softw are
personalizat, clientului i se poate oferi noul produs/serviciu, fie al băncii, fie al unui partener.
• Identificarea clienților sau segmentelor profitabile de clienți. O bază de date cu informații
complexe despre clienți, ce pot fi obținute prin site -ul de internet, poate facilita analiza
detaliată a fiecărui client sau a unor grupe de clienți și măsurarea profitabilității acestora.
Acestor clienți profitabili li se pot face oferte speciale pentru a -i reține.
• Tranzacțiile bancare on -line au costurile cele mai reduse dintre toate tipurile de tranzacții.
• Imagine bună pe piață. Băncile care oferă astfel de servicii sunt percepute ca lideri în implementarea tehnologiei, având o imagine mai bună pe piață.
Pentru utilizatorul- persoană fizică online, banking -ul prezintă următoarele avantaje:
• Costuri reduse pentru accesul și folosirea diferitelor produse și servicii bancare;
• Comoditate. Toate tranzacțiile bancare pot fi efectuate de acasă sau de la birou, fără a fi
necesară deplasarea la sediul băncii.
• Viteză. Răspunsul mediului este foarte rapid, astfel încât clientul poate aștepta până în
ultimul minut pentru a iniția un transfer de fonduri.
• Administrarea fondurilor. Clientul poate avea istoricul diferitelor conturi și poate face analize pe propriul computer înainte de a realiza o tranzacție pe web.
Pentru clienții instituționali, avantajele sunt:
• Costuri reduse pentru accesarea și utilizarea diferitelor produse și servicii, solicitarea de
credite, deschiderea de acreditive etc.
• Acces la informații. Cor porațiile pot avea acces la informații, putând vedea situația
conturilor printr -un simplu click de mouse.
• Managementul lichidităților. Serviciile bancare prin internet permit clientilor
instituționali să -și transfere banii dintr -un cont într -altul pentru a face plăți, având și o
imagine permanentă asupra lichidităților.
Scopul îl constituie verificarea îndeplinirii de către sistemul informatic al emitentului și de către soluția software, prin intermediul cărora instrumentul de plată cu acces la distanță est e oferit, a
unor cerințe minime de securitate, referitoare la:
a) confidențialitatea și integritatea comunicațiilor;
b) confidențialitatea tranzacțiilor;
c) confidențialitatea și integritatea datelor;
d) autenticitatea părților care participă la tranzacții;
e) protecția datelor cu caracter personal;
f) păstrarea secretului bancar;
g) continuitatea serviciilor oferite clienților;
Facultatea de Matematică și Informatică
19
h) împiedicarea, detectarea și monitorizarea accesului neautorizat în sistem;
i) restaurarea informațiilor gestionate de sistem în cazul unor calamități natu rale,
evenimente imprevizibile;
j) gestionarea și admi nistrarea sistemului informatic .
1.7. Probleme și riscuri în banking -ul electronic
Având în vedere că acest tip de serviciu este relativ nou care are foarte multe capacități,
de asemenea poate avea și n umeroase probleme de care nu suntem conștienți și din această
privință unii utilizatori nu sunt foarte receptivi în a folosi acest serviciu. Utilizarea banking -ului
electronic ridică unele probleme din pespective cum ar fi: guvernul, alte afaceri, utiliza tori și
tehnologie.
GUVERN: Din punctul de vedere al unui stat acest tip de serviciu ridica o problemă legată de legile care îi obligă pe cetățeni sa platească anumite taxe. De asemenea rezervele bancare pe care băncile trebie să le îndeplinească pot fi o problemă. O altă problemă ar fi legile asociate cu
protecția consumatorului privind plățile electronice. Unele state sunt îngrijorate în privința algoritmilor de criptare între bancă și client, deoarece unii algoritmi au fost creați și sunt întreținuți de către armată.
BUSINESS : Implicate în aceasta îngrijorare sunt și alte afaceri din diferite domenii. Din
moment ce acestea sunt cele care utilizează sistemul electronic bancar pentr a transfera cantități importante de bani este normal să acorde un surplus de atenție asupra securității. In același timp
au în vedere și câștigul în timp care poate aparea în urma tranzacțiilor electronice dar și eventualelor comisioane care pot aparea în urma folosirii acestui serviciu ( transferuri dintr- un
cont în altul, ridi care sau depunere de numerar). Aceste afaceri au în vedere faptul ca există
utilizatori care preferă plățile electronice în schimbul celor cash. Pentru ca o afacere sa acopere o arie de suprafață extinsă și să permită utilizatori din toate zonele are neap arat nevoie să
folosească acest tip de banking.
UTILIZATORI : Sunt principalii actori preoccupați de securitatea acestor sisteme aceștia sunt
preocupați în mod special de un acces neautorizat în conturile lor online bancare. O altă grijă pe care utilizatori i o au este legată de informațiile personale. Un studi a aratat ca 82% dintre
americani sut în mod special preocupați de acest aspect. Din moment ce sunt tot mai mulți utilizatori și cantitate de date confidențiale, securizarea acestor date devine tot mai importantă
pentru a permite maturizarea electronic bankingu -lui. Câteva dintre tehnologiile care ajută la
păstrarea confidențialității datelor în câmpul electronic bankingu -lui sunt bani electronici și
cecurile electronice care se vor discuta în secțiunea soluțiilor software. TEHNOLOGII : Pentru a avea un sistem din tranzacționare sigur este nevoie să rezolvăm patru
probleme:
1) Securitatea
Seuritatea tranzacțiilor este principala grijă a tuturor industriilor care produc internetul,
iar lipsa acesteia poat e însemna pierderi substanțiale în materie de bani sau informații prețioase,
un exemplu fiind cel ilustrat în secțiunea de mai sus. Această problemă fiind discutată în secțiunea umătoare unde vom specifica și unele posibile atacuri.
2) Confidențialitatea
General vorbiind confidentialitatea derivă tot din securitate și o vom discuta în secțiunea
tehnologiei pentru confidențialitate. O bună confidentialitate asigură că datele personale ale emițătorului nu vor putea fi recepționate sau întelese de către alți actori neautorizați. In domeniul
bancar datele care au nevoie să fie confidențiale pot fi: suma de bani transferată, data și ora tranzacției, nmele platitorului.
3) Autenticitate a
20 Securitatea sistemelor de e -banking
Criptarea datelor ajută datele să fiie în siguranță, dar există nevoia de a verifica că datele
nu au fost modificate pe parcrsul tranzacției. Există doua posibilități pentru a verifica
autencitatea unor date. Una dintre acestea este folosirea unui algoritm de Hashing, acesta fiind un mecanism care verifică faptul că datele nu au fost modificate. Emițatorul aplică acest algoritm
pe datele care dorește să le trimită și îl trimite receptorului, acesta din urma aplică același algoritm pe datele inițiale, iar daca rezultatul acestui algoritm este identic cu cel trimis de catre emițător atunci înseamnă că datele care au fost primite sunt aceleași cu cele care au fost trimise.
Dacă aceste două Hashuri nu sunt egale atunci înseamnă că mesajul a fost alterat pe parcurs. Cea de-a doua formă de modificare se realizează prin folosirea unei ent ități autoritare de certificare
(CA). Ea permite atât receptorului cât și emițătorului să verifice că semnăturile digitale ale ambilor actori sunt valide.
4) Divizibilitate a
Banii electronici , asemenea banilor reali , pot fi împarțiți în unități pe tranza cționare. De
exemplu banii electronici pot fi o reprezentare a monedelor sau a bancnotelor.
Pentru a permite acestei industrii să se dezvolte mai departe tranzacțiile ar trebui să fie
sigure pentru ca utilizatorii să aibe încredere în aceste sisteme. Multe bănci își fac reclamă online despre securitatea serviciilor oferite permițând utilizatorilor o gamă largă de servicii. Security First Network Bank este prima bancă certificată de către departamentul antifraudă. Această bancă oferă garanție dată de guvern ceea ce încurajează foarte mult utilizatorii spre aceste servicii.
Pentru a deveni un sistem cu adevarat convenabil băncile au nevoie să ajungă atât la
clienți cât și la alte instituții financiare. Se dorește un canal de comunicare între bănci care să le permită o interacțiune mai sigură și mai facilă între acestea. Anumite bănci colaboreaz ă cu
diverse companii din domeniul IT pentru a oferi acest canal de comunicare. Băncile vor fi
capabile să ofere servicii clienților prin intermediul unui canal public, internetul, folosind rețele virtuale paralele.
În anumite părți ale lumii băncile au format o alianță pentru a dezvolta un standard pentru
plățile electronice. Aceste standarde folosesc semnaturi electronice folosind algoritmul RSA pentru a garanta ca nimeni nu poate falsifica tranzacțiile bancare. Aceste fenomene în care băncile se aliază va promova standardizarea acestor servicii. Scopul principal în ziua de astăzi
este securitatea.
De-a lungul timpului au existat și breșe de securitate în aceste sisteme, una dintre ele a
existat în sistemul băncii City Bank unde s -au produs daune în val oare de 10 milioane de dolari.
Din cei 10 milioane de dolari care au fost transferați și din totalu l prejudiciului 400 de mii nu s –
au mai găsit. De atunci unele bănci au optat să folosească un dispozitiv pentru a mări securitatea
transferurilor, clienții f iind nevoiți să aprobe fiecare tranzacție folosind dispozitivul pentru a crea
o parolă unică pentru fiecare tranzacție.
CAPITOLUL 2: ARHITECTURA SISTEMELOR DE E -BANKING
2.1. Context Diagram
În contextul Sistemului Diagrama care este cel mai mare nive l de sistem, similar cu
Schema bloc care la rândul său prezintă un sistem (un mod normal bazat pe software), având la
bază intrări și ieșiri și de la și la factori externi. Diagramele Context arată interacțiunile dintre un
sistem și alți factori cu care si stemul este proiectat pentru a face față. Acestea sunt de obicei
întocmite cu ajutorul cutie i etichetate pentru a reprezenta fiecare dintre entitățile externe și o altă
Facultatea de Matematică și Informatică
21
cutie marcată pentru a reprezenta sistemul în curs de dezvoltare. Relația este desemnat ă ca o linie
între entități și a sistemului în curs de dezvoltare. Context ul Diagrama este o diagramă flux de
date care prezintă fluxurile de date între o cerere generalizată în cadrul domeniului, precum și
alte entități și abstracțiuni cu care comunică. U n lucru care diferențiază utilizarea diagramelor de
flux de date în analiza de domeniu din alte utilizări tipice este că variabilitatea datelor traversează granița domeniu trebuie să fie contabilizate cu un set de diagrame sau text care descrie diferențele. Înainte de a construi modelul de procesare reală, trebuie să se stabilească domeniul de aplicare inițială a proiectului. Un proiect domeniu definește ce aspect al afacerii unui sistem sau aplicație ar trebui să sprijine, însă definește modul în care sist emul sau aplicarea
modelat trebuie să interacționeze cu alte sisteme, precum și de afaceri ca un întreg. Domeniul de aplicare a unui proiect este documentat cu o diagrama de context.
2.2. Sequence Diagram
Diagramele de secvență sunt cele mai populare arte, faptul că UML pentru modelarea
dinamică este concent rată pe identificarea comportamentului în sistemul dumneavoastră.
Diagramele de secvență împreună cu diagramele de clase și modele de date fizice sunt în opinia experților cele mai importan te modele la nivel de proiectare pentru dezvoltarea modernă de
aplicare de afaceri. Tehnica Grafic mesaj de ordine a fost inclus în schema Unified Modeling Language (UML) sub numele de Sequence Diagrama. Un show diagramă de secvență ca linii paralele verti cale, diferite procese sau obiecte care trăiesc simultan și ca săgeți orizontale,
mesajele schimbate între ele, în ordinea în care acestea apar. Acest lucru permite specificarea unor scenarii simple de rutină într- un mod grafic. Liniile punctate care se ex tind în jos indicând
cronologie și timp de fluxurile de sus în jos. Săgețile reprezintă mesaje de la un actor sau un
obiect la alte obiecte. UML 2.0 Sequence Diagrama sprijină notație similară cu secvența UML 1.x Diagrama cu Adăugat suport pentru variațiil e de modelare la fluxul standard de evenimente.
În cazul în care linia vieții este cea a unui obiect se subliniază. Rețineți că părăsirea , numele de
instanță , martor poate reprezenta cazuri anonime și fără nume. În scopul de a afișa interacțiune,
se utiliz ează mesaje. Acestea sunt săgeți orizontale cu numele mesaj scris deasupra lor. Săgeți
solide cu capete complete sunt apeluri sincrone, săgeți solide cu cap bat apeluri asincrone și săgeți punctate cu capete stick de mesaje de returnare. Această definiție este valabil începând cu
UML 2, considerabil diferit de UML 1.x.Cutii de activare, sau cutii metoda prin apel, sunt
22 Securitatea sistemelor de e -banking
dreptunghiuri opace trase pe partea de sus a frânghii pentru a pre zenta că procesele sunt efectuate
ca răspuns la mesaj . Obiecte de asteptar e metode prin ei înșiși folosesc mesaje și adăuga noi cutii
de activare în partea de sus, toate celelalte pentru a indica un nivel suplimentar de prelucrare.
Când un obiect este distrus (eliminată din memorie), un X este desenat deasupra linia vieții, și linia întreruptă încetează să fie trase sub el. Ar trebui să fie rezultatul unui mesaj, fie din obiectul
în sine, sau altul. Un mesaj trimis din afara diagrama poate fi reprezentat printr- un mesaj
provenind de la un cerc complect . O diagramă UML poate efect ua o serie de etape, numite un
super pas, ca răspuns la un singur stimul extern. Diagrame de secvență sunt de obicei folosite pentru model:
• Usage scenarios. Un scenariu de utilizare este descrierea unei metode potenț iale de
utilizare a sistemului.
Logica unui scenariu de utilizare poate fi parte a unui caz de utilizare poate un curs
alternativ. Acesta poate fi unul întreg s -au trecere printr -un caz de utilizare, cum ar fi logica
descrisă de cursul de bază al acțiunii sau o porțiune a cursului de bază de acțiune, plus unul sau mai multe scenarii alternative. Logica unui scenariu de utilizare poate fi de asemenea, o trecere
prin logica conținută în mai multe cazuri de utilizare. De exemplu un student se înscrie la universitate și apoi imediat se înscrie în trei seminarii.
Logica și metode : Diagrame de secvență poate fi utilizată pentru a explora logica unui
complex operație, funcție sau procedură. Un mod de a gândi de secvențe .
• Sequence Diagram Pentru Plăț i
Fig 3. Sequence Diagram of “Pay Bills”
Logica servici ului. Un serviciu este efectiv o metodă la nivel înalt, de multe ori unul care
poate fi invocată de o mare varietate de clienti. Aceasta include servicii web, precum și tranzacțiile de afaceri puse în aplicare de o varietate de tehnologii, cum ar fi CICS / COBOL sau CORBA- conforme cu brokeri și cerere obiect (sfere).
• Sequence Diagram Pentru Transfer
Facultatea de Matematică și Informatică
23
Fig 4. Sequence Diagram of “Transfer Funds”
• Sequence Diag ram Pentru Urmărit Transferuri î n Cont
Fig 6. Sequence Diagram of “View Account Transaction” Use case
• Sequence Diagram Pentru Utilităț i
24 Securitatea sistemelor de e -banking
Fig 7. Sequence Diagram of “Utilities”
2.3. Class Diagram
Modelele statice ale unui sistem descrie relațiile structurale care dețin între bucățile de
date manipulate de sistem. Ele descriu modul în care datele sunt parcelate în obiecte, cum sunt clasificate aceste obiecte și ce relații pot ți ne între ele. Ei nu descriu comportamentul sistemului,
nici cum datele într -un sistem evoluează în timp. Aceste aspecte sunt descrise prin diverse tipuri
de model dinamic. Cele mai importante tipuri de model static e sunt diagrame de obiecte și
diagrame de clasă. O diagramă obiect prevede un "instantaneu" al unui sistem, care arată obiectele care există de fapt la un moment dat și legăturile dintre ele. Multe diagrame obiect diferite pot fi trase pentru un sistem, fiecare reprezentând starea sistemului la un anumit moment.
O diagramă obiect prezinta datele care sunt deținute de un sistem la un moment dat. Aceste date pot fi reprezentate ca obiecte individuale, ca valori de atribute stocate în interiorul acestor obiecte sau ca legătură între obiecte.
Facultatea de Matematică și Informatică
25
Fig 8. Class Diagram of Internet Banking System
2.4. Diagrama Flux de Date
• Pentru Facturi/OP -uri
Fig 9 : Data Flow Diagram of Pay Bills
• Data Flow Diagram Transfer de Fonduri
26 Securitatea sistemelor de e -banking
Fig 10. Data Flow Diagram of Transfer Funds
• Data Flow Diagram Verificari Servicii
Fig 11. Data Flow Diagram of Cheque Services
• Data Flow Di agram Pentru vizionat transfer î n conturi
Facultatea de Matematică și Informatică
27
Fig 12. Data Flow Diagram of View Account Transaction
• Data Flow Diagram Utilități
Fig 13. Data Flow Diagram of Utility
2.5. Designul arhitectural
28 Securitatea sistemelor de e -banking
Arhitectura întruchipează aspectele
statice și dinamice majore ale unui
sistem. Este o vedere a întregului sistem subliniind cele mai importante caracteristici și ignorând detaliile inutile. În contextul abordării noastre arhitectura este specificată în cinci modele: modelul de utilizare -Case, Analiza Modelul,
design, model de implementare și modelul de punere în aplicare. Aceste opinii arată elementele "arhitectural semnificative" ale acestor modele. Modelele au următoarele caracteristici specifice în abordarea noastră: Modelul
de utilizare prezintă cazurile de utilizare tematice legate de funcționalitatea asociată cu distribuția modelului de analiză care ilustrează modul în clase limită, de control și entități sunt asociate cu cazurile de u tilizare tematice
identificate în analiză. Clase de la distanță de control de comunicare prezentate în
acest model sunt specializări din clasele de control și reprezintă captarea componentelor care se
ocupă cu comunicarea la distanță și difuzarea prin intermediul CORBA (Common Object Cerere
Broker Architecture). Modelul de proiectare arată clasele de proiectare care trasează la distanță clasele de control de comunicare specializate în analiză. O atenție specială este acordată interfețele oferite de aceste clase de design. Ne arată cum unele dintre acestea sunt reprezentate
de interfețe IDL. Modelul de punere în aplicare descrie modul elemente din modelul de
proiectare care sunt puse în aplicare în termen de componente. În cele din urmă, modelul de
implementa re explică modul în care componentele pe bază de CORBA sunt clasificați la noduri.
Pentru sistemele de Internet Banking au fost propuse două sisteme de arhitecturi:
a) Într -un termen mai larg Arhitectura nu trebuie să se concentreze numai asupra cererilo r, ci ar
trebui să se concentreze și asupra Tehnologiei Informatiei Management Service ca un întreg. Acesta include Tehnologie, Procese, Oameni și Informații. Sistem intensiv de date de mari dimensiuni constă de obicei dintr -un set cooperant subsisteme aut onome care aduce conceptul de
multiple arhitecturi în cadrul unui sistem. În următoarele secțiuni sunt sistemele mari, cum ar fi sistemul bancar pentru a avea un concept de organizare care functioneaza pentru toate modulele din cadrul sistemului. În acest fel ne putem da seama cu ușurință calitățile că sistemul propus ar trebui să aibă în componentele necesare. Acest lucru va ajuta pentru a face arhitectura mai clară și mai ușor de înțeles.
b) În stratul de arhitectură, vom folosi puncte de vedere diferit e pentru a spori inteligibilitatea a
arhitecturii, astfel încât ne putem concentra pe anumite preocupări separat. Noi vizualizari conceptuale, logice și de execuție, așa cum este descris mai jos.
1) Prima arhitectură
Proiectarea Arhitectură implicată în tr-un stadiu incipient al procesului de proiectare de
sistem reprezintă legătura dintre procese. Aceasta implică identificarea componentelor majore de sistem și comunicațiile acestora. Pentru a atinge un scop al acestei arhitecturi, documentația trebuie să fie completă și clară, dar și care sunt cele mai bune proceduri pentru a transmite ceea
Facultatea de Matematică și Informatică
29
ce au nevoie să știe. Cuprinzător Documentul specificație arhitectură se pot adresa acestui
obiectiv.
Arhitectura sistemului de internet banking: aplicația de Interne t Banking este bazată pe
modelul cu 3 niveluri. Arhitectura Enterprise pentru Internet Application bancară este prezentat
mai jos.
Fig 14. Architecture of Internet Banking Application
Arhitectura pe trei nivele de mai sus are următoarele componente majore:
1. Client: Vor fi doi clienți pentru aplicare. Unul va fi un client web -based user -friendly numit
cliențul băncii, iar celălalt va fi pentru scopuri de administrare.
2. Application Server : Este nevoie de grijă a script -ul serverului, are grijă de JDBC -ODBC
(Open Database Connectivity) șofer și verificări pentru conectivitate ODBC pentru cartografierea la bază de date în vederea îndeplinirii clientului și cererea administratorului.
3. Baza de date : serv ere bază de date a magazinului clientului și a datelor bancare.
2) A doua arhitectură
Arhitectura conceptuală identifică componentele de nivel înalt ale sistemului și relațiile
dintre ele. Scopul acestei arhitecturi este să acorde o atenție la o descomp unere corespunzătoare
a sistemului fără a discuta detalii. Acest punct de vedere oferă metode utile de comunicare arhitectura a non – audiențe tehnice, cum ar fi management, marketing și utilizatorii. Se compune
din diagrama Arhitectura și o specificație informal componentă pentru fiecare componentă.
• Descompunere modulară
Fig. 15: Primul nivel de descompunere
Descompunerea modulară este procesul prin care sub -sistemele menționate sunt
descompuse în sub- module.
30 Securitatea sistemelor de e -banking
Fig 16. Prima secunda de descompunere
Facultatea de Matematică și Informatică
31
Fig 17. Arhitectura Stratificată
Justificarea arhitecturii alese
Arhitectura software a unui sistem de program sau de calcul este structura sistemului care
cuprinde elemente de software, proprietățile vizibile ale acestor elemente, și relațiile dintre ele. Arhitectura Software -ul poate fi definită în mai multe moduri. În arhitectura software
organizarea fundamentală a unui sistem întruchipează relațiile reciproc și a mediului în componentele sale, împreună cu principiile care reglementează proi ectarea și evoluție. O
arhitectură poate fi definită ca un set de decizii importante cu privire la organizarea unui sistem software, selectarea elementelor structurale, precum și interfețele lor prin care sistemul este compus, împreună cu comportamentul lor cum se specifică în colaborările dintre aceste elemente. Compoziția acestor elemente structurale și comportamentale în subsisteme progresiv mai mari și stilul arhitectural ghidează organizația, elementele menționate, interfețele lor, colaborările, și com poziția. Deși șoferii Arhitectura nu sunt parte a arhitecturii ca atare, șoferii
care modelează arhitectura sunt importanți. Acestea includ: Arhitectura Vision: exprimă starea dorită în care arhitectura va aduce Cerinte arhitecturale: capturează golurile p ărților interesate și
arhitecturală comportamentală cerințe semnificative, calitățile de sistem, precum și constrângeri.
32 Securitatea sistemelor de e -banking
Ipoteze, forțe și tendințe: documentarea afirmațiilor despre activitatea curentă, piața și mediul
tehnic și în cadrul orizontului de pl anificare arhitectură.
Disponibilitate
Atributele de calitate de sisteme software de mari dimensiuni, cum ar fi sistemele bancare
sunt determinate în principal de arhitectură software -ul sistemului. În aceste sisteme factorii care
afectează atributele de calitate, cum ar fi performanța, disponibilitatea, depinde de arhitectura
sistemelor globale, decât pe design detaliat sistem, instrumente de dezvoltare de software,
algoritmi, structuri de date și punerea în aplicare. În timp ce în descrierea Meta Arhi tectura vom
vedea aspecte de domenii transversale ale infrastructurii, semantica și integrarea de servicii. În plus putem sublinia, cerințele clienților pentru sistemul de internet banking și cum o abordare stratificată reduce complexitatea de proiectare î n timpul punerii în aplicare a arhitecturii pentru
sistemul bancar.
Securitate
Securitatea este probabil cel mai important obstacol în calea acceptării de servicii IT și
servicii digitale ca fiind de utilitate devenind absolut dinamic justificată de multe ori în crearea lor, afirmând că sprijină și promovează anumite calități și adesea numit non calitati functionale. Aceste calități inclusiv portabilitate, reutilizare, performanță, ar trebui să li se confere automat pe orice sistem care este realizată fo losind arhitectura. Realizarea calități nefuncționale poate fi
atribuită mai multor factori (cum ar fi stiluri de codare, documentare, testare, etc.).
CAPITOLUL 3: SECURIT ATEA SISTEMELOR DE B ANKING
3.1. Probleme legate de securitate
David Chaum director al DigiCash susține că scuritatea nu este altceva decat protejarea
intereselor. Oamenii vor sa îsi protejeze banii, iar băncile statutul. Rolul Guvernului este acela de a menține integritatea și încrederea în acest sistem bancar. Ca și în cazul banilor fizici și banii
virtuali intră tot în responsabilitatea unui stat de a fi protejați împotriva inflației. Acest rol trebuie luat în serios și nu poate fi lăsat în atribuția organizațiilor comericiale de nivel mic. Securitatea informațiilor este cea mai mare problema a utilizatorilor de internet. Pentru
utilizatori servicilor de tip E -banking care se conecteaza la internet folosind modemuri dial -up
riscul ca cineva să le compromită calculatorul este mai redus decât în cazul băncilor unde există
servere dedicate și expuse public pe internet. Totuși utilizatorii se pot confrunta cu breșe de securitate în care un atacator ar putea accesa contul bancar al acestuia. Mai mult aceștia trebuie să se asigure că există o formă sigură de a identidica atât emițătorul cât și receptorul tranzacțiilor.
Tranzacțiile nesecurizate pot fi alterate în tranzit penru a modifica anumite detalii din cadrul tranzacției cum ar fi suma, plătitorul sau destinatarul transferului. Din această cauză este extrem de import ant ca tranzacțiile să nu poată fi repudiate. Ceea ce înseamnă că identitățile receptorului
și emițătorului să poată să fie atestate de catre o entitate de încredere (CA) care deține certificatele acestora.
Facultatea de Matematică și Informatică
33
3.2. Atacuri
Atacul descris în paragrafele anterioare este doar un exemplu care ne arată cum poate să
fie compromis un serviciu de tip electronic banking. Atacatorii folosesc o multitudine de căi pentru a câstiga acces pe serverele băncilor. In momentul de față atenția este îndreptata asupra securi tății de la nivelul protocolului de sesiune și asupra canalului de comunicare de la un capăt
la altul. O tranzacție sigură necesită o conexiune privată în contextul în care internetul este vazut ca un loc public. De asemenea aplicațiile de la ambele capete ale comunicării trebuie să nu fie
vulnerabile. Este important să existe un protocol sigur deoarece în majoritatea mediilor de comunicare nu se poate vorbi de un canal sigur. De exemplu descărcând un joc de pe internet poate fi periculos deoarece acest fi șier poate conține cod malițios de tip Troian sau virus care pot
copromite întreg calculatorul utilizatorului. Acest potențial risc ne face sa ne gândim la protecții bazate pe software și hardware.
Multe dintre sistemele din ziua de astazi folosesc protec ție bazate pe software, iar aceasta
sunt de preferat în detrimentul celor hardware deoarece sunt mai rapid și mai ieftin de implementat ceea ce le face mult mai des întâlnite. Evident exista si dezavantaje în acet tip de soluții. Se cunosc patru căi de a c ompromite un astfel de sistem:
Primul este încercarea de a ataca algoritmul de criptare. Acest tip de atac necesită foarte
mult efort și timp pentru a avea succes. O cale mai directă de a compromite un sistem este acela în care se folosește "forța brută" în care se încearcă toate combinațiile posibile pentr a afla
parola. O altă cale de a compromite sistemele este aceea de a ataca direct serverul băncii. Această metodă necesită cunoștințe vaste și foarte bine puse la punct deoarece aceste sisteme sunt admi nistrate de oameni caificați în domeniul securității. Cea mai plauzibilă metodă este
aceea de a ataca direct calculatorul unui utilizator. Aceasta se poate realiza prin mai multe variante cum ar fi implantarea unui Troian precum am descris anterior. Virusii devin din ce în ce
mai sofisticați și mai greu de detectat ceea ce îi face mai periculoși și mai usor de transmis în mod involuntar.
Multe dintre problemele legate de securitatea unei tranzacții este faptul că nici clientul și
nici serverul nu poate să se autenticifice reciproc. In sisteme cum ar fi NFS, AFS si Windows NT
nu există un mecanism de autentificare între cei doi participanți ai conexiunii. Fișierele care sunt citite de către client nu sunt autentificate de nici un fel ceea ce rezultă că acesta nu poate verifica proveniența acestor fișiere. Având în vedere aceste aspecte putem ilustra urmatorul scenariu:
Să presupunem că un atacator deține acces al unui calculator care se află între un client și un server, ceea ce îi va permite manipularea traficului emis de catre acestea. Mai este nevoie și de un program care sa permită exploatarea lipsei de autentificare din cadrul protocolului NFS (Network File Systems). Acest cod malițios așteaptă utilizatori care să inițializeze o conexiune către serverul de NFS și le v -a răspunde cu un mesaj conceput special pentru a influența aplicația
folosită de către client să utilizeze o cheie de criptare predictibilă. De obicei având în vedere că masina atacatorului se află între client și server raspunsul generat de catre atacator va fi primul
care v -a ajunge la destinație, adica la utilizator. Raspunsul serverului de NFS ajuns dupa
raspunsul atacatorului v- a fi considerat un duplicat și va fi ignorat de către aplicația clientului. In
acest mod atacatorii vor fi capabili să decripteze tot traficul generat de către server și client de unde vor putea obține informații prețioase cum ar fi numerele cardurilor bancare sau alte informații confidențiale.
34 Securitatea sistemelor de e -banking
3.3. Soluții
3.3.1. Soluții software
În acest tip de sisteme de securitate criptarea și decriptarea informației se face folosind
software specializat pe securitate. Având în vedere că acestea sunt portabile și ușor de distribuit prin intermediul rețelelor soluțiile bazate pe software sunt foarte des întalnite. Cript area este un
proces care modifică informația în așa fel încat aceasta să nu poată fi înțeleasă decât dacă i se aplică opusul procesului. Există două tipuri de criptare:
• Cea convențională în care se folosește o singură cheie de catre ambii actori atât pentr u
criptare cât și pentru decriptare. După ce se folosește această cheie informația arată că și un șir aleator de caractere. Informația nu poate fi înțeleasă decât după ce i se aplică procesul de decriptare folosind exact aceeași cheie.
• Cea de- a doua metodă de criptare se numeste Criptare bazată pe cheie publică. Î n acest
caz utilizatorul deține două chei: una privată și una publică. Aceste două chei nu sunt interschimbabile, dar sunt complementare reciproc, acestea existând în perechi. După cum ii spune și numele Cheie publica poate fi distribuită oricui fără să compromită
securitatea sistemului. Oricine doreste să trimită un mesaj va putea folosi cheia publică a destinatarului pentru a cripta mesajul, iar destinatarul folosind cheia privată îl va putea decripta. Astfel putem fi siguri că doar cel care deține cheia privată asociată cheiei
publice pentru a cripta mesajul poate citi datele trimise. In acest tip de criptare este foarte important să păstrăm cheia privată într -un mediu sigur și să nu aibă nimeni acces la ea.
Această cheie se poate cripta la randul ei cu o parolă ca în cazul în care ne este furată cheia să nu poată fi folosită fara a ști cheia de decriptare. Exemple de tehnologii care folosesc criptarea: Digital Signature, Secure Electronic Transaction, Pretty Good Privacy,
Kerberos.
1) Digital Signature (Semnatura digitală )
A fost introdusă prima dată în 1976 de catre Whitfield Duffie de la Universitatea
Stanfourd și această tehnică transformă un mesaj simplu într -un mesaj semnat pentru ca cititorii
să poată verifica cine l -a semnat. Pentru a folosi semnatura digitală avem n evoie de o cheie
privată pe care o vom folosi să semnam mesajele și o cheie publică pentru a verifica semnatura.
Având aceste caracteristici este imposibil ca altcineva decât deținătorul cheii private să semneze un mesaj care poate fi verificat cu cheia pu blică al acestuia. Este posibil să semnăm un mesaj
fără să fim nevoiți să îl și criptăm. Acest caz este folositor atunci când mesajul nu conține informații confidențiale, dar totuși dorim ca oricine să îl poată verifica. Deoarece semnatura se crează folosi nd un mecanism de "one – way hashing" (hash generat intr -o singura directie) este
imposibil să copiem semnatura și să o aplicăm altui mesaj, deci putem fi siguri că mesajul nu a fost modificat. Un exemplu în care se folosește semnatura digitala în E -banking.
2) Secure Electronic Transaction (SET) – Tranzacț ie electronică securizată
Secure Electronic Transaction este un standard la nivel mondial pentru a permite
realizarea de plăți într -un mod sigur folosind internetul. Acest standard a fost pus la punct de
către companii internaționale cum ar fi Visa MasterCard, IBM, Microsoft, Netscape, GTE și Verisign.
SET promite că securizează tranzacțiile online. Lockhart, CEO al MasterCard sustine:
"Suntem bucuroși să lucrăm cu Visa și cu ceilalți parteneri din dome niu pentru a realiza acest
sistem. Asta înseamnă că utilizatorii acestui serviciu vor putea să își folosească contul bancar online pentru a emite tranzacții în mediul virtual la fel de sigur și ușor ca și în mediul real". SET folosește algoritmul de cripta re folosind cheie publică, RSA pentru a asigura confidențialitatea
traficului între utilizator și bancă. Mai mult acest tip de algoritm este folosit și pentru a crea
Facultatea de Matematică și Informatică
35
semnatura digitalș. Confidențialitatea traficului nu este singura problemă pe care trebuie să o
avem în vedere, autenticitatea ambilor actori fiind la fel de importantă. Când vorbim de
autenticitate ne referim la faptul că receptorul unui mesaj trebuie să poată verifica că acest mesaj a fost emis de către cel care susține că a fost emis. Cu această problemă ne poate ajuta semnatura digitală. Aceasta se realizează folosind un algoritm de hashing aplicat mesajului pentru a obține un "rezumat al acestuia". Apoi acest rezumat se criptează folosind cheia privată a emițătorului. Receptorul va decript a acest mesaj folosind cheia publică al celui care a trimis mesajul. Acest
mecanism asigură receptorul că mesajul chiar a fost trimis de către cel care a semnat mesajul. Pe lângă faptul că ne oferă autenticitate, semnatura digitală ne asigură și integritat ea mesajelor, asta
însemnând că putem detecta daca mesajul a fost modificat în tranzit. Receptorul va folosi același mecanism de hashing, obținând astfel un rezumat al mesajului primit pe care îl va compara cu rezumatul primit ca semnatură. Dacă acestea se potrivesc perfect putem fi siguri că mesajul a
fost trimis de către cel care l -a semnat și că mesajul nu a fost alterat pe parcursul tranzacției.
Chiar dacă acest sistem de criptare ne oferă autenticitate și confidențialitate există totuși posibilități d e a trișa sistemul. Una dintre ele ar fi posibilitatea emițătorului de a minți în privința
informațiilor trimise către celalalt. De exemplu expeditorul ar putea cripta informațiile altcuiva folosindu- și propria cheie privată. Pentru a asigura această vulnerailitate este nevoie de o a3a
entitate în care atât emițătorul cât și receptorul au încredere. Aceasta entitate (CA), va semna cheia publică a celui care îsi dovedeste personalitate, folosindu- și propria cheie privată, astfel
creându -se un certificat dig ital. Receptorul va trebui să aibe încredere doar în această entitate și
în faptul că cheia privată a acesteia nu a fost compromisă. Folosind SET clienții care dețin conturi bancare online vor folosi acest sistm de criptare, RSA pentru a efectua tranzacții care nu
implică cardul de credit. Acest sistem nu este specific unui anumit tip de tranzacționare din potrivă este generic și poate fi folosit oriunde unde avem nevoie de autenticitate, autentificare și confidentialitate.
3) Pretty Good Privacy (PGP)
Acest sistem a fost creat de Philip Zimmermann și combinat algoritmul asimetric de
criptare folosind cheie publică și sistemul convențional simetric folosind o singură cheie privată
pentru a combina viteza de criptare a sistemului simetric cu multitudinea d e avantaje ale criptării
cu cheie publică. Avantajul PGP este acela că nu este nevoie de un canal sigur pentru a transmite cheia privată. Mai mult are abilitatea de a semna mesajele criptându -le cu cheia privată.
Receptorul va putea decripta mesajul folosi nd cheia publică a emițătorului, astfel asigurându -se
autenticitatea acestuia si confidențialitatea cheiei private care se va folosi de acum în colo pentru a transmite mesajele.
4) Kerberos
Acest sistem este numit dupa câinele de pază cu trei capete prov enit din mitologia greacă
și este unul dintre cele mai bune tehnologii folosind cheia privată. Sistemul creaza un pachet criptat de date numit tichet care verifică în mod sigur utilizatorul. Pentru a emite o tranzacție clientul generează un tichet dupa o serie de comunicări cu un server Kerberos pe care ambii actori îi cunoaște.
3.3.2. Soluții software
Aceste sisteme pot oferi o soluție mai sigură pentru a proteja datele, dar în același timp
este mai puțin portabilă și mai scumpă de folosit. In acest tip de soluție se crează un canal de
comunicare închis unde informațiile de identificare sunt confidențiale și nu pot fi accesate de către utilizatori neautorizați. Vom menționa două sisteme care folosesc hardware -ul pentru a
oferi securitate: SmartCard și Me Chip.
36 Securitatea sistemelor de e -banking
1) SmartCard
Acest sistem folosește un dispozitiv în care sunt criptate datele de autentificare bazate pe
un proces asimetric. Fiecare card are un chip care este unic și care este înregistrat unui singur
utilizator ceea ce nu va permite unui virus să compromită chipul și să acceseze date. Din motive
practice acest tip de sistem nu a fost implementat în majoritatea aplicațiilor precum E -banking-
ului. O posibilă vulnerabilitate a SmartCardul- ui este aceea că în cadrul chipului nu se pot scrie
cantități mari de date. Mai mult dispozitivul protejează doar informațiile confidențiale ale utilizatorului dar nu asigură transferul de informații într- un mediu sigur. De exemplu un virus
poate accesa datele dupa ce acestea au fost scrise în aplicația bancară. C u toate acestea acest
sistem ne oferă într -un mod sigur confidențialitatea datelor de identificare.
2) MeChip
A fost creat de către ESD și se conecteaza direct la tastatura unui calculator folosind o
conexiune patentată. Toate informațiile care au nevoie de confidențialitate sunt trimise direct
acestui dispozitiv astfel ocolindu -se calculatorul clientului care ar putea fi vulnerabil. O dată
ajunse informațiile în acest chip, ele sunt criptate și semnate, iar apoi trimise aplicației bancare. In acest caz pr esupunem ca există un canal închis și sigur între utilizator și bancă. Toate
informațiile care sunt trimise si primite sunt înregistrate și verificate pentru a ne asigura că nu au fost modificate în tranzit. Dacă există nereguli sesiunea între cei doi ac tori se închide imediat.
Această soluție de securitate bazată pe hardware oferă confidențialitatea informației care urmează a fi trimisă.
3.4. Tehnologia confidențialității
Toate aceste tehnologii pot fi utilizate pentru a asigura atât consumatorul cât și furnizorul
că datele transmise între ei sunt confidențiale si autentice. De exemplu companiile care vor să
transmită date importante și vor să le mentină private față de alți actori neautorizați va putea folosi aceste tehnologii pentru a se asigura că a ceste date rămân confidențiale. E -banking- ul este
un alt serviciu care poate folosi aceste tehnologii. Securitatea banilor electronici este superioară de cea a banilor reali, a bancnotelor în sensul în care cei digitali chiar daca sunt furați nu pot fi folosiți. Totuși acestor tipuri de bani au și ei dezavantajele lor, deoarece trebuie folosit un sistem
pentru a asigura confidențialitatea tranzacțiilor. De exemplu o bancă ar putea înregistra pentru fiecare magazin ce încasări și de unde se alocă. Astfel această bancă ar putea ști exact când, cine și unde face diferite tranzacții. Acest lucru ar permite băncilor pentru a crea diferite statistici bazate pe activitatea bancară a clienților pentru a determina ulterior preferințele acestora. Mai mult aceeste înre gistrari digitale sunt mult mai ușor de utilizat decât cele scrise pe un mediu fizic
ceea ce le poate face un instrument de abuz. O soluție la această lipsă de confidențialitate ar putea fi implementarea de semnaturi "oarbe". Aceste semnaturi se utilizează astfel: Inainte de a
se trimite băncii datele tranzacției utilizatorul modifică aceste date într- un mod știut numai de el,
după care le trimite băncii. Astfel banca nu va știi ce urmează a semna decat că este folosită semnatura digitală a unui client. După ce primește datele semnate "orb" de către bancă utilizatorul modică la starea inițială datele folosind modul știut numai de el, astfel obținând datele semnate fără ca banca să știe nimic din ce conțin aceste date. Acum utilizatorul poate trimite într -un mod confidențial datele către furnizor. Aceste tranzacții care au fost semnate într –
un mod orb nu pot fi asociate nici unui utilizator, atât din perspectiva băncii cât și din cea a furizorului. Astfel banca nu va putea corela plata făcută în contul furnizorului cu transferul făcut de către client.
Facultatea de Matematică și Informatică
37
3.5. Asigurarea securității datelor
Securitatea datelor reprezintă o preocupare importantă, atât pentru organizațiile care au
,,vizibilitate” Internet, cât și pentru cele care dispun de sisteme Intranet sau Extranet. Poliferarea
tehnicilor de transfer electronic de fonduri sau titluri de valoare (acțiuni, bonuri de tezaur, certificate de investitor etc.), are ca efect intensificarea acțiunilor de protecție și securizare a tranzacțiilor de acest tip. Astfel, apar noi metode teoretice, algoritmi și standarde de criptare și
cifrare, precum și tot mai numeroase implementări software și hardware. Metodologia de securizare are deja atât un fundament teoretic cât și practic.
Proiectarea și implementarea s ecurități i se realizează în urmă toarele etape:
1. Analiza vulnerabilității (identificarea elementelor potențial slabe), amenințărilor (determinarea problemelor ce apar) și riscurilor (evaluarea consecințelor). În urma analizei se obține o listă cu operațiile care se execută, entitățile existente, resursele disponibile, problemele posibile care pot apărea, operațiile ilegale, defectele de funcționare. Rezultatul principal al analizei constă în determinarea cerințelor de securitate.
2. Definirea politicii de securitate cons tă în identificarea amenințărilor care trebuie
eliminate și care se permit, resurselor care trebuie protejate și nivelul lor de protecție, mijloacele cu care poate fi implementată securitatea și determinarea costurilor pentru măsurile de securitate.
3. Selecț ia serviciilor de securitate constă în stabilirea regulilor operaționale care stau la
baza controlului operațiilor.
4. Alegerea mecanismelor și metodelor pentru implementarea soluțiilor de securitate adică a serviciilor. Fiecare serviciu de securitate poete f i implementat prin metode variate.
5. Implementarea serviciilor de securitate prin realizarea protocoalelor de securitate.
3.5.1. Analiza riscului
Analiza riscului într -un mediu de rețea implică mai multe activități de bază:
Determinarea obiectelor care trebuie protejate – variază în funcție de profilul organizației
în cauză. Exemple de obiecte care pot fi protejate: informații, echipamente, personal, bunurile personalului, consumabile, bani, timp de procesare CPU, servicii de rețea etc.
Identificarea sur selor de risc (clasele de intruși) – fiecare clasă de intruși trebuie
examinată în contexul spargerii rețelei, de la cel accidentat până la cel intenționat.
Stabilirea probalității riscului – văzută ca o estimarea rezonabilă care să permită o privire
gener ală asupra riscului de spargere a rețelei.
Evaluarea costului unei acțiuni de spargere. Există trei tipuri de costuri de bază care trebuie luate în considerare:
• Costul primar – care se referă la înlocuirea resurselor pierdute și reintroducerea
datelor în b azele de date.
• Costul secundar – care se referă la afacerile pierdute și este foarte greu de evaluat
și cuantificat înainte de incident.
• Costul proporțional pentru valori statice – care se referă la pierderile resurselor
rețelei care au ca efect negativ asupra afacerilor clienților.
Principalele probleme de securitate care apar într -un sistem distribuit sunt:
Schimbarea identității, când utilizatorii reusesc să patrundă în rețea sub altă identitate;
Asocierile ilegale, care permit realizarea de legături logice, asocieri între utilizatorii
rețelei prin spargerea politicii de autentificare și autorizare;
38 Securitatea sistemelor de e -banking
Accesele neautorizate, prin care se permite unui utilizator să aibă acces la obiecte la care
în mod normal nu are dreptul, prin spargerea serviciului de control al accesului;
Refuzul de servicii, când utizatorii sunt împiedicați să execute anumite funcții;
Repudierea, cănd utilizatorii rețelei refuză să participe la asocieri;
Analiza traficului, când intrușii studiază protocoalele utilizate, lungimea, frecve nță și
destinația mesajelor transmise;
Modificarea secvențelor mesajelor constă în stergerea, inserarea sau reordonarea ilicită a
secvenței de mesaje transmise;
Modificarea sau distrugerea datelor ;
Modificarea ilegală a programelor realizată prin viruși, v iermi, cai troieni.
De asemenea anliza riscului trebuie să clarifice:
• Disponibilitatea serviciului: cât de afectați vor fi utilizatorii de noul sistem de securitate; cât de mult se încarcă sistemul; care sunt perioadele critice pentru procesare și acces la
resurse;
• Integritatea datelor: evaluarea efectelor ca urmare a deteriorării datelor, precum și
determinarea punctelor vulnerabile din sistem;
• Confidențialitatea datelor: efectele, asupra grupului sau organizației, a ajungerii datelor la alți parteneri d e afaceri sau chiar competitori;
• Contabilitatea: se stabilesc indatoririle securității și anume, cine se ocupă cu
monitorizarea căderilor, atentatelor de pătrundere neautorizată în sistem, cine răspunde pentru afacerile pierdute și recuperarea pierderilor.
3.5.2. Politici de securitate
Comunicația între sisteme interconectate trebuie sa adere la una sau mai multe politici de
securitate. Fiecarea colecție de sisteme interconectate are o politică de securitate care poate sa fie
nula sau sa aibă un set exti ns de reguli pentru controlarea condițiilor de comunicație.
Determinarea celei mai potrivite politici de securitate se face ținându -se cont de
urmatoarele aspect:
Disponibilitatea sistemului și anume care este minimul nivelului serviciului acceptat
Integr itatea sitemului
Confidențialitatea sistemului
Contabilitatea sistemului și anume care este rolul utilizatorilor interni si externi, supervizorilor, managerilor de afaceri, directorilor in implementarea securitatii.
Cadrul de lucru al securității definește modul în care sunt accesate diferitele surse de
sisteme de securitate si zonele de control: organizația, nodul de procesare, managementul la nivel de WAN, sistemul de acces, software- ul de aplicație, mesajele de securitate, confidențialitatea
datelor, utilizatorul final, riscul monitorizării, contractele cu producătorii, planuri posibile, sistemele de dezvoltare și întreținere .
3.5.3. Serviciile de securitate
După stabilirea politicii, se selectează serviciile de securitate. În docum entele ISO sunt
specificate urmă toarele tipuri de servicii de securitate într -un sistem distribuit:
1. Servicii de securitate a entităților
Servicii de securitate pentru o singură entitate , care constau în urmă toarele acțiuni:
• autentificarea entității – verificarea identității care constă în stabilirea faptului că
entitatea este legitimă, adică este cea care pretinde că este;
Facultatea de Matematică și Informatică
39
• autorizarea entității – stabilirea scopului activităților și resursele necesare.
Servicii de securitate pentru un grup de entități :
• autentificarea mutual – se verifică canalul de comunicație după identificarea
entităților;
• semnătura digitală – receptorul de date trebuie să fie sigur de originea datelor,
adică identitatea și autenticitatea emițătorului;
• sigiliul digital – receptorul trebuie să fie sigur de conținutul original al datelor;
• poșta certificată – emițătorul va primi câte un mesaj de confirmare pentru fiecare
mesaj trimis (semnătura și sigiliu digital cu confirmare); el trebuie să fie sigur că
datele au fost livrate la receptor;
• nerepudierea – emițăt orul trebuie să fie sigur asupra recepționării datelor cu
conținutul original, deci el nu poate nega recepția unui mesaj sau conținutul său
original;
• poșta electronică sigură – emițătorul trimite un mesaj autentificat către receptor,
acesta nefiind activă în momentul livrării mesajului;
• teleconferința sigură – un grup de utilizatori folosește în comun o aceiași cheie
secretă la același moment de timp pentru comunicații mutual.
Cooperarea entităților mutual suspicioase – se referă la cazul entităților care se
suspectează reciproc:
• semnare de contract – necesită întotdeauna o informație secretă echivalentă de
reciprocitate;
• aruncarea monedei – primate ca două entități să ,,arunce” o monedă în rețea,
rezultatul fiind aleatoriu și imposibil de influențat de cătr e cele două părți;
• schema prag (k, n) – constă într -un grup închis de n utilizatori, care pot stabili
comunicații mutuale dacă cel puțin k dintre ei sunt activi în același timp.
2. Servicii de securitate a comunicațiilor
Servicii de securitate împotriva atacurilor pasive. Se presupune că intrusul poate numai să observe mesajele care trec, protocolul, informația aferentă protocolului în mesaje. Aceste
servicii implică:
• acțiuni împotriva analizei traficului;
• acțiuni împotriva pierderii confidențialității me sajelor;
• utilizarea pseudonimelor digitale în care utilizatorul folosește identități diferite pentru fiecare asociere pe care o face, ascuzându -și adevărata identitate, atât
pentru intruși, cât și pentru partenerii cu care comunică.
Servicii de securitate împotriva atacurilor active. Atacurile active constau în operații
ilicite asupra mesajelor interceptate: modificarea, stergerea, întârzierea, duplicarea, inserarea de mesaje false, reordonarea. Atacurile sunt de trei tipuri: modificarea secvenței
mesajelor , refuzul de servicii, declanșarea inițierii unei asocieri. Serviciul se referă la:
• integritatea secvenței de mesaje, care constă în eliminarea atacurilor asupra autenticității, integrității și ordinii;
• continuitatea comunicației, care asigură ca mesajele nu pot dispărea dintr -o
asociere sau că asocierea nu este distrusă în mod ilicit;
40 Securitatea sistemelor de e -banking
• autentificarea asocierilor, care verifică integritatea asocierii și elimină atacul de
tip identitate falsă.
CONCLUZII
Între 1994 și 2015 folosirea internetului a crescut exponenția de la cifra de peste 22 de
milioane la peste 3 miliarde de interacțiuni . Urmarea acestei expansiuni a internetului în
comerțul electronic a dus la escaladarea facilității unor expansiuni în mediul afaceri lor prin
ușurarea accesuli la tran zacțiile bancare și a ofertelor oferite de bănci prin intermediul
internetului ocolind birocrația și scurtând termeni de obținere a unor credite. Accesarea contului bancar indiferent de locația clientului și neținând cont de un orar strict practic oferind servicii 24
de ore aduce un plus de comoditate în mediul de afaceri sau dintre client și afacere.
Banking- ul electronic face parte din majoritatea ofertelor băncilor permițând acest tip de
interacțiune care poate însemna un avantaj major față de competiție. Pentru o mai buna
colaborare între banca și client adăugând și comoditatea clientului, unele bănci semneayă acorduri având în vedere formarea unui sistem intergal cum ar fi Integrion Finacial Network si
Gendex Bank Inte rnatonal. În vederea reducerii vulnerabilității anumiți furniyori au avut în
vedere deyvoltarea anumitor soluții și variante în software si hardware. Soluțiile software sunt mai usor de distribuit și în general mai ieftin ca implementare. Pentru dezvoltare a comerțului
electronic și având în vedere confidențialitatea și securitatea se verifică în permanență aplicându –
se la unele îmbunătățiri majore de securitate. Într -un viitor apropiat banking- ul electronic v -a
evolua foarte mult, asigurându- se o tranzacțio nare mult mai eficientă, iar utilizatorii să aibe
același standard bine definit la toate băncile.
Facultatea de Matematică și Informatică
41
GLOSAR
Autentificare – un proces care permite acces într -un mediu local, într -o rețea sau a unei resurse
online.
CA (Autoritate de certificare) – o entitate sau un serviciu care distribuie chei criptografice pentru
a permite criptarea și certificate electronice pentru autentificarea identității userului sau a serverului.
Comerț electronic – utilizarea unei infrastrctu ri care permite afacerilor o viteză mai mare în
schimbul de informații, servicii mai comode pentru client, cost operațional mai mic și o competivitate mai ridicată.
Criptare – "ascunderea" informației pentru a preveni interceptarea ei de către oricine alt cineva in
afară de destinatar.
Criptare cu cheie privată – se mai numește și criptare simetrică și se bazează pe o singură cheie
atât pentru criptare cât și pentru decriptare pe care o folosesc ambele părți.
Criptare cu cheie publică – se mai numeste si criptare asimetrică și se bazează pe o pereche de
chei, una privată si una public, ce se criptează cu una și se decripteaza cu cealaltă și viceversa.
Electronic Banking – utilizarea unui calculator pentru a vizualiza sau a pr ocesa date bancare (a
iniția tranzacț ii, a interoga soldul etc), într- o leg ătură directă cu banca sau alt serviciu financiar
folosind I nternetul.
Hash – "semnătura" unică care permite identificarea documentului și continutului acestuia. Orice
modificare în această semnatură ar însemn a și modificarea conținutului documentului.
Internet – o rețea la nivel mondial compusă din alte rețele mai mici răspândite pe tot globul.
RSA – un mecanism de criptare dezvoltat de RSA, Data Security care utilizează atât criptarea
simetrică cât și cea asimetrică.
Semnătura digitală – un cod adaugat unui document sau unor date care permite identificarea
irvocabilă a emițărorului, a celui care a semnat documentul. SSL – un protocol de secritate dezvoltat de NetScape comunications corportion pentru a crip ta
datele confidențiale și pentru a verifica autenticitatea serverelor web.
42 Securitatea sistemelor de e -banking
BIBLIOGRAFIE
Cărți :
1. Government, „Emerging electronic methods for making retail payments” , 1996.
2. Mocanu, M., Filip, A. (2001), „ Una dintre cele mai de succes in ovații aduse sistemului
bancar – direct banking” , E-finance Romania.
3. Pfleeger, C. P. (1997),„Security in Computing” , Prentice Hall.
4. Tuchila, R. (2000), „Servicii bancare prin Internet” , E-finance Romania.
Internet :
1. Electronic Banking. http://www.electrobank.com/ebaeb.htm
2. Elec tronic International Banking. http://www.wwwebport.com/biz/gendex/elec_bank.html
3. Internet Security. http://cfn.cs.dal.ca/Education/CGA/netsec.html
4. Basic Reflections On Security. http://www.esd.de/eng/secu/index2.htm
5. BankNet Electronic Banking Service. http://mkn.co.uk/bank
6. The MeCHIP. http://www.esd.de/eng/chip/index3.htm
7. The comp.s ecurity.gpg FAQ. http://www.pgp.net/pgpnet/pgp- faq/faq -05.html
8. SET Specification. http://www.visa.com/cgi -bin/vee/sf/set/intro.html
9. Online banking of Bank O ne.www.BankOne.com
Copyright Notice
© Licențiada.org respectă drepturile de proprietate intelectuală și așteaptă ca toți utilizatorii să facă același lucru. Dacă consideri că un conținut de pe site încalcă drepturile tale de autor, te rugăm să trimiți o notificare DMCA.
Acest articol: Securitatea sistemelor de e -banking [602065] (ID: 602065)
Dacă considerați că acest conținut vă încalcă drepturile de autor, vă rugăm să depuneți o cerere pe pagina noastră Copyright Takedown.