Содержание к диссертации
ВВЕДЕНИЕ 4
1 АНАЛИЗ СИСТЕМ ЭЛЕКТРОННЫХ ПЛАТЕЖЕЙ, ДЕЙСТВУЮЩИХ В
СЕТИ ИНТЕРНЕТ. ЦЕЛЬ И ЗАДАЧИ ДИССЕРТАЦИОННОЙ РАБОТЫ 11
-
Основные понятия Интернет-коммерции 11
-
Разработка классификации и сравнение систем электронных платежей, действующих в сети Интернет 13
-
Анализ типовых архитектур систем электронных платежей, действующих в сети Интернет 20
-
Выбор архитектуры для разработки и исследования разработки системы осуществления электронных платежей в сети Интернет 46
-
Выводы, цель и задачи диссертационной работы 47
2 РАЗРАБОТКА МОДЕЛИ ФУНКЦИОНИРОВАНИЯ СИСТЕМЫ
ОСУЩЕСТВЛЕНИЯ ЭЛЕКТРОННЫХ ПЛАТЕЖЕЙ В СЕТИ ИНТЕРНЕТ 39
2.1 Разработка архитектуры системы электронных платежей
в сети Интернет с оплатой по пластиковым платежным картам и без
использования дополнительного программного обеспечения
на стороне покупателя 39
-
Цели, условия и методы разработки модели функционирования системы электронных платежей в сети Интернет 45
-
Разработка модели функционирования системы электронных платежей в сети Интернет ш 46
-
Выводы 80
3 ИССЛЕДОВАНИЕ И РАЗРАБОТКА МОДЕЛИ СИСТЕМЫ
БЕЗОПАСНЫХ ЭЛЕКТРОННЫХ ПЛАТЕЖЕЙ В СЕТИ ИНТЕРНЕТ 82
-
Анализ методов построения защищенных сетевых информационных систем 82
-
Разработка метода исследования нарушений информационной безопасности в сетевой информационной системе 89
-
Исследование нарушений информационной безопасности в модели функционирования системы электронных платежей в сети Интернет 95
-
Определение необходимых функций и методов системы защиты информации для модели системы электронных платежей на основе исследования возможных нарушений безопасности 97
-
Разработка модели системы безопасных электронных платежей
в сети Интернет 102
3.6 Разработка субъектао-объектной модели дискреционного
разграничения сетевого доступа к информации, хранящейся в базе
данных системы безопасных электронных платежей 110
3.7 Разработка метода автоматической оценки достоверности данных
о платежах, полученных от покупателя через сеть Интернет 120
3.8 Выводы 127
4. ПРАКТИЧЕСКАЯ РЕАЛИЗАЦИЯ И ИССЛЕДОВАНИЕ СИСТЕМЫ
БЕЗОПАСНЫХ ЭЛЕКТРОННЫХ ПЛАТЕЖЕЙ В СЕТИ ИНТЕРНЕТ 130
-
Разработка проекта внутренней сети системы безопасных электронных платежей в сети Интернет 130
-
Исследование защищенности разработанной системы безопасных электронных платежей в сети Интернет и сравнение с аналогами 140
-
Сравнение разработанного метода оценки достоверности данных о платежах с существующими аналогами 152
4.4 Выводы 155
ЗАКЛЮЧЕНИЕ 157
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ 159
ПРИЛОЖЕНИЯ 167
Введение к работе
Актуальность. В настоящее время Интернет-коммерция стала неотъемлемой частью бизнеса в сфере информационных технологий. При этом важную роль в системах Интернет-коммерции играют системы электронных платежей (СЭП) - специализированные сетевые информацион-ные системы для осуществления взаиморасчетов в сети Интернет между продавцами и клиентами. Поскольку системы электронных платежей в сети Интерент оперируют сведениями, за которыми стоят реальные финансовые средства покупателей и продавцов товаров или услуг, то проблемы обеспечения информационной безопасности в таких системах особенно актуальны. Проблемы безопасности в СЭП особенно актуальны еще и потому, что такие системы взаимодействуют как с открытой сетью Интернет, так и с компьютерными сетями финансовых учреждений. Защита информации в СЭП должна быть организована так, чтобы минимизировать или полностью исключить риск возможного вредоносного воздействия на сети финансовых учреждений из сети Интернет.
Разработчики существующих СЭП утверждают, что при проектировании систем вопросам информационной безопасности было уделено должное внимание. В то же время аналитический обзор электронных платежных систем, действующих в сети Интернет, выявил отсутствие методологии построения защищенных СЭП. Отчасти это обусловлено множеством различных подходов к организации электронных платежей в сети Интернет и множеством различных архитектур СЭП, действующих в сети Интернет.
Существующая потребность в разработке методологии построения защищенных систем электронных платежей объясняет актуальность исследований в таких направлениях как: - систематизация знаний об особенностях и принципах функционирования систем электронных платежей, действующих в сети Интернет; - разработка и исследование моделей функционирования систем электронных платежей в сети Интернет; исследование и разработка методов определения необходимых функций защиты информации для систем электронных платежей; разработка и исследование моделей, методов и алгоритмов обеспечения информационной и сетевой безопасности в системах электронных платежей; разработка и исследование специальных методов обработки информации, повышающих защищенность систем электронных платежей от попыток мошенничества со стороны пользователей сети Интернет и пр.
Результаты исследований по перечисленным направлениям позволят разрабатывать и внедрять более защищенные системы электронных платежей, по сравнению с действующими в настоящее время системами. Наряду с достижением более высокого уровня информационной и сетевой безопасности, результаты исследований по перечисленным направлениям позволят улучшить и характеристики надежности функционирования систем электронных платежей, поскольку часто нарушения работоспособности сетевых систем обусловлены недостаточной защищенностью.
Целью работы является разработка и исследование моделей, методов и алгоритмов организации безопасных электронных платежей в сети Интернет, позволяющих разрабатывать системы электронных платежей с улучшенными характеристиками защищенности от угроз информационной и сетевой безопасности.
Для достижения цели решаются следующие основные задачи:
Теоретический анализ и разработка новой классификации систем электронных платежей, действующих в сети Интернет,
Разработка модели функционирования системы электронных платежей с использованием пластиковых платежных карт в качестве средства оплаты, позволяющей исследовать задачи обеспечения информационной безопасности в таких системах.
Разработка метода исследования возможных нарушений информационной безопасности в сетевой информационной системе и его применение для исследования разработанной модели системы электронных платежей.
Разработка модели функционирования системы безопасных электронных платежей в сети Интернет, включающей необходимые функции защиты информации.
Разработка метода автоматической оценки достоверности данных о платежах для системы безопасных электронных платежей в сети Интернет.
Разработка проекта внутренней сети системы безопасных электронных платежей, исследование защищенности макета системы и сравнение с аналогами.
Методы исследования основаны на использовании теории множеств, теории графов, теории конечных автоматов, теории вероятностей, методов математической логики.
Основные положения и результаты, выносимые на защиту:
Предложенная новая классификация и выявленные типовые архитектуры систем электронных платежей, действующих в сети Интернет, позволяющие систематизировать и обобщить сведения о существующих системах и принципах их функционирования.
Дискретно-детерминированная модель функционирования системы электронных платежей, использующей пластиковые платежные карты в качестве средства оплаты, позволяющая исследовать процессы обработки информации и сетевого взаимодействия в системе электронных платежей с целью постановки задач защиты информации.
, 3. Метод исследования возможных нарушений информационной безопасности в сетевой информационной системе, позволяющий исследовать модель сетевой информационной системы и определить необходимое множество функций защиты информации в системе, обусловленное выявленным множеством элементарных нарушений информационной безопасности.
Модель функционирования системы безопасных электронных платежей в сети Интернет, использующей пластиковые платежные карты в качестве средства оплаты, включающая в себя необходимые средства и функции защиты информации.
Результаты исследования защищенности и сравнения с аналогами макета внутренней сети системы безопасных электронных платежей.
7 Все результаты получены автором работы лично. Научная новизна работы заключается в следующем:
Проведен анализ и предложена новая классификация СЭП, действующих в сети Интернет, отличающаяся от существующих классификаций большим количеством признаков и позволяющая систематизировать и обобщить сведения о существующих СЭП и принципах их функционирования. На основе предложенной классификации выявлены типовые архитектуры существующих СЭП.
Разработана новая дискретно-детерминированная модель функционирования СЭП, использующей пластиковые платежные карты в качестве средства оплаты. Разработанная модель позволяет исследовать процессы обработки информации и сетевого взаимодействия в СЭП с целью постановки задач защиты информации. Такая модель разработана впервые.
Разработан новый метод формального исследования возможных нарушений информационной безопасности в сетевой информационной системе и применен для исследования модели функционирования системы электронных платежей, что позволило точно и формально определить конечное множество необходимых функций защиты информации для модели системы электронных платежей в сети Интернет. Разработанный метод отличается от существующих тем, что он позволяет получить конечное множество функций защиты информации для исследуемой сетевой информационной системы.
Разработана новая модель функционирования системы безопасных электронных платежей, включающая в себя необходимые средства и функции защиты информации, позволяющая ускорить проектирование и реализацию на практике систем электронных платежей в сети Интернет. Такая модель разработана впервые.
Практическая ценность работы определяется возможностью использования результатов работы при проектировании и внедрении новых систем безопасных электронных платежей в сети Интернет, а также возможностью использования отдельных разработанных методов и алгоритмов при разработке и исследовании широкого круга сетевых информационных систем и компьютерных сетей.
Использование результатов. Результаты, полученные в ходе работы над диссертацией, были использованы на кафедре Безопасности информационных технологий ТРТУ при проведении научных исследований по гранту РФФИ № 03-07-90075 и в учебном процессе в Таганрогском государственном радиотехническом университете.
Достоверность полученных результатов подтверждается строгостью математических выкладок, имитационным моделированием на ЭВМ, разработкой действующих программ и результатами экспериментов.
Апробация работы. Основные результаты, полученные в ходе работы над диссертацией докладывались и обсуждались:
На международной научно-практической конференции «Информационная безопасность» (ТРТУ, г. Таганрог, 2001-2003).
На всероссийской научной конференции студентов и аспирантов «Техническая кибернетика, радиоэлектроника и системы управления» (ТРТУ, г. Таганрог, 2002)
На всероссийской научной конференции «Проблемы информационной безопасности в системе высшей школы» (МИФИ, г. Москва, 2003-2004)
На научно-практической конференции Юго-Западного банка Сбербанка РФ (г. Ростов-на-Дону, 2004)
Публикации. По теме диссертации опубликовано 9 научных статей и тезисов докладов.
Объем и структура диссертации. Диссертация состоит из введения, четырех глав, заключения, списка литературы, включающего 100 наименований, приложений. Основной текст диссертации изложен на 166 страницах, включая 31 рисунок и 19 таблиц.
Во введении кратко рассматривается актуальность работы, цели и основные задачи, научная новизна и практическая ценность работы.
В первой главе кратко рассматриваются основные понятия Интернет-коммерции. Отмечается важность задач обеспечения информационной безопасности при осуществлении финансовых взаиморасчетов через сеть Интернет, Одним из важнейших элементов Интернет-коммерции являются системы электронных платежей в сети Интернет. Для анализа систем, действующих в сети Интернет, предложена и использована новая классификация систем электронных платежей (СЭП). Анализ существующих систем позволил выделить 5 типовых архитектур систем электронных платежей, действующих в сети Интернет. В качестве объекта для дальнейшего исследования была аргументировано выбрана архитектура СЭП, с использованием пластиковых платежных карт с магнитной полосой в качестве средства оплаты, без использования дополнительного программного обеспечения на стороне клиентов системы. Были сформулированы основные цели и задачи диссертационной работы.
Во второй главе разрабатывается модель функционирования системы электронных платежей в сети Интернет, использующей пластиковые платежные карты с магнитной полосой в качестве средства оплаты и не использующей дополнительное программное обеспечение на стороне клиентов системы. Дискретно-детерминированная модель функционирования системы представляется в виде множества компонентов, взаимодействующих друг с другом и с внешней средой при помощи множества информационных потоков через внутреннюю компьютерную сеть системы. Функционирование компонентов системы моделируется конечными автоматами Мили. Разработанная модель позволяет исследовать задачи обеспечения информационной безопасности, возникающие в СЭП такого типа.
В третьей главе анализируются существующие методы постановки задач защиты информации в сетевых информационных системах (СИС) и определения функций защиты информации в СИС. Разрабатывается новый метод исследования элементарных нарушений информационной безопасности, свойственных компонентам и информационным потокам СИС. Рассматриваются результаты исследования модели функционирования СЭП при помощи предложенного нового метода. Определяется множество необходимых и достаточных функций защиты информации для модели СЭП. На основе проведенных исследований разрабатывается модель функционирования системы безопасных электронных платежей (СБЭП) в сети Интернет путем доработки модели функционирования СЭП, разработанной во второй главе. Разрабатывается модель разграничения
10 сетевого доступа к информации для модели СБЭП. Для автоматической оценки достоверности данных о сформированных платежах, получаемых от покупателя через сеть Интернет, разрабатываются и предлагаются к использованию в составе СБЭП новые метод и алгоритм оценки достоверности данных о платежах.
В четвертой главе разрабатывается проект СБЭП на основе разработанной модели функционирования СБЭП. Приводится обоснование выбора технических средств, необходимых для реализации СБЭП. Для экспериментального исследования защищенности и сравнения с аналогами разрабатывается макет СБЭП. Производятся расчеты показателей защищенности специально разработанных рубежных моделей для макета СБЭП и аналогов. Производиться экспериментальное исследование сетевых уязвимостей существующих СЭП, являющихся аналогами разработанной СБЭП и макета СБЭП. Производится сравнение разработанного метода оценки достоверности данных о платежах с известным существующим аналогом.
В заключении приведены основные результаты диссертационной работы, рассмотрены пути дальнейшего развития темы.
В приложениях представлены перечень выявленных нарушений для разработанной модели функционирования СЭП, тексты программ, реализующих макет СБЭП.