"ELPay" - система оперативного управління банківським рахунком через Internet - Безготівкові розрахунки

Система ELPay являє собою якісно нове рішення в класі продуктів "Клієнт-Банк", націлених на надання послуг Банку віддаленому Клієнту за допомогою мережі Internet. Клієнт банку, використовуючи стандартний веб-браузер і традиційні способи виходу в Internet, одержує захищений доступ до свого рахунка в банку і можливість управління фінансами з будь-якої точки світу. Дана технологія має розповсюджену назву Internet Banking і дозволяє одержати нові принципові якості:

    - Доступ клієнта до свого рахунка за допомогою Internet з будь-якої точки світу без використання спеціального програмного забезпечення; - оперативність відстеження стану свого рахунка і проведення операцій за рахунок онлайнової технології; - відсутність необхідності яких-небудь операцій по установці, настроюванню і модифікації програмного забезпечення в офісі в клієнта.

Даний продукт значно розширює область доступності послуг Банку, як для фізичних, так і для юридичних осіб, переводячи взаємини Клієнта з Банком на якісно новий рівень.

Система складається з наступних елементів:

    - клієнта, що використовує стандартний веб-браузер, за допомогою якого здійснюється навігація в мережі, вибір послуг, заповнення форм, робота з базою даних (БД), виконання операцій над даними за допомогою програмного забезпечення, що завантажується, (апплетів реєстрації клієнта й управління рахунком); - веб-сервера, що забезпечує надання списку послуг; - сервера додатків, розташованого в банку й обробляючого дані запитів клієнта й забезпечуючого взаємодію з автоматизованою банківською системою (АБС); - сервера баз даних, утримуючі дані про стан рахунків і платежів клієнтів, нормативно-довідковий і ін. інформацію.

Спрощено технологію роботи системи можна описати в такий спосіб.

Клієнт системи одержує доступ до свого рахунка за допомогою веб-браузера з будь-якого комп'ютера, що має доступ у мережу Internet. Про це піклується веб-сервер, на якому розміщаються Java-апплети з програмним забезпеченням (ПО). З веб-сервера на робочу станцію клієнта доставляється ПО реєстрації клієнта чи управління рахунком, реалізуючи так називану технологію "тонкого клієнта". При цьому веб-сервер може бути розміщений у будь-якому придатному для цього місці (у провайдера послуг Internet, безпосередньо в Банку, на вэб-ресурсі http://www. elpay. com). Java-апплет, завантажений з веб-сервера, забезпечує безпосереднє (минаючи веб-сервер) взаємодію клієнта із серверами додатків і баз даних, що розташовуються в банку.

Сервер Баз Даних містить усю необхідну інформацію щодо зареєстрованих рахунків клієнта і забезпечує збереження всієї інформації, використовуваної Клієнтом у його роботі зі своїм рахунком: виписки, платіжні доручення, різні довідники й ін. Актуальність даної інформації забезпечує автоматизована банківська система (АБС) відповідно до прийнятого регламенту. Клієнт має можливість одержати інформацію про будь-які зміни на своєму рахунку відразу, як тільки ці зміни підтверджені з боку АБС.

Сервер Додатків обробляє всі запити клієнта до сервера баз даних, забезпечує надійність мережного з'єднання, вирішує питання безпеки, а також строго контролює взаємодію Клієнта із Сервером Баз Даних на всіх його етапах.

АРМ Адміністратора являє собою робоче місце адміністратора системи, за допомогою якого Адміністратор реєструє нових Клієнтів, визначає їхні повноваження при роботі в системі, а також здійснює контроль за правильністю функціонування системи в цілому.

Интерфейсний модуль з АБС реалізує взаємодію з АБС відповідно до необхідних протоколів і форматів повідомлень. Можливість перебудови даного модуля визначає гнучкість системи стосовно різних типів АБС.

Специфіка обміну даними в рамках системи змусила розроблювачів порушити питання безпеки передачі даних на перше місце. Чутливість переданих по каналах мережі Internet даних до розкриття і модифікації, визначила методи і засоби захисту, використовувані в системі.

У системі використовуються наступні методи захисту:

    - цифровий підпис платіжного доручення (два підписи на документі); - шифрування даних на прикладному рівні, переданих на ділянці "клієнт-сервер додатків"; - використання автентифікації і шифрування на ділянці "клієнт - веб-сервер" з використанням протоколу SSL (при необхідності); - використання механізму контролю цілісності й автентифікації програмного забезпечення, що завантажується клієнту.

Цілісність програмного забезпечення, що завантажується, гарантується підписом розроблювача, що формується розроблювачем і перевіряється веб-браузером клієнта при завантаженні апплетів з веб-сервера. При цьому використовуються стандартні процедури, закладені у веб-браузер і сертифікат розроблювача, доступний клієнту. При звертанні до сервера автоматично відбувається перевірка версій апплетів, використовуваних на стороні клієнта. Якщо на сервері доступні нові версії, то вони встановлюються клієнту автоматично.

У системі використовуються сертифіковані засоби криптографічного захисту інформації "Шифр", зареєстровані 15 червня 2001р. у реєстрі Укрсепро № UA-1.112.14243-01, що реалізують:

    - шифрування на основі алгоритму криптографічного перетворення за ДЕСТ 28147-89; - процедури вироблення і перевірки електронного цифрового підпису на базі асиметричного криптографічного алгоритму ДЕСТ 34.310-95; - процедури хешування інформації з ДЕСТ 34.311-95; - процедури генерації і управління ключами відповідно до затвердженого технічного завдання (UA/23154898/00001-01 90 01-ЛУ).

У роботі системи беруть участь наступні елементи, для яких визначається політика безпеки :

    - Сегмент мережі з Автоматизованою Банківською Системою (АБС). Даний елемент системи є найбільш важливим, що не допускає ніяких вхідних мережних з'єднань, ініціалізованих поза сегментом АБС. - Сервери ELPAY (сервер додатків і сервер баз даних). Інформація, що міститься на цих серверах, також вимагає відповідних технічних і організаційних заходів безпеки. Тут також неприпустимі ніякі вхідні з'єднання, крім передбачених регламентом роботи сервера додатків. - WEB-сервер. Даний елемент містить програмне забезпечення, що завантажується клієнту, (ПО), що, у свою чергу критично до модифікації. Захист ПО від модифікації здійснюється незалежними від веб-сервера засобами, тому вимоги до рівня безпеки веб-сервера обумовлюються лише надійністю роботи самого сервера.

Мережні сегменти в банку, відображені на малюнку, фізично розділяються за допомогою міжмережевого екрана (Firewall) чи прикордонного маршрутизатора. Базу правил доступу для кожного елементу системи створюється окремо.

Загальна політика безпеки може бути представлена наступним набором правил:

    - дозволяється доступ у сегмент ELPAY з Internet тільки на сервер Додатків і тільки на визначений порт сервера; - дозволяється доступ у сегмент ELPAY з боку сегмента АБС (для відновлення даних сервера ELPAY інтерфейсним модулем); - все інше забороняється (забороняється будь-який доступ у сегмент АБС).

У даному документі описані лише технічні заходи для підвищення безпеки системи, у той час як будь-яка політика безпеки повинна грунтуватися як на технічних, так і на організаційних заходах.

Похожие статьи




"ELPay" - система оперативного управління банківським рахунком через Internet - Безготівкові розрахунки

Предыдущая | Следующая