тем сумму переводимых средств. Такая технология имеет свои недостатки, по- скольку клиенту сначала необходимо открыть счет в выбранной платежной системе (что эквивалентно получению реквизитов платежной системы, номера счета в ней, а также пароля доступа), а затем обращаться в единую платежную систему.

Рис. 7.4. Взаимодействие центра авторизации с биллинговой системой

Когда это касается пополнения уже открытого счета, то такая процедура до- вольно прозрачна. Например, клиент хочет пополнить счета нескольких мобильных телефонов разных операторов, а также счет Интернет-провайдера. Он покупает ИБиКа, авторизуется в центральной платежной системе, набирает номера телефо- нов (которые однозначно характеризуют реквизиты оператора) и переводимые сум- мы. Для пополнения счета у Интернет-провайдера он набирает его код, указанный на карте, номер карты и далее сумму пополнения. Все суммы переводятся в указан- ные платежные системы.

7.2.2. Безопасность бизнес-карт

В Приложении 4.2 был рассмотрены мероприятия по повышению безопасности использования скретч-карт. Эти вопросы рассматривались в контексте системной

технологической безопасности, но не затрагивались вопросы безопасности взаи- модействия систем авторизации, функционирующих в открытой среде, которой является сеть Интернет. Поэтому необходимо остановиться на некоторых мерах обеспечения безопасности передачи информации по открытым каналам связи и безопасности взлома и атак на комплекс аппаратно-программных средств центра авторизации.

Как мы уже упоминали выше, использование низкономинальных карт резко уменьшает выгоду от атаки на одну карту, но не исключает атаку на массив карт. Поэтому в большей степени нуждается в системной защите не процесс авторизации одной карты, а информационное хранилище массива карт.

В части повышения безопасности авторизации карт по сети Интернет целесооб- разно использовать стандартные закрытые протоколы (SPAP, MS-CHAP), что, если

не исключает, то значительно уменьшает вероятность вскрытия информации авто- ризации в связи с увеличением затрат на вскрытие.

В общесистемном плане для уменьшения потерь от атак на центр авторизации через его IP-адрес целесообразно предусмотреть массив резервных IP-адресов, а для всех платежных и псевдоплатежных систем, проводящих в нем авторизацию, — автоматический переход на резервные IP-адреса.

Также в общесистемном плане защиты баз данных паролей авторизации массив карт целесообразно хранить в зашифрованном виде, что дает возможность обезопа- сить информацию даже в случае несанкционированного доступа к данным.

Вопросы безопасности локальной сети платежных систем и центра авторизации в целом достаточно надежно решаются использованием межсетевого экрана. Кон- цепция межсетевого экранирования формулируется следующим образом. Пусть имеется два множества информационных систем. Экран — это средство разграни- чения доступа клиентов одного множества систем к серверам из другого множест- ва. Экран выполняет свои функции, контролируя все информационные потоки меж- ду двумя множествами.

Обычно экран не является симметричным, для него определены понятия «внут- ри» и «снаружи». При этом задача экранирования формулируется как защита внут- ренней области от потенциально враждебной внешней, особенно в случае выхода в открытую среду — сеть Интернет. Чаще всего экран реализуют как сетевой сервис на третьем (сетевом), четвертом (транспортном) или седьмом (прикладном) уров- нях семиуровневой эталонной модели OSI. В первом случае мы имеем экранирую- щий маршрутизатор, во втором — экранирующий транспорт, в третьем — экрани- рующий шлюз. Каждый подход имеют свои достоинства и недостатки. Известны также гибридные экраны, где делается попытка объединить лучшие качества упо- мянутых подходов.

По-видимому, для вышеупомянутых систем целесообразно использовать экра- нирующий шлюз, который, функционируя на прикладном уровне, способен обеспе- чить наиболее надежную защиту. Как правило, экранирующий шлюз представляет собой универсальный компьютер, на котором работают программные агенты — по одному для каждого обслуживаемого прикладного протокола. При подобном под- ходе, помимо фильтрации, реализуется еще один важнейший аспект экранирова-

ния: субъекты из внешней сети видят только шлюзовой компьютер, соответствен- но, им доступна только та информация о внутренней сети, которую шлюз считает нужным экспортировать. Шлюз на самом деле экранирует (заслоняет) внутреннюю сеть от внешнего мира. В то же время субъектам внутренней сети кажется, что они напрямую общаются с объектами внешнего мира. То, что обычно считается недос- татком экранирующих шлюзов, а именно отсутствие полной прозрачности, требую- щее специальных действий для поддержки каждого прикладного протокола, может в данном применении достаточно эффективно использоваться.

Важным понятием экранирования является зона риска, которая определяется как множество систем, которые становятся доступными злоумышленнику после преодоления экрана или какого-либо из его компонентов. В нашем случае зона рис- ка применима в большей степени к центру авторизации. Поэтому особое внимание необходимо уделить именно этому сегменту, что требует с точки зрения повыше- ния надежности защиты реализации экрана как совокупности элементов, так что «взлом» одного из них еще не открывает доступ ко всей внутренней сети.

Поскольку компьютер-шлюз с программным обеспечением, несущим основную нагрузку, связанную с реализацией политики безопасности, является ключевым элементом межсетевого экрана, то он должен удовлетворять ряду требований:

–быть физически защищенным;

–иметь средства защиты от перезагрузки операционной системы (ОС) с несанк- ционированного носителя;

–иметь средства защиты на уровне ОС, разграничивающие доступ к ресурсам системы;

–ОС компьютера должна запрещать привилегированный доступ к своим ресур- сам из локальной сети;

–ОС компьютера должна содержать средства мониторинга/аудита любых адми- нистративных действий.

7.2.3. Центры расчетов

Вопрос использования универсальных скретч-карт (в том числе и ИБиКа) для ши- рокого спектра взаиморасчетов, на наш взгляд, имеет достаточно хорошую пер- спективу. При этом основной упор можно сделать именно на возможность дистан- ционных расчетов.

Однако прежде чем перейти к изложению возможных технологий реализа- ции дистанционной оплаты, необходимо рассмотреть экономическую состав- ляющую данного вопроса. Во-первых, определим общий характер технологии расчетов за предоставленные типовые услуги, а также оценим уровень затрат на проведение расчетов. В общем виде существующая технология состоит из не- скольких этапов: определение задолженности клиента за расчетный период, вы- писка счетов, их сортировка, доставка счета клиенту, контроль доставки, оплата счета клиентом через банк, сортировка оплаченных счетов, контроль оплаты, проведение работы с задолжниками. Очевидно, что многие из этих этапов долж-

ны проводится с помощью рутинного ручного труда, при этом все более и более затратного. Из практики проведения расчетов известно, что банковские затраты составляют не более 1–3% суммы счета, а выписка и доставка счета, контроль оплаты и другие накладные расходы для низких сумм платежей могут достигать 8–15%. Для определенности оценим общие затраты в размере 10% суммы счета (платежа).

Во-вторых, очертим круг возможных приложений дистанционной оплаты. Он определяется несколькими составляющими:

–суммы платежей должны быть небольшими, чтобы покрываться низким номи- налом карт;

–платежи могут быть периодическими, например ежемесячными, что опти- мальным образом соответствует технологии использования карт;

–затраты на проведение взаиморасчетов по существующей технологии должны быть соизмеримы с суммой расчетов по картам.

Если первые две составляющие можно отнести к субъективным факторам, то последняя носит объективный характер.

Исходя из практики затрат на изготовление и распространение телекоммуника- ционных карт, общие затраты составляют до 20% номинала (примерно 5% — затра- ты на изготовление и 15% — комиссия продавцу), не считая затрат на рекламу и продвижение карт. Такие высокие затраты определяются несколькими факторами. Во-первых, эмиссия карт обычно небольшая, а как известно, затраты на изготовле- ние обратно пропорциональны объему эмиссии. Путем увеличения эмиссии можно

довести затраты на изготовление практически до себестоимости материалов, а это 0,5–1,5% номинала карт. Во-вторых, а это, по-видимому, более важный аргумент,

за счет использования единой универсальной карты, выпускаемой большими объе- мами, удается значительно уменьшить затраты на распространение и продажу карт. Подтверждением этому служит оценка затрат на продажу предоплаченных теле-

фонных карт федеральными операторами сотовой связи. Так, при ежемесячной эмиссии в размере 1 миллиона карт с номиналом 150–300 рублей, затраты на прода-

жу составляют от 5 до 7%. А при увеличении эмиссии до пяти миллионов в месяц планируются затраты менее 5% номинала.

Таким образом, при уровне затрат на изготовление и распространение карт, со- ставляющих порядка 10% их номинала, применение универсальных карт типа ИБиКа для расчетов за широкий спектр услуг, стоимость которых находится на уровне номинала карты, достаточна привлекательна. Кроме того, такое использова- ние карт одновременно для широкого спектра услуг освобождает компании, пре- доставляющие услуги, от использования ручного малопроизводительного труда и значительно повышает точность расчетов.

Важным вопросом при использовании карточной технологии является вопрос распространения карт. Достаточно перспективным, по-видимому, является продажа карт через специализированные автоматы. При стоимости такого автомата 1200 у.е. и среднем номинале карт 5 у.е. расходы на его покупку и эксплуатацию, в частно- сти на инкассацию около 5% среднего номинала карты, окупаются за год при про- даже 700 карт в месяц.