Интернет-Клиент

Подсистема «Интернет-Клиент» («тонкий» браузерный «банк-клиент») реализует в рамках комплексного решения «ДБО BS-Client х64» канал предоставления полного спектра банковских услуг исключительно с помощью интернет-технологий. Данная подсистема позиционируется и как самостоятельный продукт, и как часть комплексной системы «ДБО BS-Client х64».

Отличительные особенностиРешаемые задачи
  • Гибкость системы и возможность внесения любых настроек.
  • Высокая производительность — трафик по одному документу составляет ~ 20Кб.
  • Использование сертифицированных СКЗИ: КриптоПро CSP R3, КриптоПро Etoken CSP, КриптоПро Рутокен CSP, Message Pro 3 (Crypto Com 3.3).
  • Подтверждение документов одноразовыми ключами (SMS, ETokenPass, скретч-карты) перед отправкой в обработку.
  • Поддержка устройств контроля данных SafeTouch.
  • Простота использования и массовость внедрения за счет использования только web-технологий.
  • Абсолютная юридическая значимость, поддержка современных технологий защиты интернет-канала (протоколы SSL и TLS).
  • Элегантный, удобный иинтуитивно понятный документо-ориентированный интерфейс.
  • Ввод и обработка различных типов платежных и иных формализованных документов клиентов банка — юридических лиц и индивидуальных предпринимателей.
  • Обмен сообщениями произвольного формата.
  • Получение выписок в различных видах и форматах, а также иной информации из банка.
  • Организация интернет-коммерции как самому банку, так и любому его клиенту.
  • Построение расчетных и клиринговых систем в режиме реального времени.
  • Поддержка технологии «Офис — мобильный менеджер»

«Легкость» системы

Интерфейс интернет-клиента ЮЛ

При использовании «Интернет-Клиента» управление счетом и проведение различных банковских операций происходит при работе с обычным web-сайтом банка, доступ клиентов к которому осуществляется через сеть Интернет.

Клиент, из любой точки мира, при помощи web-браузера (Google Chrome, Mozzila FireFox, Internet Explorer или Opera Next), обращается по протоколу HTTP к web-серверу банка.

Аутентификация соединения осуществляется по протоколу SSL или TLS. При успешной аутентификации соединения клиент проходит процедуру многофакторной аутентификации в системе и, в случае успеха, начинает защищенный сеанс работы с системой «Интернет-Клиент» — производится обмен информацией в форматах HTML и XML. Обеспечению безопасности и защищенности сеанса работы с системой ниже посвящен отдельный раздел.

Клиент может создавать и редактировать платежные (рублевые и валютные) и иные документы, просматривать архив документов, сообщения из банка и выписки за любой период, пользоваться стандартными справочниками (как общими — банков, курсов валют и др., так и персональными,— корреспондентов, оснований платежа и т.д.) физически находящимися на стороне банка.

При подготовке любого документа осуществляется его контроль на корректность введенных данных, после чего осуществляется операция создания электронной подписи. Далее документ отправляется на обработку и после прохождения процедур подтверждения документа одноразовыми ключами, проверки подписи и правильности заполнения попадает в общую базу данных единой банковской части «ДБО BS-Client х64», где и производится его дальнейшая обработка (вывод на печать, рассылка уведомлений, выгрузка в АБС, исполнение или отказ). При выполнении общих для всех подсистем ДБО автопроцедур обработки документа, клиент получает результат об исполнении документа или его отказе с указанием причины такового.

На клиентской стороне не содержится никакой информации — все документы, справочники и иные ресурсы находятся в защищенной сети банка.

Документо-ориентированный интерфейс прост, элегантен и интуитивно понятен любому пользователю — окно браузера разделено на три части: вверху находится панель управления с рядом стандартных кнопок («Новый документ», «Просмотр документа» и т.д.), слева содержится дерево документов по типам, (аналогично файловой структуре), справа находится рабочее окно, служащее для отображения документов, форм и списков документов выбранного типа. Данная модель в наиболее простой и наглядной форме позволяет пользователю работать с документами. Типовой клиентский интерфейс системы «Интернет-Клиент» приведен на рисунке слева.


Простота начала работы с системой

Помимо простоты повседневной работы с системой, крайне важно обеспечение безболезненного начала работы с ней даже самого неподготовленного клиента. В подсистеме «Интернет-Клиент» системы «ДБО BS-Client х64» для начала работы необходимо:


получить (или зарегистрировать уже имеющиеся) ключи (и электронные сертификаты) ЭП и шифрования в банке согласно акту ввода в действие ключей. При этом, в случае получения ключей в банке, клиент имеет возможность самостоятельной перегенерации ключей непосредственно на своем АРМ, также поддерживается сценарий, предполагающий первичную генерацию ключей на стороне клиента.

 

получить защищенный конверт с аутентификационными данными (логин и пароль);

после этого можно войти в систему! Установка необходимых для работы подсистемы «Интернет-Клиент» программных компонентов происходит при первом входе.


Для работы на любом компьютере в любой точке мира клиенту необходим лишь носитель с секретными ключами ЭП.


Гибкость и масштабируемость системы

При ориентации на массовое использование системы «Интернет-Клиент» для банка крайне важно иметь возможность проводить обновления системы, не затрагивая клиентов. Примененная в системе «Интернет-Клиент» технология, подразумевающая присутствие на клиентском месте только минимального не зависящего от логики системы «защитного» ПО, обеспечивает безболезненное внесение любых изменений и модернизаций, поскольку вне зависимости от количества клиентов они касаются только банковского сервера.

Причем изменение содержания банковского web-сайта (применительно к подсистеме «Интернет-Клиент» системы «ДБО BS-Client х64»), его дизайна и наполнения возможно силами самого банка — необходимы лишь стандартные средства для работы с языком HTML, а также поставляемые в составе системы «ДБО BS-Client х64» средства работы с базами данных и «Компилятор макроязыка».

Остановимся подробнее на технических аспектах реализации подсистемы «Интернет-Клиент» в рамках комплексного решения «ДБО BS-Client х64».

В основу подсистемы «Интернет-клиент» положены широко распространенные технологии:

  • CGI- интерфейс;
  • HTML-шаблоны и XML-шаблоны.

Как известно, технология HTML- и XML-шаблонов базируется на наборе заготовок, в которых, следуя определенному синтаксису, внедрены места подстановки значений. Исполняемый модуль на web-сервере банка, исходя из данных полученного HTTP-запроса, определяет, какой шаблон ему нужно взять и затем заменяет места подстановки в шаблоне на текстовые фрагменты. Заполненные шаблоны отправляются клиенту. Готовый документ формируется на клиентской стороне.

Для обеспечения описанной функциональности в подсистеме «Интернет-Клиент» используются задачи для серверной части. Задача содержит набор указаний, представляющих собой выражения на простом внутреннем языке и описывающих:

  • какой шаблон использовать для формирования ответного XML или HTML;
  • какие данные из запроса клиента нужно использовать для того или иного взаимодействия с Базой Данных (БД);
  • какие взаимодействия осуществить с БД;
  • куда в HTML-шаблоне и каким образом подставить ответные данные для последующей отправки клиенту.

Очевидно, что время от времени потребуется вносить какие-либо изменения в систему, и от того, каким образом реализована клиентская часть будет зависеть простота и скорость их внесения. Получившие признание среди разработчиков объемные (порядка 300 — 600 Кб), JAVA-приложения являются целостной программой, и требуют для внесения любых, даже мелких, изменений заказа доработок у фирмы-разработчика, либо покупки исходных текстов и разбор чужого программного кода большого объема, не говоря уже о необходимости знания языка программирования JAVA специалистами банка.

Обычные же HTML-страницы (как это и реализовано в подсистеме «Интернет-Клиент») не требуют значительного времени на обновление, имеют небольшой объем, просты для восприятия и могут быть изменены специалистами банка.

Зная основы HTML, XML, JavaScript и освоив язык для серверной части BS-Script, можно создавать законченные системы оборота различных типов документов.


Юридическая значимость работы с системой

Юридическая значимость подсистемы «Интернет-Клиент» в рамках комплекса «ДБО BS-Client х64» обеспечивается следующими основными принципами:

  • Существованием между клиентом и банком договора на обслуживание по подсистеме «Интернет-Клиент», определяющего их взаимоотношения, а также механизм решения конфликтных ситуаций со ссылками на основные функции подсистемы, скрепленный физическими подписями и оттисками печатей сторон. Ключевым моментом такого договора является понятие электронной подписи банка и клиента.
  • Использованием для обеспечения юридической значимости договора «стандартных», сертифицированных ФСБ систем ЭП и шифрования.
  • Оформлением акта ввода в действие ключей ЭП и шифрования.
  • Заверением электронной подписью не только каждого документа со стороны клиента, но и всех сообщений, проходящих по системе в обе стороны, от клиента в банк и из банка клиенту. Причем заверение ЭП всех документов из банка обязательно, поскольку в противном случае сохраняется вероятность подделок документов со стороны злоумышленников.

Безопасность

Безопасность и защита от несанкционированного доступа в подсистеме «Интернет-Клиент» обеспечивается применением в комплексе:

  • средств электронной подписи (СКЗИ). Поддерживаются СКЗИ производства ведущих российских разработчиков «КриптоПро» и «Сигнал-Ком»;
  • протоколов безопасности SSL и TLS, позволяющих повысить надежность связи и защитить передаваемую информацию от несанкционированного доступа;
  • многофакторной аутентификации, авторизации, протоколирования;
  • использование одноразовых паролей, ОТР-токенов, SMS-паролей при аутентификации и для подтверждения отправки документов в обработку;
  • организационно-административных мероприятий;
  • штатных средств защиты ОС и СУБД;
  • систем контроля доступа;
  • межсетевого экранирования;
  • USB-токенов (в т.ч. с неизвлекаемыми ключами);
  • средств визуального контроля данных при подписи SafeTouch;
  • средств дополнительного подтверждения документов.

Интернет-клиентПриведенная схема демонстрирует построение всего комплекса защиты в подсистеме «Интернет-Клиент», включая общие средства обеспечения безопасности информационных ресурсов банка.

В настоящее время вопросам безопасности данных в распределенных компьютерных системах уделяется очень большое внимание. Разработано множество средств для обеспечения информационной безопасности, предназначенных для использования на различных компьютерах с разными ОС. В качестве одного из направлений можно выделить межсетевые экраны (Firewalls), призванные контролировать доступ со стороны пользователей одного множества систем к информации, хранящейся на серверах в другом множестве. В нашем применении это доступ клиентов из сети Интернет к ресурсам, находящимся в сети банка.

Экран выполняет свои функции, контролируя все информационные потоки между этими двумя множествами информационных систем, работая как некая «информационная мембрана». В этом смысле экран можно представить как набор фильтров, анализирующих проходящую через них информацию и, на основе заложенных в них алгоритмов, принимающих решение: пропустить ли эту информацию или отказать в ее пересылке. Кроме того, такая система может выполнять регистрацию событий, связанных с процессами разграничения доступа. В частности, фиксировать все «незаконные» попытки доступа к информации и сигнализировать о ситуациях, требующих немедленной реакции, т.е. поднимать тревогу.

Обычно экранирующие системы делают несимметричными. Для экранов определяются понятия «внутри» и «снаружи», и задача экрана состоит в защите внутренней сети от «потенциально враждебного» окружения. Важнейшим примером потенциально враждебной внешней сети является Интернет.

Firewall может строиться разными путями, используя различные механизмы:

  • фильтры, установленные на маршрутизаторах (router-based filters);
  • межсетевые шлюзы на хостах, или крепости-бастионы (host computer gateways);
  • разделение изоляционными сетями (aseparate, isolation network).

Наиболее типичным решением проблемы обеспечения защиты от НСД со стороны внешней сети является установка прокси-сервера и межсетевого экрана (Firewall). Помещение межсетевого экрана после прокси-сервера обеспечивает необходимый уровень защиты с сохранением возможности доступа клиента к web-серверу банка с любого компьютера из любой точки мира. Данное решение является одним из возможных и может базироваться на использовании специализированных продуктов Check Point Firewall-1 компании Check Point Software Technologies, TIS Firewall Toolkit компании Trusted Information Systems и т.п.

При использовании системы «ДБО BS-Client х64» возможно как задействовать уже существующую в банке систему защиты от несанкционированного доступа извне, так и получить консультации и помощь специалистов Компании в разработке системы безопасности «с нуля». При этом возможен как выбор одного из предлагаемых Компанией «типовых» решений для организации защиты сети банка от НСД со стороны Интернет, так разработка специалистами Компании индивидуального решения.


Организация защиты от сбоев и обрывов связи

В подсистему «Интернет-Клиент» введен ряд технологических решений, обеспечивающих корректную работу в случае сбоев и/или обрывов связи.

В случае обрыва связи во время работы клиента (например, при заполнении формы документа), в течение некоторого установленного настройками времени он может соединиться с сервером и продолжить работу. Его форма находится в открытом браузере. Следует отметить, что заполняемая на стороне клиента форма до отправки запроса на банковский сервер нигде, кроме как в браузере, не существует и исчезает только после его закрытия.

Если обрыв связи произошел в момент отправки запроса, но до получения ответа, то при возобновлении соединения и повторной отправке запроса (в течение тайм-аута) клиент получит как раз тот ответ, который он недополучил. При этом дублирование исключено и повторной модификации данных не произойдет.

Если же обрыв связи произошел в момент получения ответа сервера, когда запрос уже обработан, то после возобновления соединения клиент найдет свой документ, отправленный до обрыва связи, активизируя ссылку на панели навигации.