Файл: Система защиты информации в банковских системах ( Безопасность автоматизированных систем обработки информации в банках).pdf

Скачать файл
Заказать решение

ВУЗ: Не указан

Категория: Курсовая работа

Дисциплина: Не указана

Добавлен: 12.03.2024

Просмотров: 16

Скачиваний: 0

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.

СОДЕРЖАНИЕ

Введение

1. Характерные черты информационной безопасности банков

2. Безопасность автоматизированных систем обработки информации в банковских учреждениях

3. Безопасность электронных платежей

4. Безопасность персональных платежей физических лиц

Заключение

СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ 

По мере роста и усложнения сетей основное значение обретает требование присутствия централизованных средств управления политикой безопасности, какие могли бы управлять элементами безопасности. Интеллектуальные средства, которые могут называть состояние политики безопасности, управлять ею и осуществлять аудит, увеличивают практичность и эффективность решений в области сетевой безопасности. Решения Cisco в этой области подразумевают стратегический подход к управлению безопасностью. Cisco Secure Policy Manager (CSPM) удерживает элементы безопасности Cisco в корпоративных сетях, обеспечивая комплексную и последовательную реализацию политики безопасности. С помощью CSPM клиенты могут определять соответствующую политику безопасности, вводить ее в действие и проверять основы безопасности в работе множеств межсетевых экранов Cisco Secure PIX и Cisco IOS Firewall Feature Set и агентов IDS. CSPM также поддерживает стандарт IPsec для построения виртуальных частных сетей VPN. Кроме того, CSPM является составляющей частью широко популярной корпоративной системы управления CiscoWorks2000/VMS.

Суммируя приведенные методы, следует отметить, что разработка информационных систем требует параллельной разработки технологий передачи и защиты информации. Данные технологии должны обеспечивать защиту передаваемой информации, делая сеть «надежной», хотя надежность на сегодняшнем этапе подразумевается как надежность не на физическом уровне, а точнее на логическом (информационном уровне).

Существует также ряд дополнительных мероприятий, реализующих следующие принципы:

1. Мониторинг процессов. Метод мониторинга процессов состоит в формировании особого расширения системы, которое бы регулярно осуществляло некоторые виды проверок. Несомненно, что некая система становится внешне уязвимой только в том случае, когда она предоставляет возможность доступа извне к своим информационным ресурсам. При создании средств подобного доступа (серверных процессов), как правило, существует довольное количество предшествующей информации, относящейся к действию клиентских процессов. К сожалению, в большинстве случаев эта информация просто пренебрегается. После аутентификации внешнего процесса в системе он в течение всего собственного жизненного цикла является авторизованным для доступа к определенному количеству информационных ресурсов в отсутствии каких-либо дополнительных проверок.

Хотя определить все правила действия внешнего процесса в большинстве случаев не является возможным, абсолютно действительно определить их через отрицание или, иначе говоря, указать, что внешний процесс не может делать ни при каких условиях. В основе этих проверок можно реализовывать мониторинг небезопасных или подозрительных происшествий.

2. Дублирование технологий передачи. Существует угроза взлома и компрометации любой технологии передачи информации, как в силу ее внутренних недочетов, так и из-за влияния извне. Защита от подобной ситуации заключается в параллельном использовании нескольких непохожих друг от друга технологий передачи. Несомненно, что повторение повергнет к резкому увеличению сетевого трафика. Тем не менее, такой метод может быть эффективным, когда стоимость рисков от вероятных потерь как оказалось выше накладных расходов по дублированию.

3.Децентрализация. Во многих случаях применение стандартизованных технологий обмена информацией обусловленно не стремлением к стандартизации, а недостаточной вычислительной мощностью систем, обеспечивающих процедуры связи. Реализацией децентрализованного расклада может считаться и широко популярная в сети Internet практика «зеркал». Формирование некоторых идентичных копий ресурсов может быть полезным в системах реального времени, даже временный сбой которых может иметь достаточно серьезные результаты.

3. Безопасность электронных платежей

информация банк криптографический защита

Потребность всегда иметь под рукой необходимую информацию вынуждает многих руководителей задумываться над проблемой оптимизации бизнеса с помощью компьютерных систем. Но если перевод бухгалтерского учета из бумажной формы в электронную давно выполнен, то взаиморасчеты с банком все еще остаются недостаточно автоматизированными: массовый переход на электронный документооборот только ожидает.

На сегодняшний день многие банки имеют те или иные каналы для удаленного реализации платежных операций. Выслать "платежку" можно непосредственно из офиса, воспользовавшись модемным соединением или выделенной линией связи. Стало реальностью осуществление банковских операций через Интернет – для этого достаточно иметь компьютер с доступом в глобальную сеть и ключ электронной цифровой подписи (ЭЦП), которая зарегистрирована в банке.

Удаленное обслуживание в банке дает возможность увеличить эффективность частного бизнеса при наименьших усилиях со стороны его владельцев. При этом поддерживаются: экономия времени (не нужно приходить в банк лично, платеж можно осуществить в любое время); практичность работы (все операции производятся с персонального компьютера в обычной деловой обстановке); высокая скорость обработки платежей (банковский оператор не перепечатывает данные с бумажного подлинника, что дает возможность исключить ошибки ввода и сократить время обработки платежного документа); мониторинг состояния документа в процессе его обработки; получение данных о движении средств по счетам.

Но, несмотря на явные преимущества, электронные платежи в России пока не очень популярны, так как клиенты банков не уверены в их защищенности. Это, прежде всего, связано с популярным мнением, что компьютерные сети легко может "взломать" какой-нибудь злоумышленник. Этот миф прочно установился в сознании человека, а регулярно публикуемые в средствах массовой информации новости об атаках на очередной веб-сайт еще сильнее укрепляют это мнение. Но времена меняются, и электронные средства связи рано или поздно сменят личное присутствие плательщика, желающего сделать безналичный банковский перевод с одного счета на другой.

На мой взгляд, безопасность электронных банковских операций сегодня можно обеспечить. Гарантией этому служат современные способы криптографии, которые применяются для защиты электронных платежных документов. В первую очередь это ЭЦП, соответствующая ГОСТ 34.10-94. С 1995 г. она успешно применяется в Банке России. Вначале он ввел систему межрегиональных электронных расчетов всего в некоторых регионах. Сейчас она охватывает все регионы Российской Федерации и представить без нее функционирование Банка России практически невозможно. Так стоит ли сомневаться в надежности ЭЦП, если ее использование испытано временем и уже, так или иначе, касается каждого гражданина нашей страны?

Электронная цифровая подпись (ЭЦП), цифровая подпись (ЦП) позволяет подтвердить авторство электронного документа (будь то реальное лицо или, например, аккаунт в банковской системе). Подпись связана как с автором, так и с самим документом с помощью криптографических методов, и не может быть подделана с помощью обычного копирования.

ЭЦП - это реквизит электронного документа, полученный в результате криптографического преобразования информации с использованием закрытого ключа подписи и позволяющий проверить отсутствие искажения информации в электронном документе с момента формирования подписи, принадлежность подписи владельцу сертификата ключа подписи (авторство), а в случае успешной проверки подтвердить факт подписания электронного документа.

Широко применяемая в настоящее время технология электронной подписи основана на асимметричном шифровании с открытым ключом и опирается на следующие принципы:

  • Можно сгенерировать пару очень больших чисел (открытый ключ и закрытый ключ) так, чтобы, зная открытый ключ, нельзя было вычислить закрытый ключ за разумный срок. Механизм генерации ключей строго определён и является общеизвестным. При этом каждому открытому ключу соответствует определённый закрытый ключ. Если, например, Иван Иванов публикует свой открытый ключ, то можно быть уверенным, что соответствующий закрытый ключ есть только у него.
  • Имеются надёжные методы шифрования, позволяющие зашифровать сообщение закрытым ключом так, чтобы расшифровать его можно было только открытым ключом. Механизм шифрования является общеизвестным.
  • Если электронный документ поддается расшифровке с помощью открытого ключа (и при этом получается осмысленный результат, а не случайный набор данных), то можно быть уверенным, что он был зашифрован с помощью уникального закрытого ключа. Если документ расшифрован с помощью открытого ключа Ивана Иванова, то это подтверждает его авторство: зашифровать данный документ мог только Иванов, т.к. он является единственным обладателем закрытого ключа.

Однако шифровать весь документ было бы неудобно, поэтому шифруется только его хеш - небольшой объём данных, жёстко привязанный к документу с помощью математических преобразований и идентифицирующий его. Зашифрованный хеш и является электронной подписью. Важной проблемой всей криптографии с открытым ключом, в том числе и систем ЭП, является управление открытыми ключами. Так как открытый ключ доступен любому пользователю, то необходим механизм проверки того, что этот ключ принадлежит именно своему владельцу. Необходимо обеспечить доступ любого пользователя к подлинному открытому ключу любого другого пользователя, защитить эти ключи от подмены злоумышленником, а также организовать отзыв ключа в случае его попытки взлома. Задача защиты ключей от подмены решается с помощью сертификатов. Сертификат позволяет удостоверить расположенные в нём данные о владельце и его открытый ключ подписью какого-либо доверенного лица. Существуют системы сертификатов двух типов: централизованные и децентрализованные. В децентрализованных системах путём перекрёстных подписей сертификатов знакомых и доверенных людей каждым пользователем строится сеть доверия. В централизованных системах сертификатов используются центры сертификации, поддерживаемые доверенными организациями. Центр сертификации формирует закрытый ключ и собственный сертификат, формирует сертификаты конечных пользователей и удостоверяет их аутентичность своей цифровой подписью. Также центр проводит отзыв истекших и компрометированных сертификатов и ведёт базы (списки) выданных и отозванных сертификатов. Обратившись в сертификационный центр, можно получить собственный сертификат открытого ключа, сертификат другого пользователя и узнать, какие ключи отозваны.

Закрытый ключ является наиболее уязвимым компонентом всей криптосистемы цифровой подписи. Злоумышленник, укравший закрытый ключ пользователя, может создать действительную цифровую подпись любого электронного документа от лица этого пользователя. Поэтому особое внимание нужно уделять способу хранения закрытого ключа. Пользователь может хранить закрытый ключ на своем персональном компьютере, защитив его с помощью пароля. Однако такой способ хранения имеет ряд недостатков, в частности, защищённость ключа полностью зависит от защищённости компьютера, и пользователь может подписывать документы только на этом компьютере.

В настоящее время существуют следующие устройства хранения закрытого ключа:

  • смарт-карты
  • USB-брелоки
  • «таблетки» Touch-Memory.

Кража или потеря одного из таких устройств хранения может быть легко замечена пользователем, после чего соответствующий сертификат может быть немедленно отозван.

Наиболее защищённый способ хранения закрытого ключа — хранение на смарт-карте. Для того чтобы использовать смарт-карту, пользователю необходимо не только её иметь, но и ввести PIN-код, то есть, получается двухфакторная аутентификация. После этого подписываемый документ или его хеш передаётся в карту, её процессор осуществляет подпись хеша и передаёт подпись обратно. В процессе формирования подписи таким способом не происходит копирования закрытого ключа, поэтому все время существует только единственная копия ключа. Кроме того, произвести копирование информации со смарт-карты немного сложнее, чем с других устройств хранения.

4. Безопасность персональных платежей физических лиц

Большинство систем безопасности в целях избегания потери персональных данных физических лиц требуют от пользователя подтверждения, что он именно тот, за кого себя выдает. Идентификация пользователя может быть проведена на основе того, что:

• он знает некую информацию (секретный код, пароль);

• он имеет некий предмет (карточку, электронный ключ, жетон);

• он обладает набором индивидуальных черт (отпечатки пальцев, форма кисти руки, тембр голоса, рисунок сетчатки глаза и т.п.);

• он знает, где находится или как подключается специализированный ключ.

Первый способ требует набора на клавиатуре определенной кодовой последовательности – персонального идентификационного номера (Personal identification number – PIN). Обычно это последовательность из 4-8 цифр, которую пользователь должен ввести при осуществлении транзакции.

Второй способ предполагает предъявление пользователем неких специфических элементов идентификации – кодов, считываемых из некопируемого электронного устройства, карточки или жетона.

В третьем способе пропуском служат индивидуальные особенности и физические характеристики личности человека. Всякому биометрическому продукту сопутствует довольно объемная база данных, хранящая соответствующие изображения или другие данные, применяемые при распознавании.

Четвертый способ предполагает особый принцип включения или коммутирования оборудования, который обеспечит его работу (этот подход используется достаточно редко).

Смотрите также файлы