Файл: Система защиты информации в банковских системах (АСОИБ).pdf
Добавлен: 22.04.2023
Просмотров: 61
Скачиваний: 1
Введение
Со времени своего появления банки неизменно вызывали преступный интерес. И этот интерес был связан не только с хранением в кредитных организациях денежных средств, но и с тем, что в банках сосредотачивалась важная и зачастую секретная информация о финансовой и хозяйственной деятельности многих людей, компаний, организаций и даже целых государств. В настоящее время в результате повсеместного распространения электронных платежей, пластиковых карт, компьютерных сетей объектом информационных атак стали непосредственно денежные средства как банков, так и их клиентов. Совершить попытку хищения может любой - необходимо лишь наличие компьютера, подключенного к сети Интернет. Причем для этого не требуется физически проникать в банк, можно «работать» и за тысячи километров от него.
Именно эта проблема является сейчас наиболее актуальной и наименее исследованной. Если в обеспечении физической и классической информационной безопасности давно уже выработаны устоявшиеся подходы (хотя развитие происходит и здесь), то в связи с частыми радикальными изменениями в компьютерных технологиях методы безопасности автоматизированных систем обработки информации банка (АСОИБ) требуют постоянного обновления. Как показывает практика, не существует сложных компьютерных систем, не содержащих ошибок. А поскольку идеология построения крупных АСОИБ регулярно меняется, то исправления найденных ошибок и «дыр» в системах безопасности хватает ненадолго, так как новая компьютерная система приносит новые проблемы и новые ошибки, заставляет по-новому перестраивать систему безопасности.
На мой взгляд, каждый заинтересован в конфиденциальности своих персональных данных, предоставляемых банкам. Исходя из этого, написание данного реферата и изучение данной проблемы, на мой взгляд, представляется не только интересным, но и крайне полезным.
1. Особенности информационной безопасности банков
Банковская информация всегда была объектом пристального интереса всякого рода злоумышленников. Любое банковское преступление начинается с утечки информации. Автоматизированные банковские системы являются каналами для таких утечек. С самого начала внедрения автоматизированных банковских систем (АБС) они стали объектом преступных посягательств.
Так, известно, что в августе 1995 г. в Великобритании был арестован 24-летний российский математик Владимир Левин, который при помощи своего домашнего компьютера в Петербурге сумел проникнуть в банковскую систему одного из крупнейших американских банков Citibank и попытался снять с его счетов крупные суммы. По сведениям московского представительства Citibank, до тех пор подобное никому не удавалось. Служба безопасности Citibank выяснила, что у банка пытались похитить $2,8 млн., но контролирующие системы вовремя это обнаружили и заблокировали счета. Украсть же удалось лишь $400 тысяч.
В США сумма ежегодных убытков банковских учреждений от незаконного использования компьютерной информации составляет, по оценкам экспертов, от 0,3 до 5 млрд. долларов. Информация - это аспект общей проблемы обеспечения безопасности банковской деятельности.
В связи с этим, стратегия информационной безопасности банков весьма сильно отличается от аналогичных стратегий других компаний и организаций. Это обусловлено, прежде всего, специфическим характером угроз, а также публичной деятельностью банков, которые вынуждены делать доступ к счетам достаточно легким с целью удобства для клиентов.
Обычная компания строит свою информационную безопасность, исходя лишь из узкого круга потенциальных угроз - главным образом защита информации от конкурентов (в российских реалиях основной задачей является защита информации от налоговых органов и преступного сообщества с целью уменьшения вероятности неконтролируемого роста налоговых выплат и рэкета). Такая информация интересна лишь узкому кругу заинтересованных лиц и организаций и редко бывает ликвидна, т.е. обращаема в денежную форму.
Информационная безопасность банка должна учитывать следующие специфические факторы:
. Хранимая и обрабатываемая в банковских системах информация представляет собой реальные деньги. На основании информации компьютера могут производиться выплаты, открываться кредиты, переводиться значительные суммы. Вполне понятно, что незаконное манипулирование с такой информацией может привести к серьезным убыткам. Эта особенность резко расширяет круг преступников, покушающихся именно на банки (в отличие от, например, промышленных компаний, внутренняя информация которых мало кому интересна).
. Информация в банковских системах затрагивает интересы большого количества людей и организаций - клиентов банка. Как правило, она конфиденциальна, и банк несет ответственность за обеспечение требуемой степени секретности перед своими клиентами. Естественно, клиенты вправе ожидать, что банк должен заботиться об их интересах, в противном случае он рискует своей репутацией со всеми вытекающими отсюда последствиями.
. Конкурентоспособность банка зависит от того, насколько клиенту удобно работать с банком, а также насколько широк спектр предоставляемых услуг, включая услуги, связанные с удаленным доступом. Поэтому клиент должен иметь возможность быстро и без утомительных процедур распоряжаться своими деньгами. Но такая легкость доступа к деньгам повышает вероятность преступного проникновения в банковские системы.
. Информационная безопасность банка (в отличие от большинства компаний) должна обеспечивать высокую надежность работы компьютерных систем даже в случае нештатных ситуаций, поскольку банк несет ответственность не только за свои средства, но и за деньги клиентов.
. Банк хранит важную информацию о своих клиентах, что расширяет круг потенциальных злоумышленников, заинтересованных в краже или порче такой информации.
К сожалению, в наши дни, в связи с высоким развитием технологий, даже предельно жесткие организационные меры по упорядочению работы с конфиденциальной информацией не защитят от ее утечки по физическим каналам. Поэтому системный подход к защите информации требует, чтобы средства и действия, используемые банком для обеспечения информационной безопасности (организационные, физические и программно-технические), рассматривались как единый комплекс взаимосвязанных, взаимодополняющих и взаимодействующих мер. Такой комплекс должен быть нацелен не только на защиту информации от несанкционированного доступа, но и на предотвращение случайного уничтожения, изменения или разглашения информации.
2. Безопасность автоматизированных систем обработки информации в банках (АСОИБ)
Не будет преувеличением сказать, что проблема умышленных нарушений функционирования АСОИБ различного назначения в настоящее время является одной из самых актуальных. Наиболее справедливо это утверждение для стран с сильно развитой информационной инфраструктурой, о чем убедительно свидетельствуют приводимые ниже цифры.
Известно, что в 1992 году ущерб от компьютерных преступлений составил $555 млн., 930 лет рабочего времени и 15.3 года машинного времени. По другим данным ущерб финансовых организаций составляет от $173 млн. до $41 млрд. в год.
Из данного примера, можно сделать вывод, что системы обработки и защиты информации отражают традиционный подход к вычислительной сети как к потенциально ненадежной среде передачи данных. Существует несколько основных способов обеспечения безопасности программно-технической среды, реализуемых различными методами:
. Идентификация (аутентификация) и авторизация при помощи паролей.
.1. Создание профилей пользователей. На каждом из узлов создается база данных пользователей, их паролей и профилей доступа к локальным ресурсам вычислительной системы.
.2. Создание профилей процессов. Задачу аутентификации выполняет независимый (third-party) сервер, который содержит пароли, как для пользователей, так и для конечных серверов (в случае группы серверов, базу данных паролей также содержит только один (master) сервер аутентификации; остальные - лишь периодически обновляемые копии). Таким образом, использование сетевых услуг требует двух паролей (хотя пользователь должен знать только один - второй предоставляется ему сервером «прозрачным» образом). Очевидно, что сервер становится узким местом всей системы, а его взлом может нарушить безопасность всей вычислительной сети.
. Инкапсуляция передаваемой информации в специальных протоколах обмена. Использование подобных методов в коммуникациях основано на алгоритмах шифрования с открытым ключом. На этапе инициализации происходит создание пары ключей - открытого и закрытого, имеющегося только у того, кто публикует открытый ключ. Суть алгоритмов шифрования с открытым ключом заключается в том, что операции шифрования и дешифрования производятся разными ключами (открытым и закрытым соответственно).
. Ограничение информационных потоков. Это известные технические приемы, позволяющие разделить локальную сеть на связанные подсети и осуществлять контроль и ограничение передачи информации между этими подсетями.
.1. Firewalls (брандмауэры). Метод подразумевает создание между локальной сетью банка и другими сетями специальных промежуточных серверов, которые инспектируют, анализируют и фильтруют весь проходящий через них поток данных (трафик сетевого/транспортного уровней). Это позволяет резко снизить угрозу несанкционированного доступа извне в корпоративные сети, но не устраняет эту опасность совсем. Более защищенная разновидность метода - это способ маскарада (masquerading), когда весь исходящий из локальной сети трафик посылается от имени firewall-сервера, делая закрытую локальную сеть практически невидимой.
.2. Proxy-servers. При данном методе вводятся жесткие ограничения на правила передачи информации в сети: весь трафик сетевого/транспортного уровней между локальной и глобальной сетями запрещается полностью - попросту отсутствует маршрутизация как таковая, а обращения из локальной сети в глобальную происходят через специальные серверы-посредники. Очевидно, что при этом методе обращения из глобальной сети в локальную становятся невозможными в принципе. Очевидно также, что этот метод не дает достаточной защиты против атак на более высоких уровнях, например на уровне программного приложения.
. Создание виртуальных частных сетей (VPN) позволяет эффективно обеспечивать конфиденциальность информации, ее защиту от прослушивания или помех при передаче данных. Они позволяют установить конфиденциальную защищенную связь в открытой сети, которой обычно является интернет, и расширять границы корпоративных сетей до удаленных офисов, мобильных пользователей, домашних пользователей и партнеров по бизнесу. Технология шифрования устраняет возможность перехвата сообщений, передаваемых по виртуальной частной сети, или их прочтения лицами, отличными от авторизованных получателей, за счет применения передовых математических алгоритмов шифрования сообщений и приложений к ним. Концентраторы серии Cisco VPN 3000 многими признаются лучшим в своей категории решением удаленного доступа по виртуальным частным сетям. Концентраторы Cisco VPN 3000, обладающие самыми передовыми возможностями с высокой надежностью и уникальной, целенаправленной архитектурой. Позволяют корпорациям создавать инфраструктуры высокопроизводительных, наращиваемых и мощных виртуальных частных сетей для поддержки ответственных приложений удаленного доступа. Идеальным орудием создания виртуальных частных сетей от одного сетевого объекта к другому служат маршрутизаторы Cisco, оптимизированные для построения виртуальных частных сетей, к которым относятся маршрутизаторы Cisco 800, 1700, 2600, 3600, 7100 и 7200.
.Системы обнаружения вторжений и сканеры уязвимости создают дополнительный уровень сетевой безопасности. Хотя межсетевые экраны пропускают или задерживают трафик в зависимости от источника, точки назначения, порта или прочих критериев, они фактически не анализируют трафик на атаки и не ведут поиск уязвимых мест в системе. Кроме того, межсетевые экраны обычно не борются с внутренними угрозами, исходящими от "своих". Система обнаружения вторжений Cisco Intrusion Detection System (IDS) может защитить сеть по периметру, сети взаимодействия с бизнес-партнерами и все более уязвимые внутренние сети в режиме реального времени. Система использует агенты, представляющие собой высокопроизводительные сетевые устройства, для анализа отдельных пакетов с целью обнаружения подозрительной активности. Если в потоке данных в сети проявляется несанкционированная активность или сетевая атака, агенты могут обнаружить нарушение в реальном времени, послать сигналы тревоги администратору и заблокировать доступ нарушителя в сеть. Помимо сетевых средств обнаружения вторжений компания Cisco также предлагает серверные системы обнаружения вторжений, обеспечивающие эффективную защиту конкретных серверов в сети пользователя, в первую очередь серверов WEB и электронной коммерции. Cisco Secure Scanner представляет собой программный сканер промышленного уровня, позволяющий администратору выявлять и устранять уязвимости в сетевой безопасности прежде, чем их найдут хакеры.