Добавлен: 30.04.2023
Просмотров: 75
Скачиваний: 2
СОДЕРЖАНИЕ
Глава1 Система защиты информации в банковских системах.
1.1 Сущность системы защиты информации в банковских системах.
Глава 2 Анализ системы защиты информации в банковских системах.
2.1 Развитие технических и программных средств защиты информации в банках.
2.2 Ограничение доступа к информации
2.3 Проблемы и перспективы развития методов защиты информации.
Введение
Безналичные расчеты посредством электронных автоматизированных систем появились и стали популярны во второй половине XX века. Неотъемлемым элементом этих систем являются компьютеры непосредственно на концах линий телекоммуникации. Именно фактор появления компьютеров резко повысил скорость обработки и передачи информации – скорость осуществления платежей резко возросла. Вместо привычных платежных средств появились электронные эквиваленты.
Осуществление коммерческих операций посредством электронных сетей позволяет снять, прежде всего, ограничения физического характера. Теперь вся деятельность может вестись без оглядки на расстояния. Теперь любая компания способна предоставлять услуги клиентам круглосуточно и 365 дней в году благодаря сети Интернет. Соответственно произвести заказ на услуги или продукцию также можно в любое время и в любом месте. Документы и отчеты передаются по сети в цифровом виде, будучи предварительно обработанными с помощью различных приложений – в этом одна из главных особенностей современной электронной коммерции.
При этом надо учитывать, что компьютерная сеть, выполняя функцию посредника между продавцами, покупателями и банками, доступна как для законных акций, так и для преступных несанкционированных и мошеннических действий. Поэтому посредническая система должна быть не только удобной, но и надежной – это одна из важнейших и в то же время самая трудная задача разработки. Темпы роста и перспективы электронных систем коммерции сегодня зависят в первую очередь от решения этой сложной задачи.
Вступление России в Интернет-бизнес несколько запоздало по сравнению с развитыми зарубежными странами, однако, во-первых, это отставание не столь велико, а во-вторых, у него есть положительные моменты. Это отставание по востребованности Интернет-технологий, используемых в электронной коммерции, позволяет не допускать повторения ошибок зарубежных компаний, занимающихся разработкой программного обеспечения для нужд электронной коммерции. В первую очередь, конечно, это ошибки, следствием которых становятся возможным различного рода мошеннические действия в сети интернет.
Таким образом, при создании и модернизации автоматизированных систем обработки информации в банковских и платежных системах необходимо уделять пристальное внимание обеспечению ее безопасности. Именно этой проблеме посвящена данная работа, т. к. эта проблема является сейчас наиболее актуальной и наименее исследованной. Уже давно в области обычной физической безопасности, а ровно и в классической безопасности информации, выработаны надежные методы, то в связи с частыми радикальными изменениями в компьютерных технологиях методы безопасности, автоматизированных банковских и платежных систем требуют постоянного обновления.
В работе рассматриваются особенности информационной безопасности коммерческих систем, показывается, что именно для банков (в отличие от других предприятий) информационная безопасность имеет решающее значение. Рассмотрены методы защиты платежных систем. Особое внимание уделено рассмотрению алгоритмов и методов криптографических систем.
Применены следующие сокращения в тексте:
АСОИБ – автоматизированные системы обработки информации банков;
ОЭД – обмен электронными данными;
ПСП – псевдослучайная последовательность;
ЭЦП – электронная цифровая подпись;
КС – компьютерная система.
Глава1 Система защиты информации в банковских системах.
1.1 Сущность системы защиты информации в банковских системах.
Стратегия информационной безопасности банковских и платежных систем весьма сильно отличается от аналогичных стратегий других компаний и организаций. Это обусловлено, самим специфическим характером угроз, а также фактором публичной деятельности банков, которые делают доступ к счетам максимально легким и удобным с целью привлечения и удержания клиентской базы.
И если обычная компания старается строить свою информационную безопасность, исходя лишь из узкого круга своих потенциальных угроз, а именно защитить информацию от конкурентов, то для банков все сложнее. Информация обычных компаний интересна лишь узкому кругу заинтересованных лиц и организаций и редко бывает ликвидной, т.е. обращаемой в денежную форму.
Информационная безопасность платежных систем должна учитывать следующие специфические факторы:
1. Вся хранимая и обрабатываемая в банковских системах информация представляет собой настоящие реальные деньги. Эта информация может быть использована для произведения выплат, решения о выдаче кредита, крупных переводов средств. Манипуляции с такой информацией, естественно, могут приводить к громадным убыткам. Очевиден и интерес криминального мира к ней. Эта особенность резко расширяет круг лиц, ставящих своей целью именно мошеннические действия против банков.
2. Информация в банковских и платежных системах затрагивает интересы большого количества людей и организаций — клиентов банка. Как правило, она конфиденциальна, и банк несет ответственность за обеспечение требуемой степени секретности перед своими клиентами. Утечка этой информации, ее разглашение или утеря грозит любому банку потерей его репутации, а в дальнейшем, как следствие, и потеря клиентов.
3. Конкурентоспособность банка зависит от того, насколько клиенту удобно работать с банком, а также насколько широк спектр предоставляемых услуг, включая услуги, связанные с удаленным доступом. Следовательно, каждый клиент должен иметь возможность быстро и без дополнительных процедур распоряжаться своими финансами. Именно эта желанная легкость доступа к деньгам повышает вероятность преступного проникновения в банковские системы.
4. Информационная безопасность банковской системы (в отличие от других организаций) должна обеспечивать высочайшую надежность работы компьютерных систем даже в случае непредвиденных ситуаций, так как банк несет ответственность, как за свои средства, так и за деньги клиентов.
5. Банк хранит важную информацию о своих клиентах, что расширяет круг потенциальных злоумышленников, заинтересованных в краже или порче такой информации.
Преступления в банковской сфере также имеют свои особенности:
- Многие преступления, совершенные в финансовой сфере, остаются неизвестными для широкой публики по причине нежелания руководителей банковской сферы раскрывать данную информацию, порочащую честь его организации. Этим они вполне могут перечеркнуть свою репутацию надежного партнера и потерять клиентов, а также дать сигнал новым преступникам к атаке по примеру уже случившихся преступлений.
- Как правило, злоумышленники обычно используют свои собственные счета, на которые переводятся похищенные суммы. Большинство преступников не знают, как «отмыть» украденные деньги. Это заметно облегчает поимку преступников, но также и способствует рассмотренной выше проблеме, когда факты преступлений умалчиваются.
- Большинство компьютерных преступлений ведут к достаточно мелким по банковским хищениям. Ущерб от них лежит, в основном, в интервале от 100000 до 1000000 рублей.
- Успешные компьютерные преступления, как правило, требуют большого количества банковских операций (до нескольких сотен). Однако крупные суммы могут пересылаться и всего за несколько транзакций.
- Большинство злоумышленников — сами сотрудники банков, которые дают необходимую информацию криминальным сообществам. Хотя высший персонал банка также может совершать преступления и нанести банку гораздо больший ущерб — такого рода случаи единичны.
- Многие злоумышленники объясняют свои действия тем, что они всего лишь берут в долг у банка с последующим возвратом. Впрочем, «возврата», как правило, не происходит.
Специфика защиты автоматизированных систем обработки информации банков (АСОИБ) обусловлена особенностями решаемых ими задач:
- Как правило, АСОИБ обрабатывают большой поток постоянно поступающих запросов в реальном масштабе времени, каждый из которых не требует для обработки многочисленных ресурсов, но все вместе они могут быть обработаны только высокопроизводительной системой;
- В АСОИБ хранится и обрабатывается конфиденциальная информация, не предназначенная для широкой публики. Ее подделка или утечка могут привести к серьезным (для банка или его клиентов) последствиям. Поэтому АСОИБ обречены оставаться относительно закрытыми, работать под управлением специфического программного обеспечения и уделять большое внимание обеспечению своей безопасности;
- Другой особенностью АСОИБ является повышенные требования к надежности аппаратного и программного обеспечения. В силу этого многие современные АСОИБ тяготеют к так называемой отказоустойчивой архитектуре компьютеров, позволяющей осуществлять непрерывную обработку информации даже в условиях различных сбоев и отказов.
Можно выделить два типа задач, решаемых АСОИБ:
1. Аналитические.
Сюда относятся задачи планирования, а также анализа счетов. Такие задачи не являются оперативными и, как правило, требуют для решения длительного времени. Их результаты могут оказать влияние на политику банка в отношении конкретного клиента или проекта. По этой причине подсистема, посредством которой решаются аналитические задачи, должна быть надежно изолирована от основной системы обработки информации. Практика показывает, что для решения такого рода задач не требуется больших вычислительных ресурсов, обычно приблизительно 10-20% мощности всей системы. Однако, в силу ценности результатов, их защита должна быть постоянной и надежной.
2. Повседневные.
К этому типу относятся задачи, которые решаются в повседневной деятельности, а именно выполнение платежей и корректировка счетов. Платежи и счета определяют размер и мощность основной информационной системы банка; для решения этой задачи всегда требуется значительно больше ресурсов, чем для аналитической задачи. Однако, ценность информации, обрабатываемой при решении таких задач, имеет временный характер. Например, ценность информации о проведенном когда-то платеже становиться не актуальной с течением времени. Естественно, это зависит от целого ряда факторов: суммы, времени платежа, номера счета, каких-то дополнительных характеристик. Следовательно, обычно бывает достаточным обеспечить защиту платежа непосредственно в момент его осуществления. При этом надо учесть, что защита самого процесса обработки данных и конечных результатов обработки данных должна быть постоянной.
Можно, таким образом, сделать ряд выводов об особенностях защиты информации в финансовых системах:
- Главное в защите финансовых организаций — это оперативное и максимально полное восстановление информации после непредвиденных случаев и сбоев. В основном, такая защита информации от разрушения достигается созданием резервных копий и внешним хранением, использованием средств бесперебойного электропитания и организацией резерва аппаратных средств на случай таких сбоев.
- Следующей по важности для финансовых организаций проблемой является управление доступом пользователей к хранимой и обрабатываемой банком информации. Здесь широко используются различные программные системы управления доступом, которые иногда могут заменять и антивирусные программные средства. В основном используются приобретенные программные средства управления доступом. Причем в финансовых организациях наибольшее внимание уделяют подобному управлению доступом пользователей именно в сети интернет.
- К отличиям организации защиты сетей ЭВМ в финансовых организациях можно отнести широкое использование стандартного (т.е. адаптированного, но не специально разработанного для конкретной организации) коммерческого программного обеспечения для управления доступом к сети, защита точек подключения к системе через коммутируемые линии связи. Скорее всего, это связано с большей распространенностью средств телекоммуникаций в финансовых сферах и желание защититься от вмешательства извне. Так же используются другие способы защиты, такие как применение антивирусных средств, оконечное и канальное шифрование передаваемых данных, аутентификация сообщений.
- Большое внимание в финансовых организациях уделяется физической защите помещений, в которых расположены компьютеры. Это означает, что защита ЭВМ от доступа посторонних лиц решается не только с помощью программных средств, но и организационно-технических (охрана, кодовые замки и т.д.).
Можно сделать важный вывод: защита финансовых организаций строится несколько иначе, чем обычных коммерческих и государственных организаций. Следовательно, для защиты АСОИБ нельзя применять те же самые технические и организационные решения, которые были разработаны для стандартных ситуаций. Нельзя бездумно копировать чужие системы — они разрабатывались для иных условий.
Отличительной чертой всех электронных банковских систем является особая форма обмена электронными данными - электронные платежи, без которых ни один современный банк не может существовать.