Добавлен: 23.05.2023
Просмотров: 93
Скачиваний: 2
Необходимость защиты транзакций POS-терминалов и банкоматов продиктована, прежде всего, требованиями компаний платежных систем (Visa, MasterCard, American Express и пр.), а также многочисленными нормативными актами по конфиденциальности и защите информации.
Производители банковского оборудования – POS-терминалов и банкоматов – активно продвигают на рынок модели оборудования, способные подключаться к локальным сетям, а также сетям GPRS, Bluetooth и пр.
Подключение POS-терминала или банкомата к локальной сети заставляет обеспечить не только своевременную и надежную обработку транзакции, но и ее конфиденциальность. Большинство нового оборудования поддерживает стандарт SSL (Secure Sockets Layer), что позволяет шифровать конфиденциальную информацию между POS-терминалом или банкоматом, и системой, обрабатывающей транзакции (HOST). Очевидной также становится более низкая стоимость подключения большого числа банкоматов или POS-терминалов к локальной сети клиентов (филиалов, торговых точек), по сравнению со стоимостью выделенных телефонных линий, модемных пулов и соответствующего оборудования. Архитектура SSL является общепризнанным стандартом безопасности и позволяет заказчику использовать наилучшие решения от разных производителей[18].
Компания Radware, совместно с партнерами-производителями оборудования POSтерминалов, а также с ведущими интеграторами в этой области, предлагает эффективное и экономичное решение для обеспечения безопасности транзакций.
Решение предлагается с использованием платформы ускорения транзакций Radware AppXcel.
Для проведения онлайновой транзакции, терминал открывает TCP-соединение через локальную сеть (возможны варианты внедрения GPRS, Bluetooth и пр.) на устройство AppXcel. Далее терминал устанавливает SSL-сессию и посылает зашифрованные данные транзакции. Radware AppXcel открывает TCP-соединение на хост и посылает расшифрованные данные, а также шифрует и отправляет на терминал ответы хоста.[19]
Рис. 3 Установка с использованием резервного устройства AppXcel для обеспечения отказоустойчивости
Рис.4. Установка с использованием резервного устройства AppXcel для обеспечения отказоустойчивости
В данном варианте установки в POS-терминалах и банкоматах устанавливаются учетные записи двух хостов. При отказе одного из них, банкомат или терминал самостоятельно направляют запрос на резервный хост, что позволяет достичь высокого уровня отказоустойчивости.
Высокопроизводительное решение, с возможностью масштабирования и обеспечением отказоустойчивости всех компонентов.[20]
При высоком уровне транзакций возможна установка балансировщика нагрузки Radware AppDirector для обеспечения равномерного распределения транзакций, мониторинга состояния сетевых элементов, масштабирования и отказоустойчивости. При необходимости увеличения масштабов обработки транзакций требуется лишь подключить дополнительные устройства AppXcel, не меняя архитектуры решения. Отказоустойчивость решения обеспечена резервированием балансировщика нагрузки AppDirector и устройств AppXcel.
Рис.5. Установка с использованием резервного устройства AppXcel с балансировщиком нагрузки Radware AppDirector
2.3 Выбор показателей, способов оценки и оценка эффективности принятых проектных решений
Функция AppXcel |
Выгоды IT |
Преимущества APSolute |
Бизнес-выгоды |
Бизнес - выгоды |
• Консолидация или снижение операционных и эксплутационных затрат на 40% • Обеспечение непрерывности служб SSL и выполнения транзакций |
• До 16,000 транзакций в секунду и 150,000 одновременных соединений • Кластеризация (соединение и интеграция нескольких серверов с целью обеспечения высокого коэффициента готовности и масштабируемости системы) для резервирования и масштабируемая работа с более чем 35,000 терминалами. • Поддерживаемые алгоритмы: DES, 3DES, DH, DSS, MD5, RC2,RC4, RSA,SHA-1 • Поддерживаемые протоколы: SSLv2, SSLv3, TLS, FTPS, SMTPS, POP3S, IMAPS, LDAPS, SIP/TLS. • Шифрование: до 168 бит • Длина ключа: 512-20468 бит • Поддержка всех коммерческих web-серверов • Поддержка шифрования на выходном буфере |
• Снижение информационно - технологических затрат: – Большая производительность меньшего количества серверов – Облегченное управление безопасностью информации и SSL • Увеличение продуктивности при ускорении работы бизнес-приложений. |
Централизованное управление приложениями и SSL |
• Централизованное управление и ключевая защита от копирования: снижает сложность и стоимость управления инфраструктурой SSLсерверов. • Снижение эксплуатационных затрат при установке и управлении сертификатами на каждом сервере. • Упрощение обслуживания и диагностики. • Снижение стоимости внедрения федерального стандарта обработки информации до 50% • Централизованный мониторинг работы SSL • Полная отчетность при любых изменениях конфигурации. |
• APSolute Insite – сетевая конфигурация на основе пользовательского графического интерфейса, консоль мониторинга и управления • Протокол SNMP v1, v2, v3 • Также поддерживает: -Безопасное внутриполосное Web-управление и интерфейс командной строки (Telnet или SSH) -Внеполосный интерфейс командной строки RS-232 • Поддержка отчетов по каналам SNMP, системные записи и электронные сообщения • Плагин (подключаемая программа) HP OpenView • Многоаппаратная передача полномочий в сети • Подтверждено FIPS 140-2 3 уровень • Управление до 1000 клиентских сертификатов: - через CRL, CDP, OCSP - передача информации на сервер базы данных по протоколу, отличному от SSL |
Одним из ведущих продуктов защиты банкоматов является Safe'n'Sec TPSecure. Защита банкоматов с помощью Safe'n'Sec TPSecure осуществляется в соответствии с политиками контроля активности приложений. Продукт контролирует каждое действие в процессе работы системы, блокирует все подозрительные действия и разрешает исполняться только доверенным процессам из так называемого «белого» списка (списка доверенных процессов). Именно такой подход, пожалуй, наиболее эффективен для обеспечения защиты банкоматов и POS-терминалов, так как набор активных процессов в них очень стабилен. При установленном Safe'n'Sec TPSecure запуск неопознанных приложений невозможен до тех пор, пока пользователь с соответствующими правами не укажет степень доверия к этому приложению.[21]
На самом деле Safe'n'Sec TPSecure - это не просто блокирование по белым спискам. Он основан на технологии V.I.P.O. (Valid Inside Permitted Operations), которая объединяет в себе адаптивное профилирование, выполнение приложений в защищенной среде (sandbox - «песочница») и подсистему поведенческого анализа.
Рис.6.Уровни защиты Safe’n’Sec
Технология V.I.P.O. основана на перехвате вызовов системных функций на уровне ядра операционной системы (Ring 0) и загружается раньше всех остальных приложений. Она позволяет идентифицировать, анализировать и, при необходимости, блокировать доступ к файловой системе, объектам системного реестра, к запуску приложений и к другим операциям, способным воздействовать на целостность защищаемых приложений. Таким образом, технология V.I.P.O. создает защиту ядра операционной системы для предотвращения запуска любого нежелательного кода.[22]
После установки Safe'n'Sec TPSecure и его первоначальной настройки оперативное администрирование больше не потребуется, так как решение не нуждается в постоянном обновлении. Safe'n'Sec TPSecure будет полностью автоматически блокировать все несанкционированные действия, поскольку для восстановления оборудования и возобновления его работы не потребуется перезагрузка системы.
Выполнения несанкционированного кода, пытающегося внедриться в операционную систему, предотвращается при помощи изолированной виртуальной среды - «песочницы». В ней код может выполняться безопасно для вычислительной системы, не воздействуя на другие ее части. На практике это означает, что вредоносная программа не может получить доступ к операционной системе, разрешенным приложениям или буферу обмена данными для внедрения перехватчиков, клавиатурных шпионов и других нежелательных программ. Это также означает невозможность изменить код и данные, принадлежащие другим процессам, а также несанкционированно модифицировать исполняемые файлы.[23]
2.5 Функциональные возможности Safe'n'Sec TPSecure
Блокировка любой возможности несанкционированного подключения и внедрения всякого рода ПО со стороны обслуживающего банкоматы персонала.
Защита доступа к критически важным данным (владельцы карт, PIN-коды, пароли).
Контроль всех событий в сети, событий в банкоматах и генерирует консолидированный аналитический отчет с широкими возможностями фильтрации с целью ретроспективного анализа и расследования конкретного инцидента вторжения вредоносного кода.
Мобильная консоль централизованного управления (позволяет существенно снизить временные затраты на развертывание системы безопасности).
Автономная работы (без связи с сервером управления).
Важно отметить, что настройка Safe'n'Sec TPSecure осуществляется специалистами S.N. Safe&Software под запросы и нужды конкретного заказчика. При этом общая стоимость владения комплексным продуктом остается для клиентов на уровне стандартных продуктов.
Заключение
В связи с возрастанием роли информации XXI в. называют веком информационным. В условиях информатизации общества в качестве одной из основных задач выделяют правовое регулирование информационной безопасности.
Состав угроз информационной безопасности всегда играла в жизни человека очень большую роль, но с середины 20-го века в результате социального прогресса и прорыва в развитии науки и техники роль информации неизмеримо возросла. Теперь, с усовершенствованием информационных технологий, можно совершить ту или иную платежную операцию в любом месте города, страны, так как в современном обществе банкоматы находятся в каждом магазине, торговых зданиях, учреждениях, организациях и даже офисах.
В данной курсовой работе меры защиты информации при платежных операциях осуществлялись через переход от закрытых систем обработки транзакций к открытым системам. Это позволит клиенту с легкостью найти нужную ему информацию по платежным операциям. А также вся установка и эксплуатация этой системы обходится с минимальными расходами. Усовершенствование транзакций для автоматических терминалов смогут защитить банкоматы от известных и неизвестных угроз.
Список использованной литературы
Нормативные правовые акты
- Об утверждении государственной программы Российской Федерации «Информационное общество (2011 - 2020 годы)»: постановление Правительства Российской Федерации от 15.04.2014 № 313: офиц. текст по состоянию на 21.02.2015 // Собрание законодательства Российской Федерации. – 05.05.2014. – № 18 (часть II). – Ст. 2159.
Монографии и учебные пособия
2.Бодров, О.А. Предметно-ориентированные экономические информационные системы: Учебник для вузов / О.А. Бодров. - М.: Гор. линия-Телеком, 2013. - 244 c.
3. Варфоломеева, А.О. Информационные системы предприятия: Учебное пособие / А.О. Варфоломеева, А.В. Коряковский, В.П. Романов. - М.: НИЦ ИНФРА-М, 2013. - 283 c.
4.Вдовин, В.М. Предметно-ориентированные экономические информационные системы: Учебное пособие / В.М. Вдовин. - М.: Дашков и К, 2013. - 388 c.
5. Демьянец М. В. Предпринимательская деятельность в сети Интернет: Монография / М. В. Демьянец, В. М. Елин, А. К. Жарова. – М. : ЮРКОМПАНИ. – 2014. – 440 с.
6. Жеребин В. М. Социальные аспекты информатизации: Монография / В. М. Жеребин. – М. : Экономическое образование. – 2013. – 212 с.
7. Жигулин Г. П. Организационное и правовое обеспечение информационной безопасности / Г. П. Жигулин. – СПб. : СПбНИУИТМО. – 2014. – 173 с.
8. Санжаревский И. И. Политическая наука: словарь-справочник. Изд. 6-е, испр. и доп. / И. И. Санжаревский. – Тамбов. – 2014. – 750 с.
9. Снетков В. Н. Власть в обществе и информационная политика / В. Н. Снетков, А. В. Пономаренко. – СПб. : Изд-во СПбГПУ. – 2001. – 247 с.
10.Мезенцев, К.Н. Автоматизированные информационные системы: Учебник для студентов учреждений среднего профессионального образования / К.Н. Мезенцев. - М.: ИЦ Академия, 2013. - 176 c.
11.Терещенко Л. К. Модернизация информационных отношений и информационного законодательства: Монография / Л. К. Терещенко. – М. : ИНФРА-М. – 2013. – 227 с.
12.Уткин, В.Б. Информационные системы в экономике: Учебник для студентов высших учебных заведений / В.Б. Уткин, К.В. Балдин. - М.: ИЦ Академия, 2012. - 288 c.
Научные статьи
13. Вербицкая Т. Суды о национальной безопасности / Т. Вербицкая // ЭЖ-Юрист. – 2014. – № 13. – С. 1-6.
14. Емелькина И. В. Основные характеристики российского менталитета в условиях информационного общества / И. В. Емелькина // Информационное право. – 2011. – № 1. – С. 27-29.
15.Мигачев Ю. И. Правовые основы национальной безопасности (административные и информационные аспекты) / Ю. И. Мигачев, Н. А. Молчанов // Административное право и процесс. – 2014. – № 1. – С. 46-49.
16.Михайлёнок О. М. Политические аспекты информационной безопасности личности / О. М. Михайлёнок // Власть. – 2010. – № 12. – С. 64-70.
17.Номоконов В. А. Киберпреступность как новая криминальная угроза / В. А. Номоконов, Т. Л. Тропина // Криминология: вчера, сегодня, завтра. – 2012. – № 24. – С. 45-55.
18.Попов В. В. Информация как фактор воздействия на политическую жизнь общества (социокультурный аспект) / В. В. Попов // Вопросы безопасности. – 2014. – № 6. – С. 68-97.