Файл: Виды и состав информационной безопасности.pdf

ВУЗ: Не указан

Категория: Курсовая работа

Дисциплина: Не указана

Добавлен: 23.05.2023

Просмотров: 93

Скачиваний: 2

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.

Необходимость защиты транзакций POS-терминалов и банкоматов продиктована, прежде всего, требованиями компаний платежных систем (Visa, MasterCard, American Express и пр.), а также многочисленными нормативными актами по конфиденциальности и защите информации.

Производители банковского оборудования – POS-терминалов и банкоматов – активно продвигают на рынок модели оборудования, способные подключаться к локальным сетям, а также сетям GPRS, Bluetooth и пр.

Подключение POS-терминала или банкомата к локальной сети заставляет обеспечить не только своевременную и надежную обработку транзакции, но и ее конфиденциальность. Большинство нового оборудования поддерживает стандарт SSL (Secure Sockets Layer), что позволяет шифровать конфиденциальную информацию между POS-терминалом или банкоматом, и системой, обрабатывающей транзакции (HOST). Очевидной также становится более низкая стоимость подключения большого числа банкоматов или POS-терминалов к локальной сети клиентов (филиалов, торговых точек), по сравнению со стоимостью выделенных телефонных линий, модемных пулов и соответствующего оборудования. Архитектура SSL является общепризнанным стандартом безопасности и позволяет заказчику использовать наилучшие решения от разных производителей[18].

Компания Radware, совместно с партнерами-производителями оборудования POS­терминалов, а также с ведущими интеграторами в этой области, предлагает эффективное и экономичное решение для обеспечения безопасности транзакций.

Решение предлагается с использованием платформы ускорения транзакций Radware AppXcel.

Для проведения онлайновой транзакции, терминал открывает TCP-соединение через локальную сеть (возможны варианты внедрения GPRS, Bluetooth и пр.) на устройство AppXcel. Далее терминал устанавливает SSL-сессию и посылает зашифрованные данные транзакции. Radware AppXcel открывает TCP-соединение на хост и посылает расшифрованные данные, а также шифрует и отправляет на терминал ответы хоста.[19]

Рис. 3 Установка с использованием резервного устройства AppXcel для обеспечения отказоустойчивости

Рис.4. Установка с использованием резервного устройства AppXcel для обеспечения отказоустойчивости

В данном варианте установки в POS-терминалах и банкоматах устанавливаются учетные записи двух хостов. При отказе одного из них, банкомат или терминал самостоятельно направляют запрос на резервный хост, что позволяет достичь высокого уровня отказоустойчивости.


Высокопроизводительное решение, с возможностью масштабирования и обеспечением отказоустойчивости всех компонентов.[20]

При высоком уровне транзакций возможна установка балансировщика нагрузки Radware AppDirector для обеспечения равномерного распределения транзакций, мониторинга состояния сетевых элементов, масштабирования и отказоустойчивости. При необходимости увеличения масштабов обработки транзакций требуется лишь подключить дополнительные устройства AppXcel, не меняя архитектуры решения. Отказоустойчивость решения обеспечена резервированием балансировщика нагрузки AppDirector и устройств AppXcel.

Рис.5. Установка с использованием резервного устройства AppXcel с балансировщиком нагрузки Radware AppDirector

2.3 Выбор показателей, способов оценки и оценка эффективности принятых проектных решений

Функция AppXcel

Выгоды IT

Преимущества APSolute

Бизнес-выгоды

Бизнес - выгоды

• Консолидация или снижение операционных и эксплутационных затрат на 40%

• Обеспечение непрерывности служб SSL и выполнения транзакций

• До 16,000 транзакций в секунду и 150,000 одновременных соединений

• Кластеризация (соединение и интеграция нескольких серверов с целью обеспечения высокого коэффициента готовности и масштабируемости системы) для резервирования и масштабируемая работа с более чем 35,000 терминалами.

• Поддерживаемые алгоритмы: DES, 3DES, DH, DSS, MD5, RC2,RC4, RSA,SHA-1

• Поддерживаемые протоколы: SSLv2, SSLv3, TLS, FTPS, SMTPS, POP3S, IMAPS, LDAPS, SIP/TLS.

• Шифрование: до 168 бит

• Длина ключа: 512-20468 бит

• Поддержка всех коммерческих web-серверов

• Поддержка шифрования на выходном буфере

• Снижение информационно - технологических затрат:

– Большая производительность меньшего количества серверов

– Облегченное управление безопасностью информации и SSL

• Увеличение продуктивности при ускорении работы бизнес-приложений.

Централизованное управление приложениями и SSL

• Централизованное управление и ключевая защита от копирования: снижает сложность и стоимость управления инфраструктурой SSLсерверов.

• Снижение эксплуатационных затрат при установке и управлении сертификатами на каждом сервере.

• Упрощение обслуживания и диагностики.

• Снижение стоимости внедрения федерального стандарта обработки информации до 50%

• Централизованный мониторинг работы SSL

• Полная отчетность при любых изменениях конфигурации.

• APSolute Insite – сетевая конфигурация на основе пользовательского графического интерфейса, консоль мониторинга и управления

• Протокол SNMP v1, v2, v3

• Также поддерживает: -Безопасное внутриполосное Web-управление и интерфейс командной строки (Telnet или SSH) -Внеполосный интерфейс командной строки RS-232

• Поддержка отчетов по каналам SNMP, системные записи и электронные сообщения

• Плагин (подключаемая программа) HP OpenView

• Многоаппаратная передача полномочий в сети

• Подтверждено FIPS 140-2 3 уровень

• Управление до 1000 клиентских сертификатов:

- через CRL, CDP, OCSP

- передача информации на сервер базы данных по протоколу, отличному от SSL


2.4 Меры защиты банкоматов

Одним из ведущих продуктов защиты банкоматов является Safe'n'Sec TPSecure. Защита банкоматов с помощью Safe'n'Sec TPSecure осуществляется в соответствии с политиками контроля активности приложений. Продукт контролирует каждое действие в процессе работы системы, блокирует все подозрительные действия и разрешает исполняться только доверенным процессам из так называемого «белого» списка (списка доверенных процессов). Именно такой подход, пожалуй, наиболее эффективен для обеспечения защиты банкоматов и POS-терминалов, так как набор активных процессов в них очень стабилен. При установленном Safe'n'Sec TPSecure запуск неопознанных приложений невозможен до тех пор, пока пользователь с соответствующими правами не укажет степень доверия к этому приложению.[21]

На самом деле Safe'n'Sec TPSecure - это не просто блокирование по белым спискам. Он основан на технологии V.I.P.O. (Valid Inside Permitted Operations), которая объединяет в себе адаптивное профилирование, выполнение приложений в защищенной среде (sandbox - «песочница») и подсистему поведенческого анализа.

Рис.6.Уровни защиты Safe’n’Sec

Технология V.I.P.O. основана на перехвате вызовов системных функций на уровне ядра операционной системы (Ring 0) и загружается раньше всех остальных приложений. Она позволяет идентифицировать, анализировать и, при необходимости, блокировать доступ к файловой системе, объектам системного реестра, к запуску приложений и к другим операциям, способным воздействовать на целостность защищаемых приложений. Таким образом, технология V.I.P.O. создает защиту ядра операционной системы для предотвращения запуска любого нежелательного кода.[22]

После установки Safe'n'Sec TPSecure и его первоначальной настройки оперативное администрирование больше не потребуется, так как решение не нуждается в постоянном обновлении. Safe'n'Sec TPSecure будет полностью автоматически блокировать все несанкционированные действия, поскольку для восстановления оборудования и возобновления его работы не потребуется перезагрузка системы.

Выполнения несанкционированного кода, пытающегося внедриться в операционную систему, предотвращается при помощи изолированной виртуальной среды - «песочницы». В ней код может выполняться безопасно для вычислительной системы, не воздействуя на другие ее части. На практике это означает, что вредоносная программа не может получить доступ к операционной системе, разрешенным приложениям или буферу обмена данными для внедрения перехватчиков, клавиатурных шпионов и других нежелательных программ. Это также означает невозможность изменить код и данные, принадлежащие другим процессам, а также несанкционированно модифицировать исполняемые файлы.[23]


2.5 Функциональные возможности Safe'n'Sec TPSecure

Блокировка любой возможности несанкционированного подключения и внедрения всякого рода ПО со стороны обслуживающего банкоматы персонала.

Защита доступа к критически важным данным (владельцы карт, PIN-коды, пароли).

Контроль всех событий в сети, событий в банкоматах и генерирует консолидированный аналитический отчет с широкими возможностями фильтрации с целью ретроспективного анализа и расследования конкретного инцидента вторжения вредоносного кода.

Мобильная консоль централизованного управления (позволяет существенно снизить временные затраты на развертывание системы безопасности).

Автономная работы (без связи с сервером управления).

Важно отметить, что настройка Safe'n'Sec TPSecure осуществляется специалистами S.N. Safe&Software под запросы и нужды конкретного заказчика. При этом общая стоимость владения комплексным продуктом остается для клиентов на уровне стандартных продуктов.

Заключение

В связи с возрастанием роли информации XXI в. называют веком информационным. В условиях информатизации общества в качестве одной из основных задач выделяют правовое регулирование информационной безопасности.

Состав угроз информационной безопасности всегда играла в жизни человека очень большую роль, но с середины 20-го века в результате социального прогресса и прорыва в развитии науки и техники роль информации неизмеримо возросла. Теперь, с усовершенствованием информационных технологий, можно совершить ту или иную платежную операцию в любом месте города, страны, так как в современном обществе банкоматы находятся в каждом магазине, торговых зданиях, учреждениях, организациях и даже офисах.

В данной курсовой работе меры защиты информации при платежных операциях осуществлялись через переход от закрытых систем обработки транзакций к открытым системам. Это позволит клиенту с легкостью найти нужную ему информацию по платежным операциям. А также вся установка и эксплуатация этой системы обходится с минимальными расходами. Усовершенствование транзакций для автоматических терминалов смогут защитить банкоматы от известных и неизвестных угроз.

Список использованной литературы

Нормативные правовые акты

  1. Об утверждении государственной программы Российской Федерации «Информационное общество (2011 - 2020 годы)»: постановление Правительства Российской Федерации от 15.04.2014 № 313: офиц. текст по состоянию на 21.02.2015 // Собрание законодательства Российской Федерации. – 05.05.2014. – № 18 (часть II). – Ст. 2159.

Монографии и учебные пособия

2.Бодров, О.А. Предметно-ориентированные экономические информационные системы: Учебник для вузов / О.А. Бодров. - М.: Гор. линия-Телеком, 2013. - 244 c.

3. Варфоломеева, А.О. Информационные системы предприятия: Учебное пособие / А.О. Варфоломеева, А.В. Коряковский, В.П. Романов. - М.: НИЦ ИНФРА-М, 2013. - 283 c.

4.Вдовин, В.М. Предметно-ориентированные экономические информационные системы: Учебное пособие / В.М. Вдовин. - М.: Дашков и К, 2013. - 388 c.

5. Демьянец М. В. Предпринимательская деятельность в сети Интернет: Монография / М. В. Демьянец, В. М. Елин, А. К. Жарова. – М. : ЮРКОМПАНИ. – 2014. – 440 с.

6. Жеребин В. М. Социальные аспекты информатизации: Монография / В. М. Жеребин. – М. : Экономическое образование. – 2013. – 212 с.

7. Жигулин Г. П. Организационное и правовое обеспечение информационной безопасности / Г. П. Жигулин. – СПб. : СПбНИУИТМО. – 2014. – 173 с.

8. Санжаревский И. И. Политическая наука: словарь-справочник. Изд. 6-е, испр. и доп. / И. И. Санжаревский. – Тамбов. – 2014. – 750 с.

9. Снетков В. Н. Власть в обществе и информационная политика / В. Н. Снетков, А. В. Пономаренко. – СПб. : Изд-во СПбГПУ. – 2001. – 247 с.

10.Мезенцев, К.Н. Автоматизированные информационные системы: Учебник для студентов учреждений среднего профессионального образования / К.Н. Мезенцев. - М.: ИЦ Академия, 2013. - 176 c.

11.Терещенко Л. К. Модернизация информационных отношений и информационного законодательства: Монография / Л. К. Терещенко. – М. : ИНФРА-М. – 2013. – 227 с.

12.Уткин, В.Б. Информационные системы в экономике: Учебник для студентов высших учебных заведений / В.Б. Уткин, К.В. Балдин. - М.: ИЦ Академия, 2012. - 288 c.

Научные статьи

13. Вербицкая Т. Суды о национальной безопасности / Т. Вербицкая // ЭЖ-Юрист. – 2014. – № 13. – С. 1-6.

14. Емелькина И. В. Основные характеристики российского менталитета в условиях информационного общества / И. В. Емелькина // Информационное право. – 2011. – № 1. – С. 27-29.

15.Мигачев Ю. И. Правовые основы национальной безопасности (административные и информационные аспекты) / Ю. И. Мигачев, Н. А. Молчанов // Административное право и процесс. – 2014. – № 1. – С. 46-49.

16.Михайлёнок О. М. Политические аспекты информационной безопасности личности / О. М. Михайлёнок // Власть. – 2010. – № 12. – С. 64-70.

17.Номоконов В. А. Киберпреступность как новая криминальная угроза / В. А. Номоконов, Т. Л. Тропина // Криминология: вчера, сегодня, завтра. – 2012. – № 24. – С. 45-55.

18.Попов В. В. Информация как фактор воздействия на политическую жизнь общества (социокультурный аспект) / В. В. Попов // Вопросы безопасности. – 2014. – № 6. – С. 68-97.