Добавлен: 23.05.2023
Просмотров: 82
Скачиваний: 2
Во-вторых, в условиях глобализации роль информации возрастает. Она вполне обоснованно может считаться объектом и продуктом труда, одним из основных богатств страны, а также стратегическим национальным ресурсом.
Также нельзя не учесть тот факт, что между научно-техническим прогрессом и информационной безопасностью личности, общества и государства прослеживается прямо пропорциональная связь.[8]
По мере развития науки и техники возрастает роль и значение информационной безопасности.
Многие сферы жизнедеятельности человека, общества и государства трудно представить без последних достижений научно-технического прогресса, которые за последние годы проникли в них настолько, что сделали их зависимыми.
Возросшая роль информации в XXI в., который называют веком информационным, как никогда актуализирует вопрос об обеспечении информационной безопасности. Помимо организационно-технической составляющей обеспечения информационной безопасности значительную роль в этом механизме должно выполнять и право.
Благодаря развитию телекоммуникации появляются новые возможности, способствующие формированию и развитию мирового информационного общества, в котором не только различные ведомства, организации, предприятия и фирмы владеют и пользуются персональным компьютером, подключенным к трансграничным информационным сетям, но и практически каждая семья имеет в собственности это техническое устройство.[9]
Развитие техники способствует появлению новых форм, трансформации существующих видов деятельности с использованием информационных сетей: работа, развлечения, торговля, воспитание, образование и другое. В настоящее время каждый член общества имеет возможность в свободном доступе своевременно получать достоверную информацию, независимо от того, в какой точке географического пространства он находится, также сегодня представляется возможность свободное общение членов общества друг с другом, находясь в различных местностях.
В процессе коммуникации происходит установление связи между различными социальными системами. Поэтому коммуникация является главным инструментом формирования информационного общества. В свою очередь средства массовой информации и Интернет являются проводником реализации политики государства в информационной сфере. Транслируемую с их помощью информацию можно рассматривать как средство манипуляции сознанием людей. При помощи такой манипуляции нередко достигаются политические, коммерческие и другие цели.
В современном мировом сообществе одним из решающих факторов контроля над решением любых проблем является обладание информацией. Именно поэтому изречение Уинстона Черчилля «Кто владеет информацией, тот владеет миром» получило распространение в широких массах населения и является актуальным в свете становления и развития информационного общества.[10]
Обладание информацией позволяет повысить уровень развития различных сфер деятельности государства в целом и отдельно взятого предприятия в частности, что в конечном счете будет способствовать достижению значительных успехов в экономике, бизнесе и финансах. Однако, на субъектов, обладающих ценной информацией, возлагается высокая ответственность за её сохранность и защиту от возможного воздействия различных факторов и событий.
Информация может способствовать возникновению крупномасштабных аварий, разжиганию военных конфликтов, а также дезорганизации государственного управления, финансовой системы и работы научных центров.
Нормативные правовые акты, регулирующие правовые отношения, возникающие в информационной сфере, находятся в хаотичном состоянии и относятся к разным отраслям права. Исследования нормативно-правовой базы, регулирующей информационную сферу, показывают, что нередко прослеживается дублирование правовых норм, а порой и их противоречивость. Эти недостатки препятствуют правильному толкованию и применению правовых норм. В связи с этим, законодательство в информационной сфере нуждается в совершенствовании и прогрессивном развитии.
Ряд исследователей видят разрешение данной проблемы в необходимости систематизации и кодификации информационного законодательства, они объясняют это тем, что систематизация будет способствовать исключению субъективного понимания существующей нормативно-правовой базы в информационной сфере. При этом кодификация будет способствовать:
1) обеспечению единообразного, системного и обоснованного регулирования информационной сферы;
2) приближению регулирования информационных отношений в законодательстве Российской Федерации к международной практике.[11]
То есть, информация и информационные технологии определяют основные пути и направления развития общества и государства, а также коренным образом влияют на формирование человека как личности, оказывают решающее воздействие на определение его роли и места в обществе.
Таким образом, доктрина информационной безопасности выступает в качестве одного из основных элементов по обеспечению жизненно важных интересов Российской Федерации, так как угрозы национальной безопасности страны во всех сферах деятельности государства все больше осуществляются через информационную среду.
Глава 2. Разработка информационной системы безопасности банкомата
2.1 Физическая (аппаратная) структура банкомата
Рассмотрим схему прохождения информации о PIN клиента между банкоматом, банком-эквайером (которому принадлежит банкомат) и банком-эмитентом (который выпустил карту клиента) (рис. 2).
Рис. 2. Схема прохождения информации о PIN клиента между банкоматом, банком-эквайером и банком-эмитентом.
Пусть клиент Банка 2 (Эмитента) обратился к банкомату Банка 1 (Эквайера). При этом в сети банкоматов происходят следующие действия.[12]
1. Считывающее устройство банкомата считывает информацию, записанную на банковской карте, предъявленной клиентом, и затем банкомат определяет, имеет ли этот клиент счет в Банке 1 - Эквайере.[13]
2. Если клиент не имеет счета в Банке 1, транзакция направляется в сетевой маршрутизатор, который, используя идентификационный номер Банка 2 - Эмитента BIN (Bank Identification Number), направляет эту транзакцию на главный компьютер Банка 2 или производит проверку PIN для Банка 2.
3. Если проверка PIN производится на главном компьютере Банка 2, то этот компьютер получает полную информацию о транзакции и проверяет достоверность PIN.
4. Независимо от результата проверки компьютер Банка 2 пересылает сообщение с этим результатом через сетевой маршрутизатор компьютеру Банка 1.
Как следует из примера, к банку-эмитенту предъявляются следующие требования:
- выпускаемые им карты должны восприниматься всеми банкоматами сети;[14]
- банк-эмитент должен обладать технологией проверки PIN собственных клиентов.
К банку-эквайеру предъявляются другие требования:
- в банкомате или главном компьютере банка должна быть реализована проверка принадлежности транзакции;[15]
- если нет возможности проверить правильность чужого PIN, банк-эквайер должен передать данные о транзакции на сетевой маршрутизатор.
Для защиты взаимодействия компьютеров банков друг с другом и с банкоматами должно применяться оконечное (абонентское) шифрование информации, передаваемой по линиям связи. Обычно используется следующий подход: вся сеть банкоматов разбивается на зоны, и в каждой из них используется свой главный зональный управляющий ключ ZCMK (Zone Control Master Key). Ключ ZCMK предназначен для шифрования ключей при обмене между сетевым маршрутизатором и главным компьютером банка. Ключ ZCMK индивидуален для всех участников сети. Обычно он генерируется случайным образом маршрутизатором и передается неэлектронным способом в банк. Раскрытие ключа ZCMK приведет к раскрытию всех PIN, которые передаются между маршрутизатором и главным компьютером банка
Для шифрования информации, поступающей от главного компьютера банка-эмитента на маршрутизатор, используется рабочий ключ эмитента IWK (Issuer Working Key). Его сообщает главному компьютеру банка-эмитента маршрутизатор в зашифрованном на уникальном ZCMK виде. Ключ IWK может меняться по запросу пользователя в процессе работы.
Аналогичный по назначению ключ для обмена между банком-эквайером и маршрутизатором называется рабочим ключом эквайера AWK (Acquirer Working Key). Для шифрования информации при передаче от банкомата к главному компьютеру банка-эквайера используется связной ключ эквайера АСК (Acquirer Communication Key).
При рассмотрении функционирования системы защиты введены следующие обозначения:[16]
ЕY (X) - шифрование сообщения X по алгоритму DES с использованием ключа Y;
DY (X) - расшифрование сообщения X по алгоритму DES с использованием ключа Y;
PBL (PIN Block Local) - локальный блок PIN, полученный из введенного клиентом PIN, дополненного до восьми символов, и представленный во внутреннем формате банкомата;
PBN (PIN Block Network) - сетевой блок PIN, полученный из введенного клиентом PIN, дополненного до восьми символов, и представленный в виде, готовом для передачи в сети.
1. Клиент предъявил банкомату Банка 1 банковскую карту и ввел с клавиатуры свой PIN. Банкомат формирует PBL, шифрует его с использованием АСК, т.е. вычисляет криптограмму ЕАск(РВL), и отправляет ее на главный компьютер Банка 1.
2. На главном компьютере Банка 1 блок PBL расшифровывается и преобразуется в блок PBN, затем блок PBN шифруется с использованием AWK и отсылается в Сетевой маршрутизатор. Процесс преобразования
EACK (PBL) -> EAWK (PBN)
называют трансляцией блока PIN с ключа АСК на ключ AWK. Основное назначение этого процесса – смена ключа шифрования.
3. Если PIN проверяется на Сетевом маршрутизаторе, после получения криптограммы eawk(pbn) производится ее расшифрование, а затем выделение PIN с помощью преобразований
d AWK ( e awk ( pbn )) = PBN -> PIN.
Если PIN проверяется Банком 2, принятая криптограмма транслируется с ключа AWK на ключ IWK (оба ключа хранятся на Сетевом маршрутизаторе):
EAWK (PBN) -> EIWK(PBN).
Затем криптограмма EIWK(PBN) отправляется в Банк 2.
4. Поступившая в Банк 2 криптограмма EIWK(PBN) преобразуется в зависимости от используемого способа проверки либо в открытый PIN:
DIWK (EIWK (PBN)) = PBN->PIN,
либо в PIN в форме блока PBL, зашифрованного на ключе базы данных DBK:
E IWK (PBN) -> EDBK (PBL).
5. После любого из этих преобразований осуществляется поиск принятого PIN в базе данных существующих PIN.
6. В результате выполненной проверки введенный клиентом PIN либо принимается, либо отвергается. Вне зависимости от результата проверки главный компьютер Банка 2 пересылает сообщение с результатом через Сетевой маршрутизатор на компьютер Банка 1, а тот оповещает банкомат о результатах решения.[17]
Рассмотренная схема обеспечения безопасности взаимодействия компьютеров в сети базируется на симметричном алгоритме шифрования DES. Поэтому на распространение ключа ZCMK налагаются жесткие ограничения. Применение асимметричной системы шифрования с открытым ключом позволяет несколько упростить ключевую систему и соответственно взаимодействие между банкоматами и главными компьютерами банков.
В неразделяемой сети банкоматов достаточно использовать на всех банкоматах одинаковый открытый ключ, а на главном компьютере банка - закрытый ключ. Это позволяет шифровать запрос и подтверждающее сообщение из банка, так как обеспечение конфиденциальности ответного сообщения необязательно.
Проблема защиты запроса от активных атак (изменения или введения ложного запроса) может быть решена в случае неразделяемой сети использованием пароля для идентификации банкоматов.
Миллионы людей во всем мире пользуются банковскими карточками. Рост электронной коммерции, удобство оплаты без использования наличных денег, безопасность транзакций, практичность неизменно ведут к росту использования платежных карточек. По итогам на 2005 г. в РФ было выдано более 54 млн. банковских карт, и эта цифра увеличивается примерно в 1.5 раза в год.