Файл: Bezopasnost (1).doc

6. Технологии защиты информационных банковских сетей

Основные технологии защиты информационных банковских сетей:

1. Технологии защиты от вирусов.

2. Криптографическая защита.

3. Межсетевые экраны.

4. Построение виртуальных защищенных сетей.

6.1. Технологии защиты от вирусов

Классификация компьютерных вирусов

Основной и наиболее распространенной классификацией компьютерных вирусов является классификация по среде обитания:

Файловые вирусы либо внедряются в выполняемые файлы различными способами, либо создают файлы–двойники (компаньон – вирусы).

Загрузочные вирусы записывают себя либо в загрузочный сектор диска, либо в сектор, содержащий системный загрузчик винчестера.

Макровирусы Вирусы этого типа получают управление при открытии зараженного файла и инфицируют файлы, к которым впоследствии идет обращение из соответствующего офисного приложения.

Сетевые вирусы используют для своего распространения протоколы или команды компьютерных сетей и электронной почты.

Методы обнаружения вирусов

К основным методам обнаружения компьютерных вирусов можно отнести следующие:

Метод сравнения с эталоном. Маской вируса является некоторая постоянная последовательность кода, специфичная для этого конкретного вируса. Антивирусная программа последовательно просматривает (сканирует) проверяемые файлы в поиске масок известных вирусов. Антивирусные сканеры способны найти только уже известные вирусы, для которых определена маска.

Эвристический анализ. Эвристический анализатор (который является частью антивирусного ядра) содержит список таких действий и проверяет программы и загрузочные секторы дисков и дискет, пытаясь обнаружить в них код, характерный для вирусов.

Антивирусный мониторинг. Суть данного метода состоит в том, что в памяти компьютера постоянно находится антивирусная программа, осуществляющая мониторинг всех подозрительных действий, выполняемых другими программами.Антивирусный монитор сообщит пользователю, если какая–либо программа попытается выполнить потенциально опасное действие.

Метод обнаружения изменений. При реализации метода обнаружения изменений антивирусные программы, называемые ревизорами диска, запоминают предварительно характеристики всех областей диска, которые могут подвергнуться нападению, а затем периодически проверяют их. Встраивание антивирусов в BIOS компьютера. В системные платы компьютеров тоже встраивают простейшие средства защиты от вирусов. Эти средства позволяют контролировать все обращения к главной загрузочной записи жестких дисков, а также к загрузочным секторам дисков и дискет.

6.2. Современные криптографические средства защиты банковской информации

Основное предназначение криптографии – защитить или сохранить в тайне необходимую информацию.

Криптографические технологии обеспечивают четыре основных типа услуг для банковской сферы: аутентификацию (которая включает идентификацию), целостность, конфиденциальность и контроль участников взаимодействия.

Криптография преобразует сообщения в форму, недоступную для понимания противником.

Владелец информации (отправитель) осуществляет преобразование исходной открытой информации (шифрованием) в форму передаваемых получателю по открытому каналу связи шифрованных сообщений с целью ее защиты от противника. Под противником понимается любой субъект, не имеющий права ознакомления с содержанием передаваемой информации. Законный получатель информации осуществляет расшифрование полученных сообщений.

7. Проблемы криптографической защиты банковской информации

На основании анализа данных о применяемых средствах криптографической защиты можно сформулировать следующие концептуальные положения по проблеме криптографической защиты платежной системы:

1. Система межбанковских расчетов в настоящее время недостаточно оснащена сертифицированными средствами крипто защиты. Безопасность во многом осуществляется охранными и режимными мерами.

2. Существующие орг и тех меры не обеспечивают полноценную защиту от несанкционированного подключения к сетям внутрибанковского и межбанковского обмена.

3. Не решены до конца вопросы (внесение изменений, уничтожение информации и ряд других).

4. Создание системы безопасности необходимо проводить одновременно с внедрением телекоммуникационных систем и систем автоматизированной обработки банковской информации.

5. Система криптографической защиты информации не должна существенно влиять на технологию обработки банковских документов, должна допускать их автоматизированную обработку совместно с ЭЦП и не вносить значительных временных задержек в процесс обработки платежей.

7. Средства криптографической защиты должны иметь различную реализацию (программную, программно–аппаратную, аппаратную) и давать возможность пользователям выбирать наиболее приемлемую для конкретных условий.

8. Средства криптографической защиты должны быть максимально просты в эксплуатации, учитывая невысокую профессиональную подготовку операторского состава.

ПОЧИТАТЬ НА ВСЯКИЙ СЛУЧАЙ

Критерии и требования к криптографическим средствам защиты банковской информации

1. Жесткие требования системы на надежность и оперативность перевода денежных средств (платежей) между участниками расчетов. Так, в большинстве государств с развитой платежной системой существует

законодательное требование о проводке платежей в течение одного операционного дня (суток).

2. Экономическая (финансовая, материальная) ответственность Центрального банка перед коммерческими банками и коммерческих банков перед своими клиентами за нарушение сроков и правильности проводки платежей. Эта ответственность закрепляется в соответствующих Договорах и при необходимости должна регулироваться в арбитражных судах.

3. Обязательное наличие арбитров (третейских судов) для разбирательства возможных споров между участниками платежной системы и наличие механизмов разрешения таких споров.

4. Высокая подверженность платежной системы нападениям злоумышленников. При этом злоумышленниками могут являться как посторонние для платежной системы лица, так и легальные пользователи платежной системы.

5. Возможность оценить ущерб (в денежном выражении) от тех или иных угроз платежной системе и как следствие сопоставить затраты на реализацию конкретных мер защиты с возможными потерями от ее отсутствия.

6. Владельцами информации, циркулирующей в платежной системе, являются в основном коммерческие банки или их клиенты.

7. Большое количество платежных документов, обрабатываемых в платежной системе в течение суток.

8. Согласно нормативным документам ЦБ РФ сроки хранения платежных документов составляют 3 года.

9. Значительные расстояния между участниками платежной системы (протяженность страны охватывает 11 часовых поясов).

10. Большое количество участников платежной системы (корреспондентов сети).

11. Неразвитость телекоммуникационной системы страны, отсутствие качественных каналов связи со многими участниками платежной системы.

8. Функции межсетевых экранов. Проблемы безопасности межсетевых экранов

Межсетевой экран (МЭ) – это специализированный комплекс межсетевой защиты, называемый также брандмауэром или системой firewall. Межсетевой экран позволяет разделить общую сеть на две части и реализовать набор правил, определяющих условия прохождения пакетов с данными через границу из одной части общей сети в другую. Как правило, эта граница проводится между корпоративной (локальной) сетью предприятия и глобальной сетью Интернет.

Функции межсетевых экранов

Межсетевой экран, защищающий сразу множество узлов внутренней сети, призван решить две основные задачи:

– ограничение доступа внешних (по отношению к защищаемой сети) пользователей к внутренним ресурсам корпоративной сети;

– разграничение доступа пользователей защищаемой сети к внешним ресурсам.

Основываясь на описаниях, выпускаемых в настоящее время МЭ, их можно классифицировать по следующим основным признакам.

По функционированию на уровнях модели OSI:

– пакетный фильтр (экранирующий маршрутизатор);

– шлюз сеансового уровня (экранирующий транспорт);

– прикладной шлюз;

– шлюз экспертного уровня.

По используемой технологии:

– контроль состояния протокола;

– на основе модулей посредников.

По исполнению:

– аппаратно–программный;

– программный.

По схеме подключения:

– схема единой защиты сети;

– схема с защищаемым закрытым и не защищаемым открытым сегментами сети;

– схема с раздельной защитой закрытого и открытого сегментов сети.

Фильтрация трафика. Фильтрация информационных потоков состоит в их выборочном пропускании через экран, возможно, с выполнением некоторых преобразований. Фильтрация осуществляется на основе набора предварительно загруженных в экран правил, соответствующих принятой политике безопасности.

Каждый из фильтров предназначен для интерпретации отдельных правил фильтрации путем выполнения следующих действий:

1. Анализ информации по заданным в интерпретируемых правилах критериям, например, по адресам получателя и отправителя или по типу приложения, для которого эта информация предназначена.

2. Принятие на основе интерпретируемых правил одного из следующих решений:

– не пропустить данные;

– обработать данные от имени получателя и возвратить результат отправителю;

– передать данные на следующий фильтр для продолжения анализа;

– пропустить данные, игнорируя следующие фильтры.

Правила фильтрации могут задавать и дополнительные действия, которые относятся к функциям посредничества, например, преобразование данных, регистрацию событий и др. Соответственно, правила фильтрации определяют перечень условий, по которым осуществляется:

– разрешение или запрещение дальнейшей передачи данных;

– выполнение дополнительных защитных функций.

Выполнение функций посредничества. Функции посредничества firewall выполняет с помощью специальных программ, называемых экранирующими агентами или программами–посредниками. Данные программы являются резидентными и запрещают непосредственную передачу пакетов сообщений между внешней и внутренней сетью.

Проблемы безопасности межсетевых экранов

Возможное ограничение пропускной способности. Традиционные межсетевые экраны являются потенциально узким местом сети, так как все соединения должны проходить через межсетевой экран и, в некоторых случаях, изучаться межсетевым экраном. Отсутствие встроенных механизмов защиты от вирусов. Традиционные firewalls не могут защитить от пользователей, загружающих зараженные вирусами программы для компьютера из архивов Интернет или при передаче таких программ в качестве приложений к письму. Поскольку эти программы могут быть зашифрованы или сжаты большим числом способов, firewall не может их сканировать на предмет обнаружения сигнатур вирусов. Межсетевой экран, как любое другое средство, не может защитить от ошибок и некомпетентности администраторов и пользователей. При настройке МЭ следует помнить, что несанкционированные проникновения в защищенные сети могут произойти, например, по причине неудачного выбора легко угадываемого пароля. Традиционные МЭ являются, по существу, средствами, только блокирующими атаки.

9. Построение виртуальных защищенных сетей (VPN)

Для эффективного противодействия сетевым атакам и обеспечения возможности активного и безопасного использования в бизнесе открытых сетей в начале 1990–х годов родилась и активно развивается идея построения виртуальных частных сетей – VPN (Virtual Private Network).

Фундаментом VPN на основе Интернет являются две основных технологии. Во–первых, это туннелирование, позволяющее создавать виртуальные каналы; во–вторых, это различные методы обеспечения конфиденциальности и целостности передаваемой информации. VPN–технология четко ассоциируется с криптографическими средствами защиты информации (СЗИ).

Концепция построения виртуальных защищенных сетей VPN

В основе концепции построения виртуальных сетей VPN лежит достаточно простая идея: если в глобальной сети имеются два узла, которым нужно обменяться информацией, тогда между этими двумя узлами необходимо построить виртуальный защищенный туннель для обеспечения конфиденциальности и целостности информации, передаваемой через открытые сети. Доступ к этому виртуальному туннелю должен быть чрезвычайно затруднен всем возможным активным и пассивным внешним наблюдателям.

Преимущества, получаемые компанией от создания таких виртуальных туннелей, заключаются, прежде всего, в значительной экономии финансовых средств, поскольку в этом случае компания может отказаться от построения или аренды дорогих выделенных каналов связи для создания собственных