Файл: Информационные банковские системы структура и её программнотехническая реализация. Глава 2.docx
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 09.11.2023
Просмотров: 35
Скачиваний: 2
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
Глава 2. Анализ информационной банковской системы Моделью для исследования является Северный банк Сберегательного Банка РФ. Адрес: 150003, Ярославская обл., г. Ярославль, проспект Октября, д. 8 телефон (4852)407811. Основанием для исследования данного объекта, явился тот факт, что он является головным банком для нескольких областей Российской Федерации, имеет на своем техническом вооружении современное оборудование, имеет большую информационную систему связи со своими подчиненными филиалами посредством привлечения всех имеющихся, на настоящие время, форм связи. И на его примере можно рассмотреть все проблемы, означенные в данном дипломном проекте.
2.1. Описание используемой информационной системы Организационная структура исследуемого объекта состоит из следующих отделов:
1. Руководства
2. Отдела бухгалтерского учета и отчетности
3. Отдела расчета и переводов
4. Отдела вкладов
5. Коммунального отдела
6. Отдела кредитования
7. Отдела службы безопасности
8. Отдела кадров
9. Отдела ценных бумаг
10. Отдела валютного контроля
11. Валютного отдела
12. Экономического отдела
13. Юридического отдела.
14. Отдела информационных технологий
15. Инкассаторского отдела Рисунок 4 Организационная структура филиала банка Приведённая структура является схематической и не отражает истинного структурного разделения.
На основании организационной структуры также сформирована и внутренняя локальная сеть. Локальная сеть построена на использовании системы «Сервер – клиент». Это проверенная система, которая стабильно работает. Основана на применении оптико-волоконной связи с большой пропускной системой. Серверное ПО MicrosoftServer 2012 основано на применении мэйнфреймов с большим дисковым пространствоми большим количеством процессоров Xenon. В систему отдельно выделены локальные сети отделов, которые расписаны в отдельные подсети, с непересекающимися IP-адресами. Часть персональных компьютеров, работающих с конфиденциальными данными выделены в бездисковые рабочие станции. На остальных пользовательских компьютерах развернутыWindows 7SP2. Для обеспечения безопасности развернутыActiveDirectory, файервол на базе Cisco. 2.2. Описание информационной защиты Доступ к информационной банковской система развернут на основании работы ActiveDirectory. Эта система представляет собой идентификацию пользователя по его аккаунту, введенную в базу данных. При работе с аккаунтом прописываются допуски пользователя к информационным ресурсам. На пример работник отдела кадров не попадет в систему бухгалтерского учета, даже если он зайдет в систему со своим паролем. Допуск к использованию документов организован на системе LOTUS, в которой каждый документ закреплен за своим пользователем. Так же ведутся логические записи о входе-выходе пользователя системы и какими документами он пользуется. В отделах среднего звена работающих по своим направлениям, начальники отделов, имеющие право подписи выходных документов используют ключ-таблетку ля пользования своим рабочим местом. Все финансовые документы проходят через логико-параметрический контроль и подписываются цифровой подписью. Алгоритм которой меняется каждые сутки. Реализован механизм подтверждения полученных/оправленных документов посредством связи с отправителем и подтверждение ХЕШ-суммы MD.Внутри офиса действует беспроводная сеть Вай-Фай, позволяющая служащим получать на рабоие планшеты всю информацию необходимую им при работе с клиентами в отдалении от рабочих мест. Доступ к сети так же запаролен, и не имеет гостевого входа. Для контроля за копированием электронных документов, в рабочих станциях физически отключены порты USB, кроме двух – при обращении к которым посредством специально разработанной Сберегательным банком программы фиксируются копирование/передача данных с носителя. Рисунок 5 схема работы внутренней информационной сети Работа с филиальной структурой основана на применении выделенных сетей которые защищены посредством применения VPN. Обмен информацией происходит посредством её кодирования через шифроблок (криптосервер), эти блоки синхронизированы между собой и работают синхронно с выделенным ему филиалом. Для работы с удаленными пользователями и банкоматами выделены радиочастоты с плавающей частотой. Особо это построено для получения информации в реальном времени от терминалов и банкоматов. Так как вся информация о пластиковых картах хранится в центральном информационном хранилище, то происходит передача запроса о использовании пластиковой карты, подтвержденной вводом PIN-кода. Запись транзакций об операциях также происходит через выделенный радиоканал. Система работы с банкоматом основана на том, что операционная система банкомата принимает и передает считанную информацию нехраня её в своей памяти. Применение антивирусной политики основано Применение антивирусов для межсетевых экранов на сегодняшний день сводится к осуществлению фильтрации доступа в Интернет при одновременной проверке на вирусы проходящего трафика.Также защищают файл-серверы, сервера баз данных и сервера систем коллективной работы, поскольку именно они содержат наиболее важную информацию.антивирусной защите подлежат все компоненты банковской информационной системы, связанные с транспортировкой информации и/или ее хранением:
· Файл-серверы;
· Рабочие станции;
· Рабочие станции мобильных пользователей;
· Сервера резервного копирования;
· Сервера электронной почты;
Отдел информационной защиты прилагает большие усилия по отработке потенциальных угроз нарушения информационной, и проводит следующие мероприятия: · организацию режима и охраны для исключения возможности тайного проникновения на территорию и в помещения посторонних лиц; · организацию работы с сотрудниками по обучению правилам работы с конфиденциальной информацией, ознакомление с мерами ответственности за нарушение правил защиты информации; · организацию работы с документами, включая разработки и использование документов и носителей КИ, их учет, исполнение, возврат, хранение и уничтожение;
· организацию использования технических средств сбора, обработки, накопления и хранения КИ;
· регламентация разрешительной системы разграничения доступа персонала к защищаемой информации;
· организация ведения всех видов аналитической работы; · регламентация действий персонала в экстремальных ситуациях; · регламентация организационных вопросов защиты персональных компьютеров, информационных систем, локальных сетей;
· организация защиты информации – создание службы информационной безопасности или назначение ответственных сотрудников за защиту информации.
2.3. Предложения по усилению защиты информационной системы В основу построения информационной системы положен принцип создания единого информационного пространства, обеспечивающего информационную поддержку принятия решений всферах банковской информационной системы. Оперативное взаимодействие и обмен информацией между субъектами информационной системы осуществляется через Интернет с помощью технического оператора, в функции которого входит:
- сопровождение сервера центральной базы данных;
- предоставление интерфейсов доступа к данным;
- обеспечение достоверности данных и их защита при передаче, обработке и хранении.
Централизация хранения критичных для принятия решений об банковских операциях и передача их через Интернет сопряжены с угрозами сохранности и достоверности данных,что требует принятия комплекса мер по обеспечению их защиты. По используемым сетевым протоколам методы передачи данных в ИАС МЛГ ВС можноразделить на три группы: 1. Веб-приложенияпередающие данные по протоколу HTTP (англ. HyperTextTransferProtocol – "протокол передачи гипертекста").
2. Обмен данными через криптотуннель , основанный на протоколе SCP (англ. SecureCopy – "безопасное копирование"), с использованием в качестве транспортного протокола SSH (англ. SecureSHell – "безопасная оболочка").
3. Электронная почта, передаваемая по протоколу SMTP (англ. SimpleMailTransferProtocol – простой протокол передачи почты). Электронная почта, являясь наиболее доступным методом для пользователей, не владеющих информационными технологиями, имеет множество недостатков. Их можно частично компенсировать с помощью дополнительного программного обеспечения (ПО) шифрования и электронной цифровой подписи (ЭЦП), но это нецелесообразно, так как делаетпередачу данных более сложной по сравнению с использованием других методов. Шифрование Интернет – трафика Веб-приложения защищаются от перехвата и подмены трафика использованием расширения протокола HTTP, известного как HTTPS (англ. HyperTextTransferProtocolSecure –безопасный протокол передачи гипертекста). Трафик шифруется по алгоритму AES (англ.AdvancedEncryptionStandard – улучшенный стандарт шифрования) с использованием256-битного ключа. В соответствии с протоколом HTTPS, подключаясь к серверу, браузердолжен:
1) убедиться, что на запрос по доменному имени bank.ru отвечает сервер Сберегательного Банка, а не подставной сервер злоумышленников, изменивших запись на ближайшем к пользователю сервере доменных имён (DNS);
2) безопасно передать серверу случайным образом сгенерированный для текущего сеанса ключ симметричного шифрования, которым сервер сможет дешифровать передаваемыеданные. Обе задачи решаются использованием SSL-сертификата, полученного Сберегательным банком откомпании ThawteInc., имеющей статус корневого удостоверяющего центра. Этот сертификатсодержит открытый ключ сервера, которым браузер зашифровывает сеансовый ключ. Расшифровать сеансовый ключ (а с его помощью и передаваемые данные) можно только посредством парного закрытого ключа. Обмен данными через криптотуннель, автоматизирующий передачу больших объёмовданных, обеспечивает шифрование всего трафика по алгоритмам AES с 256-битным ключом,которое является неотъемлемой составляющей используемого транспортного протоколаSSH. Авторизация пользователей Авторизация пользователей представляет собой процесс проверки прав на получениеили отправку в сертификационный центр Сербанка определённой категории данных. Список прав доступа каждого пользователя хранится в базе данных. Веб-приложения авторизуют пользователей по вводимому логину и паролю. Для предотвращения подбора пароля доступ к серверу блокируется несколько минут после пятойнеудачной попытки авторизации. Авторизованный в одном приложении пользователь идентифицируется другими приложения без ввода пароля по коду сессии, передаваемому с помощью технологии так называемых "cookie". Сквозная авторизация не означает получения полного доступа ко всем приложениям. Вкаждом приложении любое обращение к данным предваряется идентификацией пользователя по коду сессии с проверкой прав доступа к конкретной категории данных, что также защищает от взлома путём подмены содержимого HTTP-запросов. В процессе авторизации вместе с логином и паролем браузер передаёт серверу номераверсий компонентов веб-приложения. Это позволяет с помощью описанного в алгоритмапредотвратить потерю данных в случае, когда разработчики меняют формат записей базыданных и обновляют код веб-приложения на сервере. Без принятия соответствующих мербраузер пользователя не сразу загружает обновлённый код, продолжая выполнять старый,сохранившийся в кэше браузера или прокси-сервера, и отправляя данные на сервер в старомнесовместимом формате. Также в процессе авторизации от браузера принимаются и сохраняются данные о версиях пользовательской операционной системы (ОС), прокси-сервера и конфигурации браузера,что упрощает локализацию проблем при оказании пользователям технической поддержки. Защита от несанкционированного доступа в обход интерфейсов Центральная база данных сбербанка, расположенная в локальной вычислительнойсети (ЛВС) имеет два рубежа защиты от несанкционированного доступа кданным из ИнтернетаВнутренний рубеж защиты образуется разделением серверов на две группы:
1. Серверы, хранящие полный набор данных (базы данных, файловый архив фотографий пономерной документации компонентов ВС). Эти серверы, обрабатывающие данные и формирующие отчётную документацию, работают на ОС MicrosoftWindows,используя такие преимущества платного ПО, как дружественный интерфейс, простота интеграции с корпоративными системами, наличие мастеров и конструкторов для быстрого решения прикладных задач.
2. Серверы Интернет-интерфейсов (веб-приложений и обмена данными через криптотуннель), включая вспомогательные файл-сервер и сервер баз данных, используемые в качестве буфера для временного хранения ограниченного набора данных.
Эта группа серверовработает под управлением ОС GNU/Linux, используя такие преимущества свободного ПО соткрытым исходным кодом, как меньшая уязвимость к сетевым атакам, высокая стабильность и очень подробное журналирование ошибок и отладочной информации, необходимоедля диагностики проблем, возникающих у удалённых пользователей. Данные между двумя группами серверов передаются исключительно посредством выполняемых по расписанию программ-репликаторов, алгоритмы которых исключают возможность попадания произвольных данных из ЦБД в доступные через Интернет-серверы. Внешний рубеж защиты создаётся маршрутизатором CiscoSystems, предоставляющимдоступ из Интернета только к рабочим портам веб- и SSH-серверов, и инспектирующим весьостальной трафик по технологии CBAC (Context-BasedAccessControl), блокируя любыевходящие сетевые пакеты, не являющиеся ответами на исходящие из ЛВС запросы. Построение отказоустойчивой системы хранения и обработки данных Классическая серверная архитектура, при которой каждый физический сервер работаетпод управлением одной ОС с установленным набором приложений, не позволяет быстровосстановить работоспособность приложений в случае отказа сервера. Даже при наличиисвободного запасного сервера установка и конфигурирование ОС и приложений потребуетнескольких часов. При этом оперативное восстановление данных не всегда возможно, например, в случае выхода из строя снятого с производства контроллера отказоустойчивогодискового массива. Для предотвращения возможных потерь данных и многочасовых простоев в предлагаетсярешить модернизировать существующую серверную инфраструктуру, исключив единую точку отказа и решив проблему быстрого переноса ОС с установленнымиприложениями с отказавшего сервера на резервный. Одним из предлагаемых производителями серверов решений является использованиеблэйд-серверов (серверов-лезвий), размещённых в общем шасси и подключенных к общейдисковой системе хранения данных, что даёт возможность резервному серверу загрузитьсяиз дискового раздела отказавшего сервера. Однако проведённый анализ показал, что такаяархитектура эффективна только при большом количестве однотипных серверов с равномерным распределением нагрузки, а в ВС построена вокруг высоконагруженного сервера баз данных, не поддающегося распараллеливанию на несколько физических серверов. Решение было найдено в виртуализации серверов, обеспечивающей одновременную работу нескольких ОС (виртуальных машин) на одном физическом сервере (хосте). Для упрощения балансировки нагрузки все виртуальные машины были размещены на двух многоядерных серверах, производительности которых достаточно для обеспечения функционирования виртуальных машин, перенесенных с отказавших хостов. Каждый физический серверснабжен парой контроллеров, подключенных одновременно к двум двухпортовым контроллерам дисковой системы хранения данных IBM DS3512. В системе хранения используются высокоскоростные накопители на жестких магнитныхдисках (НЖМД), каждый из которых оснащён двумя продублированными контроллерамиSAS (SerialAttached SCSI). НЖМД объединены в отказоустойчивые дисковые массивы: - RAID 10, обеспечивающий максимальное быстродействие, – для хранения образов виртуальных машин и баз данных; - RAID 6, обеспечивающий максимальную ёмкость при сохранении работоспособности вслучае отказе двух НЖМД, – для хранения файлового архива. В результате было реализовано полное дублирование всего аппаратного обеспечения,что, наряду с поддержкой хостами виртуализации динамической многоканальной маршрутизации дискового хранилища, гарантирует сохранение работоспособности серверного кластера при отказе любого контроллера или нарушении контакта в любом разъёме. Для оперативного устранения возможных сбоев физических серверов они были снабжены контроллерами удалённого администрирования, позволяющими диагностировать и устранять проблемы на этапе загрузки ОС. Средства дистанционного управления дисковой системой хранения данных обеспечивают переназначение доступных серверам дисковых разделов, что в случае отказа сервера позволяет оперативно перенести его виртуальные машины иданные на другой сервер без физического копирования файлов. Для предотвращения потерь данных вследствие ошибок программистов и администраторов было настроено ежедневное автоматическое резервное копирование на сетевое хранилище данных (NAS), построенное на отказоустойчивом дисковом массиве. Заключение Банки играют огромную роль в экономической жизни общества, их часто называют кровеносной системой экономики. Благодаря своей специфической роли, со времени своего появления они всегда притягивали преступников. К 90-м годам XX века банки перешли к компьютерной обработке информации, что значительно повысило производительность труда, ускорило расчеты и привело к появлению новых услуг. Однако компьютерные системы, без которых в настоящее время не может обойтись ни один банк, являются также источником совершенно новых угроз, неизвестных ранее. Большинство из них обусловлены новыми информационными технологиями и не являются специфическими исключительно для банков. Существуют однако два аспекта, выделяющих банки из круга остальных коммерческих систем:
1. Информация в банковских системах представляет собой «живые деньги», которые можно получить, передать, истратить, вложить и т.д.
2. Она затрагивает интересы большого количества организаций и отдельных лиц. Поэтому информационная безопасность банка — критически важное условие его существования.
В силу этих обстоятельств, к банковским системам предъявляются повышенные требования относительно безопасности хранения и обработки информации. Отечественные банки также не смогут избежать участи тотальной автоматизации по следующим причинам:
- усиления конкуренции между банками;
- необходимости сокращения времени на производство расчетов;
- необходимости улучшать сервис.
Рассмотренные потенциальные опасности и угрозы показывают, что информационная система очень подвержена угрозам со стороны технически грамотных людей. Только постоянное совершенствование подготовки персонала, и грамотная работа с оборудованием могут помочь в защите ценной информаци. Список используемой литературы: