Файл: Система защиты информации в банковских системах (Общая характеристика средств защиты в банковской сфере).pdf
Добавлен: 25.04.2023
Просмотров: 145
Скачиваний: 3
СОДЕРЖАНИЕ
ГЛАВА 1. Теоретические аспекты процессов защиты информации
1.1. Общая характеристика средств защиты в банковской сфере
1.2. Применение средств защиты для идентификации пользователей в банке
1.3. Применение средств защиты для аутентификации работников банке
ГЛАВА 2. Исследование процессов защиты информации в отделении банка
2.1 Разработка политики безопасности банка и структура её безопасности
Цель у преступников, как правило, одна – деньги, однако методы ее достижения постоянно совершенствуются. Поэтому, анализируя потенциальные нарушения, в первую очередь следует выделять объекты возможной атаки (системы удаленных платежей, системы расчета пластиковыми картами и т.п.). В случае удачи у преступника много шансов остаться безнаказанным.
Основой политики информационной безопасности в коммерческом банке является общая политика безопасности организации. Часто информационная безопасность рассматриваются как часть общей системы безопасности. Постоянное сравнение базовых принципов защиты организации и механизмов защиты информационной системы может привести к значительному росту ее надежности и эффективности.
С другой стороны, система информационной безопасности тесно связана с техническими проблемами, решение которых может потребовать значительных сроков и ресурсов, что может привести к экономической нецелесообразности использования рассматриваемых механизмов. В прил.1 приведена схема организации информационной безопасности.
Обеспечение информационной безопасности достигается системой мер, направленных[3]:
- на предупреждение угроз. Предупреждение угроз – это превентивные меры по обеспечению информационной безопасности в интересах упреждения возможности их возникновения;
- на выявление угроз. Выявление угроз выражается в систематическом анализе и контроле возможности появления реальных или потенциальных угроз и своевременных мерах по их предупреждению;
- на обнаружение угроз. Обнаружение имеет целью определение реальных угроз и конкретных преступных действий;
- на локализацию преступных действий и принятие мер по ликвидации угрозы или конкретных преступных действий;
- на ликвидацию последствий угроз и преступных действий и восстановление статус-кво (Рис.1).
Рисунок 1. Обеспечение информационной безопасности
Предупреждение возможных угроз и противоправных действий может быть обеспечено самыми различными мерами и средствами, начиная от создания климата глубоко осознанного отношения сотрудников к проблеме безопасности и защиты информации до создания глубокой, эшелонированной системы защиты физическими, аппаратными, программными и криптографическими средствами. Все эти способы имеют целью защитить информационные ресурсы от противоправных посягательств и обеспечить:
- предотвращение разглашения и утечки конфиденциальной информации;
- воспрещение несанкционированного доступа к источникам конфиденциальной информации;
- сохранение целостности, полноты и доступности информации;
- соблюдение конфиденциальности информации;
- обеспечение авторских прав (Рис. 2).
Рисунок 2. Цели защиты информации
1.2. Применение средств защиты для идентификации пользователей в банке
Основной концепцией обеспечения ИБ объектов является комплексный подход, который основан на интеграции различных подсистем связи, подсистем обеспечения безопасности в единую систему с общими техническими средствами, каналами связи, программным обеспечением и базами данных [16].
Комплексная безопасность предполагает обязательную непрерывность процесса обеспечения безопасности, как во времени, так и в пространстве (по всему технологическому циклу деятельности) с обязательным учетом всех возможных видов угроз (несанкционированный доступ, съем информации, терроризм, пожар, стихийные бедствия и т.д.).
В какой бы форме ни применялся комплексный подход, он связан с решением ряда сложных разноплановых частных задач в их тесной взаимосвязи. Наиболее очевидными из них являются задачи ограничения доступа к информации, технического и криптографического закрытия информации, ограничения уровней паразитных излучений технических средств, технической укрепленности объектов, охраны и оснащения их тревожной сигнализацией. Однако необходимо решение и других, не менее важных задач. Например, выведение из строя руководителей банка или ключевых работников может поставить под сомнение само существование данного банка. Этому же могут способствовать стихийные бедствия, аварии, терроризм и т.д.
Наиболее существенным является эффективность системы обеспечения ИБ объекта, выбранные банком. Эту эффективность для ПЭВМ можно оценить набором программно-аппаратных средств, применяемых в ВС. Оценка такой эффективности может быть проведена по кривой роста относительного уровня обеспечения безопасности от наращивания средств контроля доступа (Рис. 3).
Рисунок 3. Кривая роста относительного уровня обеспечения безопасности
Для гарантии того, чтобы только зарегистрированные в АС пользователи могли включить компьютер (загрузить операционную систему) и получить доступ к его ресурсам, каждый доступ к данным в защищенной АС осуществляется в три этапа: идентификация – аутентификация – авторизация [16,17].
Идентификация – присвоение субъектам и объектам доступа зарегистрированного имени, персонального идентификационного номера (PIN-кода), или идентификатора, а также сравнение (отождествление) предъявляемого идентификатора с перечнем присвоенных (имеющихся в АС) идентификаторов. Основываясь на идентификаторах, система защиты «понимает», кто из пользователей в данный момент работает на ПЭВМ или пытается включить компьютер (осуществить вход в систему). Аутентификация определяется как проверка принадлежности субъекту доступа предъявленного им идентификатора, либо как подтверждение подлинности субъекта. Во время выполнения этой процедуры АС убеждается, что пользователь, представившийся каким-либо легальным сотрудником, таковым и является. Авторизация – предоставление пользователю полномочий в соответствии с политикой безопасности, установленной в компьютерной системе. Процедуры идентификации и аутентификации в защищенной системе осуществляются посредством специальных программных (программно-аппаратных) средств, встроенных в ОС или СЗИ. Процедура идентификации производится при включении компьютера и заключается в том, что сотрудник «представляется» компьютерной системе. При этом АС может предложить сотруднику выбрать свое имя из списка зарегистрированных пользователей или правильно ввести свой идентификатор. Далее пользователь должен убедить АС в том, что он действительно тот, кем представился.
Современные программно-аппаратные средства идентификации и аутентификации по виду идентификационных признаков можно разделить на электронные, биометрические и комбинированные. В отдельную подгруппу в связи с их специфическим применением можно выделить системы одноразовых паролей, входящие в состав электронных (Рис. 4).
Рисунок 4. Классификация программно-аппаратных систем идентификации и аутентификации
В электронных системах идентификационные признаки представляются в виде кода, хранящегося в памяти идентификатора (носителя). Идентификаторы в этом случае бывают следующие:
- контактные смарт-карты;
- бесконтактные смарт-карты;
- USB-ключи (USB-token);
- iButton.
В биометрических системах идентификационными являются индивидуальные особенности человека, которые в данном случае называются биометрическими признаками. Идентификация производится за счет сравнения полученных биометрических характеристик и хранящихся в базе шаблонов. В зависимости от характеристик, которые при этом используются, биометрические системы делятся на статические и динамические.
Статическая биометрия основывается на данных (шаблонах), полученных из измерений анатомических особенностей человека (отпечатки пальцев, узор радужки глаза и т.д.).
Динамическая основывается на анализе действий человека (голос, параметры подписи, ее динамика).
В комбинированных системах используется одновременно несколько признаков, причем они могу принадлежать как системам одного класса, так и разным.
В состав электронных систем идентификации и аутентификации входят контактные и бесконтактные смарт-карты и USB-token [14].
Бесконтактные смарт-карты разделяются на идентификаторы Proximity и смарт-карты, базирующиеся на международных стандартах ISO/IEC 15693 и ISO/IEC 14443. В основе большинства устройств на базе бесконтактных смарт-карт лежит технология радиочастотной идентификации (Табл. 1).
Таблица 1.
|
Характеристика |
Proximity |
Смарт-карты |
|
|
Частота радиоканала |
ISO/IEC 14443 |
ISO/IEC 15693 |
|
|
125 кГц |
13,56 МГц |
13,56 МГц |
|
|
Дистанция чтения |
До 1 м |
До 10 см |
До 1 м |
|
Встроенные типы чипов |
Микросхема памяти, микросхема с жесткой логикой |
Микросхема памяти, микросхема с жесткой логикой, процессор |
Микросхема памяти, микросхема с жесткой логикой |
|
Функции памяти |
Только чтение |
Чтение-запись |
Чтение-запись |
|
Емкость памяти |
8–256 байт |
64 байт – 64 кбайт |
256 байт – 2 кбайт |
|
Алгоритмы шифрования и аутентификации |
Нет |
Технология MIRAGE, DES, 3DES, AES, RSA, ECC |
DES, 3DES |
|
Механизм антиколлизии |
Опционально |
Есть |
Есть |
Основными компонентами бесконтактных устройств являются чип и антенна. Идентификаторы могут быть как активными (с батареями), так и пассивными (без источника питания). Идентификаторы имеют уникальные 32/64 разрядные серийные номера.
Системы идентификации на базе Proximity криптографически не защищены, за исключением специальных заказных систем.
USB-ключи работают с USB-портом компьютера. Изготавливаются в виде брелоков. Каждый ключ имеет прошиваемый 32/64 разрядный серийный номер. USB-ключи, представленные на рынке:
- eToken R2, eToken Pro – компания Aladdin Knowledge Systems;
- iKey10xx, iKey20xx, iKey 3000 – компания Rainbow Technologies;
- ePass 1000 ePass 2000 – фирма Feitian Technologies;
- ruToken – разработка компании «Актив» и фирмы «АНКАД»;
- uaToken – компания ООО «Технотрейд» (Табл. 2).
Таблица 2.
Характеристики USB-ключей
|
Изделие |
Емкость памяти, кБ |
Разрядность серийного номера |
Алгоритмы шифрования |
|
iKey 20xx |
8/32 |
64 |
DES (ECB и CBC), DESX, 3DES, RC2, RC5, MD5, RSA-1024/2048 |
|
eToken R2 |
16/32/64 |
32 |
DESX (ключ 120 бит), MD5 |
|
eToken Pro |
16/32 |
32 |
RSA/1024, DES, 3DES, SHA-1 |
|
ePass 1000 |
8/32 |
64 |
MD5, MD5-HMAC |
|
ePass 2000 |
16/32 |
64 |
RSA, DES, 3DES, DSA, MD5, SHA-1 |
|
ruToken |
8/16/32/64/128 |
32 |
ГОСТ 28147–89, RSA, DES, 3DES, RC2, RC4, MD4, MD5, SHA-1 |
|
uaToken |
8/16/32/64/128 |
32 |
ГОСТ 28147–89 |
USB-ключи – это преемники смарт-карт, в силу этого структуры USB-ключей и смарт-карт идентичны.
Внедрение комбинированных систем существенно увеличивает количество идентификационных признаков и тем самым повышает безопасность (Прил. 2).
1.3. Применение средств защиты для аутентификации работников банке
Аутентификация в защищенных АС может осуществляться несколькими методами [14,26]: