Атаки через Интернет и способы повышения защищённости

На сегодняшний день АБС является мощным инструментом управления бизнесом и, как правило, реализует следующий спектр функций, связанных с обменом информацией через глобальные компьютерные сети:

· операции на фондовом рынке, работа банка с ценными бумагами;

· розничные банковские услуги;

· дистанционное банковское обслуживание;

· электронные банковские услуги;

· расчетный центр и платежная система (карточные продукты);

· интеграция бэк-офиса банка с его внешними операциями;

· управление деятельностью банка, реализация бизнес-логики, контроль, учет, в том числе налоговый, и отчетность;

· управление рисками и стратегическое планирование;

· программы лояльности клиентов, маркетинговая, рекламная и PR-службы.

Перечисленные функции АБС реализуются посредством следующих технологий (уже одно их перечисление позволяет понять, сколь много потенциально слабых мест может иметь система безопасности АБС):

· системы управления базами данных (в т.ч. распределенных);

· хранилища данных, OLAP- и OLTP-технологии обработки данных (системы оперативной аналитической обработки и системы оперативной обработки транзакций);

· системы поиска, извлечения и подготовки достоверных данных;

· распределенная вычислительная система, организация коллективной работы пользователей, создание реального информационного пространства банка, включая филиалы, клиентов и партнеров;

· организация безопасной, достоверной передачи данных по общедоступным каналам связи (криптография: шифрование и электронная цифровая подпись (ЭЦП), организационные меры), электронный документооборот;

· информационная аналитика и системы поддержки принятия решений (decision support systems, DSS);

· системы удаленной работы с фондовыми рынками и программы предсказания поведения курсов;

· программы реализации взаимодействия с клиентами;

· системы поддержки внутренней организации, менеджмента и исполнительной деятельности персонала;

· антивирусная защита;

· интернет-магазины и интернет-карточки;

· центры обработки вызовов (call-центры) и IP-телефония;

· поддержка различных каналов доступа: Интернет, телефон, мобильная сеть, SMS, WAP и др.;

· поддержка множественных стандартов учета, включая управленческий учет;

· поддержка и исследования в области планомерного информационного развития АБС.

Среди первоочередных эксплутационных требований, предъявляемых АБС, в первую очередь хотелось бы выделить надежность и безопасность. Сбой программного обеспечения или злоумышленное вторжение в территориально-распределенную банковскую информационную систему могут иметь очень печальные последствия, характеризуемые количественно (величиной ущерба) или качественно (падением имиджа, срывом переговоров и т. п.).

Многочисленные попытки взломов и успешные нападения на банковские вычислительные структуры и порталы остро ставят проблему обеспечения информационной безопасности.

Среди компонентов, образующих АБС, выделим следующие, реализуемые путем использования общедоступных сетей:

· банк - клиент;

· Интернет - клиент;

· офис - удаленный менеджер;

· головной офис - региональные офисы/отделения;

· интернет-трейдинг.

Доступ во всех перечисленных случаях осуществляется через открытые сети, использование которых таит в себе многочисленные информационные угрозы.

Наиболее распространенные из них:

· несанкционированный доступ к ресурсам и данным системы: подбор пароля, взлом систем защиты и администрирования, маскарад (действия от чужого имени);

· перехват и подмена трафика (подделка платежных поручений, атака типа "человек посередине");

· IP-спуфинг (подмена сетевых адресов);

· отказ в обслуживании (DoS - denial of service);

· атака на уровне приложений;

· сканирование сетей или сетевая разведка;

· использование отношений доверия в сети.

Причины, приводящие к появлению подобных уязвимостей:

· отсутствие гарантии конфиденциальности и целостности передаваемых данных;

· недостаточный уровень проверки участников соединения;

· недостаточная реализация или некорректная разработка политики безопасности;

· отсутствие или недостаточный уровень защиты от несанкционированного доступа (антивирусы, контроль доступа, системы обнаружения атак);

· существующие уязвимости используемых операционных систем, ПО, СУБД, web-систем и сетевых протоколов;

· непрофессиональное и слабое администрирование систем;

· проблемы при построении межсетевых фильтров;

· сбои в работе компонентов системы или их низкая производительность;

· уязвимости при управлении ключами.

Наиболее часто информационное пространство банковской системы используется для передачи сообщений, связанных с движением финансов.

Основные виды атак на финансовые сообщения и финансовые транзакции:

· раскрытие содержимого;

· представление документа от имени другого участника;

· несанкционированная модификация;

· повтор переданной информации.

Для предотвращения этих злоупотреблений используются следующие средства защиты:

· шифрование содержимого документа;

· контроль авторства документа;

· контроль целостности документа;

· нумерация документов;

· ведение сессий на уровне защиты информации;

· динамическая аутентификация;

· обеспечение сохранности секретных ключей;

· надежная процедура проверки клиента при регистрации в прикладной системе;

· использование электронного сертификата клиента;

· создание защищенного соединения клиента с сервером.

В глобальных сетях распространены нападения высококвалифицированных специалистов, которые направленным воздействием могут выводить из строя на длительное время серверы АБС или проникать в их системы безопасности. Практически все упомянутые угрозы способен реализовать злоумышленник-одиночка или объединенная группа. Злоумышленник может выступать как в роли внешнего источника угрозы, так и в роли внутреннего (сотрудник организации).

Существенную угрозу несут в себе вредоносные программы - вирусы и троянские кони. Попав внутрь банковской компьютерной системы такие программы могут принести колоссальный ущерб.

В свободном доступе в Интернет находится множество программ и утилит, автоматизирующих поиск и использование уязвимостей атакуемой системы.

Передаваемые данные необходимо защищать как в плане конфиденциальности, так и в плане обеспечения подлинности, иначе они могут быть искажены или перехвачены. Интернет-систему необходимо защищать от подлога, несанкционированного изменения, разрушения, блокирования работы и т. д.

Комплекс технических средств защиты интернет-сервисов:

· брандмауэр (firewall) (сетевой экран) - программная и/или аппаратная реализация;

· системы обнаружения атак на сетевом уровне;

· антивирусные средства;

· защищенные ОС, обеспечивающие уровень В2 по классификации защиты компьютерных систем и дополнительные средства контроля целостности программ и данных;

· защита на уровне приложений: протоколы безопасности, шифрования, ЭЦП, цифровые сертификаты, системы контроля целостности;

· защита средствами СУБД;

· мониторинг безопасности и выявление попыток вторжения, адаптивная защита сетей, активный аудит действий пользователей;

· обманные системы;

· корректное управление политикой безопасности.

При проведении электронного документооборота должны выполняться:

· аутентификация документа при его создании;

· защита документа при его передаче;

· аутентификация документа при обработке, хранении и исполнении;

· защита документа при доступе к нему из внешней среды.

Для обеспечения высокого уровня информационной безопасности вычислительных систем рекомендуется проводить следующие процедуры при организации работы собственного персонала:

· фиксировать в трудовых и гражданско-правовых договорах обязанности персонала по соблюдению конфиденциальности, в том числе лиц, работающих по совместительству;

· распределять основные функции между сотрудниками так, чтобы ни одна операция не могла быть выполнена одним человеком от начала до конца;

· обеспечивать строгий режим пропуска и порядка в служебных помещениях, устанавливать жесткий порядок пользования средствами связи и передачи информации;

· регулярно проводить оценку всей имеющейся информации и выделять из нее конфиденциальную в целях ее защиты;

· иметь нормативные правовые документы по вопросам защиты информации;

· постоянно повышать квалификацию сотрудников, знакомить их с новейшими методами обеспечения информационной безопасности;

· создать базу данных для фиксирования попыток несанкционированного доступа к конфиденциальной информации;

· проводить служебные расследования в каждом случае нарушения политики безопасности.

Не нашли, что искали? Воспользуйтесь поиском по сайту: