Атаки через Интернет и способы повышения защищённости
На сегодняшний день АБС является мощным инструментом управления бизнесом и, как правило, реализует следующий спектр функций, связанных с обменом информацией через глобальные компьютерные сети:
· операции на фондовом рынке, работа банка с ценными бумагами;
· розничные банковские услуги;
· дистанционное банковское обслуживание;
· электронные банковские услуги;
· расчетный центр и платежная система (карточные продукты);
· интеграция бэк-офиса банка с его внешними операциями;
· управление деятельностью банка, реализация бизнес-логики, контроль, учет, в том числе налоговый, и отчетность;
· управление рисками и стратегическое планирование;
· программы лояльности клиентов, маркетинговая, рекламная и PR-службы.
Перечисленные функции АБС реализуются посредством следующих технологий (уже одно их перечисление позволяет понять, сколь много потенциально слабых мест может иметь система безопасности АБС):
· системы управления базами данных (в т.ч. распределенных);
· хранилища данных, OLAP- и OLTP-технологии обработки данных (системы оперативной аналитической обработки и системы оперативной обработки транзакций);
· системы поиска, извлечения и подготовки достоверных данных;
· распределенная вычислительная система, организация коллективной работы пользователей, создание реального информационного пространства банка, включая филиалы, клиентов и партнеров;
· организация безопасной, достоверной передачи данных по общедоступным каналам связи (криптография: шифрование и электронная цифровая подпись (ЭЦП), организационные меры), электронный документооборот;
· информационная аналитика и системы поддержки принятия решений (decision support systems, DSS);
· системы удаленной работы с фондовыми рынками и программы предсказания поведения курсов;
· программы реализации взаимодействия с клиентами;
· системы поддержки внутренней организации, менеджмента и исполнительной деятельности персонала;
· антивирусная защита;
· интернет-магазины и интернет-карточки;
· центры обработки вызовов (call-центры) и IP-телефония;
· поддержка различных каналов доступа: Интернет, телефон, мобильная сеть, SMS, WAP и др.;
· поддержка множественных стандартов учета, включая управленческий учет;
· поддержка и исследования в области планомерного информационного развития АБС.
Среди первоочередных эксплутационных требований, предъявляемых АБС, в первую очередь хотелось бы выделить надежность и безопасность. Сбой программного обеспечения или злоумышленное вторжение в территориально-распределенную банковскую информационную систему могут иметь очень печальные последствия, характеризуемые количественно (величиной ущерба) или качественно (падением имиджа, срывом переговоров и т. п.).
Многочисленные попытки взломов и успешные нападения на банковские вычислительные структуры и порталы остро ставят проблему обеспечения информационной безопасности.
Среди компонентов, образующих АБС, выделим следующие, реализуемые путем использования общедоступных сетей:
· банк - клиент;
· Интернет - клиент;
· офис - удаленный менеджер;
· головной офис - региональные офисы/отделения;
· интернет-трейдинг.
Доступ во всех перечисленных случаях осуществляется через открытые сети, использование которых таит в себе многочисленные информационные угрозы.
Наиболее распространенные из них:
· несанкционированный доступ к ресурсам и данным системы: подбор пароля, взлом систем защиты и администрирования, маскарад (действия от чужого имени);
· перехват и подмена трафика (подделка платежных поручений, атака типа "человек посередине");
· IP-спуфинг (подмена сетевых адресов);
· отказ в обслуживании (DoS - denial of service);
· атака на уровне приложений;
· сканирование сетей или сетевая разведка;
· использование отношений доверия в сети.
Причины, приводящие к появлению подобных уязвимостей:
· отсутствие гарантии конфиденциальности и целостности передаваемых данных;
· недостаточный уровень проверки участников соединения;
· недостаточная реализация или некорректная разработка политики безопасности;
· отсутствие или недостаточный уровень защиты от несанкционированного доступа (антивирусы, контроль доступа, системы обнаружения атак);
· существующие уязвимости используемых операционных систем, ПО, СУБД, web-систем и сетевых протоколов;
· непрофессиональное и слабое администрирование систем;
· проблемы при построении межсетевых фильтров;
· сбои в работе компонентов системы или их низкая производительность;
· уязвимости при управлении ключами.
Наиболее часто информационное пространство банковской системы используется для передачи сообщений, связанных с движением финансов.
Основные виды атак на финансовые сообщения и финансовые транзакции:
· раскрытие содержимого;
· представление документа от имени другого участника;
· несанкционированная модификация;
· повтор переданной информации.
Для предотвращения этих злоупотреблений используются следующие средства защиты:
· шифрование содержимого документа;
· контроль авторства документа;
· контроль целостности документа;
· нумерация документов;
· ведение сессий на уровне защиты информации;
· динамическая аутентификация;
· обеспечение сохранности секретных ключей;
· надежная процедура проверки клиента при регистрации в прикладной системе;
· использование электронного сертификата клиента;
· создание защищенного соединения клиента с сервером.
В глобальных сетях распространены нападения высококвалифицированных специалистов, которые направленным воздействием могут выводить из строя на длительное время серверы АБС или проникать в их системы безопасности. Практически все упомянутые угрозы способен реализовать злоумышленник-одиночка или объединенная группа. Злоумышленник может выступать как в роли внешнего источника угрозы, так и в роли внутреннего (сотрудник организации).
Существенную угрозу несут в себе вредоносные программы - вирусы и троянские кони. Попав внутрь банковской компьютерной системы такие программы могут принести колоссальный ущерб.
В свободном доступе в Интернет находится множество программ и утилит, автоматизирующих поиск и использование уязвимостей атакуемой системы.
Передаваемые данные необходимо защищать как в плане конфиденциальности, так и в плане обеспечения подлинности, иначе они могут быть искажены или перехвачены. Интернет-систему необходимо защищать от подлога, несанкционированного изменения, разрушения, блокирования работы и т. д.
Комплекс технических средств защиты интернет-сервисов:
· брандмауэр (firewall) (сетевой экран) - программная и/или аппаратная реализация;
· системы обнаружения атак на сетевом уровне;
· антивирусные средства;
· защищенные ОС, обеспечивающие уровень В2 по классификации защиты компьютерных систем и дополнительные средства контроля целостности программ и данных;
· защита на уровне приложений: протоколы безопасности, шифрования, ЭЦП, цифровые сертификаты, системы контроля целостности;
· защита средствами СУБД;
· мониторинг безопасности и выявление попыток вторжения, адаптивная защита сетей, активный аудит действий пользователей;
· обманные системы;
· корректное управление политикой безопасности.
При проведении электронного документооборота должны выполняться:
· аутентификация документа при его создании;
· защита документа при его передаче;
· аутентификация документа при обработке, хранении и исполнении;
· защита документа при доступе к нему из внешней среды.
Для обеспечения высокого уровня информационной безопасности вычислительных систем рекомендуется проводить следующие процедуры при организации работы собственного персонала:
· фиксировать в трудовых и гражданско-правовых договорах обязанности персонала по соблюдению конфиденциальности, в том числе лиц, работающих по совместительству;
· распределять основные функции между сотрудниками так, чтобы ни одна операция не могла быть выполнена одним человеком от начала до конца;
· обеспечивать строгий режим пропуска и порядка в служебных помещениях, устанавливать жесткий порядок пользования средствами связи и передачи информации;
· регулярно проводить оценку всей имеющейся информации и выделять из нее конфиденциальную в целях ее защиты;
· иметь нормативные правовые документы по вопросам защиты информации;
· постоянно повышать квалификацию сотрудников, знакомить их с новейшими методами обеспечения информационной безопасности;
· создать базу данных для фиксирования попыток несанкционированного доступа к конфиденциальной информации;
· проводить служебные расследования в каждом случае нарушения политики безопасности.
Не нашли, что искали? Воспользуйтесь поиском по сайту:
©2015 - 2024 stydopedia.ru Все материалы защищены законодательством РФ.
|