Информационная защита банков
Министерство общего и
профессионального образования Ростовской области
Государственное бюджетное
образовательное учреждение среднего профессионального образования Ростовской
области
Ростовский-на-Дону колледж связи и
информатики
Специальность 23010551: Программное
обеспечение вычислительной техники и автоматизированных систем
Реферат
По дисциплине: «Информационная
безопасность»
Тема:
Информационная защита банков
Выполнил студент группы ПО-44
Кладовиков В.С.
Руководитель Семергей С.В.
2013 г.
Содержание
Введение
1. Особенности информационной
безопасности банков
2. Безопасность
автоматизированных систем обработки информации в банках (АСОИБ)
3. Безопасность электронных
платежей
4. Безопасность персональных
платежей физических лиц
Заключение
Приложения
Введение
Со времени своего появления банки неизменно вызывали преступный интерес.
И этот интерес был связан не только с хранением в кредитных организациях
денежных средств, но и с тем, что в банках сосредотачивалась важная и зачастую
секретная информация о финансовой и хозяйственной деятельности многих людей,
компаний, организаций и даже целых государств. В настоящее время в результате
повсеместного распространения электронных платежей, пластиковых карт,
компьютерных сетей объектом информационных атак стали непосредственно денежные
средства как банков, так и их клиентов. Совершить попытку хищения может любой -
необходимо лишь наличие компьютера, подключенного к сети Интернет. Причем для
этого не требуется физически проникать в банк, можно «работать» и за тысячи
километров от него.
Именно эта проблема является сейчас наиболее актуальной и наименее
исследованной. Если в обеспечении физической и классической информационной
безопасности давно уже выработаны устоявшиеся подходы (хотя развитие происходит
и здесь), то в связи с частыми радикальными изменениями в компьютерных
технологиях методы безопасности автоматизированных систем обработки информации
банка (АСОИБ) требуют постоянного обновления. Как показывает практика, не
существует сложных компьютерных систем, не содержащих ошибок. А поскольку
идеология построения крупных АСОИБ регулярно меняется, то исправления найденных
ошибок и «дыр» в системах безопасности хватает ненадолго, так как новая
компьютерная система приносит новые проблемы и новые ошибки, заставляет
по-новому перестраивать систему безопасности.
На мой взгляд, каждый заинтересован в конфиденциальности своих
персональных данных, предоставляемых банкам. Исходя из этого, написание данного
реферата и изучение данной проблемы, на мой взгляд, представляется не только
интересным, но и крайне полезным.
. Особенности информационной безопасности банков
Банковская информация всегда была объектом пристального интереса всякого
рода злоумышленников. Любое банковское преступление начинается с утечки информации.
Автоматизированные банковские системы являются каналами для таких утечек. С
самого начала внедрения автоматизированных банковских систем (АБС) они стали
объектом преступных посягательств.
Так, известно, что в августе 1995 г. в Великобритании был арестован
24-летний российский математик Владимир Левин, который при помощи своего
домашнего компьютера в Петербурге сумел проникнуть в банковскую систему одного
из крупнейших американских банков Citibank и попытался снять с его счетов
крупные суммы. По сведениям московского представительства Citibank, до тех пор
подобное никому не удавалось. Служба безопасности Citibank выяснила, что у
банка пытались похитить $2,8 млн., но контролирующие системы вовремя это
обнаружили и заблокировали счета. Украсть же удалось лишь $400 тысяч.
В США сумма ежегодных убытков банковских учреждений от незаконного
использования компьютерной информации составляет, по оценкам экспертов, от 0,3
до 5 млрд. долларов. Информация - это аспект общей проблемы обеспечения
безопасности банковской деятельности.
В связи с этим, стратегия информационной безопасности банков весьма
сильно отличается от аналогичных стратегий других компаний и организаций. Это
обусловлено, прежде всего, специфическим характером угроз, а также публичной
деятельностью банков, которые вынуждены делать доступ к счетам достаточно
легким с целью удобства для клиентов.
Обычная компания строит свою информационную безопасность, исходя лишь из
узкого круга потенциальных угроз - главным образом защита информации от
конкурентов (в российских реалиях основной задачей является защита информации
от налоговых органов и преступного сообщества с целью уменьшения вероятности
неконтролируемого роста налоговых выплат и рэкета). Такая информация интересна
лишь узкому кругу заинтересованных лиц и организаций и редко бывает ликвидна,
т.е. обращаема в денежную форму.
Информационная безопасность банка должна учитывать следующие
специфические факторы:
. Хранимая и обрабатываемая в банковских системах информация представляет
собой реальные деньги. На основании информации компьютера могут производиться
выплаты, открываться кредиты, переводиться значительные суммы. Вполне понятно,
что незаконное манипулирование с такой информацией может привести к серьезным
убыткам. Эта особенность резко расширяет круг преступников, покушающихся именно
на банки (в отличие от, например, промышленных компаний, внутренняя информация
которых мало кому интересна).
. Информация в банковских системах затрагивает интересы большого
количества людей и организаций - клиентов банка. Как правило, она
конфиденциальна, и банк несет ответственность за обеспечение требуемой степени
секретности перед своими клиентами. Естественно, клиенты вправе ожидать, что
банк должен заботиться об их интересах, в противном случае он рискует своей репутацией
со всеми вытекающими отсюда последствиями.
. Конкурентоспособность банка зависит от того, насколько клиенту удобно
работать с банком, а также насколько широк спектр предоставляемых услуг,
включая услуги, связанные с удаленным доступом. Поэтому клиент должен иметь
возможность быстро и без утомительных процедур распоряжаться своими деньгами.
Но такая легкость доступа к деньгам повышает вероятность преступного
проникновения в банковские системы.
. Информационная безопасность банка (в отличие от большинства компаний)
должна обеспечивать высокую надежность работы компьютерных систем даже в случае
нештатных ситуаций, поскольку банк несет ответственность не только за свои
средства, но и за деньги клиентов.
. Банк хранит важную информацию о своих клиентах, что расширяет круг
потенциальных злоумышленников, заинтересованных в краже или порче такой
информации.
К сожалению, в наши дни, в связи с высоким развитием технологий, даже
предельно жесткие организационные меры по упорядочению работы с
конфиденциальной информацией не защитят от ее утечки по физическим каналам.
Поэтому системный подход к защите информации требует, чтобы средства и
действия, используемые банком для обеспечения информационной безопасности
(организационные, физические и программно-технические), рассматривались как
единый комплекс взаимосвязанных, взаимодополняющих и взаимодействующих мер.
Такой комплекс должен быть нацелен не только на защиту информации от
несанкционированного доступа, но и на предотвращение случайного уничтожения,
изменения или разглашения информации.
. Безопасность автоматизированных систем обработки информации в банках
(АСОИБ)
Не будет преувеличением сказать, что проблема умышленных нарушений
функционирования АСОИБ различного назначения в настоящее время является одной
из самых актуальных. Наиболее справедливо это утверждение для стран с сильно
развитой информационной инфраструктурой, о чем убедительно свидетельствуют
приводимые ниже цифры.
Известно, что в 1992 году ущерб от компьютерных преступлений составил
$555 млн., 930 лет рабочего времени и 15.3 года машинного времени. По другим
данным ущерб финансовых организаций составляет от $173 млн. до $41 млрд. в год.
Из данного примера, можно сделать вывод, что системы обработки и защиты
информации отражают традиционный подход к вычислительной сети как к
потенциально ненадежной среде передачи данных. Существует несколько основных
способов обеспечения безопасности программно-технической среды, реализуемых
различными методами:
. Идентификация (аутентификация) и авторизация при помощи паролей.
.1 Создание профилей пользователей. На каждом из узлов создается база
данных пользователей, их паролей и профилей доступа к локальным ресурсам
вычислительной системы.
.2 Создание профилей процессов. Задачу аутентификации выполняет
независимый (third-party) сервер, который содержит пароли, как для
пользователей, так и для конечных серверов (в случае группы серверов, базу
данных паролей также содержит только один (master) сервер аутентификации;
остальные - лишь периодически обновляемые копии). Таким образом, использование
сетевых услуг требует двух паролей (хотя пользователь должен знать только один
- второй предоставляется ему сервером «прозрачным» образом). Очевидно, что
сервер становится узким местом всей системы, а его взлом может нарушить безопасность
всей вычислительной сети.
. Инкапсуляция передаваемой информации в специальных протоколах обмена.
Использование подобных методов в коммуникациях основано на алгоритмах
шифрования с открытым ключом. На этапе инициализации происходит создание пары ключей
- открытого и закрытого, имеющегося только у того, кто публикует открытый ключ.
Суть алгоритмов шифрования с открытым ключом заключается в том, что операции
шифрования и дешифрования производятся разными ключами (открытым и закрытым
соответственно).
. Ограничение информационных потоков. Это известные технические приемы,
позволяющие разделить локальную сеть на связанные подсети и осуществлять
контроль и ограничение передачи информации между этими подсетями.
.1 Firewalls (брандмауэры). Метод подразумевает создание между локальной
сетью банка и другими сетями специальных промежуточных серверов, которые
инспектируют, анализируют и фильтруют весь проходящий через них поток данных
(трафик сетевого/транспортного уровней). Это позволяет резко снизить угрозу несанкционированного
доступа извне в корпоративные сети, но не устраняет эту опасность совсем. Более
защищенная разновидность метода - это способ маскарада (masquerading), когда
весь исходящий из локальной сети трафик посылается от имени firewall-сервера, делая
закрытую локальную сеть практически невидимой.
.2 Proxy-servers. При данном методе вводятся жесткие ограничения на
правила передачи информации в сети: весь трафик сетевого/транспортного уровней
между локальной и глобальной сетями запрещается полностью - попросту
отсутствует маршрутизация как таковая, а обращения из локальной сети в
глобальную происходят через специальные серверы-посредники. Очевидно, что при
этом методе обращения из глобальной сети в локальную становятся невозможными в
принципе. Очевидно также, что этот метод не дает достаточной защиты против атак
на более высоких уровнях, например на уровне программного приложения.
. Создание виртуальных частных сетей (VPN) позволяет эффективно
обеспечивать конфиденциальность информации, ее защиту от прослушивания или
помех при передаче данных. Они позволяют установить конфиденциальную защищенную
связь в открытой сети, которой обычно является интернет, и расширять границы
корпоративных сетей до удаленных офисов, мобильных пользователей, домашних
пользователей и партнеров по бизнесу. Технология шифрования устраняет
возможность перехвата сообщений, передаваемых по виртуальной частной сети, или
их прочтения лицами, отличными от авторизованных получателей, за счет
применения передовых математических алгоритмов шифрования сообщений и
приложений к ним. Концентраторы серии Cisco VPN 3000 многими признаются лучшим
в своей категории решением удаленного доступа по виртуальным частным сетям.
Концентраторы Cisco VPN 3000, обладающие самыми передовыми возможностями с высокой
надежностью и уникальной, целенаправленной архитектурой. Позволяют корпорациям
создавать инфраструктуры высокопроизводительных, наращиваемых и мощных
виртуальных частных сетей для поддержки ответственных приложений удаленного
доступа. Идеальным орудием создания виртуальных частных сетей от одного
сетевого объекта к другому служат маршрутизаторы Cisco, оптимизированные для
построения виртуальных частных сетей, к которым относятся маршрутизаторы Cisco
800, 1700, 2600, 3600, 7100 и 7200.
. Системы обнаружения вторжений и сканеры уязвимости создают
дополнительный уровень сетевой безопасности. Хотя межсетевые экраны пропускают
или задерживают трафик в зависимости от источника, точки назначения, порта или
прочих критериев, они фактически не анализируют трафик на атаки и не ведут
поиск уязвимых мест в системе. Кроме того, межсетевые экраны обычно не борются
с внутренними угрозами, исходящими от "своих". Система обнаружения
вторжений Cisco Intrusion Detection System (IDS) может защитить сеть по периметру,
сети взаимодействия с бизнес-партнерами и все более уязвимые внутренние сети в
режиме реального времени. Система использует агенты, представляющие собой
высокопроизводительные сетевые устройства, для анализа отдельных пакетов с
целью обнаружения подозрительной активности. Если в потоке данных в сети
проявляется несанкционированная активность или сетевая атака, агенты могут
обнаружить нарушение в реальном времени, послать сигналы тревоги администратору
и заблокировать доступ нарушителя в сеть. Помимо сетевых средств обнаружения
вторжений компания Cisco также предлагает серверные системы обнаружения
вторжений, обеспечивающие эффективную защиту конкретных серверов в сети
пользователя, в первую очередь серверов WEB и электронной коммерции. Cisco
Secure Scanner представляет собой программный сканер промышленного уровня,
позволяющий администратору выявлять и устранять уязвимости в сетевой
безопасности прежде, чем их найдут хакеры.
По мере роста и усложнения сетей первостепенное значение приобретает
требование наличия централизованных средств управления политикой безопасности,
которые могли бы управлять элементами безопасности. Интеллектуальные средства,
которые могут обозначать состояние политики безопасности, управлять ею и
выполнять аудит, повышают практичность и эффективность решений в области
сетевой безопасности. Решения Cisco в этой области предполагают стратегический
подход к управлению безопасностью. Cisco Secure Policy Manager (CSPM)
поддерживает элементы безопасности Cisco в корпоративных сетях, обеспечивая комплексную
и последовательную реализацию политики безопасности. С помощью CSPM клиенты
могут определять соответствующую политику безопасности, внедрять ее в действие
и проверять принципы безопасности в работе сотен межсетевых экранов Cisco
Secure PIX и Cisco IOS Firewall Feature Set и агентов IDS. CSPM также
поддерживает стандарт IPsec для построения виртуальных частных сетей VPN. Кроме
того, CSPM является составной частью широко распространенной корпоративной
системы управления CiscoWorks2000/VMS.
Суммируя приведенные способы, можно сказать, что разработка
информационных систем требует параллельной разработки технологий передачи и
защиты информации. Эти технологии должны обеспечивать защиту передаваемой
информации, делая сеть «надежной», хотя надежность на современном этапе
понимается как надежность не на физическом уровне, а скорее на логическом
(информационном уровне).
Существует также ряд дополнительных мероприятий, реализующих следующие
принципы:
. Мониторинг процессов. Метод мониторинга процессов заключается в
создании специального расширения системы, которое бы постоянно осуществляло
некоторые типы проверок. Очевидно, что некоторая система становится внешне
уязвимой только в том случае, когда она предоставляет возможность доступа извне
к своим информационным ресурсам. При создании средств такого доступа (серверных
процессов), как правило, имеется достаточное количество априорной информации,
относящейся к поведению клиентских процессов. К сожалению, в большинстве
случаев эта информация попросту игнорируется. После аутентификации внешнего
процесса в системе он в течение всего своего жизненного цикла считается
авторизованным для доступа к некоторому количеству информационных ресурсов без
каких-либо дополнительных проверок.
Хотя указать все правила поведения внешнего процесса в большинстве
случаев не представляется возможным, вполне реально определить их через
отрицание или, иначе говоря, указать, что внешний процесс не может делать ни
при каких условиях. На основании этих проверок можно осуществлять мониторинг опасных
или подозрительных событий. Например, на приведенном рисунке показаны элементы
мониторинга и выявленные события: DOS-атака; ошибка набора пароля
пользователем; перегрузки в канале связи.
. Дублирование технологий передачи. Существует риск взлома и компрометации
любой технологии передачи информации, как в силу ее внутренних недостатков, так
и вследствие воздействия извне. Защита от подобной ситуации заключается в
параллельном применении нескольких отличных друг от друга технологий передачи.
Очевидно, что дублирование приведет к резкому увеличению сетевого трафика. Тем
не менее, такой способ может быть эффективным, когда стоимость рисков от
возможных потерь оказывается выше накладных расходов по дублированию.
. Децентрализация. Во многих случаях использование стандартизованных
технологий обмена информацией вызвано не стремлением к стандартизации, а
недостаточной вычислительной мощностью систем, обеспечивающих процедуры связи.
Реализацией децентрализованного подхода может считаться и широко распространенная
в сети Internet практика «зеркал». Создание нескольких идентичных копий
ресурсов может быть полезным в системах реального времени, даже кратковременный
сбой которых может иметь достаточно серьезные последствия.
электронный персональный банк защита
3. Безопасность электронных платежей
Необходимость всегда иметь под рукой нужную информацию заставляет многих
руководителей задумываться над проблемой оптимизации бизнеса с помощью
компьютерных систем. Но если перевод бухгалтерского учета из бумажной формы в электронную
давно осуществлен, то взаиморасчеты с банком все еще остаются недостаточно
автоматизированными: массовый переход на электронный документооборот только
предстоит.
Сегодня многие банки имеют те или иные каналы для удаленного
осуществления платежных операций. Отправить "платежку" можно прямо из
офиса, воспользовавшись модемным соединением или выделенной линией связи. Стало
реальностью выполнение банковских операций через Интернет - для этого
достаточно иметь компьютер с доступом в глобальную сеть и ключ электронной
цифровой подписи (ЭЦП), которая зарегистрирована в банке.
Удаленное обслуживание в банке позволяет повысить эффективность частного
бизнеса при минимальных усилиях со стороны его владельцев. При этом
обеспечиваются: экономия времени (не нужно приходить в банк лично, платеж можно
выполнить в любое время); удобство работы (все операции производятся с
персонального компьютера в привычной деловой обстановке); высокая скорость
обработки платежей (банковский оператор не перепечатывает данные с бумажного
оригинала, что дает возможность исключить ошибки ввода и сократить время
обработки платежного документа); мониторинг состояния документа в процессе его
обработки; получение сведений о движении средств по счетам.
Однако, несмотря на очевидные преимущества, электронные платежи в России
пока не очень популярны, поскольку клиенты банков не уверены в их защищенности.
Это, прежде всего, связано с распространенным мнением, что компьютерные сети
легко может "взломать" какой-нибудь хакер. Этот миф прочно укоренился
в сознании человека, а регулярно публикуемые в СМИ новости об атаках на
очередной веб-сайт еще сильнее укрепляют это мнение. Но времена меняются, и
электронные средства связи рано или поздно заменят личное присутствие
плательщика, желающего сделать безналичный банковский перевод с одного счета на
другой.
На мой взгляд, безопасность электронных банковских операций сегодня можно
обеспечить. Гарантией этому служат современные методы криптографии, которые
используются для защиты электронных платежных документов. В первую очередь это
ЭЦП, соответствующая ГОСТ 34.10-94. С 1995 г. она успешно применяется в Банке
России. Вначале он ввел систему межрегиональных электронных расчетов всего в
нескольких регионах. Сейчас она охватывает все регионы Российской Федерации, и
представить без нее функционирование Банка России практически невозможно. Так
стоит ли сомневаться в надежности ЭЦП, если ее использование проверено временем
и уже, так или иначе, касается каждого гражданина нашей страны?
Электронно-цифровая подпись - гарантия безопасности. Согласно типовому договору
между банком и клиентом наличие под электронным документом достаточного
количества зарегистрированных ЭЦП уполномоченных лиц служит основанием для
совершения банковских операций по счетам клиента. В Федеральном законе от
10.01.02 г. №1-ФЗ "Об электронной цифровой подписи" определено, что
ЭЦП должна формироваться и проверяться сертифицированным ФАПСИ программным
обеспечением. Сертификация ЭЦП является гарантией того, что данная программа
выполняет криптографические функции согласно нормативам ГОСТ и не совершает
деструктивных действий на компьютере пользователя.
Чтобы проставить на электронный документ ЭЦП, необходимо иметь ее ключ,
который может храниться на каком-нибудь ключевом носителе информации. Современные
ключевые носители ("e-Token", "USB-drive",
"Touch-Memory") по форме напоминают брелоки, и их можно носить в
связке обычных ключей. В качестве носителя ключевой информации можно также
использовать дискеты.
Каждый ключ ЭЦП служит аналогом собственноручной подписи уполномоченного
лица. Если в организации бумажные "платежки" обычно подписывают
директор и главный бухгалтер, то в электронной системе лучше всего сохранить
тот же порядок и предусмотреть для уполномоченных лиц разные ключи ЭЦП. Впрочем,
можно использовать и одну ЭЦП - данный факт необходимо отразить в договоре
между банком и клиентом.
Ключ ЭЦП состоит из двух частей - закрытой и открытой. Открытая часть
(открытый ключ) после генерации владельцем представляется в Удостоверяющий
центр, роль которого обычно играет банк. Открытый ключ, сведения о его
владельце, назначение ключа и другая информация подписываются ЭЦП
Удостоверяющего центра. Таким образом, формируется сертификат ЭЦП, который
нужно зарегистрировать в системе электронных расчетов банка.
Закрытая часть ключа ЭЦП (секретный ключ) ни при каких условиях не должна
передаваться владельцем ключа другому лицу. Если секретный ключ был передан
даже на короткое время другому лицу или оставлен где-нибудь без присмотра,
считается, что ключ "скомпрометирован" (т.е. подразумевается
вероятность копирования или нелегального использования ключа). Иначе говоря, в
этом случае лицо, не являющееся владельцем ключа, получает возможность
подписать несанкционированный руководством организации электронный документ,
который банк примет к исполнению и будет прав, так как проверка ЭЦП покажет ее
подлинность. Вся ответственность в данном случае ложится исключительно на
владельца ключа. Действия владельца ЭЦП в этой ситуации должны быть аналогичны
тем, которые предпринимаются при утере обычной пластиковой карты: этот человек
должен сообщить в банк о "компрометации" (утере) ключа ЭЦП.
Тогда банк заблокирует сертификат данной ЭЦП в своей платежной системе и
злоумышленник не сможет воспользоваться своим незаконным приобретением.
Предотвратить нелегальное применение секретного ключа можно и с помощью
пароля, который накладывается как на ключ, так и на некоторые виды ключевых
носителей. Это способствует минимизации ущерба при утере, поскольку без пароля
ключ становится недействительным и у владельца будет достаточно времени, чтобы
сообщить банку о "компрометации" своей ЭЦП.
Рассмотрим, как клиент может воспользоваться услугами электронных
платежей при условии, что в банке установлена система комплексной реализации
электронных банковских услуг InterBank. Если клиент является частным
предпринимателем, либо руководит небольшой коммерческой фирмой и имеет доступ в
Интернет, ему достаточно будет выбрать систему криптографической защиты (ЭЦП и
шифрование), которую он хочет использовать. Клиент может установить
сертифицированное программное обеспечение "КриптоПро CSP" либо
ограничиться встроенной в Microsoft Windows системой Microsoft Base CSP.
Еще один вид услуг, предоставляемый комплексом InterBank, -
информирование клиента о состоянии его банковских счетов, курсах валют и
передача других справочных данных через голосовую связь, факс или экран
сотового телефона.
Удобный способ использования электронных расчетов - визирование платежных
документов уполномоченными сотрудниками предприятия, которые находятся на
значительном расстоянии друг от друга. Например, главный бухгалтер подготовил и
подписал электронный платежный документ. Директор, будучи в данный момент в
командировке в другом городе или в другой стране, может просмотреть этот
документ, подписать его и отправить в банк. Все эти действия позволяет
выполнить подсистема "Интернет-Клиент", к которой бухгалтер и
директор предприятия подключатся через Интернет. Шифрование данных и
аутентификация пользователя будут осуществляться одним из стандартных
протоколов - SSL или TLS.
Итак, применение электронных платежей в бизнесе предоставляет
значительные преимущества по сравнению с традиционным сервисом. Что же касается
безопасности, то ее обеспечивают стандарт ЭЦП (ГОСТ 34.10-94), с одной стороны,
и ответственность клиента за хранение ключа подписи - с другой. Рекомендации по
использованию и хранению ключей ЭЦП клиент всегда может получить в банке, и
если он будет им следовать, то надежность платежей гарантирована.
. Безопасность персональных платежей физических лиц
Большинство систем безопасности в целях избегания потери персональных
данных физических лиц требуют от пользователя подтверждения, что он именно тот,
за кого себя выдает. Идентификация пользователя может быть проведена на основе
того, что:
• он знает некую информацию (секретный код, пароль);
• он имеет некий предмет (карточку, электронный ключ, жетон);
• он обладает набором индивидуальных черт (отпечатки пальцев, форма кисти
руки, тембр голоса, рисунок сетчатки глаза и т.п.);
• он знает, где находится или как подключается специализированный ключ.
Первый способ требует набора на клавиатуре определенной кодовой
последовательности - персонального идентификационного номера (Personal
identification number - PIN). Обычно это последовательность из 4-8 цифр,
которую пользователь должен ввести при осуществлении транзакции.
Второй способ предполагает предъявление пользователем неких специфических
элементов идентификации - кодов, считываемых из некопируемого электронного
устройства, карточки или жетона.
В третьем способе пропуском служат индивидуальные особенности и
физические характеристики личности человека. Всякому биометрическому продукту
сопутствует довольно объемная база данных, хранящая соответствующие изображения
или другие данные, применяемые при распознавании.
Четвертый способ предполагает особый принцип включения или коммутирования
оборудования, который обеспечит его работу (этот подход используется достаточно
редко).
В банковском деле наибольшее распространение получили средства
идентификации личности, которые мы отнесли ко второй группе: некий предмет
(карточку, электронный ключ, жетон). Естественно использование такого ключа
происходит в сочетании со средствами и приемами идентификации, которые мы
отнесли к первой группе: использование информации (секретный код, пароль).
Давайте более подробно разберемся со средствами идентификации личности в
банковском деле.
Пластиковые карты.
В настоящее время выпущено более миллиарда карточек в различных странах
мира. Наиболее известные из них:
кредитные карточки Visa (более 350 млн. карточек) и MasterCard (200 млн.
карточек);
международные чековые гарантии Eurocheque и Posteheque;
карточки для оплаты путешествий и развлечений American Express (60 млн.
карточек) и Diners Club.
Магнитные карточки
Наиболее известны и давно используются в банковском деле в качестве
средств идентификации пластиковые карточки с магнитной полосой (многие системы
позволяют использовать обычные кредитные карточки). Для считывания необходимо
провести карточкой (магнитной полосой) через прорезь ридера (считывателя).
Обычно ридеры выполнены в виде внешнего устройства и подключаются через
последовательный или универсальный порт компьютера. Выпускаются также ридеры,
совмещенные с клавиатурой. Однако у таких карт можно выделить преимущества и
недостатки их использования.
Минусы:
• магнитная карточка может быть легко скопирована на доступном
оборудовании;
• загрязнение, небольшое механическое воздействие на магнитный слой,
нахождение карты вблизи сильных источников электромагнитных полей приводят к
повреждению карты.
Преимущества:
• расходы на выпуск и обслуживание таких карт невелики;
• индустрия магнитных пластиковых карт развивалась в течение нескольких
десятилетий и на настоящий момент более 90% карт - это пластиковые карты;
• применение магнитных карточек оправдано при очень большом числе
пользователей и частой сменяемости карт (например, для доступа в гостиничный
номер).карты
Фактически - это развитие идеи электронных жетонов. Это бесконтактная
карточка (но может быть и брелок или браслет), содержащая чип с уникальным
кодом или радиопередатчик. Считыватель оснащен специальной антенной, постоянно
излучающей электромагнитную энергию. При попадании карточки в это поле
происходит запитывание чипа карточки, и карта посылает считывателю свой
уникальный код. Для большинства считывателей расстояние устойчивого
срабатывания составляет от нескольких миллиметров до 5-15 см.
Смарт-карты
В отличие от магнитной карты смарт-карта содержит микропроцессор и
контактные площадки для подачи питания и обмена информацией со считывателем.
Смарт-карта имеет очень высокую степень защищенности. Именно с ней до сих пор
связаны основные перспективы развития такого рода ключей и надежды многих
разработчиков систем защиты.
Технология смарт-карт существует и развивается уже около двадцати лет, но
достаточно широкое распространение получает только последние несколько лет.
Очевидно, что смарт-карта, благодаря большому объему памяти и функциональным
возможностям, может выступать и в роли ключа, и в роли пропуска и одновременно
являться банковской карточкой. В реальной жизни такое совмещение функций
реализуют достаточно редко.
Для работы со смарт-картой компьютер должен быть оснащен специальным
устройством: встроенным или внешним картридером. Внешние картридеры могут
подключаться к различным портам компьютера (последовательному, параллельному
или клавиатурному порту PS/2, PCMCIA-слоту, SCSI или USB).
Многие карты предусматривают различные виды (алгоритмы) аутентификации. В
процессе электронного узнавания принимают участие три стороны: пользователь
карты, карта, терминальное устройство (устройство считывания карты).
Аутентификация необходима для того, чтобы пользователь, терминальное
устройство, в которое вставлена карта или программное приложение, которому
сообщаются параметры карты, могли выполнять определенные действия с данными,
находящимися на карте. Правила доступа назначаются разработчиком приложения при
создании структур данных на карте.
Электронные жетоны
Сейчас в различных системах, требующих идентификации пользователя или
владельца, в качестве пропусков широко используются электронные жетоны (или так
называемые token-устройства). Известный пример такого жетона - электронная
"таблетка" (рис. 1). "Таблетка" выполнена в круглом корпусе
из нержавеющей стали и содержит чип с записанным в него уникальным номером.
Аутентификация пользователя осуществляется после прикосновения такой
"таблетки" к специальному контактному устройству, обычно
подключаемому к последовательному порту компьютера. Таким образом, можно
разрешать доступ в помещение, но можно и разрешать работу на компьютере или
блокировать работу на компьютере несанкционированных пользователей.
Для удобства "таблетка" может закрепляться на брелоке или
запрессовываться в пластиковую оболочку.
В настоящее время эти устройства широко используются для управления
электромеханическими замками (двери помещений, ворота, двери подъездов и т.п.).
Однако их "компьютерное" использование также достаточно эффективно.
Все три перечисленных группы ключей являются пассивными по своей сути.
Они не выполняют никаких активных действий и не участвуют в процессе
аутентификации, а только отдают хранящийся код. В этом заключается их основная
область.
Жетоны обладают несколько лучшей износоустойчивостью, чем магнитные
карты.
Заключение
Таким образом, проблема защиты банковской информации слишком серьезна,
чтобы банк мог пренебречь ею. В последнее время в отечественных банках
наблюдается большое число случаев нарушения уровня секретности. Примером
является появление в свободном доступе различных баз данных на компакт-дисках о
коммерческих компаниях и частных лицах. Теоретически, законодательная база для
обеспечения защиты банковской информации существует в нашей стране, однако ее
применение далеко от совершенства. Пока не было случаев, когда банк был наказан
за разглашение информации, когда какая-либо компания была наказана за
осуществление попытки получения конфиденциальной информации.
Защита информации в банке - это задача комплексная, которая не может
решаться только в рамках банковских программ. Эффективная реализация защиты
начинается с выбора и конфигурирования операционных систем и сетевых системных
средств, поддерживающих функционирование банковских программ. Среди
дисциплинарных средств обеспечения защиты следует выделить два направления: с
одной стороны - это минимально достаточная осведомленность пользователей
системы об особенностях построения системы; с другой - наличие многоуровневых
средств идентификации пользователей и контроля их прав.
В разные моменты своего развития АБС имели различные составляющие защиты.
В российских условиях большинство банковских систем по уровню защиты следует
отнести к системам первого и второго уровня сложности защиты:
-й уровень - использование программных средств, предоставляемых
стандартными средствами операционных систем и сетевых программ;
-й уровень - использование программных средств обеспечения безопасности,
кодирования информации, кодирования доступа.
Обобщая все вышесказанное, я пришла к выводу, что работая в банковской
сфере, необходимо быть уверенным в том, что корпоративная и коммерческая
информация останутся закрытыми. Однако следует заботиться о защите не только
документации и иной производственной информации, но и сетевых настроек и
параметров функционирования сети на машине.
Задача защиты информации в банке ставится значительно жестче, нежели в других
организациях. Решение такой задачи предполагает планирование организационных,
системных мероприятий, обеспечивающих защиту. При этом, планируя защиту,
следует соблюдать меру между необходимым уровнем защиты и тем ее уровнем, когда
защита начинает мешать нормальной работе персонала.
Приложения
Список персонала типичной АСОИБ и соответствующая степень риска от
каждого из них:
. Наибольший риск: системный контролер и администратор безопасности.
. Повышенный риск: оператор системы, оператор ввода и подготовки данных,
менеджер обработки, системный программист.
. Средний риск: инженер системы, менеджер программного обеспечения.
. Ограниченный риск: прикладной программист, инженер или оператор по
связи, администратор баз данных, инженер по оборудованию, оператор
периферийного оборудования, библиотекарь системных магнитных носителей,
пользователь-программист, пользователь-операционист.
. Низкий риск: инженер по периферийному оборудованию, библиотекарь
магнитных носителей пользователей, пользователь сети.
Рис. 1. Магнитная карточка
Рис. 2. Proximity-карта
Рис. 3. Смарт-карта
Рис. 4. Электронные жетоны
Статистика потерь для Visa и MasterCard
|
Причина
|
Доля в общих потерях, %
|
Мошенничество продавца
|
22.6
|
Украденные карты
|
Подделка карт
|
14.3
|
Изменение рельефа карты
|
8.1
|
Потерянные карты
|
7.5
|
Неправильное применение
|
7.4
|
Мошенничество по телефону
|
6.3
|
Мошенничество при пересылке почтой
|
4.5
|
Почтовое мошенничество
|
3.6
|
Кражи при производстве пересылке
|
2.9
|
Сговор с владельцем карточки
|
2.1
|
Прочие
|
3.5
|