Вступ
З часу своєї появи банки незмінно викликали злочинний інтерес. І цей інтерес був пов'язаний не тільки зі зберіганням в кредитних організаціях грошових коштів, але і з тим, що в банках зосереджувалася важлива і часто секретна інформація про фінансової та господарської діяльності багатьох людей, компаній, організацій і навіть цілих держав. В даний час в результаті широкого розповсюдження електронних платежів, пластикових карт, комп'ютерних мереж об'єктом інформаційних атак стали безпосередньо грошові кошти як банків, так і їх клієнтів. Здійснити спробу розкрадання може будь-який - необхідно лише наявність комп'ютера, підключеного до мережі Інтернет. Причому для цього не потрібно фізично проникати в банк, можна «працювати» і за тисячі кілометрів від нього.
Саме ця проблема є зараз найбільш актуальною і найменш дослідженою. Якщо в забезпеченні фізичної та класичної інформаційної безпеки давно вже вироблені усталені підходи (хоча розвиток відбувається і тут), то в зв'язку з частими радикальними змінами в комп'ютерних технологіях методи безпеки автоматизованих систем обробки інформації банку (АСОІБ) вимагають постійного оновлення. Як показує практика, не існує складних комп'ютерних систем, що не містять помилок. А оскільки ідеологія побудови великих АСОІБ регулярно змінюється, то виправлення знайдених помилок і «дірок» в системах безпеки вистачає ненадовго, так як нова комп'ютерна система приносить нові проблеми і нові помилки, змушує по-новому перебудовувати систему безпеки.
1.:
Збережена і обробляється в банківських системах інформація є реальні гроші. На підставі інформації комп'ютера можуть проводитися виплати, відкриватися кредити, переводитися значні суми. Цілком зрозуміло, що незаконне маніпулювання з такою інформацією може призвести до серйозних збитків. Ця особливість різко розширює коло злочинців, що роблять замах саме на банки (на відміну від, наприклад, промислових компаній, внутрішня інформація яких мало кому цікава).
Інформація в банківських системах зачіпає інтереси великої кількості людей і організацій - клієнтів банку. Як правило, вона конфіденційна, і банк несе відповідальність за забезпечення необхідного ступеня секретності перед своїми клієнтами. Природно, клієнти вправі очікувати, що банк повинен дбати про їхні інтереси, в іншому випадку він ризикує своєю репутацією з усіма наслідками, що випливають звідси наслідками.
. Конкурентоспроможність банку залежить від того, наскільки клієнтові зручно працювати з банком, а також наскільки широкий спектр послуг, що надаються, включаючи послуги, пов'язані з віддаленим доступом. Тому клієнт повинен мати можливість швидко і без утомливих процедур розпоряджатися своїми грошима. Але така легкість доступу до грошей підвищує ймовірність злочинного проникнення в банківські системи.
Інформаційна безпека банку (на відміну від більшості компаній) повинна забезпечувати високу надійність роботи комп'ютерних систем навіть у випадку нештатних ситуацій, оскільки банк несе відповідальність не тільки за свої кошти, а й за гроші клієнтів.
Банк зберігає важливу інформацію про своїх клієнтів, що розширює коло потенційних зловмисників, зацікавлених у крадіжці або псування такої інформації.
На жаль, в наші дні, в зв'язку з високим розвитком технологій, навіть гранично жорсткі організаційні заходи щодо впорядкування роботи з конфіденційною інформацією не захистять від її витоку по фізичним каналам. Тому системний підхід до захисту інформації вимагає, щоб кошти і дії, що використовуються банком для забезпечення інформаційної безпеки (організаційні, фізичні та програмно-технічні), розглядалися як єдиний комплекс взаємопов'язаних, взаємодоповнюючих і взаємодіючих заходів. Такий комплекс повинен бути націлений не тільки на захист інформації від несанкціонованого доступу, а й на запобігання випадкового знищення, перекручення або розголошення інформації.
Існує кілька основних способів забезпечення безпеки програмно-технічного середовища, що реалізуються різними методами:
1. Ідентифікація (аутентифікація) та авторизація за допомогою паролів.
1.1 Створення профілів користувачів. На кожному з вузлів створюється база даних користувачів, їх паролів і профілів доступу до локальних ресурсів обчислювальної системи.
1.2 Створення профілів процесів. Завдання аутентифікації виконує незалежний (third-party) сервер, який містить паролі, як для користувачів, так і для кінцевих серверів (в разі групи серверів, базу даних паролів також містить тільки один (master) сервер аутентифікації, решта - лише періодично оновлювані копії) . Таким чином, використання мережевих послуг вимагає двох паролів (хоча користувач повинен знати тільки один - другий надається йому сервером «прозорим» чином). Очевидно, що сервер стає вузьким місцем всієї системи, а його злом може негативно вплинути на безпечність всієї обчислювальної мережі.
2. Інкапсуляція переданої інформації в спеціальних протоколах обміну. Використання подібних методів в комунікаціях засноване на алгоритмах шифрування з відкритим ключем. На етапі ініціалізації відбувається створення пари ключів - відкритого і закритого, наявного тільки у того, хто публікує відкритий ключ. Суть алгоритмів шифрування з відкритим ключем полягає в тому, що операції шифрування і дешифрування виробляються різними ключами (відкритим і закритим відповідно).
3. Обмеження інформаційних потоків. Це відомі технічні прийоми, що дозволяють розділити локальну мережу на пов'язані підмережі і здійснювати контроль і обмеження передачі інформації між цими подсетями.
3.1 Firewalls (брандмауери). Метод має на увазі створення між локальною мережею банку та іншими мережами спеціальних проміжних серверів, які інспектують, аналізують і фільтрують весь проходить через них потік даних (трафік мережевого / транспортного рівнів). Це дозволяє різко знизити загрозу несанкціонованого доступу ззовні в корпоративні мережі, але не усуває цю небезпеку зовсім. Більш захищена різновид методу - це спосіб маскараду (masquerading), коли весь вихідний з локальної мережі трафік посилається від імені firewall-сервера, роблячи закриту локальну мережу практично невидимою.
3.2 Proxy-servers. При цьому методі вводяться жорсткі обмеження на правила передачі інформації в мережі: весь трафік мережевого / транспортного рівнів між локальної та глобальної мережами забороняється повністю - просто відсутня маршрутизація як така, а звернення з локальної мережі в глобальну відбуваються через спеціальні сервери-посередники. Очевидно, що при цьому методі звернення з глобальної мережі в локальну стають неможливими в принципі. Очевидно також, що цей метод не дає достатнього захисту проти атак на більш високих рівнях, наприклад на рівні програмного додатка.
4. Створення віртуальних приватних мереж (VPN) дозволяє ефективно забезпечувати конфіденційність інформації, її захист від прослуховування або перешкод при передачі даних. Вони дозволяють встановити конфіденційну захищений зв'язок у відкритій мережі, якою зазвичай є інтернет, і розширювати межі корпоративних мереж до віддалених офісів, мобільних користувачів, домашніх користувачів і партнерів по бізнесу. Технологія шифрування усуває можливість перехоплення повідомлень, переданих по віртуальної приватної мережі, або їх прочитання особами, відмінними від авторизованих одержувачів, за рахунок застосування передових математичних алгоритмів шифрування повідомлень і додатків до них. Концентратори серії Cisco VPN 3000 багатьма визнаються кращим у своїй категорії рішенням віддаленого доступу по віртуальних приватних мереж. Концентратори Cisco VPN 3000, що володіють найпередовішими можливостями з високою надійністю і унікальною, цілеспрямованою архітектурою. Дозволяють корпораціям створювати інфраструктури високопродуктивних, нарощуваних і потужних віртуальних приватних мереж для підтримки відповідальних додатків віддаленого доступу. Ідеальним знаряддям створення віртуальних приватних мереж від одного мережевого об'єкта до іншого служать маршрутизатори Cisco, оптимізовані для побудови віртуальних приватних мереж, до яких відносяться маршрутизатори Cisco 800, 1700, 2600, 3600 7100 і 7200.
5. Системи виявлення вторгнень і сканери уразливості створюють додатковий рівень мережевої безпеки. Хоча міжмережеві екрани пропускають або затримують трафік в залежності від джерела, точки призначення, порту або інших критеріїв, вони фактично не аналізують трафік на атаки і не ведуть пошук уразливих місць в системі. Крім того, міжмережеві екрани зазвичай не борються з внутрішніми загрозами, що виходять від "своїх". Система виявлення вторгнень Cisco Intrusion Detection System (IDS) може захистити мережу по периметру, мережі взаємодії з бізнес-партнерами і все більш вразливі внутрішні мережі в режимі реального часу. Система використовує агенти, що представляють собою високопродуктивні мережеві пристрої, для анали