Безопасность банковских систем
При создании своих электронных систем банкам необходимо уделить как можно больше внимания защите и обеспечению их безопасности. Обычно различают внутреннюю и внешнюю безопасность. Внутренняя безопасность обязана обеспечивать целостность программ и данных и нормальную работу всей системы. Внешняя безопасность должна защищать от любых, угрожающих сбоем в системе, проникновений. В настоящее время… Читать ещё >
Безопасность банковских систем (реферат, курсовая, диплом, контрольная)
При создании своих электронных систем банкам необходимо уделить как можно больше внимания защите и обеспечению их безопасности. Обычно различают внутреннюю и внешнюю безопасность. Внутренняя безопасность обязана обеспечивать целостность программ и данных и нормальную работу всей системы. Внешняя безопасность должна защищать от любых, угрожающих сбоем в системе, проникновений. В настоящее время существуют два подхода к построению защиты банковских систем:
- — комплексный подход — объединяет разнообразные методы противодействия угрозам;
- — фрагментарный подход, т. е. противодействие определенным угрозам (антивирусные средства и т.н.).
Комплексный подход применяется для защиты крупных систем (например, международных межбанковских сетей). В 1985 г. Национальным центром компьютерной безопасности Министерства обороны США была опубликована «Оранжевая книга», в которой приводился свод правил и норм, а также основные понятия защищенности информационно-вычислительных систем. В дальнейшем эта книга превратилась в настоящее руководство к действию для специалистов по защите информации. В ней определяются такие понятия.
1. Политика безопасности — совокупность норм, правил и методик, на основе которых в дальнейшем строится деятельность информационной системы в области обращения, хранения, распределения критичной информации.
Политика безопасности определяет:
- 1.1. Цели, задачи, приоритеты системы безопасности.
- 1.2. Гарантированный минимальный уровень защиты.
- 1.3. Обязанности персонала по обеспечению защиты.
- 1.4. Санкции за нарушение защиты.
- 1.5. Области действия отдельных подсистем.
- 2. Анализ риска, который состоит из нескольких этапов:
- 2.1. Описание состава системы (документация, аппаратные средства, данные, персонал и т. д.).
- 2.2. Определение уязвимых мест по каждому элементу системы.
- 2.3. Оценка вероятности реализации угроз.
- 2.4. Оценка ожидаемых размеров потерь.
- 2.5. Анализ методов и средств защиты.
- 2.6. Оценка оптимальности предлагаемых мер.
Окончательно анализ риска выливается в стратегический план обеспечения безопасности, важным при этом является разбивка информации на категории. Наиболее простой метод категорирования информации таков: конфиденциальная информация, доступ к которой строго ограничен; открытая информация, доступ к которой посторонних не связан с материальными и другими потерями. Для деятельности коммерческого банка такой градации вполне достаточно.
Наиболее распространенными угрозами безопасности являются:
- — несанкционированный доступ, который заключается в получении пользователем доступа к объекту, на который нет разрешения;
- — «взлом системы» — умышленное проникновение, основную нагрузку защиты в этих случаях несет программа входа;
- — «маскарад» — выполнение каких-либо действий одним пользователем банковской системы от имени другого;
- — вирусные программы — воздействие на систему специально созданными программами, которые сбивают процесс обработки информации, и т. д.
В зависимости от существующих угроз различают следующие направления защиты банковских электронных систем.
- 1. Защита аппаратуры и носителей информации от повреждения, похищения, уничтожения.
- 2. Защита информационных ресурсов от несанкционированного использования.
- 3. Защита информационных ресурсов от несанкционированного доступа.
- 4. Защита информации в каналах связи и узлах коммутации (блокирует угрозу прослушивания).
- 5. Защита юридической значимости электронных документов.
- 6. Защита систем от вирусов.
Существуют различные программно-технические средства защиты.
К классу технических средств относятся: средства физической защиты территорий, сети электропитания; аппаратные и аппаратно-программные средства управления доступом к персональным компьютерам, комбинированные устройства и системы.
К классу программных средств защиты относятся: проверка паролей, программы шифрования (криптографического преобразования), программы цифровой подписи, средства антивирусной защиты, программы восстановления и резервного хранения информации. Руководящие документы в области защиты информации разработаны в России Государственной технической комиссией (ГТК) при Президенте РФ. Для коммерческих структур эти документы носят рекомендательный характер, а в государственном секторе и при содержании информации, относящейся к государственной тайне, они обязательны к исполнению. Сегодня хороших технологий защиты данных вполне хватает, но постоянно появляются новые. Компания Intel, процессорами которой оснащены 85% всех персональных компьютеров в мире, объявила, что скоро начнет выпускать чипы, в которых данные будут защищаться на аппаратном уровне, автоматически. США установили ограничения на экспорт мощных шифровальных технологий. Безопасность — один из наиболее важных вопросов интернет-банкинга, который волнует как самих банкиров, так и их потенциальных клиентов. Несмотря на то, что периодически появляются новые вирусы и развиваются хакерские методики, существуют технологии, которые практически сводят на нет вероятность краж в Интернете. Кражи как таковые происходят достаточно редко. Большинство действий хакеров в Интернете относится к категории вандализма. Банки должны не только брать на вооружение самые современные методы обеспечения безопасности интернет-транзакций, но и в упреждающем режиме доводить свою политику в сфере безопасности до сведения общественности. Клиент должен быть уверен, что в его банке применяются процедуры, позволяющие создать максимально безопасную среду интернет-банкинга. Пользователя, как правило, интересуют два вопроса из области безопасности — идентификация личности и защищенность самих транзакций. Все более популярным становится использование смарт-карт и генераторов случайных паролей. При осуществлении транзакций есть необходимость обеспечения безопасности любых телекоммуникаций, передачи информации, а также предотвращения их перехвата или искажения «в пути». Существующие на сегодня стандарты шифрования — вполне надежное средство обеспечения безопасности в этой области. При использовании открытых и частных ключей шифрования декодирование данных в процессе передачи является практически невозможным.