Помощь в написании студенческих работ
Антистрессовый сервис

Хранение информации о банках

Реферат: Хранение информации о банках
РефератПомощь в написанииУзнать стоимостьмоей работы

В данной дипломной работе анализируются угрозы информационной безопасности, возникающие в связи с внедрением подсистемы автоматизации обработки заявок, не затрагивая безопасность основной информационной системы УЦ в целом. Целью нарушения конфиденциальности информации злоумышленником может быть получение базы клиентов УЦ. Факт разглашения данной информации может послужить поводом для… Читать ещё >

Хранение информации о банках (реферат, курсовая, диплом, контрольная)

Для удобства пользователя, а также сокращения числа ошибок, при заполнении информации о банке клиента используется автоматическое заполнение. При вводе банковского идентификационного кода (БИК) информация о названии и корреспондентском счет берется из базы данных.

В качестве сервера базы данных используется MS SqlServer. Данная БД состоит из одной таблицы, ниже перечислены основные поля:

  • · Id — идентификатор записи;
  • · Name — название банка;
  • · Adr — адрес банка;
  • · Bik — БИК банка;
  • · Tels — телефоны банка.

Пример запроса:

https: // o. ke72.ru/PublicApi/GetBankByBik? bik=44 525 225.

Ответ сервера в формате JSON:

[{" Name": «ОАО „СБЕРБАНК РОССИИ“ „, „Bik“: „44 525 225“, „KS“: „30 101 810 400 000 000 000“, „Address“: „УЛ. ВАВИЛОВА, 19″ ,“ City“: „МОСКВА“ ,» Tel": «(495) 5 005 550,88005555550» }].

После получения ответа от сервера, заполнение полей производится при помощи JavaScript.

Глава 3. Обеспечение безопасности автоматизированной системы обработки заявок УЦ

Разработанная система является расширением CRM — системы используемой в УЦ. Все необходимые мероприятия по обеспечению ИБ действующий УЦ были проведены соответствующими специалистами до разработки системы ОЗК.

Очевидно, после внедрения системы ОЗК список актуальных угроз расширяется, т.к. появляется дополнительный объект для реализации угроз информационной безопасности, которые ранее не были учтены.

В данной дипломной работе анализируются угрозы информационной безопасности, возникающие в связи с внедрением подсистемы автоматизации обработки заявок, не затрагивая безопасность основной информационной системы УЦ в целом.

Модель нарушителя

Для системы ОЗК нарушителей можно разделить на две группы:

  • · Внутренний нарушитель — физическое лицо, имеющий доступ к основной информационной системе УЦ.
  • · Внешний нарушитель — физическое лицо, не имеющий доступ к основной информационной системе УЦ. Взаимодействие с разработанной системой автоматизации осуществляется через Интернет.

Внутренний нарушитель

В качестве внутренних нарушителей я рассматриваю лиц, являющихся работниками УЦ и имеющих доступ к CRM-системе в УЦ. К этой группе относятся:

  • · системный администратор основной ИС УЦ (Категория 1);
  • · менеджер по работе с клиентами (Категория 2);
  • · оператор (Категория 3).

Лица, относящиеся к категории 1, потенциально могут реализовывать угрозы ИБ, используя возможности по непосредственному доступу к защищаемой информации, обрабатываемой и хранимой в ИС УЦ, а также к техническим и программным средствам ИС [14].

Лица, категории 2 имеют доступ CRM-системе, в которой хранится информация о клиентах УЦ.

Лица, категории 3 имеют доступ к локальной сети УЦ.

Нарушители категории 2 и 3 исключаются из актуальных ввиду архитектурных решений, примененных при разработке системы автоматизации. Данные решения позволили исключить взаимодействие нарушителей данных категорий с рассматриваемой системой.

К нарушителям категории 1, применяться комплекс особых организационных мер по их подбору, принятию на работу, назначению на должность и контролю выполнения функциональных обязанностей. Предполагается, что в число лиц категорий 1 будут включаться только доверенные лица и поэтому указанные лица исключаются из числа вероятных нарушителей [14].

Внешний нарушитель

К данной группе относятся лица, взаимодействующие с системой ОЗК удаленно, через сеть Интернет.

Предполагается, что лица данной группы относятся к вероятным нарушителем.

Цели реализации угроз информационной безопасности

Основными информационными ресурсами, обрабатываемыми в подсистеме являются следующие.

  • 1. Целевая информация
  • · персональные данные клиентов УЦ;
  • · информация о подключенных услугах и сертификатах выданных УЦ.
  • 2. Технологическая информация:
    • · конфигурационные файлы;
    • · средства и принципы защиты, применяемые в подсистеме.

Основными целями реализации угроз для злоумышленника могут быть нарушением целостности, конфиденциальности и доступности информации о клиентах УЦ.

Целью нарушения конфиденциальности информации злоумышленником может быть получение базы клиентов УЦ. Факт разглашения данной информации может послужить поводом для репутационных потерь, а также оттока клиентов.

Целью нарушения целостности и доступности информации злоумышленником, может быть желание приостановить работу УЦ, что скажется на финансовых показателях удостоверяющего центра и клиентов данной организации.

Перечень актуальных угроз и меры по обеспечению безопасности системы

В данном списке содержатся угрозы актуальные для системы ОЗК. Выбор производился на основании базовой модели безопасности угроз [15]. Актуальность данных угроз обусловлено мнением экспертов в области ИБ.

Угрозы «Анализа сетевого трафика» с перехватом передаваемой во внешние сети и принимаемой из внешних сетей информации

Для противодействия данным угрозам используются защищенные каналы связи. Передача информации между клиентом и системой ОЗК, а также между CRM-системой и системой ОЗК с использованием шифрования.

Угрозы сканирования, направленные на выявление типа операционной системы ИСПДн, сетевых адресов рабочих станций, открытых портов и служб, открытых соединений и др.

Для противодействия данным угрозам проведены следующие меры:

  • · произведена настройка Firewall таким образом, чтобы сетевые порты, кроме 443 были закрыты;
  • · удалена информация из заголовков http-ответа сервера способная раскрыть платформу разработки и версии ПО;
  • · была изменено название переменной для хранения сессии в cookies пользователя.

Угрозы выявления паролей

Для противодействия данным угрозам используются защищенные каналы связи.

Угрозы получения НСД

Для противодействия данным угрозам были применены следующие методы:

  • · вход в закрытую часть сайта ОЗК производится по сертификату;
  • · фильтрация запросов в CRM-систему;
  • · доступ к серверу по RDP с определенных IP-адресов;
  • · обновление системы.

Угрозы типа «Отказ в обслуживании»

Для противодействия данным угрозам были проведены следующие мероприятия:

  • · использование параметризированных запросов в БД MS Sql Server;
  • · использование CAPTCHA для предотвращения отправки большого числа заявок;
  • · обновление системы.

Угрозы удаленного запуска приложений

Для противодействия данным угрозам были проведены следующие мероприятия:

· установка антивирусного ПО.

Также были проведены мероприятия по предотвращению следующих уязвимостей:

  • · Cross-Site Request Forgery. Данная уязвимость решается использованием инструментов, которые входят в платформу разработки (ASP.net MVC). Для устранения данной уязвимости нужно передавать специальные маркеры при каждом запросе, что предотвращает подделку запроса от пользователя.
  • · Cross-Site Scripting (XSS). Данную уязвимость позволяет избежать путем проверки содержимого запросов, а также экранирования при выводе информации пользователю. Данные функции по предотвращению XSS входят в выбранную платформу разработки (ASP.net MVC).
Показать весь текст
Заполнить форму текущей работой

Сессия? Спокойно!