SSL. С целью обеспечения защиты электронного документооборота в своих бизнес системах Альфа-Банк ввел в эксплуатацию Удостоверяющий центр.
Удостоверяющий центр предназначен для управления ключевой системой и является одним из основных компонентов инфраструктуры открытых ключей. Программные компоненты, обеспечивающие функционирование Удостоверяющего центра имеют все необходимые сертификаты соответствия и позволяют использовать при формировании сертификатов открытых ключей пользователей российские криптографические алгоритмы хеширования (ГОСТ Р 34.11–94) и электронной цифровой подписи (ГОСТ Р 34.10–2001). Следовательно, нет затрат на создание и подписание сертификата. Затраты на ПО также отсутствуют.
После того, как был определен способ защиты от НСД, этот способ был представлен на рассмотрение вышестоящему руководству: руководителю розничного бизнеса, руководителю службы экономической безопасности (СЭБ), руководителю ИТ- отдела филиала «Тюменский». После рассмотрения предложенного способа, было принято решение отправить всю документацию по предложенному методу в Москву на дальнейшее рассмотрение. Руководители этих отделов поставили свою «визу» на этом решении.
После рассмотрения предложенного метода, было принято решение протестировать его на «тихих» торговых точках («Мир» Гипермаркет Южный, магазин «Samsung» ). Это точки с минимальным процентом выдачи кредитов.
Программистам было дано задание изменить существующий код приложения в соответствии с предложенным мною методом. Разработать дублирующий вариант подключения к кредитной среде, так как отказаться от используемого в настоящий момент метода полностью невозможно. Этот вариант работы будет привязан всего к нескольким точкам и некоторым специалистам по продажам. Программистам понадобилось примерно 2,5 недели на внедрение этого метода.
Программистами были высланы новые адреса подключения к кредитной среде. Старший специалист сетевой поддержки произвел перенастройку подключения на торговых точках. Все материалы по разработке и внедрению нового метода относятся к коммерческой тайне банка и не подлежат огласке.
В течение месяца на предложенных торговых точках («Мир» и «Samsung») проходило тестирование предложенного метода. Специалисты по продажам получили инструкции по работе с новым вариантом программы. Все возникающие ошибки они должны были отправлять в службу поддержки банка, для своевременного устранения неполадок.
В момент тестовой эксплуатации, предложенная технология стабильно обеспечивает должный уровень информационной безопасности. Решение об использовании этой технологии, как базовой для других точек будет рассматриваться руководством после более продолжительного функционирования тестовых точек (около 6 месяцев).
Безопасность данных в открытых информационных сетях, таких как Интернет, всегда будет источником серьезного беспокойства для разработчиков и клиентов. Поэтому для любого используемого продукта крайне важно создать безопасную среду исполнения.
В ходе моей работы были выполнены следующие задачи: была изучена существующая технология доступа, были выявлены ее недостатки. Был сделан вывод о том, что программно-аппаратные средства, которые используют в банке, хоть и обеспечивают соответствующий уровень безопасности передачи данных, но требуют очень много затрат. И периодически, выходя из строя, замедляют работу банка. Проведен анализ возможных рисков и подходящих технологий программной и аппаратной защиты. На основе анализа был сделан вывод о том, что технология доступа с использованием защищенного канала связи SSL более удобна, чем технология с использованием протокола IPSec. Была произведена предварительная оценка затрат на новую технологию. В результате можно сделать вывод, что использование технологии SSl позволяет сократить затраты на обеспечение информационной безопасности, сократить значительное время простоя торговой точки. Был рассмотрен ряд программно-аппаратных технологий, обеспечивающих двухфакторную защиту от несанкционированного доступа. И выбран один метод- «Альфа- Клик» в качестве внедряемой технологии. Результаты оценки экономической эффективности еще больше помогли утвердиться в принятии окончательного решения. Предложенная разработка технологии защищенного доступа внедрена на нескольких тестовых точка. За время тестирования результаты дипломной работы будут более тщательно изучены руководством банка. По истечению тестового периода, проанализировав полученные результаты , руководство банка примет окончательное решение: оставить используемую технологию или перейти к внедрению новых технологий, рассмотренных в данной работе.
Список использованной литературы:
1) Браун, С. “Мозаика” и “Всемирная паутина” для доступа к Internet: Пер. c англ. - М.: Мир: Малип: СК Пресс, 1999. - 167c.
2) Кочерян, Р. Схема инета /Р.Кочерян //Спец Хакер. - 2002. - №11 – С.4-9.
3) Левин, М. Энциклопедия: Справочник хакера и системного администратора [Электронный ресурс]. – Электрон. текстовые, граф дан.(35Мб). – М., 2005 – 1 электрон. опт. диск (CD-ROM):цв; Систем. требования: ПК Pentium166 MHz, 32 Mb RAM, 4-x CD-ROM, звуковая карта, SVGA, Windows 98/Me/XP/2000.
4) Левин, В.К. Защита информации в информационно-вычислительных cистемах и сетях /В.К. Левин// Программирование. - 2004. - N5. - C. 5-16.
5) Об информации, информатизации и защите информации: Федеральный Закон // Российская газета. - 2005. - 22 февраля. - C. 4.
6) Уголовный кодекс Российской Федерации. – М, 2005.
7). Потапова Н. Информационная безопасность: системный подход // Connect. Мир связи. 2004. № 1 (95). С. 96—98
8). Бармен С. Разработка правил информационной безопасности: пер. с англ. М.: Издательский дом «Вильямс», 2002. 208 с.
9).Корт С. С., Боковенко И. Н. Язык описания политик безопасности. Проблемы информационной безопасности // Компьютерные системы. 1999. № 1. С. 17—25
10).Теория и практика информационной безопасности / под ред. П. Д. Зегжды. М.: Яхтсмен, 1996. 192 с.
11). Баранов А. П., Борисенко Н. П., Зегжда П. Д., Корт С. С., Ростовцев А. Г. Математические основы информационной безопасности. Орел, 1997).
12).Гайкович В., Першин А. Безопасность электронных банковских систем. М., 1993. 370 с.
13) Хмелев Л. Оценка эффективности мер безопасности, закладываемых при проектировании электронно-информационных систем. Труды научно-технической конференции «Безопасность информационных технологий» // Пенза – 2001 - № 6 – с. 17 – 22
14) Соколов А.В., Шаньгин В.Ф. Защита информации в распределенных корпоративных сетях и системах. — М.: ДМК Пресс, 2002 — 226-227
Интернет- сайты:
http://www.alfabank.ru
http://www.it2b.ru
http://www.bre.ru
http://www.expert.ru
http://www.aerosib.ru
http://www.m2system.ru
http://www.lanwan.ru
http://www.aladdin.ru