Смекни!
smekni.com

Моделювання ефективності комплексної системи захисту автоматизованих інформаційних ресурсів комерційного банку (стр. 18 из 39)

АБС дозволяє одночасно й повнофункціонально працювати в різних банківських днях. Це особливо корисно, коли необхідно при роботі в системі «електронних платежів» СЕП у поточному дні, одночасно контролювати проводки в минулому дні перед формуванням статистичної звітності НБУ.

АБС «БАРС-Millennium» – гнучка система розвитку автоматизації банка, що дозволяє набудовувати й створювати нові операції, нові запити, нові функ-ції, нові робочі місця й т.д.

Основні загрози безпеки АБС можна розподілити на такі групи: інформаційні, програмно-математичні, фізичні, радіоелектронні, організаційно-правові (див. рис. 2.6) :

Несанкціонований доступ — вид комп’ютерних порушень, який полягає в отриманні користувачем доступу до об'єкта, на який у нього немає санкціонованого дозволу адміністратора системи.

Маніпулювання данимице свідома фальсифікація, дезинформація чи приховування даних.

Установка програмних закладокцеспеціально розроблена і приховано впроваджена в захищену систему програма, яка дає змогу зловмиснику дістати доступ до захищених ресурсів системи.

Неправильне розмежування прав доступуце надання певних повноважень особам, які не є відповідальними за ту чи іншу технологічну операцію. Будь-яка захищена система містить засоби, що використовуються в надзвичайних ситуаціях, коли користувач повинен мати можливість доступу до всіх наборів системи. Звичайно ці засоби використовуються адміністраторами, операторами, системними програмістами та іншими користувачами, що виконують спеціальні функції. Надання цих повноважень більш широкому колу спеціалістів є серйозною загрозою безпеки системи.

Кожний з користувачів системи повинен мати чіткі і обмежені його посадовими функціями права доступу до ресурсів системи. Набори прав доступу повинні охоронятися системою захисту від несанкціонованого (незаконного) їх захоплення.

До основних засобів захисту інформації можна віднести такі: фізичні засоби, апаратні засоби, програмні засоби, апаратно-програмні засоби, криптографічні та адміністративні методи.

Рис.2.6. Загрози безпеці АБС комерційного банку

Фізичні засоби захисту — це засоби, необхідні для зовнішнього захисту ЕОМ, території та об’єктів на базі обчислювальної техніки, які спеціально призначені для створення фізичних перешкод на можливих шляхах проникнення і доступу потенційних порушників до компонентів інформаційних систем та інформації, що захищаються. Спектр сучасних фізичних засобів захисту дуже широкий. Це різного роду замки, які можуть встановлюватись на вході в приміщення та на блоках системи, це системи пожежної сигналізації і т.п. До цієї групи засобів захисту також належать різні засоби екранування робочих приміщень та каналів передачі даних.

Апаратні засоби захисту — це різні електронні, електронно-механічні та інші пристрої, які вмонтовуються в серійні блоки електронних систем обробки і передачі даних для внутрішнього захисту засобів обчислювальної техніки: терміналів, пристроїв введення та виведення даних, процесорів, ліній зв’язку та ін.

Основні функції апаратних засобів захисту:

заборона несанкціонованого (неавторизованого) зовнішнього доступу віддаленого користувача;

заборона несанкціонованого (неавторизованого) внутрішнього доступу до баз даних в результаті випадкових чи зумисних дій персоналу;

захист цілісності програмного забезпечення.

Ці функції реалізуються шляхом:

ідентифікації суб’єктів (користувачів, обслуговуючого персоналу) і об’єктів (ресурсів) системи;

аутентифікації суб’єкта по наданому ним ідентифікатору;

перевірки повноважень, яка полягає в перевірці дозволу на певні види робіт;

реєстрації (протоколювання) при звертаннях до заборонених ресурсів;

реєстрації спроб несанкціонованого доступу.

Програмні засоби захисту необхідні для виконання логічних і інтелектуальних функцій захисту, які вмонтовані до складу програмного забезпечення системи.

За допомогою програмних засобів захисту реалізуються наступні задачі забезпечення безпеки:

- контроль завантаження та входу в систему за допомогою системи паролів;

- розмежування і контроль прав доступу до системних ресурсів, терміналів, зовнішніх ресурсів, постійних та тимчасових наборів даних і т.п.;

- захист файлів від вірусів;

- автоматичний контроль за роботою користувачів шляхом протоколювання їх дій.

Апаратно-програмні засоби захисту — це засоби, які основані на синтезі програмних та апаратних засобів. Ці засоби широко використовуються при аутентифікації користувачів АБС. Аутентифікація — це перевірка ідентифікатора користувача перед допуском його до ресурсів системи.

Апаратно-програмні засоби захисту використовуються також при накладанні електронно-цифрових підписів відповідальних користувачів. Найбільш поширеним в АБС є використання смарт-карт, які вміщують паролі та ключі користувачів.

Криптографічні методи захисту — це методи, основані на криптографічних перетвореннях даних, тобто на їх шифруванні.

Основні криптографічні методи захисту:

- шифрування з допомогою датчика псевдовипадкових чисел, яке полягає в тому, що генерується гамма шифра за допомогою датчика псевдовипадкових чисел і накладається на відкриті дані з врахуванням зворотності процесу;

- шифрування за допомогою криптографічних стандартів шифрування даних (з симетричною схемою шифрування), в основі якого використовуються перевірені і випробовані алгоритми шифрування даних з великою криптостійкістю, наприклад американський стандарт DES;

- шифрування за допомогою пари ключів (з асиметричною системою шифрування), в яких один ключ є відкритим і використовується для шифрування інформації, другий ключ — закритим і використовується для розшифрування інформації. Прикладом може служити метод RSA.

Криптографічні методи захисту інформації дуже широко використовуються в АБС і реалізуються у вигляді апаратних, програмних чи програмно-апаратних методів захисту.

В таблиці 2.2 наведено характеристики алгоритмів криптозахисту [35].

Таблиця 2.2

Основні експлуатаційні характеристики застосування криптозахисту в АБС банка

Характеристика DES RSA
Вид алгоритму Одноключовий Двоключовий
Швидкість роботи Швидко Повільно
Функція, що використовується Перестановка і підстановка Піднесення до степеня
Довжина ключа 56 біт 300-600 біт
Найменш затратний криптоаналіз Перебір по всьому ключовому простору Розкладання модуля
Стійкість Теоретична Практична
Часові витрати на розкриття Століття Залежать від довжини ключа
Час генерації
ключів
Міллі-секунди Десятки секунд
Тип ключа Симетричний Асиметричний

Порівняльний аналіз алгоритмів криптозахисту дає можливість відмітити такі їх особливості. Алгоритм RSA працює приблизно в тисячу разів повільніше за алгоритм DES і потребує в десять раз довших ключів, його стійкість теоретично не доведена. Але велика перевага RSA полягає у відсутності необхідності організації строго засекреченої процедури обміну ключами.

Тому в АБС потрібно застосовувати гібридні системи, засновані на двох алгоритмах, використовувати їх переваги.

Адміністративні засоби захисту — це заходи організаційного характеру, регламентуючі процеси функціонування АБС, використання її ресурсів, діяльність персоналу і т. д. Мета цих заходів в найбільшій мірі перешкодити та виключити можливість реалізації загроз безпеки. Адміністративно-організаційних заходів багато. Наведемо лише деякі:

- розробка чіткої технології обробки інформації в АБС та контроль за її дотриманням;

- організація захисту від встановлення прослуховуючої апаратури в приміщеннях інформаційних служб;

- ретельний відбір персоналу (перевірка нових співробітників, ознайомлення їх з порядком роботи з конфіденційною інформацією, з мірами відповідальності за порушення правил її обробки).

АБС «BARS Millennium» надає досить великий, але зрозумілий інстру-мент адміністрування самої АБС. Функції, що входять у цей модуль, управ-ляють наступними об'єктами: Користувачі; Функції; Звіти; Довідники; АРМ; Банківські операції; Групи візування операцій; Рахунки, групи доступу до рахунків.

Маніпулюючи доступами до цього об'єктами, адміністратор може ство-рити оптимальну презентативную конфігурацію системи для кожного користувача. Передбачено варіанти передачі прав одного користувача іншому, як тимчасові, так і постійні.

Усяке адміністративне втручання підтверджується користувачем із групи «Безпека», що зменшує ризик зловмисних дій з боку адміністратора АБС.

В обов'язку адміністратора АБС входить також робота із глобальними параметрами системи, анкетою банку, ліцензією на ПО. Крім глобальних параметрів існує великий перелік локальних, які кожний користувач може змінювати самостійно, підбудовуючи інтерфейс системи під себе.

Адміністрування БД, мережних ресурсів і т.п. перекладається на плечі відповідних інструментальних коштів, що поставляються разом із цими прог-рамними продуктами.

Велика увага приділяється в АБС фінансовій безпеці. Існує спеціальний набір функціональності, що об'єднаний в АРМ «Служби безпеки». Серед його функцій:

Підтвердження видачі або анулювання прав доступу, виданих адмі-ністратором;

Керування обліковими картками користувачів (блокування, обмежен-ня доступу й т.п.)

Делегування прав одного користувача іншому;

Взаємодія із зовнішніми охоронними системами (прохідна й т.п.);