Смекни!
smekni.com

Моделювання ефективності комплексної системи захисту автоматизованих інформаційних ресурсів комерційного банку (стр. 28 из 39)

- доступ Клієнта до свого рахунку за допомогою Інтернет з будь-якої крапки миру без використання спеціального програмного забезпечення;

- оперативність відстеження стану свого рахунку й проведення операцій за рахунок онлайновой технології;

- одержання інформації про стан рахунку й платіжних документів на мобільний телефон у вигляді SMS-Повідомлення або у вигляді листа по електронній пошті;

- відсутність необхідності яких-небудь операцій по установці, настрою-ванню й модифікації програмного забезпечення в офісі в Клієнта.

Структурна схема системи ELPay зображена на рис.2.23. Система скла-дається з наступних елементів:

- сервісів, надаваних клієнтові: "Клієнт ELPay" і "Модуль SMS/ E-mail";

- сервера додатків, розташованого в банку, що обробляє дані запитів клієнта й забезпечує взаємодію із Системою Автоматизації Банку (САБ);

- сервера баз даних, який утримує дані про стан рахунків і платежів клієнтів, нормативно-довідкову й іншу інформацію.

- АРМ Адміністратора, АРМ "Валюта" і API ELPay, розташованих на стороні банку й забезпечуючих оперативне керування системою й взаємодію інтерфейсного модуля з базою даних ELPay;

- Карт-інтерфейсу, що забезпечує взаємодію із процесінговим центром у режимі on-line для платежів з карткового рахунку й актуалізації балансу платіж-ної картки, а також є файловим шлюзом для одержання виписок і документів виписок по карткових рахунках.

Рис. 2.13. – Структурна схема інформаційних потоків в платіжно-інформаційній системі «Internet Banking»

Клієнт ELPay – це сервіс, розрахований на мобільного користувача, що з будь-якої точки підключення до Інтернет може управляти своїм рахунком. Для роботи сервісу використовується постійне з'єднання з Банком під час сеансу роботи. Спрощено технологію роботи даного сервісу можна описати в такий спосіб. Клієнт системи одержує доступ до свого рахунку за допомогою веб-браузера з будь-якого комп'ютера, що має доступ у мережу Internet. При цьому з веб-сервера на робочу станцію клієнта автоматично завантажується програмне забезпечення у вигляді апплета, реалізуючи технологію "тонкого клієнта". Апплет, завантажений з веб-сервера, забезпечує безпосередню (минаючи веб-сервер) взаємодію клієнта із серверами додатків і баз даних, що розтало-вуються в банку.

У системі ELPay використовуються наступні методи захисту:

цифровий підпис платіжного доручення (один або два підписи);

шифрування даних на прикладному рівні, переданих на ділянці "клієнт-сервер додатків";

аутентифікація при підключенні клієнта до сервера додатків;

контроль цілісності й аутентифікації завантаженого клієнтові прог-рамного забезпечення.

У системі використовуються сертифіковані кошти криптографічного захисту інформації "Шифр", зареєстровані 24.09.2007 р. у реєстрі Укрсепро №UA.1.112.0129807-07, що реалізують:

шифрування на основі алгоритму криптографічного перетворення за ДСТУ 28147-89;

процедури вироблення й перевірки електронного цифрового підпису на базі асиметричного криптографічного алгоритму ДЕРЖСТАНДАРТ 34.310-95;

процедури хеширування інформації з ДЕРЖСТАНДАРТ 34.311-95;

процедури генерації й керування ключами відповідно до затвердженого технічним завданням (UA/23154898/ 00001-01 90 01-ЛУ).

При установці серверів ELPay у банку й підключенні сервера додатків до Інтернет найбільш важливим є визначення політикиі безпеки. Реалізація політи-ки безпеки дозволить уникнути можливих атак з Інтернет, що мають метою одержати доступ до конфіденційних даних або вивести з ладу інформаційні ресурси банку. При цьому особлива небезпека укладається в можливій атаці на інформаційні сервера автоматизованої банківської системи.

Політика безпеки визначається для всіх мережних ресурсів банку, для яких можливе зіткнення з Інтернет. До їхнього числа ставляться (рис.2.24):

1. Сегмент мережі із Системою Автоматизації Банку (САБ). Даний об'єкт політики безпеки є найбільш важливим, що не допускає ніяких вхідних мереж-них з'єднань, ініціалізованих поза сегментом САБ.

2. Сервери ELPay (сервер додатків і сервер баз даних). Інформація, утримувана на цих серверах також вимагає відповідних технічних і організаційних заходів безпеки. Тут також неприпустимі ніякі вхідні з'єднання, крім передба-чених регламентом роботи сервера додатків.

3. WEB-Сервер. Даний елемент містить завантажуєме клієнтові програмне забезпечення (ПО), що, у свою чергу критично до модифікації. Захист ПО від модифікації здійснюється незалежними від веб-сервера засобами, тому вимоги до рівня безпеки веб-сервера обумовлюють лише надійністю роботи самого сервера.

Рис. 2.14. Схема основних захищаємих елементів системи «Internet Banking»

Мережні сегменти в банку, відображені на рис.2.14, фізично розділяються з допомогою межмережевого екрана (Firewall) або розподільного маршрути за-тора. База правил доступу для кожного елемента системи створюється окремо.

Таким чином, створюються наступні мережні зони:

Найбільш захищений сегмент САБ, що включає сервер САБ, АРМ Адміністратора й Интерфейсный модуль із САБ;

Сегмент ELPay, що включає Сервер Додатків і Сервер Баз Даних;

Вільно доступний веб-сервер.

На точці входу в систему з Internet перебуває межсетевой екран (firewall), що реалізує базу правил політики безпеки для кожного сегмента окремо.

Для електронного цифрового підпису (ЕЦП) платіжних документів використовуються спеціальні асиметричні криптографічні алгоритми, засновані на використанні ключової пари: секретного й відкритого ключів. Секретний ключ використовується для підпису документа, а відповідний йому відкритий ключ - для перевірки підпису в банку.

Секретний ключ перебуває тільки в клієнта й він повністю відповідає за його схоронність.

У процесі заповнення анкети клієнта банку, після визначення посадових осіб, маючих права 1-й або 2-й підписів, система провадить генерацію ключової пари, при цьому відкритий ключ передається в банк у вигляді спеціально сформованого запиту.

Даний запит містить всю уведену клієнтом інформацію й відкриті ключі, з допомогою яких будуть перевірятися цифрові підписи під платіжними доку-ментами.

Одержання відгуку на даний запит провадиться в реальному часі й свід-чить про успішний обробці запиту й завершенні процесу реєстрації.

Секретні ключі клієнта в банк не передаються й містяться на індивіду-альний носій разом з відповідними їм відкритими ключами. За схоронність секретногоключа несе відповідальність тільки його власник.

2.8 Структура та захист інформаційних потоків в системах «електронної пошти» (міжбанківська пошта НБУ, внутрішньобанківська пошта Проінвестбанку, глобальна Інтернет-пошта)

Електронна пошта — ЕП — складається загалом із вузлів — комп’ютерів, які мають змогу встановлювати один з одним з’єднання для передавання електронних листів (повідомлень) своїх абонентів. Вузли поділяються на абонентські пункти АП 1-го типу (АП-1) та абонентські пункти 2-го типу (АП-2) (поштамти).

Кожний АП-1 передає в інші вузли лише ті повідомлення, які були підготовлені його абонентами, і приймає від решти АП лише адресовані його абонентам повідомлення. На відміну від АП-1, АП-2 передає на інший поштамт або на АП-1 будь-які повідомлення.

Усяке повідомлення ЕП має бути адресованим, тобто мати свою електронну поштову адресу. Із погляду логіки для того, щоб адреса була інформативною, необхідно, аби вона включала в себе ідентифікатор абонента (кінцевого користувача — КК) і поштові координати, які визначають місцезнаходження КК. Правила адресації в різних системах ЕП відрізняються одне від одного, але ці логічні елементи присутні завжди.

Електронна пошта НБУ являє собою програмно-технічну та адміністративно-технологічну мережу, яка забезпечує обмін даними в банківській системі України. Вона призначена для надійного та якісного приймання і передавання електронних повідомлень. Джерелами та одержувачами останніх можуть бути як різні програмні продукти (зокрема й прикладні програми), так і фізичні особи. Вони є кінцевими користувачами системи. Систему ЕП НБУ створюють поштові вузли. Розрізняють Центральний, регіональні та абонентські вузли — АВ.

Центральний і регіональні вузли є абонентськими пунктами 2-го типу, а решта вузлів — АП 1-го типу. До них належать вузли, що розміщені в комерційних банках України, а також в урядових і державних установах, які взаємодіють з банківською системою. Організаційно вузли ЕП, за винятком АВ, є структурними підрозділами системи НБУ, котрі у своїй діяльності керуються чинним законодавством України, ухвалами НБУ, відповідними положеннями про ці підрозділи та положеннями про ЕП НБУ.

Центральний вузол — ЦВ — це підрозділ Центрального управління НБУ, а регіональні вузли — РВ — підрозділи відповідних територіальних управлінь НБУ.

Абонентський вузол може входити до складу будь-якої установи (КБ і т. ін.), що виконує всі умови, які ставляться в разі підімкнення абонентів до ЕП, і бере участь у роботі системи. Вузли можуть бути зв’язані між собою за допомогою виділених чи комутованих телефонних і телеграфних каналів зв’язку або через радіоканал і супутникові системи передавання даних.

Система ЕП НБУ дає змогу інтегрувати локальні обчислювальні мережі — ЛОМ, які існують в її вузлах. Використовуючи ЕП, кожний користувач робочої станції — РС — ЛОМ її вузла може відправити повідомлення у вигляді текстового файла, підготовленого з використанням довільного текстового редактора; графічного файла, що містить графічні конструкції будь-якого вигляду; файла бази даних типу .DBF; файла табличного процесора. Інший абонент, який перебуває в іншому регіоні і є користувачем ЛОМ свого вузла, може приймати ці повідомлення на свою РС.