Система защиты информации в банковских системах ( Безопасность автоматизированных систем обработки информации в банках)
Содержание:
Введение
С момента своего появления банки неизменно вызывали огромный преступный интерес. Этот интерес был связан не только с хранением в банковских учреждениях денежных средств, но и с тем, что в банках концентрировалась важная и весьма секретная информация о финансовой и экономической деятельности многих людей, компаний, организаций и даже целых государств. В данный момент в результате всеобщего распространения электронных платежей, пластиковых карт, компьютерных сетей объектом информационных атак стали именно денежные средства как банков, так и их клиентов. Осуществить попытку хищения может любой – следует лишь наличие компьютера, подключенного к сети Интернет. При этом для этого не требуется физически проникать в банк, можно совершать противозаконные действия и за тысячи километров от него.
Непосредственно эта проблема является сейчас наиболее актуальной и наименее исследованной. В случае если в обеспечении физической и традиционной информационной безопасности уже давно сформированы устоявшиеся комбинации, то в связи с частыми конструктивными изменениями в компьютерных разработках способы безопасности автоматизированных систем обработки информации банка требуют непрерывного обновления. Как показывает практика, не имеется сложных компьютерных систем, не включающих ошибок. А так как философия построения крупных автоматизированных систем обработки информации банка постоянно изменяется, то исправления обнаруженных ошибок в системах безопасности хватает на некоторое время, так как новая компьютерная система дает новые проблемы и новые ошибки, вынуждает по-новому менять систему безопасности.
На мой взгляд, каждый заинтересован в конфиденциальности своих персональных данных, предоставляемых банкам. Исходя из этого, написание данной курсовой работы и изучение данной проблемы, на мой взгляд, является не только увлекательным, но и весьма полезным.
1. Характерные черты информационной безопасности банков
Банковская информация всегда была объектом пристального интереса любого рода злоумышленников. Каждое банковское преступление начинается с потери информации. Автоматизированные банковские системы считаются каналами для таких утечек. С самого начала внедрения автоматизированных банковских систем они стали объектом преступных посягательств.
Так, известно, злоумышленникам из группировки Garbanak удалось внедрить одноименную вредоносную программу в компьютеры банковских служащих, которые обрабатывали данные о ежедневном трансфере и вели бухгалтерских учет. Во многих случаях злоумышленники направляли своим жертвам зараженные электронные письма, якобы от коллег. Нажав на адрес электронной почты отправителя, сотрудника банков заносили вредоносный код. Это позволило хакерам пользоваться внутренней сетью банков в поисках сотрудников, в ведении которых находились денежные переводы. Благодаря программе хакеры могли отслеживать все действия сотрудников банков, вплоть до нажатия клавиш, и получать нужную информацию, а после дистанционно направлять в банкоматы запросы на выдачу денег или перечислять их на фальшивые счета.
В феврале 2019 года антивирусной компании McAfee подсчитали, что в 2018 году мировой ущерб от киберпреступлений составил около 600 млрд. долларов США, увеличившись примерно на 35% по сравнению с оценкой за 2014 год в 445 млрд. долларов США.
Информация – это подход общей проблемы обеспечения безопасности банковской деятельности. В связи с этим, политика информационной безопасности банков крайне сильно отличается от подобных стратегий других компаний и организаций. Это обуславливается, в первую очередь, особым характером угроз, а также общественной деятельностью банков, которые должны делать доступ к счетам довольно легким с целью удобства для клиентов.
Обыкновенная компания строит свою информационную безопасность, отталкиваясь только из узкого круга возможных угроз – основным способом защита информации от конкурентов (в российских реалиях основной задачей является защита информации от налоговых органов и преступного сообщества с целью снижения вероятности неконтролируемого роста налоговых выплат и рэкета). Подобная информация интересна лишь узкому кругу заинтересованных лиц и организаций и крайне редко бывает ликвидна, т.е. обращаема в денежную форму.
Информационная безопасность банка должна принимать во внимание следующие характерные условия:
1. Хранимая и обрабатываемая в банковских системах информация предполагает собой реальные деньги. На основании информации компьютера могут производиться выплаты, выдаваться кредиты, переводиться существенные суммы. Абсолютно очевидно, что незаконная манипуляция с такой информацией может привести к серьезным потерям. Эта особенность стремительно расширяет круг правонарушителей, покушающихся непосредственно на банки (в отличие от, например, промышленных компаний, внутренняя информация которых мало кому интересна).
2. Информация в банковских системах затрагивает интересы огромного количества людей и организаций – клиентов банка. Как правило, она конфиденциальна, и банк несет ответственность за предоставление требуемой степени секретности перед своими клиентами. Безусловно, клиенты имеют право ожидать, что банк должен заботиться об их интересах, в противном случае он рискует своей репутацией со всеми вытекающими последствиями.
3. Конкурентоспособность банка зависит от того, в какой степени клиенту удобно работать с банком, а также насколько обширен диапазон предоставляемых услуг, включая услуги, связанные с удаленным доступом. По этой причине клиент должен иметь возможность быстро и без утомительных процедур управлять своими деньгами. Но такая легкость допуска к деньгам увеличивает вероятность преступного вторжения в банковские системы.
4. Информационная безопасность банка (в отличие от большинства компаний) обязана гарантировать высокую безопасность работы компьютерных систем даже в случае нештатных ситуаций, так как банк несет ответственность не только за свои средства, но и за деньги клиентов.
5. Банк хранит важную информацию о своих клиентах, что расширяет область потенциальных злоумышленников, заинтересованных в краже или порче такой информации.
К сожалению, в наше время, в связи с высоким развитием технологий, в том числе максимально жесткие координационные меры по упорядочению работы с конфиденциальной информацией не защитят от ее утечки по физическим каналам. По этой причине системный подход к защите информации требует, чтобы ресурсы и действия, применяемые банком для обеспечения информационной безопасности (координационные, физические и программно-технические), рассматривались как общая совокупность взаимосвязанных, взаимодополняющих и взаимодействующих мер. Такой комплекс должен быть наставлен не только на защиту информации от несанкционированного доступа, но и на предотвращение случайного уничтожения, изменения или разглашения информации.
2. Безопасность автоматизированных систем обработки информации в банковских учреждениях
Не будет преувеличением сказать, что проблема умышленных нарушений функционирования АСОИБ разного назначения на сегодняшний день является одной из самых важных. Наиболее объективно это утверждение для стран с очень развитой информационной инфраструктурой, о чем убедительно свидетельствуют приводимые ниже цифры.
Стало известно что, за 2017-2018 злоумышленники нанесли банковским учреждениям России ущерб в размере 2,96 млрд. рублей. Согласно исследованиям на октябрь 2018 года, каждый месяц преступникам удается красть денежные средства в 1-2 банках, при этом ущерб от одного успешного хищения составляет в среднем 2 млн. долларов США.
Из данного примера, можно сделать вывод, что системы обработки и защиты информации отображают классический подход к вычислительной сети как к потенциально ненадежной сфере передачи данных. Существует ряд основных методов обеспечения безопасности программно-технической среды, реализуемых различными способами:
1. Идентификация (аутентификация) и авторизация при помощи паролей.
1.1. Формирование профилей пользователей. На каждом из узлов создается база данных пользователей, их паролей и профилей доступа к локальным ресурсам вычислительной системы.
1.2. Создание профилей действий. Задачу аутентификации осуществляет независимый (third-party) сервер, который содержит пароли, как для пользователей, так и для конечных серверов (в случае группы серверов, базу данных паролей также содержит только один (master) сервер аутентификации; остальные – только периодически обновляемые копии). Таким образом, применение сетевых услуг потребует двух паролей (хотя пользователь должен знать только один – второй предоставляется ему сервером «прозрачным» образом). Несомненно, что сервер делается ограниченным участком всей системы, а его взлом может нарушить безопасность всей вычислительной сети.
2. Инкапсуляция передаваемой информации в специальных протоколах обмена. Использование аналогичных методов в коммуникациях базируется на алгоритмах шифрования с открытым ключом. На этапе инициализации происходит формирование пары ключей – открытого и закрытого, существующего только у того, кто публикует открытый ключ. Смысл алгоритмов шифрования с открытым ключом заключается в том, что процедуры шифрования и дешифрования выполняются разными ключами (открытым и закрытым).
3. Ограничение информационных потоков. Это известные технические способы, позволяющие разделить локальную сеть на сопряженные подсети и реализовать контроль и ограничение передачи информации между этими подсетями.
3.1. Firewalls (брандмауэры). Метод предполагает создание между локальной сетью банка и другими сетями специальных переходных серверов, которые инспектируют, анализируют и фильтруют весь протекающий через них поток данных (трафик сетевого/транспортного уровней). Это дает возможность резко уменьшить угрозу несанкционированного доступа извне в корпоративные сети, но не ликвидирует эту опасность совсем. Более защищенная вариация метода – это способ маскарада (masquerading), когда весь исходящий из локальной сети трафик посылается от имени firewall-сервера, делая закрытую локальную сеть практически невидимой.
3.2. Proxy-servers. При данном методе включаются жесткие ограничения на правила передачи информации в сети: весь трафик сетевого/транспортного уровней между локальной и глобальной сетями запрещается целиком – попросту отсутствует маршрутизация как таковая, а обращения из локальной сети в всемирную происходят через специальные серверы-посредники. Несомненно, что при этом способе обращения из глобальной сети в локальную делаются невозможными в принципе. Очевидно также, что этот метод не дает необходимой защиты против атак на наиболее высоких уровнях, к примеру на уровне программного приложения.
4. Формирование виртуальных частных сетей (VPN) дает возможность результативно обеспечивать конфиденциальность информации, ее защиту от прослушивания или препятствий при передаче данных. Они позволяют определить конфиденциальную защищенную взаимосвязь в открытой сети, как правило является интернет, и увеличивать границы корпоративных сетей до удаленных офисов, мобильных пользователей, домашних пользователей и партнеров по бизнесу. Технология шифрования устраняет вероятность перехвата сообщений, передаваемых по виртуальной частной сети, либо их чтения лицами, отличными от авторизованных получателей, за счет использования современных математических алгоритмов шифрования уведомлений и приложений к ним. Концентраторы серии Cisco VPN 3000 большинством признаются лучшим в своей категории решением удаленного доступа по виртуальным частным сетям. Концентраторы Cisco VPN 3000, владеющие самыми современными способностями с высокой надежностью и уникальной, целенаправленной архитектурой. Позволяют корпорациям формировать инфраструктуры высокопроизводительных, наращиваемых и сильных виртуальных частных сетей для помощи ответственных приложений удаленного доступа. Безупречным инструментом формирования виртуальных частных сетей от одного сетевого предмета к другому служат маршрутизаторы Cisco, оптимизированные для построения виртуальных частных сетей, к которым принадлежат маршрутизаторы Cisco 800, 1700, 2600, 3600, 7100 и 7200.
5.Системы обнаружения вторжений и сканеры уязвимости создают вспомогательный уровень сетевой безопасности. Хотя межсетевые экраны пускают или удерживают трафик в связи от источника, точки назначения, порта или прочих критериев, они по сути никак не исследуют трафик на атаки и не ведут поиск чувствительных мест в системе. Помимо этого, межсетевые экраны обычно не борются с внутренними угрозами, исходящими от "своих". Система обнаружения вторжений Cisco Intrusion Detection System (IDS) может уберечь сеть по периметру, сети взаимодействия с бизнес партнерами и все более уязвимые внутренние сети в режиме настоящего времени. Система применяет агенты, показывающие собой высокопроизводительные сетевые устройства, для анализа единичных пакетов с целью выявления подозрительной деятельности. В случает если в потоке данных в сети выражается несанкционированная активность или сетевая атака, агенты могут выявить несоблюдение в реальном времени, отправить сигналы тревоги администратору и блокировать доступ нарушителя в сеть. Кроме сетевых средств обнаружения вторжений компания Cisco также предлагает серверные системы обнаружения вторжений, обеспечивающие эффективную защиту конкретных серверов в сети пользователя, в первую очередь серверов WEB и электронной коммерции. Cisco Secure Scanner представляет собой программный сканер промышленного уровня, позволяющий администратору обнаруживать и устранять уязвимости в сетевой безопасности прежде, нежели их найдут хакеры.
По мере роста и усложнения сетей основное значение обретает требование присутствия централизованных средств управления политикой безопасности, какие могли бы управлять элементами безопасности. Интеллектуальные средства, которые могут называть состояние политики безопасности, управлять ею и осуществлять аудит, увеличивают практичность и эффективность решений в области сетевой безопасности. Решения Cisco в этой области подразумевают стратегический подход к управлению безопасностью. Cisco Secure Policy Manager (CSPM) удерживает элементы безопасности Cisco в корпоративных сетях, обеспечивая комплексную и последовательную реализацию политики безопасности. С помощью CSPM клиенты могут определять соответствующую политику безопасности, вводить ее в действие и проверять основы безопасности в работе множеств межсетевых экранов Cisco Secure PIX и Cisco IOS Firewall Feature Set и агентов IDS. CSPM также поддерживает стандарт IPsec для построения виртуальных частных сетей VPN. Кроме того, CSPM является составляющей частью широко популярной корпоративной системы управления CiscoWorks2000/VMS.
Суммируя приведенные методы, следует отметить, что разработка информационных систем требует параллельной разработки технологий передачи и защиты информации. Данные технологии должны обеспечивать защиту передаваемой информации, делая сеть «надежной», хотя надежность на сегодняшнем этапе подразумевается как надежность не на физическом уровне, а точнее на логическом (информационном уровне).
Существует также ряд дополнительных мероприятий, реализующих следующие принципы:
1. Мониторинг процессов. Метод мониторинга процессов состоит в формировании особого расширения системы, которое бы регулярно осуществляло некоторые виды проверок. Несомненно, что некая система становится внешне уязвимой только в том случае, когда она предоставляет возможность доступа извне к своим информационным ресурсам. При создании средств подобного доступа (серверных процессов), как правило, существует довольное количество предшествующей информации, относящейся к действию клиентских процессов. К сожалению, в большинстве случаев эта информация просто пренебрегается. После аутентификации внешнего процесса в системе он в течение всего собственного жизненного цикла является авторизованным для доступа к определенному количеству информационных ресурсов в отсутствии каких-либо дополнительных проверок.
Хотя определить все правила действия внешнего процесса в большинстве случаев не является возможным, абсолютно действительно определить их через отрицание или, иначе говоря, указать, что внешний процесс не может делать ни при каких условиях. В основе этих проверок можно реализовывать мониторинг небезопасных или подозрительных происшествий.
2. Дублирование технологий передачи. Существует угроза взлома и компрометации любой технологии передачи информации, как в силу ее внутренних недочетов, так и из-за влияния извне. Защита от подобной ситуации заключается в параллельном использовании нескольких непохожих друг от друга технологий передачи. Несомненно, что повторение повергнет к резкому увеличению сетевого трафика. Тем не менее, такой метод может быть эффективным, когда стоимость рисков от вероятных потерь как оказалось выше накладных расходов по дублированию.
3.Децентрализация. Во многих случаях применение стандартизованных технологий обмена информацией обусловленно не стремлением к стандартизации, а недостаточной вычислительной мощностью систем, обеспечивающих процедуры связи. Реализацией децентрализованного расклада может считаться и широко популярная в сети Internet практика «зеркал». Формирование некоторых идентичных копий ресурсов может быть полезным в системах реального времени, даже временный сбой которых может иметь достаточно серьезные результаты.
3. Безопасность электронных платежей
информация банк криптографический защита
Потребность всегда иметь под рукой необходимую информацию вынуждает многих руководителей задумываться над проблемой оптимизации бизнеса с помощью компьютерных систем. Но если перевод бухгалтерского учета из бумажной формы в электронную давно выполнен, то взаиморасчеты с банком все еще остаются недостаточно автоматизированными: массовый переход на электронный документооборот только ожидает.
На сегодняшний день многие банки имеют те или иные каналы для удаленного реализации платежных операций. Выслать "платежку" можно непосредственно из офиса, воспользовавшись модемным соединением или выделенной линией связи. Стало реальностью осуществление банковских операций через Интернет – для этого достаточно иметь компьютер с доступом в глобальную сеть и ключ электронной цифровой подписи (ЭЦП), которая зарегистрирована в банке.
Удаленное обслуживание в банке дает возможность увеличить эффективность частного бизнеса при наименьших усилиях со стороны его владельцев. При этом поддерживаются: экономия времени (не нужно приходить в банк лично, платеж можно осуществить в любое время); практичность работы (все операции производятся с персонального компьютера в обычной деловой обстановке); высокая скорость обработки платежей (банковский оператор не перепечатывает данные с бумажного подлинника, что дает возможность исключить ошибки ввода и сократить время обработки платежного документа); мониторинг состояния документа в процессе его обработки; получение данных о движении средств по счетам.
Но, несмотря на явные преимущества, электронные платежи в России пока не очень популярны, так как клиенты банков не уверены в их защищенности. Это, прежде всего, связано с популярным мнением, что компьютерные сети легко может "взломать" какой-нибудь злоумышленник. Этот миф прочно установился в сознании человека, а регулярно публикуемые в средствах массовой информации новости об атаках на очередной веб-сайт еще сильнее укрепляют это мнение. Но времена меняются, и электронные средства связи рано или поздно сменят личное присутствие плательщика, желающего сделать безналичный банковский перевод с одного счета на другой.
На мой взгляд, безопасность электронных банковских операций сегодня можно обеспечить. Гарантией этому служат современные способы криптографии, которые применяются для защиты электронных платежных документов. В первую очередь это ЭЦП, соответствующая ГОСТ 34.10-94. С 1995 г. она успешно применяется в Банке России. Вначале он ввел систему межрегиональных электронных расчетов всего в некоторых регионах. Сейчас она охватывает все регионы Российской Федерации и представить без нее функционирование Банка России практически невозможно. Так стоит ли сомневаться в надежности ЭЦП, если ее использование испытано временем и уже, так или иначе, касается каждого гражданина нашей страны?
Электронная цифровая подпись (ЭЦП), цифровая подпись (ЦП) позволяет подтвердить авторство электронного документа (будь то реальное лицо или, например, аккаунт в банковской системе). Подпись связана как с автором, так и с самим документом с помощью криптографических методов, и не может быть подделана с помощью обычного копирования.
ЭЦП - это реквизит электронного документа, полученный в результате криптографического преобразования информации с использованием закрытого ключа подписи и позволяющий проверить отсутствие искажения информации в электронном документе с момента формирования подписи, принадлежность подписи владельцу сертификата ключа подписи (авторство), а в случае успешной проверки подтвердить факт подписания электронного документа.
Широко применяемая в настоящее время технология электронной подписи основана на асимметричном шифровании с открытым ключом и опирается на следующие принципы:
- Можно сгенерировать пару очень больших чисел (открытый ключ и закрытый ключ) так, чтобы, зная открытый ключ, нельзя было вычислить закрытый ключ за разумный срок. Механизм генерации ключей строго определён и является общеизвестным. При этом каждому открытому ключу соответствует определённый закрытый ключ. Если, например, Иван Иванов публикует свой открытый ключ, то можно быть уверенным, что соответствующий закрытый ключ есть только у него.
- Имеются надёжные методы шифрования, позволяющие зашифровать сообщение закрытым ключом так, чтобы расшифровать его можно было только открытым ключом. Механизм шифрования является общеизвестным.
- Если электронный документ поддается расшифровке с помощью открытого ключа (и при этом получается осмысленный результат, а не случайный набор данных), то можно быть уверенным, что он был зашифрован с помощью уникального закрытого ключа. Если документ расшифрован с помощью открытого ключа Ивана Иванова, то это подтверждает его авторство: зашифровать данный документ мог только Иванов, т.к. он является единственным обладателем закрытого ключа.
Однако шифровать весь документ было бы неудобно, поэтому шифруется только его хеш - небольшой объём данных, жёстко привязанный к документу с помощью математических преобразований и идентифицирующий его. Зашифрованный хеш и является электронной подписью. Важной проблемой всей криптографии с открытым ключом, в том числе и систем ЭП, является управление открытыми ключами. Так как открытый ключ доступен любому пользователю, то необходим механизм проверки того, что этот ключ принадлежит именно своему владельцу. Необходимо обеспечить доступ любого пользователя к подлинному открытому ключу любого другого пользователя, защитить эти ключи от подмены злоумышленником, а также организовать отзыв ключа в случае его попытки взлома. Задача защиты ключей от подмены решается с помощью сертификатов. Сертификат позволяет удостоверить расположенные в нём данные о владельце и его открытый ключ подписью какого-либо доверенного лица. Существуют системы сертификатов двух типов: централизованные и децентрализованные. В децентрализованных системах путём перекрёстных подписей сертификатов знакомых и доверенных людей каждым пользователем строится сеть доверия. В централизованных системах сертификатов используются центры сертификации, поддерживаемые доверенными организациями. Центр сертификации формирует закрытый ключ и собственный сертификат, формирует сертификаты конечных пользователей и удостоверяет их аутентичность своей цифровой подписью. Также центр проводит отзыв истекших и компрометированных сертификатов и ведёт базы (списки) выданных и отозванных сертификатов. Обратившись в сертификационный центр, можно получить собственный сертификат открытого ключа, сертификат другого пользователя и узнать, какие ключи отозваны.
Закрытый ключ является наиболее уязвимым компонентом всей криптосистемы цифровой подписи. Злоумышленник, укравший закрытый ключ пользователя, может создать действительную цифровую подпись любого электронного документа от лица этого пользователя. Поэтому особое внимание нужно уделять способу хранения закрытого ключа. Пользователь может хранить закрытый ключ на своем персональном компьютере, защитив его с помощью пароля. Однако такой способ хранения имеет ряд недостатков, в частности, защищённость ключа полностью зависит от защищённости компьютера, и пользователь может подписывать документы только на этом компьютере.
В настоящее время существуют следующие устройства хранения закрытого ключа:
- смарт-карты
- USB-брелоки
- «таблетки» Touch-Memory.
Кража или потеря одного из таких устройств хранения может быть легко замечена пользователем, после чего соответствующий сертификат может быть немедленно отозван.
Наиболее защищённый способ хранения закрытого ключа — хранение на смарт-карте. Для того чтобы использовать смарт-карту, пользователю необходимо не только её иметь, но и ввести PIN-код, то есть, получается двухфакторная аутентификация. После этого подписываемый документ или его хеш передаётся в карту, её процессор осуществляет подпись хеша и передаёт подпись обратно. В процессе формирования подписи таким способом не происходит копирования закрытого ключа, поэтому все время существует только единственная копия ключа. Кроме того, произвести копирование информации со смарт-карты немного сложнее, чем с других устройств хранения.
4. Безопасность персональных платежей физических лиц
Большинство систем безопасности в целях избегания потери персональных данных физических лиц требуют от пользователя подтверждения, что он именно тот, за кого себя выдает. Идентификация пользователя может быть проведена на основе того, что:
• он знает некую информацию (секретный код, пароль);
• он имеет некий предмет (карточку, электронный ключ, жетон);
• он обладает набором индивидуальных черт (отпечатки пальцев, форма кисти руки, тембр голоса, рисунок сетчатки глаза и т.п.);
• он знает, где находится или как подключается специализированный ключ.
Первый способ требует набора на клавиатуре определенной кодовой последовательности – персонального идентификационного номера (Personal identification number – PIN). Обычно это последовательность из 4-8 цифр, которую пользователь должен ввести при осуществлении транзакции.
Второй способ предполагает предъявление пользователем неких специфических элементов идентификации – кодов, считываемых из некопируемого электронного устройства, карточки или жетона.
В третьем способе пропуском служат индивидуальные особенности и физические характеристики личности человека. Всякому биометрическому продукту сопутствует довольно объемная база данных, хранящая соответствующие изображения или другие данные, применяемые при распознавании.
Четвертый способ предполагает особый принцип включения или коммутирования оборудования, который обеспечит его работу (этот подход используется достаточно редко).
В банковском деле наибольшее распространение получили средства идентификации личности, которые мы отнесли ко второй группе: некий предмет (карточку, электронный ключ, жетон). Естественно использование такого ключа происходит в сочетании со средствами и приемами идентификации, которые мы отнесли к первой группе: использование информации (секретный код, пароль).
Давайте более подробно разберемся со средствами идентификации личности в банковском деле.
Пластиковые карты.
В настоящее время выпущено более миллиарда карточек в различных странах мира. Наиболее известные из них:
- кредитные карточки Visa (более 350 млн. карточек) и MasterCard (200 млн. карточек);
- международные чековые гарантии Eurocheque и Posteheque;
- карточки для оплаты путешествий и развлечений American Express (60 млн. карточек) и Diners Club.
Магнитные карточки
Карта с магнитной полосой - тип карт, отличающийся наличием магнитной полосы. Магнитная полоса предназначена для хранения какой‑либо информации. Пластиковые карты с магнитной полосой – их еще называют магнитными картами – получили самое широкое распространение в современном мире. Главная отличительная особенность таких карт состоит в том, что информация, содержащаяся на них, нанесена на магнитную полосу. Популярность магнитных карт закономерна, ведь эта технология обладает целым рядом преимуществ:
- магнитные карты имеют компактный размер, что очень удобно для пользователя;
- при миниатюрных габаритах карты она является носителем довольно обширной информации. Магнитная полоса может хранить следующие сведения: номер карты, имя владельца, срок действия карты, сервис-код, ПИН-код, а также другие виды кодов;
- производство магнитных карт имеет низкую себестоимость. Именно поэтому магнитные карты остаются самым распространенным типом карт. Они активно используются в банковской сфере и розничной торговле, а также во многих других областях экономической деятельности;
- устройства для считывания информации, зашифрованной на магнитных картах, тоже доступны.
Магнитные карты стали огромным шагом вперед по сравнению с обычными пластиковыми картами. Прежде всего, они позволяют хранить и использовать значительные объемы информации, а кроме того, содержат данные в закодированном виде, то есть обеспечивают определенный уровень безопасности. Однако при всех положительных качествах, которыми обладают магнитные карты, есть у них и свои недостатки. Это недостаточная прочность носителя (магнитная лента подвержена механическим и прочность носителя (магнитная лента подвержена механическим и другим воздействиям), невозможность обновления данных, обязательное требование обслуживать карту в режиме онлайн. Но самым главным недостатком магнитных карт была и остается недостаточная защита информации от злоумышленников. Во-первых, магнитную карточку сравнительно легко подделать, и современные технологии, оказавшиеся в руках мошенников, позволяют сделать это. Во-вторых, ПИН-код, являющийся ключом к средствам, хранящимся на счете, можно узнать. Люди, специализирующиеся на воровстве с карт, хорошо знают способы, позволяющие заполучить четырехзначный код чужой карты. Вот почему всем держателям карт постоянно напоминают о необходимости аккуратного обращения и бережного сохранения информации.
Proximity-карты
Среди разнообразия современных пластиковых карт Proximity карты считаются наиболее перспективным вариантом. Они эффективно используются для систем доступа в помещение и выполняют роль ключа на пропускных пунктах на различные предприятия и организации. Бесконтактные радиочастотные технологии и ряд существенных преимуществ обеспечивают Proximity картам популярность и долгосрочное использование.
Во- первых, важным фактором является то, что Proximity карту практически невозможно подделать, а срок ее использования неограничен.
Во-вторых, каждая Proximity карта при изготовлении получает персональный код, а затем на нее наносятся идентификационные данные о предприятии или владельце карты. При помощи специального считывателя даже на значительном расстоянии за мгновение в 0,1 сек. система доступа получает информацию с карты и контролирует доступ на охраняемый объект.
А в-третьих, Proximity карта универсальна и удобна в применении. Она может выполнять роль персонального пропуска, на котором указаны личные данные сотрудника, есть его фотография, может содержать название организации или ее реквизиты.
Кроме того, персонализация пластиковых карт может включать специальные PVC-наклейки, которые наносятся дополнительно на корпус карты.
Proximity карта может быть исключительно пропуском в данную организацию или выполнять дополнительную функцию ключа к нескольким помещениям внутри предприятия. При необходимости такие карты- пропуска могут обеспечивать не только постоянный доступ на объект для сотрудников, но и носить временный характер и оформляться для посетителей непосредственно при входе на объект. Для создания временных или разовых пропусков необходимо иметь на месте специальное оборудование и программное обеспечение.
Смарт-карты
В большинстве случаев смарт-карты содержат микропроцессор и операционную систему, управляющую устройством и контролирующую доступ к объектам в его памяти. Кроме того, смарт-карты, как правило, обладают возможностью проводить криптографические вычисления. Смарт-карты находят всё более широкое применение в различных областях, от систем накопительных скидок до кредитных и дебетовых карт. Приложения смарт-карт включают их использование в банковских, дисконтных, телефонных карточках и карточках оплаты проезда, различных бытовых услуг и т. д.
Смарт-карты также могут использоваться как электронные кошельки. На чип смарт-карты может быть загружена информация о средствах, которыми владелец может расплачиваться в различных торговых точках. Криптографические протоколы защищают информационный обмен между смарт-картой и банкоматом. Если при этом нет непосредственной связи с банком, то работа с картой проходит в режиме оффлайн, в отличие от магнитных карт, которые делают запрос в банк, и уже он дает разрешение на операции с картой.
Быстро развивается применение смарт-карт в цифровой идентификации. В этой сфере карты используются для удостоверения личности. Более общий пример — это конъюнкция с PKI. Смарт-карта сохраняет зашифрованный цифровой сертификат, полученный от PKI вместе с некоторой другой информацией о владельце. При совмещении подобных смарт-карт с биометрическими данными получается двух- или трехфакторная аутентификация.
Электронные жетоны
Электронный жетон (также аппаратный токен, USB-ключ, криптографический токен) - компактное устройство, предназначенное для обеспечения информационной безопасности пользователя, также используется для идентификации его владельца, безопасного удалённого доступа к информационным ресурсам и т. д. Как правило, это физическое устройство, используемое для упрощения аутентификации. Токены предназначены для электронного удостоверения личности (например, клиента, получающего доступ к банковскому счёту), при этом они могут использоваться как вместо пароля, так и вместе с ним. В некотором смысле токен - это электронный ключ для доступа к чему-либо. Обычно аппаратные токены обладают небольшими размерами, что позволяет носить их в кармане или кошельке, часто они оформлены в виде брелоков. Некоторые предназначены для хранения криптографических ключей, таких как электронная подпись или биометрические данные (например, детали дактилоскопического узора). В одни встроена защита от взлома, в другие - мини-клавиатура для ввода PIN-кода или же просто кнопка вызова процедуры генерации и дисплей для вывода сгенерированного ключа. Токены обладают разъёмом USB.
С помощью токена можно защитить учётную запись на компьютере, используя сложный пароль, не запоминая его. Для этого вы должны купить программное обеспечение и токен, подходящий к нему. С помощью программы токен получит ключ для входа в систему. При повторном запуске вам потребуется вставить токен (например в USB порт) и ввести PIN. После проделанных операций вы получаете доступ к системе.
Простейшая уязвимость с любым токеном - это его потеря или кража. Вероятность случая компрометации может быть уменьшена с помощью личной безопасности, например: замки, электронная привязь, сигнализация. Украденные токены бесполезны для вора, если использована технология двухфакторной аутентификации. Как правило для проверки подлинности требуется вводить персональный идентификационный номер (PIN) вместе с информацией на токене.
Заключение
Как видим, проблема защиты банковской информации слишком важна, чтобы банк мог игнорировать ее. В последние годы в Российских банках наблюдается масса случаев нарушения уровня секретности. Образцом является появление в свободном доступе различных баз данных на компакт-дисках о коммерческих компаниях и физических лицах. В теории, законодательная база для гарантирования защиты банковской информации существует в нашей стране, все же ее применение далеко от идеала. Пока не было случаев, когда банк был наказан за передачу информации, когда какая-либо компания была наказана за реализацию попытки получения конфиденциальной информации.
Защита информации в банке - это задача комплексная, которая не может решаться только в пределах банковских программ. Эффективное исполнение защиты начинается с выбора и настраивания операционных систем и сетевых системных средств, поддерживающих функционирование банковских программ. В числе дисциплинарных средств гарантирования защиты следует выделить два направления: с одной стороны - это минимально достаточная информированность пользователей системы об особенностях построения системы; с другой – наличие многоуровневых средств идентификации пользователей и контроля их прав.
В разное время своего развития автоматизированные системы безопасности имели различные звенья защиты. В Российских условиях большинство банковских систем по уровню защиты следует причислить к системам первого и второго уровня сложности защиты:
1-й уровень – использование программных средств, предоставляемых стандартными средствами операционных систем и сетевых программ;
2-й уровень – использование программных средств обеспечения безопасности, кодирования информации, кодирования доступа.
Взяв во внимание все вышесказанное, я пришла к выводу, что работая в банковской сфере, требуется быть уверенным в том, что корпоративная и коммерческая информация сохранится закрытыми. Хотя следует заботиться о защите не только документов и иной производственной информации, но и сетевых настроек и параметров функционирования сети на машине.
Задача защиты информации в банке устанавливается значительно строже, нежели в других организациях. Решение такой задачи подразумевает планирование организационных, системных мероприятий, обеспечивающих защиту. Тем временем, планируя защиту, следует соблюдать меру между необходимым уровнем защиты и тем ее уровнем, когда защита начинает мешать нормальной работе персонала.
Приложения
Рис. 1 Магнитная карточка
Рис. 2 Proximity-карта
Рис. 3 Смарт-карта
Рис. 4 Электронный токен
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ
Размещено на Allbest.ru
1) Рябко Б. Я., Фионов А. Н. Основы современной криптографии для специалистов в информационных технологиях — Научный мир, 2004. — 173 с.
2) Алферов А. П., Зубов А. Ю., Кузьмин А. С., Черемушкин А. В. Основы криптографии. — «Гелиос АРВ», 2002. — 480 с.
3) Б. А. Фороузан. Схема цифровой подписи Эль-Гамаля // Управление ключами шифрования и безопасность сети / Пер. А. Н. Берлин
4) Громов, Ю.Ю. Информационная безопасность и защита информации: Учебное пособие / Ю.Ю. Громов, В.О. Драчев, О.Г. Иванова. — Ст. Оскол: ТНТ, 2017. — 384 c.
5) Букин, С. О. Безопасность банковской деятельности / С.О. Букин. - М.: Питер, 2016. - 288 c
6) Ярочкин, В.И. Безопасность банковских систем / В.И. Ярочкин. - М.: Ось-89, 2012. - 430 c.
7) Мельников В.И., Клейменов С.А., Петраков А.М. Информационная безопасность и защита информации. М. : Академия, 2009.
8) Аскеров Т.М. и др.Защита информации и информационная безопасность: Учебное пособие / Под общей редакцией К.И. Курба-кова/Т.М. Аскеров и др. — М.: Рос. экон. акад., 2001. — 387 с.
9) Цирлов В.А. Основы информационной безопасности. Краткий курс / В.А. Цирлов. — Ростов н/Д: Феникс, 2008. — 253 с.
10) Гайкович Ю.В, Першин А.С. Безопасность электронных банковских систем. — М: Единая Европа, 1994 г.
11) Кузнецов В.Е. Измерение финансовых рисков. — Банковские технологии, 1997, №9.
12) Бабаш, А.В. Информационная безопасность. Лабораторный практикум: Учебное пособие / А.В. Бабаш, Е.К. Баранова, Ю.Н. Мельников. — М.: КноРус, 2013. — 136 c.
13) Петров, С.В. Информационная безопасность: Учебное пособие / С.В. Петров, И.П. Слинькова, В.В. Гафнер. — М.: АРТА, 2012. — 296 c.
14) Ярочкин, В.И. Информационная безопасность. 5-е изд. / В.И. Ярочкин. — М.: Академический проект, 2008. — 544 c.
15) Шаньгин, В.Ф. Информационная безопасность и защита информации / В.Ф. Шаньгин. — М.: ДМК, 2014. — 702 c.
Интернет ресурсы:
16) Электронная всемирная энциклопедия https://ru.wikipedia.org/
- Графические планшеты (Работа с графическим планшетом)
- Проектирование реализации операций бизнес-процесса Реализация билетов через розничные кассы
- Роль мотивации в поведении организации (МУП «Спецавтохозяйство по уборке города»)
- Особенности института наследования в Российском гражданском праве
- Наследственное право(Основные понятия наследственного права)
- Графические планшеты (Периферийное устройство «графический планшет)
- Менеджмент человеческих ресурсов (Теоретические аспекты управления человеческими ресурсами в организации)
- Роль законодательного органа субъекта РФ в развитии местного самоуправления (Анализ механизма деятельности Московской областной думы)
- Характеристики и типы мониторов для персональных компьютеров (Основные характеристики мониторов. Классификация мониторов)
- Виды кредитных операций и кредитов (на примере ПАО Сбербанк)
- Порядок осуществления операций с наличной иностранной валютой и чеками (на примере Банка «Возрождение» ПАО)
- Формы и системы оплаты труда на предприятии (Основные формы и системы оплаты труда на предприятии, их классификация)