Оглавление

    Введение………………………………………………………………..2

1. Компьютеризированные банковские системы БС………………3

2. Функции БС……………………………………………………………3

3  Критерии выбора БС…………………………………………..……..4

4. Некоторые характеристики популярных БС…………………..…6

5. Локальные сети банков………………………………………….…...6

6. Требования к локальной сети банка………………………………..7

7. Архитектура локальной сети банка………………………………...7

8. Использование интегрированной передачи данных………..….…8

9. Телекоммуникационные технологии и услуги для банковских

    сетей………………………………………………………………….….9

10. Защита информации банковской системы………………………10

     Заключение…………………………………………………………...15

    Литература…………………………………………………………….16

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Введение.

В последние годы банковская система нашей страны переживает бурное развитие. Несмотря на существующие недостатки российского законодательства, регулирующего деятельность банков, ситуация неуклонно меняется к лучшему. Прошли времена, когда можно было легко зарабатывать на спекулятивных операциях с валютой и мошенничестве. Сегодня все больше банков делает ставку на профессионализм своих сотрудников и новые технологии.

Трудно представить себе более благодатную почву для внедрения новых компьютерных технологий, чем банковская деятельность. В принципе почти все задачи, которые возникают в ходе работы банка достаточно легко поддаются автоматизации. Быстрая и бесперебойная обработка значительных потоков информации является одной из главных задач любой крупной финансовой организации. В соответствии с этим очевидна необходимость обладания вычислительной сетью, позволяющей обрабатывать все возрастающие информационные потоки. Кроме того, именно банки обладают достаточными финансовыми возможностями для использования самой современной техники. Однако не следует считать, что средний банк готов тратить огромные суммы на компьютеризацию. Банк является прежде всего финансовой организацией, предназначенной для получения прибыли, поэтому затраты на модернизацию должны быть сопоставимы с предполагаемой пользой от ее проведения. В соответствии с общемировой практикой в среднем банке расходы на компьютеризацию составляют не менее 17% от общей сметы годовых расходов.

Новые технологии помогают банкам, инвестиционным фирмам и страховым компаниям изменить взаимоотношения с клиентами и найти новые средства для извлечения прибыли. Аналитики сходятся во мнении, что новые технологии наиболее активно внедряют инвестиционные фирмы, затем следуют банки, а самыми последними их принимают на вооружение страховые компании.

Задача, стоящая перед всеми финансовыми организациями, одинакова: интеграция унаследованных систем в распределенную архитектуру локальных сетей. Дэвид Стюарт, главный консультант по новым технологиям в Global Concepts, считает, что сегодня спрос на людей, понимающих в сетях, выше, чем когда-либо прежде. По его мнению, в наше время при устройстве на работу в банк предпочтение отдается программисту, а не кассиру.

Банковские компьютерные системы на сегодняшний день являются одной из самых быстро развивающихся областей прикладного сетевого программного обеспечения. Нужно отметить, что БС представляют из себя "лакомый кусочек" для любого производителя компьютеров и ПО. Поэтому почти все крупные компании разработчики компьютерной техники предлагают на этом рынке системы на базе своих платформ.

В качестве примеров передовых технологий, используемых в банковской деятельности, можно назвать базы данных на основе модели "клиент-сервер" (характерно использование ОС Unix и БД Oracle); средства межсетевого взаимодействия для межбанковских расчетов; службы расчетов, целиком ориентированных на Internet, или, так называемые, виртуальные банки; банковские экспертно-аналитические системы, использующие принципы искусственного интеллекта и многое другое.

 

1. Компьютеризированные банковские системы БС.

В настоящее время БС позволяют автоматизировать практически все стороны банковской деятельности. Среди основных возможностей современной БС, основанных на использовании сегодняшних сетевых технологий, следует упомянуть: системы электронной почты, базы данных на основе модели "клиент-сервер", ПО межсетевого взаимодействия для организации межбанковских расчетов, средства удаленного доступа к сетевым ресурсам для работы с сетями банкоматов и многое другое.

На мировом рынке существует масса готовых БС. Основной задачей, стоящей перед службой автоматизации западного банка, является выбор оптимального решения и поддержка работоспособности выбранной системы. В нашей стране ситуация несколько иная. В условиях стремительного возникновения новой для России банковской сферы вопросам автоматизации поначалу уделялось недостаточно внимания. Большинство банков пошло по пути создания собственных систем. Такой подход имеет свои достоинства и недостатки. К первым следует отнести: отсутствие необходимости в больших финансовых вложениях в покупку БС, приспособленность БС к условиям эксплуатации (в частности к существующим линиям связи), возможность непрерывной модернизации системы. Недостатки такого подхода очевидны: необходимость в содержании целого компьютерного штата, несовместимость различных систем, неизбежное отставание от современных тенденций и многое другое. Однако есть примеры приобретения и успешной эксплуатации российскими банками дорогостоящих банковских систем. Наиболее популярны сегодня смешанные решения, при которых часть модулей БС разрабатывается компьютерным отделом банка, а часть покупается у независимых производителей.

Основными платформами для БС в настоящее время считаются:

1.    ЛВС на базе ПК (10,7%);

2.    Различные модели специализированных бизнес-компьютеров фирмы IBM типа AS/400 (11,1%);

3.    Универсальные компьютеры различных фирм-производителей (IBM, DEC и др. - 57,8%) и др.

Характерен переход на компьютерные платформы, которые работают по модели "клиент-сервер" и используют ОС UNIX.

2. Функции БС

БС, обычно реализуются по модульному принципу. Широко используются специализированные мощные или универсальные компьютеры, объединяющие несколько ЛВС. В БС применяется межсетевой обмен и удаленный доступ к ресурсам центрального офиса банка для выполнения операций "электронных платежей". Банковские системы должны иметь средства адаптации к конкретным условиям эксплуатации. Для поддержки оперативной работы банка БС должна функционировать в режиме реального времени OLTP (On-line Transaction Processing).

Перечислим основные функции БС (обычно они реализуются в виде независимых модулей единой системы):

·       Автоматизация всех ежедневных внутрибанковских операций, ведение бухгалтерии и составление сводных отчетов.

·      Системы коммуникаций с филиалами и иногородними отделениями.

·      Системы автоматизированного взаимодействия с клиентами (так называемые системы “банк-клиент”).

·       Аналитические системы. Анализ всей деятельности банка и системы выбора оптимальных в данной ситуации решений.

·       Автоматизация розничных операций - применение банкоматов и кредитных карточек.

·      Системы межбанковских расчетов.

·      Системы автоматизации работы банка на рынке ценных бумаг.

·       Информационные системы. Возможность мгновенного получения необходимой информации, влияющей на финансовую ситуацию.

Таким образом, мы видим, что любая банковская система представляет из себя сложный комплекс, объединяющий сотни отдельных компьютеров, ЛВС и ГВС.

3. Критерии выбора БС.

Итак, самой главной задачей компьютерного департамента банка зачастую является выбор наилучшего решения из предлагаемых на рынке вариантов БС или выбор стратегии разработки или модернизации существующей БС. Рассмотрим критерии такого выбора.

Требования к сложной банковской системе существенно зависят от объема операций, проводимых банком. Целью является создание БС, которая обеспечивала бы персонал и клиентов банка необходимыми видами услуг, при условии, что расходы на создание и эксплуатацию не превышают доходов от внедрения БС.

Итак, для выбора наиболее удачного решения необходимо учитывать:

Стоимость БС. Здесь следует обратить внимание на выбор вычислительной платформы, сетевого оборудования и ПО. Немаловажна и стоимость обслуживания и сопровождения системы. Важно учитывать стандартность платформы и число независимых поставщиков оборудования и ПО. Очевидно, что конкуренция поставщиков увеличивает шансы найти более дешевое решение.

Возможность Масштабирования. В случае роста банка стоимость модернизации при неудачном выборе резко возрастает. Необходимо, чтобы выбранная вычислительная платформа допускала бы постепенное наращивание ресурсов в тех частях системы, где это требуется.

Использование существующих ресурсов. От эффективности использования уже имеющихся компьютеров, сетей и каналов связи существенно зависят и затраты на построение БС.

Наличие системы защиты информации. Безопасность данных является одним из главных требований к БС. Должна быть предусмотрена как устойчивость работы при неправильных действиях персонала, так и специализированные системы защиты от преднамеренного взлома БС с корыстными или иными целями. На сегодняшний день безопасность БС так важна, что мы рассмотрим этот вопрос подробнее. Система защиты и безопасности информации в БС предполагает наличие:

1.    Средства физического ограничения доступа к компьютерам БС (идентификационные карточки, съемные блокирующие устройства и т.п.).

2.     Предоставление полномочий, привилегий и прав доступа к БС на уровне отдельного пользователя (сотрудника или клиента банка).

3.    Средства централизованного обнаружения несанкционированных попыток проникнуть к ресурсам БС, дающие возможность своевременно принять соответствующие меры.

4.    Защита данных при их передаче по каналам связи (особенно актуально при использовании открытых каналов связи, например сети Internet). Здесь возможно использование "цифровой электронной подписи" и других криптографических методов.

Надежность системы. Отказы отдельных элементов БС не должны приводить к ее полному выходу из строя. Кроме того, необходимо обеспечить высокую устойчивость работы БС в условиях дестабилизирующих факторов (например помех в линиях связи или ошибочных действий персонала банка).

Наличие средств восстановления при сбоях. В БС должны быть предусмотрены средства для прогноза, фиксации и локализации различных нештатных ситуаций и отказов оборудования (таких как: повреждений и перегрузок каналов связи; перегрузок устройств внешней памяти; нарушения целостности БД; попыток несанкционированного доступа в систему и т.д.)

Возможность адаптации к изменениям финансового законодательства или структуры банка и другим событиям.

Возможность работы в режиме реального времени. В настоящее время системы типа OLTP (On-line Transaction Processing) становятся все более распространенными при создании БС. Внедрение систем OLTP требует от банка весьма больших инвестиций, но преимущества таких систем с лихвой оправдывают все затраты. Для создания систем этого типа могут быть использованы:

1.    Мощные универсальные компьютеры и мини-ЭВМ, например, фирм IBM, DEC, NCR и др.( до 70% систем). Возможности OLTP реализуются с помощью дополнительного к стандартному ПО.

2.     Специализированные многопроцессорные отказоустойчивые (SFT, System fault-tolerant) системы, например, фирмы Tandem, Suquent и др. ( около 10% систем). Для SFT-компьютеров принято включать OLTP непосредственно в ОС (например, для компьютеров типа NonStop фирмы Tandem).

Главное, что отличает компьютеры фирмы Sequent - это организация симметричной параллельной работы процессоров с минимальной потерей их производительности. Прикладное ПО для компьютеров Sequent разрабатывается известной фирмой Oracle. Кроме БС, компьютеры, Symmetry 2000 применяются для CASE-технологий.

В качестве примера рассмотрим параметры модели Symmetry 2000 (данные 2004 г.): 200 транзакций в секунду для БД объемом 50 Гбайт под управлением СУБД Oracle при ЗО-процессорной организации. Система из двух компьютеров Symmetry 2000 позволила достигнуть рекордной (для 2004 года) производительности - до 1000 транзакций в секунду. При этом в компьютерах фирмы Sequent применяются: процессоры  с тактовой частотой 2 ГГц; интерфейсы SCSI и VME-bus; ОС UNIX.

Наличие дополнительных функциональных возможностей например, в наиболее современных БС реализован автоматизированный ввод финансовой документации на основе методов оптического распознавания образов.

4. Некоторые характеристики популярных БС

В настоящее время не существует универсальной БС, которую можно было бы автоматически установить в произвольном банке. Можно лишь привести некоторые примеры характеристик и особенностей удачных и популярных БС. (табл. 1)

Таблица 1.

Характеристики популярных банковских систем

Характеристики

Название

 

IBS-90 Winter Partners Inc.

Bankier CSBI

Atlas Internet Syst. Corp.

IBIS Bruce Payne Concultants

BIS midasABC BIS Bank Systems

Platen IMS Business Systems

Bankware Interlog

Назначение и функции

Интегри- рованная БС

Интегри- рованная БС

Междуна- родные банковские операции

Информа- ционные и банковские операции

Междуна- родные банковские операции

Интегри- рованная БС

Интегри- рованная БС

Компьютерные платформы

VAX

IBM AS/400. HP RISK, VAX, IBM PC, Sun Spark

Tandem NonStop EXT

IBM-370, NCR 9000/10000 UNISYS

IBM AS/400

IBM RS/6000, HP RISC, Sun Spark, IBM PC

VAX

Операционная среда

VMS

UNIX, Netware

Gkardian

MVS, VSI, DOS, DOS/VS

SSP, CPF

UNIX

VMS

Поддержка языков программирования

С

СУБД Progress

TAL

COBOL

RPG-2, RPG-3

СУБД Progress

SQL

Возможные адаптации

Да

Да

Да

*

He специ- фицируется

Да

Да

Число установок (/включая Россию)

25

140

50/1

200/2

700

45

*

Год первой установки

1990

1991

1985

1974

1976

1987

*

Цена, тыс.$.

150-500

По соглашению

Интерфейсы

 

SWIFT

SWIFT

 

SWIFT

SWIFT. CHIPS, VISA и др.

SWIFT

* - нет данных

5. Локальные сети банков.

Локальная сеть банка представляет собой частный случай локальной сети крупной компании. Очевидно, что специфика банковской деятельности предъявляет жесткие требования к системам защиты информации в компьютерных сетях банка. Не менее важную роль при построении локальной сети играет необходимость обеспечения безотказной и бесперебойной работы, поскольку даже кратковременный сбой в ее работе может привести к гигантским убыткам. И, наконец, требуется обеспечить быструю и надежную передачу большого объема данных, поскольку многие прикладные банковские программы должны работать в режиме реального времени.

6. Требования к локальной сети банка

Можно выделить следующие основные требования к локальной сети банка:

·       Сеть объединяет в структурированную и управляемую замкнутую систему все принадлежащие компании информационные устройства: отдельные компьютеры и локальные вычислительные сети (LAN), хост-серверы, рабочие станции, телефоны, факсы, офисные АТС, сети банкоматов, онлайновые терминалы.

·      В сети обеспечивается надежность ее функционирования и мощные системы защиты информации. То есть, гарантируется безотказная работа системы как при ошибках персонала, так и в случае попытки несанкционированного доступа.

·       Существует отлаженная система связи между банковскими отделениями разного уровня (как с городскими отделениями, так и с иногородними филиалами).

·      В связи с современными тенденциями развития банковских услуг (например, обслуживание по телефону, круглосуточный доступ к банкоматам и он-лайновым терминалам, развитие сетей быстродействующих платежных терминалов в торговых точках, круглосуточные операции с акциями клиентов) появляется потребность в специфичных для банков телекоммуникационных решениях. Существенную роль приобретает организация оперативного, надежного и безопасного доступа удаленного клиента к современным банковским услугам.

7. Архитектура локальной сети банка

Касаясь вопроса предпочтительной архитектуры банковской сети, можно отметить, что наиболее распространенной в европейских странах и актуальной на сегодня для российских банков является топология "звезда", простая или многоуровневая, с главным офисом в центре, соединенным с региональными отделениями. Преобладание этой топологии определяется следующими факторами:

·      Прежде всего, самой структурой банковских организаций. (Наличием региональных отделений и большим объемом передаваемой между ними информации.)

·      Высокой стоимостью аренды каналов связи. Нужно иметь в виду, что обычно при организации связи с удаленными отделениями практически не используются коммутируемые телефонные каналы. Здесь необходимы высокоскоростные и надежные линии связи.

·      В странах Восточной Европы и СНГ в пользу применения топологии "звезда" действует дополнительный фактор — недостаточно развитая инфраструктура телекоммуникаций и связанные с этим трудности в получении банком большого числа каналов связи. В этих условиях особенно важным становится внедрение экономичных решений, существующих на мировом рынке, а иногда и специально доработанных для соответствия условиям развивающихся стран.

В общем случае, когда возникает необходимость связывать региональные офисы друг с другом напрямую, приобретает актуальность топология "каждый с каждым". По своей сути эта топология отличается повышенной надежностью и отсутствием перегрузок. Практически могут быть реализованы многочисленные смешанные варианты топологий, как в случае "децентрализованного главного офиса", когда различные отделы центрального офиса банка — расчетный, кредитный, аналитический, технический или любой другой — находятся в разных зданиях.

В некоторых европейских странах существуют общенациональные конфигурации, когда локальные сети отдельных банков образуют "суперзвезду" с межбанковским расчетным центром в качестве вершины телекоммуникационной банковской иерархии. Этот вопрос напрямую связан с выбором системы межбанковских взаиморасчетов и будет рассмотрен ниже.

8. Использование интегрированной передачи данных

Рассмотрим вкратце решения компании RAD Data Communications, традиционно ориентированной на европейский рынок.

Основная современная тенденция развития банковских сетей в Европе, как и локальных сетей вообще, - переход к интегрированной передаче данных и речи (по экспертным оценкам, интегрированный трафик в 2004 г. составил 82% от общего — против 32% в 1996 г.). Данные, голос (телефонные разговоры), факсы и видеоинформация передаются по одному и тому же каналу, что обеспечивает многократное снижение расходов на аренду каналов или их прокладку. Здесь важную роль играют сети АТМ.

Технически это осуществляется путем мультиплексирования, интегрированной передачи и последующего демультиплексирования отдельных информационных потоков. Различные классы мультиплексоров позволяют интегрировать информационные потоки различной величины, поступающие как от маленьких удаленных отделений, так и от крупных региональных офисов по каналам от 9,6 Кб/с до 2,048 Мб/с и выше. В конкретных приложениях возможно применение дополнительных встроенных в мультиплексоры механизмов, повышающих эффективность использования полосы пропускания канала связи. Мультиплексоры с опцией Day/Night Configuration работают с учетом разницы в характере дневного и ночного трафика (больше каналов голоса — днем, а каналов данных — ночью). Адаптивные мультиплексоры отводят всю полосу речевого канала под передачу данных, если речевой трафик отсутствует, Механизм динамичного разделения полосы пропускания по каналам повышает эффективность путем отслеживания состояния каналов: полоса пропускания распределяется по "активным" каналам по мере необходимости. Далее, благодаря специальной технологии silence suppression, во время пауз в телефонных разговорах передаются другие потоки данных, голос, факсы и трафик LAN.

В результате использования интегрированной передачи очевидна существенная экономия в использовании самого дорогостоящего ресурса сети — каналов связи.

Дополнительные выгоды дает одновременное с интеграцией уплотнение информации, в первую очередь, речи. Например, одна из самых современных технологий компрессии голоса MP-MLQ, впервые реализованная в мультиплексорах компании RAD Data Communications, позволяет практически без потери качества звучания речи одновременно передавать до 13 телефонных разговоров по одному стандартному каналу 64 Кб/с.

Применение интегрированной передачи информационных потоков позволяет обеспечить каждое рабочее место полным комплексом информационных услуг при оправданных расходах на их поддержание. Кроме того, телефонные разговоры между региональными отделениями превращаются во внутрифирменные, что обеспечивает лучший контроль и безопасность.

9. Телекоммуникационные технологии и услуги для банковских сетей.

Факторы, влияющие на выбор технологии передачи информации, носят экономический, географический и политический характер и связаны, в первую очередь, с политикой национальных телекоммуникационных компаний. Например, в Германии и Австрии, где операторы сетей связи последовательно вкладывали средства в развитие услуг ISDN, банковские сети построены с использованием этой технологии. В латиноамериканских странах и в тяготеющих к американскому рынку Испании и Португалии банковские сети (например, Banco de Espana, Lloyds в Испании, Caixa de Depositos Gerais, Montepio Geral в Португалии, Banco Real, Banco Credito Nacional, Banco de Brazil и многие другие в Бразилии) построены на цифровых линиях и оборудовании Х.25 с постепенным переходом к технологии Frame Relay.

В общем случае корпоративная сеть может быть построена на самых различных каналах связи — от выделенных линий (аналогових и цифровых) до коммутируемых цифровых Е1 и Fractional El, в том числе, и на оптоволоконных, спутниковых, радио и микроволновых каналах, и на основе разнообразных протоколов и технологий ISDN, Х.25, Frame Relay и АТМ.

Перечислим вкратце некоторые полезные для банков технологические возможности различных телекоммуникационных технологий.

Важная особенность сетей ISDN — технология Bandwidth-on-Demand ("полоса частот по требованию"), предоставление и оплата необходимой полосы пропускания канала связи по мере потребности — это актуально в часы резкого возрастания трафика в сети, например, перед закрытием операционного дня. Другое приложение технологии ISDN — технология Connection-on-Demand ("связь по требованию"), применимая для связи с совсем небольшими отделениями или удаленными абонентами (например в системах банк-клиент) и удобная в условиях малоинтенсивного и эпизодического трафика по каналу связи. Организация "связи по требованию" возможна и на коммутируемых модемных линиях — при более низких скоростях.

Сети Х.25, передача данных в которых рассчитана на низкоскоростные (чаще всего аналоговые) каналы, отличаются особой надежностью и сохраняют свою актуальность для связи с банкоматами, тем более, что банкоматы и онлайновые терминалы зачастую выпускаются со встроенными портами Х.25. Кроме того использование этого типа сетей актуально в российских условиях.

Технология Frame Relay близка к Х.25. Отличается быстродействием и возможностью одновременной передачи данных и оцифрованного голоса. Кроме того, протокол Frame Relay позволяет эффективно передавать неравномерный по времени (bursty) трафик.

Очень выгодным является использование так называемой виртуальной частной сети, построенной частично или полностью на основе аренды услуг сетей общего пользования.

Еще больше преимуществ у концепции наложенных сетей. Определенным образом сконфигурированное телекоммуникационное оборудование (к примеру, мультиплексоры) дает возможность в рамках частной корпоративной сети получать, к примеру, услуги ISDN даже по аналоговым арендованным линиям. Или же возможно связать банкоматы наложенной сетью Х.25, не строя собственную общенациональную сеть стандарта Х.25. Эта концепция особенно актуальна на восточноевропейском и российском рынке, поскольку она открывает пользователям доступ к новейшим технологиям связи в условиях элементарной нехватки как низкоскоростных, так и магистральных каналов связи.

10. Защита информации банковской системы.

В общем случае автоматизированная банковская система включает в себя три основных уровня:

·                     одна или несколько систем управления базами данных (СУБД);

·                     одна или несколько операционных систем (ОС), обслуживающих СУБД и системы документооборота;

·                     сетевое программное обеспечение, обеспечивающее информационное взаимодействие рабочих станций и серверов банковской сети.

Атака АБС может осуществляться на любом из перечисленных уровней. Пусть, например, хакеру требуется прочитать определенные записи из базы данных (БД). Хакер может попытаться:

·                     прочитать эти записи средствами СУБД (атака на уровне СУБД);

·                     прочитать файлы БД (атака на уровне ОС);

·                     отправить в сеть пакеты определенного вида, получив которые, сервер БД предоставит хакеру требуемую информацию (атака на уровне сети).

Поскольку методы осуществления НСД к ресурсам АБС существенно различаются в зависимости от того, на каком уровне происходит атака АБС, эти методы для разных уровней целесообразно рассмотреть отдельно.

Возможные атаки на уровне СУБД.

Защита базы данных является одной из наиболее простых задач защиты информации. Это обусловлено тем, что базы данных имеют четко определенную внутреннюю структуру, и операции над элементами баз данных также четко определены. Обычно над элементами баз данных определены всего четыре основные операции: поиск, вставка, замена и удаление. Другие операции носят вспомогательный характер и используются относительно редко. Такая простая структура системы защиты упрощает ее администрирование и сильно усложняет задачу преодоления защиты СУБД. В большинстве случаев хакеры даже не пытаются атаковать СУБД, поскольку преодолеть защиту АБС на уровнях операционной системы и сети гораздо проще.

Тем не менее, в отдельных случаях преодоление хакером защиты, реализуемой СУБД, вполне возможно. Такая ситуация имеет место в следующих случаях:

·                     если в АБС используется СУБД, защита которой недостаточно надежна;

·                     если используется недостаточно хорошо протестированная версия СУБД, содержащая ошибки в программном обеспечении;

·                     если администраторы базы данных допускают грубые ошибки при определении политики безопасности.

Кроме того, известны две атаки СУБД, для защиты от которых требуются специальные меры. К ним относятся:

·                     “атака салями”, когда результаты округления результатов арифметических операций прибавляются к значению некоторого элемента базы данных (например, к сумме, хранящейся на личном счету хакера);

·                     статистическая идентификация. Эта атака позволяет получать конкретные значения тех полей базы данных, для которых доступна только статистическая информация. Основная идея заключается в том, чтобы так задать параметры запроса, что множество записей, по которым собирается статистика, включает в себя только одну запись.

Возможные атаки на уровне ОС.

Защитить операционную систему гораздо сложнее, чем СУБД. Это обусловлено тем, что число различных типов защищаемых объектов в современных ОС может достигать нескольких десятков, а число различных типов защищаемых информационных потоков – нескольких сотен. ОС имеет очень сложную внутреннюю структуру и поэтому задача построения адекватной политики безопасности для ОС решается значительно сложнее, чем для СУБД.

Возможность практической реализации той или иной атаки на ОС в значительной мере определяется архитектурой и конфигурацией ОС. Тем не менее, существуют атаки, которые могут быть применены практически к любым операционным системам. К ним относятся следующие атаки:

1.                Кража ключевой информации. Может реализовываться с использованием следующих методов:

·                     подсматривание пароля при вводе пользователем. Существуют люди, которые могут подсмотреть вводимый пароль, глядя только на движения рук по клавиатуре. Поэтому то, что обычно при вводе пароль не высвечивается на экране, не гарантирует невозможность компрометации пароля;

·                     получение пароля из командного файла. Некоторые ОС при сетевой аутентификации (подключении к серверу) допускают ввод пароля из командной строки. Если аутентификация происходит с использованием командного файла, пароль пользователя присутствует в этом файле в явном виде;

·                     некоторые пользователи, чтобы не забыть свой пароль, записывают его в записные книжки, на бумажки, которые затем приклеивают к нижней части клавиатуры, и т.д. Для злоумышленника узнать такой пароль не составляет никакого труда. Особенно часто такая ситуация имеет место, если администраторы заставляют пользователей использовать длинные, труднозапоминаемые пароли;

·                     кража внешнего носителя ключевой информации. Некоторые ОС допускают использование вместо паролей внешних носителей информации (ключевые дискеты, Touch Memory, Smart Card и т.д.). Использование внешних носителей повышает надежность защиты ОС, но в этом случае появляется угроза кражи носителя с ключевой информацией;

·                     перехват пароля программной закладкой.

2.                Подбор пароля. Могут использоваться следующие методы:

·                     неоптимизированный перебор;

·                     перебор, оптимизированный по статистике встречаемости символов и биграмм;

·                     перебор, оптимизированный с использованием словарей вероятных паролей;

·                     перебор, оптимизированный с использованием знаний о пользователе. В этом случае в первую очередь опробуются пароли, использование которых пользователем представляется наиболее вероятным (имя, фамилия, дата рождения, номер телефона и т.д.);

·                     перебор, оптимизированный с использованием знаний о подсистеме аутентификации ОС. Если ключевая система ОС допускает существование эквивалентных паролей, при переборе из каждого класса эквивалентности опробуется всего один пароль.

3.                Сканирование жестких дисков компьютера. Хакер последовательно считывает файлы, хранящиеся на жестких дисках компьютера. Если при обращении к некоторому файлу или каталогу хакер получает отказ, он просто продолжает сканирование дальше. Если объем жесткого диска компьютера достаточно велик, можно быть уверенным, что при описании прав доступа к файлам и каталогам этого диска администратор допустил хотя бы одну ошибку. При применении этой атаки все файлы, для которых были допущены такие ошибки, будут прочитаны хакером. Несмотря на примитивность данной атаки, она во многих случаях оказывается весьма эффективной. Для ее реализации хакер должен быть легальным пользователем ОС. Если в ОС поддерживается адекватная (или близкая к адекватной) политика аудита, данная атака будет быстро выявлена, но если хакер организует атаку под чужим именем (именем пользователя, пароль которого известен хакеру), выявление этой атаки ничем ему не грозит.

4.                Превышение полномочий. Используя ошибки в программном обеспечении или администрировании ОС, хакер получает в системе полномочия, превышающие предоставленные ему согласно текущей политике безопасности. Превышение полномочий может быть достигнуто следующими способами:

·                     запуск программы от имени пользователя, обладающего необходимыми полномочиями;

·                     запуск программы в качестве системной программы (драйвера, сервиса, демона и т.д.), выполняющейся от имени ОС;

·                     подмена динамически подгружаемой библиотеки, используемой системными программами, или несанкционированное изменение переменных среды, описывающих путь к такой библиотеке;

·                     модификация кода или данных подсистемы защиты ОС.

Для того чтобы хакер, преодолевший защиту ОС, не смог причинить серьезный ущерб информации, хранящейся в базе данных, распределенная СУБД должна иметь архитектуру клиент-сервер. При этом должны выполняться следующие требования:

·                     на рабочую станцию передаются только те данные, которые запрошены пользователем;

·                     файлы БД, хранящиеся на сервере, не являются разделяемыми с точки зрения ОС – разделение данных между пользователями имеет место только на уровне СУБД;

·                     при сетевом взаимодействии рабочих станций и серверов баз данных не используются объектно-ориентированные сетевые протоколы (типа SMB).

Эти требования достаточно очевидны, но, как показывает опыт, далеко не всегда администраторы ими руководствуются.

На всех компьютерах, входящих в состав АБС, должны быть установлены достаточно защищенные операционные системы (SCO UNIX, Windows NT, Solaris и др., но не Windows 95 или OS/2). Для каждой операционной системы политика безопасности должна быть адекватной. При определении адекватной политики безопасности целесообразно ориентироваться на требования класса защиты C2 "Оранжевой книги”.

Возможные атаки на уровне сети.

На уровне сетевого программного обеспечения возможны следующие атаки на АБС:

1.                Прослушивание канала (возможно только в сегменте локальной сети). Практически все сетевые карты поддерживают возможность перехвата пакетов, передаваемых по общему каналу локальной сети. При этом рабочая станция может принимать пакеты, адресованные другим компьютерам того же сегмента сети. Таким образом, весь информационный обмен в сегменте сети становится доступным хакеру. Для успешной реализации этой атаки компьютер хакера должен располагаться в том же сегменте локальной сети, что и атакуемый компьютер.

2.                Перехват пакетов на маршрутизаторе. Сетевое программное обеспечение маршрутизатора имеет доступ ко всем сетевым пакетам, передаваемым через данный маршрутизатор, что позволяет осуществлять перехват пакетов. Для реализации этой атаки хакер должен иметь привилегированный доступ хотя бы к одному маршрутизатору сети. Поскольку через маршрутизатор обычно передается очень много пакетов, тотальный их перехват практически невозможен. Однако отдельные пакеты вполне могут быть перехвачены и сохранены для последующего анализа хакером. Наиболее эффективен перехват пакетов FTP, содержащих пароли пользователей, а также электронной почты.

3.                Создание ложного маршрутизатора. Хакер отправляет в сеть пакеты определенного вида, в результате чего компьютер хакера становится маршрутизатором и получает возможность осуществлять предыдущую угрозу. Ложный маршрутизатор необязательно заметен всем компьютерам сети – можно создавать ложные маршрутизаторы для отдельных компьютеров сети и даже для отдельных соединений.

4.                Навязывание пакетов. Хакер отправляет в сеть пакеты с ложным обратным адресом. С помощью этой атаки хакер может переключать на свой компьютер соединения, установленные между другими компьютерами. При этом права доступа хакера становятся равными правам того пользователя, чье соединение с сервером было переключено на компьютер хакера.

5.                Атаки класса “отказ в обслуживании”. Хакер отправляет в сеть пакеты определенного вида, в результате чего один или несколько компьютеров сети полностью или частично выходят из строя.

Заключение

В условиях повышенных требований к надежности, безопасности и скорости передачи данных в банковских локальных сетях используется самое современное телекоммуникационное оборудование и передовые технологии.

Характерно использование интегрированной передачи информации. При работе с сетью банкоматов применяют сети X.25. Для связи с удаленными отделениями характерно использование сетей с топологией "звезда". При этом для их построения часто используются сети общего назначения или специализированные национальные банковские сети (в российских условиях до недавнего времени широко применялась связь по сети Relcom).

Современное телекоммуникационное оборудование, будучи многофункциональным и "прозрачным" для различных протоколов, позволяет строить частную банковскую сеть, используя все преимущества этих протоколов.

В России и других странах СНГ к сожалению системы национальных телекоммуникаций развиты слабо. В основном используется морально устаревшее оборудование. Поэтому банкам приходится вкладывать средства в построение своих собственных систем связи.

                   

Литература

1. Автоматизированные информационные технологии в экономике: Учебник/ Под ред. проф. Г.А.Титоренко. – М.: ЮНИТИ, 2003.

2. www.stu.ru/inform/index.html «СИБИРСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ПУТЕЙ СООБЩЕНИЯ» программа обучения «Информационные технологии».

3. www.do.rksi.ru/ «РОСТОВСКИЙ-НА-ДОНУ КОЛЕДЖ СВЯЗИ И ИНФОРМАТИКИ» дистанционное обучение «Автоматизированные информационные системы».