Содержание
Задание 1. 3
Защита персональных платеждей: основные понятия, методы и способы защиты 3
Задание 2. 9
Виды и источники утечки банковской информации по техническим каналам: разновидности каналов утечки, основные и вспомогательные технические средства как источники утечки банковской информации. 9
Задание 3. 15
Список литературы.. 17
Задание 1
Защита персональных платежей: основные понятия, методы и способы защиты
Выделяют три вида персональных платежей [4, с. 81]:
- домашнее (телефонное) обслуживание,
- расчет с автоматическим кассовым аппаратом (банкоматом),
- расчет в точке продажи.
В настоящее время появился четвертый вид — финансовый сервис с использованием всемирной сети Интернет.
Домашнее банковское обслуживание позволяет клиентам получить доступ к банковским и информационным услугам не выходя из дома.
Достоинства этого вида обслуживания: - для клиента - большая доступность данных и управление своими финансовыми делами;
- для банка - уменьшение стоимости обслуживания.
Ввод данных для платежа при голосовой связи (идентификатор, номер счета, размер платежа) производится клиентом либо с клавиатуры телефона либо голосом (что менее надежно с точки зрения безопасности, но более технически доступно) [3,с . 178].
Системы домашнего (телефонного) обслуживания начали внедряться банками с начала 80-годов, однако, до настоящего времени широкого распространения не получили.
Этот вид обслуживания в разных странах находится на различном уровне. Например, в США домашнее обслуживание не приняло больших масштабов в то время как во Франции около 3.5 млн. домов подключено к сети MiniTel. Некоторое распространение получило телефонное обслуживание и в Великобритании. Основным банком, обеспечивающим эти услуги является там Trustee Savings Banks. Его система SpeedLink в настоящее время обслуживает более 250.000 клиентов, не имеющих специального оборудования, за исключением современного телефона. [1, с. 25]
Для получения доступа к услугам SpeedLink клиенту необходимо соединиться с ним и назвать свой номер счета и свой идентификатор (PIN SpeedLine) для подтверждения личности. После установления связи клиенты SpeedLink могут получить уведомление на факс-аппарат или по почте (если факс отсутствует). Система предоставляет также такие услуги как оплата счетов, передача денег, ознакомление с последними шестью транзакциями, перевод денег. Соотношение персональных и корпоративных клиентов этой системы находится в отношении 2:1.
First Direct - полная система телефонного обслуживания клиентов на дому. Она введена в действие Midland Bank Group в 1989 году.
Основное ее отличие в том, что она не использует синтезируемый голос или персональный компьютер для проведения расчетов.
Проведенные после установки First Direct исследования показали, что 30% населения посещают банки для того, чтобы использовать банкоматы, а 30% пользуются телефоном.
В системе First Direct особое внимание уделяется начальной идентификации и проверке абонента. Для идентификации используется десятисимвольный пароль, устанавливаемый клиентом и известный только ему. Проверка абонента осуществляется при взаимодействии с оператором. В начале работы оператор запрашивает наугад одну или несколько букв из пароля пользователя. Дополнительно клиент снабжается кодовым словом, которое используется при этой процедуре. Детали процедуры идентификации и аутентификации системы First Direct держатся в секрете. Будущее этого вида услуг сильно зависит от прогресса в области распознавания речи и создания надежных и сравнительно недорогих устройств с приемлемыми характеристиками такого распознавания.
Банковский автомат-кассир (АКА, банкомат) - специализированное устройство, предназначенное для обслуживания клиента в отсутствие банковского персонала. Это наиболее существенная часть банковской системы, предназначенная, в основном, для выдачи наличных денег. Помимо этой функции АКА может выполнять ряд дополнительных, а числе которых [5,с . 189]:
* проверка состояния счета клиента; * изменение параметров счета клиента; * осуществление различных платежей; * предоставление информации о: - страховом полисе клиента; - котировках ценных бумаг на фондовом рынке; - покупке и продаже акций; - обменных курсах валют и т.д.
Автоматический кассовый аппарат состоит из трех устройств ввода (считыватель с пластиковых карточек, цифровая и функциональная клавиатура), двух выходных устройств (микродисплей и принтер) и устройства обработки информации. Взаимодействие клиента с АКА осуществляется при помощи пластиковой карточки, на которой записана необходимая информация, выносной клавиатуры и микродисплея.
В настоящее время устройства обработки информации АКА разрабатываются на основе микропроцессоров. Так, например основой АКА компании NCR являются процессоры Intel 80486 и Pentium. Фактически АКА компании NCR представляет собой персональную ЭВМ, работающую под управлением ОС OS/2 и имеющую до 64 Мбайт оперативной памяти, до 3200 Мбайт дисковой памяти, накопитель на гибких магнитных дисках, дисплей, принтер и другие периферийные устройства. Выполнение операций осуществляется с помощью прикладного программного обеспечения. Шифрование конфиденциальной информации при передаче по каналам связи или при записи на диск осуществляется на основе стандарта DES. Кроме крипто-защиты предусмотрены и другие меры безопасности. В 90-х годах по данным Американской Ассоциации Банкиров в США услуги АКА использовались половиной национальных банков и всеми крупными банками. [2, с.377].
Системы, обеспечивающие расчеты продавца и покупателя в точке продажи, (point-of-sale, POS) получили распространение в США более 25 лет назад. В основном, все терминалы, подключенные к этим системам размещены на предприятиях торговли. Большинство таких терминалов установлены в супермаркетах, так как там совершается большое количество покупок в течении дня, а также в других магазинах и на автозаправочных станциях.
Системы POS обеспечивают следующие услуги: - проверку и подтверждение чеков; - проверку и обслуживание дебетовых и кредитных карточек; - использование системы электронных расчетов.
Банки, финансирующие систему расчетов в точке продажи, таким образом расширяют список своих клиентов путем предоставления им больших удобств для покупок в магазинах с использованием удаленных устройств. Торговля, в свою очередь, увеличивает количество клиентов, расширяет управление имуществом, сохраняет время клиентов и уменьшает риск потери наличных денег.
Существует два типа систем POS. Основной из них предполагает, что продавец и покупатель имеют счета в одном и том же банке. Данные, необходимые для платежа, передаются через терминалы системы POS банковскому компьютеру, производится платеж и деньги переводятся со счета покупателя на счет продавца. В более сложной системе участвуют два или более банков. При платеже сначала вызывается банк покупателя, производится платеж и записывается на магнитную ленту для передачи в расчетную палату. Расчетная палата в свою очередь пересылает данные о платеже в банк продавца, который кредитует платеж.
Проблемы идентификации клиента при удаленном обслуживании. Персональный номер (идентификатор) (Personal Identification Number, PIN) - это последовательность цифр, используемая для идентификации клиента. Для ввода PIN как в АКА, так и в терминалах систем POS предусмотрена цифровая клавиатура, аналогичная телефонной. По способу назначения можно выделить следующие типы PIN [4, с. 122]:
- назначаемые выведенные PIN; - назначаемые случайные PIN; - PIN, выбираемые пользователем.
Клиент различает только два типа PIN: PIN, который назначен ему банком, выдавшим карточку, и PIN, который пользователь может выбирать себе самостоятельно.
В связи с тем, что PIN предназначен для идентификации и аутентификации клиента, его значение должно быть известно только клиенту. Однако на практике PIN трудно удержать в памяти и поэтому клиент банка куда-нибудь его запишет (иногда - на саму карточку). В результате задача злоумышленника бывает сильно облегчена.
Использование PIN, назначенных банком, неудобно даже при небольшом их количестве. Много цифр не удержишь в памяти и их придется записывать. Для большего удобства клиента используются PIN, выбираемые им самим. Такой способ определения PIN, во-первых, позволяет клиенту использовать один и тот же PIN для различных целей, и, во-вторых, позволяет задавать PIN как совокупность букв и цифр.
PIN обычно состоит из 4-6 цифр. Следовательно, для его перебора в наихудшем (для защиты естественно) случае необходимо осуществить 10.000 комбинаций (4-х символьный PIN). Такой перебор возможен за короткое время. Поэтому в системах, использующих такой PIN , должны быть предусмотрены меры защиты от подбора PIN.
Всего существуют два основных способа проверки PIN: алгоритмический и неалгоритмический.
Алгоритмический способ проверки заключается в том, что у пользователя запрашивается PIN, который преобразуется по определенному алгоритму с использованием секретного ключа и затем сравнивается со значением PIN, хранившемся на карточке. Достоинством этого метода проверки является:
- отсутствие копии PIN на главном компьютере, что исключает его раскрытие персоналом банка; - отсутствие передачи PIN между АКА и главным компьютером банка, что исключает его перехват злоумышленником или навязывание результатов сравнения; - облегчение работы по созданию программного обеспечения системы, так как уже нет необходимости действий в реальном масштабе времени.
Неалгоритмический способ проверки PIN, как это следует из его названия, не требует применения специальных алгоритмов. Проверка PIN осуществляется путем прямого сравнения полученного PIN со значениями, хранимыми в базе данных. Часто сама база данных со значениями PIN шифруется прозрачным образом, чтобы не затруднять процесс сравнения, но повысить ее защищенность.
Как же происходит генерация PIN? Вначале номер счета клиента дополняется нулями или другой константой до 16 шестнадцатеричных цифр (8 байт). Затем получившиеся 8 байт шифруются с использованием секретного ключа. Из получившегося шифртекста (8 байт), начиная с младших байт выделяются по 4 бита. Если значение числа, образуемого этими битами менее 10, то полученная цифра включается в PIN, иначе значение отбрасывается. Таким образом обрабатываются все 8 байт (64 бита). Если в результате обработки не удалось получить требуемое количество десятичных цифр, то из неиспользуемых комбинаций вычитается 10.
В том случае, когда необходимо получить выбираемый пользователем PIN, то каждая его цифра складывается по модулю 10 с соответствующей цифрой выведенного PIN (без учета переноса). Получаемое десятичное число называется «смещением» и запоминается на карточке. Так как выводимый PIN имеет случайное значение, то невозможно получить выбранный пользователем PIN по его «смещению».
В настоящее время ведется большая дискуссия по поводу применения PIN для идентификации клиентов [1, с. 25]. Сторонники применения утверждают, что вскрытие PIN в Великобритании, например, составило несколько случаев в месяц против несколько сотен миллионов проведенных транзакций в год. Противники же доказывают, что идентификация клиента с использованием PIN работает только в следующих случаях:
- отсутствует перехват карточки и/или PIN при передаче от банка клиенту; - банковские карточки не воруют, не теряют и их невозможно подделать; - PIN невозможно узнать при доступе к системе другим пользователем; - PIN иным образом не может быть скомпрометирован; - в электронной системе банка отсутствуют сбои и ошибки; - в самом банке нет мошенников.
В качестве альтернативы PIN предлагается применять устройства идентификации, основанные на биометрическом принципе. Их широкое применение сдерживается высокой стоимостью. Например, устройство, предлагаемое компанией Sats и предназначенное для идентификации человека по геометрии его руки, стоит около $3.500.
Однако в настоящее время к биометрическим системам проявляется все больше интереса.
Задание 2
Виды и источники утечки банковской информации по техническим каналам: разновидности каналов утечки, основные и вспомогательные технические средства как источники утечки банковской информации
Информационная безопасность подчеркивает важность информации в современном обществе - понимание того, что информация - это ценный ресурс, нечто большее, чем отдельные элементы данных. Информационной безопасностью называют меры по защите информации от неавторизованного доступа, разрушения, модификации, раскрытия и задержек в доступе. Информационная безопасность включает в себя меры по защите процессов создания данных, их ввода, обработки и вывода. Целью информационной безопасности является обезопасить ценности системы, защитить и гарантировать точность и целостность информации, и минимизировать разрушения, которые могут иметь место, если информация будет модифицирована или разрушена. Информационная безопасность требует учета всех событий, в ходе которых информация создается, модифицируется, к ней обеспечивается доступ или она распространяется
Можно выделить следующие направления мер информационной безопасности [4,с . 178].
- правовые
- организационные
- технические
К правовым мерам следует отнести разработку норм, устанавливающих ответственность за компьютерные преступления, защиту авторских прав программистов, совершенствование уголовного и гражданского законодательства, а также судопроизводства. К правовым мерам относятся также вопросы общественного контроля за разработчиками компьютерных систем и принятие международных договоров об их ограничениях, если они влияют или могут повлиять на военные, экономические и социальные аспекты жизни стран, заключающих соглашение
К организационным мерам отнесу охрану вычислительного центра, тщательный подбор персонала, исключение случаев ведения особо важных работ только одним человеком, наличие плана восстановления работоспособности центра, после выхода его из строя, организацию обслуживания вычислительного центра посторонней организацией или лицами, незаинтересованными в сокрытии фактов нарушения работы центра, универсальность средств защиты от всех пользователей (включая высшее руководство), возложение ответственности на лиц, которые должны обеспечить безопасность центра, выбор места расположения центра и т.п.
К техническим мерам можно отнести защиту от несанкционированного доступа к системе, резервирование особо важных компьютерных подсистем, организацию вычислительных сетей с возможностью перераспределения ресурсов в случае нарушения работоспособности отдельных звеньев, установку оборудования обнаружения и тушения пожара, оборудования обнаружения воды, принятие конструкционных мер защиты от хищений, саботажа, диверсий, взрывов, установку резервных систем электропитания, оснащение помещений замками, установку сигнализации и многое другое. Более подробно эти меры будут рассмотрены в последующих разделах этого реферата.
Технические средства защиты от утечки информации [4,с .188]
Можно так классифицировать потенциальные угрозы, против которых направлены технические меры защиты информации:
1. Потери информации из-за сбоев оборудования:
- перебои электропитания;
- сбои дисковых систем;
- сбои работы серверов, рабочих станций, сетевых карт и т.д.
2. Потери информации из-за некорректной работы программ:
- потеря или изменение данных при ошибках ПО;
- потери при заражении системы компьютерными вирусами;
3. Потери, связанные с несанкционированным доступом:
- несанкционированное копирование, уничтожение или подделка информации;
- ознакомление с конфиденциальной информацией
4. Ошибки обслуживающего персонала и пользователей:
- случайное уничтожение или изменение данных;
- некорректное использование программного и аппаратного обеспечения, ведущее к уничтожению или изменению данных
Сами технические меры защиты можно разделить на:
- средства аппаратной защиты, включающие средства защиты кабельной системы, систем электропитания, и т.д.
- программные средства защиты, в том числе: криптография, антивирусные программы, системы разграничения полномочий, средства контроля доступа и т.д..
- административные меры защиты, включающие подготовку и обучение персонала, организацию тестирования и приема в эксплуатацию программ, контроль доступа в помещения и т.д.
Следует отметить, что подобное деление достаточно условно, поскольку современные технологии развиваются в направлении сочетания программных и аппаратных средств защиты. Наибольшее распространение такие программно-аппаратные средства получили, в частности, в области контроля доступа, защиты от вирусов и т.д..
При создании системы защиты информации на объекте информатизации, подготовки его к аттестационным испытаниям и эксплуатации ответственные лица сталкиваются с рядом трудностей по локализации, главным образом, естественно образованных технических каналов утечки защищаемой информации (ТКУИ). Проблема возникает, как правило, там, где кабельные линии, инженерные коммуникации, проходящие через объект информатизации выходят за пределы контролируемой зоны , либо выражена возможность утечки защищаемой информации по акустическому и/или виброакустическому каналам. В этом случае объект информатизации, как правило, оборудуется средствами пассивной защиты информации.
Способы пассивной защиты информации от утечки по техническим каналам направлены на ослабление (локализацию) уровней побочных электромагнитных излучений и наводок (ПЭМИиН), которые могут содержать информативный сигнал . Применение способов и средств пассивной защиты информации на объекте является достаточным, если на границе его контролируемой зоны с их помощью обеспечивается требуемое ослабление информативного сигнала (согласно нормативно-методических документов). Здесь важным является профессионализм в подборе способов и средств защиты, места их установки, позволяющие, с одной стороны - достаточно надежно (для заявленной категории объекта информатизации) перекрыть потенциальные ТКУИ, а с другой - не превысить разумных (адекватных ценности защищаемой информации) затрат на их внедрение. Способами пассивной защиты информации на объекте информатизации в зависимости от ожидаемого пути ее утечки, могут быть следующие.
1. Утечка по электромагнитному полю, излучаемому в окружающее пространство в процессе работы техническим средством обработки информации (ТСОИ):
экранирование:
o помещений, в которых функционирует объект информатизации;
o отдельного ТСОИ, ярко выраженного излучателя информационного сигнала, или излучение которого в процессе работы вообще недопустимо;
o кабелей передачи защищаемой информации в открытом виде на самом объекте;
o кабелей электропитания ТСОИ объекта информатизации;
заземление:
o построение контура заземления согласно требованиям нормативно-методических документов;
o организация системы заземления ТСОИ на объекте информатизации согласно требованиям нормативно-методических документов;
фильтрация:
o применение специальных защитных фильтрующих устройств в автоматизированных системах для разграничения доступа к защищаемым ресурсам;
o снабжение защитными фильтрующими устройствами кабелей электропитания ТСОИ, выходящих за пределы КЗ;
o применение защитных фильтрующих устройств в средствах и кабелях связи или другого назначения, не предназначенных для передачи защищаемого сигнала, но проходящих через объект информатизации и выходящих за пределы контролируемой зоны;
o снабжение специальными защитными фильтрующими устройствами (при необходимости) коммуникаций инженерных сетей (водо-, тепло- и газоснабжения, канализации).
2. Утечка по акустическому (виброакустическому) полю, излучаемому в процессе обсуждения (прослушивания, звукозаписи и/или звуковоспроизведения посредством ТСОИ) защищаемой информации в окружающее пространство выделенного помещения :
экранирование:
o технических средств информационного объекта, обладающих акустоэлектрическим эффектом, и кабелей, которых выходят за пределы контролируемой зоны;
фильтрация:
o снабжение специальными защитными фильтрующими устройствами (при необходимости) коммуникаций инженерных сетей (водо-, тепло- и газоснабжения, канализации), а также воздуховодов и вентиляционных шахт;
звукоизоляция (виброизоляция):
o строительных конструкций (стены, пол, потолок) дверей, окон выделенных (защищаемых) помещений;
o воздуховодов, вентиляционных шахт и других технологических проемов (пустот, ниш и т.п.).
3. Утечка защищаемой информации в результате факта несанкционированного доступа к информационным ресурсам, средствам и объекту информатизации, а также несанкционированного на них воздействия (например, пожар или др. причины):
разграничение доступа и охрана техническими средствами - создание на объекте информатизации интегрированной системы охраны, объединяющей возможности:
o системы объектовой и периметровой охранной сигнализации;
o системы пожарной сигнализации и оповещения;
o системы пожаротушения;
o системы контроля и управления доступом;
o системы охранного телевидения;
применение программных и/или программно-аппаратных средств разграничения доступа к защищаемым информационным ресурсам, средствам информатизации (ТСОИ);
инженерно-техническое укрепление помещений объекта информатизации - проведение дополнительных строительных работ по техническому укреплению строительных конструкций (стены, пол, потолок) дверей, окон помещений объекта информатизации согласно требованиям нормативно-методической документации
Задание 3
1. Пассивная защита информации в банковских компьютерных системах – это:
1) снижение уровней излучения сигналов банковских компьютерных систем до величины, соизмеримых с естественными шумами
2) управление доступом пользователей системы к данным
3) сокрытие сигналов, содержащих банковскую информацию, за счет помех, создаваемых специальными устройствами
4) исключение межкомпьютерного обмена платежными, деловыми, коммерческими, финансовыми электронными документами
2. Идентификация пользователя- это :
1) предоставление прав на доступ к объекту
2) распознавание пользователя
3) проверка правильности распознавания пользователя
3. К методам защиты платежных карт от подделки относятся
1) оповещение о состоянии счета клиента
2) идентификация и аутентификация клиента
3) применение магнитных водяных знаков
4) регистрация произведенных операций и выдача квитанций
ОТВЕТЫ НА ТЕСТЫ
Номер тестового задания |
Ответ |
1 |
1 |
2 |
2 |
3 |
3 |
Список литературы
1) Банковское дело. /Под.ред. В.И.Колесникова. М.: Финансы и статистика, 2000.
2) Банковское дело. Справочное пособие /под.ред.Бабичева Ю.А. М.: Экономика, 2001.
3) Ведеев Д. Защита данных в компьютерных сетях // Открытые системы Москва. – 2001. = № 15 .- с. 17
4) Вьюкова Н.И., Галатенко В.А. Информационная безопасность систем управления базами данных. – М.: Инфра- М, 2001. – 134 с
5) Зегжда П. Теория и практика. Обеспечение информационной безопасности. – М.: Дело,2002. 245 с.
6) Косарев В.П. и др. Компьютерные системы и сети: Учеб. Пособие - М.: Финансы и статистика, 2001. – 234 с