Реферат: Проблемы информационной безопасности банков
Помимо перечисленных выше механизмов защиты, реализуемых протоколами различных уровней, существует еще два, не относящихся к определенному уровню. Они по своему назначению аналогичны механизмам контроля в локальных системах:
* Обнаружение и обработка событий (аналог средств контроля опасных событий).
Предназначены для обнаружения событий, которые приводят или могут привести к нарушению политики безопасности сети. Список этих событий соответствует списку для отдельных систем. Кроме того, в него могут быть включены события, свидетельствующие о нарушениях в работе перечисленных выше механизмов защиты. Предпринимаемые в этой ситуации действия могут включать различные процедуры восстановления, регистрацию событий, одностороннее разъединение, местный или периферийный отчет о событии (запись в журнал) и т.д.
* Отчет о проверке безопасности (аналог проверки с использованием системного журнала).
Проверка безопасности представляет собой независимую проверку системных записей и деятельности на соответствие заданной политике безопасности.
Функции защиты протоколов каждого уровня определяются их назначением:
1. Физический уровень - контроль электромагнитных излучений линий связи и устройств, поддержка коммуникационного оборудования в рабочем состоянии. Защита на данном уровне обеспечивается с помощью экранирующих устройств, генераторов помех, средств физической защиты передающей среды.
2. Канальный уровень - увеличение надежности защиты (при необходимости) с помощью шифрования передаваемых по каналу данных. В этом случае шифруются все передаваемые данные, включая служебную информации.
3. Сетевой уровень - наиболее уязвимый уровень с точки зрения защиты. На нем формируется вся маршрутизирующая информация, отправитель и получатель фигурируют явно, осуществляется управление потоком. Кроме того, протоколами сетевого уровня пакеты обрабатываются на всех маршрутизаторах, шлюзах и др. промежуточных узлах. Почти все специфические сетевые нарушения осуществляются с использованием протоколов данного уровня (чтение, модификация, уничтожение, дублирование, переориентация отдельных сообщений или потока в целом, маскировка под другой узел и др.).
Защита от всех подобных угроз осуществляется протоколами сетевого и транспортного уровней и с помощью средств криптозащиты. На данном уровне может быть реализована, например, выборочная маршрутизация.
4. Транспортный уровень - осуществляет контроль за функциями сетевого уровня на приемном и передающем узлах (на промежуточных узлах протокол транспортного уровня не функционирует). Механизмы транспортного уровня проверяют целостность отдельных пакетов данных, последовательности пакетов, пройденный маршрут, время отправления и доставки, идентификацию и аутентификацию отправителя и получателя и др. функции. Все активные угрозы становятся видимыми на данном уровне.
Гарантом целостности передаваемых данных является криптозащита данных и служебной информации. Никто кроме имеющих секретный ключ получателя и/или отправителя не может прочитать или изменить информацию таким образом, чтобы изменение осталось незамеченным.
Анализ графика предотвращается передачей сообщений, не содержащих информацию, которые, однако, выглядят как настоящие. Регулируя интенсивность этих сообщений в зависимости от объема передаваемой информации можно постоянно добиваться равномерного графика. Однако все эти меры не могут предотвратить угрозу уничтожения, переориентации или задержки сообщения. Единственной защитой от таких нарушений может быть параллельная доставка дубликатов сообщения по другим путям.
5. Протоколы верхних уровней обеспечивают контроль взаимодействия принятой или переданной информации с локальной системой. Протоколы сеансового и представительного уровня функций защиты не выполняют. В функции защиты протокола прикладного уровня входит управление доступом к определенным наборам данных, идентификация и аутентификация определенных пользователей, а также другие функции, определяемые конкретным протоколом. Более сложными эти функции являются в случае реализации полномочной политики безопасности в сети.
Глава 6. Безопасность электронных платежей.Электронные платежи в банке.
В главе 4 были рассмотрены особенности подхода к защите электронных банковских систем. Специфической чертой этих систем является специальная форма обмена электронными данными - электронных платежей, без которых ни один современный банк не может существовать.
Обмен электронными данными (ОЭД) — это межкомпьютерный обмен деловыми, коммерческими, финансовыми электронными документами. Например, заказами, платежными инструкциями, контрактными предложениями, накладными, квитанциями и т.п.
ОЭД обеспечивает оперативное взаимодействие торговых партнеров (клиентов, поставщиков,торговых посредников и др.) на всех этапах подготовки торговой сделки, заключения контракта и реализации поставки. На этапе оплаты контракта и перевода денежных средств ОЭД может приводить к электронному обмену финансовыми документами. При этом создается эффективная среда для торгово-платежных операций: [3, с.71]
* Возможно ознакомление торговых партнеров с предложениями товаров и услуг, выбор необходимого товара/услуги, уточнение коммерческих условий (стоимости и сроков поставки, торговых скидок, гарантийных и сервисных обязательств) в реальном масштабе времени;
* Заказ товара/услуг или запрос контрактного предложения в реальном масштабе времени;
* Оперативный контроль поставки товара, получение по электронной почте сопроводительных документов (накладных, фактур, комплектующих ведомостей и т.д.);
* Подтверждение завершения поставки товара/услуги, выставление и оплата счетов;
* Выполнение банковских кредитных и платежных операций. К достоинствам ОЭД следует отнести:
* Уменьшение стоимости операций за счет перехода на безбумажную технологию. Эксперты оценивают стоимость обработки и ведения бумажной документации в 3-8% от общей стоимости коммерческих операций и доставки товаров. Выигрыш от применения ОЭД оценивается, например, в автомобильной промышленности США более чем в $200 на один изготовленный автомобиль [14];
* Повышение скорости расчета и оборота денег;
* Повышение удобства расчетов.
Существует две ключевые стратегии развития ОЭД:
1. ОЭД используется как преимущество в конкурентной борьбе, позволяющее осуществлять более тесное взаимодействие с партнерами. Такая стратегия принята в крупных организациях и получила название «Подхода Расширенного Предприятия» (Extended Enterprise) [2, с.230].
2. ОЭД используется в некоторых специфических индустриальных проектах или в инициативах объединений коммерческих и других организаций для повышения эффективности их взаимодействия.
Банки в США и Западной Европе уже осознали свою ключевую роль в распространении ОЭД и поняли те значительные преимущества, которые дает более тесное взаимодействие с деловыми и личными партнерами. ОЭД помогает банкам в предоставлении услуг клиентам, особенно мелким, тем, которые ранее не могли позволить себе ими воспользоваться из-за их высокой стоимости.
Основным препятствием широкому распространению ОЭД является многообразие представлений документов при обмене ими по каналам связи. Для преодоления этого препятствия различными организациями были разработаны стандарты представления документов в системах ОЭД для различных отраслей деятельности: [2, с.234]
QDTI - General Trade Interchange (Европа, международная торговля);
МДСНД - National Automated Clearing House Association (США, Национальная ассоциация автоматизированных расчетных палат);
TDCC - Transportation Data Coordinating Committee (Координационный комитет по данным перевозок);
VICS - Voluntary Interindustry Communication Standart (США, Добровольный межотраслевой коммуникационный стандарт);
WINS - Warehouse Information Network Standarts (Стандарты информационной сети товарных складов).
В октябре 1993 года международная группа UN/ECE опубликовала первую версию стандарта EDIFACT. Разработанный набор синтаксических правил и коммерческих элементов данных был оформлен в виде двух стандартов ISO [2, с.241]:
ISO 7372 - Trade Data Element Directory (Справочник коммерческих элементов данных);
ISO 9735 - EDIFACT - Application level syntax rules (Синтаксические правила прикладного уровня).
Частным случаем ОЭД являются электронные платежи - обмен финансовыми документами между клиентами и банками, между банками и другими финансовыми и коммерческими организациями.
Суть концепции электронных платежей заключается в том, что пересылаемые по линиям связи сообщения, должным образом оформленные и переданные, являются основанием для выполнения одной или нескольких банковских операций. Никаких бумажных документов для выполнения этих операций в принципе не требуется (хотя они могут быть выданы). Другими словами, пересылаемое по линиям связи сообщение несет информацию о том, что отправитель выполнил некоторые операции над своим счетом, в частности над корреспондентским счетом банка-получателя (в роли которого может выступать клиринговый центр), и что получатель должен выполнить определенные в сообщении операции. На основании такого сообщения можно переслать или получить деньги, открыть кредит, оплатить покупку или услугу и выполнить любую другую банковскую операцию. Такие сообщения называются электронными деньгами, а выполнение банковских операций на основании посылки или получения таких сообщений - электронными платежами. Естественно, весь процесс осуществления электронных платежей нуждается в надежной защите. Иначе банк и его клиентов ожидают серьезные неприятности.
Электронные платежи применяются при межбанковских, торговых и персональных расчетах.
Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24, 25, 26, 27, 28, 29, 30, 31, 32, 33, 34, 35
