Научная литература
booksshare.net -> Добавить материал -> Электротехника -> Мельников В.П. -> "Информационная безопасность и защита информации" -> 130

Информационная безопасность и защита информации - Мельников В.П.

Мельников В.П. Информационная безопасность и защита информации: Учебное пособие для вузов — М.: Академия, 2008. — 336 c.
ISBN 978-5-7695-4884-0
Скачать (прямая ссылка): infbezopas2008.djvu
Предыдущая << 1 .. 124 125 126 127 128 129 < 130 > 131 132 133 134 135 136 .. 143 >> Следующая

Положение изменилось после того, как на рынке финансовых услуг стали появляться продукты, возникновение которых было
302
немыслимо без ИТ. В первую очередь, это пластиковые карточки. Пока обслуживание по карточкам шло в режиме голосовой авторизации, открытость информационной системы банка повышалась незначительно. Но затем появились банкоматы, POS-терминалы и другие устройства самообслуживания, т.е. средства, принадлежащие к информационной системе банка, но расположенные вне ее и доступные посторонним для банка лицам.
Повысившаяся открытость системы потребовала специальных мер для контроля и регулирования обмена информацией: дополнительных средств идентификации и аутентификации лиц, которые запрашивают доступ к системе (PIN-код, информация о клиенте на магнитной полосе или в памяти микросхемы карточки, шифрование данных, контрольные числа и другие средства защиты карточек), средств криптозащиты процессов переработки информации в каналах связи и т.д.
Еще больший сдвиг баланса защищенность—открытость в сторону открытости связан с телекоммуникациями. Системы электронных расчетов между банками защитить относительно несложно, так как субъектами электронного обмена информацией выступают сами банки. Там, где защите не уделялось необходимое внимание, результаты были вполне предсказуемы. Наиболее яркий пример — наша страна. Использование крайне примитивных средств защиты телекоммуникаций в 1992 г. привело к огромным потерям на фальшивых авизо.
Общая тенденция развития телекоммуникаций и массового распространения вычислительной техники привела к тому, что на рынке банковских услуг во всем мире появились новые, чисто телекоммуникационные продукты, в первую очередь, системы Home Banking (отечественный аналог — «клиент —банк»). Это потребовало обеспечения для клиентов круглосуточного доступа к автоматизированной банковской системе для проведения операций, причем полномочия на совершение банковских транзакций получил непосредственно клиент. Степень открытости информационной системы банка возросла почти до предела, поэтому требуются особые, специальные меры для того, чтобы столь же значительно не упала ее защищенность.
Наконец, наступила эпоха информационной супермагистрали — взрывообразное развитие сети Интернет и связанных с нею услуг. Вместе с новыми возможностями эта сеть принесла и новые опасности. Казалось бы, какая разница, каким образом клиент связывается с банком: по коммутируемой линии, приходящей на модемный пул банковского узла связи, или по IP-протоколу через Интернет? Однако в первом случае максимально возможное количество подключений ограничивается техническими характеристиками модемного пула, во втором случае — возможностями Интернета, которые могут быть существенно выше. Кроме того,
303
сетевой адрес банка общедоступен, тогда как телефонные номера модемного пула могут сообщаться лишь заинтересованным лицам. Соответственно открытость банка, чья информационная система связана с Интернетом, значительно выше, чем в первом случае. Так, только за пять месяцев 1995 г. компьютерную сеть Citicorp взламывали 40 раз! (Это свидетельствует, впрочем, не столько о какой-то опасности Интернета вообще, сколько о недостаточно квалифицированной работе администраторов безопасности Citicorp.)
Все это вызывает необходимость пересмотра подходов к обеспечению И Б банка. Подключаясь к Интернету, следует заново провести анализ риска и составить план защиты информационной системы, а также конкретный план ликвидации последствий, возникающих в случае тех или иных нарушений конфиденциальности, сохранности и доступности информации.
На первый взгляд, для нашей страны проблема ИБ банка не столь остра: до Интернета ли нам, если в большинстве банков стоят системы второго поколения, работающие по технологии файл —сервер. К сожалению, и у нас уже зарегистрированы компьютерные кражи. Положение осложняется двумя проблемами. Первая проблема заключается в том, что, как показывает опыт общения с представителями банковских служб безопасности, и в руководстве, и среди персонала этих служб преобладают бывшие оперативные сотрудники органов внутренних дел или госбезопасности. Они обладают высокой квалификацией в своей области, но в большинстве своем слабо знакомы с ИТ. Специалистов по ИБ в нашей стране вообще очень мало, потому что массовой эта профессия становится только сейчас.
Вторая проблема связана с тем, что в очень многих банках безопасность автоматизированной банковской системы не анализируется и не обеспечивается всерьез. Очень мало банков, имеющих тот необходимый набор организационных документов (анализ риска, план защиты и план ликвидации последствий), о котором говорилось ранее. Более того, безопасность процессов переработки информации просто не может быть обеспечена в рамках имеющейся в банке автоматизированной системы и принятых правил работы с ней.
Что касается автоматизированных банковских систем, то наиболее распространенные системы второго-третьего поколений состоят из набора автономных программных модулей, запускаемых из командной строки DOS на рабочих станциях. Оператор имеет возможность в любой момент выйти в DOS из такого программного модуля. Предполагается, что это необходимо для перехода в другой программный модуль, но фактически в такой системе не существует никаких способов не только исключить запуск оператором любых других программ (от безобидной игры до
Предыдущая << 1 .. 124 125 126 127 128 129 < 130 > 131 132 133 134 135 136 .. 143 >> Следующая

Реклама

c1c0fc952cf0704ad12d6af2ad3bf47e03017fed

Есть, чем поделиться? Отправьте
материал
нам
Авторские права © 2009 BooksShare.
Все права защищены.
Rambler's Top100

c1c0fc952cf0704ad12d6af2ad3bf47e03017fed