- •Содержание
- •Обозначения и сокращения
- •1 Аналитическая часть
- •1 Технико-экономическая характеристика предприятия
- •1.1 Характеристика подразделений банка и видов их деятельности
- •1.2 Законодательство рф в абс
- •1.3 Концепция построения и типизации Средств Защиты Информации
- •1.3.1 Виды угроз безопасности в телекоммуникационной системе
- •1.3.2 Атаки на уровне субд
- •1.3.3 Атаки на уровне ос
- •1.3.4 Атаки класса “отказ в обслуживании”
- •1.3.5 Возможные атаки на уровне сети
- •1.3.6 Методы защиты от атак
- •1.4 Банк-Клиент
- •1.4.1 Классификация
- •1.4.4 Эцп
- •1.4.5 Usb-Token
- •1.4.6 Кардинг
- •1.4.7 Уязвимости по
- •1.4.8 Дбо Атаки
- •1.6 Инсайдеры
- •1.7 Сетевые угрозы
- •1.7.1 Типы сетевых атак
- •1.7.2 Угрозы сетевой безопасности исходящие от беспроводных сетей
- •1.7.3 Системы сетевой безопасности Cisco 2011
- •1.7.4 Средства обеспечения сетевой безопасности
- •1.7.5 Межсетевой экран
- •1.8 Антивирус
- •1.8.1 Технологии обнаружения вирусов
- •1.8.2 Режимы работы антивирусов
- •1.8.3 Антивирусный комплекс
- •1.9 Криптография и скзи
- •1.9.1 Методология с использованием ключа
- •1.9.1.1 Симметричная (секретная) методология
- •1.9.1.2 Асимметричная (открытая) методология
- •1.9.2 Распространение ключей
- •1.9.3 Алгоритмы шифрования
- •1.9.3.2 Асимметричные алгоритмы
- •1.9.4 Хэш-функции
- •1.9.5 Механизмы аутентификации
- •1.9.6 Электронные подписи и временные метки
- •1.9.7 Криптопровайдер
- •1.9.8 Рутокен Pinpad
- •2 Проектная часть
- •2.1 Программно-аппаратное обеспечение
- •2.2 Схема взаимодействия эшелонов защиты
- •2.2.1 Подробные схемы взаимодействия эшелонов защиты скуд
- •2.1.2 Подробная схема безопасности сети банка.
- •2.2 Bsat – комплекс проверки соответствия сто бр иббс
- •2.3 Характеристика программно-аппаратного комплекса
- •3 Расчет затрат на создание программного продукта
- •1. Расчет на составление синтезированной схемы взаимодействия
- •3.1.1 Расчет длительности этапов проектировки
- •3.1.2 Расчет материальных затрат
- •3.1.3 Расчет фонда оплаты труда (фот) проектировщиков системы
- •3.1.4 Расчет величины страховых взносов во внебюджетные фонды
- •3.1.5 Расчет затрат на амортизацию оборудования, используемого при проектировке системы
- •3.1.6 Расчет затрат на электроэнергию, используемую оборудованием в процессе проектировки схемы
- •3.1.7 Расчет прочих расходов
1.4.4 Эцп
Подпись — это результат хеш-функции от текста платежки, "зашифрованной" на закрытом ключе клиента. Банк, получая платежку, проверяет хеш от текста полученной платежки, потом "расшифровывает" подпись открытым ключом клиента и сверяет результат. Если хеши совпали, значит, это действительно платежка от клиента, и текст платежки достоверен. Решаются задачи целостности, идентификации клиента и, кроме того, сам клиент потом не может отказаться от этой платежки, так как она подписана верным ключом. Дело в том, что между банком и клиентом подписывается договор, согласно которому все платежки с верной ЭЦП банк должен отправлять. Поэтому, если кто-то украдет ключ пользователя, подпишет платежку, то банк обязан исполнить ее, выполняя денежный перевод. ПО, работающее с ЭЦП по ГОСТу, называется "Система Криптографической Защиты Информации" (СКЗИ). Такое ПО проходит проверку ФСБ, и на него выдаются соответствующие сертификаты. Алгоритм подписи — ГОСТ Р 34.10 2001. При этом алгоритм хеш-функции — ГОСТ Р 34.11-94. Разбирать и взламывать криптографию никому не надо, ведь ключ можно украсть или использовать прямо на месте.
1.4.5 Usb-Token
USB-Token - USB-устройство, внешне похожего на флеш-накпитель. Внутри прошит секретный ключ и микросхема, которая принимает на вход данные, подписывает их по ГОСТу внутри себя (с помощью ключа) и на выход выдает уже подпись. Это достаточно надежно, ведь тогда ключ нельзя скопировать и украсть. Но, к сожалению, можно просто подменить входные данные или вообще поставить жертве R-Admin, а можно и туннелировать трафик USB. Последнее время на рынке появились более надежные Token’ы с одноразовыми паролями, но массового внедрения пока нет, да и слабые места в виде перехвата ввода пароля и использование его для подложной платежки также возможны. Защита клиента должна включать в себя целый комплекс мер: сегментация физическая, логическая, удаление ненужного функционала, ограничение доступа в интернет, ключевая политика, парольная политика, патч-менеджмент, антивирусная защита.
В больших компаниях происходит так много различных операций со счетами, что за всем сложно уследить. Поэтому автоматизация процесса выглядит так. Каждый отдел имеет доступ к ERP-системе (ну или 1C, для России актуальнее), где работник отдела обозначает, что ему надо докупить. В другом отделе оплачивают аутсорсинг компании, которая занималась ИБ, в третьем считают что-то еще. И у каждого ответственного работника своя учетная запись в системе, где он по своему роду деятельности выполняет различные действия. Все это хранится в БД, проверяется бухгалтером и затем скидывается, в обычный текстовый файл на расшаренном ресурсе. Работники отдела, где занимаются работой с банк-клиентами, просто открывают этот текстовый файл и построчно выполняют переводы в системе БК. Это, опять же, упрощенная схема, но если нет должного внимания к самому слабому звену — БД и расшаренному ресурсу. В случае если злоумышленник получит доступ к данному файлу, организация может понести серьезный материальный ущерб. При набивке платежки в БК работник просто не поймет, в чем дело. Конечно, всего этого можно избежать, делая дополнительные проверки и грамотно выставляя права в БД, сетевых дисках и т.д.