- •Содержание
- •Обозначения и сокращения
- •1 Аналитическая часть
- •1 Технико-экономическая характеристика предприятия
- •1.1 Характеристика подразделений банка и видов их деятельности
- •1.2 Законодательство рф в абс
- •1.3 Концепция построения и типизации Средств Защиты Информации
- •1.3.1 Виды угроз безопасности в телекоммуникационной системе
- •1.3.2 Атаки на уровне субд
- •1.3.3 Атаки на уровне ос
- •1.3.4 Атаки класса “отказ в обслуживании”
- •1.3.5 Возможные атаки на уровне сети
- •1.3.6 Методы защиты от атак
- •1.4 Банк-Клиент
- •1.4.1 Классификация
- •1.4.4 Эцп
- •1.4.5 Usb-Token
- •1.4.6 Кардинг
- •1.4.7 Уязвимости по
- •1.4.8 Дбо Атаки
- •1.6 Инсайдеры
- •1.7 Сетевые угрозы
- •1.7.1 Типы сетевых атак
- •1.7.2 Угрозы сетевой безопасности исходящие от беспроводных сетей
- •1.7.3 Системы сетевой безопасности Cisco 2011
- •1.7.4 Средства обеспечения сетевой безопасности
- •1.7.5 Межсетевой экран
- •1.8 Антивирус
- •1.8.1 Технологии обнаружения вирусов
- •1.8.2 Режимы работы антивирусов
- •1.8.3 Антивирусный комплекс
- •1.9 Криптография и скзи
- •1.9.1 Методология с использованием ключа
- •1.9.1.1 Симметричная (секретная) методология
- •1.9.1.2 Асимметричная (открытая) методология
- •1.9.2 Распространение ключей
- •1.9.3 Алгоритмы шифрования
- •1.9.3.2 Асимметричные алгоритмы
- •1.9.4 Хэш-функции
- •1.9.5 Механизмы аутентификации
- •1.9.6 Электронные подписи и временные метки
- •1.9.7 Криптопровайдер
- •1.9.8 Рутокен Pinpad
- •2 Проектная часть
- •2.1 Программно-аппаратное обеспечение
- •2.2 Схема взаимодействия эшелонов защиты
- •2.2.1 Подробные схемы взаимодействия эшелонов защиты скуд
- •2.1.2 Подробная схема безопасности сети банка.
- •2.2 Bsat – комплекс проверки соответствия сто бр иббс
- •2.3 Характеристика программно-аппаратного комплекса
- •3 Расчет затрат на создание программного продукта
- •1. Расчет на составление синтезированной схемы взаимодействия
- •3.1.1 Расчет длительности этапов проектировки
- •3.1.2 Расчет материальных затрат
- •3.1.3 Расчет фонда оплаты труда (фот) проектировщиков системы
- •3.1.4 Расчет величины страховых взносов во внебюджетные фонды
- •3.1.5 Расчет затрат на амортизацию оборудования, используемого при проектировке системы
- •3.1.6 Расчет затрат на электроэнергию, используемую оборудованием в процессе проектировки схемы
- •3.1.7 Расчет прочих расходов
1.4.6 Кардинг
Для банк-клиентов используются специализированные трояны, которые умеют работать с ЭЦП (с USB-токенами), с одноразовыми паролями, виртуальными и обычными клавиатурами. Трояны эти так просто с Сети не скачать — их приобретают у кардеров и затачивают под конкретные банки. К примеру, троян/руткит не только логирует все данные, что введены, но и подменяет контент сайта банка. То есть, клиент заполняет обычную платежку с корректными данными, подписывает ее, а на самом деле в USB-Token уходит другая платежка с другим получателем, которую ты и подписал, однако на экране компьютера отображены все те данные, что ты ввел, однако в банк уходят другие данные. Такие трояны стоят очень дорого и применяются конкретно под определенную цель. Как правило, те, кто непосредственно иньектирует троян и воруют, и те, кто пишут троян — разные люди. Кроме прочего, после перевода деньги еще надо снять. Самый простой вариант увода — зарегистрировать счет и карту, на подставное лицо. Потом, в выбранный день N, осуществляются переводы со взломанных клиентов на счет.
1.4.7 Уязвимости по
Стоит сказать, что взламывать могут не только клиентов, но и сам банк. Согласно данным пен-тестов уязвимости можно найти и в современных БК, от именитых производителей. В разное время и в разных системах был найден классический набор ошибок: XSS-, SQL-инъекции, логические ошибки доступа, отсутствие шифрования критичных данных и т.д., и т.п. Примеры векторов атак при этом могут быть разными, но основа все-таки почти всегда полу-инсайдерская. Дело в том, что если у злоумышлиника уже есть доступ к БК, то есть, фактически, он — клиент банка, то возможностей по взлому самого банка у него на порядок больше. Один из примеров логической ошибки: система перевода валют, БК предоставляет такой функционал. У клиента, есть два счета — валютный и рублевый. Скрипт перевода выглядит так: на вход сумма в рублях и валюта. На выходе — сумма в рублях, текущий курс, сумма в долларах и хеш. После подтверждения пользователем, согласия на перевод, данные передаются в третий скрипт, который проверяет хеш (это от CSRF) и обрабатывает ввод, делая update в БД. На втором шаге можно изменить курс доллара на более выгодный, а второй скрипт уже не проверяет курс. Это пример логической ошибки.
Основные правила
Сегментация — компьютеры с БК в отдельной подсети;
Политика пользования — должны быть правила по работе с этими ПК;
Антивирусная защита;
Ключевая политика — использование USB-тoken’ов и правила их использования также важны — не оставлять токен все время в компьютере.
Парольная политика
ПК, его софт, процессы и порты должны быть обоснованы для использования. Все лишнее — отключить;
Фильтрация доступа на сетевом уровне — с БК машин могут подключаться только на IP банков и на определенные порты, входящий трафик запрещен (динамическая фильтрация входящих пакетов);
Патч-менеджмент;
Аудит
Проверка внешнего периметра
Проверка того, что локальная БД не видна в локальной сети и нет паролей по умолчанию.