- •Содержание
- •Обозначения и сокращения
- •1 Аналитическая часть
- •1 Технико-экономическая характеристика предприятия
- •1.1 Характеристика подразделений банка и видов их деятельности
- •1.2 Законодательство рф в абс
- •1.3 Концепция построения и типизации Средств Защиты Информации
- •1.3.1 Виды угроз безопасности в телекоммуникационной системе
- •1.3.2 Атаки на уровне субд
- •1.3.3 Атаки на уровне ос
- •1.3.4 Атаки класса “отказ в обслуживании”
- •1.3.5 Возможные атаки на уровне сети
- •1.3.6 Методы защиты от атак
- •1.4 Банк-Клиент
- •1.4.1 Классификация
- •1.4.4 Эцп
- •1.4.5 Usb-Token
- •1.4.6 Кардинг
- •1.4.7 Уязвимости по
- •1.4.8 Дбо Атаки
- •1.6 Инсайдеры
- •1.7 Сетевые угрозы
- •1.7.1 Типы сетевых атак
- •1.7.2 Угрозы сетевой безопасности исходящие от беспроводных сетей
- •1.7.3 Системы сетевой безопасности Cisco 2011
- •1.7.4 Средства обеспечения сетевой безопасности
- •1.7.5 Межсетевой экран
- •1.8 Антивирус
- •1.8.1 Технологии обнаружения вирусов
- •1.8.2 Режимы работы антивирусов
- •1.8.3 Антивирусный комплекс
- •1.9 Криптография и скзи
- •1.9.1 Методология с использованием ключа
- •1.9.1.1 Симметричная (секретная) методология
- •1.9.1.2 Асимметричная (открытая) методология
- •1.9.2 Распространение ключей
- •1.9.3 Алгоритмы шифрования
- •1.9.3.2 Асимметричные алгоритмы
- •1.9.4 Хэш-функции
- •1.9.5 Механизмы аутентификации
- •1.9.6 Электронные подписи и временные метки
- •1.9.7 Криптопровайдер
- •1.9.8 Рутокен Pinpad
- •2 Проектная часть
- •2.1 Программно-аппаратное обеспечение
- •2.2 Схема взаимодействия эшелонов защиты
- •2.2.1 Подробные схемы взаимодействия эшелонов защиты скуд
- •2.1.2 Подробная схема безопасности сети банка.
- •2.2 Bsat – комплекс проверки соответствия сто бр иббс
- •2.3 Характеристика программно-аппаратного комплекса
- •3 Расчет затрат на создание программного продукта
- •1. Расчет на составление синтезированной схемы взаимодействия
- •3.1.1 Расчет длительности этапов проектировки
- •3.1.2 Расчет материальных затрат
- •3.1.3 Расчет фонда оплаты труда (фот) проектировщиков системы
- •3.1.4 Расчет величины страховых взносов во внебюджетные фонды
- •3.1.5 Расчет затрат на амортизацию оборудования, используемого при проектировке системы
- •3.1.6 Расчет затрат на электроэнергию, используемую оборудованием в процессе проектировки схемы
- •3.1.7 Расчет прочих расходов
1.4 Банк-Клиент
Одной из серьезнейших угроз специалисты по обеспечению безопасности банков, считают угрозу, исходящую от клиентов банков, ведь наличие доступа к системе БК, может дать злоумышленникам гораздо больше возможностей для доступа к конфиденциальной информации клиентов банка.
Системы, которые дают клиенту доступ к его счету в банке, называются ДБО (дистанционное банковское обслуживание), или просто "банк-клиент".
Банк устанавливает у себя ПО, работающее с БД, где можно контролировать деньги на счетах. Кроме этого ставится сервер с доступом в интернет. Любой клиент может использовать этот сервис (предварительно пройдя аутентификацию), чтобы получить доступ к своему счету и отправить деньги. Во время отправки денег, клиент заполняет специальные формы — там указывается получатель перевода (счет, ИНН и т.д.), сумма перевода. Это называется "платежное поручение". Далее операционист банка (сотрудник) просматривает все накопившиеся платежные поручения и подтверждает платеж, после чего ПО снимает деньги со счета пользователя в БД и формирует файл/запись в БД/иное указание для банка, куда отправляются деньги. Следующим этапом происходит обработка корр-счетов между банками, чтобы переправить деньги на нужный счет.
При работе с юридическими лицами (фирмы, компании, корпорации и т.д.) требуется, чтобы платежные поручения были заверены цифровой подписью — на ГОСТ алгоритме.
В итоге операционист получает только те платежки, подпись которых проверена, далее он проверяет назначение платежа и его описание. Итак, как это выглядит:
Аутентификация в системе Банк-Клиент;
Формирование платежного поручения;
Подпись (часто подписи надо ставить две — от бухгалтера и директора);
Отправка в банк;
Подтверждение платежки операционистом в банке;
Банк осуществляет операцию.
Это общее условное описание действий. На самом деле многое зависит от типа банк-клиента и от правил банка.
1.4.1 Классификация
Системы ДБО бывают разными, и поэтому работа с ними тоже протекает по-разному. Проведу классификацию:
Толстый Банк-Клиент
Тонкий Банк-Клиент
Интернет-Клиент
Мобильный-Клиент
ATM-Клиент
1.4.2 Типы Банк-Клинтов
Толстый Банк-Клиент
Прародитель системы – в настоящий момент используется крайне редко. Его особенность в том, что пользователь системы работает с БД локально. Это означает, что копия его счета лежит у него в файле, и он аутентифицируется локально в БД, а там с помощью выданного банком ПО он и работает — создает платежки. Потом он соединяется сервером банка — по модему напрямую или через интернет, базы синхронизируются, подписи проверяются, и клиент может обрывать соединение и смотреть, что и как синхронизировалось, какие платежки ушли, какие нет, и сколько денег у него осталось.
Тонкий Банк-Клиент
Клиент работает со счетом из браузера. Это означает, что он работает уже через веб-интрефейс (иногда через специальный интерфейс на Java) и локальной базы у него нет, но, тем не менее, ему накатываются плагины к браузеру в виде Java-апплетов или ActiveX, чтобы делать подписи (электронная подпись ставится локально, так как секретный ключ находится у клиента. ActiveX, используется потому- что в Windows по умолчанию нет криптопровайдера для подписи согласно ГОСТ. Поэтому необходимо дополнительное ПО, которое будет ставить подпись по всем законам.
Интернет-Клиент
То же самое, что и тонкий, только тут я его выделил в отдельную группу, так как ActiveX не ставится, а используются одноразовые пароли, без установки ПО от банка. Такое чаще всего реализовано для физических лиц, которым электронная подпись не нужна.
Мобильный
То же, что и интернет, только подтверждение платежа происходит с помощью мобильного телефона. Например, с помощью посылки на телефон одноразового пароля.
АТМ
Работа со счетом осуществляется через банкомат.
Юридические лица — компании, фирмы, государственные учреждения используют в большинстве своем толстые и тонкие БК. При этом еще остались компании, которое работают по телефонной линии через модем. Но наибольшую популярность набирают именно тонкие клиенты, так как они легче в установке и эксплуатации.
1.4.3 Атаки на Юридических Лиц
В случае атаки на Банк-Клиент, основной целью являются юридические лица. Вот основные причины выбора юридических лиц, как жертв атак. Во-первых, у них большой поток денег и множество переводов в сутки. Если добавить одну платежку, на сравнительно небольшую сумму, то такая платежка на фоне остальных не вызовет подозрения у операциониста. У юридических лиц нет подтверждения через мобильные телефоны, тех средств, которые используются для физических лиц взамен электронно-цифровой подписи (ЭЦП) на платежку (у них только ЭЦП). Следующий фактор — больше возможностей для маневра и взлома. Фактически, взламывая любую фирму или компанию, можно смело утверждать, что в локальной сети есть компьютер с установленным банк-клиентом. Более того, в действительно больших фирмах финансисты, которые от имени фирмы осуществляют платежи, имеют договоры сразу с несколькими банками и БК соответственно, более того, они же не придумывают и, тем более, не знают, что именно они делают. В большинстве случаев такие операторы просто получают текстовый файл без подписи из 1С или из ERP-системы со списком, куда, сколько отправить, что они уже и выполняют в БК.