Файловый архив студентов. Файловый архив студентов.
1261 вуз, 4613 предмет.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Челябинский Государственный Университет
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
КОНСПЕКТ ЛЕКЦИИ.doc
Скачиваний:
139
Добавлен:
23.03.2015
Размер:
1.15 Mб
Скачать
►Содержание►

Вопрос 3. Особенности защиты банковской информации

Среди первоочередных эксплутационных требований, предъявляемых АБС, в первую очередь хотелось бы выделить надежность и безопасность. Сбой программного обеспечения (ПО) или злоумышленное вторжение в территориально-распределенную банковскую информационную систему могут иметь очень печальные последствия, характеризуемые количественно (величиной ущерба) или качественно (падением имиджа, срывом переговоров и т. п.).

Среди компонентов, образующих АБС, выделим следующие, реализуемые путем использования общедоступных сетей:

  • банк - клиент;

  • Интернет - клиент;

  • офис - удаленный менеджер;

  • головной офис - региональные офисы/отделения;

  • интернет-трейдинг.

Доступ к сервисам, которые предоставляет данное программное обеспечение, осуществляется через открытые сети, использование которых таит в себе многочисленные информационные угрозы.

Наиболее распространенные из них:

  • несанкционированный доступ к ресурсам и данным системы: подбор пароля, взлом систем защиты и администрирования, маскарад (действия от чужого имени);

  • перехват и подмена трафика (подделка платежных поручений, атака типа "человек посередине");

  • IP-спуфинг (подмена сетевых адресов);

  • отказ в обслуживании;

  • атака на уровне приложений;

  • сканирование сетей или сетевая разведка;

  • использование отношений доверия в сети.

Наиболее часто информационное пространство банковской системы используется для передачи сообщений, связанных с движением финансов.

Основные виды атак на финансовые сообщения и финансовые транзакции:

  • раскрытие содержимого;

  • представление документа от имени другого участника;

  • несанкционированная модификация;

  • повтор переданной информации.

Для предотвращения этих злоупотреблений используются следующие средства защиты:

  • шифрование содержимого документа;

  • контроль авторства документа;

  • контроль целостности документа;

  • нумерация документов;

  • ведение сессий на уровне защиты информации;

  • динамическая аутентификация;

  • обеспечение сохранности секретных ключей;

  • надежная процедура проверки клиента при регистрации в прикладной системе;

  • использование электронного сертификата клиента;

  • создание защищенного соединения клиента с сервером.

Комплекс технических средств защиты интернет-сервисов:

  • брандмауэр (межсетевой экран) - программная и/или аппаратная реализация;

  • системы обнаружения атак на сетевом уровне;

  • антивирусные средства;

  • защищенные ОС, обеспечивающие уровень В2 по классификации защиты компьютерных систем и дополнительные средства контроля целостности программ и данных;

  • защита на уровне приложений: протоколы безопасности, шифрования, ЭЦП, цифровые сертификаты, системы контроля целостности;

  • защита средствами системы управления БД;

  • защита передаваемых по сети компонентов программного обеспечения;

  • мониторинг безопасности и выявление попыток вторжения, адаптивная защита сетей, активный аудит действий пользователей;

  • обманные системы;

  • корректное управление политикой безопасности.

При проведении электронного документооборота должны выполняться:

  • аутентификация документа при его создании;

  • защита документа при его передаче;

  • аутентификация документа при обработке, хранении и исполнении;

  • защита документа при доступе к нему из внешней среды.

Сейчас вряд ли встретишь банк, в информационной сети которого не установлены какие-либо антивирусные программы.

Требования к структуре системы

В общем случае, антивирусная защита банковской информационной системы должна строиться по иерархическому принципу:

  • службы общекорпоративного уровня - 1-й уровень иерархии;

  • службы подразделений или филиалов - 2-й уровень иерархии;

  • службы конечных пользователей - 3-й уровень иерархии.

Службы всех уровней объединяются в единую вычислительную сеть (образуют единую инфраструктуру), посредством локальной вычислительной сети.

Службы общекорпоративного уровня должны функционировать в непрерывном режиме.

Управление всех уровней должно осуществляться специальным персоналом, для чего должны быть предусмотрены средства централизованного администрирования.

Вопросы для самоконтроля:

  1. Понятие защиты информации. Аспекты защиты информации. Перечислите базовые принципы информационной безопасности.

  2. Понятие компьютерного преступления. Основные виды компьютерных преступлений.

  3. Классификация компьютерных преступлений.

  4. Перечислите методы несанкционированного доступа и перехвата информации (пользуясь специфической терминологией), дайте их краткую характеристику.

  5. Правовые аспекты защиты информации. Правовые акты Республики Казахстан, регламентирующие вопросы защиты информационных ресурсов.

  6. Система защиты информации: понятие, подходы, архитектура безопасности систем.

  7. Перечислите типы средств защиты информации, дайте их характеристику.

  8. Меры по защите информации: аутентификация.

  9. Меры по защите информации: пароли и электронная подпись.

  10. Информационные угрозы банковских систем: виды, причины возникновения, средства защиты.

  11. Состав и структура комплекса технических средств защиты Интернет-сервисов.

  12. Антивирусные программы: понятие, требования к структуре антивирусной защиты банковской информационной системы.

  13. Средства защиты в банкоматах.

Литература:

  1. Алиев, В. С. Информационные технологии и системы финансового менеджмента [Текст] : учебное пособие/ В. С. Алиев .- М. : Форум;ИНФРА-М, 2010.- 320 c.

  2. Информатика и информационные технологии [Текст] : учебное пособие/ под ред. Ю.Д. Романовой .- 4-е изд., перераб. и доп.- М. : Эксмо, 2010.- 688 c.

  3. Романова, Ю.Д. Информатика и информационные технологии [Текст] : учебное пособие/ Ю.Д. Романова, И.Г. Лесничая .- 2-е изд., перераб. и доп.- М. : Эксмо, 2009.- 320 c.

Ф МИ 01-07-08 Краткий конспект лекций по дисциплине. Издание второе

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности