|
|||||||
АвтоАвтоматизацияАрхитектураАстрономияАудитБиологияБухгалтерияВоенное делоГенетикаГеографияГеологияГосударствоДомДругоеЖурналистика и СМИИзобретательствоИностранные языкиИнформатикаИскусствоИсторияКомпьютерыКулинарияКультураЛексикологияЛитератураЛогикаМаркетингМатематикаМашиностроениеМедицинаМенеджментМеталлы и СваркаМеханикаМузыкаНаселениеОбразованиеОхрана безопасности жизниОхрана ТрудаПедагогикаПолитикаПравоПриборостроениеПрограммированиеПроизводствоПромышленностьПсихологияРадиоРегилияСвязьСоциологияСпортСтандартизацияСтроительствоТехнологииТорговляТуризмФизикаФизиологияФилософияФинансыХимияХозяйствоЦеннообразованиеЧерчениеЭкологияЭконометрикаЭкономикаЭлектроникаЮриспунденкция |
Основные виды угроз интересам коммерческого банкаАКАДЕМИЯ БЮДЖЕТА И КАЗНАЧЕЙСТВА МИНИСТЕРСТВА ФИНАНСОВ РОССИЙСКОЙ ФЕДЕРАЦИИ С.В.ПОЛПУДНИКОВ, В.А.ТРЕШНЕВСКАЯ, Г.В.ДЖИНЧАРАДЗЕ Система безопасности и защита информации в экономических системах
Учебное пособие По дисциплинам «АВТОМАТИЗИРОВАННЫЕ ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ» И «ИНФОРМАЦИОННЫЕ СИСТЕМЫ В ЭКОНОМИКЕ»
МОСКВА 2006 СОДЕРЖАНИЕ Введение.. 4 Основные понятия и определения. 4 Основные виды угроз интересам коммерческого банка. 6 Обеспечение безопасности информационных систем.. 9 Этапы создания системы безопасности.. 11 Системы контроля и управления доступом. 13 Структура и компоненты систем контроля и управления доступом. 13 Принцип функционирования системы контроля и управления доступом.. 16 Системы охраны периметров. 17 Типы периметральных систем.. 18 Защита информации от утечки за счёт побочного электромагнитного излучения и наводок (ПЭМИН) 19 Криптографическая защита информации. 21 Принципы кодирования информации.. 21 Традиционная криптография. 23 Основные понятия и терминология криптологии.. 24 Классификация криптографических систем.. 24 Тpебования к кpиптосистемам.. 26 Потоковое шифрование. Скремблеры. 26 Современные симметричные криптосистемы. 27 Криптография с открытым ключом.. 31 Комбинированные (гибридные) системы. 34 Стеганография.. 35 Идентификация и установление подлинности. 39 Объект идентификации и установления подлинности. 39 Идентификация и установление подлинности пользователя. 39 Идентификация и установление подлинности электронных документов – цифровая подпись. 46 Управление криптографическими ключами. 49 Управление ключами в симметричных криптосистемах. 49 Управление ключами в асимметричных системах. 53 Цифровые сертификаты.. 54 Защита от вредоносных программ.. 58 Вирусы.. 59 Сетевые черви.. 62 Троянские программы.. 62 Эволюция сетей - эволюция вирусов. 64 Антивирусные средства. 66 Сетевая безопасность. Методы и средства защиты от удаленных атак через сеть Internet. 67 Возможные атаки в сети. 67 Межсетевой экран.. 68 Фильтры пакетов. 69 Шлюзы сеансового уровня. 69 Шлюзы прикладного уровня. 70 Прокси-сервер. 71 Средства анализа защищенности.. 71 Сканирование. 72 Зондирование. 72 Проверка заголовков. 72 Имитация атак. 73 Краткий обзор брандмауэров. 73 Outpost Firewall 73 Norton Personal Firewall 74 ZoneAlarm... 74 Антихакер Касперского. 75 Обеспечение безопасности электронных платежей через сеть Internet. 75 Основные методы защиты. 75 Литература.. 80 Приложение 1. 80
«Кто владеет информацией, тот владеет миром» Уинстон Черчилль Введение Вопрос – «Как защитить информацию?» - из раздела вечных в истории человечества. Потребность в сохранении тайны испытывал, наверно, еще наш первобытный предок, когда, завалив мамонта, пытался скрыть место удачной охоты от враждебного племени. С тех пор много воды утекло. Из века в век люди искали эффективные приемы против информационного лома. Универсальным средством безопасности времен лагерного социализма был сакраментальный лозунг - «Не болтай!». В эпоху НТР железный лом, вскрывающий телекоммуникационные сети, принимает облик то «жучков» с УКВ приемником, то лазерного устройства, то компьютерного вируса. Сегодня безопасность информации стала заботой не только тех, кто отвечает за сохранность государственной тайны, но и тех, кто делает свой бизнес, руководит мелкими и крупными компаниями и банками. Информационная безопасность - не самоцель, а необходимая составляющая коммерческой деятельности, средство снижения рисков и экономических потерь. Атака на базовую инфраструктуру страны, взлом системы безопасности корпорации, перехват управления коммуникационной сетью - эти сюжеты американских боевиков не столь уж далеки от действительности. Более того, в мире уже известен случай виртуального убийства. Сложным электронным приборам, к которым был подключен пациент в больничной палате, через компьютерную сеть была послана команда «убить!». И аппарат искусственного дыхания ее исполнил. Слава богу, большинству российских людей такая смерть пока не грозит. Зато для баз данных и телекоммуникационных сетей самых разных компаний опасность атаки извне существует. Все новые и старые мутирующие старые информационные угрозы - оборотная сторона бурного процесса информатизации общества. Разрозненных решений и аппаратно-программных средств защиты на рынке предостаточно. Нет стройного механизма их применения. Ощутимы пробелы в нормативно-правовой сфере, не выдерживающей темпа технологической гонки. Приоритеты безопасности информационно-телекоммуникационного комплекса, правовая культура, уязвимые места, реальные угрозы, методы и средства противодействия им - эти вопросы рассматриваются в пособии. Основные понятия и определения. Информатизация является характерной чертой жизни современного общества. Новые информационные технологии активно внедряются во все сферы жизни. По мере развития и усложнения средств, методов и форм автоматизации процессов обработки информации повышается зависимость общества от степени безопасности используемых им информационных технологий, от которых порой зависит благополучие, а иногда и жизнь многих людей. Актуальность и важность проблемы обеспечения безопасности информационных технологий обусловлены следующими причинами: - резкое увеличение вычислительной мощности современных компьютеров при одновременном упрощении их эксплуатации; Введем и определим основные понятия безопасности информационных систем: Информационная система (ИС) - это организационно упорядоченная совокупность -информационных ресурсов (документы и массивы документов) -информационных технологий (программного обеспечения, протоколов управления) -информационной инфраструктуры (средства вычислительной техники, связи и др.), реализующих информационные процессы. Информационные процессы – процессы сбора, обработки, хранения, поиска и распространения информации. Часто процессы сбора, передачи и хранения информации также называют процессами обработки, так как это связано с изменением формы её представления, поэтому для обозначения информационных систем часто используют термин автоматизированные системы обработки информации. Информация – это сведения о лицах, предметах, событиях и процессах (независимо от формы их представления), используемые в целях получения знаний и практических решений. Наиболее важными свойствами информации являются ценность, достоверность и своевременность. Под безопасностью ИС понимается её защищенность от случайного или преднамеренного вмешательства в нормальный процесс её функционирования, а также от попыток хищения, изменения или разрушения её компонентов. Природа воздействий на ИС может быть самой разнообразной. Это и стихийные бедствия, и выход из строя составных частей ИС, и ошибки персонала, и попытки проникновения злоумышленников. Информация с точки зрения информационной безопасности обладает следующими категориями: · конфиденциальность – гарантия того, что конкретная информация доступна только тому кругу лиц, для кого она предназначена; нарушение этой категории называется хищением либо раскрытием информации · целостность – гарантия того, что информация сейчас существует в ее исходном виде, то есть при ее хранении или передаче не было произведено несанкционированных изменений; нарушение этой категории называется фальсификацией сообщения · аутентичность – гарантия того, что источником информации является именно то лицо, которое заявлено как ее автор; нарушение этой категории также называется фальсификацией, но уже автора сообщения · апеллируемость – довольно сложная категория, но часто применяемая в электронной коммерции – гарантия того, что при необходимости можно будет доказать, что автором сообщения является именно заявленный человек, и не может являться никто другой; отличие этой категории от предыдущей в том, что при подмене автора, кто-то другой пытается заявить, что он автор сообщения, а при нарушении апеллируемости – сам автор пытается "откреститься" от своих слов, подписанных им однажды. Безопасность ИС достигается принятием мер по обеспечению конфиденциальности и целостности обрабатываемых ею информации, а также доступности и целостности компонентов и ресурсов системы. Под доступом к информации понимается ознакомление с информацией, её обработка, в частности копирование, модификация или уничтожение информации. Различают санкционированный и несанкционированный доступ к информации. Несанкционированный доступ к информации характеризуется нарушением установленных правил разграничения доступа. Практика показала, что защищать необходимо не только секретную информацию. Несекретная информация, подвергнутая несанкционированным изменениям, может привести к утечке или потере связанной с ней секретной информации. Суммарное количество, или статистика несекретных данных, в итоге может оказаться секретным. Сводные данные одного уровня секретности в целом могут являться информацией более высокого уровня секретности. Под угрозой безопасности понимаются возможные воздействия, которые прямо или косвенно могут нанести ущерб безопасности ИС. С понятием угрозы безопасности тесно связано понятие уязвимости ИС. Уязвимость – это некоторое неудачное свойство системы, которое делает возможным возникновение и реализацию угрозы. Атака на систему – это реализация угрозы безопасности. Безопасная или защищенная система – это система со средствами защиты, которые успешно и эффективно противостоят угрозам безопасности. Современная автоматизированная система обработки информации представляет собой сложную систему, состоящую из большого числа компонентов различной степени автономности, которые связаны между собой и обмениваются данными. Практически каждый компонент может подвергнуться внешнему воздействию или выйти из строя. К объектам, подлежащим защите от потенциальных угроз и противоправных посягательств, относятся: · персонал (руководящие работники, производственный персонал, имеющий непосредственный доступ к финансам, валюте, ценностям, хранилищам, осведомленные в сведениях, составляющих банковскую и коммерческую тайну, работники внешнеэкономических служб и другие; · финансовые средства, валюта, драгоценности; · информационные ресурсы с ограниченным доступом, составляющие служебную и коммерческую тайну, а также иная конфиденциальная информация на бумажной, магнитной, оптической основе, информационные массивы и базы данных, программное обеспечение, информативные физические поля различного характера; · средства и системы информатизации (автоматизированные системы и вычислительные сети различного уровня и назначения, линии телеграфной, телефонной, факсимильной, радио- и космической связи, технические средства передачи информации, средства размножения и отображения информации, вспомогательные технические средства и системы); · материальные средства (здания, сооружения, хранилища, техническое оборудование, транспорт и иные средства); · технические средства и системы охраны и защиты материальных и информационных ресурсов. Все объекты, в отношении которых могут быть осуществлены угрозы безопасности или противоправные посягательства, имеют различную потенциальную уязвимость с точки зрения возможного материального или морального ущерба. Исходя из этого они должны быть классифицированы по уровням уязвимости (опасности), степени риска. Наибольшую уязвимость представляют финансовые и валютные средства, особенно в процессе транспортировки, информационные ресурсы и некоторые категории персонала.
Основные виды угроз интересам коммерческого банка Ухудшение состояния криминогенной обстановки в стране, усиление межрегиональных связей организованных преступных групп, рост их финансовой мощи и технической оснащенности дает основание полагать, что тенденция к осложнению оперативной обстановки вокруг коммерческих банков в ближайшее будущее сохранится. Отсюда определение и прогнозирование возможных угроз и осознание их опасности необходимы для обоснования, выбора и реализации защитных мероприятий, адекватных угрозам интересам банка. В процессе выявления, анализа и прогнозирования потенциальных угроз интересам банка в рамках концепции учитываются объективно существующие внешние и внутренние условия, влияющие на их опасность. Таковыми являются: · нестабильная политическая, социально-экономическая обстановка и обострение криминогенной ситуации; · невыполнение законодательных актов, правовой нигилизм, отсутствие ряда законов по жизненно важным вопросам; · снижение моральной, психологической и производственной ответственности граждан. На стадии концептуальной проработки вопросов безопасности коммерческого банка представляется возможным рассмотрение общего состава потенциальных угроз. Конкретные перечни, связанные со спецификой и банка, и условий требуют определенной детализации и характерны для этапа разработки конкретного проекта системы безопасности. В общем плане к угрозам безопасности личности относятся: · похищения и угрозы похищения сотрудников, членов их семей и близких родственников; · убийства, сопровождаемые насилием, издевательствами и пытками; · психологический террор, угрозы, запугивание, шантаж, вымогательство; · нападение с целью завладения денежными средствами, ценностями и документами. Преступные посягательства в отношении помещений (в том числе и жилых), зданий и персонала проявляются в виде: · взрывов; · обстрелов из огнестрельного оружия; · минирования, в том числе с применением дистанционного управления; · поджогов; · нападения, вторжения, захватов, пикетирования, блокирования; · повреждения входных дверей, решеток, ограждений, витрин, мебели, а также транспортных средств личных и служебных: · технологические аварии, пожары. Цель подобных акций: · нанесение серьезного морального и материального ущерба; · срыв на длительное время нормального функционирования; · вымогательство значительных сумм денег или каких-либо льгот (кредиты, отсрочка или погашение платежей и т.п.) перед лицом террористической угрозы. Угрозы финансовым ресурсам проявляются в виде: · невозврата кредитных ссуд; · мошенничества со счетами и вкладами; · подложных платежных документов и пластиковых карт; · хищения финансовых средств из касс и инкассаторских машин. Угрозы информационным ресурсам проявляются в виде: · разглашения конфиденциальной информации; · утечки конфиденциальной информации через технические средства обеспечения производственной деятельности различного характера и исполнения; · несанкционированного доступа к охраняемым сведениям со стороны конкурентных организаций и преступных формирований. Осуществление угроз информационным ресурсам может быть произведено: · путем неофициального доступа и съема конфиденциальной информации; · путем подкупа лиц, работающих в банке или структурах, непосредственно связанных с его деятельностью; · путем перехвата информации, циркулирующей в средствах и системах связи и вычислительной техники с помощью технических средств разведки и съема информации, несанкционированного доступа к информации и преднамеренных программно-математических воздействий на нее в процессе обработки и хранения; · путем подслушивания конфиденциальных переговоров, ведущихся в служебных помещениях, служебном и личном автотранспорте, на квартирах и дачах; · через переговорные процессы между банком и иностранными или отечественными фирмами, используя неосторожное обращение с информацией; · через отдельных сотрудников банка, стремящихся заполучить больший, чем их зарплата, доход или имеющих иную корыстную либо личную заинтересованность. По цели воздействия различают три основных типа угроз безопасности ИС: • угрозы нарушения конфиденциальности информации; • угрозы нарушения целостности информации; • угрозы нарушения работоспособности системы. Угрозы нарушения конфиденциальности направлены на разглашение конфиденциальной или секретной информации. Они имеют место всякий раз, когда получен несанкционированный доступ к некоторой закрытой информации, хранящейся в системе или передаваемой от одной системы к другой. Угрозы нарушения целостности информации направлены на ее искажение, приводящее к нарушению ее качества или полному уничтожению. Эта угроза особенно актуальна для систем передачи информации. Ее не следует путать с санкционированным изменением, которое выполняется полномочными лицами с обоснованной целью. Угрозы нарушения работоспособности (отказ в обслуживании) -создание таких ситуаций, когда либо снижается работоспособность ИС, либо блокируется доступ к некоторым ее ресурсам. Например, если один пользователь системы запрашивает доступ к некоторой службе, а другой предпринимает действия по блокированию этого доступа, то первый пользователь получает отказ в обслуживании. Суть подобных угроз сводится, как правило, к нанесению того или иного ущерба организации. Проявления возможного ущерба могут быть самыми различными: -моральный и материальный ущерб деловой репутации предприятия; - моральный, физический или материальный ущерб, связанный с разглашением персональных данных отдельных лиц; - материальный (финансовый) ущерб от разглашения конфиденциальной информации; - материальный (финансовый) ущерб от необходимости восстановления нарушенных информационных ресурсов; - материальный ущерб (потери) от невозможности выполнения взятых на себя обязательств перед третьей стороной; моральный и материальный ущерб от дезорганизации в работе всего предприятия.
Опасные воздействия на ИС можно подразделить на случайные и преднамеренные. Причинами случайных воздействий могут быть: •аварийные ситуации из-за стихийных бедствий и отключений электропитания; •отказы и сбои аппаратуры; •ошибки в программном обеспечении; •ошибке в работе обслуживающего персонала; •помехи в линиях связи из-за воздействий внешней среды. Преднамеренные угрозы связаны с целенаправленными действиями "нарушителя. В качестве нарушителя могут выступать служащий, посетитель, конкурент, наемник и т.д. Действия нарушителя могут быть обусловлены разными мотивами: недовольством карьерой, зарплатой, любопытство, конкурентной борьбой, стремление самоутвердиться любой ценой и т.п. Несанкционированный доступ (НСД) является наиболее распространенным и многообразным видом компьютерных нарушений. Суть НСД состоит в получении нарушителем доступа к объекту в нарушение правил разграничения доступа, установленных в соответствие с принятой в организации политикой безопасности. НСД использует любую ошибку в системе защиты и возможен при нерациональном выборе средств защиты, их некорректной установке и настройке. НСД может быть осуществлен как штатными средствами ИС, так и специально созданными аппаратными и программными средствами. Основные каналы НСД: - все штатные каналы доступа к информации (терминалы пользователя и администратора, каналы связи) при их использовании нарушителями, а также законными пользователями вне пределов их полномочий; - технологические пульты управления; - линии связи между аппаратными средствами ИС; - побочные электромагнитные излучения от аппаратуры, линий связи, сетей электропитания и заземления и др.
Поиск по сайту: |
Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Студалл.Орг (0.014 сек.) |