Важно не то, что мы делаем, а то, сколько любви мы вкладываем в свои дела. © Мать Тереза 1036 - | 870 - или читать все...
Обратная связь Пожаловаться на материал

Обеспечение безопасности информации в АБС, Понятие угрозы, их виды. Методы защиты.


⇐ ПредыдущаяСтр 3 из 5Следующая ⇒

Под угрозой безопасности информации (информационной угрозой) понимается действие или событие, которое может привести к разрушению, искажению или несанкционированному использованию информационных ресурсов, включая хранимую, передаваемую и обрабатываемую информацию, а также программные и аппаратные средства.


Реализация угроз информационной безопасности заключается в нарушении конфиденциальности, целостности и доступности информации. Злоумышленник может ознакомиться с конфиденциальной информацией, модифицировать ее, или даже уничтожить, а также ограничить или блокировать доступ легального пользователя к информации. При этом злоумышленником может быть как сотрудник организации, так и постороннее лицо. Но, кроме этого, ценность информации может уменьшиться ввиду случайных, неумышленных ошибок персонала, а также сюрпризов иногда преподносимых самой природой.

Информационные угрозы могут быть обусловлены:


  • естественными факторами (стихийные бедствия – пожар, наводнение, ураган, молния и другие причины);

  • человеческими факторами. Последние, в свою очередь, подразделяются на:


– угрозы, носящие случайный, неумышленный характер. Это угрозы, связанные с ошибками процесса подготовки, обработки и передачи информации (научно-техническая, коммерческая, валютно-финансовая документация); с нецеленаправленной «утечкой умов», знаний, информации (например, в связи с миграцией населения, выездом в другие страны, для воссоединения с семьей и т.п.) Это угрозы, связанные с ошибками процесса проектирования, разработки и изготовления систем и их компонент (здания, сооружения, помещения, компьютеры, средства связи, операционные системы, прикладные программы и др.) с ошибками в работе аппаратуры из-за некачественного ее изготовления; с ошибками процесса подготовки и обработки информации (ошибки программистов и пользователей из-за недостаточной квалификации и некачественного обслуживания, ошибки операторов при подготовке, вводе и выводе данных, корректировке и обработке информации);

– угрозы, обусловленные умышленными, преднамеренными действиями людей. Это угрозы, связанные с передачей, искажением и уничтожением научных открытий, изобретений секретов производства, новых технологий по корыстным и другим антиобщественным мотивам (документация, чертежи, описания открытий и изобретений и другие материалы); подслушиванием и передачей служебных и других научно-технических и коммерческих разговоров; с целенаправленной "утечкой умов", знаний информации (например, в связи с получением другого гражданства по корыстным мотивам). Это угрозы, связанные с несанкционированным доступом к ресурсам автоматизированной информационной системы (внесение технических изменений в средства вычислительной техники и средства связи, подключение к средствам вычислительной техники и каналам связи, хищение носителей информации: дискет, описаний, распечаток и др.).

Умышленные угрозы преследуют цель нанесения ущерба пользователям ИС и, в свою очередь, подразделяются на активные и пассивные.

^ Пассивные угрозы, как правило, направлены на несанкционированное использование информационных ресурсов, не оказывая при этом влияния на их функционирование. Пассивной угрозой является, например, попытка получения информации, циркулирующей в каналах связи, посредством их прослушивания.

^ Активные угрозы имеют целью нарушение нормального процесса функционирования системы посредством целенаправленного воздействия на аппаратные, программные и информационные ресурсы. К активным угрозам относятся, например, разрушение или радиоэлектронное подавление линий связи, вывод из строя ПЭВМ или ее операционной системы, искажение сведений в базах данных либо в системной информации и т.д. Источниками активных угроз могут быть непосредственные действия злоумышленников, программные вирусы и т.п.

Умышленные угрозы подразделяются на внутренние, возникающие внутри управляемой организации, и внешние.

Внутренние угрозы чаще всего определяются социальной напряженностью и тяжелым моральным климатом.

Внешние угрозы могут определяться злонамеренными действиями конкурентов, экономическими условиями и другими причинами (например, стихийными бедствиями). По данным зарубежных источников, получил широкое распространение промышленный шпионаж - это наносящие ущерб владельцу коммерческой тайны, незаконный сбор, присвоение и передача сведений, составляющих коммерческую тайну, лицом, не уполномоченным на это ее владельцем.

К основным угрозам безопасности относят:

 


  • раскрытие конфиденциальной информации;

  • компрометация информации;

  • несанкционированное использование информационных ресурсов;

  • ошибочное использование ресурсов; несанкционированный обмен информацией;

  • отказ от информации;

  • отказ от обслуживания.

Методы обеспечения безопасности информации в ИС:

 

· · препятствие;

· · управление доступом;

· · механизмы шифрования;

· · противодействие атакам вредоносных программ;

· · регламентация;

· · принуждение;

· · побуждение.

Препятствие – метод физического преграждения пути злоумышленнику к защищаемой информации (к аппаратуре, носителям информации и т.д.).

 

Управление доступом – методы защиты информации регулированием использования всех ресурсов ИС и ИТ. Эти методы должны противостоять всем возможным путям несанкционированного доступа к информации.

 

Управление доступом включает следующие функции зашиты:

· · идентификацию пользователей, персонала и ресурсов системы (присвоение каждому объекту персонального идентификатора);

· · опознание (установление подлинности) объекта или субъекта по предъявленному им идентификатору;

· · проверку полномочий (проверка соответствия дня недели, времени суток, запрашиваемых ресурсов и процедур установленному регламенту);

· · разрешение и создание условий работы в пределах установленного регламента;

· · регистрацию (протоколирование) обращений к защищаемым ресурсам;

· · реагирование (сигнализация, отключение, задержка работ, отказ в запросе и т.п.) при попытках несанкционированных действий.

·

Механизмы шифрования – криптографическое закрытие информации. Эти методы защиты все шире применяются как при обработке, так и при хранении информации на магнитных носителях. При передаче информации по каналам связи большой протяженности этот метод является единственно надежным.

 

Противодействие атакам вредоносных программ предполагает комплекс разнообразных мер организационного характера и исполь­зование антивирусных программ. Цели принимаемых мер – это уменьшение вероятности инфицирования АИС, выявление фактов заражения системы; уменьшение последствий информационных инфекций, локализация или уничтожение вирусов; восстановление информации в ИС. Овладение этим комплексом мер и средств требует знакомства со специальной литературой.

Регламентация – создание таких условий автоматизированной обработки, хранения и передачи защищаемой информации, при кото­рых нормы и стандарты по защите выполняются в наибольшей степени.

 

Принуждение – метод защиты, при котором пользователи и персонал ИС вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности.

 

Побуждение – метод защиты, побуждающий пользователей и персонал ИС не нарушать установленные порядки за счет соблюдения сложившихся моральных и этических норм.

Вся совокупность технических средств подразделяется на аппаратные и физические.

 

Аппаратные средства – устройства, встраиваемые непосредственно в вычислительную технику, или устройства, которые сопрягаются с ней по стандартному интерфейсу.

 

Физические средства включают различные инженерные устройства и сооружения, препятствующие физическому проникновению злоумышленников на объекты защиты и осуществляющие защиту персонала (личные средства безопасности), материальных средств и финансов, информации от противоправных действий. Примеры физических средств: замки на дверях, решетки на окнах, средства электронной охранной сигнализации и т.п.

 

Программные средства – это специальные программы и программные комплексы, предназначенные для защиты информации в ИС. Как отмечалось, многие из них слиты с ПО самой ИС.

18.Дистанционное банковское обслуживание(ДБО)- это предоставление возможности клиентам совершать банковские операции, не приходя в банк, с использованием различных каналов телекоммуникации.

Удобства для клиента: не нужно каждый раз посещать банк, чтобы произвести операцию по счету; операции можно производить когда угодно и откуда угодно; в любой момент времени доступна информация о состоянии счета.

Преимущества для банка: конкурентные преимущества по отношению к другим банкам, еще не успевшим внедрить у себя систему ДБО; ДБО позволяет снизить операционные издержки в результате высвобождения персонала и снижения накладных расходов на управление отделениями.

Рассмотрим виды дистанционного банковского обслуживания:

Система «банк-клиент»

Данный способ работы с клиентом используют оптовые платежные системы для дистанционного обслуживания счета клиента- юридического лица. Система «банк –клиент» – автоматизированная компьютерная система электронных расчетов через модемную связь ориентирована в первую очередь на средних и крупных и консервативных клиентов банка- юридических лиц, а также на банки-корреспонденты и подразделения банка. С помощью таких систем клиенты банка могут совершать разнообразные операции прямо из дома или своего офиса.

Система «банк-клиент» основана на безбумажной технологии работы банка с клиентом, а именно на передаче электронных образов платежных документов по телефонным сетям, только в качестве дополнительных мер безопасности используются уникальные форматы документов, модемы и системы электронной подписи.

Классическая система «банк-клиент» предусматривает наличие программного обеспечения, установленного как у клиента, так и у банка. В клиентской части программы хранятся данные этого клиента, в банковской- всех его клиентов. Связь осуществляется по модему путем прямого телефонного соединения с сервером банка.

Основные услуги, предоставляемые посредством системы банк-клиент:

 1.Создание и передача в банк различных типов клиентских платежных документов, в том числе платежных поручений с цифровой подписью

 2.Получение выписок по счетам клиента в банке

 3.Обмен с банком различными сообщениями информационного характера

Наиболее передовые банки стараются расширить круг операций, которые клиент может совершить из своего офиса, пользуясь системой «банк- клиент». К вышеназванным можно добавить такие операции, как: отправка в банк поручения на покупку или продажу иностранной валюте или ценных бумаг; отправка в банк заявки на получение наличных; обмен информационными сообщениями с другими клиентами, подключенными к системе и др.

Преимущества для клиентов от использования системы «банк-клиент» заключаются в том, что они экономят время и средства на посещение банка, а также получают удобный интерфейс для работы со своими платежными документами. Так, большинство систем предусматривает следующие сервисные функции для клиентов:

 1.Электронный обновляемый справочник банковских идентификационных кодов и других платежных реквизитов всех российских банков;

 2. Автоматизированная подготовка платежных документов с использованием шаблонов и локальных справочников(назначении платежа, реквизиты контрагентов сделки);

      3.Возможность экспорта и импорта данных из бухгалтерских программ клиента;

 4.Ведение электронного архива платежных документов и выписок с возможностями поиска, сортировки и распечатки, имеющие для системы юридическую силу;

 5. Контроль за прохождением отправленного в банк платежного документа;

Защита информации в системах «банк-клиент» осуществляется путем применения электронной цифровой подписи и криптографических методов шифрования информации.

Выгода банков от обслуживания клиентов посредством системы удаленного доступа к счету заключается в следующем: экономится время операционистов на прием и обработку документов, разгружаются операционные залы, появляется возможность наладить информационное обеспечение клиентов. Кроме того, у банка появляется возможность привлечь на обслуживание клиентов, территориально удаленных от его офиса, а также банк получает дополнительный доход в виде платы клиентов за использование системы «банк- клиент».

Для подключения к данной системе клиент заключает с банком договор на обслуживание в электронной системе «банк- клиент». После заключения договора банк производит: передачу клиенту документации по работе с системой; установку специального программного обеспечения; обучение уполномоченных лиц клиента работе с системой.

Кроме того, банк гарантирует техническую поддержку при обновлении программного обеспечения, при появлении новых версий системы, даст консультации и рекомендации при работе системы по телефону.

Форма и вида рабочего места клиента (включая экранное меню) создаются в банке. Клиент получает готовое рабочее место, которое он может изменять в пределах заданных банком полномочий. Работа клиента ограничивается только вводом документов и при необходимости импортом/ экспортом данных с бухгалтерских программ, а также просмотром поступивших из банка сообщений. У разных клиентов могут быть как различное меню, так и различные справочники, шаблоны и базы.

Для начала работы в системе «банк- клиент» клиент предварительно должен зарегистрировать в банке криптографические ключи и получить электронные цифровые сертификаты.

Для обеспечения информационной безопасности при работе в системе удаленного банковского обслуживания «банк- клиент» используется программа защиты. Программа представляет собой исполняемый EXE- модуль, обеспечивающий электронную цифровую подпись и шифрование файлов. Она обычно поставляется клиенту в составе автоматизированного рабочего места клиента системы «банк- клиент».

Интернет- банкинг

Интернет- банкинг – это предоставление клиентам различных банковских услуг посредством сети Интернет с помощью специального программно- аппаратного комплекса. В широком смысле под Интернет- банкингом можно понимать самые разнообразные системы, начиная от обычных web-страниц банков и Интернете и заканчивая сложными виртуальными платежными системами. Услугами Интернет- банкинга пользуются как юридические, так и физические лица.

Интернет- банкинг для юридических лиц – это аналог системы «банк- клиент», работающий через Интернет.

Интернет- банкинг заимствовал у системы «банк- клиент» развернутый интерфейс, широкие возможности визуального представления и обработки платежных документов помощью компьютеров, системы однозначной идентификации электронных подписей. От телебанков он перенял возможность работы с банком из любой точки, подключенной и Интернету , и полную степень автоматизации результатов общения клиентом с банком.

Существуют системы, в которых Интернет используется только как средство передачи данных( их называют»толстый клиент»), и системы, в которых Интернет используется как самостоятельная информационная технология(их называют «тонкий клиент». В первом случае Интернет- лишь дополнение классических систем «банк- клиент», решающее вопрос коммуникации с банком. Такие системы по сравнению с традиционной системой «банк- клиент» повышают мобильности оперативность связи, но при этом несколько снижается уровень безопасности, поскольку Интернет- это открытая сеть.

В системах второго типа прикладное программное обеспечение является Интернет- приложением, функционирующим только в сеансе связи банка с клиентом. При использовании таких систем клиенту не нужно устанавливать программное обеспечение и хранить базы данных на своем компьютере. Он может получить доступ к своему банковскому счету, войдя на сервер банка в Интернете с любого компьютера и введя свой пароль и идентификационный номер. Для повышения безопасности могут использоваться различные методы защиты: сеансовые пароли, ключевые дискеты и аппаратные ключи, идентифицирующие клиента.

Иногда через Интернет предоставляются не все виды услуг, предусмотренные системой «банк- клиент», а также их информационная составляющая, то есть возможность получать выписки по счетам и обмениваться с банком иными сообщениями, не связанными с движением денежных средств по счетам.

Для населения в сети Интернет предлагаются услуги по осуществлению расчетов с электронными магазинами как посредством «электронных денег», так и посредством платежных карт.

Ряд банков предлагает физическим лицам в Интернете банковское обслуживание удаленных клиентов( home- banking- домашний банк), аналогичное системе «банк- клиент» для юридических лиц.

Система «домашний банк» предназначена для управления реальными банковскими счетами частных лиц через Интернет, предоставляет полноценный банковский сервис своим пользователям круглосуточно в режиме реального времени из любой точки планеты.

С помощью «домашнего банка» через Интернет клиент может: оплачивать коммунальные услуги; осуществлять внутри- и межбанковские переводы; оплачивать счета операторов сотовой связи в режиме реального времени за несколько секунд; продавать и покупать валюту; пополнять карточные счета известных платежных систем.

Пока Интернет- банк используется немногими наиболее восприимчивыми к новациям клиентами и ориентирован в целом на некрупного и более массового клиента. Вместе с тем можно предположить, что через несколько лет именно он станет самым популярным средством дистанционной работы с банковским счетом. Массовость Интернет- банку обеспечит доступ в Интернет с мобильного телефона.

Телефонный банкинг

Первые услуги, связанные с управлением счетом по телефону, западные банки стали предоставлять своим клиентам- физическим лицам с конца 1970-х гг. Телефонный аппарат может рассматриваться как альтернатива персональному компьютеру в качестве удаленного терминала. Дополнительным преимуществом такого вида взаимодействия банка с клиентом является мобильностью этой услуги, поскольку клиент абсолютно не привязан к конкретной географической точке. Удобство общения, возможность в кратчайшие сроки получить из банка необходимую информацию и широкий спектр предоставляемых услуг сделали этот вид банковского сервиса привлекательным для частного пользователя во многих странах мира.

Банковские услуги, связанные с предоставлением физическим лицам возможности управлять своим счетом, явились результатом развития центров телефонного обслуживания(Call- centr), в которых клиенты фирмы могли получить интересующую их информацию и сделать заказ их услуги или продукции.

Центры телефонного обслуживания в банковском деле первоначально стали использоваться в связи с решение задачи авторизации платежных карт, а затем и в качестве информационных систем, позволяющих получить информацию об услугах, предоставляемых банком, узнать обменные курсы валют и т.п. В России подобные центры существуют уже более чем в сотни банков.

Для российских граждан самым распространенным примером возможностей телефона является общение через телефон с офисами сотовых операторов связи. Можно автоматически и дистанционно получить другие дополнительные услуги.

В более совершенных и формализованных системах «телебанка» клиент может получить как общую, так и индивидуальную информацию: можно узнать остаток и движение средств по счету, курсы валют, адреса филиалов и отдельный банк, а также получить любую другую справочную информацию. Информация может быть речевой или предоставляться в виде коротких текстовых сообщений.

Телебанк не содержит штат телефонистов. В нем за общение с клиентом отвечает компьютерная программа, которая содержит речевую транзакцию всех заранее смоделированных ситуаций и ответов на клиентские запросы. Ответы системы основаны на электронных ресурсах банковской операционной программы или справочной системы. Программа телебанка автоматически делает запросы в учетную программу банка.

Ориентация в системе и формулировка запросов осуществляется клиентом с помощью кнопок телефонного аппарата и голосовых подсказок системы. Информацию можно получить из любой части мира в любое время суток, если воспользоваться обычным или мобильным телефоном, факсом или пейджером. Уникальность сообщения и подлинность электронно- цифровой подписи обеспечиваются использованием PIN-кода, таблицы разовых сеансных ключей.

Телебанк ориентирован на физических лиц или субъектов малого бизнеса для оплаты стандартных счетов, например за телефон, коммунальные услуги или уплаты налогов, для простейших функций общения с банком, например получения информации об остатке счета. Это самый дешевый и массовый вид дистанционного банковского обслуживания, хотя и предоставляет ограниченный спектр услуг.

УОР РКЦ

Дата добавления: 2018-05-02; просмотров: 369; Мы поможем в написании вашей работы!

Поделиться с друзьями:


⇐ Предыдущая12345Следующая ⇒


Мы поможем в написании ваших работ!
.
.
© 2014-2024 — Студопедия.Нет — Информационный студенческий ресурс. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав (0.035)