Warning: session_start() [function.session-start]: Cannot send session cookie - headers already sent by (output started at /var/www/nelvin/data/www/ebooktime.net/index.php:6) in /var/www/nelvin/data/www/ebooktime.net/index.php on line 7

Warning: session_start() [function.session-start]: Cannot send session cache limiter - headers already sent (output started at /var/www/nelvin/data/www/ebooktime.net/index.php:6) in /var/www/nelvin/data/www/ebooktime.net/index.php on line 7
Мал. 5.4. Система запобігання атакам : казначейство банку : Бібліотека для студентів

Мал. 5.4. Система запобігання атакам


Повернутися на початок книги
1 2 3 4 5 6 7 8 9 10 11 12 13 14 
15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 
30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 
45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 
60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 
75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 
90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 
105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 
120 121 122 123 124 125 126 127 128 129 130 131 132 133 

магниевый скраб beletage

Як і для АСОІБ, захист мережі повинен плануватися як єдиний комплекс заходів, що охоплює всі особливості оброблення інформації. Маємо на увазі, що організація захисту мережі, розроблення політики безпеки, її реалізація й керування захистом підкоряються загальним правилам, які були розглянуті вище. Однак необхідно врахо-вувати, що кожний вузол мережі повинен мати індивідуальний захист залежно від ви-конуваних функцій і від можливостей мережі. При цьому захист окремого вузла повинен бути частиною загального захисту. На кожному окремому вузлі слід організувати:

• контроль доступу до всіх файлів та інших наборів даних, доступним з локальної мережі й інших мереж;

• контроль процесів, активізованих з вилучених вузлів;

• контроль сіткового графіка;

• ефективну ідентифікацію й автентифікацію користувачів, які одержують доступ до певного вузла з мережі;

• контроль доступу до ресурсів локального вузла, доступних для використання ко-ристувачами мережі;

• контроль за поширенням інформації в межах локальної мережі й пов’язаних з нею інших мереж. Однак мережа має складну структуру: для передачі інформації з одного вузла на

інший остання проходить кілька стадій перетворень. Природно, всі ці перетворення

Розділ 5. Банківська безпека

повинні вносити свій внесок у захист переданої інформації, у противному випадку напади з нижнього рівня можуть поставити під загрозу захист мережі. Таким чином, захист мережі як єдиної системи складається з заходів захисту кожного окремого вуз-ла й функцій захисту протоколів даної мережі.

Мережне програмне забезпечення повинне входити до складу мережного вузла, у противному випадку можливе порушення роботи мережі і її захистів шляхом зміни програм або даних. При цьому протоколи повинні реалізовувати вимоги по забез-печенню безпеки переданої інформації, які є частиною загальної політики безпеки. Нижче наводиться класифікація загроз, специфічних для мереж (загрози нижнього рівня):

1. Пасивні загрози (порушення конфіденційності даних, що циркулюють у мережі) — перегляд і/або запис даних, переданих по лініях зв’язку:

• перегляд повідомлення — зловмисник може переглядати зміст повідомлення, пе-реданого по мережі;

• аналіз графіка — зловмисник може переглядати заголовки пакетів, що циркулю-ють у мережі й на основі службової інформації, що втримується в них, робити висновки про відправників і одержувачів пакета й умовах передачі (час відправ-лення, клас повідомлення, категорія безпеки й т.д.); крім того, він може з’ясувати довжину повідомлення й обсяг графіка.

2. Активні загрози (порушення цілісності або доступності ресурсів мережі) — не-санкціоноване використання пристроїв, що мають доступ до мережі для зміни окремих повідомлень або потоку повідомлень:

• відмова служб передачі повідомлень — зловмисник може знищувати або затри-мувати окремі повідомлення або весь потік повідомлень;

• «маскарад» — зловмисник може привласнити своєму вузлу або ретранслятору чу-жий ідентифікатор і одержувати або відправляти повідомлення від чужого імені;

• впровадження мережних вірусів — передача по мережі тіла вірусу з його наступ-ною активізацією користувачем вилученого або локального вузла;

• модифікація потоку повідомлень — зловмисник може вибірково знищувати, мо-дифікувати, затримувати і дублювати повідомлення, а також вставляти підробле-ні повідомлення. У банку є декілька основних зобов’язань перед своїми клієнтами:

• банк повинен за договором дотримувати конфіденційність (крім тих випадків, коли вона може бути порушена відповідно до передбачених правових норм);

• банк повинен бути готовий провести оплату по рахунках або платіжних доручен-нях своїх клієнтів;

• банк повинен при обробленні транзакцій клієнтів діяти кваліфіковано і чітко;

• банківська інформація є надзвичайно чутливою в тому сенсі, що:

а) велика її частина пов’язана з третіми сторонами, по відношенню до яких банк повинен дотримуватись певних юридичних зобов’язань, у зв’язку з чим які-небудь порушення можуть привести не тільки до комерційних ускладнень, але і до за-стосування правових санкцій;

б) передача інформації часто сумірна за часом з пересиланням грошових коштів. У цьому розділі розглядаються аспекти дотримання секретності і захисту інфор-мації при проведенні банківських операцій з урахуванням зазначених вище моментів. Багато методів забезпечення захисту інформації можуть використовуватися також

Казначейство банку

для захисту капіталу, а ризик, пов’язаний з даними, багато в чому подібний до ризи-ку, пов’язаному з капіталом. Дані можуть бути вкрадені точно так само, як і гроші.

Захист від несанкціонованого доступу є формуванням і застосуванням охорон-них заходів захисту даних, програмного забезпечення і апаратури комп’ютерів від внесення ненавмисних або випадкових змін або виходу з ладу.

Оцінювання систем захисту. Із значним зростанням обсягу даних, що зберіга-ються на магнітних носіях, і зростанням інвестицій в інформаційні технології деякі організації починають оцінювати захист. Таке оцінювання повинне визначати:

• загрозу для інформаційних систем, тобто потенційну небезпеку руйнування або зміни (у гіршу сторону) режимів функціонування інформаційних систем;

• уразливість інформаційних систем (тобто їхні слабкі місця).

Ці дві проблеми в комбінації можуть спричинити небажані наслідки.

Ризик іноді визначають як кількісну оцінку потенційного збитку. Подальші до-слідження можуть торкатися вже конкретних інформаційних систем. Наприклад, де-які види інформації в певних додатках можуть бути «секретнішими», ніж в інших.

Важливість введення деякої кількісної міри потенційного збитку у фінансовому виразі полягає в тому, що це така міра, щодо якої може оцінюватися вартість охорон-них заходів.

Шляхи рішення проблем, пов’язаних з ризиком, можуть бути виділені для по-дальшого аналізу в чотири категорії:

1) уникнення (наприклад, така модифікація системи, щоб вона перестала бути в чо-мусь уразливою);

2) скорочення (заходи захисту від несанкціонованого доступу знижують відповід-ний ризик до прийнятного рівня);

3) незастосування ніяких заходів (коли ризик не має значення);

4) передача (фінансової відповідальності за можливий збиток страхової компанії). Існують різні способи визначення і кількісної оцінки ризику. Визначення і кіль-кісна оцінка ризику називається аналізом ризику.

Під час аналізу ризику оцінюється його вартість (тобто збиток, який може бути нанесений за відповідних обставин) і його частота (наприклад, вихід системи з ладу один раз в триста років) з метою отримання в результаті «річної вірогідності збитку». Сценарний аналіз — це метод, за допомогою якого вимальовуються декілька мож-ливих подій, що приводять до нанесення збитку, а потім результати передаються від-повідним менеджерам для оцінювання того, яка з цих подій є найбільш вірогідною. Заходи захисту застосовуються в результаті по відношенню до тих подій, які можуть призвести до небажаного результату з найбільшою вірогідністю.

Евристичні методи. У деяких випадках ризик може не усвідомлюватися і може бути відсутньою можливість оцінки його впливу в грошовому виразі. Знання є не-повними. У таких ситуаціях використовують евристичні методи. Як альтернативний варіант можна використовувати минулий досвід (беруться до уваги що мали місце раніше випадки порушення захисту).

Принципи захисту даних. Звичайно в банку розробляється положення, яке пе-редбачає певні принципи захисту даних, яких зареєстровані користувачі інформації повинні строго дотримуватися.