Защита информации в Интернет

отрудники
органов  внутренних  дел   или   госбезопасности.   Они   обладают   высокой
квалификацией в своей области,  но  в  большинстве  своем  слабо  знакомы  с
информационными технологиями. Специалистов по информационной безопасности  в
нашей  стране  вообще  крайне  мало,  потому  что  массовой  эта   профессия
становится только сейчас.
Вторая проблема связана с  тем,  что  в  очень  многих  банках  безопасность
автоматизированной банковской системы не анализируется и  не  обеспечивается
всерьез. Очень  мало  где  имеется  тот  необходимый  набор  организационных
документов (анализ риска, план защиты  и  план  ликвидации  последствий),  о
котором говорилось выше. Более того, безопасность информации сплошь и  рядом
просто   не   может   быть   обеспечена   в   рамках   имеющейся   в   банке
автоматизированной системы и принятых правил работы с ней.

      Не так давно мне довелось  читать  лекцию  об  основах  информационной
безопасности  на   одном   из   семинаров   для   руководителей   управлений
автоматизации  коммерческих  банков.  На  вопрос:  “Знаете  ли  вы,  сколько
человек имеют право входить в помещение, где находится  сервер  базы  данных
Вашего  банка?”,  утвердительно  ответило  не  более   40%   присутствующих.
Пофамильно назвать тех, кто имеет такое право, смогли лишь 20%. В  остальных
банках доступ в это помещение не ограничен и никак  не  контролируется.  Что
говорить о доступе к рабочим станциям!
       Что  касается  автоматизированных  банковских  систем,  то   наиболее
распространенные  системы  второго-третьего  поколений  состоят  из   набора
автономных программных модулей,  запускаемых  из  командной  строки  DOS  на
рабочих станциях. Оператор имеет возможность в любой момент выйти в  DOS  из
такого программного модуля. Предполагается, что это необходимо для  перехода
в другой программный модуль, но фактически в  такой  системе  не  существует
никаких  способов  не  только  исключить  запуск  оператором  любых   других
программ (от безобидной игры до программы, модифицирующей данные  банковских
счетов), но и проконтролировать действия оператора. Стоит  заметить,  что  в
ряде систем этих поколений, в  том  числе  разработанных  весьма  уважаемыми
отечественными фирмами и продаваемых сотнями, файлы счетов не шифруются,  т.
  е.  с  данными  в  них  можно  ознакомиться   простейшими   общедоступными
средствами.  Многие  разработчики  ограничивают  средства  администрирования
безопасности штатными средствами сетевой операционной системы: вошел в  сеть
-- делай, что хочешь.

       Положение  меняется,  но  слишком  медленно.  Даже  во  многих  новых
разработках вопросам безопасности уделяется явно недостаточное внимание.  На
выставке  “Банк  и  Офис  --  95”   была   представлена   автоматизированная
банковская система с  архитектурой  клиент—сервер,  причем  рабочие  станции
функционируют под Windows. В  этой  системе  очень  своеобразно  решен  вход
оператора в программу: в  диалоговом  окне  запрашивается  пароль,  а  затем
предъявляется  на  выбор  список  фамилий  всех  операторов,  имеющих  право
работать с данным модулем!  Таких примеров можно привести еще много.

      Тем не менее, наши  банки  уделяют  информационным  технологиям  много
внимания, и достаточно быстро усваивают новое. Сеть  Internet  и  финансовые
продукты, связанные с ней, войдут в жизнь банков  России  быстрее,  чем  это
предполагают скептики, поэтому уже сейчас необходимо  озаботиться  вопросами
информационной безопасности на другом, более  профессиональном  уровне,  чем
это делалось до сих пор.

Некоторые рекомендации:

1. Необходим комплексный подход к информационной безопасности.
Информационная  безопасность  должна  рассматриваться  как  составная  часть
общей  безопасности  банка—причем  как  важная  и  неотъемлемая  ее   часть.
Разработка  концепции   информационной   безопасности   должна   обязательно
проходить при  участии  управления  безопасности  банка.  В  этой  концепции
следует  предусматривать  не  только  меры,  связанные   с   информационными
технологиями  (криптозащиту,  программные  средства  администрирования  прав
пользователей, их идентификации и аутентификации, “брандмауэры”  для  защиты
входов—выходов сети и т. п.), но и  меры  административного  и  технического
характера,  включая  жесткие  процедуры  контроля  физического   доступа   к
автоматизированной банковской системе,  а  также  средства  синхронизации  и
обмена  данными  между  модулем  администрирования  безопасности  банковской
системы и системой охраны.

2.  Необходимо  участие  сотрудников  управления   безопасности   на   этапе
выбора—приобретения—разработки автоматизированной  банковской  системы.  Это
участие  не  должно  сводиться  к  проверке   фирмы-поставщика.   Управление
безопасности должно контролировать наличие надлежащих средств  разграничения
доступа к информации в приобретаемой системе.

       К  сожалению,  ныне  действующие  системы  сертификации   в   области
банковских  систем  скорее  вводят  в  заблуждение,  чем  помогают   выбрать
средства защиты  информации.  Сертифицировать  использование  таких  средств
имеет  право  ФАПСИ,  однако  правом  своим  этот  орган  пользуется  весьма
своеобразно. Так, один высокопоставленный сотрудник ЦБ  РФ  (попросивший  не
называть его имени) рассказал, что ЦБ  потратил  довольно  много  времени  и
денег на получение сертификата на одно из  средств  криптозащиты  информации
(кстати, разработанное одной из организаций, входящих в ФАПСИ). Почти  сразу
же после получения сертификата он был  отозван:  ЦБ  было  предложено  вновь
пройти сертификацию уже с новым средством криптозащиты—разработанным той  же
организацией из ФАПСИ.

      Возникает вопрос, а что же  на  самом  деле  подтверждает  сертификат?
Если, как предполагает наивный  пользователь,  он  подтверждает  пригодность
средства криптозащиты выполнению этой функции, то отзыв сертификата  говорит
о том, что при первоначальном  сертифицировании  ФАПСИ  что-то  упустило,  а
затем обнаружило  дефект.  Следовательно,  данный  продукт  не  обеспечивает
криптозащиты и не обеспечивал ее с самого начала.

       Если  же,  как  предполагают  пользователи  более  искушенные,  ФАПСИ
отозвало  сертификат  не  из-за  огрехов  в  первом  продукте,  то  значение
сертификации  этим  агентством  чего  бы  то  ни  было  сводится   к   нулю.
Действительно,  раз  “некие”  коммерческие   соображения   преобладают   над
объективной оценкой продукта, то кто может гарантировать, что в  первый  раз
сертификат был выдан благодаря высокому качеству продукта, а не  по  тем  же
“неким” соображениям?

      Отсюда следует третья  практическая  рекомендация:  относиться  сугубо
осторожно к  любым  сертификатам  и  отдавать  предпочтение  тем  продуктам,
надежность  которых   подтверждена   успешным   использованием   в   мировой
финансовой практике. Безопасность в сети Internet



                       2.2 Средства защиты информации

      Сейчас  вряд  ли  кому-то  надо  доказывать,  что  при  подключении  к
Internet  Вы  подвергаете  риску  безопасность  Вашей   локальной   сети   и
конфиденциальность  содержащейся  в   ней   информации.   По   данным   CERT
Coordination Center в 1995 году  было  зарегистрировано  2421  инцидентов  -
взломов локальных сетей и  серверов.  По  результатам  опроса,  проведенного
Computer Security Institute (CSI) среди 500  наиболее  крупных  организаций,
компаний и университетов с 1991 число незаконных вторжений возросло на  48.9
%, а потери, вызванные этими атаками, оцениваются в 66 млн. долларов США.

        Одним   из   наиболее   распространенных   механизмов   защиты    от
интернетовских бандитов - “хакеров” является применение  межсетевых  экранов
- брэндмауэров (firewalls).

      Стоит отметить, что в следствии непрофессионализма  администраторов  и
недостатков некоторых типов брэндмауэров  порядка  30%  взломов  совершается
после установки защитных систем.

      Не следует думать, что все изложенное  выше  -  “заморские  диковины”.
Всем, кто еще не уверен, что  Россия  уверенно  догоняет  другие  страны  по
числу взломов серверов и локальных сетей и принесенному ими ущербу,  следует
познакомиться  с  тематической  подборкой  материалов  российской  прессы  и
материалами Hack Zone (Zhurnal.Ru).

      Не смотря на кажущийся правовой хаос в расматриваемой  области,  любая
деятельность  по  разработке,  продаже  и   использованию   средств   защиты
информации   регулируется   множеством   законодательных    и    нормативных
документов, а все используемые системы  подлежат  обязательной  сертификации
Государственой Технической Комисией при президенте России.


       2.2.1 Технология работы в глобальных сетях Solstice FireWall-1

      В  настоящее  время  вопросам  безопасности  данных  в  распределенных
компьютерных  системах  уделяется  очень   большое   внимание.   Разработано
множество   средств    для    обеспечения    информационной    безопасности,
предназначенных для использования на различных компьютерах с разными  ОС.  В
качестве  одного   из   направлений   можно   выделить   межсетевые   экраны
(firewalls),  призванные  контролировать  доступ  к  информации  со  стороны
пользователей внешних сетей.
      В настоящем документе рассматриваются  основные  понятия  экранирующих
систем, а также требования, предъявляемые к ним. На примере пакета  Solstice
FireWall-1 рассматривается неcколько типичных  случаев  использования  таких
систем, особенно применительно к вопросам обеспечения безопасности Internet-
подключений. Рассмотрено также несколько  уникальных  особенностей  Solstice
FireWall-1,  позволяющих  говорить  о  его   лидерстве   в   данном   классе
приложений.


              НАЗНАЧЕНИЕ ЭКРАНИРУЮЩИХ СИСТЕМ И

Пред. 6 7 8 9 10 След.

скачать работу

Отправка СМС бесплатно