6. Защита информации.

В настоящее время проблема обеспечения информационной безопасности приобретает принципиально важное значение в связи с тем, что информационная и деловая активность всё более перемещается в область кибернетического пространства.

Общее понятие комплексной безопасности включает в себя:

• физическую безопасность (защита зданий, помещений, подвижных средств и т. п. );

• безопасность аппаратных средств (защита средств вычислительной техники, сетевого оборудования и т. п. );

• безопасность программно-математического обеспечения (защита от программных вирусов, “троянских коней”, логических бомб, хакеров и т. п. );

• безопасность связи (защита каналов связи от внешних воздействий любого вида);

• безопасность сети в целом (дополнительные меры защиты, вызванные особенностью сети).

Применительно к специфике инфраструктуры рынка ценных бумаг безопасность программно-аппаратных средств и сети в целом следует трактовать как защиту от “информационного оружия” (ИО).

При этом должна реализовываться защита:

• от комплексного воздействия, направленного на нарушение функционирования непосредственно телекоммуникационной среды;

• от несанкционированного доступа к технологической (служебной) и иной информации, связанной с работой сети;

• от разрушения программных средств защиты с целью получения доступа к содержанию информации, передаваемой абонентами.

Нарушение функционирования телекоммуникационной среды может осуществляться за счёт воздействия на аппаратно-программные средства путем передачи несанкционированных служебных команд, осуществления вирусных атак на системное и прикладное программное обеспечение (ПО), операционные системы, базы данных, пользовательскую и иную информацию, активизации аппаратно-программных закладок

Несанкционированный доступ может осуществляться путём неправомерного использования ресурсов сети, в том числе при помощи чтения, записи данных, инициирования выполнения несанкционированных команд и программ, а также путём снятия информации техническими средствами.

Разрушение программных средств защиты может осуществляться путём активизации внедренных аппаратно-программных закладок. Закладки могут применяться для разрушения встроенных и внешних средств и систем защиты, нарушения целостности и функционирования распределённых систем управления, передачи и обработки информации, технических средств, системного и прикладного ПО, пользовательской и иной информации.

Система мер защиты от ИО должна обеспечивать защиту:

• от нарушения функционирования телекоммуникационной среды путём исключения воздействия на системное и прикладное программное обеспечение, информационные каналы, каналы сигнализации, управления и удаленной загрузки баз данных коммутационного оборудования;

• от несанкционированного доступа к информации путём обнаружения и ликвидации попыток использования ресурсов сети, приводящих к нарушению целостности сети и информации, изменению функционирования подсистем распределения информации, доступности баз данных;

• от разрушения программных средств защиты путём обеспечения шифрования и имитозащиты передаваемой и хранимой информации, возможности доказательства неправомочности действий пользователей и обслуживающего персонала сети.

Защита от воздействия ИО должна обеспечиваться комплексом мероприятий на всех этапах разработки, ввода в действие, модернизации аппаратно-программных средств телекоммуникаций, а также при обработке, хранении и передаче по каналам связи информации с широким применением современных средств криптографической защиты. При этом необходимо учитывать дополнительную сложность и специфику решения задачи защиты при использовании импортного оборудования.

Задачи обеспечения безопасности

• защита информации в каналах связи и базах данных криптографическими методами;

• подтверждение подлинности объектов данных и пользователей (аутентификация сторон, устанавливающих связь);

• обнаружение нарушений целостности объектов данных;

• обеспечение защиты технических средств и помещений, в которых ведется обработка конфиденциальной информации, от утечки по побочным каналам и от возможно внедренных в них электронных устройств съема информации;

• обеспечение защиты программных продуктов и средств вычислительной техники от внедрения в них программных вирусов и закладок;

• защита от несанкционированных действий по каналу связи от лиц, не допущенных к средствам шифрования, но преследующих цели компрометации секретной информации и дезорганизации работы абонентских пунктов;

• организационно-технические мероприятия, направленные на обеспечение сохранности конфиденциальных данных.

Один из эффективных методов борьбы с несанкционированным доступом (НСД) к центральным компьютерам в сетях общего пользования предложен фирмой Microcom. Он основан на использовании устройства управления модемами HDMS Plus.

Это устройство используется в составе программно-аппаратных средств сети PIE-Net, а также в корпоративных сетях таких зарубежных банков и компаний, как US Federal Reserve Bank, Bank of America, Citibank, AT&T, IBM и др. Кроме пользовательских паролей система HDMS Plus обеспечивает также защиту с помощью обратного вызова перед установлением связи и проверку паролей на уровне модемов.

Основной проблемой в вопросе обеспечения конфиденциальности передаваемой информации является наличие стойких и эффективно реализуемых криптосхем и организация надёжных и удобных ключевых систем.

В коммерческих сетях передачи данных, функционирующих в США, применяется специально разработанный стандарт шифрования DES

(Data Encryption Standard), использующий как программные, так и программно-аппаратные реализации этого шифра.

В СНГ действует стандарт шифрования данных в сетях ЭВМ - ГОСТ 28147 - 89 “Системы обработки информации. Защита криптографическая”, который в значительно большей степени, чем стандарт DES, отвечает современным требованиям к средствам обеспечения конфиденциальности по своим криптографическим качествам.

Важным компонентом в системе безопасности сетей передачи данных, особенно для банковских применений, является цифровая подпись, позволяющая обмениваться юридически значимыми документами, проводить платежные операции, подтверждать целостность предаваемой и проверять целостность полученной информации.

Система безопасности банковской телекоммуникационной сети должна обеспечивать ведомственные нормы и права пользователей в отношении доступа к информационным и другим сетевым ресурсам и услугам, целостность данных на всех этапах их обработки, преобразования и хранения, предотвращать потери, искажения и утечку информации, перехват и вмешательство на всех уровнях системы и для всех территориально распределенных объектов.

Кроме того, при хранении информации на объектах всех уровней банковской телекоммуникационной сети должна гарантироваться защита от несанкционированных изменений информации, в том числе и в режиме удаленного доступа.

Идентификация и проверка конечного пользователя достигаются за счет применения персонального идентификатора. В качестве дополнительного средства проверки используется динамический метод проверки подписи конечным пользователем, основанный на измерении скорости движения ручки и давления при совершении подписи, показатели которых сравниваются с хранимыми в персональной карточке безопасности показателями.

Наделение полномочиями конечного пользователя, информация о которых хранится в персональной карточке безопасности. При положительном результате проверки доступ к прикладному программному продукту и наделение полномочиями выполнять те или иные трансакции контролируется на персональном уровне.

Секретность трансакций достигается путем включения криптографического (шифровального) процессора, реализующего алгоритм шифрования данных, в персональную карточку безопасности фирмы IBM , в интерфейсное устройство безопасности типа IBM 4754 и в криптографический адаптер типа IBM 4755 на уровне рабочих станций, а также в процессор безопасности сети типа IBM 4753 на уровне хост-ЭВМ.

Целостность информации обеспечивается применением кода подлинности передаваемой информации, формируемого путем реализации криптографического алгоритма данных в передающих и приемных устройствах.

Выполнение функций защиты информации реализуется с помощью комплекса технических средств и программных продуктов, разработанных фирмой IBM.

Персональная карточка безопасности фирмы IBM представляет собой карточку с встроенным в нее микропроцессором безопасности. Карточка содержит коммуникационный интерфейс и реализуемый алгоритм шифрования данных и становится частью криптографической рабочей станции при вставке в интерфейсное устройство безопасности фирмы IBM типа IBM 4754, соединенное с рабочей станцией через криптографический адаптер типа IBM 4755 или через последовательный адаптер.

Интерфейсное устройство безопасности типа IBM 4754 представляет собой настольное устройство с возможностью чтения и записи на персональной карточке безопасности фирмы IBM; оно может быть соединено с рабочей станцией через последовательный адаптер или через криптографический адаптер типа IBM 4755. Если требуется высокий уровень защиты, то в дополнение к персональному идентификатору подпись выполняется специальной ручкой и затем проверяется в криптографическом адаптере типа IBM 4755.

Криптографический адаптер типа IBM 4755 выполняет функции криптографического шифрования и дешифрования при использовании в персональном компьютере типа PC или PS/2, а также при взаимодействии с рабочей станцией и другими узлами.

Процессор безопасности сети типа IBM 4753 обеспечивает криптографическую поддержку системы, требующей защиты информации, путем реализации алгоритма шифрования данных.

Представленная система обеспечения защиты информации фирмы IBM опирается на различные компьютерные платформы и позволяет реализовать различные варианты банковских технологий и средств защиты информации.

Современному банку, широко использующему в своей работе компьютерные технологии, угрожает сразу несколько опасностей. К ним относятся работники самого банка, особенно программисты и операторы компьютерных сетей, “хакеры”, которые стремятся проникнуть в сети для кражи информации или её использования, либо которые специализируются на изготовлении новых вирусов и запуске их в компьютерные сети с целью получения славы Герострата.

Поток информации, идущий по сетям компьютерной и электронной межбанковской связи, постоянно растёт. Практика показывает, что введение паролей не защищает в достаточной степени от несанкционированного проникновения в эти коммуникационные сети. Наилучшим методом защиты компьютерной сети от несанкционированного проникновения является использование специальных компьютерных программ, постоянно сканирующих состояние сети, выявляющих попытки несанкционированного прорыва в них и подающих сигнал тревоги с одновременным блокированием канала связи, по которому пытается подключиться компьютер “хакера”.

По аналогичному принципу работают программы защиты компьютерных сетей от проникновения в них вирусов. Вирусы в настоящий момент представляют собой огромную опасность для успешного функционирования банковских компьютерных сетей. Проникновение в такую сеть опасного вируса может привести не только к потере информации, но и блокировке всей сети в целом. Ущерб банку в таком случае может быть колоссальным, поскольку приостановка его работы хотя бы на один день приведёт к краху. Потеря же информации о счетах клиентов и перечислениях денежных средств вообще ведёт к катастрофе. Создание постоянно сканирующих систему программ, выявляющих и уничтожающих вирусы, является сейчас крупным бизнесом.