Информационная безопасность систем Internet-banking

Вопросы организации безопасности при создании и эксплуатации систем дистанционного банковского обслуживания традиционно имеют важнейшее значение.

Внедрение технологий ДБО требует комплексного подхода для решения технических и организационных вопросов информационной безопасности. Можно выделить два основных направления информационной безопасности - безопасность в системе ДБО и общая информационная безопасность банка.

Защита систем ДБО как минимум должен обеспечивать:

• однозначную идентификацию субъектов, взаимодействующих с системой (клиента и банка);

• шифрование передаваемой финансовой информации;

• безопасность каналов передачи информации, защита носителей информации.

Сегодня решения этих проблем обеспечивается профессиональными средствами защиты, которые используются как в западных, так и в отечественных системах ДБО.

Основные механизмы обеспечения общей информационной безопасности банка и безопасности в системе ДБО рассмотрим на примере построения системы безопасности Internet-banking - iBank 2 VA.

Безопасность в системе Internet-banking - iBank 2 UA

Для обеспечения информационной безопасности в Internet-banking используют следующие механизмы:

1. Электронная цифровая подпись {ЭЦП) под электронными документами - для обеспечения целостности и подлинности (подтверждение авторства) информации. ЭЦП клиента используется как аналог подписи. Для формирования ЭЦП клиента используют такие криптографические алгоритмы:

• ГОСТ 34.310-95 - процедура формирования ЭЦП клиента;

• ГОСТ 34.311 -95 - процедура вычисления хэш-функции.

В процессе предварительной регистрации генерируется пара ключей ЭЦП клиента (секретный и открытый). Генерация ключей происходит с использованием криптографической генератора псевдослучайных чисел SecureRandorn.

Секретный ключ ЭЦП клиента используется для формирования электронной цифровой подписи клиента под его финансовыми документами и другими распоряжениями. Секретный ключ ЭЦП клиента хранится в файле в зашифрованном на пароли.

Открытый ключ ЭЦП клиента банк использует для аутентификации клиента и для проверки ЭЦП клиента под финансовым документом. Проверка ЭЦП клиента осуществляется Сервером приложений в момент подписания клиентом документов, а также Шлюзом при выгрузке документов в САБО банка. Открытые ЭЦП клиентов хранятся в банке в Сервере БД системы iBank 2 UA в форме сертификатов открытых ключей ЭЦП клиентов, заверенных банковским администратором.

2, Механизм криптографической аутентификации сторон - для обеспечения защищенного взаимодействия через Internet. Обеспечение криптографической аутентификации сторон достигается в результате использования защищенного протокола 551 во время установления соединения между Web-сервером банка и клиентом. Для подтверждения подлинности Web-сервера осуществляется сравнение доменного имени сайта банка, загружаемого с указанным в сертификате Web-сервера.

3. Шифрование данных - для обеспечения конфиденциальности передаваемой через Internet. Шифрование информации осуществляется с помощью сессионных ключей, генерируемых на этапе установления соединения между клиентом и сервером приложений. Для шифрования информации используют следующие алгоритмы:

• RSA - 1024 - асимметричный криптографический алгоритм с модулем N длиной 1024 бита. Используется в процедуре согласования сеансовых ключей шифрования и контроля уникальности сессии ';

• ГОСТ 28147-89 - симметричный алгоритм шифрования. Используется сервером приложений для шифрования данных, передаваемых.

В Internet-banking, как правило, ведутся контрольные архивы, в которых хранятся все электронные документы с ЭЦП для решения конфликтных ситуаций. В системе ведется история документов - кем и когда документ был создан, отредактирован, подписан, выполнен или отклонен. В системе iBank 2 UA также ведутся журналы учета доступа клиентов по всем сервисам, в которых хранится информация об IP-адресе клиента, время доступа, идентификатор ключа ЭЦП, который был использован, проведены операции и тому подобное.

Общие вопросы IP-безопасности

При внедрения Internet-banking одновременно проводят изменения текущей политики / Р-безопасности банка. Серверы системы Internet-banking, как правило, размещают в отдельном сетевом сегменте с доступом из сети Internet, контролируется на межсетевом экране (Firewall), и с внутренней защищенной сети банка.

АРМ Администратор АРМ Операционист и Шлюз для интеграции Internet-banking с САБО размещают во внутренней защищенной сети банка, где расположен сервер САБО,

На межсетевом экране добавляют такие права доступа:

• для обслуживания клиентов разрешено входящие соединения из сети Internet только на ТСР-порты Web-сервера Internet-banking (протокол HTTPS) и сервера приложений Internet-banking (протокол ИВТР)

• для работы АРМ Операционист разрешено входящие соединения с внутренней защищенной сети банка только на ТСР-порты Web-сервера Internet-banking (протокол HTTPS) и сервера приложений Internet-banking (протокол ИВТР)

• для работы шлюза и АРМ Администратор разрешаются исходящие соединения с внутренней защищенной сети банка только на ТСР-порты сервера БД системы Internet-banking;

• запрещено все входящие соединения из сети Internet и с внутренней защищенной сети банка к сегменту с серверами Internet-banking для всех других TCP-портов и других IP-протоколов

• запрещено все исходящие соединения со сегментов с серверами Internet-banking;

• запрещено все входящие соединения во внутреннюю защищенную сеть банка, где расположен сервер САБО (это общее правило, не зависит от наличия системы Internet-banking).

При внедрении системы в банке осуществляется тщательная настройка операционных систем на серверах Internet-banking - изымается поддержка протоколов, которые не используются, сетевых сервисов и служб. Полностью исключается сетевой доступ к файловой системе, задействуются встроенные в ОС механизмы аудита.

 
< Пред   СОДЕРЖАНИЕ   След >