Новые направления защиты информации, стимулируемые банковсими приложениями

Введение
1.Банковские криптографические протоколы
1.1Электронные платежи
1.2 Электронная монета
1.3Электронный бумажник
2. Интеллектуальные карточки в банковских системах
2.1 Интеллектуальные карточки как следующий этап развития магнитных и логических карточек
2.2 Особенности применения интеллектуальных карточек в банковских системах
Заключение
Список литературы

С начала 80-х годов ИК начали интенсивно применяться в банковском деле, ну и конечно ж в системах электронных (безналичных) расчетов. Это обусловлено не только надежностью и удобством, предоставляемое этими платежными средствами потребителю, а еще и тем, что обязательным условием проектирования ИК выступает их полное соответствие международным стандартам на идентификационные карточки .
Главное отличие ИК от пассивных устройств ( магнитные карточки), заключается в способности обрабатывать хранящуюся и входящую информацию при помощи встроенного микропроцессора. Алгоритмы функционирования ИК, кроме их целевого назначения (например, выполнения финансовых транзакций), выполняют в основном криптографические преобразования и реализуют, как правило, схемы шифрования, электронной цифровой подписи и аутентификации данных. Кроме того, ИК могут дополнительно снабжаться средствами аутентификации (как биометрического, так и логического характера) владельца ИК.
В последнее время особенно интенсивно исследуется вопрос разработки многоцелевых ИК, которые предназначены как для использования в традиционных областях применения идентификационных карточек, так же и для построения высоконадежных систем разграничения доступа, наличие и надежное функционирование которых очень важно при управлении доступом в банковские зоны повышенной безопасности- хранилища ценных бумаг, банковские сейфы и т. п.
2.2 Особенности применения интеллектуальных карточек в банковских системах
Применения интеллектуальных карточек в банковском деле имеет грандиозные перспективы. Преимущественно на западноевропейском рынке, главным образом во Франции и Германии, в период с 1989 по 1994, отмечался примерно 12-кратный рост объемов продаж банковских ИК. В апреле 1990 г. объединение французских банков GIE Carte Bancaire приняло решение, в связи с которым к концу 1992 г. каждый взрослый житель Франции обязан был получить в свое распоряжение банковскую ИК. Интенсивные работы по замене банковских магнитных и логических карточек на интеллектуальные выполняются также и в Великобритании, и в Испании, и в Швейцарии . Объем продаж всех видов ИК в странах Западной Европы в числовом выражении вырос в 8,5 раз за указанный период со среднегодовым темпом прироста 54%.
Значительным отличием, делающим интеллектуальные карточки более привлекательными для банков, чем магнитные, выступает сложность их подделки, поскольку производство ИК под силу только промышленным компаниям. В идеальном случае ИК обязаны отвечать следующим требованиям:
защищенности, т. е. ИК как носитель конфиденциальной информации обязаны быть защищена от всех возможных и невозможных угроз со стороны потенциальных нарушителей, включая и попытки взломать ее собственную аппаратную защиту для того, чтобы считать хранимые в ней конфиденциальные данные;
сопротивляемости, т. е. ИК обязаны быть устойчива к воздействию на нее тепла, радиации, электромагнитных излучений, химических препаратов, а также и к физическим воздействиям (сгибанию , скручиванию и т. п.) .
Основной фактор, который тормозит переход к интеллектуальным карточкам в зарубежных странах – это уже развитая инфраструктура для поддержки магнитных денег. Больше всего это касается США . Из-за существования огромной финансовой инфраструктуры, стоимость замены системы является гораздо боле дорогой, чем те несколько миллиардов долларов, которые теряются ежегодно из-за мошенничества с кредитными карточками. Однако Россия не имеет такой развитой инфраструктуры, поэтому более просто и менее дорого начинать с более перспективной системы, чем система на базе магнитных карточек, которая в скором будущее скорее всего сама себя изживет.
Но в тоже время, отечественный рынок ИК живет в только основном за счет закупок техники и программно-аппаратных средств у зарубежных поставщиков. В большинстве своих случаев, даже выступая их эксклюзивными дистрибьюторами, специалисты отечественных фирм слабо представляют себе "технологическую начинку" ИК, что тут говорить об их криптографических особенностях. Исключение могут составлять только несколько фирм, например, АО "СканТек", которое являясь официальным дистрибьютором GEMPLUS CARD INTERNATIONAL, получило доступ ко многим "ноу-хау" в области платежных карточек
Заключение
К сожалению, статистических данных о проникновениях в АБС банков России публикуется крайне мало. Поэтому обратимся к сведениям о взломах АБС за рубежом. По оценкам экспертов, ежегодный экономический ущерб от компьютерных преступлений в США составляет более 100 миллиардов долларов. Средняя величина ущерба от одной реализованной попытки несанкционированного доступа к коммерческой информации составляет около 9000$. Самое неприятное то, что приблизительно 80% всех зарегистрированных компьютерных преступлений совершено штатными сотрудниками, остальные - "внешними" злоумышленниками. То есть, как это ни парадоксально, главная опасность таится внутри банка!
Если за рубежом угроза НСД "изнутри" давно осознана, то в России сейчас ситуация несколько иная. В частности сеть Internet во многих публикациях преподносится как потенциально небезопасная, поэтому в настоящее время именно защите от атак из Internet уделяется повышенное внимание, часто в ущерб внутренней безопасности.
Описание проблемы можно продолжать бесконечно - на тему безопасности банковской информации написано впечатляющее количество трудов. Остается решить - можно ли продолжать жить по-старому, закрывая глаза на возможные проблемы в будущем, или же необходимо осуществлять дополнительные защитные мероприятия уже сейчас, не ожидая грома?
Статистические данные зарубежных банков показывают, что расходы на защиту информации составляют до 10% от стоимости АБС. На что же тратится эта довольно значительная сумма? Можно выделить следующие основные направления:
Разграничение доступа в сеть АБС извне и изнутри - традиционно применяются межсетевые экраны.
Периодический аудит системы защиты АБС - средства анализа защищенности, позволяющие заблаговременно обнаружить уязвимые места АБС.
Разграничение доступа к информационным ресурсам внутри АБС - средства защиты от НСД на рабочих станциях и серверах. Криптографическая защита важных данных, хранимых в АБС или передаваемых по сети - системы шифрования данных, сетевого трафика, средства ЭЦП.
Средства анализа защищенности, например продукты семейства SAFEsuite американской компании Internet Security Systems, Inc., позволяют обнаружить возможные пути проникновения в программное обеспечение, выявить ошибки администрирования сетевых ОС и получить рекомендации по их устранению.
Средства защиты от несанкционированного доступа (НСД) рекомендуется устанавливать на те рабочие станции, на которых обрабатывается важная информация, и операционные системы которых не содержат встроенных защитных механизмов. Обычно это составляет 25-50% АРМ системы.
Средства защиты от НСД, имеющиеся сегодня на рынке России, например системы семейства Secret Net, позволяют решать следующие основные задачи:
регламентировать доступ пользователей к ресурсам АБС;
защитить рабочие места от модификации штатного ПО, от проникновения компьютерных вирусов и вредоносных программ; регистрировать действия пользователей.
Средства криптографической защиты рекомендуются для защиты данных, передаваемых по сети в системах "Банк-Клиент", в приложениях Клиент-Сервер и для защиты наиболее критичных информационных ресурсов, хранимых на серверах и рабочих станциях. Как правило, средства криптографической защиты устанавливаются на 2-10% АРМ. Обязательным условием их применения является наличие средств защиты от НСД для защиты криптографических ключей от компрометации и криптомодулей от подмены или модификации.
Чтобы уменьшить риск вмешательства в нормальный процесс функционирования, обычно применяются следующие дополнительные средства.
1. Для защиты сервера:
средство анализа защищенности Internet Scanner - для обнаружения уязвимостей Windows NT и их своевременного устранения; средство обнаружения и реагирования на атаки, проводимые по сети, RealSecure - для защиты от сетевых атак, направленных на вывод сервера из строя.
2. Для защиты клиентской АРМ:
дополнительные средства защиты рабочих станций от НСД, осуществляющие регламентацию действий пользователей и контроль целостности используемого программного обеспечения. средства шифрования канала между сервером и клиентской частью.
Выполнение этих функций обеспечивает существующая система защиты информации Secret Net NT версии 1.0 для рабочих станций Windows NT WorkStation и разрабатываемая система Secret Net NT версии 2.0 для защиты рабочих станций Windows 95/98.
Российские разработчики банковских систем начинают осознавать важность проблемы безопасности
Список литературы
Cramer R. J. F., Pedersen T. P., Improved privacy in wallets with observers, Pre-proc. EUROCRYPT'93, Wednesday 58-69
Криптографический протокол (www.enigma.by/crypt4.html)
Криптография в банковском деле. М. И. Анохин, Н. П. Варновский, В. М. Сидельников, В. В. Ященко - М.: МИФИ. 1997. 274с.
Основы криптографии. Учебное пособие. А.П.Алферов и др.
Пластиковая карточка как платежный инструмент (основные понятия) (www.citforum.ru/marketing/articles/art_8.shtml)
Электронные бумажники на подходе (http://www.revkom.ru/info/?id=1919)
Криптография в банковском деле. М. И. Анохин, Н. П. Варновский, В. М. Сидельников, В. В. Ященко - М.: МИФИ. 1997. 74с
Криптографический протокол (www.enigma.by/crypt4.html)
Криптография в банковском деле. М. И. Анохин, Н. П. Варновский, В. М. Сидельников, В. В. Ященко - М.: МИФИ. 1997. 92
Пластиковая карточка как платежный инструмент (основные понятия) (www.citforum.ru/marketing/articles/art_8.shtml)
Криптографический протокол (www.enigma.by/crypt4.html)
2