Информационная безопасность коммерческих систем

 

Министерство образования  и науки Российской Федерации

Государственное образовательное  учреждение высшего профессионального  образования 

 

ВОРОНЕЖСКИЙ ГОСУДАРСТВЕННЫЙ  УНИВЕРСИТЕТ

 

Факультет прикладной математики, информатики и механики

 

Кафедра технической кибернетики и автоматического регулирования

 

 

 

Курсовая работа

по специальности 010200 Прикладная математика и информатика

 

 

 

 

 

Зав. кафедрой ______________

                                (подпись)

Студент ___________________                              Фельдшерова Ю. Б.

                                 (подпись)

Руководитель ______________                               Воронков Б. Н.

                                 (подпись)

 

 

 

Воронеж 2010

Содержание

 

СПИСОК ИСПОЛЬЗУЕМЫХ СОКРАЩЕНИЙ------------------------------------3

ВВЕДЕНИЕ---------------------------------------------------------------------------------4

ГЛАВА 1. ОСОБЕННОСТИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ БАНКОВСКИХ И ПЛАТЕЖНЫХ  СИТЕМ------------------------------------------6

ГЛАВА 2. БЕЗОПАСНОСТЬ ЭЛЕКТРОННЫХ ПЛАТЕЖЕЙ-------------------11

2.1. Электронные платежи  в банке-----------------------------------------------11

2.2. Вопросы безопасности электронных  платежей--------------------------14

ГЛАВА 3. МЕТОДЫ ЗАЩИТЫ В  ПЛАЕЖНЫХ И БАНКОВСКИХ СИСТЕМАХ. КРИПТОГРАФИЧЕСКИЕ МЕТОДЫ ЗАЩИТЫ-----------------17

3.1. Оценка надежности  криптоалгоритмов------------------------------------17

3.2. Классификация методов шифрования  информации---------------------18

3.3. Абсолютно стойкий  шифр. Гаммирование--------------------------------19

3.4. Поточные шифры---------------------------------------------------------------21

ГЛАВА 4. ИДЕНТИФИКАЯ И  ПРОВЕРКА ПОДЛИННОСТИ-----------------23

4.1. Основные понятия  и концепции---------------------------------------------23

4.2. Особенности применения пароля для аутентификации   пользователя--------------------------------------------------------------------------24

4.3. Взаимная проверка  подлинности пользователей------------------------26

4.4. Протоколы идентификации  с нулевой передачей знаний-------------27

4.5. Упрощенная схема  идентификации с нулевой передачей  знаний---28

4.6. Схема идентификации Гиллоу-Куискуотера-----------------------------30

ГЛАВА 5. ЭЛЕКТРОННАЯ ЦИФРОВАЯ ПОДПИСЬ----------------------------33

5.1. Проблема аутентификации данных и электронная цифровая

подпись--------------------------------------------------------------------------------33

5.2. Алгоритмы электронной цифровой  подписи-----------------------------35

5.3. Алгоритм цифровой подписи  RSA-----------------------------------------36

5.4. Отечественный стандарт цифровой  подписи----------------------------39

ЗАКЛЮЧЕНИЕ---------------------------------------------------------------------------41

БИБЛИОГРАФИЧЕСКИЙ СПИСОК------------------------------------------------44

 

 

 

 

 

 

 

 

СПИСОК ИСПОЛЬЗУЕМЫХ СОКРАЩЕНИЙ

 

АСОИБ – автоматизированные системы обработки информации банков;

ОЭД – обмен электронными данными;

ПСП – псевдослучайная  последовательность;

ЭЦП – электронная  цифровая подпись;

КС – компьютерная система

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

ВВЕДЕНИЕ

 

Электронные расчеты  как вид безналичных расчетов появились во второй половине XX века. Они приобрели принципиально новое качество, когда на обоих концах линии связи появились компьютеры. Качественный скачок выражался в том, что скорость осуществления платежей значительно возросла и появилась возможность их автоматической обработки. В дальнейшем появились электронные эквиваленты различных классических платежных средств.

Коммерческая деятельность в электронных сетях снимает  многие физические ограничения. Компании, подключая свои компьютерные системы к Интернету, способны предоставлять своим клиентам услуги 24 часа в сутки без праздников и выходных. Заказы на продукцию могут приниматься в любое время из любого места. В электронной коммерции все документы создаются в цифровом виде и с помощью различных приложений обрабатываются и передаются в Сеть.

К сожалению, компьютерная сеть в качестве посредника между  продавцами, покупателями и их банками  доступна как для правомерных  акций, так и для злоумышленных несанкционированных действий. Сделать «посредника» как можно более надежным – это одна из важнейших и в то же время самая трудная задача разработки. От качества решения задачи обеспечения безопасности совершаемых по Сети финансовых транзакций во многом зависят темпы и перспективы развития электронной коммерции.

Вступление России в  Интернет-бизнес несколько запоздало  по сравнению с развитыми зарубежными  странами, однако, во-первых, это отставание не столь велико, а во-вторых, у  него есть положительные моменты. Это отставание по востребованности Интернет-технологий, используемых в электронной коммерции, позволяет не допускать повторения ошибок зарубежных компаний, занимающихся разработкой ПО для электронной коммерции. Имеются в виду в первую очередь ошибки, связанные с информационной безопасностью, следствием которых становятся возможным различного рода мошенничества.

Таким образом, при создании и модернизации автоматизированных систем обработки информации в банковских и платежных системах необходимо уделять пристальное внимание обеспечению ее безопасности. Именно этой проблеме посвящена данная курсовая работа, т. к. эта проблема является сейчас наиболее актуальной и наименее исследованной. Если в обеспечении физической и классической информационной безопасности давно уже выработаны устоявшиеся подходы, то в связи с частыми радикальными изменениями в компьютерных технологиях методы безопасности автоматизированных банковских и платежных систем требуют постоянного обновления.

В работе рассматриваются особенности информационной безопасности коммерческих систем, показывается, что именно для банков (в отличие от других предприятий) информационная безопасность имеет решающее значение. Рассмотрены методы защиты платежных систем. Особое внимание уделено рассмотрению алгоритмов и методов криптографических систем.

 

 

ГЛАВА 1. ОСОБЕННОСТИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ БАНКОВСКИХ И ПЛАТЕЖНЫХ СИСТЕМ

 

Стратегия информационной безопасности банковских и платежных  систем весьма сильно отличается от аналогичных стратегий других компаний и организаций. Это обусловлено прежде всего специфическим характером угроз, а также публичной деятельностью банков, которые вынуждены делать доступ к счетам достаточно легким с целью удобства для клиентов.

Обычная компания строит свою информационную безопасность, исходя лишь из узкого круга потенциальных угроз — главным образом защита информации от конкурентов. Такая информация интересна лишь узкому кругу заинтересованных лиц и организаций и редко бывает ликвидна, т.е. обращаема в денежную форму.

Информационная безопасность платежных систем должна учитывать следующие специфические факторы:

1. Хранимая и обрабатываемая  в банковских системах информация  представляет собой реальные  деньги. На основании информации  компьютера могут производится выплаты, открываться кредиты, переводиться значительные суммы. Вполне понятно, что незаконное манипулирование с такой информацией может привести к серьезным убыткам. Эта особенность резко расширяет круг преступников, покушающихся именно на банки (в отличие от, например, промышленных компаний, внутренняя информация которых мало кому интересна).

2. Информация в банковских и платежных системах затрагивает интересы большого количества людей и организаций — клиентов банка. Как правило, она конфиденциальна, и банк несет ответственность за обеспечение требуемой степени секретности перед своими клиентами. Естественно, клиенты вправе ожидать, что банк должен заботиться об их интересах, в противном случае он рискует своей репутацией со всеми вытекающими отсюда последствиями.

3. Конкурентоспособность  банка зависит от того, насколько  клиенту удобно работать с  банком, а также насколько широк  спектр предоставляемых услуг,  включая услуги, связанные с удаленным  доступом. Поэтому клиент должен  иметь возможность быстро и без утомительных процедур распоряжаться своими деньгами. Но такая легкость доступа к деньгам повышает вероятность преступного проникновения в банковские системы.

4. Информационная безопасность  банка (в отличие от большинства  компаний) должна обеспечивать высокую надежность работы компьютерных систем даже в случае нештатных ситуаций, поскольку банк несет ответственность не только за свои средства, но и за деньги клиентов.

5. Банк хранит важную  информацию о своих клиентах, что расширяет круг потенциальных злоумышленников, заинтересованных в краже или порче такой информации.

Преступления в банковской сфере также имеют свои особенности [2]:

• Многие преступления, совершенные в финансовой сфере остаются неизвестными для широкой публики в связи с тем, что руководители банков не хотят тревожить своих акционеров, боятся подвергнуть свою организацию новым атакам, опасаются подпортить свою репутацию надежного хранилища средств и, как следствие, потерять клиентов.
• Как правило, злоумышленники обычно используют свои собственные счета, на который переводятся похищенные суммы. Большинство преступников не знают, как «отмыть» украденные деньги. Умение совершить преступление и умение получить деньги — это не одно и то же.
• Большинство компьютерных преступлений — мелкие. Ущерб от них лежит в интервале от $10.000 до $50.000.
• Успешные компьютерные преступления, как правило, требуют большого количества банковских операций (до нескольких сотен). Однако крупные суммы могут пересылаться и всего за несколько транзакций.
• Большинство злоумышленников — клерки. Хотя высший персонал банка также может совершать преступления и нанести банку гораздо больший ущерб — такого рода случаи единичны.
• Многие злоумышленники объясняют свои действия тем, что они всего лишь берут в долг у банка с последующим возвратом. Впрочем «возврата», как правило, не происходит.

Специфика защиты автоматизированных систем обработки информации банков (АСОИБ) обусловлена особенностями  решаемых ими задач:

• Как правило АСОИБ обрабатывают большой поток постоянно поступающих запросов в реальном масштабе времени, каждый из которых не требует для обработки многочисленных ресурсов, но все вместе они могут быть обработаны только высокопроизводительной системой;
• В АСОИБ хранится и обрабатывается конфиденциальная информация, не предназначенная для широкой публики. Ее подделка или утечка могут привести к серьезным (для банка или его клиентов) последствиям. Поэтому АСОИБ обречены оставаться относительно закрытыми, работать под управлением специфического программного обеспечения и уделять большое внимание обеспечению своей безопасности;
• Другой особенностью АСОИБ является повышенные требования к надежности аппаратного и программного обеспечения. В силу этого многие современные АСОИБ тяготеют к так называемой отказоустойчивой архитектуре компьютеров, позволяющей осуществлять непрерывную обработку информации даже в условиях различных сбоев и отказов.

Можно выделить два типа задач, решаемых АСОИБ:

1. Аналитические. К  этому типу относятся задачи  планирования, анализа счетов и  т.д. Они не являются оперативными и могут требовать для решения длительного времени, а их результаты могут оказать влияние на политику банка в отношении конкретного клиента или проекта. Поэтому подсистема, с помощью которой решаются аналитические задачи, должна быть надежно изолирована от основной системы обработки информации. Для решения такого рода задач обычно не требуется мощных вычислительных ресурсов, обычно достаточно 10-20% мощности всей системы. Однако ввиду возможной ценности результатов их защита должна быть постоянной.

2. Повседневные. К этому  типу относятся задачи, решаемые  в повседневной деятельности, в  первую очередь выполнение платежей  и корректировка счетов. Именно  они и определяют размер и  мощность основной системы банка;  для их решения обычно требуется гораздо больше ресурсов, чем для аналитических задач. В то же время ценность информации, обрабатываемой при решении таких задач, имеет временный характер. Постепенно ценность информации, например, о выполнении какого-либо платежа, становиться не актуальной. Естественно, это зависит от многих факторов, как-то: суммы и времени платежа, номера счета, дополнительных характеристик и т.д. Поэтому, обычно бывает достаточным обеспечить защиту платежа именно в момент его осуществления. При этом защита самого процесса обработки и конечных результатов должна быть постоянной.

Можно сделать следующие  выводы об особенностях защиты информации в финансовых системах [2]:

• Главное в защите финансовых организаций — оперативное и по возможности полное восстановление информации после аварий и сбоев. В основном, защита информации от разрушения достигается созданием резервных копий и их внешним хранением, использованием средств бесперебойного электропитания и организацией «горячего» резерва аппаратных средств.
• Следующая по важности для финансовых организаций проблема — это управление доступом пользователей к хранимой и обрабатываемой информации. Здесь широко используются различные программные системы управления доступом, которые иногда могут заменять и антивирусные программные средства. В основном используются приобретенные программные средства управления доступом. Причем в финансовых организациях особое внимание уделяют такому управлению пользователей именно в сети.
• К отличиям организации защиты сетей ЭВМ в финансовых организациях можно отнести широкое использование стандартного (т.е. адаптированного, но не специально разработанного для конкретной организации) коммерческого программного обеспечения для управления доступом к сети, защита точек подключения к системе через коммутируемые линии связи. Скорее всего это связано с большей распространенностью средств телекоммуникаций в финансовых сферах и желание защититься от вмешательства извне. Так же используются другие способы защиты, такие как применение антивирусных средств, оконечное и канальное шифрование передаваемых данных, аутентификация сообщений.
• Большое внимание в финансовых организациях уделяется физической защите помещений, в которых расположены компьютеры. Это означает, что защита ЭВМ от доступа посторонних лиц решается не только с помощью программных средств, но и организационно-технических (охрана, кодовые замки и т.д.).