|
Документ взят из кэша поисковой машины. Адрес
оригинального документа
: http://www.cplire.ru/rus/casr/os/3_12/1/4.htm
Дата изменения: Mon Mar 21 07:08:38 2016 Дата индексирования: Sun Apr 10 14:02:57 2016 Кодировка: Windows-1251 |
УДК 681.3
ISBN 5-87945-001-5
Безопасность электронных банковских систем
В. Гайкович, А. Першин
Изд-во Компания "Единая Европа", Москва, 1994
Компьютерные
системы - одна из наиболее уязвимых сторон
современных банков и финансовых
организаций, притягивающие
злоумышленников. Они нуждаются в защите.
Как защищать свои системы? От кого? Сколько
это будет стоить? Как вести себя в
критических ситуациях? На эти и многие
другие вопросы отвечает настоящая книга. В
ней также освещаются проблемы
автоматизации банковских операций,
содержится обзор рынка банковских систем и
фирм-производителей специализированных
банковских прикладных пакетов.
Книга рассчитана
на специалистов в области безопасности
информации, автоматизации банковских
операций, а также администраторов
безопасности крупных вычислительных
систем.
СОДЕРЖАНИЕ
ВВЕДЕНИЕ 7
1. МЕТОДОЛОГИЯ ЗАЩИТЫ АСОИ 11
1.1. БЕЗОПАСНОСТЬ АСОИ.
ОСНОВНЫЕ ПОНЯТИЯ 11
1.1.1. Что такое
безопасность АСОИ 11
1.1.2. Два подхода к
обеспечению безопасности АСОИ 12
1.1.3. Этапы
построения системы защиты АСОИ 13
1.2. УГРОЗЫ
БЕЗОПАСНОСТИ АСОИ 19
1.2.1.
Классификация угроз безопасности АСОИ 19
1.2.2. Характеристика
наиболее распространенных угроз
безопасности АСОИ 27
Несанкционированный доступ
Незаконное использование привилегий
Атаки "салями"
"Скрытые каналы"
"Маскарад"
"Сборка мусора"
"Взлом системы"
"Люки"
Вредоносные программы
"Троянский конь"
Вирус
"Червь"
"Жадные" программы
Захватчики паролей
1.2.3.
Кто нарушитель? 39
1.3. АНАЛИЗ РИСКА И
СОСТАВЛЕНИЕ ПЛАНОВ 46
1.3.1. Основные этапы анализа риска 47
Описание компонентов АСОИ
Определение уязвимых мест АСОИ
Оценка вероятностей появления угрозы безопасности АСОИ
Оценка ожидаемых размеров потерь
Обзор возможных методов защиты и оценка их стоимости
Оценка выгоды от применения предполагаемых мер
Гарантии анализа риска
1.3.2. Составление плана защиты: 53
Политика безопасности
Текущее состояние АСОИ
Рекомендации по реализации системы защиты
Ответственность персонала
Порядок ввода в действие средств защиты
Порядок модернизации средств защиты
1.3.3. План обеспечения непрерывной работы и восстановления функционирования АСОИ 57
Резервное копирование и внешнее хранение программ и данных (Backup and off-site
storage)
Взаимопомощь (mutual aid)
"Горячий резерв" ( hot site )
"Расщепленный резерв" (split site)
"Холодный резерв" (cold site)
Отсутствие действий
1.3.4. Как обеспечить выполнимость планов 64
1.4. ПОЛИТИКА БЕЗОПАСНОСТИ, МОДЕЛИ И МЕХАНИЗМЫ РЕАЛИЗАЦИИ ПОЛИТИКИ БЕЗОПАСНОСТИ 66
1.4.1. Политика безопасности. Модели политики безопасности 66
Избирательная политика безопасности
Полномочная политика безопасности
Управление информационным потоком
1.4.2. Достоверная вычислительная база
1.4.3. Механизмы защиты
1.4.4. Принципы реализации политики безопасности
1.5. ОЦЕНКА БЕЗОПАСНОСТИ СИСТЕМ
1.5.1. Основные критерии оценки безопасности систем
Система документов США
Система документов России
1.5.2. Стандарты в области криптозащиты информации
1.6. УПРАВЛЕНИЕ ЗАЩИТОЙ АСОИ
1.6.1. Принципы организации защиты и контроля функционирования системы
1.6.2. Административная группа управления защитой
1.6.3. Опасные события и их предупреждение
Пользователи
Мониторинг функционирования АСОИ
Системный журнал
1.6.4. Устранение нарушений
Неудачные попытки проникновения
Удачные попытки проникновения.
1.6.5. Дополнительные меры контроля.
1.7. БЕЗОПАСНОСТЬ КОМПЬЮТЕРНЫХ СЕТЕЙ.
1.7.1. Модель взаимодействия открытых систем
ISO/OSI:
физический уровень
Канальный уровень
Сетевой уровень
Транспортный уровень
Протоколы верхних уровней
1.7.2.
Особенности работы в сетях. Классификация
сетей
1.7.3.
Особенности защиты информации в сетях ЭВМ 358
1.7.4.
Методы и механизмы защиты сетей 137
1.7.5.
Особенности защиты различных классов сетей
142
1.8. ЗАКЛЮЧЕНИЕ 146
2. ЭЛЕКТРОННЫЕ ПЛАТЕЖИ: ОРГАНИЗАЦИЯ И ЗАЩИТА 148
2.1.ВЛИЯНИЕ
ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ НА
РАЗВИТИЕ БАНКОВСКОЙ
ИНДУСТРИИ В 90-х ГОДАХ 148
2.1.1.
Проблемы банковской индустрии 148
2.1.2.
Внешние и внутренние факторы 149
Внешние факторы
Внутренние факторы
2.1.3. Банковская индустрия: цепь приоритетов:
154
Привлеченные вложения
Разработка продукции
Управление активами и пассивами
Обработка транзакций
Распределение товаров и услуг
2.1.4.
Стратегия развития банковской индустрии: 158
Принципиальные результаты
Стратегические направления деятельности
Направления развития бизнеса
2.1.5.
Роль информационных технологий в
деятельности банка: 163
Стратегии информационных технологий и
перестройка деятельности
Разработка
архитектуры компьютерной системы банка
Системы управления информацией
Системы управления риском
Системы доставки информации и платежей
2.1.6.
Выводы 165
2.2. АВТОМАТИЗАЦИЯ БАНКОВСКИХ ОПЕРАЦИЙ И ИХ ЗАЩИТА 166
2.2.1. Необходимость защиты банковских систем:
тенденции 166 и факты.
2.2.2.
Угрозы безопасности автоматизированных 169
банковских систем
Особенности преступлений в финансовой
сфере
2.2.3.
Особенности защиты информации в
электронных банковских системах 170
2.2.4.
Внешний ресурс. 178
2.3. ЭЛЕКТРОННЫЕ ПЛАТЕЖИ 180
2.3.1.
Обмен электронными данными и электронные
платежи 180
2.3.2. Торговые
расчеты 185
2.3.3. Межбанковские
расчеты 186
2.3.4. Основные
способы межбанковских платежей 190
2.3.5. Общие проблемы
безопасности ОЭД 192
2.3.6. Защита
межбанковских платежей: 197
Система SWIFT
Архитектура системы
SWIFT
Обеспечение безопасности системы SWIFT
Клиринговая система
СНАРS
Архитектура системы СНАРS
Обеспечение безопасности системы СНАРS
2.4. ПЕРСОНАЛЬНЫЕ ПЛАТЕЖИ И ИХ ЗАЩИТА 207
2.4.1.
Персональные платежи: формы организации 207
Домашнее (телефонное) обслуживание
Автоматические кассовые аппараты
Расчет в точке продажи
2.4.2.
Персональный идентификатор 210
Алгоритм идентификации клиента.
Генерация РIN
Альтернативы РIN
2.4.3.
Обзор технологий электронных карточек 213
Магнитные карточки
Интеллектуальные карточки
Кредитные карточки
Состояние американского рынка кредитных
карточек
Дебетовые карточки
Состояние рынка пластиковых карточек в
России
Защита пластиковых карточек от подделки
Нарушения, связанные с использованием
пластиковых карточек.
2.4.4. Автоматические кассовые
аппараты 225
Режимы работы АКА
Разделяемые сети АКА
2.4.5.
Особенности расчета в точке продажи 235
2.4.6.
Электронные чеки 238
2.5. ЗАКЛЮЧЕНИЕ 239
3.
ПРОГРАММНЫЕ И АППАРАТНЫЕ СРЕДСТВА ДЛЯ
АВТОМАТИЗАЦИИ
БАНКОВСКИХ СИСТЕМ 243
3.1. ОБЗОР РЫНКА АППАРАТНЫХ СРЕДСТВ 243
3.2. ХАРАКТЕРИСТИКА
ОСНОВНЫХ ФИРМ-ПРОИЗВОДИТЕЛЕЙ БАНКОВСКИХ
СИСТЕМ 251 банковских систем. 251
Tadem
Computers
Dogital
Equipment Corporation
Internatiuonal Business Machine
Group Bull
Unisys Corp
NCR
3.3. НАИБОЛЕЕ
ПОПУЛЯРНЫЕ МОДЕЛИ КОМПЬЮТЕРОВ,
ИСПОЛЬЗУЕМЫЕ
В БАНКОВСКОЙ СФЕРЕ 274
3.3.1. Модели Tandem NonStop Cyclone, NonStop CLX 274
Аппаратное обеспечение
Операционная система
Средства связи
3.3.2. DЕС VАХ/VMS
283
Общие
сведения
Операционная система
Средства связи
3.3.3. IBM АS/400
288
Общая
характеристика
Аппаратное обеспечение
Операционная система
3.3.4. Unisys
Ser. А. 293
Аппаратное обеспечение
Программное обеспечение
Средства связи
3.4. ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ ДЛЯ БАНКОВСКИХ СИСТЕМ. 302
3.4.1. Программное обеспечение для больших и
средних ЭВМ 302
3.4.2. Программные средства для
микрокомпьютеров 304
3.4.3. Производители программных
средств автоматизации банковской
деятельности 306
Фирма АСI
Фирма IВМ
Фирма DЕС
3.4.4. Состояние отечественного рынка
систем автоматизации банковской
деятельности 317
3.5.
ЗАКЛЮЧЕНИЕ И ВЫВОДЫ 323
ПОСЛЕСЛОВИЕ 326
Приложение 1. Перечень нормативных и методических документов, входящих в "Радужную серию" 331
Приложение 2. Глоссарий терминов теории безопасных систем 334
Приложение 3. Глоссарий терминов электронных банковских операций 347
Приложение 4.
Перечень нормативных и методических документов,
разработанных Государственной технической
комиссией при
Президенте Российской Федераций (по
безопасности информации
в компьютерах).
СПИСОК ЛИТЕРАТУРЫ 351
ТЕКСТ:
находится в библиотеке Секции открытых
систем Совета РАН "Научные
телекоммуникации и
информационная инфраструктура"