УДК 681.3

ISBN 5-87945-001-5

Безопасность электронных банковских систем

В. Гайкович, А. Першин

Изд-во Компания "Единая Европа", Москва, 1994

Компьютерные системы - одна из наиболее уязвимых сторон современных банков и финансовых организаций, притягивающие злоумышленников. Они нуждаются в защите. Как защищать свои системы? От кого? Сколько это будет стоить? Как вести себя в критических ситуациях? На эти и многие другие вопросы отвечает настоящая книга. В ней также освещаются проблемы автоматизации банковских операций, содержится обзор рынка банковских систем и фирм-производителей специализированных банковских прикладных пакетов.
Книга рассчитана на специалистов в области безопасности информации, автоматизации банковских операций, а также администраторов безопасности крупных вычислительных систем.

СОДЕРЖАНИЕ

ВВЕДЕНИЕ 7

1. МЕТОДОЛОГИЯ ЗАЩИТЫ АСОИ 11

1.1. БЕЗОПАСНОСТЬ АСОИ. ОСНОВНЫЕ ПОНЯТИЯ 11

        1.1.1. Что такое безопасность АСОИ 11
        1.1.2. Два подхода к обеспечению безопасности АСОИ 12
        1.1.3. Этапы построения системы защиты АСОИ 13

1.2. УГРОЗЫ БЕЗОПАСНОСТИ АСОИ 19

        1.2.1. Классификация угроз безопасности АСОИ 19
        1.2.2. Характеристика наиболее распространенных угроз безопасности АСОИ 27
                        Несанкционированный доступ
                        Незаконное использование привилегий
                        Атаки "салями"
                        "Скрытые каналы"
                        "Маскарад"
                       "Сборка мусора"
                        "Взлом системы"
                        "Люки"
                        Вредоносные программы
                        "Троянский конь"
                        Вирус
                        "Червь"
                        "Жадные" программы
                        Захватчики паролей
        1.2.3. Кто нарушитель? 39

1.3. АНАЛИЗ РИСКА И СОСТАВЛЕНИЕ ПЛАНОВ 46

1.3.1. Основные этапы анализа риска 47
             Описание компонентов АСОИ
             Определение уязвимых мест АСОИ
             Оценка вероятностей появления угрозы безопасности АСОИ
             Оценка ожидаемых размеров потерь
             Обзор возможных методов защиты и оценка их стоимости
             Оценка выгоды от применения предполагаемых мер
             Гарантии анализа риска
1.3.2. Составление плана защиты: 53
            Политика безопасности
            Текущее состояние АСОИ
            Рекомендации по реализации системы защиты
            Ответственность персонала
            Порядок ввода в действие средств защиты
            Порядок модернизации средств защиты
1.3.3. План обеспечения непрерывной работы и восстановления функционирования АСОИ 57
            Резервное копирование и внешнее хранение программ и данных (Backup and off-site
            storage)
            Взаимопомощь (mutual aid)
            "Горячий резерв" ( hot site )
            "Расщепленный резерв" (split site)
            "Холодный резерв" (cold site)
            Отсутствие действий
1.3.4. Как обеспечить выполнимость планов   64

1.4. ПОЛИТИКА БЕЗОПАСНОСТИ, МОДЕЛИ И МЕХАНИЗМЫ РЕАЛИЗАЦИИ ПОЛИТИКИ БЕЗОПАСНОСТИ 66

1.4.1. Политика безопасности. Модели политики безопасности 66
            Избирательная политика безопасности
            Полномочная политика безопасности
            Управление информационным потоком
1.4.2. Достоверная вычислительная база
1.4.3. Механизмы защиты
1.4.4. Принципы реализации политики безопасности

1.5. ОЦЕНКА БЕЗОПАСНОСТИ СИСТЕМ

1.5.1. Основные критерии оценки безопасности систем
            Система документов США
            Система документов России
1.5.2. Стандарты в области криптозащиты информации

1.6. УПРАВЛЕНИЕ ЗАЩИТОЙ АСОИ

1.6.1. Принципы организации защиты и контроля функционирования системы
1.6.2. Административная группа управления защитой
1.6.3. Опасные события и их предупреждение
        Пользователи
        Мониторинг функционирования АСОИ
        Системный журнал
1.6.4. Устранение нарушений
        Неудачные попытки проникновения
        Удачные попытки проникновения.
1.6.5. Дополнительные меры контроля.

1.7. БЕЗОПАСНОСТЬ КОМПЬЮТЕРНЫХ СЕТЕЙ.

          1.7.1. Модель взаимодействия открытых систем ISO/OSI:
                физический уровень
                Канальный уровень
                Сетевой уровень
                Транспортный уровень
                Протоколы верхних уровней
          1.7.2. Особенности работы в сетях. Классификация сетей
          1.7.3. Особенности защиты информации в сетях ЭВМ 358
          1.7.4. Методы и механизмы защиты сетей 137
          1.7.5. Особенности защиты различных классов сетей 142

1.8. ЗАКЛЮЧЕНИЕ 146

2. ЭЛЕКТРОННЫЕ ПЛАТЕЖИ: ОРГАНИЗАЦИЯ И ЗАЩИТА 148

2.1.ВЛИЯНИЕ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ НА
      РАЗВИТИЕ БАНКОВСКОЙ ИНДУСТРИИ В 90-х ГОДАХ 148

        2.1.1. Проблемы банковской индустрии 148
        2.1.2. Внешние и внутренние факторы 149
                Внешние факторы
                Внутренние факторы
        2.1.3. Банковская индустрия: цепь приоритетов: 154
                Привлеченные вложения
                Разработка продукции
                Управление активами и пассивами
                Обработка транзакций
                Распределение товаров и услуг
        2.1.4. Стратегия развития банковской индустрии: 158
                Принципиальные результаты
                Стратегические направления деятельности
                Направления развития бизнеса
        2.1.5. Роль информационных технологий в деятельности банка: 163
                Стратегии информационных технологий и перестройка деятельности
                Разработка архитектуры компьютерной системы банка
                Системы управления информацией
                Системы управления риском
                Системы доставки информации и платежей
        2.1.6. Выводы 165

2.2. АВТОМАТИЗАЦИЯ БАНКОВСКИХ ОПЕРАЦИЙ И ИХ ЗАЩИТА 166

        2.2.1. Необходимость защиты банковских систем: тенденции 166 и факты.
        2.2.2. Угрозы безопасности автоматизированных 169 банковских систем
                Особенности преступлений в финансовой сфере
        2.2.3. Особенности защиты информации в электронных  банковских системах 170
        2.2.4. Внешний ресурс. 178

2.3. ЭЛЕКТРОННЫЕ ПЛАТЕЖИ 180

        2.3.1. Обмен электронными данными и электронные платежи 180
        2.3.2. Торговые расчеты 185
        2.3.3. Межбанковские расчеты 186
        2.3.4. Основные способы межбанковских платежей 190
        2.3.5. Общие проблемы безопасности ОЭД 192
        2.3.6. Защита межбанковских платежей: 197
                Система SWIFT
                Архитектура системы SWIFT
                Обеспечение безопасности системы SWIFT
                Клиринговая система СНАРS
                Архитектура системы СНАРS
                Обеспечение безопасности системы СНАРS

2.4. ПЕРСОНАЛЬНЫЕ ПЛАТЕЖИ И ИХ ЗАЩИТА 207

    2.4.1. Персональные платежи: формы организации 207
                Домашнее (телефонное) обслуживание
                Автоматические кассовые аппараты
                Расчет в точке продажи
    2.4.2. Персональный идентификатор 210
                Алгоритм идентификации клиента.
                Генерация РIN
                Альтернативы РIN
    2.4.3. Обзор технологий электронных карточек 213
                Магнитные карточки
                Интеллектуальные карточки
                Кредитные карточки
                Состояние американского рынка кредитных карточек
                Дебетовые карточки
                Состояние рынка пластиковых карточек в России
                Защита пластиковых карточек от подделки
                Нарушения, связанные с использованием пластиковых карточек.
    2.4.4. Автоматические кассовые аппараты 225
                Режимы работы АКА
                Разделяемые сети АКА
    2.4.5. Особенности расчета в точке продажи 235
    2.4.6. Электронные чеки 238

2.5. ЗАКЛЮЧЕНИЕ 239

3. ПРОГРАММНЫЕ И АППАРАТНЫЕ СРЕДСТВА ДЛЯ АВТОМАТИЗАЦИИ
    БАНКОВСКИХ СИСТЕМ 243

3.1. ОБЗОР РЫНКА АППАРАТНЫХ СРЕДСТВ   243

3.2. ХАРАКТЕРИСТИКА ОСНОВНЫХ ФИРМ-ПРОИЗВОДИТЕЛЕЙ БАНКОВСКИХ СИСТЕМ 251 банковских систем. 251
            Tadem Computers
            Dogital Equipment Corporation
            Internatiuonal Business Machine
            Group Bull
            Unisys Corp
            NCR

3.3. НАИБОЛЕЕ ПОПУЛЯРНЫЕ МОДЕЛИ КОМПЬЮТЕРОВ, ИСПОЛЬЗУЕМЫЕ
      В БАНКОВСКОЙ СФЕРЕ 274
    3.3.1. Модели Tandem NonStop Cyclone, NonStop CLX 274
            Аппаратное обеспечение
            Операционная система
            Средства связи
    3.3.2. DЕС VАХ/VMS  283
            Общие сведения
            Операционная система
            Средства связи
    3.3.3. IBM АS/400 288
            Общая характеристика
            Аппаратное обеспечение
            Операционная система
    3.3.4. Unisys Ser. А. 293
            Аппаратное обеспечение
            Программное обеспечение
            Средства связи

3.4. ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ ДЛЯ БАНКОВСКИХ СИСТЕМ.  302 

    3.4.1. Программное обеспечение для больших и средних ЭВМ 302
    3.4.2. Программные средства для микрокомпьютеров 304
    3.4.3. Производители программных средств автоматизации  банковской деятельности 306
                Фирма АСI
                Фирма IВМ
                Фирма DЕС
3.4.4. Состояние отечественного рынка систем  автоматизации банковской деятельности   317

3.5. ЗАКЛЮЧЕНИЕ И ВЫВОДЫ 323
ПОСЛЕСЛОВИЕ 326

Приложение 1. Перечень нормативных и методических документов, входящих в "Радужную серию"  331

Приложение 2. Глоссарий терминов теории безопасных систем   334

Приложение 3. Глоссарий терминов электронных банковских операций  347

Приложение 4. Перечень нормативных и методических документов,
                           разработанных Государственной технической комиссией при
                           Президенте Российской Федераций (по безопасности информации
                           в компьютерах).

СПИСОК ЛИТЕРАТУРЫ 351

ТЕКСТ:
находится в библиотеке Секции открытых систем Совета РАН "Научные телекоммуникации и
информационная инфраструктура"