Информационная безопасность коммерческих систем
Министерство образования и науки Российской Федерации
Государственное образовательное учреждение высшего профессионального образования
ВОРОНЕЖСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ
Факультет прикладной математики, информатики и механики
Кафедра технической кибернетики и автоматического регулирования
Курсовая работа
по специальности 010200 Прикладная математика и информатика
Зав. кафедрой ______________
Студент ___________________
Руководитель ______________
Воронеж 2010
Содержание
СПИСОК ИСПОЛЬЗУЕМЫХ
СОКРАЩЕНИЙ--------------------
ВВЕДЕНИЕ----------------------
ГЛАВА 1. ОСОБЕННОСТИ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ БАНКОВСКИХ И ПЛАТЕЖНЫХ
СИТЕМ-------------------------
ГЛАВА 2. БЕЗОПАСНОСТЬ ЭЛЕКТРОННЫХ ПЛАТЕЖЕЙ-------------------11
2.1. Электронные платежи
в банке-----------------------
2.2. Вопросы безопасности
ГЛАВА 3. МЕТОДЫ ЗАЩИТЫ В ПЛАЕЖНЫХ И БАНКОВСКИХ СИСТЕМАХ. КРИПТОГРАФИЧЕСКИЕ МЕТОДЫ ЗАЩИТЫ-----------------17
3.1. Оценка надежности
криптоалгоритмов--------------
3.2. Классификация методов
3.3. Абсолютно стойкий
шифр. Гаммирование------------------
3.4. Поточные шифры----------------
ГЛАВА 4. ИДЕНТИФИКАЯ И ПРОВЕРКА ПОДЛИННОСТИ-----------------23
4.1. Основные понятия
и концепции-------------------
4.2. Особенности применения пароля для аутентификации
пользователя------------------
4.3. Взаимная проверка
подлинности пользователей-----
4.4. Протоколы идентификации с нулевой передачей знаний-------------27
4.5. Упрощенная схема
идентификации с нулевой
4.6. Схема идентификации Гиллоу-
ГЛАВА 5. ЭЛЕКТРОННАЯ ЦИФРОВАЯ
ПОДПИСЬ-----------------------
5.1. Проблема аутентификации данных и электронная цифровая
подпись-----------------------
5.2. Алгоритмы электронной
5.3. Алгоритм цифровой подписи
RSA---------------------------
5.4. Отечественный стандарт
ЗАКЛЮЧЕНИЕ--------------------
БИБЛИОГРАФИЧЕСКИЙ СПИСОК------------------------
СПИСОК ИСПОЛЬЗУЕМЫХ СОКРАЩЕНИЙ
АСОИБ – автоматизированные системы обработки информации банков;
ОЭД – обмен электронными данными;
ПСП – псевдослучайная последовательность;
ЭЦП – электронная цифровая подпись;
КС – компьютерная система
ВВЕДЕНИЕ
Электронные расчеты как вид безналичных расчетов появились во второй половине XX века. Они приобрели принципиально новое качество, когда на обоих концах линии связи появились компьютеры. Качественный скачок выражался в том, что скорость осуществления платежей значительно возросла и появилась возможность их автоматической обработки. В дальнейшем появились электронные эквиваленты различных классических платежных средств.
Коммерческая деятельность в электронных сетях снимает многие физические ограничения. Компании, подключая свои компьютерные системы к Интернету, способны предоставлять своим клиентам услуги 24 часа в сутки без праздников и выходных. Заказы на продукцию могут приниматься в любое время из любого места. В электронной коммерции все документы создаются в цифровом виде и с помощью различных приложений обрабатываются и передаются в Сеть.
К сожалению, компьютерная сеть в качестве посредника между продавцами, покупателями и их банками доступна как для правомерных акций, так и для злоумышленных несанкционированных действий. Сделать «посредника» как можно более надежным – это одна из важнейших и в то же время самая трудная задача разработки. От качества решения задачи обеспечения безопасности совершаемых по Сети финансовых транзакций во многом зависят темпы и перспективы развития электронной коммерции.
Вступление России в
Интернет-бизнес несколько запоздало
по сравнению с развитыми
Таким образом, при создании и модернизации автоматизированных систем обработки информации в банковских и платежных системах необходимо уделять пристальное внимание обеспечению ее безопасности. Именно этой проблеме посвящена данная курсовая работа, т. к. эта проблема является сейчас наиболее актуальной и наименее исследованной. Если в обеспечении физической и классической информационной безопасности давно уже выработаны устоявшиеся подходы, то в связи с частыми радикальными изменениями в компьютерных технологиях методы безопасности автоматизированных банковских и платежных систем требуют постоянного обновления.
В работе рассматриваются особенности информационной безопасности коммерческих систем, показывается, что именно для банков (в отличие от других предприятий) информационная безопасность имеет решающее значение. Рассмотрены методы защиты платежных систем. Особое внимание уделено рассмотрению алгоритмов и методов криптографических систем.
ГЛАВА 1. ОСОБЕННОСТИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ БАНКОВСКИХ И ПЛАТЕЖНЫХ СИСТЕМ
Стратегия информационной безопасности банковских и платежных систем весьма сильно отличается от аналогичных стратегий других компаний и организаций. Это обусловлено прежде всего специфическим характером угроз, а также публичной деятельностью банков, которые вынуждены делать доступ к счетам достаточно легким с целью удобства для клиентов.
Обычная компания строит свою информационную безопасность, исходя лишь из узкого круга потенциальных угроз — главным образом защита информации от конкурентов. Такая информация интересна лишь узкому кругу заинтересованных лиц и организаций и редко бывает ликвидна, т.е. обращаема в денежную форму.
Информационная безопасность платежных систем должна учитывать следующие специфические факторы:
1. Хранимая и обрабатываемая
в банковских системах
2. Информация в банковских и платежных системах затрагивает интересы большого количества людей и организаций — клиентов банка. Как правило, она конфиденциальна, и банк несет ответственность за обеспечение требуемой степени секретности перед своими клиентами. Естественно, клиенты вправе ожидать, что банк должен заботиться об их интересах, в противном случае он рискует своей репутацией со всеми вытекающими отсюда последствиями.
3. Конкурентоспособность банка зависит от того, насколько клиенту удобно работать с банком, а также насколько широк спектр предоставляемых услуг, включая услуги, связанные с удаленным доступом. Поэтому клиент должен иметь возможность быстро и без утомительных процедур распоряжаться своими деньгами. Но такая легкость доступа к деньгам повышает вероятность преступного проникновения в банковские системы.
4. Информационная безопасность
банка (в отличие от
5. Банк хранит важную
информацию о своих клиентах,
что расширяет круг потенциальн
Преступления в банковской сфере также имеют свои особенности [2]:
- Многие преступления, совершенные в финансовой сфере остаются неизвестными для широкой публики в связи с тем, что руководители банков не хотят тревожить своих акционеров, боятся подвергнуть свою организацию новым атакам, опасаются подпортить свою репутацию надежного хранилища средств и, как следствие, потерять клиентов.
- Как правило, злоумышленники обычно используют свои собственные счета, на который переводятся похищенные суммы. Большинство преступников не знают, как «отмыть» украденные деньги. Умение совершить преступление и умение получить деньги — это не одно и то же.
- Большинство компьютерных преступлений — мелкие. Ущерб от них лежит в интервале от $10.000 до $50.000.
- Успешные компьютерные преступления, как правило, требуют большого количества банковских операций (до нескольких сотен). Однако крупные суммы могут пересылаться и всего за несколько транзакций.
- Большинство злоумышленников — клерки. Хотя высший персонал банка также может совершать преступления и нанести банку гораздо больший ущерб — такого рода случаи единичны.
- Многие злоумышленники объясняют свои действия тем, что они всего лишь берут в долг у банка с последующим возвратом. Впрочем «возврата», как правило, не происходит.
Специфика защиты автоматизированных систем обработки информации банков (АСОИБ) обусловлена особенностями решаемых ими задач:
- Как правило АСОИБ обрабатывают большой поток постоянно поступающих запросов в реальном масштабе времени, каждый из которых не требует для обработки многочисленных ресурсов, но все вместе они могут быть обработаны только высокопроизводительной системой;
- В АСОИБ хранится и обрабатывается конфиденциальная информация, не предназначенная для широкой публики. Ее подделка или утечка могут привести к серьезным (для банка или его клиентов) последствиям. Поэтому АСОИБ обречены оставаться относительно закрытыми, работать под управлением специфического программного обеспечения и уделять большое внимание обеспечению своей безопасности;
- Другой особенностью АСОИБ является повышенные требования к надежности аппаратного и программного обеспечения. В силу этого многие современные АСОИБ тяготеют к так называемой отказоустойчивой архитектуре компьютеров, позволяющей осуществлять непрерывную обработку информации даже в условиях различных сбоев и отказов.
Можно выделить два типа задач, решаемых АСОИБ:
1. Аналитические. К этому типу относятся задачи планирования, анализа счетов и т.д. Они не являются оперативными и могут требовать для решения длительного времени, а их результаты могут оказать влияние на политику банка в отношении конкретного клиента или проекта. Поэтому подсистема, с помощью которой решаются аналитические задачи, должна быть надежно изолирована от основной системы обработки информации. Для решения такого рода задач обычно не требуется мощных вычислительных ресурсов, обычно достаточно 10-20% мощности всей системы. Однако ввиду возможной ценности результатов их защита должна быть постоянной.
2. Повседневные. К этому
типу относятся задачи, решаемые
в повседневной деятельности, в
первую очередь выполнение
Можно сделать следующие выводы об особенностях защиты информации в финансовых системах [2]:
- Главное в защите финансовых организаций — оперативное и по возможности полное восстановление информации после аварий и сбоев. В основном, защита информации от разрушения достигается созданием резервных копий и их внешним хранением, использованием средств бесперебойного электропитания и организацией «горячего» резерва аппаратных средств.
- Следующая по важности для финансовых организаций проблема — это управление доступом пользователей к хранимой и обрабатываемой информации. Здесь широко используются различные программные системы управления доступом, которые иногда могут заменять и антивирусные программные средства. В основном используются приобретенные программные средства управления доступом. Причем в финансовых организациях особое внимание уделяют такому управлению пользователей именно в сети.
- К отличиям организации защиты сетей ЭВМ в финансовых организациях можно отнести широкое использование стандартного (т.е. адаптированного, но не специально разработанного для конкретной организации) коммерческого программного обеспечения для управления доступом к сети, защита точек подключения к системе через коммутируемые линии связи. Скорее всего это связано с большей распространенностью средств телекоммуникаций в финансовых сферах и желание защититься от вмешательства извне. Так же используются другие способы защиты, такие как применение антивирусных средств, оконечное и канальное шифрование передаваемых данных, аутентификация сообщений.
- Большое внимание в финансовых организациях уделяется физической защите помещений, в которых расположены компьютеры. Это означает, что защита ЭВМ от доступа посторонних лиц решается не только с помощью программных средств, но и организационно-технических (охрана, кодовые замки и т.д.).
Можно сделать важный вывод: защита финансовых организаций строится несколько иначе, чем обычных коммерческих и государственных организаций. Следовательно для защиты АСОИБ нельзя применять те же самые технические и организационные решения, которые были разработаны для стандартных ситуаций. Нельзя бездумно копировать чужие системы — они разрабатывались для иных условий.
ГЛАВА 2. БЕЗОПАСНОСТЬ ЭЛЕКТРОННЫХ ПЛАТЕЖЕЙ
2.1. Электронные платежи в банке.
Специфической чертой электронных банковских систем является специальная форма обмена электронными данными - электронных платежей, без которых ни один современный банк не может существовать.
Обмен электронными данными (ОЭД) — это межкомпьютерный обмен деловыми, коммерческими, финансовыми электронными документами. Например, заказами, платежными инструкциями, контрактными предложениями, накладными, квитанциями и т.п.
ОЭД обеспечивает оперативное взаимодействие торговых партнеров (клиентов, поставщиков, торговых посредников и др.) на всех этапах подготовки торговой сделки, заключения контракта и реализации поставки. На этапе оплаты контракта и перевода денежных средств ОЭД может приводить к электронному обмену финансовыми документами. При этом создается эффективная среда для торгово-платежных операций: [4]
- Возможно ознакомление торговых партнеров с предложениями товаров и услуг, выбор необходимого товара/услуги, уточнение коммерческих условий (стоимости и сроков поставки, торговых скидок, гарантийных и сервисных обязательств) в реальном масштабе времени;
- Заказ товара/услуг или запрос контрактного предложения в реальном масштабе времени;
- Оперативный контроль поставки товара, получение по электронной почте сопроводительных документов (накладных, фактур, комплектующих ведомостей и т.д.);
- Подтверждение завершения поставки товара/услуги, выставление и оплата счетов;
- Выполнение банковских кредитных и платежных операций.
К достоинствам ОЭД следует отнести:
- Уменьшение стоимости операций за счет перехода на безбумажную технологию. Эксперты оценивают стоимость обработки и ведения бумажной документации в 3-8% от общей стоимости коммерческих операций и доставки товаров;
- Повышение скорости расчета и оборота денег;
- Повышение удобства расчетов.
Банки в США и Западной Европе уже осознали свою ключевую роль в распространении ОЭД и поняли те значительные преимущества, которые дает более тесное взаимодействие с деловыми и личными партнерами. ОЭД помогает банкам в предоставлении услуг клиентам, особенно мелким, тем, которые ранее не могли позволить себе ими воспользоваться из-за их высокой стоимости.
Частным случаем ОЭД являются электронные платежи - обмен финансовыми документами между клиентами и банками, между банками и другими финансовыми и коммерческими организациями.
Суть концепции электронных платежей заключается в том, что пересылаемые по линиям связи сообщения, должным образом оформленные и переданные, являются основанием для выполнения одной или нескольких банковских операций. Никаких бумажных документов для выполнения этих операций в принципе не требуется (хотя они могут быть выданы). Другими словами, пересылаемое по линиям связи сообщение несет информацию о том, что отправитель выполнил некоторые операции над своим счетом, в частности над корреспондентским счетом банка-получателя (в роли которого может выступать клиринговый центр), и что получатель должен выполнить определенные в сообщении операции. На основании такого сообщения можно переслать или получить деньги, открыть кредит, оплатить покупку или услугу и выполнить любую другую банковскую операцию. Такие сообщения называются электронными деньгами, а выполнение банковских операций на основании посылки или получения таких сообщений - электронными платежами. Естественно, весь процесс осуществления электронных платежей нуждается в надежной защите. Иначе банк и его клиентов ожидают серьезные неприятности.
Электронные платежи применяются при межбанковских, торговых и персональных расчетах.
Межбанковские и торговые расчеты производятся между организациями (юридическими лицами), поэтому их иногда называют корпоративными. Расчеты с участием физических лиц-клиентов получили название персональных.
Большинство крупных хищений в банковских системах прямо или косвенно связано именно с системами электронных платежей.
Любая организация, которая хочет стать клиентом какой-либо системы электронных платежей, либо организовать собственную систему, должна отдавать себе в этом отчет. Для надежной работы система электронных платежей должна быть хорошо защищена.
Торговые расчеты производятся между различными торговыми организациями. Банки в этих расчетах участвуют как посредники при перечислении денег со счета организации-плательщика на счет организации-получателя. Торговые расчеты чрезвычайно важны для общего успеха программы электронных платежей. Объем финансовых операций различных компаний обычно составляет значительную часть общего объема операций банка.
Виды торговых расчетов сильно различаются для разных организаций, но всегда при их осуществлении обрабатывается два типа информации: платежных сообщений и вспомогательная (статистика, сводки, уведомления). Для финансовых организаций наибольший интерес представляет, конечно, информация платежных сообщений - номера счетов, суммы, баланс и т.д. Для торговых организаций оба вида сведений одинаково важны – первый дает ключ к финансовому состоянию, второй – помогает при принятии решений и выработке политики.
2.2. Вопросы безопасности электронных платежей.
Для определения общих проблем защиты систем ОЭД рассмотрим в прохождение документа при ОЭД. Можно выделить три основных этапа:
- подготовка документа к отправке;
- передача документа по каналу связи;
- прием документа и его обратное преобразование.
С точки зрения защиты в системах ОЭД существуют следующие уязвимые места:
1. Пересылка платежных
и других сообщений между
2. Обработка информации
внутри организаций
3. Доступ клиента к
средствам, аккумулированным
Одно из наиболее уязвимых мест в системе ОЭД – пересылка платежных и других сообщений между банками, или между банком и банкоматом, или между банком и клиентом. При пересылке платежных и других сообщений возникают следующие проблемы:
- внутренние системы организаций Получателя и Отправителя должны быть приспособлены к получению/отправке электронных документов и обеспечивать необходимую защиту при их обработке внутри организации (защита оконечных систем);
- взаимодействие Получателя и Отправителя документа осуществляется опосредованно – через канал связи. Это порождает три типа проблем:
- взаимного опознавания абонентов (проблема установления аутентификации при установлении соединения);
- защиты документов, передаваемых по каналам связи (обеспечение целостности и конфиденциальности документов);
- защиты самого процесса обмена документами (проблема доказательства отправления/доставки документа);
- в общем случае Отправитель и Получатель документа принадлежат к различным организациям и друг от друга независимы. Этот факт порождает проблему недоверия – будут ли предприняты необходимые меры по данному документу (обеспечение исполнения документа).
В системах ОЭД должны
быть реализованы следующие
- равноправная аутентификацию абонентов;
- невозможность отказа от авторства сообщения/приема сообщения;
- контроль целостности сообщения;
- обеспечение
- управление доступом на оконечных системах;
- гарантии доставки сообщения;
- регистрация
- контроль целостности последовательности сообщений;
- обеспечение
Полнота решения рассмотренных выше проблем сильно зависит от правильного выбора системы шифрования. Система шифрования (или криптосистема) представляет собой совокупность алгоритмов шифрования и методов распространения ключей. Правильный выбор системы шифрования помогает:
- скрыть содержание документа от посторонних лиц (обеспечение конфиденциальности документа) путем шифрования его содержимого;
- обеспечить совместное использование документа группой пользователей системы ОЭД путем криптографического разделения информации и соответствующего протокола распределения ключей. При этом для лиц, не входящих в группу, документ недоступен;
- своевременно обнаружить искажение, подделку документа (обеспечение целостности документа) путем введения криптографического контрольного признака;
- удостовериться в том, что абонент, с которым происходит взаимодействие в сети является именно тем, за кого он себя выдает (аутентификация абонента/источника данных).
Следует отметить, что
при защите систем ОЭД большую
роль играет не столько шифрование
документа, сколько обеспечение
его целостности и
ГЛАВА 3. МЕТОДЫ ЗАЩИТЫ ИНФОРМАЦИИ В ПЛАТЕЖНЫХ И БАНКОВСКИХ СИСТЕМАХ. КРИПТОГРАФИЧЕСКИЕ МЕТОДЫ ЗАЩИТЫ
Современная криптография включает в себя следующие основные разделы:
- криптосистемы с секретным ключом (классическая криптография);
- криптосистемы с открытым ключом;
- криптографические протоколы.
3.1. Оценка надежности криптоалгоритмов
Все современные шифры базируются на принципе Кирхгофа [1], согласно которому секретность шифра обеспечивается секретностью ключа, а не секретностью алгоритма шифрования. В некоторых ситуациях нет никаких причин делать общедоступным описание сути криптосистемы. Сохраняя такую информацию в тайне, можно дополнительно повысить надежность шифра. Однако полагаться на секретность этой информации не следует, так как рано или поздно она будет скомпрометирована. При создании или при анализе стойкости криптосистем не следует недооценивать возможностей противника.
Методы оценки качества криптоалгоритмов, используемые на практике:
- Всевозможные попытки их вскрытия. В этом случае многое зависит от квалификации, опыта, интуиции криптоаналитиков и от правильной оценки возможностей противника.
- Анализ сложности алгоритмов дешифрования. Оценку стойкости шифра заменяют оценкой минимальной сложности алгоритма его вскрытия.
- Оценка статической безопасности шифра. Должна отсутствовать статическая зависимость между входной и выходной последовательностью.
3.2. Классификация методов шифрования информации
Основные объекты изучения классической криптографии показаны на рис. 1, где А – законный пользователь, W – противник или криптоаналитик.
Рис.1. Криптографическая защита информации
Процедуры зашифрования Е (encryption) и расшифрования D (decryption) можно представить в следующем виде:
C = E(M) = Ke{M},
M = D(C) = Kd{C},
где M (message) и C (ciphertext) – открытый и зашифрованный тексты, Ke и Kd – ключи зашифрования и расшифрования.
Различают два типа алгоритмов
шифрования – симметричные (с секретным
ключом) и асимметричные (с открытым
ключом). В первом случае обычно ключ
расшифрования совпадает с
Ke = Kd =K,
либо знание ключа зашифрования позволяет легко вычислить ключ расшифрования. В асимметричных алгоритмах такая возможность отсутствует: для зашифрования и расшифрования используются разные ключи, причем знание одного из них не дает практической возможности определить другой. Поэтому, если получатель А информации сохраняет в секрете ключ расшифрования KdA = SKA, ключ зашифрования KeA = PKA может быть сделан общедоступным (SK – secret key, PK – public key).

- Информационная безопасность организации
- Информационная безопасность организации
- Информационная безопасность предприятия
- Информационная безопасность предприятия
- Информационная безопасность предприятия
- Информационная безопасность систем автоматизированного проектирования
- Информационная безопасность страховой компании
- Информационная безопасность и защита информации
- Информационная безопасность и защита информации в локальных сетях малого бизнеса
- Информационная безопасность и защита конфиденциальной информации
- Информационная безопасность и история развития криптографии
- Информационная безопасность и контроль в современных информационных системах
- Информационная безопасность как одна из важнейших гарантий суверенитета государства
- Информационная безопасность как условие защиты духовно-психологического развития молодежи от негативного воздействия интернета