Главная: Рефераты

Рефераты. Безопасность информационных систем

Сетевой уровень АБС обычно наиболее уязвим для атак хакеров. Это обусловлено тем, что канал связи, по которому передаются сетевые пакеты, является открытым - каждый, кто имеет физический доступ к этому каналу, может отправлять в канал пакеты произвольного содержания. Для обеспечения надежной защиты сетевого уровня АБС необходимо добиться максимальной «закрытое™» сетевых каналов связи, другими словами, максимально затруднить несанкционированный информационный обмен в защищаемой сети.

3.1 Меры по предупреждению несанкционированного доступа и безопасного функционирования информационной банковской системы

Подводя итоги вышеизложенному, можно сформулировать перечень основных задач, которые должны решаться по всей банковской системе

* управление доступом (разграничение полномочий) пользователей к ресурсам локальной и корпоративной банковским компьютерным сетям с целью их защиты от неправомерного случайного или умышленного вмешательства в работу системы и несанкционированного (с превышением предоставленных полномочий) доступа к ее информационным, программным и аппаратным ресурсам со стороны посторонних лиц, а также лиц из числа персонала организации и пользователей; должен быть четко определенный порядок получения доступа к ресурсам сети в соответствии с функциональными обязанностями конкретного работника (набор полномочий должен быть минимально необходимый для выполнения им своих прямых обязанностей);

* защита рабочих станций - применение паролей на включение, программ защиты экрана, отключение дисководов, опечатывание корпусов; использование дискет только в случае технологической необходимости; дискеты должны быть промаркированы;

* охрана серверных и обеспечение их бесперебойной работы - ограниченный доступ, средства сигнализации, соблюдение требований НБУ к помещениям, где находится аппаратура СЕП; обязательное использование источников бесперебойного питания, качественных систем пожаротушения;

* защита данных, передаваемых по каналам связи - в первую очередь это касается системы Клиент-банк (всего по системе работает 2877 клиентов), где некоторые дирекции и филиалы (Кировоград, Днепропетровск) продолжают осуществлять клиентские платежи вообще без защиты или с использованием несертифицированных средств защиты; нельзя допускать передачи информации в открытом виде за пределами охраняемых территорий;

* контроль за действиями пользователей в сети - регистрация, сбор, хранение, обработка и выдача сведений обо всех событиях, происходящих в системе и имеющих отношение к ее безопасности; необходимо научиться работать с системными журналами и знать их возможности для восстановления хронологии происшедших в сети событий; оперативное оповещение службы безопасности о попытках несанкционированного доступа к ресурсам системы; недопущение фактов работы в сети под чужим именем или с групповыми паролями;

* резервное копирование - создание архива резервных копии, который будет надежно защищен от уничтожения в случае стихийных бедствий, неумышленных или умышленных действий; использование для хранения несгораемых сейфов;

* использование на рабочих станциях только проверенного программного обеспечения с целью защиты от бесконтрольного внедрения в систему потенциально опасных программ (в которых могут содержаться вредоносные закладки или опасные ошибки) и средств преодоления системы защиты, а также от внедрения и распространения компьютерных вирусов; нельзя допускать самовольной установки на рабочих местах программного обеспечения, в том числе компьютерных игр;

* контроль за подключениями к сети Интернет - разрешение на подключение к сети Интернет должно даваться только в исключительных случаях, если это необходимо для осуществления работником прямых функциональных обязанностей; в общих случаях такие подключения должны быть запрещены; в идеале подключение к Интернет должно осуществляться с отдельно стоящей машины, которая не работает в локальной сети;

* обучение пользователей - пользователи должны знать азы компьютерной безопасности и нести определенную ответственность, как за свои действия (например, работа без пароля или с легко угадываемым паролем) так и за сохранение в тайне своего пароля;

Выполнение этих задач возможно при использовании существующих многочисленных видов защиты информации, которые условно можно объединить в три основные группы;

* средства физической защиты (защита кабельной системы, телекоммуникационной аппаратуры, антенн, средства архивации и т.д.)

Физические меры защиты основаны на применении разного рода механических, электро- или электронно-механических устройств и сооружений, специально предназначенных для создания физических препятствий на возможных путях проникновения и доступа потенциальных нарушителей к компонентам системы и защищаемой информации, а также технических средств визуального наблюдения, связи и охранной сигнализации.

* программные средства защиты (антивирусные программы, системы разграничения полномочий, программные средства контроля доступа, криптографическая защита информации)

Программные (аппаратно-программные) меры защиты основаны на использовании различных электронных устройств и специальных программ, входящих в состав АС и выполняющих (самостоятельно или в комплексе с другими средствами) функции защиты (идентификацию и аутентификацию пользователей, разграничение доступа к ресурсам, регистрацию событий, криптографическое закрытие информации и т.д.).

* административные меры защиты (контроль доступа в помещения, разработка стратегии безопасности, планов действия в чрезвычайных ситуациях, профилактические работы.

Организационные (административные) меры защиты - это меры организационного характера, регламентирующие процессы функционирования системы обработки данных, использование ее ресурсов, деятельность персонала, а также порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности. Они включают:

* мероприятия, осуществляемые при проектировании, строительстве и оборудовании серверных и других объектов систем обработки данных;

* мероприятия по разработке правил доступа пользователей к ресурсам системы (разработка политики безопасности);

* мероприятия, осуществляемые при подборе и подготовке персонала системы; в подавляющем случае совершения компьютерного преступления невозможно без участия инсайдера;

* организацию охраны и надежного пропускного режима;

* организацию учета, хранения, использования и уничтожения документов и носителей с информацией;

* распределение реквизитов разграничения доступа (паролей, ключей шифрования и т.п.);

* организацию явного и скрытого контроля за работой пользователей;

мероприятия, осуществляемые при проектировании, разработке, ремонте и модификациях оборудования и программного обеспечения и т.п.

4. Проект технического задания автоматизации функции сбора и обработки информации для центрального офиса банка о деятельности его филиалов

4.1 Назначение построения информационной системы в банке

Главной целью создания информационной системы на уровне Центрального офиса коммерческого банка является объединение в единое информационное пространство всех структурных единиц (филиалов) банка.

Эта информационная система позволит решить следующие задачи:

автоматизировать учет поступлений платежей клиентов по системе банка;

вести автоматический учет клиентов;

учет движений по счетам;

учет, проводимых работ с другими банками;

информационный обмен, в том числе обмен электронной почтой, файлами и т.п. между структурными подразделениями банка;

информационное обеспечение руководящего персонала необходимой информацией для принятия управленческих решений;

обеспечение сбора, обработки и надежного хранения корпоративной информации;

автоматизация системы документооборота;

реализация контролируемого доступа к внутренним ресурсам информационной системы.

Единое информационное пространство предполагает, что все пользователи будут работать с реальными данными, которые могут быть только что созданы, внесены или откорректированы их коллегами из других отделов, даже если эти отделы находятся в разных местах.

Для выполнения вышеперечисленных задач информационная система должна выполнять:

сбор первичной информации о поступлении платежей в установленном порядке и их автоматическую регистрацию;

передача информации пользователю системы или ее рассылка по локальной сети;

хранение и поддержку в рабочем состоянии коллективно используемой информации в центральной базе данных.

4.2 Перечень автоматических рабочих мест и предъявляемых к ним требовании

Уполномоченный сотрудник Центрального офиса банка нуждается в информационной поддержке для выполнения своих служебных обязанностей (к примеру, о состоянии кредитно - инвестиционного портфеля филиала банка, доходов и затрат за отчетный период и т.п.)

Данная информационная система требует создания следующих автоматизированных рабочих мест (АРМ):

1. АРМ руководителей кредитного департамента, бухгалтерского учета и отчетности, планирования и контролинга;

2. АРМ администратора сети;

3. АРМ начальника отдела контроля деятельности филиалов;

4. АРМ начальника планового отела

5. АРМ начальника методологии и анализа

6. Начальника отдела кредитных рисков

Руководству Центрального офиса банка требуется обобщенная, достоверная и полная информация, позволяющая принимать правильные управленческие решения. Ему также необходимы данные для анализа и планирования различных финансово - экономических показателей деятельности структурных подразделений банка.

4.3 Требования к аппаратной части

Данная информационная система должна соответствовать следующим требованиям:

Относительно дешевая при максимальном спектре возможностей;

По степени территориальной распределённости - локально-вычислительная сеть с режимом работы «Клиент-сервер»;

По способу управления - централизованная с выделением центрального уровня.

По характеру передачи данных - с маршрутизацией и коммуникацией информации;

По характеру реализации функции - информационно - вычислительная;

По топологии - широковещательная с типом коонфигурации «звезда с пассивным центром»

Каждый АРМ должен:

обеспечивать диалоговый режим работы;

обеспечивать печать всех выходных форм на бумажном носителе информации с требуемым количеством экземпляров;

- создавать копии отчетов распоряжений, а так же другой документации на магнитных носителях

Сервисные функции аппаратной части информационной системы:

возможность настройки АРМ;

возможность архивации данных;

использование функций счетной машины и календаря;

электронная почта;

возможность оперативной обработки табличной, графической, текстовой информации.

Заключение

Бурное развитие информационных технологий имеет и свой негативный аспект: это открыло дорогу для новых форм антисоциальной и преступной деятельности, которые ранее были невозможны. Компьютерные системы содержат в себе новые уникальные возможности для совершения ранее неизвестных правонарушений, а также для совершения традиционных преступлений, однако, более эффективными способами.

С развитием международных глобальных компьютерных и телекоммуникационных сетей возникли новые сферы для совершения преступлений:

1. Международная электронная система банковских расчетов.

2. Система платежей с применением кредитных карточек.

3. Система международных телекоммуникаций.

4. Использование автоматизированных банков данных.

Широкое использование компьютеров поставили некоторые сферы современной жизни в прямую зависимость от них. Коммерческая деятельность и банковская система, транспорт, атомные электростанции и автоматизированные производственные процессы - вот некоторые примеры жизненно важных областей, где компьютерные системы много значат.

Информационно-технологическая революция привела к драматическим изменениям в способе выполнения своих обязанностей для большого числа профессий. Теперь нетехнический специалист среднего уровня может выполнять работу, которую раньше делал высококвалифицированный программист. Служащий имеет в своем распоряжении столько точной и оперативной информации, сколько никогда не имел.

Но использование компьютеров и автоматизированных технологий приводит к появлению ряда проблем для руководства организацией. Компьютеры, часто объединенные в сети, могут предоставлять доступ к колоссальному количеству самых разнообразных данных. Поэтому люди беспокоятся о безопасности информации и наличии рисков, связанных с автоматизацией и предоставлением гораздо большего доступа к конфиденциальным, персональным или другим критическим данным. Все увеличивается число компьютерных преступлений, что может привести, в конечном счете, к подрыву экономики. И поэтому должно быть ясно, что информация - это ресурс, который надо защищать.

Использованная литература

1. Ананьєв, О.М. Інформаційні системи і технології в комерційній діяльності [Текст]: підручник / О.М. Ананьєв, В.М. Білик, Я.А. Гончарук. - Львів: Новий Світ_2000, 2006. - 584 с.

2. Антонов, В.М. Фінансовий менеджмент: сучасні інформаційні технології [Текст]: навчальний посібник / В.М. Антонов, Г.К. Яловий; ред. В.М. Антонов; Мін-во освіти і науки України, КНУ ім. Т.Г. Шевченка. - К.: ЦНЛ, 2005. - 432 с.

3. Гужва, В.М. Інформаційні системи і технології на підприємствах [Текст]: навчальний посібник / В.М. Гужва; Мін-во освіти і науки України, КНЕУ. - К.: КНЕУ, 2001. - 400 с.

4. Гуржій, А.М. Інформатика та інформаційні технології [Текст]: підручник / А.М. Гуржій, Н.І. Поворознюк, В.В. Самсонов. - Х.: Компанія СМІТ, 2003. - 352 с.

5. Информационные системы и технологии: приложения в экономике и управлении: Кн. 6 [Текст]: учебное пособие / Мин-во образования и науки Украины, Донецкий нац. ун_т; ред. Ю.Г. Лысенко. - Донецк: Юго-Восток, 2004. - 377 с.

6. Маслов, В.П. Інформаційні системи і технології в економіці [Текст]: навчальний посібник / В.П. Маслов; Мін-во освіти і науки України. - К.: Слово, 2003. - 264 с.

7. Олійник, А.В. Інформаційні системи і технології у фінансових установах [Текст]: навчальний посібник / А.В. Олійник, В.М. Шацька. - Львів: Новий Світ_2000, 2006. - 436 с.

8. Румянцев, М.И. Информационные системы и технологии финансово-кредитных учреждений [Текст]: учебное пособие для вузов / М.И. Румянцев; Западнодонбасский ин_т экономики и управления. - Днепропетровск: ИМА-пресс, 2006. - 482 с. -

9. Черняк, О.І. Системи обробки економічної інформації [Текст]: підручник / О.І. Черняк, А.В. Ставицький, Г.О. Чорноус. - К.: Знання, 2006. - 447 с.

Страницы: 1, 2, 3
2012 © Все права защищены
При использовании материалов активная ссылка на источник обязательна.