Безопасность банковского ПО

31 июля 2012

Нормальное функционирование банка во многом обеспечивается правильным функционированием банковского программного обеспечения. Под словом правильным понимается безотказное, надежное и защищенное функционирование банковского программного обеспечения. Построение такой автоматизированной банковской системы возможно только на основе тщательного предварительного анализа возможных угроз ее безопасности. В целом при построении любой защищенной автоматизированной системы анализ угроз должен включать в себя:

  • оценку ценности информации, хранящейся в системе (в банковских системах вся хранящаяся информация носит конфиденциальный характер и подпадает под защиту государства);
  • оценку затрат времени и средств на вскрытие системы, допустимых для злоумышленников;
  • оценку характера хранящейся в системе информации, выявление наиболее серьезных угроз (несанкционированное чтение, несанкционированное изменение и т.д.);
  • построение “модели злоумышленника” (оценка того, от кого нужно защищаться – от постороннего лица, пользователя системы, администратора и т. д.);
  • оценку допустимых затрат времени, средств и ресурсов системы на организацию ее защиты.

В отношении автоматизированных банковских систем злоумышленник может выступать в одной из следующих ролей:

  • постороннее лицо, не имеющее легального доступа к системе. В этом случае взлом и атака системы возможно только с использованием общедоступных глобальных сетей;
  • сотрудник организации, не имеющий легального доступа к системе. В этом случае злоумышленник может внедрять в систему программные закладки. Если он сумеет подсмотреть или подобрать пароль легального пользователя, он может перейти в роль пользователя или администратора;
  • пользователь системы, обладающий минимальными полномочиями. Злоумышленник может атаковать систему, используя ошибки в программном обеспечении и в администрировании системы;
  • администратор системы. Злоумышленник имеет легально полученные полномочия, достаточные для того, чтобы успешно атаковать систему. Для нейтрализации этой угрозы в системе должны быть предусмотрены средства противодействия несанкционированным действиям администраторов;
  • разработчик системы. Злоумышленник может встраивать в код системы “люки” (недокументированные возможности), которые в дальнейшем позволят ему осуществлять несанкционированный доступ к ресурсам системы.

В общем случае автоматизированная банковская система включает в себя три основных уровня:

  • систему управления базами данных (СУБД) одну или несколько;
  • операционную систему (ОС) одну или несколько, обслуживающих СУБД и системы документооборота;
  • сетевое программное обеспечение, обеспечивающее информационное взаимодействие ПЭВМ и серверов банковской сети.

Атака автоматизированной банковской системы может осуществляться на любом из перечисленных уровней.

Рассмотрим возможные атаки на данных уровнях:

Анализ данных угроз требует применения комплексной защиты автоматизированных систем банков.

Рейтинг@Mail.ru