WWW.REFERATCENTRAL.ORG.UA - Я ТУТ НАВЧАЮСЬ

... відкритий, безкоштовний архів рефератів, курсових, дипломних робіт

ГоловнаБанківська справа → Інвестиційна політика банку та шляхи підвищення її ефективності - Курсова робота

Інвестиційна політика банку та шляхи підвищення її ефективності - Курсова робота

4.3. Основні задачі та вимоги до систем захисту банківських інформаційних технологій.

Керівний принцип побудови криптографічних систем передбачає врахування специфіки інформаційних процесів, які відбуваються в автоматизованих системах, що потребують захисту. Поширена класифікація цієї специфіки спирається на відмінність технологій інформаційного обміну (файлова та пакетна). Проте, шукаючи нові засоби захисту інформаційних процесів, слід зважати на ще одну важливу тенденцію сучасного розвитку інформаційних систем автоматизації банківської діяльності, а саме їх диференціацію за ознакою субєктів інформаційного обміну. Тобто з розвитком інформатизації банківської діяльності більшої значущості набувають інформаційні процеси, що здійснюються субєктами одного банку, - процеси, повязані передусім із виконанням завдань "внутрішнього життя" банку. Це, наприклад, управління персоналом, нарахування заробітної плати працівникам, внутрішній документообіг, а також внутрішня платіжна система банку тощо. Відтак дедалі злободеннішим стає питання щодо відокремлення "внутрішньої" інформації, яка циркулює в загальнодоступному інформаційному середовищі, засобами її захисту. Така ж тенденція спостерігається у світовій криптографічній практиці, яка дає приклади розробок різних технологій захисту, що уможливлюють відокремлення деяких " приватних" зон, закритих для загального доступу, у відкритому інформаційному середовищі. Зокрема інтерес викликає застосовувана на прикладному рівні технологія SNC.

Розглядаючи таку практику відокремлення у площині відмінностей обміну банківською інформацією між різними субєктами, на нашу думку, можна говорити про внутрішню та зовнішню інформаційні системи (рис 4.1). Так, систему, що забезпечує інформаційні процеси в межах банку, означимо як його "внутрішню інформаційну систему", на відміну від тієї інформаційної системи, що забезпечує звязок банку з іншими банками та установами, тобто "зовнішньої". Складовими останньої є система електронних міжбанківських розрахунків (СЕП), система термінових переказів, система електронної пошти тощо. Поняття "внутрішня інформаційна система" дає змогу чіткіше окреслити специфіку предмета криптографічного захисту, який розглядається у статті на прикладному рівні.

Пропонована орієнтація на специфіку внутрішньої інформаційної системи банку як основу вибору засобів її захисту дає певні іноваційні переваги. Вони полягають, зокрема, у можливості обєднання криптографічних систем, побудованих для захисту як офлайнового, так і онлайнового обміну, тобто створенні єдиної криптографічної системи, зорієнтованої на захист усіх інформаційних процесів, що відбуваються в межах одного банку. А це становить підгрунтя для подолання технологічної різноманітності систем захисту, застосовуваних у внутрішній інформаційній системі банку, та розвязання проблеми налагодження їх взаємодії. Створюючи єдину систему захисту внутрішньої інформаційної системи НБУ, фахівці управління захисту інформації департаменту інформатизації НБУ


розробили уніфіковані програмні модулі захисту інформаційного обміну на основі стандарту GSS-API.

Рис 4.1. Внутрішня та зовнішня інформаційні системи, відокремлені системою захисту на прикладному рівні

Важлива роль підсистеми управління ключовою інформацією в системі захисту визначається її функціональним призначенням. Воно полягає у забезпеченні користувачів криптографічними ключами, за допомогою котрих здійснюються необхідні криптографічні перетворення інформації (шифрування, цифровий підпис тощо), які уможливлюють її захист.

Розробляючи підсистему управління ключовою інформацією для системи електронних платежів (СЕП), яка працює в режимі файлового обміну відповідно до підвищених вимог захисту банківської інформації, фахівці управління захисту інформації НБУ включили в неї такі додаткові елементи, як іменний генератор ключів і таблиця відкритих ключів. Іменний генератор ключів призначений для генерації криптографічних ключів, забезпечення конфіденційності передачі відкритого ключа користувача до центру сертифікації після його генерації та його автентичності при подальшій сертифікації. Призначення таблиці відкритих ключів – зберегти відкритий ключ користувача і всіх його адресатів та перешкоджати використанню несанкціонованих шляхів при інформаційному обміні. Особливістю функціонування даної конфігурації підсистеми управління ключовою інформацією є формування криптографічних ключів для робочого місця в окремих системах. З розвитком автоматизації банківської діяльності у внутрішній інформаційній системі складається ситуація, коли користувачу доводиться працювати одночасно з кількома автоматизованими системами (завданнями), а отже, застосовувати кілька таємних криптографічних ключів, що, безумовно, ускладнює його роботу. Зважаючи на це, підсистему управління ключовою інформацією для внутрішньої інформаційної системи НБУ було зорієнтовано на формування криптографічних ключів з огляду на користувача, а не на виконувані ним завдання.

Проте застосування такого, зручнішого для користувача, способу формування криптографічних ключів ускладнює саму схему управління ключовою інформацією, виконання процедур розсилання, необхідних сертифікатів, відкритих ключів користувачам і серверам застосувань та їх внесення у відповідні таблиці відкритих ключів. Вони зумовлені передусім тим, що ключова інформація не містить ознак виконуваних завдань і систем, у яких може працювати користувач. А тому автоматизація процесу розсилання сертифікатів відкритих ключів та їх відповідне внесення до таблиць відкритих ключів потребує підтримки спеціального списку відповідностей користувачів системам. У яких вони працюють. Можливість такої підтримки ускладнюється тим, що до функціонування внутрішніх інформаційних систем ставиться вимога забезпечення динамічної зміни кількості її користувачів та виконуваних ними завдань.

Напрями подальшого розвитку управління криптографічними ключами залежать від обсягу завдань, які визначатимуть її функціональні можливості. З огляду на потреби, зумовлені загальною тенденцією ширшого застосування онлайнових технологій в банківських автоматизованих системах, можна говорити про нагальність завдання побудови такої підсистеми управління криптографічними ключами, котра б відповідала вимогам (і умовам здійснення) онлайнового режиму інформаційного обміну. Воно продиктоване передусім тим, що застосування цього елемента системи захисту, який працює у режимі файлового обміну, призводить до неприйнятних ресурсних витрат за умов роботи в динамічному онлайновому середовищі внутрішньої інформаційної системи НБУ.

Врахувавши потреби технологічного поступу у визначенні функціональних можливостей нової підсистеми управління криптографічними ключами, доцільно також вжити певних заходів щодо забезпечення більшої зручності користувачам. Зважаючи на реальний рівень їхніх навичок у роботі з елементами системи захисту (в даному разі – з ключовою інформацією), слід знайти спосіб спрощення (чи уникнення) деяких процедур. Зокрема, йдеться про процедури внесення ключової інформації в таблиці відкритих ключів, адже саме у виборі необхідних для внесення криптографічних ключів криється небезпека помилкових дій. Тобто вдосконалення роботи зазначеної підсистеми з урахуванням потреб користувача потребує вирішення низки нових управлінських завдань щодо автоматизації або ж скасування складних для користувача процедур.


Рис 4.2. Функціонування вихідної підсистеми управління ключовою інформацією

Отже, йдеться про пошук такої технологічної (а відповідно – й теоретичної) основи, що дасть змогу реалізувати системний підхід до вдосконалення підсистеми управління криптографічними ключами, яка не обмежиться поточними управлінськими завданнями, а надасть її роботі нової якості. В міркуваннях щодо проектованої схеми роботи підсистеми управління криптографічними ключами візьмемо насамперед до уваги можливості, що відкриваються на шляху централізації управління, який дає змогу скоротити проміжні ланки, котрі можуть бути використані як обєкти несанкціонованого доступу, та налагодити досконаліший контроль за інформаційними потоками підсистеми управління криптографічними ключами внутрішньої інформаційної системи НБУ. А тому як альтернатива розглядається перехід від децентралізованих офлайнових елементів підсистеми управління криптографічними ключами до онлайнових, зокрема від іменних генераторів ключів до центру генерації ключів (надалі – ЦГК). Відтак можна скоротити управлінські витрати, звичайні для офлайнових інформаційних систем та небажані в онлайнових (витрати людських і часових ресурсів та обчислювальних потужностей), а крім того, знизити кількість процедур, у яких користувач бере безпосередню участь. Позитивному сприйняттю запропонованої ідеї створення потужного ЦГК, що обслуговуватиме генерацію ключів кожним користувачем із його робочого місця, сприятиме розяснення питання, чи не порушується режим захисту таємного ключа при передачі функцій його генерації якомусь просторово віддаленому від користувача центру. Відповідь на це питання значною мірою залежить від того, як тлумачиться наявність елементів довіри у криптографічних системах. Зазначимо, що фактично елемент довіри є обовязковим для переважної більшості цих систем. Насамперед він обовязковий для процедури сертифікації ключів, при виконанні якої користувач сподівається, що отримує від центру сертифікації правдиві (достовірні) сертифікати ключів. Другий, обовязковий у процедурі генерації ключів елемент довіри, полягає у переконанні користувача, що програма генерації лише йому забезпечує виключне право володіння таємним ключем. І тут не важливо, якій програмі користувач довіряє тій, що знаходиться на його робочому місці, чи розташованій на відстані від нього за умов наявності процедур взаємної автентифікації та шифрування інформаційного каналу.

Loading...

 
 

Цікаве