Информационная безопасность

Содержание

 

1. Место и роль информационной безопасности в системе обеспечения

   безопасности ЭК………………………………………………………………………...……3

 

2. Системы управления контентом (CMS)………………………………………………..….11

 

3. Решение теста………………………………………………………………………….……22

 

4. Список использованной  литературы………………………………………………………23

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

1. Место и роль информационной безопасности в системе обеспечения безопасности ЭК.

Всемирная сеть Интернет охватила все отрасли деятельности человека. Огромными темпами развивается  сектор бизнес-услуг, предоставляемых посредством Интернета. Среди развивающихся направлений важную роль играют системы Интернет-торговли - электронная коммерция. Этот сектор бизнеса связан с предоставлением услуг или продукции конечному потребителю. Основной тип данных систем — электронный магазин — автоматизированная система электронной торговли в сети Интернет.

Системы электронной торговли представляют собой характерный  пример распределенной вычислительной системы. В них несколько клиентов работают с одним сервером, реже с несколькими серверами. Таким  образом, электронному магазину угрожают все внутренние и удаленные атаки, присущие любой распределенной компьютерной системе, взаимодействующей посредством  передачи данных по открытым сетям.

Безопасность является ключевым вопросом для внедрения электронной  коммерции. Основным препятствием, возникающим  на пути развития рынка Интернет-платежей, является психологический фактор, связанный с осознанием угрозы потенциального мошенничества. Люди до сих пор не рассматривают Интернет как безопасную среду, чему способствует объективная информация о степени безопасности работы в Интернете. Опросы показывают, что более всего люди боятся потенциальной угрозы получения кем-либо их персональных данных при работе через Интернет. По данным платежной системы VISA около 23% транзакций с банковскими картами так и не производятся из-за боязни клиента ввести запрашиваемую электронным магазином персональную информацию о клиенте. В результате, люди главным образом используют Интернет в качестве информационного канала для получения интересующей их информации[1].

На сегодняшний день наиболее интересным объектом для атаки со стороны электронных кибервзломщиков являются юридические лица. Физические лица мошенников, как правило, не интересуют, так как их остатки по счетам недостаточно велики. К тому же вероятность взлома юридических лиц повышается по причине того, что бухгалтерия в рабочие дни обязательно активна.

Каждый месяц в правоохранительных органах фиксируются десятки  подобных инцидентов. По объему нанесенного  ущерба они могут быть весьма значительными  — в реальной практике большинство  хищений по системам дистанционного банковского обслуживания находится в районе 250 тысяч рублей, также известны случаи и с 1 миллионом долларов.

В подавляющем большинстве  случаев хищение денег организуется с несанкционированным использованием даже не извлекаемых секретных ключей при онлайновых атаках, когда USB-токен установлен в рабочем компьютере [2]. Токен, в свою очередь, представляет из себя миниатюрное устройство, снабженное клавиатурой и жидкокристаллическим индикатором. Эти устройства позволяют защитить ключ от несанкционированного доступа как на программном уровне, поскольку воспользоваться им может только человек, знающий соответствующий PIN-код, так и на физическом уровне. Даже если токен будет украден и разобран на детали злоумышленниками, получить доступ к хранящейся на нем информации невозможно [3].

Наибольшее число проблем  возникает, если бухгалтерский компьютер  не только постоянно оснащен однажды  установленным USB-токеном, но и системный блок не выключается на ночь, а только переводится в «спящий» режим, оставаясь подключенным к каналу доступа в сеть Интернет.

Первые массовые инциденты  атак в режиме он-лайн на пользователей дистанционного банковского обслуживания стали проявляться с начала 2010 г. Проникающие на компьютер вирусы выделяют период перерыва в работе системы дистанционного банковского обслуживания, и после адаптации к установленному на компьютере клиентскому программному обеспечению и считывания основных параметров проведения подобных операций, начинают создавать свои платежные поручения для отправления в банк.

Обычно это троянские  вирусы с функцией удаленного доступа  к консоли дистанционного банковского  обслуживания. На компьютер пользователя сначала проникает загрузчик, который  после «укоренения» на компьютере-жертве и детектирования компании-разработчика клиентского модуля дистанционного банковского обслуживания загружает  на машину дополнения для работы именно с этой версией системы. Поскольку  они не выходят в сеть Интернет, антивирусы часто их не отслеживают.

Еще одним из способов мошенничества  является перехват команд на запрос электронной  цифровой подписи (ЭЦП) с USB-портов компьютера с хоста злоумышленника через  компьютер клиента сразу до банковского  сервера. Таким образом, во время  сеанса работы с дистанционным банковским обслуживанием клиент фактически использует свой компьютер вместе с мошенником, который в удаленном режиме свободно работает с его системой. Соответственно, оператор бухгалтерского компьютера может не уследить за формированием иных платежей, которые формально подписаны его ЭЦП и уходят в банк в числе прочих.

Но для защиты клиентов от новых вирусных угроз банк в  свою очередь, может улучшить свою систему  безопасности. В его возможности  входит настройка индивидуально  по каждому юридическому лицу или  индивидуальному частному предпринимателю  пороговой суммы для платежного поручения. При превышении этой суммы  к стандартной ЭЦП потребуется  дополнительное подтверждение по авторизованному  каналу связи с использованием OTP-токенов, одноразовых паролей через SMS-сообщение или голосом по определенному номеру мобильного телефона, при том подобный разговор должен записываться [2].

Принято выделять следующие  виды рисков мошенничества с электронными деньгами в сети Интернет:

— риск дублирования технического устройства (электронного кошелька или    жесткого диска компьютера);

— риск изменения или  дублирования сведений или программ;

— риск изменения сообщений;

— риск кражи;

— риск отказа операций.

Риск дублирования технического устройства представляет собой вероятность  убытков в результате создания мошенником нового аппарата, который принимал бы электронные кошельки как настоящий. При этом делается копия с электронного кошелька, включая его криптографические  ключи, остатки по счету и другие важные сведения. В качестве альтернативы, мошенники могут создать электронный  кошелек, который функционировал бы как настоящий, но содержал бы остатки  средств, созданные мошенническим  путем.

Другим риском мошенничества  может быть риск изменения информации, хранимой в электронном кошельке. Если остатки денежных средств, записанные на карте, были увеличены мошенническим  путем без видимых нарушений (поломок) самой карты, то держатель может  выполнять операции с этой карты, которая будет торговому терминалу  казаться настоящей. Кроме того, могут  быть изменены внутренние функции электронного кошелька, например, процедуры отчетности, так чтобы калькулирование происходило не так как требуется. Изменение данных или функций электронного кошелька может быть осуществлено благодаря слабой безопасности операционной системы, либо путем физического воздействия непосредственно на сам чип электронного кошелька.

Риск изменения сообщений  представляет собой вероятность  убытков в результате изменения  данных или процессов технического устройства путем удаления, повтора  или замены сообщений. Сообщения  между техническими устройствами могут  быть перехвачены мошенниками в  момент их передачи по телекоммуникационным линиям, компьютерным сетям или при  прямом контакте между техническими устройствами.

Риск кражи проявляется  в возникновении вероятности  убытков в результате воровства  технического устройства и незаконного  использования остатков средств, записанных на нем. Данные, хранящиеся на техническом  устройстве, могут быть также похищены путем незаконного копирования. Мошенник может перехватить сообщения  между законным владельцем электронных  денег и их эмитентом, а затем  использовать перехваченные данные при совершении каких-либо операций. Такая кража будет обнаружена только после того, как эмитент  получит настоящие электронные  денежные знаки, которые будут иметь  аналогичные характеристики с незаконными  деньгами. К тому времени мошенник уже получит финансовую выгоду.

Мошенничество может быть совершено также путем отказа от операций, сделанных при помощи электронных денег. Например, при  дистанционных операциях, совершаемых  при помощи телефона или компьютерных сетей, пользователь может заявить, что не разрешал проводить операцию. Это, в свою очередь, может привести к финансовым потерям торгового  предприятия или эмитента электронных  денег [4].

Меры, предпринимаемые участниками  электронной коммерции для обеспечения  безопасных расчетов в сети Интернет достаточно многообразны.

Прежде всего, это обучение держателей банковских карт минимальным  навыкам для обеспечения собственной  безопасности: пользование только знакомыми  интернет-ресурсами, изучение порядка доставки товаров и предоставления услуг, проверка использования интернет-коммерсантом сертифицированных протоколов, гарантирующих безопасность передаваемой информации [5].

При достаточно обширном списке мер, предпринимаемых для обеспечения  безопасных расчетов в сети Интернет, многое зависит от самого пользователя. Часто причиной мошеннического доступа  к счету пользователя Интернет-банкинга является невнимательность и неосторожность самого пользователя. Поэтому, чтобы  избежать возможных проблем, владельцу  учетной записи необходимо беречь данные доступа к ней. Необходимо периодически изменять пароли для доступа в  систему и не использовать Интернет-банкинг  на непроверенных компьютерах.

Помимо этого, следует  соблюдать осторожность при работе в Интернете. Мошенники широко используют приемы «социальной инженерии» для  того, чтобы получить аутентификационные данные — логин, пароль клиентов. Наиболее старый метод — «фишинговые» письма электронной почты, которые провоцируют получателей отправить свои аутентификационные данные злоумышленникам или предлагают пройти по ссылке на мошеннический сайт [6].

Кроме таких простых методов  защиты от мошенничества, как воспитание держателей, используются и технологические  средства.

Банки стараются использовать различные системы и механизмы, призванные как гарантировать, так  и повысить безопасность использования  он-лайн банкинга. Одним из таких механизмов является шифрование данных. На сегодняшний день практически всеми банками, предоставляющими услугу Интернет-банкинга, применяется SSL (Secure Socked Layer) — шифрование данных, передаваемых от компьютера пользователя в систему банка и обратно. Широко используемый и ставший практически обязательным в интернет-торговле протокол SSL позволяет всем участникам торговли спокойно передавать самую разную информацию. При попытке перехвата данных они будут закрыты шифром, взломать который за сколько-нибудь адекватный промежуток времени невозможно.

Протокол SSL надежно защищает информацию, передаваемую через Интернет, но все же он не может уберечь  частную информацию, хранимую на сервере  продавца, — например, номера кредитных  карт. Когда продавец получает данные кредитной карты вместе с заявкой  на покупку, информация расшифровывается и сохраняется на сервере, пока заявка не будет выполнена. Если сервер не защищен и данные не зашифрованы, то возможен несанкционированный доступ к частной информации и дальнейшее использование ее в мошеннических  целях.

В дополнение к использованию  протокола шифрования передаваемых данных участники интернет-коммерции используют такие способы идентификации держателя карты, как проверка СVV2/СVK2-кодов (СVV2-код для карт платежной системы Visa и CVK2 — для MasterCard).

К способам идентификации  стоит добавить проверку адреса AVS (Address Verification Service). Данная процедура в большей степени характерна для североамериканского рынка электронной коммерции, но, тем не менее, с ней приходилось сталкиваться и держателям карт российских банков, пытавшимся воспользоваться картами для оплаты товаров с доставкой на территории США.

Однако все эти меры безопасности явно недостаточны для  обеспечения высокого уровня безопасности расчетов в сети Интернет.

Доля Интернет-торговли неуклонно растет из года в год, увеличиваются обороты от продажи товаров и услуг в сети, пропорционально растет и количество мошеннических операций, но мало кто хочет отказываться от получаемых выгод, поэтому всех участников процесса все больше волнует безопасность проведения платежей и расчетов [5].

Ещё одним из методов защиты интернет-банкинга являются одноразовые  пароли, получаемые в банкомате. При  такой системе защиты, кроме обычного логина и пароля, для входа в  систему и подтверждения операций пользователь должен ввести одноразовый  пароль, список которых он может  получить в банкомате своего банка.