Информационная безопасность

С точки зрения безопасности такая система имеет преимущество — чтобы совершать операции по карточному счету через интернет-банкинг, лицо должно как минимум иметь  в наличии непосредственно саму карту, а также знать ПИН-код, чтобы  получить список паролей в банкомате.

Вместе с тем нельзя не отметить ряд недостатков такой  системы защиты. Одним из них является то, что список паролей, распечатанный  в виде чека из банкомата, необходимо хранить для подтверждения будущих  операций. А это значит, что при  его потере появится необходимость  приобретать новый.

Также существуют одноразовые SMS-пароли — это система, при которой каждая операция, осуществляемая посредством он-лайн — банкинга, должна быть подтверждена одноразовым паролем, который пользователь получает в SMS-сообщении на мобильный телефон. При этом мобильный номер должен быть «привязан» к номеру счета. Такая система имеет ряд преимуществ. Во-первых, она достаточно проста в использовании — нет необходимости в специальном оборудовании, а процедура подтверждения операции занимает всего несколько минут. Во-вторых, она позволяет обезопасить учетную запись от использования злоумышленниками — даже если мошенникам станет известен логин и пароль для входа в систему, они не получат доступ к деньгам, а пользователь узнает о попытке провести несанкционированную операцию из SMS-сообщения [6].

Одним из эффективных направлений  защиты информации является криптография или криптографическая информация, широко применяемая в различных  сферах деятельности в государственных  и коммерческих структурах [7].

В отличие от традиционных систем шифрования, в которых один и тот же ключ используется и для  шифрования, в методах несимметричного  шифрования — системах с открытым ключом, предусмотрены два ключа, каждый из которых невозможно вычислить  из другого. Один ключ — открытый, используется отправителем для шифрования информации, другим — закрытым, получатель расшифровывает полученный зашифрованный текст. Электронная  цифровая подпись — механизм чаще используется при обслуживании банками компаний, но иногда его предлагают и индивидуальным клиентам. Преимущество электронной цифровой подписи в том, что она позволяет однозначно идентифицировать пользователя. Недостаток же заключается в том, что электронная цифровая подпись также может быть уязвима для мошенников. Злоумышленники могут добраться до ключа от цифровой подписи, заразив компьютер вредоносным программным обеспечением.

На сегодняшний день также  распространены внешние электронные устройства. Некоторые банки предлагают пользователям он-лайн банкинга приобрести или взять в аренду специальное устройство — генератор одноразовых паролей. Генератор подключается к компьютеру через usb-порт и не требует специального программного обеспечения. Другие учреждения предлагают использовать внешний электронный ключ, который генерируется при первом подключении к системе Интернет-банкинга, записывается на внешний носитель и затем используется при проведении операций в системе. Такие системы являются упрощенной версией электронной цифровой подписи.

Помимо перечисленных  мер, банки зачастую применяют дополнительные меры для обеспечения безопасного  пользования интернет-банкингом:

— ограничение использования  личного сертификата — система  некоторых банков позволяет использовать электронный ключ или электронный  сертификат только на том компьютере, на котором он был сгенерирован. Таким образом, осуществлять платежи  через Интернет-банкинг можно  только со своего личного компьютера, при том, что просматривать выписки  по счету можно и на других устройствах;

— виртуальная клавиатура — предназначена для того, чтобы  мошенники не могли считывать  регистрационные данные при вводе  их с обычной клавиатуры с помощью  компьютерных вирусов;

— ограничение длительности сессии — в случае неактивности пользователя, сессия в системе Интернет-банкинга через определенное время будет  закрыта. После этого для возобновления  работы потребуется заново пройти аутентификацию;

— история подключений  — с помощью этой функции пользователь Интернет-банкинга узнает, если кто-то кроме него подключался к системе, а также может отследить все  несанкционированные операции [6].

Но все же решить проблему обеспечения надежности информационной безопасности исключительно с помощью  технических средств и программного обеспечения невозможно. По мнению специалистов, защита корпоративных  информационных систем зависит от ряда факторов: на 30% — от применяемых  технических решений; на 40% — от проводимых в учреждении организационных мероприятий и на 30% — от морально-нравственного состояния общества и общекультурного уровня пользователя.

Более половины кредитных  организаций не имеют специалистов по информационной безопасности. Некоторые  банки администрируют задачи филиалов с удаленных и головных офисов. Но эти мероприятия носят фрагментарный  характер, поэтому задачи по обеспечению  безопасности практически не решаются. Особенно не защищены филиалы, где системы  часто не настроены, внутренние сети, как правило, соединены с внешними, неправильно эксплуатируются межсетевые экраны и средства АРМ-клиента Банка России. На откуп специалистам IT функции безопасности передают 42% банковских подразделений. Но для них это направление работы является непрофильным, носит второстепенный и фрагментарный характер [8].

Необходимо помнить, что  проблемы безопасности онлайновых услуг  связаны также и с отсутствием  нормативно-правовой базы: закона об электронно-цифровой подписи, комплекта нормативных  актов прямо регулирующих права  и обязанности участников оборота  онлайновых финансовых услуг, гарантий по выполнению распоряжений отданных в электронной форме, толкования подобных операций соответствующими контролирующими  и надзорными ведомствами, все эти  обстоятельства тормозят развитие электронных  банковских услуг. Кроме того, отсутствие стандартизированных шифровальных протоколов для передачи информации через Интернет не прибавляет активности потенциальным банковским клиентам. Сегодня вопросы обеспечения безопасности онлайновых банковских операций каждый банк решает в отдельности путём использования профессиональных средств защиты. Однако банкам потребуется немало времени и усилий, прежде чем они смогут заручиться доверием таких средств защиты у значительной массы клиентов.

Из всего вышесказанного видно, что работа по проведению защитных мероприятий ведется, но сложности  еще остаются. Эта деятельность предполагает создание большого числа все более  сложных алгоритмов шифрования, специальных  программ для перехвата и нейтрализации  атак. Специалисты в этой области, как в нашей стране, так и  за рубежом много полезного уже  осуществили в сфере разработок новых программных средств для «отслеживания» и «улавливания» атак, чего нельзя не заметить. Однако у систем электронной коммерции всё еще остаются много неустраненных уязвимостей. Поэтому их необходимо тщательно изучать и стараться быстрее устранять. От этого зависит как-никак объем продаж, а значит, и доходность данного сектора коммерции.

2. Системы управления  контентом (CMS).

Аббревиатура CMS расшифровывается как «Content Management Software» («программное обеспечение для управления содержимым»). В нашей стране принято последнюю букву «S» расшифровывать как «System», а по-русски это обычно звучит как «Система управления контентом». Английское слово content означает «нечто, содержащееся внутри» и применительно к письменным работам обычно входит в словосочетание table of contents — содержание, перечень разделов (скажем, книги). Отличительная черта контента состоит в том, что он конструируется из отдельных кусочков - графика, документы (в том числе отчеты, ведомости и.т.д), звуковые и видео-файлы. Иногда употребляется более простое название - "движок сайта".

CMS появились не так давно. Первой системой принято считать Vignette, которая появилась на западе в 1995 году. В нашей стране решения по управлению контентом появились значительно позже.

История управления контентом  началась с управления документами  в классическом понимании этого  слова - текстовыми файлами. По мере развития понятия «документ», системы управления документами стали называть системами  управления контентом, подчёркивая  способность таких систем управлять  информацией независимо от формы  ее представления, а также отделить информацию-контент от документа-формы. Однако абстрактно управлять информацией  невозможно — она обязательно  должна быть представлена в какой-либо форме. Пытаясь управлять контентом, мы неизбежно приходим к управлению документами. Системы управления контентом, действительно, «научились» разделять  управление документами (хранение, изменение  и т.п.) и их представление конечному  пользователю. Но они все-таки управляют  документами в какой-то форме, а не информацией.

Само понятие «управление  контентом» первоначально прочно ассоциировалось  с процессом публикации и обновления информации на Web-сайтах — требовалась технология, позволяющая следить за ее актуальностью. Поэтому в качестве синонима content management часто используют термин Web content management. В результате термин content management расширился: им стали обозначать управление не только информацией на сайте, но и всеми разрозненными и разнообразными фрагментами корпоративной информации. Есть и другие определения. Скажем, в энциклопедии Wikipedia системой управления контентом названа система, применяемая для организации и упрощения совместного создания содержимого.

Необходимость систем управления для владельцев сайтов начала проявляться  в тот момент, когда количество материалов на веб-сайтах начало стремительно расти. Это привело к тому, что традиционные «ручные» технологии разработки и поддержки сайтов, когда сайт состоял из статических страниц и набора дополнительных специализированных скриптов, стали не успевать за быстро меняющимися условиями бизнеса. Ввод данных на сайт требовал (как минимум) знания технологий HTML/CSS верстки, изменения структуры сайтов были сопряжены с каскадным изменением большого количества взаимосвязанных страниц. Различные автоматизированные механизмы, вроде гостевых книг и новостных лент, внедренные на сайтах как отдельные скрипты и, как правило, написанные разными специалистами, перестали удовлетворять требованиям безопасности. На многих сайтах стали появляться коктейли из разных технологий и подходов к разработке, поэтому возникла потребность в стандартизации программных решений, в разделении дизайна и содержимого на две независимые составляющие. CMS действительно разделяют сайты на две составляющие: дизайн (внешний вид сайта в целом, отдельных страниц, конкретных блоков информации) и контент. Дизайн сайта, как правило «зашит» в шаблоны и изменяется значительно реже, чем контент.

CMS открывают изобилие технических возможностей в создании динамического веб-ресурса. Все серьезные сайты, содержащие большой объем информации и требующие постоянного ее обновления, используют системы обновления. Это и поисковые машины, и новостные серверы, и разнообразные каталоги. С помощью данных систем можно с легкостью добавлять разделы, размещать иллюстрации, управлять рассылками, публиковать закрытую информацию, доступ к которой есть только у определенных групп пользователей. И это лишь небольшой список всего того, чего можно добиться с помощью CMS.

Анализ основных функций  современных систем управления сайтами. Система управления сайтами – это программный комплекс, позволяющий автоматизировать процесс управления как сайтом в целом, так и сущностями в рамках сайта: макетами страниц, шаблонами вывода данных, структурой, информационным наполнением, пользователями и правами доступа, а также по возможности предоставляющий дополнительные сервисы: списки рассылки, ведение статистики, поиск, средства взаимодействия с пользователями и т. д. Обычно системы обновления делятся на две части: внешнюю – набор HTML-страниц, генерируемых при вызове страниц из браузера посетителя сайта и внутреннюю – систему администрирования. Обе части обычно используют общее хранилище данных, в роли которого, как правило, выступает реляционная база данных (иногда встречаются другие виды хранилищ, например XML-документы или даже текстовые файлы).

В хранилище помещается информация, содержащаяся на сайте (собственно контент), а также информация, описывающая  его (макеты страниц, структура, права  доступа и пр.). При вызове страницы скрипт, который должен эту страницу вывести, в зависимости от полученных параметров выбирает из базы данных необходимую  информацию (какое содержимое показать, какие ссылки поставить, как это  все расположить и т.д.) и генерирует HTML-документ, который и подается браузеру. Помимо этого обязательно имеется интерфейс к базе данных, реализующий систему администрирования, которая при авторизованном доступе позволяет изменять содержание и структуру сайта.

Функционал CMS должен осуществлять следующие пункты:

• Контроль прав изнутри системы. Это означает, что можно назначить пользователей, которым доступны те или иные опубликованные документы.
• Интеграция контента. Возможность перенести готовый контент в новое решение.
• Поддержка документов различного типа. Хранение и сортировка любых документов, включая графику, аудио и видео, в центральном репозитарии.
• Подробная качественная документация и контекстно-интеллектуальная справка.
• Рейтинговая система оценки статей сайта.
• Шаблонные изменения. Общие изменения форматирования информации одной части сайта отображаются на весь сайт.
• Настраиваемые деловые процессы. Создание своих автоматизированных деловых процессов для конкретного контента (изображений, статей и др.).
• Маркировка документов. Возможность добавлять новые категории и маркеры к документам до и после их размещения в репозитарии.
• Контроль версий. Создание новых версий, просмотр и возврат к предыдущим версиям документов.
• Инструмент визуальной администрации. Позволяет авторам, не прибегая к программированию, легко управлять контентом. Обычно это реализуется с помощью HTML-форм.

Cовременная качественная CMS должна обладать следующими характеристиками:

1. Простая инсталляция. Самая первая стадия эксплуатации CMS – её инсталляция. Процесс должен быть максимально задокументирован, упрощён и последователен – не стоит сразу начинать настраивать таблицы баз данных или править конфигурационные файлы. Это должна быть простая процедура, выполняемая с помощью визарда или скрипта установки. Плохо, если процесс состоит из более чем двадцати шагов - изменения конфигурационных файлов, создания и удаления папок и т.д. Скачать, распаковать и запустить мастер установки - вот к чему должна сводиться процедура.