CC BY
75
УДК 004.056.53
СОВРЕМЕННЫЕ СИСТЕМЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
ВИРТУАЛЬНЫХ БАНКОВ
Ю. В. Быкова Научный руководитель - Т. Г. Долгова
Сибирский государственный аэрокосмический университет имени академика М. Ф. Решетнева
Российская Федерация, 660037, г. Красноярск, просп. им. газ. «Красноярский рабочий», 31
E-mail: [email protected]
Описаны виды современных технологий, связанных с защитой информации виртуальных банков, работа которых осуществляется дистанционно.
Ключевые слова: виртуальные банки, система, конфиденциальность, данные.
ADVANCED INFORMATION SECURITY SYSTEMS OF VIRTUAL BANKS
U. V. Bikova Scientific Supervisor - T. G. Dolgova
Reshetnev Siberian State Aerospace University 31, Krasnoyarsky Rabochy Av., Krasnoyarsk, 660037, Russian Federation E-mail: mrlulia2icloud.com
The article describes the types of advanced technologies, connected with the protection of information of Virtual banks that work remotely.
Keywords: Virtual banks, system, confidentiality, records.
В наши дни владение важной информацией предоставляет большие преимущества предприятиям. Рациональное использование информации поддерживает развитие разных направлений деятельности: экономика, бизнес, финансы. Но с другой стороны, хранение определенной информации возлагает на предприятия серьезную ответственность за ее целость и сохранность от случайных и преднамеренных вредоносных воздействий.
В данный момент одним из самых высоко конкурентных является финансовый сектор, главными учреждениями которого выступают банки. Их основными задачами оказываются: снижение операционных издержек, поддержание лояльности существующих и привлечение новых клиентов, поэтому на первое место встают такие информационные технологии, которые позволяют максимально снизить затраты на обслуживание клиентов. В связи с этим известность набирают виртуальные банки, которые имеют значительные отличия от традиционных сетей банковских отделений.
Виртуальный банк - это финансовая организация, которая занимается проведением разнообразных банковских процессов дистанционно через Интернет. Такие банки предлагают абсолютно реальные банковские продукты и услуги на гораздо более выгодных условиях, чем конкуренты. Использование такого вида банков значительно сохраняет время, более того, клиенты имеют возможность оплачивать счета в любое время суток, а так же появляется удобство вести контроль над всеми видами денежных операций по банковским картам. Основной выгодой виртуального банка является низкая стоимость финансовых транзакций. Поэтому даже те клиенты, кто оперирует небольшими денежными суммами, приносят прибыль организации. Главная особенность - взаимодействие с банком полностью строится на дистанционной основе, используются разнообразные многоканальные системы предоставления услуг.
Первым в истории виртуальных банков появился банк Security First Network Bank в Америке в 1995 г. Сейчас во всем мире существует около шести тысячи сайтов, предоставляющие услуги виртуальных банков. В России по самыми известными виртуальными банками являются «Тинькофф кредитные системы» и «Рокетбанк». «Тинькофф банк» стал первым банком, который отказался от отделений, чем заслужил большую популярность серди российских банков.
Секция «Информационно-экономические системы»
Но, как и любой другой информационной структуре, виртуальным банкам присущ один важный недостаток - возможность незаконного доступа к информации. Именно поэтому, помимо выполнения своей непосредственной деятельности, важной задачей виртуальных банков является обеспечение защиты информации. Основными организационными и техническими мерами становятся: защита данных от незаконного доступа, блокировки, копирования, распространения и модифицирования. Конфиденциальность данных - это положение, предоставленное данным и определяющее требуемую степень их защиты. К таким видам доверительных данных можно отнести личные данные пользователей, имена и пароли, информацию о кредитных картах, всевозможные внутренняя документация, протоколы, бухгалтерские материалы. Конфиденциальная информация должна быть известна исключительно авторизированным лицам, прошедшим проверку [1].
Информационные системы виртуальных банков состоят из рабочих мест операторов, оснащенные оборудованием, интегрирующим цифровые показания и звуковые сигналы (например, голоса), а также они имеют надежную защиту благодаря устройствам, которые регистрируют, запоминают голоса и контролируют доступ к системе.
Чтобы управлять своим счетом, клиенты используют мобильные устройства (ноутбук, планшет, смартфон), которые имеют подключение к Интернету. Доступ к услугам виртуального банка осуществляется через любой браузер (Google Chrome, Mozilla Firefox, Safari), установленный на компьютере или персональном устройстве. При этом любая информация, которая была передана клиентом в банк будет шифроваться при помощи специального безопасного Secure Sockets Layer-соединения.
Помимо типовых процедур оформления документов, банк предоставляет клиентам всю необходимую информацию о порядках работы с данным видом банков. В эти порядки входит предоставление возможности самостоятельного выбора систем безопасности для защиты всех электронных счетов клиентов от незаконного взлома. Аутентификация и идентификация - это основа систем защиты информации. Использование карт с переменным одноразовым или многоразовым паролем является одним из методов аутентификации (запрос пароля будет происходить при каждом включении в систему). Так же можно выбрать защиту крипто ключом. В данном случае, на мобильное устройство пользователя будет отправлено сообщение с паролем, который необходим для получения доступа к системе. Более того, существует защита токеном, при которой доступ к персональным данным осуществляется при помощи отпечатков пальцев [2].
У множества виртуальных банков имеется стандартное звено, которое характерно для любого банка: DigitalLightProcessing-система - антивирусная система доступа пользователей к базам данных, осуществляющая контроль пользователей, которым доступны различные подключения, дополнительные элементы, такие как ICQ и Skype. Кроме того, есть составляющее звено, определенное спецификацией работы банка. Также используются такие продукты, как McAfee, Juniper, Balabit, Good for Enterprise, HP Arcsite, Imperva и т. д.
Для контроля доступа к базам данных банки используют программно-аппаратный комплекс Imperva Database Security, который позволяет в клиентских системах таких, как CRM, выявлять странное поведение пользователей, проводить контроль обращений администраторов и обычных пользователей напрямую в базе данных, обеспечивает комплексную прозрачность использования данных, прав доступа и уязвимостей. Главными критериями данного решения являются: гибкость системы, минимальное изменение текущей инфраструктуры при внедрении решения, совокупная цена решения, стоимость владения и технической поддержки, простота в администрировании [3].
Следующее решение в осуществлении информационной безопасности - MDM (Mobile Device Management) - BYOD (Bring Your Own Device), которое предусматривает контроль над мобильными пользователями.
BYOD - это подход к организации рабочего места сотрудника, при котором он применяет свое личное устройство для доступа к информационным ресурсам компании. BYOD-технологии позволяют не только категорировать работников фирмы и простых гостей на этапе аутентификации, но и вводить более сложную иерархию политик доступа к корпоративным ресурсам с учетом типа устройства, с которого пользователь входит в сеть, откуда именно человек заходит в сеть и что делает в сети.
MDM - необходимое решение для сотрудников банка для того, чтобы быть мобильными и эффективными вне офиса, иметь возможность использовать электронную почту. Данное решение состоит из двух частей: контрольного центра и клиентского программного обеспечения, которое включает средство шифрования для обеспечения конфиденциальности рабочих данных, и позволяет держать всю рабочую почту на устройстве в «боксе», находящемся под защитой. В «бокс» помещаются:
электронный почтовый ящик, календарные даты и события. Передача почты с сервера банка на основной модуль выполняется по защищенному узлу.
Если мобильное устройство сотрудника было утеряно или украдено, администратор ИБ благодаря MDM сможет быстро среагировать. «Бокс» с файлами будет уничтожен, либо устройство будет заблокировано, а информация удалена. Подобные действия реализуются специальными командами, отправленными на устройство через консоль. Более того, доступ к «боксу» ограничен паролями разной степени сложности.
MDM-системы могут иметь встроенные антивирусные программы, а так же могут быть частью мульти платформы системы информационной безопасности. Одними из лучших программных продуктов для MDM являются: Good for Enterprise, McaAfee, SAP, MobileIron.
В процессе построения защиты возникают сложности со своевременной обработкой информации. С нарастанием ее объема, администраторам информационной безопасности все сложнее анализировать возникающие угрозы и предотвращать их. На помощь приходят системы категории Security Information and Event Management. SIEM-системы не могут выступать в роли самостоятельного решения для предотвращения случаев нарушения информационной безопасности. Их суть состоит в том, чтобы анализировать информацию, поступающую из различных источников, в дальнейшем выявляя отклонения от норм по заданным критериям. Основными назначениями SIEM-систем выступают: консолидация и хранения журналов событий из различных источников, соотношение и обработка событий по правилам, автоматическое уведомление и предоставление средств для исследования происшествий [4].
Необходимым решением для анализа корпоративных угроз безопасности является система HP ArcSight ESM. Данная система позволяет администраторам информационной безопасности осуществлять необходимый контроль адресов электронной почти, учетные записи пользователей, а также составлять отчеты обо всех действиях пользователей в системе.
С каждым днем развитие информационных технологий стремительно растет, а в организациях происходят кардинальные перемены в системах безопасности, вследствие чего компании-разработчики предлагают новые совершенные решения по защите информационных ресурсов. Но вместе с улучшающими преобразованиями появляются и новые угрозы, а риски в будущем остаются неопределенными, поэтому требования по созданию совершенно новых моделей программных средств будут повышаться, и проблема обеспечения сохранности конфиденциальной информации всегда будет актуальна.
Библиографические ссылки
1. Symantec. Онлайн журнал [Электронный ресурс]. URL: http://c2.cnews.ru/article/item/ intervyu_s_vitseprezidentom_po_bezopasnosti (дата обращения: 05.12.2015).
2. FinansPlay : онлайн журнал [Электронный ресурс]. URL: http://finansplay.com/article/ virtualnye_banki_v_rossii_perspektivy_i_osobennosti_ sotrudnichestva.html (дата обращения: 10.12.2015).
3. Эксперт Online : онлайн журнал [Электронный ресурс]. URl: http://expert.ru/expert/2013/47/ virtualnyij-grabezh/ (дата обращения: 10.12.2015).
4. Digital Russia : онлайн журнал [Электронный ресурс]. URL: http://article.digital-russia. com/tinkoff/ (дата обращения: 10.12.2015).
5. Kovalev V. F., Pustovalov V. V., Senashov S. I. Differential Equations. 1993. Т. 29. С. 1521.
6. Соболь А. С., Сенашов С. И. Обработка «больших данных» в телекоммуникационных компаниях // Актуальные проблемы авиации и космонавтики. 2014. Т. 1. С. 3914.
7. Худяева Т. В., Сенашов С. И. Анализ динамики поступления налогов и сборов по УФНС России по Красноярскому краю // Актуальные проблемы авиации и космонавтики. 2013. Т. 1. С. 440.
8. Александрова У. А., Сенашов С. И. Анализ статистики посещаемости сайта типичного Красноярского кинотеатра // Актуальные проблемы авиации и космонавтики. 2014. Т. 1. С. 356.
© Быкова Ю. В., 2016
