Модель программно-аппаратного комплекса для эмуляции уязвимостей систем дистанционного банковского обслуживания
Системы дистанционного банковского обслуживания. Обслуживание с использованием банкоматов (ATM-banking) и устройств банковского самообслуживания. Методы анализа защищённости автоматизированных систем управления от угроз информационной безопасности.
| Рубрика | Банковское, биржевое дело и страхование |
| Вид | статья |
| Язык | русский |
| Дата добавления | 06.05.2019 |
| Размер файла | 1,5 M |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
Размещено на http://www.allbest.ru/
Модель программно-аппаратного комплекса для эмуляции уязвимостей систем дистанционного банковского обслуживания
Кобилев М.А., Абрамов Е.С., Половко И.Ю.
Институт Компьютерных Технологий и Информационной Безопасности Южного
Федерального Университета
Таганрог, Россия
Аннотация
В статье представлена модель программно-аппаратного комплекса эмуляции уязвимостей систем дистанционного банковского обслуживания. Был проведен анализ возможности реализации проекта и его дальнейшее внедрение в процесс обучение специалистов по направлению информационная безопасность.
Ключевые слова: дистанционное банковское обслуживание, электронные деньги, уязвимости ДБО, интернет банкинг, мобильный банкинг
Введение
В наше время интернет используется повсеместно - у каждого есть один, два, а то и три устройства, способные выйти в глобальную сеть. Настоящие деньги меняются электронными. В погоне за удобством используют различные способы хранения и использования сбережений. Хранить деньги наличными не безопасно, но безопасно ли хранить их в банках, предоставляющих услуги дистанционного управления своим счетом.
Системы дистанционного банковского обслуживания
защищённость банкомат информационный безопасность
ДБО - общий термин для технологий предоставления банковских услуг на основании распоряжений, передаваемых клиентом удаленным образом, чаще всего с использованием компьютерных и телефонных сетей.
Технологии ДБО можно классифицировать по типам информационных систем (программно-аппаратных средств), используемых для осуществления банковских операций:
Системы «Клиент-Банк» (PC-banking, remote banking, direct banking, home banking) - это системы, доступ к которым осуществляется через персональный компьютер. Системы «Клиент-Банк» позволяют отправлять платежи в банк и получать выписки по счетам (информацию о движениях средств на счёте) из банка. Банк при этом предоставляет клиенту: техническую и методическую поддержку при установке системы, начальное обучение персонала клиента, обновление программного обеспечения и сопровождение в процессе дальнейшей работы.
В целях безопасности в системах «Клиент-Банк» используются различные системы криптографической защиты информации (СКЗИ), обеспечивающие шифрование и контроль целостности передаваемой в Банк информации. Системы «Клиент-Банк» принципиально подразделяются на 2 типа: толстый клиент и тонкий клиент.
Банк-Клиент ("толстый клиент") - на рабочей станции пользователя устанавливается отдельная программа-клиент. Программа-клиент хранит на компьютере все свои данные, как правило, это платёжные документы и выписки по счетам. Программа-клиент может соединяться с банком по различным каналам связи.
Преимуществом некоторого вида систем «толстых клиентов» является их богатый внутренний функционал по разделению ролей пользователей и разбору инцидентов.
Интернет-Клиент (тонкий клиент) - пользователь входит в систему через Интернет браузер. Система Интернет-Клиент размещается на веб-сервере банка. Все данные пользователя доступны на веб-сайте банка. По технологии Интернет-Клиент строятся также системы для мобильных устройств (mobile-banking). На основе Интернет-Клиента могут предоставляться информационные сервисы с ограниченным набором функций.
У дистанционного банковского обслуживания через Интернет есть ряд как преимуществ, так и недостатков. К преимуществам для организаций, предоставляющих такие услуги, можно отнести:
• Невысокую стоимость эксплуатации интернет-системы;
• Возможность интеграции с бухгалтерскими системами клиента;
• Доступность интернет-услуг для конечного пользователя;
• Поддержание лояльности клиентов, активно использующих данные услуги.
К недостаткам относится в первую очередь слабая защищённость интернет-решений от несанкционированного доступа.
Поддержание уровня защиты на надлежащем уровне требует значительных материальных затрат, которые могут себе позволить, в основном, крупные банки, рассчитывающие на значительные доходы от предоставления подобных услуг.
Обслуживание с использованием банкоматов (ATM-banking) и устройств банковского самообслуживания.
Технологии ДБО с использованием устройств банковского самообслуживания являются одними из наиболее популярных как в мире, так и в России.
Банкоматы и терминалы попадают в категорию ДБО, так как почти полностью предоставляют банковские услуги дистанционно, без посещения клиентом банковской организации. Кроме того, важным фактором для включения их в эту категорию является возможность дублирования основных функций стандартного банк-клиента, который банк предоставляет частным лицам для осуществления платежей.
Уязвимости систем ДБО
В основе данного анализа лежит отчет российской компании Positive Technologies, в котором приводилась статистика уязвимостей систем дистанционного банковского обслуживания за 2011 и 2012 годы, собранная специалистами этой компании в ходе проведения работ для ряда крупных российских банков [1].
55% рассмотренных систем ДБО построены на базе решений, поставляемых известными производителями. Менее половины исследованных систем представлены собственными разработками.
В ходе анализа выявлено большое количество уязвимостей различного уровня риска, при этом высокую степень риска имеют 8% уязвимостей, среднюю -- 51%, и больше количество уязвимостей (41%) имеют низкую степенью риска.
В ходе анализа выявлено большое количество уязвимостей различного уровня риска, при этом высокую степень риска имеют 8% уязвимостей, среднюю -- 51%, и больше количество уязвимостей (41%) имеют низкую степенью риска.
Наиболее распространенные уязвимости связаны с недостатками парольной политики (82%) и слабой защитой от атак, направленных на подбор учетных данных пользователей (82%). Во многих системах присутствует также раскрытие информации о версиях используемого программного обеспечения (73%), которое облегчает планирование атак на уязвимую систему. Среди уязвимостей уровня исходного кода веб-приложения широко распространены недостатки, приводящие к межсайтовому выполнению сценариев (64%), что делает возможным проведение атак на компьютеры пользователей (например, с использованием методов социальной инженерии).
Самые распространенные уязвимости имеют средний и низкий уровни риска. Однако сочетание подобных недостатков, а также наличие характерных для отдельной системы критических уязвимостей может привести к серьезным последствиям, в том числе к получению полного контроля над системой.
Более чем в 70% случаев было установлено, что злоумышленник может либо получить доступ к операционной системе или СУБД системы ДБО на уровне сервера, либо проводить несанкционированные транзакции на уровне отдельных пользователей. Уязвимости, приводящие к реализации подобных угроз, присутствуют как в системах собственной разработки, так и в системах, предоставленных внешними производителями.
В ходе проведенного исследования было показано, насколько уязвимы современные системы дистанционного банковского обслуживания.
Кроме того, необходимо уделить особое внимание корректной реализации механизмов защиты, особенно в части аутентификации и авторизации, а также обеспечить контроль качества кода веб-приложения. При эксплуатации системы необходимо регулярно проводить анализ защищенности, проверять корректность настроек компонентов системы ДБО и обновлять программное обеспечение до актуальных версий.
Обеспечение безопасности системы ДБО, как и любой информационной системы, требует комплексного подхода на всех этапах ее жизненного цикла.
Результаты проведенного исследования лишний раз подтверждают, что перед вводом системы ДБО в эксплуатацию необходимо проводить анализ ее защищенности, в том числе для систем, предоставляемых профессиональными производителями.
Для продуктивных систем, приобретаемых у профессиональных производителей, рекомендуется использовать межсетевой экран уровня приложения с целью исключения эксплуатации уязвимостей в коде приложения до выпуска производителем обновления.
Реализация процесса безопасной разработки и регулярный контроль защищенности системы ДБО позволят снизить риски несанкционированного доступа к системе и сохранить в целости денежные средства клиентов банка
Степень защищенности систем ДБО выше, чем в среднем у других приложений, с которыми приходится сталкиваться специалистам Positive Technologies, и критические уязвимости (RCE, SQL Injection) встречаются в них не так часто. Но, несмотря на это, комбинация некритических ошибок безопасности все равно может приводить к тому, что злоумышленник получает возможность обойти антифрод-системы и совершать неавторизованные транзакции [2].
Модель системы ДБО
Разрабатываемая модель системы состоит из программной и аппаратной части. Структурная схема стенда представлена на рисунке 1, а функциональное назначение каждого модуля описано в таблице 1.
Размещено на http://www.allbest.ru/
Размещено на http://www.allbest.ru/
Рисунок 1 - Схема взаимодействия компонентов модели
Таблица 1 - Функциональное назначение модулей
|
Модуль |
Функциональное назначение |
|
|
Клиенты |
Система "Клиент-БАНК". Кошёлек - приложение для управление личным, используя сетевые технологии, взаимодействую с сервером Банка, предоставляющим API.Реализована в виде:- Web приложения для браузеров.- Android, iOS, Windows Phone приложения для КПК.- Приложения для ОС Windows, Linux, MacOS. |
|
|
Банк API |
Система ДБО.Web сервер, предоставляющий API. Реализует функции управления счетом, хранения данных о пользователях и операциях со счетами.Сервер БД. |
|
|
Терминал |
Банковский терминал самообслуживания. Выполняет функции приема платежей за услуги мобильной связи, перевод со счета на счет, оплата гос. услуг, пополнение счета и т.д |
Внедрение в образовательный процесс
Предлагаемый программно-аппаратный комплекс позволяет имитировать функционирование типовой системы ДБО. Данный комплекс является базой для проведения лабораторно-практических работ по курсам «Безопасность сетей ЭВМ», «Технологии обнаружения атак» и аналогичных курсах, в которых изучаются технологии и методы анализа защищённости автоматизированных систем управления от угроз информационной безопасности.
Создается заранее уязвимая система с типовым набором уязвимостей ДБО, которые предстоит найти студентам [3]. Задачей студентов является поиск, эксплуатация уязвимостей системы и выработка контрмер. Целями являются мобильные приложения Интернетклиентов банка, терминал обслуживания, коммуникационные каналы и имитируемая система ДБО.
Результатами работы с программно-аппаратным комплексом будет являться овладение навыками классификации и формализации уязвимостей, исследования защищённости банковских систем и автоматизированных систем управления.
Заключение
В работе описана модель программно-аппаратного комплекса для эмуляции уязвимостей система ДБО, а также рассмотрена возможность создания лабораторного стенда и последующее внедрение его в процесс обучения специалистов по направлению подготовки «Информационная безопасность».
Размещено на Allbest.ru
...Подобные документы
Информационные технологии, нормативная база и риски в сфере дистанционного банковского обслуживания. Анализ тенденций развития банковских услуг по дистанционному обслуживанию в России. Системы дистанционного банковского обслуживания юридических лиц.
дипломная работа [1,6 M], добавлен 02.06.2011Понятие и характеристика услуг дистанционного банковского обслуживания. Обоснование внедрения усовершенствованной системы Интернет-банк (Prior Online). Особенности взаимодействия и принципы работы человека с системой дистанционного обслуживания.
дипломная работа [858,5 K], добавлен 02.06.2010Характеристика видов и значения удаленного дистанционного банковского обслуживания клиентов. Анализ использования системы удаленного дистанционного банковского обслуживания в "Сбербанк России". Изучение электронных каналов обслуживания физических лиц.
курсовая работа [181,7 K], добавлен 02.04.2015Понятие и основные формы дистанционного банковского обслуживания, особенности его предоставления юридическим и физическим лицам. Анализ проблем и перспектив развития российского рынка дистанционного банковского обслуживания коммерческими банками.
курсовая работа [542,0 K], добавлен 09.10.2015Анализ российского рынка дистанционного банковского обслуживания. Риски, связанные с использованием данной технологии. Уровень проникновения систем ДБО юридических и физических лиц. Основные проблемы и направления развития электронных банковских услуг.
курсовая работа [1,4 M], добавлен 12.03.2015История внедрения информационных банковских технологий в сферу клиентского обслуживания. Особенности изменения банковского бизнеса и моделей банковского обслуживания. Перспективы и принципы развития отечественного дистанционного банковского обслуживания.
дипломная работа [1,4 M], добавлен 19.06.2019Место банка на рынке банковских услуг Санкт-Петербурга. Кредитная и депозитная политики банка. Порядок оценки рисков по различным видам деятельности в сфере дистанционного банковского обслуживания. Анализ кредитного портфеля. Порядок предоставления услуг.
отчет по практике [1,6 M], добавлен 14.04.2015Соотношение гражданского и банковского права. Субъекты обязательств, возникающих в сфере банковского обслуживания. Договор банковского счета, виды счетов. Особенности договора банковского счета с участием граждан. Расчетные обязательства по договорам.
курсовая работа [40,6 K], добавлен 16.06.2014Private banking как форма управления частными капиталами. Источники формирования и развития рынка индивидуального банковского обслуживания состоятельных клиентов. Отличительные черты и проблемы российского рынка индивидуального банковского обслуживания.
курсовая работа [828,2 K], добавлен 03.03.2016Понятие и сущность Private banking. Нормативное и правовое регулирование банковского обслуживания по типу Private banking. Организационно-экономическая характеристика "ВТБ 24". Анализ практики обслуживания клиентов ВТБ 24 (ПАО) в Private banking.
дипломная работа [651,2 K], добавлен 12.11.2017Способы банковского обслуживания физических и юридических лиц: безналичные расчеты, пластиковые карточки и чеки; система "Клиент-банк"; "Home banking" – обслуживание на дому и на рабочем месте; операции с драгоценными металлами; консалтинговые услуги.
реферат [62,0 K], добавлен 30.04.2012Виды дистанционного банковского обслуживания в РФ - технологий предоставления банковских услуг на основании распоряжений, передаваемых клиентом удаленным образом, чаще всего с использованием компьютерных и телефонных сетей. Финансовое регулирование.
контрольная работа [31,2 K], добавлен 11.12.2012История появления электронных банковских услуг в России. Классификация технологий дистанционного банковского обслуживания. Пластиковые карты как одна из основ системы электронных расчетов. Специфика работы банкоматов, терминалов и интернет-банков.
реферат [406,7 K], добавлен 06.12.2014Дистанционное банковское обслуживание коммерческим банком, виды: системы "Клиент-Банк", Интернет-банкинг, "Телефон-Банк"; использование устройств банковского самообслуживания. Система "Home banking", ее защита и достоинства; финансовое регулирование.
дипломная работа [19,9 K], добавлен 02.03.2012Значение обслуживания физических лиц для коммерческих банков. Организация банковского обслуживания физических лиц в филиале КБ Далькомбанк г. Биробиджан. Российский и зарубежный опыт совершенствования банковского обслуживания клиентов – физических лиц.
дипломная работа [1,6 M], добавлен 03.12.2007Деятельность банка как современного финансового института, оптимизация бизнес-процессов путем дистанционного банковского обслуживания. Классификация моделей цифрового банкинга и оптимизация процесса заключения договора на обслуживание дебетового счета.
контрольная работа [968,3 K], добавлен 17.06.2017Теоретические и организационные аспекты дистанционного банковского обслуживания. Основные проблемы и направления развития электронных банковских услуг на российском рынке. Разработка эффективных механизмов взаимодействия банка и розничных клиентов.
дипломная работа [222,9 K], добавлен 07.12.2014Private Banking как направление деятельности банков, особенности и параметры организации банковского обслуживания в рамках Private Banking в России и за рубежом. Требования к комплексу услуг Private Banking в коммерческих банках, целевой сегмент клиентов.
дипломная работа [753,5 K], добавлен 31.01.2014Понятия и виды банковского вклада и банковского счета, особенности их открытия и ведения. Принципы организации расчетно-кассовых операции банка. Ответственность банка перед клиентом. Структура договора банковского счета, расчетно-кассового обслуживания.
курсовая работа [65,2 K], добавлен 18.04.2010Обобщение рекомендаций по совершенствованию банковского обслуживания субъектов внешнеэкономической деятельности. Мероприятия по стимулированию продаж банковских продуктов путем внедрения лояльных условий по международным расчетам для постоянных клиентов.
курсовая работа [453,3 K], добавлен 18.05.2011
