Информационная безопасность

Что представляют собой современные банковские системы


К нынешним автоматизированным банковским системам (АБС) предъявляются очень строгие требования как со стороны банков-пользователей, так и со стороны государственных и контролирующих органов. Производители АБС должны динамически подстраивать свою продукцию под изменяющиеся нормативы и отчетные требования, предъявляемые к ведению банковского бизнеса.

Практически все бизнес-процессы финансового учреждения связаны с обработкой или пересылкой некоторой информации. Сейчас вряд ли найдется банк, не автоматизировавший процесс работы с бизнес-информацией. Постоянно растет число банков, использующих Интернет и удаленный доступ к своим системам.

Только комплексная информационная банковская система, интегрирующая различные сферы деятельности банка, способна полностью автоматизировать и объединить в единое целое бизнес-процессы финансового учреждения. Работа с клиентами, начисление процентов, предоставление всевозможных банковских услуг должны быть увязаны с внутрихозяйственной деятельностью банка, с бухгалтерией. Комплексная система, поддерживающая централизованную обработку, мультивалютность и автоматизацию основных финансовых операций, позволяет эффективно проводить управление, контроль, получение отчетов о текущей деятельности всех филиалов банка.

Прежде всего АБС является инструментом управления бизнесом. Среди функций, присущих современным комплексным АБС, можно выделить следующие:

  • операционный день;
  • операции на фондовом рынке, работа банка с ценными бумагами;
  • внутрихозяйственная деятельность;
  • розничные банковские услуги;
  • дистанционное банковское обслуживание;
  • электронные банковские услуги;
  • расчетный центр и платежная система (карточные продукты);
  • интеграция бэк-офиса банка с его внешними операциями;
  • управление деятельностью банка, реализация бизнес-логики, контроль, учет, в том числе налоговый, и отчетность;
  • управление рисками и стратегическое планирование;
  • программы лояльности клиентов, маркетинговая, рекламная и PR-службы.

Приведенные основные функции АБС реализуются посредством следующих технологий:


  • системы управления базами данных (распределенных);
  • хранилища данных, OLAP- и OLTP-технологии обработки данных (системы оперативной аналитической обработки и системы оперативной обработки транзакций);
  • системы поиска, извлечения и подготовки достоверных данных;
  • распределенная вычислительная система, организация коллективной работы пользователей, создание реального информационного пространства банка, включая филиалы, клиентов и партнеров;
  • безопасное подключение информационной системы банка к внешним вычислительным сетям (Интернет);
  • организация безопасной, достоверной передачи данных по общедоступным каналам связи (криптография: шифрование и электронная цифровая подпись (ЭЦП), организационные меры), электронный документооборот;
  • техническое, программное, математическое и другое обеспечение;

  • информационная аналитика и системы поддержки принятия решений (decision support systems, DSS);
  • защита хранимой и обрабатываемой информации, всей АБС в целом;

  • системы удаленной работы с фондовыми рынками и программы предсказания поведения курсов;
  • CRM-системы управления отношениями с клиентами;
  • программы реализации фронт-офиса взаимодействия с клиентами;
  • системы поддержки внутренней организации, менеджмента и исполнительной деятельности персонала;
  • разграничение доступа к информации разного уровня секретности;

  • антивирусная защита;
  • интернет-магазины и интернет-карточки;
  • центры обработки вызовов (call-центры) и IP-телефония;
  • поддержка различных каналов доступа: Интернет, телефон, мобильная сеть, SMS, WAP и др.;
  • поддержка множественных стандартов учета, включая управленческий учет;
  • поддержка и исследования в области планомерного информационного развития АБС.


Среди первоочередных эксплутационных требований, предъявляемых АБС, в первую очередь хотелось бы выделить надежность и безопасность. Сбой программного обеспечения (ПО) или злоумышленное вторжение в территориально-распределенную банковскую информационную систему могут иметь очень печальные последствия, характеризуемые количественно (величиной ущерба) или качественно (падением имиджа, срывом переговоров и т. п.).





Многочисленные попытки взломов и успешные нападения на банковские вычислительные структуры и порталы остро ставят проблему обеспечения информационной безопасности.

Среди компонентов, образующих АБС, выделим следующие, реализуемые путем использования общедоступных сетей:


  • банк -- клиент;
  • Интернет -- клиент;
  • офис -- удаленный менеджер;
  • головной офис -- региональные офисы/отделения;
  • интернет-трейдинг.


Доступ к сервисам, которые предоставляет данное программное обеспечение, осуществляется через открытые сети, использование которых таит в себе многочисленные информационные угрозы.

Наиболее распространенные из них:


  • несанкционированный доступ к ресурсам и данным системы: подбор пароля, взлом систем защиты и администрирования, маскарад (действия от чужого имени);
  • перехват и подмена трафика (подделка платежных поручений, атака типа "человек посередине");
  • IP-спуфинг (подмена сетевых адресов);
  • отказ в обслуживании;
  • атака на уровне приложений;
  • сканирование сетей или сетевая разведка;
  • использование отношений доверия в сети.


Причины, приводящие к появлению подобных уязвимостей:


  • отсутствие гарантии конфиденциальности и целостности передаваемых данных;
  • недостаточный уровень проверки участников соединения;
  • недостаточная реализация или некорректная разработка политики безопасности;
  • отсутствие или недостаточный уровень защиты от несанкционированного доступа (антивирусы, контроль доступа, системы обнаружения атак);
  • существующие уязвимости используемых операционных систем (ОС), ПО, СУБД, веб-систем и сетевых протоколов;
  • непрофессиональное и слабое администрирование систем;
  • проблемы при построении межсетевых фильтров;
  • сбои в работе компонентов системы или их низкая производительность;
  • уязвимости при управлении ключами.


Наиболее часто информационное пространство банковской системы используется для передачи сообщений, связанных с движением финансов.

Основные виды атак на финансовые сообщения и финансовые транзакции:


  • раскрытие содержимого;
  • представление документа от имени другого участника;
  • несанкционированная модификация;
  • повтор переданной информации.




Для предотвращения этих злоупотреблений используются следующие средства защиты:


  • шифрование содержимого документа;
  • контроль авторства документа;
  • контроль целостности документа;
  • нумерация документов;
  • ведение сессий на уровне защиты информации;
  • динамическая аутентификация;
  • обеспечение сохранности секретных ключей;
  • надежная процедура проверки клиента при регистрации в прикладной системе;
  • использование электронного сертификата клиента;
  • создание защищенного соединения клиента с сервером.


В общедоступных сетях распространены нападения хакеров. Это высококвалифицированные специалисты, которые направленным воздействием могут выводить из строя на длительное время серверы АБС (DoS-атака) или проникать в их системы безопасности. Практически все упомянутые угрозы способен реализовать хакер-одиночка или объединенная группа. Хакер может выступать как в роли внешнего источника угрозы, так и в роли внутреннего (сотрудник организации).


Содержание раздела