WYBRANE ASPEKTY BEZPIECZEŃSTWA
DANYCH BANKOWYCH
WYBRANE ASPEKTY BEZPIECZEŃSTWA
DANYCH BANKOWYCH
Polityka Bezpieczeństwa
Polityka bezpieczeństwa organizacji
definiuje poprawne i niepoprawne sposoby
wykorzystywania kont użytkowników i
danych przechowywanych w systemie.
Określaniem polityki bezpieczeństwa
zajmuje się zarząd organizacji, managerzy
odpowiedzialni za bezpieczeństwo w ścisłej
współpracy z administratorami systemu
informatycznego.
Określanie strategii realizacji polityki
bezpieczeństwa należy do
administratorów
,
natomiast zadania
opracowywania i realizacji taktyk
współdzielą administratorzy i użytkownicy.
Podstawy i wymagania prawne
•
ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I
ADMINISTRACJI
1
z dnia 29 kwietnia 2004 r.
w sprawie dokumentacji przetwarzania danych
osobowych oraz warunków technicznych
i organizacyjnych, jakim powinny odpowiadać
urządzenia i systemy informatyczne służące do
przetwarzania danych osobowych
(Dz. U. z dnia 1 maja 2004 r.) nr 100
•
REKOMENDACJA D GENERALNEGO INSPEKTORATU
NADZORU BANKOWEGO NBP z 2002 r dotycząca
zarządzania ryzykami towarzyszącymi systemom
informatycznym i telekomunikacyjnym używanym przez banki
Zagadnienia szyfrowania danych
oferowane przez
Asseco Poland SA
• Systemy szyfrowania połączeń typu klient-
serwer (połączenia SSH do systemu DefBank )
• Systemy szyfrowania połączeń transmisji
danych (VPN)
• Szyfrowanie danych wynoszonych z banku
w postaci elektronicznej
Rola Polityki Bezpieczeństwa
w ochronie informacji
ODPOWIEDZIALNOŚĆ ZA STWORZENIE I REALIZACJĘ POLITYKI
BEZPIECZEŃSTWA SPOCZYWA NA KIEROWNICTWU BANKU *
Rekomendacja D GINB
Podstawowe elementy efektywnego procesu zabezpieczenia
systemów informatycznych zawarte w Polityce
Bezpieczeństwa:
podział kompetencji i odpowiedzialności kierownictwa oraz pracowników
banku
procedury i zasady fizycznej oraz elektronicznej ochrony danych oraz
systemów informatycznych
analiza oraz testowanie środków i mechanizmów kontroli bezpieczeństwa
zasady postępowania dotyczące zgodności systemów informatycznych z
aktualnie obowiązującymi przepisami
opis mechanizmów realizacji polityki bezpieczeństwa
w praktyce
SSH – alternatywa dla Telnet
Systemy szyfrowania połączeń typu klient-serwer (połączenia SSH do systemu DefBank
)
SSH (ang. secure shell) - "bezpieczna powłoka" jest standardem
protokołów komunikacyjnych wykorzystywanych w sieciach
komputerowych TCP/IP, w architekturze klient - serwer.
Ogólne założenia protokołu SSH
Ogólne założenia protokołu SSH powstały w grupie roboczej
(Internet Engineering Task Force). Istnieją jego dwie wersje
SSH1 i SSH2. W jego wersji 2, możliwe jest użycie dowolnych
sposobów szyfrowania danych i 4 różnych sposobów
rozpoznawania użytkownika, podczas gdy SSH1 obsługiwaje
tylko stałą listę kilku sposobów szyfrowania i 2 sposoby
rozpoznawania użytkownika (klucz RSA i zwykłe hasło).
Rodzina „bezpiecznego protokołu” wykorzystuje PORT 22.
Elementy wdrożenia SSH
w systemie DefBank
• SERWER – pakiet OpenSSH
• TERMINAL – oprogramowanie PUTTY
• PLIKI KONFIGURACYJNE SYSTEMU
DEFBANK – oprogramowanie PUTTY
Systemy szyfrowania transmisji
danych VPN
Wirtualna sieć prywatna (VPN) umożliwia szyfrowanie
połączenia sieci korporacyjnej wykorzystującej
transmisję w sieci publicznej
Oddział
CENTRALA
A
B
X
Y
Przykład implementacji VPN
Proponowane urządzenia
JUNIPER NETSCREEN
NetScreen-5G T/5XT
NetScreen-25/50
Fortigate 50/60
Fortigate 100
Fortigate 200/300
Zróżnicowana funkcjonalność
Router
FireWall
Client VPN
System uwierzytelniania użytkowników
Wbudowany Antywirus
Rejestrator zdarzeń – Juniper Netscreen
Antyspam - Fortigate
System szyfrowania danych
przeznaczonych do transportu
Najważniejsze cechy proponowanego rozwiązania:
ochrona danych na dyskach lokalnych, sieciowych,
zewnętrznych urządzeniach (USB memory sticks, ZIP itp.)
szybkie i wydajne szyfrowanie
nieskomplikowana obsługa – maksymalnie uproszczona
obsługa przy zachowaniu wysokiego poziomu
bezpieczeństwa
prosta dystrybucja w systemach Windows
niskie koszty wdrożenia
Strona techniczna rozwiązania
Algorytm kryptograficzny „Blowfish”
Klucze kodujące o zmiennej długości 32-448 bitów
Minimalne wymagania sprzętowe: zestaw
komputerowy klasy P II lub AMD II, wolny port
USB, system operacyjny Windows
Przykład zabezpieczenia danych
Systemy wykrywania
i blokowania intruzów IDP
Implementacja w infrastrukturze IT
Web
Serve
r
Zarządzanie
Użytkownicy
lokalni
Server
Zapory
Serwery
aplikacyjne
Zapory
Użytkownicy
zdalni
Użytkownicy
zdalni
Serwery
bazodanowe
Zapory
WAN
WAN
Instytucje
zewnętrzne
WAN
WAN
IDS – Intrusion Detection System
System IDS wykrywający ataki i
alarmujący określone zasoby ludzkie
i informatyczne o ich wystąpieniu
Wszystkie ataki dochodzą
do celu!
NIPS – Network Intrusion Prevention
System
Ataki są blokowane przed
uzyskaniem dostępu do
zasobów
Web
Serv
er
Use
r
Use
rs
Server
Firew
all
Serve
r
Zablokowane
pakiety wykonujące
atak
System IPS wykrywający
ataki i blokujący je w
czasie rzeczywistym
System backup’u danych
System backup’u danych
Zapasowy serwer z kopią danych w trakcie pracy banku
Rozwiązanie to zakłada uruchomienie dodatkowego serwera, na którym
jest wykonywana pełna kopia podczas pracy systemu bankowego.
Kopia ta dokonuje się na bazie oprogramowania C-Tree. Pozwala to
skrócić czas odtwarzania danych w przypadku awarii serwera
podstawowego. Przywracany jest stan bazy danych z okresu
poprzedzającego bezpośrednio awarię serwera – dane, które zostały
wprowadzone nie są tracone, jak to mogłoby mieć miejsce w
rozwiązaniu dotychczas stosowanym.
W czasie wystąpienia awarii serwera bankowego eliminującej go z pracy,
serwer zastępczy przejmuje jego funkcje. W celu odciążenia sieci,
dołączenie serwera zapasowego powinno być wykonane jako
połączenie dedykowane lub zrealizowane za pomocą przełącznika
sieciowego (Switch). W rozwiązaniu tym musi być zachowana
zgodność systemu operacyjnego między serwerami. Przestrzeń
dyskowa na serwerze zapasowym musi być dwukrotnie większa od
wielkości plików systemu podstawowego serwera bankowego.