WYBRANE ASPEKTY BEZPIECZEŃSTWA

DANYCH BANKOWYCH

Polityka Bezpieczeństwa

Polityka bezpieczeństwa organizacji

definiuje poprawne i niepoprawne sposoby

wykorzystywania kont użytkowników i

danych przechowywanych w systemie.

Określaniem polityki bezpieczeństwa

zajmuje się zarząd organizacji, managerzy

odpowiedzialni za bezpieczeństwo w ścisłej

współpracy z administratorami systemu

informatycznego.

Określanie strategii realizacji polityki

bezpieczeństwa należy do

administratorów

,

natomiast zadania

opracowywania i realizacji taktyk

współdzielą administratorzy i użytkownicy.

Podstawy i wymagania prawne

•

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I

ADMINISTRACJI

1

z dnia 29 kwietnia 2004 r.

w sprawie dokumentacji przetwarzania danych

osobowych oraz warunków technicznych

i organizacyjnych, jakim powinny odpowiadać

urządzenia i systemy informatyczne służące do

przetwarzania danych osobowych

(Dz. U. z dnia 1 maja 2004 r.) nr 100

•

REKOMENDACJA D GENERALNEGO INSPEKTORATU

NADZORU BANKOWEGO NBP z 2002 r dotycząca

zarządzania ryzykami towarzyszącymi systemom

informatycznym i telekomunikacyjnym używanym przez banki

Zagadnienia szyfrowania danych

oferowane przez

Asseco Poland SA

• Systemy szyfrowania połączeń typu klient-

serwer (połączenia SSH do systemu DefBank )

• Systemy szyfrowania połączeń transmisji

danych (VPN)

• Szyfrowanie danych wynoszonych z banku

w postaci elektronicznej

Rola Polityki Bezpieczeństwa

w ochronie informacji

ODPOWIEDZIALNOŚĆ ZA STWORZENIE I REALIZACJĘ POLITYKI

BEZPIECZEŃSTWA SPOCZYWA NA KIEROWNICTWU BANKU *

Rekomendacja D GINB

Podstawowe elementy efektywnego procesu zabezpieczenia

systemów informatycznych zawarte w Polityce

Bezpieczeństwa:



podział kompetencji i odpowiedzialności kierownictwa oraz pracowników

banku



procedury i zasady fizycznej oraz elektronicznej ochrony danych oraz

systemów informatycznych



analiza oraz testowanie środków i mechanizmów kontroli bezpieczeństwa



zasady postępowania dotyczące zgodności systemów informatycznych z

aktualnie obowiązującymi przepisami



opis mechanizmów realizacji polityki bezpieczeństwa

w praktyce

SSH – alternatywa dla Telnet

Systemy szyfrowania połączeń typu klient-serwer (połączenia SSH do systemu DefBank

)

SSH (ang. secure shell) - "bezpieczna powłoka" jest standardem

protokołów komunikacyjnych wykorzystywanych w sieciach
komputerowych TCP/IP, w architekturze klient - serwer.

Ogólne założenia protokołu SSH

Ogólne założenia protokołu SSH powstały w grupie roboczej

IETF

(Internet Engineering Task Force). Istnieją jego dwie wersje
SSH1 i SSH2. W jego wersji 2, możliwe jest użycie dowolnych
sposobów szyfrowania danych i 4 różnych sposobów
rozpoznawania użytkownika, podczas gdy SSH1 obsługiwaje
tylko stałą listę kilku sposobów szyfrowania i 2 sposoby
rozpoznawania użytkownika (klucz RSA i zwykłe hasło).

Rodzina „bezpiecznego protokołu” wykorzystuje PORT 22.

Elementy wdrożenia SSH

w systemie DefBank

• SERWER – pakiet OpenSSH

• TERMINAL – oprogramowanie PUTTY

• PLIKI KONFIGURACYJNE SYSTEMU
DEFBANK – oprogramowanie PUTTY

Systemy szyfrowania transmisji

danych VPN

Wirtualna sieć prywatna (VPN) umożliwia szyfrowanie

połączenia sieci korporacyjnej wykorzystującej

transmisję w sieci publicznej

Oddział

CENTRALA

A

B

X

Y

Przykład implementacji VPN

Proponowane urządzenia

JUNIPER NETSCREEN

NetScreen-5G T/5XT

NetScreen-25/50

Fortigate 50/60

Fortigate 100

Fortigate 200/300

Zróżnicowana funkcjonalność



Router



FireWall



Client VPN



System uwierzytelniania użytkowników



Wbudowany Antywirus



Rejestrator zdarzeń – Juniper Netscreen



Antyspam - Fortigate

System szyfrowania danych

przeznaczonych do transportu

Najważniejsze cechy proponowanego rozwiązania:



ochrona danych na dyskach lokalnych, sieciowych,
zewnętrznych urządzeniach (USB memory sticks, ZIP itp.)



szybkie i wydajne szyfrowanie



nieskomplikowana obsługa – maksymalnie uproszczona
obsługa przy zachowaniu wysokiego poziomu
bezpieczeństwa



prosta dystrybucja w systemach Windows



niskie koszty wdrożenia

Strona techniczna rozwiązania



Algorytm kryptograficzny „Blowfish”



Klucze kodujące o zmiennej długości 32-448 bitów



Minimalne wymagania sprzętowe: zestaw
komputerowy klasy P II lub AMD II, wolny port
USB, system operacyjny Windows

Przykład zabezpieczenia danych

Systemy wykrywania

i blokowania intruzów IDP

Implementacja w infrastrukturze IT

Web

Serve

r

Zarządzanie

Użytkownicy

lokalni

Mail

Server

Zapory

Serwery

aplikacyjne

Zapory

Użytkownicy

zdalni

Użytkownicy

zdalni

Serwery

bazodanowe

Zapory

WAN

WAN

Instytucje

zewnętrzne

WAN

WAN

IDS – Intrusion Detection System

System IDS wykrywający ataki i

alarmujący określone zasoby ludzkie

i informatyczne o ich wystąpieniu

Wszystkie ataki dochodzą

do celu!

NIPS – Network Intrusion Prevention

System

Ataki są blokowane przed

uzyskaniem dostępu do

zasobów

Web

Serv

er

Use

r

Use

rs

Server

Firew

all

Mail

Serve

r

Zablokowane

pakiety wykonujące

atak

System IPS wykrywający

ataki i blokujący je w

czasie rzeczywistym

System backup’u danych

System backup’u danych

Zapasowy serwer z kopią danych w trakcie pracy banku

Rozwiązanie to zakłada uruchomienie dodatkowego serwera, na którym

jest wykonywana pełna kopia podczas pracy systemu bankowego.

Kopia ta dokonuje się na bazie oprogramowania C-Tree. Pozwala to

skrócić czas odtwarzania danych w przypadku awarii serwera

podstawowego. Przywracany jest stan bazy danych z okresu

poprzedzającego bezpośrednio awarię serwera – dane, które zostały

wprowadzone nie są tracone, jak to mogłoby mieć miejsce w

rozwiązaniu dotychczas stosowanym.

W czasie wystąpienia awarii serwera bankowego eliminującej go z pracy,

serwer zastępczy przejmuje jego funkcje. W celu odciążenia sieci,

dołączenie serwera zapasowego powinno być wykonane jako

połączenie dedykowane lub zrealizowane za pomocą przełącznika

sieciowego (Switch). W rozwiązaniu tym musi być zachowana

zgodność systemu operacyjnego między serwerami. Przestrzeń

dyskowa na serwerze zapasowym musi być dwukrotnie większa od

wielkości plików systemu podstawowego serwera bankowego.