Защита информации и информационная безопасность. Мордвинов В.А - 62 стр.

UptoLike

ВУЗ: 

МИРЭА | Москва

Составители: 

Рубрика: 

62
Любой удаленный терминал должен запрашивать имя регистрации и пароль.
Того, что якобы никто не знает шестизначного номера вашего служебного модема,
отнюдь не достаточно для конфиденциальности вашей системы. Все дело в том, что
при наличии программного обеспечения, которое не составит труда найти в сети
Интернет, и тонового набора для одного звонка достаточно 4 секунд. Важным
требованием является своевременное отключение всех модемов, не требующихся в
данный момент фирме (например, по вечерам, либо во время обеденного перерыва),
либо не контролируемых в данный момент Вашими сотрудниками.
По возможности рекомендуется использовать схему возвратного звонка от
модема, поскольку она гарантирует с уровнем надежности АТС то, что удаленный
клиент получил доступ с определенного телефонного номера.
Из log-in запроса терминала рекомендуется убрать все непосредственные
упоминания имени фирмы, ее логотипы и т.п. – это не позволит компьютерным
вандалам, просто перебирающим номера с модемами, узнать log-in экран какой фирмы
они обнаружили. Для проверки правильности соединения вместо имени фирмы можно
использовать неординарную приветственную фразу, какой-либо афоризм либо просто
фиксированную последовательность букв и цифр, которые будут запоминаться у
постоянных операторов этого терминала.
Также на входе в систему рекомендуется выводить на экран предупреждение о
том, что вход в систему без полномочий на это преследуется по закону. Во-первых, это
послужит еще одним предостережением начинающим злоумышленникам, а во-вторых,
будет надежным аргументом в пользу атакованной фирмы в судебном разбирательстве,
если таковое будет производиться.
Система разграничения доступа к конфиденциальной информации
Защита финансовых транзакций
Существуют три основных класса финансовых транзакций и пять основных
видов платежа.
Электронные деньги только начинают использоваться как средство платежа при
совершении покупок товаров и услуг, а в России практически еще не нашли
применения (редкий пример - платежная система WebMoney Transfer). Во всех случаях
электронные деньги хранятся в так называемых "цифровых
бумажниках", безопасность
которых обеспечивается криптографическим шифрованием, а пересылка получателю
платежа через Internet производится с использованием электронной цифровой подписи.
Электронные чеки являются аналогом бумажных чеков, но
стандартизированной формы, обеспечивающей ввод их в компьютеры и передачу по
сети Internet с использованием средств и методов информационной безопасности.
Электронные чеки всегда требуют участия банка-эмитента или компании
-авторизатора
при их передаче.
Кредитные карты используются для расчетов между участниками сделки с
применением дополнительных мер безопасности (шифрование обмена сообщениями,
цифровая подпись и т. д.). Среди них CyberCash, CyberPlat, CheckFree, Open Market,
First Virtual, а также стандарт SET, предложенный для платежей в сети Internet
компаниями VISA и Master Card. Эти кредитные системы требуют подтверждения
платежеспособности клиента или согласия третьей стороны (банка-эмитента,
компании-авторизатора) на совершение операций с ними.
Дебетовые карты основаны на применении цифровых эквивалентов чеков и
наличных (DigiCash, NetCash, NetChex, NetBUl и др.). При этом системы, основанные
на использовании карт с памятью, не требуют подтверждения проводимой денежной 
                                        62
       Любой удаленный терминал должен запрашивать имя регистрации и пароль.
Того, что якобы никто не знает шестизначного номера вашего служебного модема,
отнюдь не достаточно для конфиденциальности вашей системы. Все дело в том, что
при наличии программного обеспечения, которое не составит труда найти в сети
Интернет, и тонового набора для одного звонка достаточно 4 секунд. Важным
требованием является своевременное отключение всех модемов, не требующихся в
данный момент фирме (например, по вечерам, либо во время обеденного перерыва),
либо не контролируемых в данный момент Вашими сотрудниками.
       По возможности рекомендуется использовать схему возвратного звонка от
модема, поскольку она гарантирует с уровнем надежности АТС то, что удаленный
клиент получил доступ с определенного телефонного номера.
       Из log-in запроса терминала рекомендуется убрать все непосредственные
упоминания имени фирмы, ее логотипы и т.п. – это не позволит компьютерным
вандалам, просто перебирающим номера с модемами, узнать log-in экран какой фирмы
они обнаружили. Для проверки правильности соединения вместо имени фирмы можно
использовать неординарную приветственную фразу, какой-либо афоризм либо просто
фиксированную последовательность букв и цифр, которые будут запоминаться у
постоянных операторов этого терминала.
       Также на входе в систему рекомендуется выводить на экран предупреждение о
том, что вход в систему без полномочий на это преследуется по закону. Во-первых, это
послужит еще одним предостережением начинающим злоумышленникам, а во-вторых,
будет надежным аргументом в пользу атакованной фирмы в судебном разбирательстве,
если таковое будет производиться.

  Система разграничения доступа к конфиденциальной информации
Защита финансовых транзакций
       Существуют три основных класса финансовых транзакций и пять основных
видов платежа.
       Электронные деньги только начинают использоваться как средство платежа при
совершении покупок товаров и услуг, а в России практически еще не нашли
применения (редкий пример - платежная система WebMoney Transfer). Во всех случаях
электронные деньги хранятся в так называемых "цифровых бумажниках", безопасность
которых обеспечивается криптографическим шифрованием, а пересылка получателю
платежа через Internet производится с использованием электронной цифровой подписи.
       Электронные       чеки   являются      аналогом    бумажных    чеков,    но
стандартизированной формы, обеспечивающей ввод их в компьютеры и передачу по
сети Internet с использованием средств и методов информационной безопасности.
Электронные чеки всегда требуют участия банка-эмитента или компании-авторизатора
при их передаче.
       Кредитные карты используются для расчетов между участниками сделки с
применением дополнительных мер безопасности (шифрование обмена сообщениями,
цифровая подпись и т. д.). Среди них CyberCash, CyberPlat, CheckFree, Open Market,
First Virtual, а также стандарт SET, предложенный для платежей в сети Internet
компаниями VISA и Master Card. Эти кредитные системы требуют подтверждения
платежеспособности клиента или согласия третьей стороны (банка-эмитента,
компании-авторизатора) на совершение операций с ними.
       Дебетовые карты основаны на применении цифровых эквивалентов чеков и
наличных (DigiCash, NetCash, NetChex, NetBUl и др.). При этом системы, основанные
на использовании карт с памятью, не требуют подтверждения проводимой денежной

Страницы