Axborot tizimini himoya qilishni kuchaytirish bo'yicha takliflar

Oʻzbekiston respublikasi raqamli texnologiyalar vazirligi


Axborot tizimini himoya qilishni kuchaytirish bo'yicha takliflar


Download 325.9 Kb.
bet10/10
Sana02.06.2024
Hajmi325.9 Kb.
#1836538
1   2   3   4   5   6   7   8   9   10
Bog'liq
Amaliyot hisoboti Bank

Axborot tizimini himoya qilishni kuchaytirish bo'yicha takliflar Axborot tizimini qurish, bank axborot tizimi sohalarida qarorlar qabul qilish uchun axborot yordamini ta'minlaydigan yagona axborot makonini yaratish printsipiga asoslanadi.

Axborot tizimi subyektlari o'rtasida tezkor hamkorlik va axborot almashinuvi Internet orqali texnik operator yordamida amalga, oshiriladi, uning funksiyalariga quyidagilar kiradi:

  • Markaziy ma'lumotlar bazasi serverini qo'llab-quvvatlash;




  • ma'lumotlarga kirish interfeyslarini taqdim etish;




  • ma'lumotlarning ishonchliligini ta'minlash va ularni uzatish, qayta ishlash va saqlash paytida himoya qilish.

Bank operatsiyalari to'g'risida qaror qabul qilish uchun muhim bo'lgan ma'lumotlarni saqlashni markazlashtirish банковских операциях va ularni Internet orqali uzatish ma'lumotlarning xavfsizligi va ishonchliligi tahdidlari bilan bog'liq bo'lib, ularni himoya qilishni ta'minlash uchun bir qator choralarni ko'rishni talab qiladi.
Amaldagi tarmoq protokollariga ko'ra, mlg SS IAS-da ma'lumotlarni uzatish usullarini uch guruhga bo'lish mumkin:

  1. HTTP protokoli bo'yicha ma'lumotlarni uzatuvchi veb-ilovalar (ingl. HyperText Transfer Protocol gipermatnni uzatish protokoli).

  2. SCP protokoliga asoslangan kriptotunnel orqali ma'lumotlar almashinuvi(ingl. Secure Copy xavfsiz nusxa ko'chirish), transport protokoli sifatida Ssh (ingl. Xavfsiz qobiq - "xavfsiz qobiq").

  3. SMTP protokoli orqali uzatiladigan elektron pochta (ingl. Oddiy pochta uzatish protokoli-oddiy pochta uzatish protokoli).

Axborot texnologiyalariga ega bo'lmagan foydalanuvchilar uchun eng maqbul usul bo'lgan elektron pochta ko'plab kamchiliklarga ega. Ular qisman qo'shimcha shifrlash (dasturiy ta'minot) va elektron raqamli imzo (eri) dasturlari bilan qoplanishi mumkin, ammo bu amaliy emas, chunki u boshqa usullardan foydalanishga qaraganda ma'lumotlarni uzatishni qiyinlashtiradi.
Internet-trafikni shifrlash

Veb-ilovalar https (ingl. HyperText Transfer Protocol Secure – xavfsiz gipermatn uzatish protokoli). Trafik AES (ingl. Advanced Encryption Standard


256 bitli kalit yordamida takomillashtirilgan shifrlash standarti) . HTTPS protokoliga muvofiq, serverga ulanishda brauzer :

  1. domen nomi so'roviga ishonch hosil bank.ru отвечает сервер Сберегательного Банкаqiling bank.ru Foydalanuvchiga eng yaqin domen nomlari serverida (DNS) yozuvni o'zgartirgan tajovuzkorlarning oldingi serveri emas, balki omonat banki serveri javob beradi;

  2. serverga tasodifiy ravishda joriy sessiya uchun yaratilgan simmetrik shifrlash kalitini uzatish xavfsiz, bu orqali server uzatilgan ma'lumotlarni shifrlashi mumkin.

Ikkala vazifa ham Thawte Inc kompaniyasidan jamg'arma banki tomonidan olingan SSL sertifikatidan foydalanish orqali hal qilinadi. Ushbu sertifikat brauzer sessiya kalitini shifrlaydigan ochiq server kalitini o'z ichiga oladi. Seans kalitini (va uning yordami bilan uzatilgan ma'lumotlarni) faqat ulanganshaxsiy kalit yordamida hal qilish mumkin.
Katta hajmdagi ma'lumotlarni uzatishni avtomatlashtiradigan kriptotunnel orqali ma'lumot almashish , ishlatilgan Ssh transport protokolining ajralmas qismi bo'lgan 256 bitli kalit bilan AES algoritmlari orqali barcha trafikni shifrlashni ta'minlaydi.
Foydalanuvchilarni avtorizatsiya qilish

Foydalanuvchilarni avtorizatsiya qilish-bu ma'lum bir toifadagi ma'lumotlarni AgroBankga sertifikatlash markaziga olish yoki yuborish huquqlarini tekshirish jarayoni. Har bir Foydalanuvchining kirish huquqlari ro'yxati ma'lumotlar bazasida saqlanadi.


Veb-ilovalar foydalanuvchilarga kiritilgan Login va parol bilan ruxsat beradi. Parolni tanlashni oldini olish uchun serverga kirish beshinchi muvaffaqiyatsiz avtorizatsiya urinishidan bir necha daqiqa o'tgach bloklanadi. Bitta ilovada avtorizatsiya qilingan foydalanuvchi boshqalar tomonidan aniqlanadi ilovalar "cookie"deb nomlangan texnologiya orqali uzatiladigan sessiya kodi orqali parolni kiritmasdan.
Oxir-oqibat avtorizatsiya qilish barcha ilovalarga to'liq kirishni anglatmaydi. Har bir ilovada ma'lumotlarga har qanday kirish foydalanuvchi tomonidan sessiya kodi orqali ma'lum bir ma'lumotlar toifasiga kirish huquqlarini tekshirish bilan oldindan belgilanadi, bu esa HTTP so'rovlari tarkibini o'zgartirish orqali xakerlikdan himoya qiladi.
Avtorizatsiya jarayonida brauzer foydalanuvchi nomi va parol bilan birga serverga veb-dastur tarkibiy qismlarining versiya raqamlarini uzatadi. Bu ishlab chiquvchilar ma'lumotlar bazasi yozuvlari formatini o'zgartirganda va serverdagi veb-dastur kodini yangilaganda ma'lumotlar yo'qolishining oldini olish uchun tasvirlangan algoritmdan foydalanishga imkon beradi. Tegishli choralar ko'rilmasa, foydalanuvchi Brauzeri yangilangan kodni darhol yuklamaydi , brauzer yoki proksi-server keshida saqlangan eskisini bajarishda davom etadi va ma'lumotlarni eski mos kelmaydigan formatda serverga yuboradi.
Shuningdek, avtorizatsiya jarayonida foydalanuvchi operatsion tizimi (OS), proksi-server va brauzer konfiguratsiyasi versiyalari to'g'risidagi ma'lumotlar brauzerdan qabul qilinadi va saqlanadi , bu foydalanuvchilarga texnik yordam ko'rsatishda muammolarni lokalizatsiya qilishni osonlashtiradi.
Kriptotunnel orqali ma'lumot almashish Foydalanuvchining haqiqiyligini tasdiqlash uchun 1024-bitli rsa kalitidan foydalanadi, u mijoz dasturiy ta'minot paketining bir qismi sifatida AgroBank sub'ektiga uzatiladi va parolni ishlatishdan ko'ra Foydalanuvchining yanada ishonchli avtorizatsiyasini ta'minlaydi. Ssh serveriga o'rnatilgan xavfsizlik vositalari avtorizatsiya kalitini sinab ko'rishda kirishni bloklaydi. SSH-server faqat fayllarni uzatish uchun tuzilgan, terminalga kirish va TCP portlarini qayta tayinlash funktsiyalari bloklangan.
Interfeyslarni chetlab o'tishda ruxsatsiz kirishdan himoya qilish

Mahalliy kompyuter tarmog'ida (lan) joylashgan AgroBankning Markaziy ma'lumotlar bazasi internetdan ma'lumotlarga ruxsatsiz kirishdan himoya qilishning ikkita chegarasiga ega ichki himoya chegarasi serverlarni ikki guruhga bo'lish orqali hosil bo'ladi:



  1. To'liq ma'lumotlar to'plamini saqlaydigan serverlar (ma'lumotlar bazalariпономерной, samolyot tarkibiy qismlarining o'lchovli hujjatlari fotosuratlarining fayl arxivi). Ma'lumotlarni qayta ishlaydigan va hisobot hujjatlarini shakllantiradigan ushbu serverlar Microsoft Windows operatsion, tizimida do'stona interfeys, korporativ tizimlar bilan integratsiya qilish qulayligi, amaliy muammolarni tezda hal qilish uchun ustalar va dizaynerlarning mavjudligi kabi pullik dasturlarning afzalliklaridan foydalangan holda ishlaydi.

  2. Internet-interfeys serverlari (veb-ilovalar va kriptotunnel orqali ma'lumotlar almashinuvi), shu jumladan cheklangan ma'lumotlar to'plamini vaqtincha saqlash uchun bufer sifatida ishlatiladigan yordamchi fayl-server va ma'lumotlar bazasi serveri. Ushbu serverlar guruhi GNU / Linux operatsion tizimida ishlaydi, tarmoq hujumlariga nisbatan kamroq zaiflik, yuqori barqarorlik

va masofaviy foydalanuvchilarda yuzaga keladigan muammolarni aniqlash uchun zarur bo'lgan xatolar va disk raskadrovka ma'lumotlarini juda batafsil jurnallash kabi ochiq manbali dasturiy ta'minotdan foydalanadi .
Serverlarning ikki guruhi o'rtasidagi ma'lumotlar faqat rejalashtirilgan Replikator dasturlari orqali uzatiladi, ularning algoritmlari Markaziy bankdan o'zboshimchalik bilan ma'lumotlarning Internet-serverlar orqali kirish imkoniyatini istisno qiladi.
Tashqi himoya chegarasi Cisco Systems routeri tomonidan yaratilgan, bo'lib, u internetdan faqat veb va SSH serverlarining ishlaydigan portlariga kirishni ta'minlaydi va CBAC (kontekstga asoslangan kirishni boshqarish) texnologiyasidan foydalangan holda barcha boshqa trafikni tekshiradi,), lan so'rovlariga javob bo'lmagan har qanday kiruvchi tarmoq paketlarini bloklaydi.
Xatolarga chidamli ma'lumotlarni saqlash va qayta ishlash tizimini yaratish

Har bir jismoniy server o'rnatilgan dasturlar to'plami bilan bitta OS bilan ishlaydigan klassik server arxitekturasi server ishlamay qolganda dasturlarning ishlashini tezda tiklashga imkon bermaydi. Bepul zaxira server mavjud bo'lsa ham, OS va dasturlarni o'rnatish va sozlash bir necha soat davom etadi. Shu bilan birga, ma'lumotlarni tezda tiklash har doim ham mumkin emas, masalan, to'xtatilgan disk massivining boshqaruvchisi ishlamay qolganda Ma'lumotlarning yo'qolishi va soatlab ishlamay qolishining oldini olish uchun server infratuzilmasini modernizatsiya qilish, bitta ishlamay qolish nuqtasini yo'q qilish va o'rnatilgan dasturlar bilan operatsion tizimni ishlamay qolgan serverdan zaxira serveriga tezda o'tkazish muammosini hal qilish taklif etiladi.


Server ishlab chiqaruvchilari tomonidan taklif qilinadigan echimlardan biri bu umumiy shassida joylashgan va umumiy disk saqlash tizimiga ulangan Blade serverlaridan (pichoq serverlari) foydalanish , bu zaxira serverga ishlamay qolgan serverning disk qismidan yuklash imkoniyatini beradi. Biroq, tahlil shuni ko'rsatdiki, bunday arxitektura faqat yukni teng taqsimlaydigan bir xil turdagi
serverlarning ko'pligi bilan samarali bo'ladi va вquyosh bir nechta jismoniy serverlarga parallellashtirilmaydigan yuqori Yuklangan ma'lumotlar bazasi serveri atrofida qurilgan.
Yechim bitta jismoniy serverda (xostda) bir vaqtning o'zida bir nechta OS (virtual mashinalar) ishlashini ta'minlaydigan server virtualizatsiyasida topilgan. Yuklarni muvozanatlashni soddalashtirish uchun barcha virtual mashinalar ikkita ko'p yadroli serverlarga joylashtirildi, ularning ishlashi muvaffaqiyatsiz xostlardan ko'chirilgan virtual mashinalarning ishlashini ta'minlash uchun etarli. Har bir jismoniy server, bir vaqtning o'zida IBM ds3512 disk saqlash tizimining ikkita ikkita portli kontrollerlariga ulangan bir juft kontroller bilan jihozlangan.
Saqlash tizimi жестких магнитных har birida ikkita takrorlangan sas (Serial Attached SCSI) kontrollerlari bilan jihozlangan yuqori tezlikdagi qattiq magnit disk drayverlaridan (NFMD) foydalanadi SAS (Serial Attached. NZHMD xatolarga chidamli disk massivlariga birlashtirilgan:

  • Maksimal ishlashni ta'minlaydigan RAID 10-virtual mashinalar va ma'lumotlar bazalarining rasmlarini saqlash uchun;

  • RAID 6, ikkita NZHMD ishlamay qolganda ishlashni saqlab turganda maksimal quvvatni ta'minlaydi -fayl arxivini saqlash uchun.

Natijada, barcha apparatlarning to'liq takrorlanishi amalga oshirildi, bu xostlar tomonidan diskli saqlashning dinamik ko'p kanalli marshrutizatsiyasini virtualizatsiya qilishni qo'llab-quvvatlash bilan bir qatorda, har qanday kontroller ishlamay qolganda yoki har qanday ulagichdagi kontakt buzilganda server klasterining ishlashini kafolatlaydi.
Jismoniy serverlarning mumkin bo'lgan nosozliklarini tezda bartaraf etish uchun ular operatsion tizimni yuklash bosqichida muammolarni tashxislash va hal qilish uchun masofadan boshqarish pultlari bilan jihozlangan. Disk saqlash tizimini masofadan boshqarish vositalari serverlarga mavjud bo'lgan disk bo'limlarini qayta tayinlashni ta'minlaydi, agar server ishlamay qolsa, fayllarni jismoniy nusxa
ko'chirmasdan virtual mashinalari va ma'lumotlarini boshqa serverga tezda ko'chirishga imkon beradi.
Dasturchilar va ma'murlarning xatolari tufayli ma'lumotlar yo'qotilishining oldini olish uchun xatolarga chidamli disk massivida qurilgan tarmoq ma'lumotlar omboriga (NAS) kunlik avtomatik zaxira nusxasi o'rnatildi.
Xulosa
Banklar jamiyatning iqtisodiy hayotida katta rol o'ynaydi, ular ko'pincha iqtisodiyotning qon aylanish tizimi deb ataladi. Ularning o'ziga xos roli tufayli, ular paydo bo'lganidan beri har doim jinoyatchilarni jalb qilishgan. XX asrning 90- yillariga kelib, banklar kompyuter ma'lumotlarini qayta ishlashga o'tishdi, bu esa mehnat unumdorligini sezilarli darajada oshirdi, hisob-kitoblarni tezlashtirdi va yangi xizmatlarning paydo bo'lishiga olib keldi. Biroq, hozirda hech bir bank qila olmaydigan kompyuter tizimlari ham ilgari noma'lum bo'lgan mutlaqo yangi tahdidlarning manbai hisoblanadi. Ularning aksariyati yangi axborot texnologiyalari bilan bog'liq va faqat banklarga xos emas.
Biroq, banklarni boshqa tijorat tizimlari doirasidan ajratib turadigan ikkita jihat mavjud:

  1. Bank tizimlaridagi ma'lumotlar" jonli pul " bo'lib, uni olish, uzatish, sarflash, investitsiya qilish va h. k.

  2. Bu ko'plab tashkilotlar va shaxslarning manfaatlariga ta'sir qiladi.

Shuning uchun bankning axborot xavfsizligi uning mavjudligining muhim shartidir.
Ushbu holatlar tufayli bank tizimlariga axborotni saqlash va qayta ishlash xavfsizligi bo'yicha talablar kuchaytirildi. Mahalliy banklar quyidagi sabablarga ko'ra umumiy avtomatlashtirish taqdiridan qochib qutula olmaydilar:

  • banklar o'rtasidagi raqobatni kuchaytirish;




  • hisob-kitoblarni amalga oshirish vaqtini qisqartirish zaruratiрасчетов;




  • xizmatni yaxshilash zarurati.



Ko'rib chiqilgan potentsial xavf va tahdidlar shuni ko'rsatadiki, axborot tizimi texnik jihatdan savodli odamlarning tahdidlariga juda moyil. Faqatgina kadrlar tayyorlashni doimiy ravishda takomillashtirish va uskunalar bilan malakali ishlash qimmatli ma'lumotlarni himoya qilishga yordam beradi.
Download 325.9 Kb.

Do'stlaringiz bilan baham:
1   2   3   4   5   6   7   8   9   10



Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©fayllar.org 2024
ma'muriyatiga murojaat qiling