1 / 21

WYBRANE ASPEKTY BEZPIECZEŃSTWA DANYCH BANKOWYCH

WYBRANE ASPEKTY BEZPIECZEŃSTWA DANYCH BANKOWYCH. Polityka Bezpieczeństwa. Polityka bezpieczeństwa organizacji definiuje poprawne i niepoprawne sposoby wykorzystywania kont użytkowników i danych przechowywanych w systemie.

molly
Download Presentation

WYBRANE ASPEKTY BEZPIECZEŃSTWA DANYCH BANKOWYCH

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. WYBRANE ASPEKTY BEZPIECZEŃSTWA DANYCH BANKOWYCH

  2. Polityka Bezpieczeństwa Polityka bezpieczeństwa organizacji definiuje poprawne i niepoprawne sposoby wykorzystywania kont użytkowników i danych przechowywanych w systemie. Określaniem polityki bezpieczeństwa zajmuje się zarząd organizacji, managerzy odpowiedzialni za bezpieczeństwo w ścisłej współpracy z administratorami systemu informatycznego. Określanie strategii realizacji polityki bezpieczeństwa należy do administratorów, natomiast zadania opracowywania i realizacji taktyk współdzielą administratorzy i użytkownicy.

  3. Podstawy i wymagania prawne • ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI1z dnia 29 kwietnia 2004 r.w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych(Dz. U. z dnia 1 maja 2004 r.) nr 100 • REKOMENDACJA D GENERALNEGO INSPEKTORATU NADZORU BANKOWEGO NBP z 2002 r dotycząca zarządzania ryzykami towarzyszącymi systemom informatycznym i telekomunikacyjnym używanym przez banki

  4. Zagadnienia szyfrowania danych oferowane przez Asseco Poland SA • Systemy szyfrowania połączeń typu klient-serwer (połączenia SSH do systemu DefBank ) • Systemy szyfrowania połączeń transmisji danych (VPN) • Szyfrowanie danych wynoszonych z banku w postaci elektronicznej

  5. Rola Polityki Bezpieczeństwa w ochronie informacji ODPOWIEDZIALNOŚĆ ZA STWORZENIE I REALIZACJĘ POLITYKI BEZPIECZEŃSTWA SPOCZYWA NA KIEROWNICTWU BANKU * Rekomendacja D GINB Podstawowe elementy efektywnego procesu zabezpieczenia systemów informatycznych zawarte w Polityce Bezpieczeństwa: • podział kompetencji i odpowiedzialności kierownictwa oraz pracowników banku • procedury i zasady fizycznej oraz elektronicznej ochrony danych oraz systemów informatycznych • analiza oraz testowanie środków i mechanizmów kontroli bezpieczeństwa • zasady postępowania dotyczące zgodności systemów informatycznych z aktualnie obowiązującymi przepisami • opis mechanizmów realizacji polityki bezpieczeństwa w praktyce

  6. SSH – alternatywa dla TelnetSystemy szyfrowania połączeń typu klient-serwer (połączenia SSH do systemu DefBank ) SSH (ang. secure shell) - "bezpieczna powłoka" jest standardem protokołów komunikacyjnych wykorzystywanych w sieciach komputerowych TCP/IP, w architekturze klient - serwer.

  7. Ogólne założenia protokołu SSH Ogólne założenia protokołu SSH powstały w grupie roboczej IETF (Internet Engineering Task Force). Istnieją jego dwie wersje SSH1 i SSH2. W jego wersji 2, możliwe jest użycie dowolnych sposobów szyfrowania danych i 4 różnych sposobów rozpoznawania użytkownika, podczas gdy SSH1 obsługiwaje tylko stałą listę kilku sposobów szyfrowania i 2 sposoby rozpoznawania użytkownika (klucz RSA i zwykłehasło). Rodzina „bezpiecznego protokołu” wykorzystuje PORT 22.

  8. Elementy wdrożenia SSH w systemie DefBank • SERWER – pakiet OpenSSH • TERMINAL – oprogramowanie PUTTY • PLIKI KONFIGURACYJNE SYSTEMU DEFBANK – oprogramowanie PUTTY

  9. A B Systemy szyfrowania transmisji danych VPN Wirtualna sieć prywatna (VPN) umożliwia szyfrowanie połączenia sieci korporacyjnej wykorzystującej transmisję w sieci publicznej Oddział CENTRALA X Y

  10. Przykład implementacji VPN

  11. Proponowane urządzenia JUNIPER NETSCREEN NetScreen-5GT/5XT NetScreen-25/50 Fortigate 50/60 Fortigate 100 Fortigate 200/300

  12. Zróżnicowana funkcjonalność • Router • FireWall • Client VPN • System uwierzytelniania użytkowników • Wbudowany Antywirus • Rejestrator zdarzeń – Juniper Netscreen • Antyspam - Fortigate

  13. System szyfrowania danych przeznaczonych do transportu Najważniejsze cechy proponowanego rozwiązania: • ochrona danych na dyskach lokalnych, sieciowych, zewnętrznych urządzeniach (USB memory sticks, ZIP itp.) • szybkie i wydajne szyfrowanie • nieskomplikowana obsługa – maksymalnie uproszczona obsługa przy zachowaniu wysokiego poziomu bezpieczeństwa • prosta dystrybucja w systemach Windows • niskie koszty wdrożenia

  14. Strona techniczna rozwiązania • Algorytm kryptograficzny „Blowfish” • Klucze kodujące o zmiennej długości 32-448 bitów • Minimalne wymagania sprzętowe: zestaw komputerowy klasy P II lub AMD II, wolny port USB, system operacyjny Windows

  15. Przykład zabezpieczenia danych

  16. Systemy wykrywania i blokowania intruzów IDP

  17. WAN WAN Implementacja w infrastrukturze IT Użytkownicy zdalni Użytkownicy zdalni Użytkownicy lokalni Instytucje zewnętrzne Serwery aplikacyjne Zapory Serwery bazodanowe WebServer Zapory MailServer Zapory Zarządzanie

  18. Wszystkie ataki dochodzą do celu! IDS – Intrusion Detection System System IDS wykrywający ataki i alarmujący określone zasoby ludzkie i informatyczne o ich wystąpieniu

  19. Server Users WebServer MailServer User Zablokowane pakiety wykonujące atak Firewall Ataki są blokowane przed uzyskaniem dostępu do zasobów NIPS – Network Intrusion Prevention System System IPS wykrywający ataki i blokujący je w czasie rzeczywistym

  20. System backup’u danych

  21. System backup’u danych Zapasowy serwer z kopią danych w trakcie pracy banku Rozwiązanie to zakłada uruchomienie dodatkowego serwera, na którym jest wykonywana pełna kopia podczas pracy systemu bankowego. Kopia ta dokonuje się na bazie oprogramowania C-Tree. Pozwala to skrócić czas odtwarzania danych w przypadku awarii serwera podstawowego. Przywracany jest stan bazy danych z okresu poprzedzającego bezpośrednio awarię serwera – dane, które zostały wprowadzone nie są tracone, jak to mogłoby mieć miejsce w rozwiązaniu dotychczas stosowanym. W czasie wystąpienia awarii serwera bankowego eliminującej go z pracy, serwer zastępczy przejmuje jego funkcje. W celu odciążenia sieci, dołączenie serwera zapasowego powinno być wykonane jako połączenie dedykowane lub zrealizowane za pomocą przełącznika sieciowego (Switch). W rozwiązaniu tym musi być zachowana zgodność systemu operacyjnego między serwerami. Przestrzeń dyskowa na serwerze zapasowym musi być dwukrotnie większa od wielkości plików systemu podstawowego serwera bankowego.

More Related