|
Внедрение iBank 2 UA требует от банка комплексного подхода при решении всех вопросов информационной безопасности, как технических, так и организационных.
При рассмотрении технических вопросов можно выделить два основных направления — вопросы безопасности в системе «iBank 2 UA» и общие вопросы IP-безопасности.
В системе «iBank 2 UA» используется весь комплекс мер и механизмов защиты информации.
Для предоставления услуг электронного банкинга через Интернет в модулях Internet-Банкинг, PC-Банкинг и Mobile-Банкинг используются:
- Шифрование данных — для обеспечения конфиденциальности передаваемой через Интернет информации
- Электронная цифровая подпись (ЭЦП) под электронными документами — для обеспечения целостности и аутентичности (доказательство авторства) информации
- Механизм строгой криптографической аутентификации сторон при защищенном взаимодействии через Интернет
В WAP-Банкинге для шифрования и аутентификации банка используются стандартные криптопротоколы WTLS и SSL, для аутентификации клиента - идентификатор и пароль.
В SMS-Банкинге защита информации осуществляется стандартными для мобильной связи средствами. Для аутентификации клиента используются номер мобильного телефона, идентификатор и пароль.
В Phone-Банкинге шифрование голосовых и факсимильных сообщений по очевидным причинам невозможно. Для аутентификации клиента используются идентификатор и пароль, вводимые в тональном наборе.
Для проведения активных операций в WAP-Банкинге, SMS-Банкинге и Phone-Банкинге в качества аналога собственноручной подписи (АСП) клиента могут использоваться индивидуальные таблицы одноразовых паролей.
Для криптографической защиты информации в систему «iBank 2 UA» встроена сертифицированная ДСТСЗИ СБУ платформонезависимая java-криптобиблиотека «Стандарт-Ява».
Внедрение системы «iBank 2 UA» всегда требует модернизации в банке существующей политики IP-безопасности.
Типовой вариант — размещение серверов iBank 2 UA в отдельном сетевом сегменте (DMZ 2).
АРМы «Операционист», «Администратор системы», «Администратор банка» и Шлюз для интеграции iBank 2 UA с АБС размещаются во внутренней защищенной сети банка, где расположен сервер АБС.
На межсетевом экране (Firewall) добавляют следующие правила доступа:
- Для обслуживания клиентов разрешаются входящие соединения из Интернет только на TCP-порты Web-сервера «iBank 2 UA» (HTTPS) и Сервера Приложения «iBank 2 UA» (протокол IBTP)
- Для работы операционистов и администратора банка разрешаются входящие соединения из внутренней защищенной сети банка только на TCP-порты Web-сервера «iBank 2 UA» (HTTPS) и Сервера Приложения «iBank 2 UA» (протокол IBTP)
- Для работы Шлюза и АРМа «Администратор системы» разрешаются входящие соединения из внутренней защищенной сети банка только на TCP-порты Сервера БД iBank 2 UA
- Запрещаются все входящие соединения из Интернет и внутренней защищенной сети банка в сегмент с серверами iBank 2 UA для всех других TCP-портов и других IP-протоколов
- Запрещаются все исходящие соединения из сегмента с серверами iBank 2 UA
- Запрещаются все входящие соединения во внутреннюю защищенную сеть банка, где расположен сервер АБС
При внедрении системы необходимо произвести тщательную настройку операционных систем на серверах iBank 2 UA — исключить поддержку неиспользуемых протоколов, сетевых сервисов и служб. Необходимо полностью исключить сетевой доступ к файловой системе и задействовать встроенные в ОС механизмы аудита.
Правильно спроектированная и четко реализованная политика IP-безопасности, постоянный IP-мониторинг позволяют обеспечить гарантированный уровень защиты iBank 2 UA и внутренней сети банка.
Подробная информация по вопросам безопасности системы «iBank 2 UA» представлена в документации.
|
