Хранение информации о банках
Для удобства пользователя, а также сокращения числа ошибок, при заполнении информации о банке клиента используется автоматическое заполнение. При вводе банковского идентификационного кода (БИК) информация о названии и корреспондентском счет берется из базы данных.
В качестве сервера базы данных используется MS SqlServer. Данная БД состоит из одной таблицы, ниже перечислены основные поля:
Id – идентификатор записи;
Name – название банка;
Adr – адрес банка;
Bik – БИК банка;
Tels – телефоны банка.
Пример запроса:
https://o.ke72.ru/PublicApi/GetBankByBik?bik=044525225
Ответ сервера в формате JSON:
[{"Name":"ОАО \"СБЕРБАНК РОССИИ\"", "Bik":"044525225", "KS":"30101810400000000225", "Address":"УЛ.ВАВИЛОВА,19","City":"МОСКВА","Tel":"(495)5005550,88005555550"}]
После получения ответа от сервера, заполнение полей производится при помощи JavaScript.
Глава 3. Обеспечение безопасности автоматизированной системы обработки заявОК УЦ
Разработанная система является расширением CRM - системы используемой в УЦ. Все необходимые мероприятия по обеспечению ИБ действующий УЦ были проведены соответствующими специалистами до разработки системы ОЗК.
Очевидно, после внедрения системы ОЗК список актуальных угроз расширяется, т.к. появляется дополнительный объект для реализации угроз информационной безопасности, которые ранее не были учтены.
В данной дипломной работе анализируются угрозы информационной безопасности, возникающие в связи с внедрением подсистемы автоматизации обработки заявок, не затрагивая безопасность основной информационной системы УЦ в целом.
Модель нарушителя
Для системы ОЗК нарушителей можно разделить на две группы:
Внутренний нарушитель – физическое лицо, имеющий доступ к основной информационной системе УЦ.
Внешний нарушитель – физическое лицо, не имеющий доступ к основной информационной системе УЦ. Взаимодействие с разработанной системой автоматизации осуществляется через Интернет.
Внутренний нарушитель
В качестве внутренних нарушителей я рассматриваю лиц, являющихся работниками УЦ и имеющих доступ к CRM-системе в УЦ. К этой группе относятся:
системный администратор основной ИС УЦ (Категория 1);
менеджер по работе с клиентами (Категория 2);
оператор (Категория 3).
Лица, относящиеся к категории 1, потенциально могут реализовывать угрозы ИБ, используя возможности по непосредственному доступу к защищаемой информации, обрабатываемой и хранимой в ИС УЦ, а также к техническим и программным средствам ИС [14].
Лица, категории 2 имеют доступ CRM-системе, в которой хранится информация о клиентах УЦ.
Лица, категории 3 имеют доступ к локальной сети УЦ.
Нарушители категории 2 и 3 исключаются из актуальных ввиду архитектурных решений, примененных при разработке системы автоматизации. Данные решения позволили исключить взаимодействие нарушителей данных категорий с рассматриваемой системой.
К нарушителям категории 1, применяться комплекс особых организационных мер по их подбору, принятию на работу, назначению на должность и контролю выполнения функциональных обязанностей. Предполагается, что в число лиц категорий 1 будут включаться только доверенные лица и поэтому указанные лица исключаются из числа вероятных нарушителей [14].
Внешний нарушитель
К данной группе относятся лица, взаимодействующие с системой ОЗК удаленно, через сеть Интернет.
Предполагается, что лица данной группы относятся к вероятным нарушителем.
Цели реализации угроз информационной безопасности
Основными информационными ресурсами, обрабатываемыми в подсистеме являются следующие.
Целевая информация
персональные данные клиентов УЦ;
информация о подключенных услугах и сертификатах выданных УЦ.
Технологическая информация:
конфигурационные файлы;
средства и принципы защиты, применяемые в подсистеме.
Основными целями реализации угроз для злоумышленника могут быть нарушением целостности, конфиденциальности и доступности информации о клиентах УЦ.
Целью нарушения конфиденциальности информации злоумышленником может быть получение базы клиентов УЦ. Факт разглашения данной информации может послужить поводом для репутационных потерь, а также оттока клиентов.
Целью нарушения целостности и доступности информации злоумышленником, может быть желание приостановить работу УЦ, что скажется на финансовых показателях удостоверяющего центра и клиентов данной организации.
Перечень актуальных угроз и меры по обеспечению безопасности системы
В данном списке содержатся угрозы актуальные для системы ОЗК. Выбор производился на основании базовой модели безопасности угроз [15]. Актуальность данных угроз обусловлено мнением экспертов в области ИБ.
Угрозы «Анализа сетевого трафика» с перехватом передаваемой во внешние сети и принимаемой из внешних сетей информации
Для противодействия данным угрозам используются защищенные каналы связи. Передача информации между клиентом и системой ОЗК, а также между CRM-системой и системой ОЗК с использованием шифрования.
Угрозы сканирования, направленные на выявление типа операционной системы ИСПДн, сетевых адресов рабочих станций, открытых портов и служб, открытых соединений и др.
Для противодействия данным угрозам проведены следующие меры:
произведена настройка Firewall таким образом, чтобы сетевые порты, кроме 443 были закрыты;
удалена информация из заголовков http-ответа сервера способная раскрыть платформу разработки и версии ПО;
была изменено название переменной для хранения сессии в cookies пользователя.
Угрозы выявления паролей
Для противодействия данным угрозам используются защищенные каналы связи.
Угрозы получения НСД
Для противодействия данным угрозам были применены следующие методы:
вход в закрытую часть сайта ОЗК производится по сертификату;
фильтрация запросов в CRM-систему;
доступ к серверу по RDP с определенных IP-адресов;
обновление системы.
Угрозы типа «Отказ в обслуживании»
Для противодействия данным угрозам были проведены следующие мероприятия:
использование параметризированных запросов в БД MS Sql Server;
использование CAPTCHA для предотвращения отправки большого числа заявок;
обновление системы.
Угрозы удаленного запуска приложений
Для противодействия данным угрозам были проведены следующие мероприятия:
установка антивирусного ПО.
Также были проведены мероприятия по предотвращению следующих уязвимостей:
Cross-Site Request Forgery. Данная уязвимость решается использованием инструментов, которые входят в платформу разработки (ASP.NET MVC). Для устранения данной уязвимости нужно передавать специальные маркеры при каждом запросе, что предотвращает подделку запроса от пользователя.
Cross-Site Scripting (XSS). Данную уязвимость позволяет избежать путем проверки содержимого запросов, а также экранирования при выводе информации пользователю. Данные функции по предотвращению XSS входят в выбранную платформу разработки (ASP.NET MVC).
Заключение
В результате проделанной работы была разработана система автоматизации обработки заявок от клиентов в удостоверяющий центр на оказание услуг электронной отчетности в государственные органы РФ. Данная система позволяет получить услугу отчетности в следующие государственные органы:
Федеральная Налоговая Службаx;
Пенсионный фонд;
Фонд Социального Страхования;
Росстат;
Росприроднадзор.
Для достижения цели был проведен анализ бизнес процессов УЦ по обработке заявок и выявлены места для автоматизации.
Также были выполнены меры по обеспечению информационной безопасности разработанной системы.
Система автоматизации внедрена в удостоверяющем центре ООО «Сибтел-Крипто» и проходит тестирование.
Список литературы
x
1.
|
Федеральный закон от 06.04.2011 N 63-ФЗ "Об электронной подписи". 2013.
|
2.
|
ГОСТ Р 34.10-2012. Процессы формирования и проверки электронной цифровой подписи. 2012.
|
3.
|
ГОСТ Р 34.11-2012. Функция хэширования. 2012.
|
4.
|
Приказ ФСБ РФ от 27.12.2011 N 795 "Об утверждении Требований к форме квалифицированного сертификата ключа проверки электронной подписи". 2011.
|
5.
|
Приказ ФСБ РФ от 27.12.2011 N 796 "Об утверждении Требований к средствам электронной подписи и Требований к средствам удостоверяющего центра". 2011.
|
6.
|
// Веб-служба - Википедия: [сайт]. URL: http://ru.wikipedia.org/wiki/Веб_служба (дата обращения: 20.Январь.2014).
|
7.
|
Рихтер Д. CLR via C#. Программирование на платформе Microsoft.NET Framework 4.0 на языке C#. Питер, 2012.
|
8.
|
// Информационная безопасность - Википедия: [сайт]. [2006]. URL: http://ru.wikipedia.org/wiki/Информационная_безопасность (дата обращения: 20.Январь.2014).
|
9.
|
Ф. Ш.В. Защита информации в компьютерных системах и сетях. Москва: ДМК Пресс, 2012.
|
10.
|
// Статистика уязвимостей корпоративных информационных систем за 2012 год: [сайт]. [2013]. URL: http://www.ptsecurity.ru/download/analitika_web.pdf (дата обращения: 26.Января.2014).
|
11.
|
// Подделка межсайтовых запросов - Википедия: [сайт]. [2007]. URL: http://ru.wikipedia.org/wiki/Подделка_межсайтовых_запросов (дата обращения: 20.Январь.2014).
|
12.
|
// MSDM - Microsoft Dynamics CRM Sdk: [сайт]. URL: http://msdn.microsoft.com/en-us/library/hh547453.aspx (дата обращения: 8.Январь.2014).
|
13.
|
// MSDN - Reliable Messaging with MSMQ and.NET: [сайт]. [2002]. URL: http://msdn.microsoft.com/en-us/library/ms978430.aspx (дата обращения: 9.Январь.2014).
|
14.
|
России М. Методические рекомендации по составлению Частной модели угроз безопастности персональных данных при их обработке в информационных системах персональных данных учреждений здравоохранения, социальной сферы, труда и занятости. Москва. 2009.
|
15.
|
ФСТЭК. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных. 2008.
|
16.
|
// URI - Википедия: [сайт]. [1990]. URL: http://ru.wikipedia.org/wiki/URI (дата обращения: 20.1.2014).
|
17.
|
// HTTPS - Википедия: [сайт]. [2000]. URL: http://ru.wikipedia.org/wiki/HTTPS (дата обращения: 20.Январь.2014).
|
18.
|
RFC 2068 — Протокол Передачи Гипертекста – HTTP/1.1 [Электронный ресурс] // RFC 2.0 — Русские Переводы RFC: [сайт]. [1997]. URL: http://rfc2.ru/2068.rfc (дата обращения: 20.Январь.2014).
|
x
Тюмень – 2014
|
