Безопасность

Внедрение iBank 2 UA требует от банка комплексного подхода при решении всех вопросов информационной безопасности, как технических, так и организационных.

При рассмотрении технических вопросов можно выделить два основных направления — вопросы безопасности в системе «iBank 2 UA» и общие вопросы IP-безопасности.

В системе «iBank 2 UA» используется весь комплекс мер и механизмов защиты информации.

Для предоставления услуг электронного банкинга через Интернет в модулях Internet-Банкинг, PC-Банкинг и Mobile-Банкинг используются:

Шифрование данных — для обеспечения конфиденциальности передаваемой через Интернет информации
Электронная цифровая подпись (ЭЦП) под электронными документами — для обеспечения целостности и аутентичности (доказательство авторства) информации
Механизм строгой криптографической аутентификации сторон при защищенном взаимодействии через Интернет

В WAP-Банкинге для шифрования и аутентификации банка используются стандартные криптопротоколы WTLS и SSL, для аутентификации клиента - идентификатор и пароль.

В SMS-Банкинге защита информации осуществляется стандартными для мобильной связи средствами. Для аутентификации клиента используются номер мобильного телефона, идентификатор и пароль.

В Phone-Банкинге шифрование голосовых и факсимильных сообщений по очевидным причинам невозможно. Для аутентификации клиента используются идентификатор и пароль, вводимые в тональном наборе.

Для проведения активных операций в WAP-Банкинге, SMS-Банкинге и Phone-Банкинге в качества аналога собственноручной подписи (АСП) клиента могут использоваться индивидуальные таблицы одноразовых паролей.

Для криптографической защиты информации в систему «iBank 2 UA» встроена сертифицированная ДСТСЗИ СБУ платформонезависимая java-криптобиблиотека «Стандарт-Ява».

Внедрение системы «iBank 2 UA» всегда требует модернизации в банке существующей политики IP-безопасности.

Типовой вариант — размещение серверов iBank 2 UA в отдельном сетевом сегменте (DMZ 2).

АРМы «Операционист», «Администратор системы», «Администратор банка» и Шлюз для интеграции iBank 2 UA с АБС размещаются во внутренней защищенной сети банка, где расположен сервер АБС.

На межсетевом экране (Firewall) добавляют следующие правила доступа:

Для обслуживания клиентов разрешаются входящие соединения из Интернет только на TCP-порты Web-сервера «iBank 2 UA» (HTTPS) и Сервера Приложения «iBank 2 UA» (протокол IBTP)
Для работы операционистов и администратора банка разрешаются входящие соединения из внутренней защищенной сети банка только на TCP-порты Web-сервера «iBank 2 UA» (HTTPS) и Сервера Приложения «iBank 2 UA» (протокол IBTP)
Для работы Шлюза и АРМа «Администратор системы» разрешаются входящие соединения из внутренней защищенной сети банка только на TCP-порты Сервера БД iBank 2 UA
Запрещаются все входящие соединения из Интернет и внутренней защищенной сети банка в сегмент с серверами iBank 2 UA для всех других TCP-портов и других IP-протоколов
Запрещаются все исходящие соединения из сегмента с серверами iBank 2 UA
Запрещаются все входящие соединения во внутреннюю защищенную сеть банка, где расположен сервер АБС

При внедрении системы необходимо произвести тщательную настройку операционных системы на серверах iBank 2 UA — исключить поддержку неиспользуемых протоколов, сетевых сервисов и служб. Необходимо полностью исключить сетевой доступ к файловой системе и задействовать встроенные в ОС механизмы аудита.

Правильно спроектированная и четко реализованная политика IP-безопасности, постоянный IP-мониторинг позволяют обеспечить гарантированный уровень защиты iBank 2 UA и внутренней сети банка.

Подробная информация по вопросам безопасности системы «iBank 2 UA» представлена в документации.

http://www.bifit.com/ua/technologies/safety/index.html