Gopher позволяет получить информацию без
указания имен и адресов авторов, благодаря
чему пользователь не тратит много времени
и нервов. Он просто сообщит системе Gopher,
что именно ему нужно, и система находит
соответствующие данные. Gopher-серверов
свыше двух тысяч, поэтому с их помощью
не всегда просто найти требуемую информацию.
В случае возникших затруднений можно
воспользоваться службой VERONICA. VERONICA осуществляет
поиск более чем в 500 системах Gopher, освобождая
пользователя от необходимости просматривать
их вручную.
WAIS - еще более мощное средство
получения информации, чем Gopher, поскольку
оно осуществляет поиск ключевых слов
во всех текстах документов. Запросы посылаются
в WAIS на упрощенном английском языке. Это
значительно легче, чем формулировать
их на языке алгебры логики, и это делает
WAIS более привлекательной для пользователей-непрофессионалов.
При работе с WAIS пользователям не нужно
тратить много времени, чтобы
найти необходимые им материалы.
В сети Internet существует более 200 WAIS - библиотек.
Но поскольку информация представляется
преимущественно сотрудниками академических
организаций на добровольных началах,
большая часть материалов относится к
области исследований и компьютерных
наук.
WWW - система для работы с гипертекстом.
Потенциально она является наиболее
мощным средством поиска. Гипертекст
соединяет различные документы
на основе заранее заданного
набора слов. Например, когда в
тексте встречается новое слово
или понятие, система, работающая
с гипертекстом, дает возможность
перейти к другому документу,
в котором это слово или
понятие рассматривается более
подробно.
WWW часто используется в качестве
интерфейса к базам данных WAIS,
но отсутствие гипертекстовых
связей ограничивает возможности
WWW до простого просмотра.
Пользователь со своей стороны
может задействовать возможность
WWW работать с гипертекстом для связи
между своими данными и данными
WAIS и WWW таким образом , чтобы собственные
записи пользователя как бы интегрировались
в информацию для общего доступа. На самом
деле этого, конечно, не происходит,
но воспринимается именно так.
WWW - это относительно новая система.
Установлены несколько демонстрационных
серверов, в том числе Vatican Exibit
в библиотеке Конгресса США и мультфильм
о погоде "Витки спутника" в Мичиганском
государственном университете. В качестве
демонстрационных также работают серверы
into.funet.fi (Финляндия); into.cern.ch. (Швейцария)
и eies2.njit.edu (США).
Практически все услуги сети построены
на принципе клиент-сервер. Сервером в
сети Internet называется компьютер способный
предоставлять клиентам (по мере прихода
от них запросов) некоторые сетевые услуги.
Взаимодействие клиент-сервер строится
обычно следующим образом. По приходу
запросов от клиентов сервер запускает
различные программы предоставления сетевых
услуг. По мере выполнения запущенных
программ сервер отвечает на запросы клиентов.
Все программное обеспечение сети
также можно поделить на клиентское
и серверное. При этом программное обеспечение
сервера занимается предоставлением сетевых
услуг, а клиентское программное обеспечение
обеспечивает передачу запросов серверу
и получение ответов от него.
Информационная безопасность и
информационные технологии
На раннем этапе автоматизации
внедрение банковских систем (и
вообще средств автоматизации
банковской деятельности) не повышало
открытость банка. Общение с
внешним миром, как и прежде,
шло через операционистов и курьеров,
поэтому дополнительная угроза безопасности
информации проистекала лишь от возможных
злоупотреблений со стороны работавших
в самом банке специалистов по информационным
технологиям.
Положение изменилось после
того, как на рынке финансовых
услуг стали появляться продукты,
само возникновение которых было
немыслимо без информационных
технологий. В первую очередь
это—пластиковые карточки. Пока обслуживание
по карточкам шло в режиме голосовой авторизации,
открытость информационной системы банка
повышалась незначительно, но затем появились
банкоматы, POS-терминалы, другие устройства
самообслуживания—то есть средства, принадлежащие
к информационной системе банка, но расположенные
вне ее и доступные посторонним для банка
лицам.
Повысившаяся открытость системы
потребовала специальных мер для контроля
и регулирования обмена информацией: дополнительных
средств идентификации и аутентификации
лиц, которые запрашивают доступ к системе
(PIN-код, информация о клиенте на магнитной
полосе или в памяти микросхемы карточки,
шифрование данных, контрольные числа
и другие средства защиты карточек), средств
криптозащиты информации в каналах связи
и т. д.
Еще больший сдвиг баланса
“защищенность-открытость” в сторону
последней связан с телекоммуникациями.
Системы электронных расчетов между банками
защитить относительно несложно, так как
субъектами электронного обмена информацией
выступают сами банки. Тем не менее, там,
где защите не уделялось необходимое внимание,
результаты были вполне предсказуемы.
Наиболее кричащий пример—к сожалению,
наша страна. Использование крайне примитивных
средств защиты телекоммуникаций в 1992
г. привело к огромным потерям на фальшивых
авизо.
Общая тенденция развития
телекоммуникаций и массового
распространения вычислительной
техники привела в конце концов
к тому, что на рынке банковских
услуг во всем мире появились
новые, чисто телекоммуникационные
продукты, и в первую очередь
системы Home Banking (отечественный аналог—“клиент-банк”).
Это потребовало обеспечить клиентам
круглосуточный доступ к автоматизированной
банковской системе для проведения операций,
причем полномочия на совершение банковских
транзакций получил непосредственно клиент.
Степень открытости информационной системы
банка возросла почти до предела. Соответственно,
требуются особые, специальные меры для
того, чтобы столь же значительно не упала
ее защищенность.
Наконец, грянула эпоха
“информационной супермагистрали”:
взрывообразное развитие сети Internet и связанных
с нею услуг. Вместе с новыми возможностями
эта сеть принесла и новые опасности. Казалось
бы, какая разница, каким образом клиент
связывается с банком: по коммутируемой
линии, приходящей на модемный пул банковского
узла связи, или по IP-протоколу через Internet?
Однако в первом случае максимально возможное
количество подключений ограничивается
техническими характеристиками модемного
пула, во втором же—возможностями Internet,
которые могут быть существенно выше.
Кроме того, сетевой адрес банка, в принципе,
общедоступен, тогда как телефонные номера
модемного пула могут сообщаться лишь
заинтересованным лицам. Соответственно,
открытость банка, чья информационная
система связана с Internet, значительно выше,
чем в первом случае. Так только за пять
месяцев 1995 г. компьютерную сеть Citicorp взламывали
40 раз! (Это свидетельствует, впрочем, не
столько о какой-то “опасности” Internet
вообще, сколько о недостаточно квалифицированной
работе администраторов безопасности
Citicorp.)
Все это вызывает необходимость
пересмотра подходов к обеспечению
информационной безопасности банка.
Подключаясь к Internet, следует заново
провести анализ риска и составить план
защиты информационной системы, а также
конкретный план ликвидации последствий,
возникающих в случае тех или иных нарушений
конфиденциальности, сохранности и доступности
информации.
На первый взгляд, для
нашей страны проблема информационной
безопасности банка не столь
остра: до Internet ли нам, если в большинстве
банков стоят системы второго поколения,
работающие в технологии “файл-сервер”.
К сожалению, и у нас уже зарегистрированы
“компьютерные кражи”. Положение осложняется
двумя проблемами. Прежде всего, как показывает
опыт общения с представителями банковских
служб безопасности, и в руководстве, и
среди персонала этих служб преобладают
бывшие оперативные сотрудники органов
внутренних дел или госбезопасности. Они
обладают высокой квалификацией в своей
области, но в большинстве своем слабо
знакомы с информационными технологиями.
Специалистов по информационной безопасности
в нашей стране вообще крайне мало, потому
что массовой эта профессия становится
только сейчас.
Вторая проблема связана с тем,
что в очень многих банках безопасность
автоматизированной банковской системы
не анализируется и не обеспечивается
всерьез. Очень мало где имеется
тот необходимый набор организационных
документов (анализ риска, план защиты
и план ликвидации последствий), о
котором говорилось выше. Более того,
безопасность информации сплошь и рядом
просто не может быть обеспечена в
рамках имеющейся в банке автоматизированной
системы и принятых правил работы
с ней.
Не так давно мне довелось
читать лекцию об основах информационной
безопасности на одном из семинаров
для руководителей управлений
автоматизации коммерческих банков.
На вопрос: “Знаете ли вы, сколько
человек имеют право входить
в помещение, где находится
сервер базы данных Вашего
банка?”, утвердительно ответило
не более 40% присутствующих. Пофамильно
назвать тех, кто имеет такое право, смогли
лишь 20%. В остальных банках доступ в это
помещение не ограничен и никак не контролируется.
Что говорить о доступе к рабочим станциям!
Что касается автоматизированных
банковских систем, то наиболее
распространенные системы второго-третьего
поколений состоят из набора
автономных программных модулей,
запускаемых из командной строки
DOS на рабочих станциях. Оператор
имеет возможность в любой
момент выйти в DOS из такого
программного модуля. Предполагается,
что это необходимо для перехода
в другой программный модуль,
но фактически в такой системе
не существует никаких способов
не только исключить запуск
оператором любых других программ
(от безобидной игры до программы,
модифицирующей данные банковских
счетов), но и проконтролировать
действия оператора. Стоит заметить,
что в ряде систем этих поколений,
в том числе разработанных
весьма уважаемыми отечественными
фирмами и продаваемых сотнями,
файлы счетов не шифруются, т.
е. с данными в них можно ознакомиться
простейшими общедоступными средствами.
Многие разработчики ограничивают средства
администрирования безопасности штатными
средствами сетевой операционной системы:
вошел в сеть -- делай, что хочешь.
Положение меняется, но слишком
медленно. Даже во многих новых
разработках вопросам безопасности
уделяется явно недостаточное
внимание. На выставке “Банк и
Офис -- 95” была представлена автоматизированная
банковская система с архитектурой
клиент—сервер, причем рабочие
станции функционируют под Windows.
В этой системе очень своеобразно решен
вход оператора в программу: в диалоговом
окне запрашивается пароль, а затем предъявляется
на выбор список фамилий всех операторов,
имеющих право работать с данным модулем!
Таких примеров можно привести еще много.
Тем не менее, наши
банки уделяют информационным
технологиям много внимания, и
достаточно быстро усваивают
новое. Сеть Internet и финансовые продукты,
связанные с ней, войдут в жизнь банков
России быстрее, чем это предполагают
скептики, поэтому уже сейчас необходимо
озаботиться вопросами информационной
безопасности на другом, более профессиональном
уровне, чем это делалось до сих пор.
Некоторые рекомендации:
1. Необходим комплексный подход
к информационной безопасности.
Информационная безопасность должна
рассматриваться как составная
часть общей безопасности банка—причем
как важная и неотъемлемая ее часть.
Разработка концепции информационной
безопасности должна обязательно проходить
при участии управления безопасности
банка. В этой концепции следует предусматривать
не только меры, связанные с информационными
технологиями (криптозащиту, программные
средства администрирования прав пользователей,
их идентификации и аутентификации, “брандмауэры”
для защиты входов—выходов сети и т. п.),
но и меры административного и технического
характера, включая жесткие процедуры
контроля физического доступа к автоматизированной
банковской системе, а также средства
синхронизации и обмена данными между
модулем администрирования безопасности
банковской системы и системой охраны.
2. Необходимо участие сотрудников
управления безопасности на этапе
выбора—приобретения—разработки
автоматизированной банковской
системы. Это участие не должно
сводиться к проверке фирмы-поставщика.
Управление безопасности должно
контролировать наличие надлежащих
средств разграничения доступа
к информации в приобретаемой
системе.
К сожалению, ныне действующие
системы сертификации в области
банковских систем скорее вводят
в заблуждение, чем помогают
выбрать средства защиты информации.
Сертифицировать использование
таких средств имеет право
ФАПСИ, однако правом своим
этот орган пользуется весьма
своеобразно. Так, один высокопоставленный
сотрудник ЦБ РФ (попросивший
не называть его имени) рассказал,
что ЦБ потратил довольно много
времени и денег на получение
сертификата на одно из средств
криптозащиты информации (кстати, разработанное
одной из организаций, входящих в ФАПСИ).
Почти сразу же после получения сертификата
он был отозван: ЦБ было предложено вновь
пройти сертификацию уже с новым средством
криптозащиты—разработанным той же организацией
из ФАПСИ.
Возникает вопрос, а что
же на самом деле подтверждает
сертификат? Если, как предполагает
наивный пользователь, он подтверждает
пригодность средства криптозащиты
выполнению этой функции, то
отзыв сертификата говорит о
том, что при первоначальном
сертифицировании ФАПСИ что-то упустило,
а затем обнаружило дефект. Следовательно,
данный продукт не обеспечивает криптозащиты
и не обеспечивал ее с самого начала.
Если же, как предполагают
пользователи более искушенные,
ФАПСИ отозвало сертификат не
из-за огрехов в первом продукте,
то значение сертификации этим
агентством чего бы то ни
было сводится к нулю. Действительно,
раз “некие” коммерческие соображения
преобладают над объективной оценкой
продукта, то кто может гарантировать,
что в первый раз сертификат был выдан
благодаря высокому качеству продукта,
а не по тем же “неким” соображениям?