Защита информации в современной банковской структуре является приоритетной задачей: утечка конфиденциальных данных, уничтожение, искажение информации, хищение средств со счетов клиентов, сбой и отказ компьютерных систем — вот те риски, которые несут с собой вирусы, вредоносные программы и атаки хакеров. В этой связи задача полного контроля доступа в Internet и защиты корпоративной локальной сети финансовых институтов приобретает особое значение.
Об уязвимости компьютерных систем банковских структур свидетельствуют ежедневные инциденты, связанные с хищением реквизитов кредитных карт владельцев и совершением незаконных финансовых операций, участившиеся случаи атак на системы Internet-банкинга и т. д.
По данным Panda Security (Panda Security 2008, http://www.pandasecurity.com/resources/pro/02dw_Annual_Report_Pandalabs_2008.pdf), в 2008 году троянские программы были одной из наиболее серьезных угроз для банковского сектора. Их главная цель — кража данных жертвы с целью доступа к ее банковскому счету.
Немаловажную роль в организации комплексной информационной безопасности банковских структур также играет контроль действий служащих, получающих доступ в Internet из локальной сети банка.
Специфика банковских информационных систем заключается в необходимости постоянного и защищенного доступа в Internet для активного взаимодействия между филиальными подразделениями банка по обмену конфиденциальной информацией. Кроме того, следует отметить особенность использования специфических Internet-приложений для осуществления межбанковских операций, организации доступа к общим ресурсам, сбора и обработки данных, доступа клиентов к своим счетам в интерактивном режиме и многих других задач.
Надежный доступ в Internet
Для качественной работы банка, клиентские сервисы которого во многом зависят от работы Internet-канала, сотрудникам требуется бесперебойный и стабильный доступ в Internet. Как правило, для обеспечения непрерывности процессов банки подключены к нескольким провайдерам, гарантирующим необходимую скорость и качество доступа в Internet.
Однако, для того чтобы избежать возможных сбоев при смене провайдера, потери информации и простоя в работе банковских приложений, необходимо использование надежного решения, которое позволит безболезненно перевести работу офиса и всех сервисов банка с одного Internet-канала на другой. Для этого в программном комплексе в рамках инструментария для организации доступа в Internet должна быть предусмотрена работа с двумя и более провайдерами. Например, в продукте UserGate Proxy & Firewall от компании Entensys при наличии нескольких подключений к Internet становится доступной функция «Резервный канал».
Описанная функция позволяет автоматически переводить всех пользователей на альтернативное подключение к Internet, если связь через основное подключение отсутствует. Работа с основным каналом возобновляется также автоматически, что позволяет обеспечить непрерывный и бесперебойный доступ сотрудников к Internet-ресурсам и стабильную работу всех сервисов банка.
Кроме того, данная функция поддержки нескольких каналов позволяет, например, предоставить доступ в Internet разным пользователям через различных провайдеров. Это помогает оптимизировать нагрузку на внутреннюю сеть и правильно распределить Internet-ресурсы между сотрудниками банка.
Следующий этап организации защищенного доступа в Internet — обеспечение антивирусной проверки и защита внутренних серверов банка от возможных атак и нелегального доступа к конфиденциальной информации.
Межсетевой экран (брандмауэр) позволит защитить локальную сеть банка от несанкционированного доступа извне, одновременно предоставляя возможность открыть доступ к внутренним ресурсам, таким как почтовый, Web- или VPN-сервер в локальной сети.
Организация антивирусной проверки трафика — ключевое звено в обеспечении безопасности банковской инфраструктуры. Как пример в продукте UserGate предлагается двойная антивирусная фильтрация трафика на шлюзе на предмет вирусов при помощи встроенных антивирусных модулей от «Лаборатории Касперского» и Panda Security.
Администраторы могут по желанию использовать тот или иной антивирусный модуль либо активировать оба модуля для максимальной защиты. Антивирусные модули обрабатывают весь входящий трафик по протоколам HTTP, FTP, SMTP и POP3. При этом желательно комбинировать антивирусную защиту с защитой файловой системы на локальных компьютерах с помощью другого антивирусного решения.
Безопасное внутреннее взаимодействие
Удаленные филиалы банка требуют налаженного и защищенного взаимодействия для оперативного обмена информацией и общего доступа к корпоративным ресурсам. Идеальным решением для таких целей является VPN-соединение, с помощью которого можно организовать удаленный защищенный доступ через открытые каналы Internet к серверам баз данных, FTP и почтовым серверам. Суть данной технологии заключается в способности защитить трафик любых информационных внутрикорпоративных и общедоступных систем, аудио- и видеоконференций и систем электронной коммерции.
Необходима и поддержка передачи трафика через протоколы PPTP и L2TP для соединения VPN-сервера с VPN-клиентами локальной сети. Кроме того, можно использовать публикацию сетевых ресурсов, чтобы сделать VPN-сервер локальной сети доступным удаленно.
Это позволит наладить обмен данными между удаленными офисами банка, предоставить сотрудникам защищенный доступ к общим базам данных с информацией о клиентах, финансовой отчетности и другой конфиденциальной внутрикорпоративной информации, а также обеспечит удаленное подключение служащих банка извне к внутренним серверам и данным локальной сети.
Контроль действий сотрудников
Хорошая репутация и успешное функционирование любого банка основаны на деятельности его служащих. Системы контроля и ограничения работы пользователей в корпоративных сетях давно приняты на вооружение банками и финансовыми институтами.
Одним из важных направлений контроля деятельности служащих банка стала фильтрация Internet-ресурсов, позволяющая отсечь потенциально опасные сайты, посещение которых может повлечь за собой инфицирование локальной сети банка, перерасход трафика и нецелевое использование бюджета на Internet-ресурсы.
Следует отметить, что ощутимый недостаток примитивной фильтрации по URL-адресам или доменным именам состоит в том, что для этого нужно знать адреса сайтов, доступ к которым необходимо ограничивать или блокировать полностью. Кроме того, списки заблокированных вручную сайтов требуется постоянно обновлять и дополнять.
Более эффективен подход к фильтрации нецелевых ресурсов, который позволяет целиком блокировать нежелательные категории сайтов, такие как «Знакомства», «Социальные сети», «Путешествия» и т. д. Механизмы фильтрации, которые использует, например, UserGate, позволяют администратору получить в свое распоряжение постоянно обновляемую базу сайтов, насчитывающую более 450 млн Internet-страниц на всех языках, сгруппированных в 70 категорий.
Особое внимание в данной технологии фильтрации Internet-трафика уделено покрытию русскоязычной зоны Internet, что делает оптимальным ее использование в банках и финансовых институтах России.
Следующим этапом управления доступом в Internet из локальной сети банка стал контроль активных Internet-приложений. Необходимо формировать корпоративные политики банка по использованию тех или иных приложений, которые будут получать доступ в Internet. Так, например, можно запретить или ограничить использование на рабочем месте ICQ или P2P-сетей, если они не являются необходимыми для работы сотрудников. Кроме того, желательна возможность ограничивать использование приложений до определенной версии, например, администратор может разрешить сотрудникам использование Internet Explorer не ниже версии 8.
Установив, таким образом, гибкие ограничения и запреты, можно гарантировать соблюдение регламента на доступ в Internet сотрудниками банка с компьютеров из локальной сети.
Сокращение затрат на Internet
Затраты на Internet-ресурсы в банковской сфере, как и во многих других, являются важной статьей расходов. Способы экономии средств на трафик будут очевидны при использовании таких инструментов, как статистика посещенных страниц и биллинговая система. Первая позволяет получить представление о том, какие Internet-ресурсы посетили сотрудники, какие файлы загружены, а также дает возможность проанализировать, какая часть из них включает нецелевые ресурсы и должна быть заблокирована.
Биллинговая система, в свою очередь, позволит создавать различные тарифы для доступа в Internet, устанавливать стоимость работы служащих в Internet, назначать гибкие лимиты на допустимые затраты, как в денежном выражении, так и в мегабайтах.
Биллинговая система должна позволять создавать тарифы, ориентируясь на Internet-провайдера либо исходя из специфики работы персонала: задавать стоимость работы сотрудников в Internet по времени суток, дням недели, праздничным дням и многим другим критериям.
Как пример, по результатам внедрения программного комплекса UserGate Proxy & Firewall в банковские структуры совокупная экономия затраченных на Internet-трафик средств составляет порядка 40%.
Заключение
Рассматривая вопросы безопасности при организации доступа в Internet для сотрудников банка, стоит помнить о комплексном подходе к решению подобных задач. Удобство использования комплексного программного решения заключается в том, что, помимо обеспечения всесторонней безопасности локальной сети и значительной экономии средств на трафик, оно позволяет получить детальное представление о работе персонала в Internet посредством разнообразных отчетов, а значит, процессы управления персоналом и повышения производительности труда служащих банка значительно упрощаются.
Алена Маркова (amarkova@ngs.ru)