Bankir.Ru
6 декабря, вторник 21:02

Объявление

Свернуть
Пока нет объявлений.

Безопасность и АБС.

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Безопасность и АБС.

    Предлогаю рассмотреть частное направление ИБ - АБС, отслеживание действий администратора.

    У кого - как решается вопрос защиты кода от скрытых изменений? От временной правки, от перераспределения полномочий... и т.д.

    ИМХО, идеальным вариантом было_бы заведение "Офицера безопасности" - отслеживающего проводимые админом работы.

    Ктонить(кроме Сбера) ставил такой вопрос?
    Подавая сигналы в рог будь всегда справедлив, но строг. ©

  • #2
    Romsan

    а это вопрос к банкам или к нам (разработчикам)?

    Комментарий


    • #3
      ONay Канечно!

      Это вопрос к разработчикам - "а думают они так делать - делают как?"

      Это вопрос к банкам - "а задумывались они над этим вопросом, и как решают?"
      Подавая сигналы в рог будь всегда справедлив, но строг. ©

      Комментарий


      • #4
        Romsan

        а надо ли это делать? защиту кода, например, можно организовать на элементарных контрольных суммах.
        в первую очередь imho надо разделить все те изменения что происходят через интерфейс АБС и те что происходят помимо него. к тому же правка базы -- вещь гораздо более опасная и вероятная (у нас был аналогичный случай).

        и еще, не получится ли так, что для контроля действий "офицера безопасности" понадобится "генерал над офицером по безопасности"?

        Комментарий


        • #5
          Придумываю ситуацию.

          Админ входит в приступный сговор с некой фирмочкой(уставной капитал 34 р 56 коп), меняет экранную форму контроля платежей с Банк-клиента(сумму 989898989 р - показывать как 100 р) и процедуру овердрафтного кредитования.
          В нерабочий(для этой фирмочки) день, от них приходит платежка на эту сумму.
          Платеж проводят. Админ подменяет все в зад. Деньги в тот же день снимают в банкоматах.
          Фирмочка (суммарная стоимость в месте с людми==1000 в базарный день), причем они утверждают что никто ничего не посылал, утечки - подлома небыло. Фирма была закрыта, охрана спала... вобщем примерно понятно.

          Критики - ненадо, ситуация не "вся" выдумана.

          Но!
          В данный момент админ АБС - обладает поистине неограничиными возможностями...

          Насчет "генерала" - надо найти минимальную конфигурацию для обеспечения максимальной защиты.
          Подавая сигналы в рог будь всегда справедлив, но строг. ©

          Комментарий


          • #6
            Romsan

            много интересных аналогичных ситуаций обсуждалось в постинге http://dom.bankir.ru/showthread.php?...&pagenumber=1.

            в реале подправить процедуру овердрафтного кредитования очень сложно. админов такого уровня imho не много, думаю процента 3-4 (на основе нашего опыта работы с многофилиальными банками). плюс еще из этих 3% не все такие сволочи как ты написал. так что не верю я в реальность таких дел.
            я говорил, у нас был один такой случай (из того же опыта работы примерно с 200-250 банковскими админами/программерами). но там правили базу, а не код. всех поймали и в ситуации приведенной тобой тоже бы наверняка всех поймали.
            Последний раз редактировалось ONay; 15.03.2002, 20:49.

            Комментарий


            • #7
              Это получится бессмысленная охота за собственной тенью. Спец высокой квалификации (в т.ч. админ АБС) будет знать все эти механизмы защиты наряду с прочими прибамбасами АБС - это его прямая работа , тогда как офицер будет выглядеть на его фоне бледно (обладать знаниями только в этом при этом ниже по квалификации) , и выступит только в роли крайнего в такой ситуации. Помимо этого , современные АБС имеют достаточно дыр для обхода подобных механизмов программными средствами тех же АБС , средства защиты направлены только на фиксацию действий простых пользователей или штатных операций. Также , не следует забывать прямую работу с Базами Данных АБС иными средствами (внешними программами , редакторами БД или подломом exe- файлов АБС и т.д.) , что в случае недоверия к собственному админу - также требует защиты (при этом очень ДОРОГОСТОЯЩЕЙ и не абсолютной). Могу привести ряд примеров работы , не оставляющей следов в БД нескольких популярных АБС , но не считаю это правильным.
              Проблему защиты от админа , мое личное мнение , необходимо решать другими методами - подбор персонала , служба безопасности , материальный аспект и т.д.

              Комментарий


              • #8
                anmax

                Проблему защиты от админа , мое личное мнение , необходимо решать другими методами - подбор персонала , служба безопасности , материальный аспект и т.д.

                полностью согласен.

                Комментарий


                • #9
                  Классический (но очень некрасивый) максимально эффективный метод построения защиты от админа - психологический, который , к сожалению , применяют повсеместно. На это направление берутся два человека , обладающих высокой и приблизительно одинаковой квалификацией. Наделяются одинаковыми полномочиями , и должностями. Пример - 2 зама нач. отдела и открытая вакансия начальника. Далее- эти люди постоянно ставятся в конфликтные ситуации между собой и т.д. и формируются две конкурирующие группы.В результате организация таким образом решает сразу очень много рабочих проблем , в т.ч. и информационную безопасность.

                  Комментарий


                  • #10
                    anmax Классический (но очень некрасивый)
                    ... И еще - заводят два НЕПЕРЕСЕКАЮЩИХСЯ стандарта коммуникаций и электронной почты...
                    В результате организация таким образом решает сразу очень много рабочих проблем ... и получает совершенно иные проблемы
                    Да пребудет с Тобою Великая Сила! ©

                    Комментарий


                    • #11
                      Метод известен давно: ввод - верификация - отправка - производятся разными подразделениями, на стыке - контроль, в т.ч. бумажные документы с визами и подписями....

                      Комментарий


                      • #12
                        Как это не странно, но лучшим контролем произведенных действий (особенно связанных с прохождением денег) являются БУМАЖНЫЕ документы. Хороший администратор-злоумышленник сможет достать все - даже копии электронных подписей. А далее дело техники.

                        Комментарий

                        Пользователи, просматривающие эту тему

                        Свернуть

                        Присутствует 1. Участников: 0, гостей: 1.

                        Обработка...
                        X