121.Чем отличается электронная подпись от обычных систем кодирования текста, кодируется ли весь текст с использованием электронной подписи?
Под защитой информации в информационных системах понимается регулярное использование в них средств и методов, принятие мер и осуществление мероприятий с целью системного обеспечения требуемой надежности хранимой и обрабатываемой информации. Надежность информации - интегральный показатель, характеризующий качество информации с точки зрения физической целостности (отсутствия искажений или уничтожения элементов информации), доверия к информации (уверенности в отсутствии подмены) и безопасности - отсутствия ее несанкционированного получения и копирования.
Программные средства защиты информации - это специальные средства защиты информации, встроенные в состав программного обеспечения системы и осуществляющие самостоятельно или в комплексе с другими средствами защиту информации в системе. Программные средства защиты:
Программные средства идентификации пользователей и определения их полномочий.
Программные средства идентификации терминалов.
Программные средства защиты файлов.
Программные средства защиты ОС, ЭВМ и программ пользователей.
Вспомогательные программы различного назначения.
Криптографические средства защиты информации – методы специального кодирования, шифрования или иного преобразования информации в результате которого содержимое становится недоступным без предъявления некоторой специальной информации и обратного преобразования. Использование криптографических методов стала особенно актуальной в настоящее время в связи с передачей по открытой сети Интернет больших объемов информации государственного, военного, коммерческого и частного характера. В связи с высокой стоимостью ущерба от потерь, разглашения и искажения информации, хранящейся в базах данных и передаваемых по локальным сетям, в современных ИС рекомендуется хранить и передавать информацию в зашифрованном виде.
Криптографическая система – семейство алгоритмов преобразования открытого текста в шифртекст.
Алфавит – конечное множество используемых для кодирования информации знаков. В качестве примеров алфавитов, используемых в современных информационных системах можно привести следующие:
• алфавит Z33 – 32 буквы русского алфавита и пробел;
• алфавит Z256 – символы, входящие в стандартные коды ASCII ;
• бинарный алфавит – Z2 = {0,1}.
Шифрование предполагает преобразование исходного текста Т с использованием ключа К в зашифрованный текст t. Ключ – сменный элемент шифра, который применен для шифрования конкретного сообщения. При шифровании используется понятие «гамма шифра» это псевдослучайная числовая последовательность, вырабатываемая по заданному алгоритму, для зашифровывания открытых данных и дешифрования шифрограмм.
По характеру использования ключа известные криптосистемы можно разделить на 2 типа: симметричные (одноключевые, с секретным ключом) и асимметричные (с открытым ключом).
В первом случае в шифраторе отправителя и дешифраторе получателя используется один и тот же ключ. Шифратор образует шифрограмму, которая является функцией открытого текста, конкретный вид функции шифрования определяется секретным ключом. Дешифратор получателя сообщения выполняет обратное преобразование аналогичным образом. Секретный ключ хранится в тайне и передается отправителем сообщения получателю по защищенному каналу, исключающему перехват ключа криптоаналитиком противника.
Шифрование осуществляется методами замены и перестановки. Простейшее, но не поддающееся расшифровке шифрование - с заменой символов текста на случайные символы или числа. При этом длина ключа должна совпадать с длиной текста, что неудобно при больших объемах информации. Ключ используется один раз, потом его уничтожают, поэтому этот метод называют "Шифрование с отрывным блокнотом".
В реальности шифрование производится в двоичном коде с использованием коротких ключей - в международном стандарте DES (Data Encryption Standard), который работает с блоками данных по 64 байта (1998 год), в ГОСТ 28147-89 - 256 байт, что обеспечивает существенно большую криптостойкость. На основании короткого ключа компьютер создает длинный ключ - гамму, используя один из нескольких алгоритмов, изложенных в стандартах шифрования DES или ГОСТ. Алгоритмы создания гаммы - гаммирования - основаны на серии замен и сдвигов, возможно, с использованием шифртекста. Алгоритмы шифрования не секретны, секретны только ключи. Для распространения ключей по сетям общего пользования используется следующая технология: через курьеров передаются ключи первого ранга, на их основе шифруются и передаются по сетям ключи второго ранга, используемые для шифрования документов.
Наиболее современные системы шифрования используют асимметричные алгоритмы с открытым и секретным ключами, где нет проблемы безопасной транспортировки ключа. К числу таких систем относится алгоритм rsa, названный по именам разработчиков (rivest-shamir-adleman - разработчики этой системы – Рональд Ривест, Ади Шамир и Леонард Адлеман, 1977 год), базирующийся на разложение больших чисел на множители.
В асимметричных криптосистемах (криптосистемах с открытым ключом) в алгоритмах шифрования и дешифрования используются различные ключи, каждый из которых не может быть получен из другого с приемлемыми затратами временных и других ресурсов. Один ключ - открытый - используется для шифрования информации, другой – секретный - для дешифрования, т.е. прочесть сообщение может только тот, кому оно предназначено, например, глава фирмы, получающий сообщения от своих многочисленных агентов.
Системы электронной подписи основаны на асимметричном шифровании, но секретный ключ хранится у отправителя сообщений, а открытым ключом, созданном на основе секретного путем математического преобразования, располагают многие. Открытый ключ может быть передан вместе с сообщением. Но в этом случае шифруется не само сообщение, а его хэш-функция, получаемая из сообщения путем его преобразования по определенному алгоритму и занимающая всего несколько байт. Изменение хотя бы одного бита в тексте сообщения приводит к существенному изменению хэш-функции. Получатель сообщения может расшифровать зашифрованную хэш-функцию, переданную вместе с сообщением, создать хэш-функцию полученного сообщения, используя известный алгоритм, и сравнить расшифрованную и воссозданную хэш-функции. Их совпадение гарантирует целостность полученного документа, т.е. отсутствие в нем искажений. Получатель не может внести изменений в полученный документ, так как не может зашифровать новую хэш-функцию. Поэтому электронная подпись имеет такую же юридическую силу, как и обычная подпись и печать на бумаге. Секретные и открытые ключи, программы и аппаратура для систем электронной подписи поставляют лицензированные ФСБ фирмы, которые в случае необходимости могут представить в суд копии ключей.
Существует два основных способа защиты: программный и аппаратный. Программный способ защиты данных хорош тем, что при относительно небольшой затрате средств можно получить программу, обеспечивающую требуемую надежность хранения информации. Но программные средства обладают несколькими существенными недостатками, о которых следует знать при выборе данного пути:
обычно работают медленнее аппаратных;
любую программу можно вскрыть, это лишь вопрос времени и квалификации специалиста;
при хищении носителя информации похищается и программа.
Аппаратные средства тоже обладают рядом недостатков: их разработка обходится дороже, прибавляются расходы на производство и обслуживание, аппаратная система более сложна и также требует помимо аппаратной части программное обеспечение.
Но преимущества использования аппаратных средств очевидны:
быстрая работа без привлечения ресурсов системы;
проникнуть в программу аппаратного средства без его хищения невозможно;
не имея аппаратного средства невозможно расшифровать защищенные данные.
- Что понимается под термином «информационные технологии»?
- Какие информационные технологии наиболее важны для банковского дела?
- Дайте определение понятию «Операционная система» и приведите классификацию операционных систем?
- Чем локальная операционная система отличается от сетевой?
- Что понимается под термином «распределение ресурсов» по сети?
- Какие методы управления распределенными файлами Вы знаете.?
- Как переводится термин rpc и что он означает?
- Как приложение связано с базами данных?
- Можно ли назвать файл, созданный в редакторе word – документальной базой данных? Аргументируйте Ваш ответ.
- Дайте характеристику оперативных баз данных и хранилищ данных. Определите методы работы с теми и другими объектами, какие технологии при этом используются.
- Что такое архитектура «клиент-сервер» с чем она связана?
- Какая субд поддерживает модель удаленного доступа, в чем суть данной модели?
- Как переводится и расшифровывается термин oltp? Как этот термин связан с понятием транзакций и оперативной обработкой транзакций?
- Что общего в 1-от и 4-от этапах развития баз данных?
- Каковы достоинства архитектуры «файл сервер»? (а с чем Вы его сравниваете?)
- Каковы недостатки архитектуры сервера баз данных?
- Что такое «Триггер», и какое отношение он имеет к базам данных? Чем триггер отличается от хранимой процедуры? Кто из этих объектов отвечает за активность сервера баз данных?
- Переведите термин cgi и объясните, как он связан с технологиями баз данных? Как эти технологии применяются в банковских системах?
- Определите понятие абс.
- Каковы основные принципы построения абс. Определите понятие принципа модульности.
- Опишите структуру типовой абс.
- 25.Что входит в функции «Фронт-офиса» в абс?
- 26.Что входит в функции «бэк-офиса»?
- 27.В чем назначение «расчетного ядра » абс, как по иному может быть названо это ядро.
- 28.Сколько этапов в развитии отечественных абс можно выделить? На чем основана данная классификация?
- 29.В чем особенности первого этапа развития абс.
- 36.В чем особенности пятого этапа развития абс, и какие задачи решались на этом этапе, какое системное программное обеспечение использовалось, как происходил обмен информацией?
- 38.Выделите особенности отечественных реализаций абс, укажите их достоинства и недостатки.
- 40.Перечислите основных разработчиков западных абс и дайте характеристику их продуктам.
- 41.Каковы особенности зарубежных абс, укажите достоинства и недостатки зарубежных абс при внедрении на отечественных рынок?
- 45.Назначение части from в операторе поиска, поясните на примере.
- Пример: бд «Сессия»
- 49.Понятие неопределенного значение и принцип обработки неопределенных значений при фильтрации и группировке. Приведите примеры.
- Что такое системы чистых расчетов, каков механизм работы системы межбанковских расчетов при этом?
- Что такое «системы валовых расчетов», каков механизм работы системы межбанковских расчетов при этом?
- Что такое «неттинг», как этот понятие используется при организации межбанковских расчетов?
- Какие уровни существует при организации платежей через цб рф?
- Что такое внутрирегиональные платежи, опишите механизм прохождения внутри региональных платежей через цб рф.
- Расскажите о механизме межрегиональных платежей, объясните на схеме как проходят эти платежи?
- Какие системы электронных расчетов существуют в Англии, как они работают?
- Как называется система электронных расчетов во Франции и как она функционирует?
- Какие системы межбанковских расчетов существуют в сша и как они функционируют?
- Каковы основные недостатки Американской системы chips?
- Какие системы межбанковских расчетов существуют в Европейском союзе и как они работают?
- Чем отличается кредитовый трансферт от дебетового?
- Приведите примеры кредитовых трансфертов и дебетовых?
- По какому принципу дебетового или кредитового трансферта осуществляются электронные платежи через цб рф?
- Опишите платформу и принципы работы системы рабис-2, сравните ее с системой рабис-1.
- Что такое клиринг, как он работает? Чем понятие «клиринг» отличается от понятия «неттинг»?
- Перечислите достоинства и недостатки клиринговых систем взаимных расчетов?
- Является ли система расчетов через цб рф – клиринговой?
- Опишите принципы организации системы бэсп, какие типы клиентов в данной системе присутствуют? Как расшифровываются условные обозначения оур, аур, пур?
- Как система бэсп может быть использована для организации многофилиальной абс?
- Используется ли в современных системах валовых расчетов реального времени «неттинг»? Если используется то как, если нет, то почему?
- Является ли система swift системой межбанковских платежей?
- Каковы принципы работы swift?
- 73. Каковы правила членства в swift?
- 74. Опишите назначение процессора – sp в swift?
- 75. Чем обеспечивается надежность передач данных в системе swift?
- 76. В чем суть новых протоколов и технологий, используемых с 2004 года swift?
- 77. Как связаны системы бэсп и swift?
- 78. Когда появились первые банковские карточки? Какова история возникновения международных платежных систем?
- 79. Какие преимущества получает владелец банковской карточки?
- 80. Каковы преимущества торгового предприятия, оборудованного устройствами приема платежей с использованием банковских карточек?
- 81. Что такое режим on-line и off –line при работе с банковскими карточками?
- 82. Какая информация содержится на банковской карточке c магнитной полосой?
- 83. Записан ли на магнитной части карточки номер банковского счета?
- 84. Что такое «слип» и когда он применяется?
- 85. Чем отличается расчетная карточка от кредитной?
- 86. Чем отличается дебетовая карточка от расчетной и кредитной?
- 87. Зачем нужны процессинговые центры?
- 88. Какова роль «банка -эмитента» в карточных проектах?
- Что такое виртуальные банковские карточки, зачем они применяются, их особенности и области применения.
- Дайте общую классификацию систем интернет-банкинга, существующих на отечественном рынке.
- Что означает термин «Голый Веб», какова структура организации данной архитектуры? Укажите достоинства и недостатки данной архитектуры.
- Каковы функции веб-сервера в интернет-банкинге?
- Что такое протокол ssl? Зачем он нужен?
- Чем отличается протокол html от протокола ssl?
- Где хранится вся нормативно-справочная информация при организации Интернет-банкинга?
- Каково назначение шлюза при организации интернет-банкинга?
- Зачем применяются смарт-карты в некоторых системах Интернет-банкинга?
- Что такое java-applet? Как работают системы интернет-банкинга, основанные на Java-applet? Приведите пример подобных систем.
- Какое дополнительно по устанавливается при организации дбо через интернет для юридических лиц?
- В чем состоит основное отличие в защите банковских компьютерных систем от промышленных компьютерных систем?
- Какие мероприятия могут быть отнесены к организационным мерам защиты?
- В чем состоит принцип «закрытых дверей» в банках и почему он не может быть эффективно применен в настоящий момент?
- Какие средства защиты могут быть отнесены к физическим средствам?
- Какие системы аналитические или оперативные требуют более тщательных методов защиты и почему?
- Что такое криптографические методы преобразования текста?
- Что такое открытый и закрытый ключ?
- Дайте определение «гаммирования» и скажите, зачем оно требуется?
- 120.Дайте определение ассиметричным криптосистемам, и, скажите, сколько ключей в них применяется?
- 121.Чем отличается электронная подпись от обычных систем кодирования текста, кодируется ли весь текст с использованием электронной подписи?
- 122.Какие стандарты приняты в области защиты выполнения расчетов с использованием банковских карт?
- Тема 8 Аналитические банковские системы
- Дайте краткую классификацию аналитических систем, применяемых в банковской сфере.
- Как расшифровывается термин olap? Чем системы oltp отличаются от систем olap?
- Каковы главные операции в системах olap и oltp?
- Что такое хранилище данных, чем оно отличается от базы данных?
- Какие архитектуры создания хранилищ данных Вы знаете – перечислите.
- Как работает хранилище данных в архитектуре фабрики?
- Как работает хранилище данных в архитектуре «Общей шины»?
- Что такое гибридная архитектура хранилища данных и чем она отличается от двух других архитектур?
- Как расшифровывается термин fasmi, кем он был предложен и что он означает?
- Что такое rolap?
- Что такое molap?
- Что такое holap?
- Что означает термин Data Mining и чем он отличается от olap?
- Сколько и каких закономерностей позволяют выделить методы иад?
- Из каких стадий состоят методы иад?
- Что такое нейросетевые алгоритмы в иад?
- Что такое деревья решений в иад и к каким задачам в сфера анализа банковской деятельности Вы бы рекомендовали применять деревья решений?
- Что такое кластерные модели и для решения каких задач они могут применяться?
- Как расшифровывается термин bi? Что входит в продукты типа bi?
- Из каких компонентов состоит bi-проект в системе Contour?
- Что такое olap-отчет, из чего он состоит, каковы особенности работы с данным видом отчетов?
- Что представляет из себя микрокуб в системе Contour? Какие виды модификаций допускает микрокуб?