Az Electra rendszer biztonsága

nyomtatható verzió

Az Electra rendszer biztonsági rendszere a bank és az ügyfelek védelme érdekében nagyon sokrétű, és minden komponensben fontos szerepet játszik. Az Electra, szabványokon alapuló biztonsági megoldásai kiterjednek az adatok titkosítására, a megbízások hitelesítésre, az ügyfél és a bank megbízható beazonosítására, a rendszerben elvégzett műveletek naplózására, visszakereshetőségére ugyanúgy, mint az egyes komponensek működésének biztosítására.

Az Electra rendszer tervezésénél és az egyes részkomponensek megvalósítása során különösen nagy figyelmet fordítottunk a biztonságra. A biztonság alatt nem kizárólag az adatok titkosságát kell érteni, hanem amellett minden olyan egyéb tényezőt is, ami az ügyfél és a bank számára biztosítja a zavartalan működést. Az Electra rendszer biztonságával kapcsolatban a következőket kell figyelembe venni:

  • a programok és az adatok integritás védelme
  • védelem az illetéktelen hozzáféréstől
  • jogosultságok
  • az ügyfél és a bank közötti kapcsolat védelme
  • hitelesség
  • védelem a belső (akár ügyfél, akár banki dolgozó) visszaélésekkel szemben
  • üzembiztonság

Az ügyfél számára elsődlegesen fontos, hogy megbízhasson az egész banki rendszerben, amit használ. Ez a bizalom arra épül, hogy a teljes elektronikus banki hozzáférés minden egyes részkomponense, ill. az azok közötti kapcsolatok is megbízhatóak.

A programok és az adatok integritás védelme biztosítja, hogy akár véletlen (pl. hardver hiba), akár előre megfontolt, rossz szándékú (pl. vírustámadás) program ill. adat módosítás esetén se az ügyfél, se a bank ne legyen félrevezethető, anyagi kár ne keletkezhessen.

Az illetéktelenek elleni védelem biztosítja, hogy a banki adatokhoz kizárólag csak az férhessen hozzá, akit az ügyfél erre korábban felhatalmazott. Nem lehetséges tehát az adatokhoz való hozzáférése egy rendszeren kívüli személynek (pl. rendszergazda) még akkor sem, ha egyébként neki feladata egy nagyobb rendszer részeként az Electra karbantartása (pl. adatmentés). A rendszernek mind szerver, mind ügyféloldalon biztosítania kell, hogy az ügyfelek egymás adatait ne láthassák, egymás nevében ne járhassanak el a banknál. Egy ügyfélen belül is lehetnek olyan részterületek, amikhez az ügyfél egyik felhasználójának van joga, másoknak pedig nincs. Ilyenkor biztosítani kell, hogy mindenki kizárólag csak ahhoz férhessen hozzá, amire a munkája során feltétlen szüksége van.

Az Electra rendszerben a programokhoz ill. az adatokhoz való hozzáférést a jogosultság rendszer szabályozza. Az Electra jelenlegi jogosultság rendszere több bankban alkalmazott eljárás alapján alakult ki, miközben megpróbáltuk figyelembe venni, és testre szabni a legkülönfélébb igényeket. A jogosultság rendszerhez való hozzáférés többféleképpen valósulhat meg:

Első lehetőség, hogy az Electra rendszer önmagában, minden más rendszertől függetlenül, mind a bank, mind pedig az ügyfelek felé egységesen kezeli a jogosultságokat a különféle elektronikus csatornákon keresztül. A jogosultság rendszerhez való hozzáférés ebben az esetben egy speciális ügyfélprogramon, az Adminisztrátoron keresztül valósul meg. Az Adminisztrátor program csak a bank (általában az Electronic Banking osztály, ill. a HelpDesk vagy Call center) dolgozói számára érhető el.

Bizonyos adminisztrációs feladatokat a bank átháríthat az ügyfeleire, ahol szigorúan szabályozott keretek között magának az ügyfélnek van lehetősége a jogosultság rendszerhez való hozzáférésre. Ezt az Electra rendszerben „Ügyféloldali adminisztrációnak” hívjuk, és a funkcionalitása, hatóköre jóval szűkebb, mint az Adminisztrátor programé. A harmadik módszer egy külső jogosultság rendszerhez való kapcsolódás, amikor az Electra és a külső rendszer jogosultságai között egyik, vagy mindkét irányban leképezések megvalósításával biztosítjuk az átjárhatóságot.

Mind az ügyfél, mind pedig a bank számára nagyon fontos a közöttük lévő kommunikációs csatorna védelme. Az ügyfél és a bank hiába tesz meg mindent az adatok védelme érdekében, ha az adatátadás csatornája nem megbízható, az egyébként titkos banki adatokhoz illetéktelenek is hozzáférhetnek, rosszabb esetben akár módosíthatják azokat. Az ügyfél és a bank közötti kommunikációs vonal az Electra esetében sokféle lehet: kapcsolt telefonvonal, állandó bérelt vonal, vagy akár a publikus Internet. Mivel a kommunikációs csatorna pontos működéséről minden információ (még a hibák is) elérhető, főleg az Internet esetében nagyon fontos, hogy a kapcsolat kiépítésének kezdetén mindkét fél megbizonyosodjon arról, hogy tényleg egymással kommunikálnak-e, vagy esetleg valaki megpróbálja magát kiadni a másik félnek. A „bizonyosságot” az ügyféloldalon az Electra szerver autentikációja, a banki oldalon pedig az ügyfél azonosítása biztosítja a bejelentkezési folyamat elején.

A kommunikációs csatornán átküldött adatokat mindenképpen titkosítani kell ahhoz, hogy illetéktelen ne férhessen hozzá, ne módosíthassa, ill. a módosítás még a banki végrehajtás előtt kiderüljön. Emellett biztosítani kell azt is, hogy kiderüljön, ha valaki a kommunikációt visszafejtés nélkül csak rögzítette, és egyszerűen megismételte, ugyanis a többször végrehajtott tranzakciók nagy kárt tudnak okozni.

Az ügyféltől a bankba beküldött tranzakciók hitelesítése azért szükséges, hogy hosszú távon, visszamenőlegesen is igazolható legyen, hogy a bank valamit miért hajtott végre, ill. miért nem. Fontos a tranzakciók ellenőrzésénél, hogy a bank biztos lehessen abban, hogy a tranzakciókat az ügyfél küldte, és azt a későbbiekben már ne tagadhassa le.

Az egész Electra rendszerben fontos szerepet játszanak a különböző programrészek működéséről készített naplók, a biztonság szempontjából súlyosnak ítélt eseményekről a riasztások, és az egyéb reakciók (pl. többszöri jelszótévesztés után a kitiltás). Ezek mind azt a célt szolgálják, hogy a rendszerhez egyébként hozzáférő (ún. belső személy) se tehessen nyom nélkül olyat, amit később eltüntethet, vagy letagadhat.

Végül, de nem utolsó sorban, a biztonság szempontjából az üzembiztonság is legalább olyan fontos mind a bank, mind az ügyfél számára, mint a legkülönfélébb védelmek. Már a rendszer tervezésénél gondolni kell arra, hogy kik, milyen körülmények között fogják, és legfőképp melyik részét használni az Electrának. Figyelembe kell venni a felhasználók hozzáértését, a programok karbantarthatóságát, az esetleges hibák elhárításának lehetőségét, ill. minden olyan lehetőséget (szokást), ami a programokkal és adataikkal kapcsolatban előfordulhat, és hibás működést okozhat.

A biztonsági rendszer hatóköre

Az Electra rendszer sokrétű biztonsági rendszere az alábbiakra terjed ki:

  • Jogosultság ellenőrzés, és hozzáférés-védelem
    • Védelem a vonalon átvitt adatok lehallgatása ellen
    • Védelem az illegális behatolási próbálkozások ellen
    • Védelem az illetéktelenül használt ügyfélprogramok ellen
    • A jogosultságok széleskörű ellenőrzése
    • Védelem a banki dolgozók lehetséges visszaélései ellen
  • Hitelesség, digitális aláírás, törvényesség
    • A beküldött adatok hitelességének biztosítása elektronikus aláírással
    • Védelem az aláírt megbízások többszöri beküldése ellen
    • A kézi és az elektronikus aláírás közötti jogfolytonosság biztosítása
  • Naplózás
    • Részletes napló készítése a rendszer működéséről, az adminisztrátorok és normál felhasználók tevékenységéről
  • Üzembiztonság
    • Védelem az ügyfélnél tárolt adat és program fájlok szándékos vagy véletlen módosítása ellen
    • Védelem a hálózatos üzemmódban többek által egyszerre használt adatok sérülése, elveszítése ellen. (kölcsönös kizárás elvének biztosítása)
    • Az adatok hibamentes átvitelének biztosítása a legkülönfélébb kommunikációs csatornákon keresztül. (pl. zajos kapcsolt telefonvonal)
    • A kliens és a szerver közötti vonalszakadás biztonságos lekezelése
    • Az idő egységes kezelésének biztosítása az egész rendszerben

 
 Kapcsolódó hírek:Kapcsolódó cikkek: