Bankların informasiya təhlükəsizliyi strategiyası digər biznes strukturları və təşkilatların strategiyalarından əsaslı fərqlənir. Bu ilk növbədə bankların fəaliyyətinin ictimai xarakteri və təhlükələrə daha çox məruz qalması ilə bağlıdır. Ona görə bankların informasiya təhlükəsizliyi aşağıdakı spesifik faktorları nəzərə almalıdır.
Yuxarıda sadalanan problemlərlə təhlükəsizlik məsələlərini müzakirə edərkən "təhlükəsizlik" termini altında 3 xüsusiyyətin məcmusu başa düşülür. Autentifikasiya şəbəkədə Informasiyanın mühafizəsini təşkil etmək üçün ən əhəmiyyətli komponentlərdən biridir. istifadəçiyə bu və ya digər vəsaiti almaq hüququ verilməzdən əvvəl mütləq əmin olmaq lazımdır ki, özünü qələmə verən həmin şəxsdir.Vəsaitdən istifadə etmək üçün hər hansı istifadəçidən sorğu gəldikdə bu vəsaiti təqdim edən server idarəetməni autentifikasiya serverinə ötürür.
1 Bank sistemlərində saxlanılan və emal edilən informasiya real pulu ifadə edir. Kompüterdə olan məlumat əsasında ödənişlər aparıla, kredit açıla, pul köçürülə bilər. Aydın məsələdir ki bu informasiyadan qeyri-qanuni istifadə ciddi ziyana səbəb ola bilər.
2. Bank sistemlərində olan informasiya çoxlu sayda insanın maraqlarına toxunur. Bir qayda olaraq bu məlumat məxfidir və bank bu məxfiliyin qorunmasında müştərilərinin qarşısında cavabdehdir.
3. Bankın rəqabət qabiliyyəti ilk növbədə bankın təklif etdiyi xidmətlərin müştəri üçün nə dərəcədə rahat və geniş olmasından asılıdır. Buna görə də müştərinin rahat və tez şəkildə öz pulundan istifadə etmək imkanı olmalıdır. Sistemin də belə rahat və əlçatan olması orda baş verə biləcək təhlükələrin sayını artırır.
4. Bank öz müştəriləri haqda geniş informasiya saxlayır, bu da informasiyanı qeyri-qanuni şəkildə əldə etmək istəyənlərin sayını artırır.
Təhlükəsizlik məsələsinin əsas aspektlərindən biri şəbəkənin təhlükəsizliyidir. Bir tərəfdən şəbəkə vahid sistem kimi qəbul olunmalı və onun təhlükəsizliyi vahid plan əsasında qurulmalıdır. Digər tərəfdən şəbəkənin hər bir düyünü fərdi şəkildə qorunmalıdır. Şəbəkənin təhlükəsizliyi konkret xüsusiyyətlərin uçotu əsasında qurulmalıdır: təyinat, topologiya, konfiqurasiyanın xüsusiyyətləri, informasiya axını, istifadəçilərin sayı, iş rejimi və s. Bundan başqa mikrokompüterlərdə, məlumat bazalarında informasiya təhlükəsizliyinin spesifik xüsusiyyətləri mövcuddur.
Kompüter şəbəkələrində işləyərkən informasiyanın ötürülməsinin təhlükəsizliyi ilə meydana çıxan problemləri 3 əsas tipə bölmək olar:
Autentifikasiya — bu, sistemin istifadəçisini tanımaq və ona müəyyən hüquq və səlahiyyətlərin verilməsi prosesidir. Hər dəfə söhbət autentifikasiyanın dərəcəsi və keyfiyyətindən gedərkən kənar şəxslərin bu səlahiyyətlərə müdaxilə etməsindən sistemin mühafizə dərəcəsi başa düşülməlidir.
Tamlıq - verilənlərin müxtəlif təsirlər nəticəsində öz informasiya məzmunlarını saxlamalıdır.
Məxfilik - Informasiyaya kənar müdaxilələrin qarşısının alınması Bu termin altında verilənlərin ötürülməsi halında adətən, informasiyanın tutulub saxlanmasının qarşısının alınması başa düşülür.
Avtomatlaşdırılmış bank sistemlərinin müxtəlif təhlükələrdən ümumi müdafiə metodlarına aşağıdakılar daxildir:
Autentifikasiya serverindən müsbət cavab alındıqdan sonra həmin resurslar istifadəçiyə təqdim olunur. Bir qayda olaraq autentifikasiya zamanı "o nə bilir?" prinsipindən istifadə olunur — istifadəçi hansısa məxfi sözü bilir ki, həmin sözü bu suala cavab olaraq autentifikasiya serverinə göndərir.
Autentifikasiya sxemlərindən biri standart parollardan istifadə olunmasıdır. Bu sxem təhlükəsizlik baxımından nisbətən zəifdir. Parol başqa bir şəxs tərəfindən əldə edilib işlədilə bilər. Çox vaxt bir dəfəlik parollar tətbiq olunan sxemlərdən istifadə olunur. Hətta əldə edildiyi (oğurlandığı) halda belə bu parol növbəti qeydiyyatda əhəmiyyətsiz olacaq və bu parolun vasitəsilə növbəti parolu müəyyən etmək çox mürəkkəb məsələdir. Belə bir dəfəlik parolların yaradılması üçün həm proqram həm də cihaz şəklində olub kompüterin slotuna taxılan aparat generatorlarından Istifadə olunur. Bu cihazı fəaliyyətə gətirmək üçün istifadəçinin məxfi sözü bilməsi mütləqdir.
Avadanlıq üçün əlavə xərc tələb etməyən, eyni zamanda yaxşı mühafizə səviyyəsi təmin edən daha sadə sxemlərdən biri S/Key-dir. Burada bir dəfəlik açarların sıramı nümayiş etdirmək olar. Autentifikasiya prosesində S/Key-dən istifadə edərkən iki tərəf iştirak edir - müştəri və server.
S/Key autentifikasiya sistemindən istifadə edən sistemdə qeydiyyat zamanı server müştəri maşınına şəbəkə ilə açıq şəkildə ötürülən dəvətnamə və buna uyğun olan bir dəfəlik parolun daxil edilməsi üçün sorğu göndərir. Cavab aldıqda server onu yoxlayır və idarəni istifadəçi tərəfindən tələb olunan xidmətin serverinə ötürür.
Məxfiliyi təmin etmək üçün şifrələmə və ya kriptoqrafiyadan istifadə edilir. Verilənləri şifrələnmiş hala keçirməyə imkan verir, bu haldan da verilənləri ilkin vəziyyətinə qaytarmaq ancaq açar vasitəsilə mümkün olur. Şifrələmənin əsasında 2 anlayış durur: alqoritm və açar.
Alqoritm - ilkin mətnin kodlaşdırılması metodudur ki, nəticədə şifrələnmiş məktub almır. Şifrələnmiş məktubu ancaq açar vasitəsilə interpretasiya etmək olar. Aydmdır ki, məktubu şifrələmək üçün alqoritm kifayətdir. Ancaq şifrələmə vaxtı açardan istifadə etmək 2 mühüm özəllik təqdim edir. Birincisi, məktubları müxtəlif ünvanlara göndərmək üçün müxtəlif açarlarla bir alqoritmdən istifadə etmək olar. Ikincisi, əgər açarın məxfiliyi pozularsa, şifrələmənin alqoritmini dəyişmədən,açarı dəyişmək olar. Beləliklə, şifrələmə sisteminin təhlükəsİzliyi şifrələmə alqoritminin məxfiliyindən deyil, istifadə olunan açarın məxfiliyindən asılıdır. Şifrələmənin xeyli alqoritmi ümumi istifadəyə yararlıdır.
Verilən alqoritm üçün mümkün açarların sayı açardakı bitlərin sayından asılıdır. Məsələn, 8 bitli açar 256 (28) açar kombinasiyasına imkan verir. Açarların mümkün kombinasiyaları nə qədər çox olarsa, məktubu etibarlı şifrələmək üçün açarı seçmək bir o qədər çətin olar. Beləliklə əgər 128 bitlik açar istifadə etsək, 2128 açar seçmək lazım gələcək ki, hal-hazırda ən güclü kompüterin də imkanı xaricindədir. Onu demək vacibdir ki, texnikanın məhsuldarlığının artması açarın I açılması üçün lazım olan vaxtın azalmasına gətirib çıxarır.
Şifrələmə sistemində əsas yer açarın müxtəlifliyinə ayrıldığı üçün belə sistemlərin əsas problemi açarın generasiyası və ötürülməsidir. Şifrələmə sisteminin 2 əsas sxemi mövcuddur: simmetrik şifrələmə (onu bəzən ənənəvi və ya gizli açarla şifrələmə də adlandırırlar) və açıq açarla şifrələmə (bəzən bu tip şifrələməni assimmetrik adlandırırlar)
Simmetrik şifrələmə vaxtı göndərən və qəbul edən eyni açara (gizli) malik olurlar ki, onun vasitəsi ilə verilənləri şifrəliyə və ya şifrəni aça bilərlər. Simmetrik şifrələmə zamanı kiçik uzunluqlu açarlar istifadə olunur. Ona görə də böyük həcmdə verilənləri cəld şifrələmək olur. Simmetrik şifrələmə bankomat şəbəkələrdə bəzi banklar tərəfindən istifadə olunur. Ancaq simmetrik şifrələmənin bir neçə çatışmazlıqları vardır. Birinci, göndərən və alıcının biri-birindən gizli açar seçmək üçün təhlükəsiz mexanizm tapmaq çətindir. Gizli açarların təhlükəsiz yayılması problemi yaranır. Ikincisi, hər bir adresat üçün ayrıca gizli açar saxlamaq lazımdır. Üçüncüsü, simmetrik şifrələmə sxemində 2 istifadəçi bir açara malik olduğundan əmin olmaq mümkün deyil.
Açıq açarla şifrələmə sxemində göndərişi şifrələmək üçün 2 müxtəlif açardan istifadə edilir, Onlardan biri göndərişi şifrələyir, ikincisi isə şifrəni açır. Bu zaman istənilən istifadəçi öz göndərişini açıq açarla şifrələyə bilər, alınan məktubun şifrəsini isə ancaq şəxsi açara malik olan şəxs aça bilər. Bu zaman açıq açarın göndərilməsinin təhlükəizliyi haqda narahat olmağa ehtiyac yoxdur, ancaq istifadəçllərin gizli məlumatlarla mübadilə edə bilməsi üçün onların açıq açarlarının biri-birində olması lazımdır.
Assimmetrik şifrələmənin çatışmayan cəhəti odur ki, simmetrik şifrələmədən fərqli olaraq, burada təhlükəsizliyin ekvivalent əviyyəsini təmin etmək üçün olduqca uzun açarlardan istifadə etmək lazım gəlir. Bu da tələb olunan şifrələmə prosesini təşkil etmək üçün hesablama vasitələrinə öz təsirini göstərir.