Построение системы защиты от DDoS-атак на кредитную организацию
ВВЕДЕНИЕ
В настоящее время одной из главных задач практически любой кредитной организации – это обеспечение бесперебойного предоставления услуг в рамках обслуживания клиентов. Банковская деятельность является одной из тех областей, где наиболее активно применяются компьютерные технологии. Современные банки предоставляют широкий спектр услуг удалённо. Такое обслуживание получило название дистанционное банковское обслуживание (ДБО).
Главной целью автоматизации банковской деятельности является повышение качества банковских услуг, а также сокращение затрат и возможность существенного увеличения клиентской базы. Для клиента это означает высокий уровень удобства и минимум затрат по времени и финансах на всех стадиях взаимоотношения с банком. В свою очередь, удалённое банковское обслуживание влечёт за собой возникновение новых угроз. Одной из которых являются DDoS-атаки. Целью таких атак является блокировка возможности сервиса адекватно и своевременно реагировать на запросы настоящих, л
ОГЛАВЛЕНИЕ
ВВЕДЕНИЕ3
ГЛАВА 1. ИССЛЕДОВАНИЕ ТЕХНОЛОГИЙ ПРЕДОСТАВЛЕНИЯ УСЛУГ ДИСТАНЦИОННОГО БАНКОВСКОГО ОБСЛУЖИВАНИЯ КЛИЕНТАМ И ОЦЕНКА УРОВНЯ ЗАЩИЩЕННОСТИ КРЕДИТНОЙ ОРГАНИЗАЦИИ6
1.1.Описание технологического процесса удалённого банковского обслуживания.6
1.2.Классификация и виды DDoS-атак.10
ГЛАВА 2. АНАЛИЗ НОРМАТИВНО-ПРАВОВЫХ АКТОВ И ЛУЧШИХ ПРАКТИК, АНАЛИЗ МЕТОДОВ И СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ ОТ DDOS-АТАК28
2.1. Анализ нормативно-правовых актов в области защиты информации при дистанционном банковском обслуживании.28
2.2. Структура системы защиты от DDoS-атак.37
2.3. Варианты установки средств противодействия атакам в существующую сетевую инфраструктуру.38
2.4. Подходы к построению системы защиты от DDoS-атак.41
ГЛАВА 3. РАЗРАБОТКА КОМПЛЕКСА ОРГАНИЗАЦИОННЫХ И ТЕХНИЧЕСКИХ МЕР ДЛЯ ОБЕСПЕЧЕНИЯ ДОСТУПНОСТИ УСЛУГ ДИСТАНЦИОННОГО БАНКОВСКОГО ОБСЛУЖИВАНИЯ ЛЕГИТИМНЫМ ПОЛЬЗОВАТЕЛЯМ ПРИ DDOS-АТАКАХ50
3.1. Основные принципы выбора средств комплексной защиты.50
3.2. Применение методов теории игр при выборе средства противодействия DDoS-атакам.52
3.3. Комплексный подход к развертыванию средств противодействия атакам и вторжениям.58
ЗАКЛЮЧЕНИЕ62
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ63
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ
Федеральный закон от 27.07.2006 года N 152-ФЗ "О персональных данных".
Федеральный закон от 27.06.2011 года N 161-ФЗ "О национальной платежной системе".
Постановление Правительства РФ № 584 от 13.06.2012 «Об утверждении Положения о защите информации в платежной системе».
Постановление Правительства РФ № 1119 от 1.12.2012 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
Приказ № 21 ФСТЭК от 18.02.2013 года «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
Модель угроз безопасности ФСТЭК от 15.02.2008 года «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных».
Положение Банка России от 31.05.2012 г. № 379-П «О бесперебойности функционирования платежных систем и анализе рисков в платежных системах».
Положение Банка России от 09.06.2012 г. № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств».
"Положение о требованиях к защите информации в платежной системе Банка России" (утв. Банком России 24.08.2016 N 552-П).
Документ Главного управления безопасности и защиты информации Банка России «Обзор основных способов осуществления DOS/DDoS-атак».
Национальная платежная система. Бизнес-энциклопедия / коллектив авторов ; ред.-сост. А.С. Воронин. — М. : КНОРУС : ЦИПСиР, 2013. — 424 с.
DDoS-атаки ставят рекорды. Как быстро и дешево защитить свой бизнес? [Электронный ресурс] URL: https://habrahabr.ru/company/ruvds/blog/307166/ (Дата обращения 01.11.2017).
Протокол TCP №1 [Электронный ресурс] URL: https://xakep.ru/2002/04/11/14943/ (Дата обращения 01.11.2
Потом WordPress-сайт начинает обрабатывать запрос и отвечать по указанному адресу сайта жертвы;
Мощность атаки достигается за счёт запроса HTML-страницы сайта жертвы в ответ на небольшой XML-код pingback запроса. При такой атаке на 1 Мбит/с с задействованной полосы управляющего узла жертва отвечает 20-100 Мбит/с полосой данных.
В ходе такой атаки определенная нагрузка ложится и на уязвимый Wordpress-сервер, однако в силу того, что в нападении участвует несколько тысяч Wordpress-серверов и атака разделяется между ними примерно равномерно, нагрузка на каждый отдельный сервер обычно не является критичной и может быть даже не замечена системным администратором на фоне ежедневной средней загрузки. Основная же доля нагрузки приходится именно на атакуемый ресурс.
В то же время атака типа Wordpress Pingback DDoS, организуемая на HTTP-ресурс без шифрования, достаточно легко идентифицируется и несложно фильтруется при наличии достаточной произво