19
КОНЦЕПТУАЛЬНА МОДЕЛЬ ЗАХИЩЕНОЇ ОПЕРАЦІЙНОЇ СИСТЕМИ ДЛЯ ФІНАНСОВИХ УСТАНОВ

Rublyov a

  • Upload
    garasym

  • View
    670

  • Download
    3

Embed Size (px)

Citation preview

Page 1: Rublyov a

КОНЦЕПТУАЛЬНА МОДЕЛЬ ЗАХИЩЕНОЇ ОПЕРАЦІЙНОЇ СИСТЕМИ

ДЛЯ ФІНАНСОВИХ УСТАНОВ

Page 2: Rublyov a

Зміст

1. Вступ

2. Сучасний універсальний сервер

3. Мета зловмисника

4. Відмінності в функціонуванні пропонованої моделі та їх вплив на результат

5. Висновки

Page 3: Rublyov a

TOTAL 50 BILLIONS OF USD

Page 4: Rublyov a

Апаратна

частина

Операційна

система

Серверне ПЗ

Сучасний універсальний сервер

Page 5: Rublyov a

Популярні серверні ОС

Page 6: Rublyov a

Мета зловмисникаОтримання доступу до баз даних для

внесення змін у них чи просто отриманняїхнього вмісту.

Способи:

обізнаність в ОС;

знання «дірок» захисного ПЗ;

не передбачені методи впливу;

інтеграція в систему.

Page 7: Rublyov a

Вільне ПЗ та комерційне ПЗ

Page 8: Rublyov a

SQL ін'єкція

ORDER;

авторизація;

INSERT і UPDATE;

DELETE;

LOAD_FILE і OUTFILE;

обхід Magic quotes;

BENCHMARK.

Page 9: Rublyov a

Відмінності в функціонуванні і вплив на результат

• ізольованість;

• обмеженість функціональності;

• реалізація фізичної кластерної файлової системи з віртуалізацією локальної файлової системи;

• дамп дані;

• подвійне шифрування, для окремого запису і загального простору;

• монітор витоку даних;

Page 10: Rublyov a

Кластерна ФС з віртуалізацією локальної ФС

Рис 1. Вигляд даних на сучасному сервері

Рис. 2 Вигляд на фізичному рівні пропонованої моделі

Page 11: Rublyov a

Рис. 3 Вигляд на рівні ОС Рис. 4 Вигляд віртуалізованого накопичувача для користувача.

Кластерна ФС з віртуалізацією локальної ФС

Page 12: Rublyov a

Кластерна ФС з віртуалізацією локальної ФС

Послідовна викачка одногоз накопичувачів ємністю 2ТБ, за умов прямогопідключення до серверноїмашини і з відсутністюобмеження максимальногозавантаження каналу дляодного з’єднання, примаксимальній і стабільнійшвидкості в 1 ГБіт\секстановить 4 години 36хвилин.

Page 13: Rublyov a

Подвійне шифрування і дамп дані

Рис. 5 Приклад ділянки заповненої текстом без шифрування, зшифруванням ROT13, ROT13 зашифрований Афінним шифром дезначення ключів a=3; b=4; m=26, 4-8 рядки дамп кешу процесора.

Ступінь насиченості простору дампом1 мегабайт істинних / 1терабайт дампу == 1 / 1024 * 1024 = 0,00000095367431640625

h i d e n _ t e x t

u v q r a _ g r k g

m p a d e _ w d i w

d k r s k t d x a i

e c b h r g a k j d

v j d q d f g q h d

j g k n f e t u y v

x f v q s f k u j c

Page 14: Rublyov a

Подвійне шифрування для окремого запису і загального простору

Запуск завантажувача

Розшифровка ОС і завантаження

Перевірка субдобового

ключа

Зміна ключа і перешифрування

простору

Перезавантаження і запис поточного

ключа в завантажувач

Запуск

Page 15: Rublyov a

Відмінності в функціонуванні і вплив на результат

• процес перевірки втручання в

системні файли;

• контроль апаратної зміни бази;

• блокування системних файлів на

рівні ОС;

• відсутність можливості видалення;

• реалізація системи міграції;

Page 16: Rublyov a

Відмінності в функціонуванні і вплив на результат

• інтегровані інструменти проектування та управління базами даних;

• процес посередник між запитами і СУБД;

• монітор локації запитів;

• служби контролю користувачів на термінальних системах;

• операційні клієнтські машини;

Page 17: Rublyov a

Відмінності в функціонуванні і вплив на результат

• реалізація власного мережевого протоколу;

• контроль сторонніх систем в мережі;

• система генерації звітної інформації.

Page 18: Rublyov a

Висновки

Розробка окремої операційної системи дляфінансових установ є ідеальним рішенням в планібезпеки, впровадження інноваційних функцій та економіїкоштів.

На рівні споживання – ми отримуємонаднадійний продукт власного виробництва.

Фінансово, вибір такого, рішення захищає нас відпостійних витрат на оновлене програмне забезпечення іна підпискове ліцензування ПЗ.

Не менш актуальною є можливість прихованняінформації навіть від служб державного контролю.

Також, наявність такої якісної системи захистуможе бути використано як маркетинговий хід банківськоїустанови, що обов’язково приверне увагу нових клієнтів.

Page 19: Rublyov a

Дякую за увагу.