Взлом и защита автоматизированной банковской системы

    - активация  на всех портах, к которым подключены  одиночные хосты, режима ограничения  количества МАС-адресов или даже  установка фиксированного разрешенного  МАС-адреса.

    - предпочтительнее  использование маршрутизаторов  вместо коммутаторов;

    - использование сетевых экранов;

    В тех случаях, когда злоумышленник  может формировать фальшивые  служебные пакеты протоколов динамической маршрутизации, и эти пакеты затем  принимаются маршрутизаторами как  корректные, а у него появляется возможность манипулировать сетевым трафиком в самой произвольной форме.

    IPSec – набор протоколов для обеспечения защиты данных, передаваемых по межсетевому протоколу IP, позволяет осуществлять подтверждение подлинности и/или шифрование IP-пакетов. IPsec также включает в себя протоколы для защищённого обмена ключами в сети Интернет.

    Таким образом, даже в случае наличия всего лишь одного компьютера неплохо иметь и внешний брандмауэр/маршрутизатор. Помимо этого, надежной внешней защите способствуют прокси-сервера, антивирусные и антиспамовые шлюзы. Также нужно учесть, что коммутаторы в плане защиты лучше хабов, маршрутизаторы с трансляцией сетевых адресов (NAT) лучше коммутаторов, а брандмауэры и вовсе средство первой необходимости.  

    При этом отслеживания трафика только на сетевом мониторе недостаточно, важно  наряду с прочими действиями по увеличению уровня защиты проводить полную проверку входящей информации на каждой машине. 

    Защита  на прикладном уровне

    Аналогично  ОС, узкое место приложения – система аутентификации. Следует использовать алгоритмы аутентификации, аналогичные PAM.

    Система не должна хранить пароли в открытом виде (нужно хэшировать).

    Также необходима защита на уровне СУБД – разделение ролей, использование пароля для доступа к БД. Файлы с данными следует шифровать.

    Приложение  не должно содержать потайных дверей.