Кібербезпека банківських та комерційних структур
2. Система S.W.I.F.T. та інформаційна безпека
З технічної точки зору мережа S.W.I.F.T. собою міжнародну телекомунікаційну мережу, що дозволяє фінансовим організаціям з різних країн підключитися до неї, використовуючи комп´ютери і термінали різних типів, для передачі банківської та фінансової інформації. В системі ухвалений спеціальний формат банківських повідомлень - стандарт, який розвивається за допомогою робочої групи фахівців банків і організацією S.W.I.F.T. В системі S.W.I.F.T. використовуються як міжнародні стандарти, розроблені ISO, так і стандарти Міжнародної торгової палати (ICC). В результаті розвитку мережі S.W.I.F.T. утворилася нова мережа - S.W.I.F.T. II, яка базується на 4-х рівневої мережевій архітектурі і на системі управління процесорами, що знаходяться в операційних центрах
Логічна архітектура системи S.W.I.F.T. II підпорядковується основним принципам встановленим ISO (Міжнародна організація стандартизації) для взаємодії відкритих систем. Кожен активний компонент архітектури S.W.I.F.T. II називається вузлом. Вузли можуть бути зв´язані між собою:
• прямими виділеними лініями;
• місцевими (міжнародними) комутованими лініями;
• локальними мережами;
• супутниковими каналами зв´язку.
Архітектура системи складається з чотирьох основних компонентів:
• SCP (процесор управління системою);
• SP (комутаційний процесор);
• RP (регіональний процесор);
• CP (процесор передачі).
Фактично вся система S.W.I.F.T. II зосереджена в двох Центрах управління системою (SCC), які розташовані в Zoeterwoude недалеко від Leiden в Netherlands і в Culpeper (USA). SCC включає в себе дві ключові компоненти системи, а саме SCP і SP. Для поліпшення працездатності і захисту від збоїв в системі S.W.I.F.T. II застосовується дублювання кожного SCP і резервування роботи кожного SP. У будь-який час тільки один SCP є активним і здійснює безпосереднє управління системою. Решта три SCP постійно знаходяться в резерві і безперервно оновлюють свої статки за даними конфігурації активного SCP. Процесор управління системою SCP відповідає за функціонування всієї системи в цілому. Він постійно контролює і управляє всіма активними компонентами системи, також як і всім доступом до системи в цілому. У функції управління SCP входить:
• дозвіл відкриття нового сеансу і зберігання даних сеансу;
• поширення нового програмного забезпечення по системі;
• функціональний контроль всіх технічних і програмних засобів;
• збір діагностичної інформації про несправності;
• управління процесом відновлення після помилки;
• динамічний розподіл системних ресурсів.
Комутаційні процесори SP керують маршрутизацією і зберіганням повідомлень. Основні функції SP:
• маршрутизація повідомлень між користувачами через RP;
• надійне зберігання двох копій всіх оброблених даними SP повідомлень (на двох різних носіях) і відповідної їм передісторії доставки;
• формування підтверджень про зберігання, доставку оброблених даними SP повідомлень або їх недоставки;
• обробка вибірки повідомлень.
Регіональний процесор RP здійснює логічне підключення користувачів до мережі S.W.I.F.T. II і, по суті, є вхідною і вихідною точкою системи. Програмне забезпечення RP, взаємодіючи з програмами користувача, здійснює точне і безпечне логічне підключення до S.W.I.F.T. II. У його функції входить:
• перевірка вхідних повідомлень до пересилання в SP;
• обробка протоколів прикладного рівня;
• контроль і перевірка номерів вхідної послідовності (ISN) всіх повідомлень;
• верифікація контрольних сум повідомлень;
• формування позитивних (АСК) і негативних (NAK) підтверджень прийому повідомлень.
Кожен RP обслуговує конкретну країну або територію і розташований в безпечних (з контролем доступу) центрах. Для кожного користувача системи, відомого по його фізичному адресою, призначається його основний RP, який і буде здійснювати обслуговування даного користувача. Процесор передачі CP забезпечує зв´язок між RP і іншими вузлами системи, тим самим дозволяючи RP, підключеному до власного SP, приймати інформацію від інших SP.
Для того щоб отримати фізичний доступ до системи S.W.I.F.T. II, індивідуальні користувачі повинні мати комп´ютерний термінал (СВТ), який підключається до системи S.W.I.F.T. II через ряд місцевих вузлів підключення, відомих як точки доступу до системи S.W.I.F.T. II (SAP) або віддалені точки доступу (RAP). До складу SAP / RAP входять :
• процесор, що виконує функції управління лініями користувача і лініями підключення SAP / RAP до транспортної мережі S.W.I.F.T. II (STN)
• порти надаються користувачам
Доступ до послуг S.W.I.F.T. II через SAP або RAP забезпечується STN, що працює під комунікаційним протоколом Х.25. Різниця між SAP і RAP полягає в забезпеченні рівня безпеки, хоча вони забезпечують однакові доступи до послуг S.W.I.F.T.
II через SAP або RAP забезпечується STN, що працює під комунікаційним протоколом Х.25. Різниця між SAP і RAP полягає в забезпеченні рівня безпеки, хоча вони забезпечують однакові операційні можливості по роботі з декількома окремо підключеними користувачами. Якщо через проблеми на лінії зв´язку або несправності SAP (RAP) користувач не може увійти в систему в його основний SAP (RAP), то альтернативний вхід в систему може бути проведений в інший SAP (RAP).
Підключення користувачів до мережі S.W.I.F.T. II можливо через виділені лінії зв´язку, через Загальні мережі передачі даних (PDN) або через PSTN (комутовані лінії), підключені до точки доступу.
Підключення виділених ліній є у всіх SAP зі швидкістю передачі даних по лініях 2400,4800 і 9600 біт / сек. Для даного типу підключення характерно, що користувачеві виділяється окремий порт на точці доступу. Для даного типу підключення за бажанням користувача може використовуватися шифрування.
Підключення через PDN можливо тільки зі швидкостями еквівалентними швидкостям виділених ліній. Підключення користувача до PDN забезпечується за допомогою виділених ліній з використанням протоколу Х.25. Для даного типу підключення передбачається обов´язкове шифрування даних згідно з протоколом Х.25.
В системі S.W.I.F.T. II є два типи підключення через комутовані лінії (PSTN):
• через порти PSTN спільного використання, до яких всі користувачі мають доступ на основі суворої конкуренції. Швидкість роботи через ці порти не більше 2400 біт / с і засоби шифрування не застосовуються;
• через виділені порти (для кожного користувача свій) зі швидкістю передачі даних до 9600 біт / с і можливістю (за бажанням користувача) застосовувати засоби шифрування інформації.
Рішення завдання комплексного забезпечення безпеки інформації в інформаційно - телекомунікаційних мережах необхідно забезпечити виконання наступних загальних принципів:
• захист інформації (з метою забезпечення її конфіденційності, цілісності та достовірності) при її зберіганні, обробки і передачі по мережах;
• підтвердження достовірності об´єктів даних і користувачів (аутентифіка- ція сторін, що встановлюють зв´язок);
• виявлення і попередження порушення цілісності об´єктів даних;
• живучість мережі зв´язку при компрометації частини ключової системи;
• захист технічних засобів і приміщень. в яких ведеться обробка конфіденційної інформації. від витоку інформації по побічним каналам і від можливо впроваджених в технічні засоби електронних пристроїв знімання інформації;
• захист програмних продуктів від впровадження програмних закладок і "вірусів";
• захист від несанкціонованого доступу до інформаційних і ресурсів і технічних засобів мережі, в тому числі і до засобів її управління, з метою запобігання зниженню рівня захищеності інформації та самої мережі в цілому;
• реалізація організаційно-технічних заходів, спрямованих на забезпечення схоронності конфіденційних даних.
Для реалізації комплексного підходу забезпечення інформаційної безпеки сукупність апаратно - програмних і організаційно - технічних засобів і заходів, що реалізують систему безпеки, повинні утворювати розподілений комплекс, що функціонує під управлінням центрів управління безпекою (ЦУБ) мережі.
Для функціонування ЦУБ необхідна розробка і реалізація програмно - технічних засобів управління мережею, розробка нормативно - технічної документації, інструкцій і правил, що визначають порядок дій з управління мережею і роботі користувачів в ній.
Конкретна реалізація зазначених принципів має забезпечувати захист:
• від порушення функціонування телекомунікаційного середовища шляхом виключення впливу на інформаційні канали; канали сигналізації, управління і віддаленого завантаження баз даних комутаційного обладнання; системне і прикладне програмне забезпечення;
• від несанкціонованого доступу до інформації шляхом виявлення і ліквідації спроб використання ресурсів мережі, що призводять до витоку інформації, порушення цілісності мережі та інформації, зміни функціонування підсистем розподілу інформації, доступності баз даних;
• від руйнування вбудованих і зовнішніх засобів захисту шляхом забезпечення шифрування та імітозахисту переданої і збереженої інформації, можливості доказу неправомірних дій користувачів і обслуговуючого персоналу мережі.
У світлі нинішніх тенденцій зростання відкритості технологій кредитно- фінансової сфери (використання Intemet та інших відкритих мереж в якості транспортної мережі передачі даних) особливого значення набуває питання забезпечення конфіденційності, цілісності та достовірності передавався інформації. Досягти цього можна лише, використовуючи криптографічно стійкі і ефективно реалізовані кріптосхеми, і організовуючи надійні і зручні системи розподілу ключової інформації. Хоча в багатьох системах передачі економічно значимої інформації будуть панувати специфічні вимоги (в залежності від топології - навмисної зміни одержувачем повідомлення з метою дискредитації відправника або комунікаційної компанії;
• видачі одного користувача системою за іншого, щоб зняти з себе відповідальність або ж використовувати його повноваження з метою формування помилкового повідомлення, зміна законного, санкціонування хибних обмінів повідомленнями або ж їх підтвердження;
• відмови від факту формування та передачі повідомлення;
• твердження про те, що повідомлення отримано від деякого користувача, хоча насправді воно сформоване самим зловмисником;
• твердження про те, що одержувачу в заданий момент часу було послано повідомлення, яке насправді не надсилалося (або надсилалося в інший момент часу);
• відмови від факту отримання повідомлення, яке насправді було отримано, або видача неправдивих відомостей про час його отримання;
• несанкціонованого зміни повноважень інших користувачів на відправку та отримання повідомлень (помилкова запис інших осіб, обмеження або розширення встановлених повноважень і т.п.);
• набору статистики обміну повідомленнями (вивчення того, хто, коли і до яких повідомленнями отримує доступ);
• заяви про сумнівність протоколу забезпечення безпеки доставки повідомлень через розкриття деякої конфіденційної інформації;
• введення зловмисником помилкових повідомлень доручень і службової інформації;
• постановки перешкод в каналах зв´язку з тією метою виключення можливості доведення повідомлення до одержувача.
Також необхідно відзначити, що при побудові систем інформаційної безпеки в кредитно-фінансових організаціях необхідно враховувати наступні принципи, які в багатьох випадках послужать причинами відхилення організацій від методів і правил побудови аналогічних систем в державних структурах:
• витрати на побудову систем захисту не повинні перевищувати величину гіпотетично можливої шкоди;
• політика відкритості суперечить політиці забезпечення інформаційної безпеки.
• Всі питання, пов´язані з безпекою в системі S.W.I.F.T. II, умовно можна розділити на наступні розділи:
• Фізична безпека
• Безпека логічного доступу до системи S.W.I.F.T. II
• Забезпечення безпеки повідомлень, переданих і збережених в системі
• Безпека обміну повідомленнями користувач-користувач
• Засоби безпеки, що забезпечуються системою S.W.I.F.T. II складаються з:
• процедури входу в систему
• процедури вибору додатка
• нумерації повідомлень
• перевірки помилок передачі
• криптозахисту повідомлення знаходиться в мережі S.W.I.F.T. II
• контролю доступу до повідомлень в SAP -ах, регіональних процесорах, комутаційних процесорах, центрах управління системою
Відділ Головного інспектора системи S.W.I.F.T. II (CIO) управляє всіма питаннями, пов´язаними із забезпеченням безпеки роботи мережі S.W.I.F.T. II Користувачам рекомендується забезпечувати належну безпеку процедур, що здійснюються в їх власних організаціях, наприклад, контроль доступу до терміналів S.W.I.F.T. II, управління їх підключенням і використанням.
Фізична безпека
Здійснюється на основі розмежування і контролю доступу до всіх операційних і адміністративним вузлів S.W.I.F.T. шляхом використання електронних засобів і засобів виявлення несанкціонованого доступу. Застосовується також дистанційне керування для вузлів S.W.I.F.T. II, які управляються автоматично. Якщо користувач запитує центр про доступ до SAP, то в обов´язковому порядку повинен бути зроблений запит до CIO і без його санкції нікому не буде дано дозвіл на доступ до SAP.
Безпека логічного доступу до системи S.W.I.F.T. II
Як вже говорилося вище, користувачі можуть отримати фізичний доступ до системи S.W.I.F.T. II тільки через СВТ, що працює з одним або більше LT. Кожному LT призначаються унікальні таблиці безпеки для процедур LOGIN і SELECT (вибір фінансового додатки - FIN), які представляють собою послідовності ключів в табличному вигляді. Кожен ключ в таблиці може використовуватися тільки один раз і пов´язаний з послідовними номерами процедур, які використовують ці ключі. Ці таблиці формуються і відсилаються користувачеві до їх підключення до системи S.W.I.F.T. II на основі запиту на їх використання, причому нові таблиці безпеки створюються відразу після висилки чергових таблиць і пересилаються користувачеві тільки в міру необхідності. Користувачі, які використовують таблиці безпеки, можуть запросити в відділі Г оловного інспектора таблиці з 2400 ключами, замість звичайних таблиць (1200 ключів).
Доступ LT до системи S.W.I.F.T. II проводиться за допомогою команди LOGIN. До того, як буде надіслано запит LOGIN, користувачеві необхідно ввести ключ запиту і ключ відповіді з таблиці безпеки LOGIN. Мета запиту LOGIN:
Визначити логічний шлях для зв´язку LT з системою Обмежити доступ в систему несанкціонованих користувачів Дозволити користувачам перевірити, що вони підключилися до справжньої системі S.W.I.F.T. II
Вказувати державний розмір вікна, яке повинно бути відкрито для сеансу GPA
При запиті процедури LOGIN система S.W.I.F.T. II виробляє наступну послідовність дій:
Перевіряє заголовок і текст повідомлення, яке надсилатиметься процедурою LOGIN
Перевіряє справжність кінцевика MAC, сформованого з використанням ключа з таблиці безпеки, але не містить інформацію про сам ключ
Якщо підтвердження автентичності користувача пройшло успішно, то порядковий номер запиту LOGIN (LSN) порівнюється з очікуваним системою LSN. Якщо LSN знаходиться в допустимих межах, то система перевіряє, що запит LOGIN, виданий після дня зазначеного в останній команді LOGOUT (вказує тимчасові рамки для LT, протягом яких від даного LT не братимуться запити). Якщо ж LSN не збігається з очікуваним, то в поле підтвердження автентичності системи вказується наступний очікуваний LSN
Підтверджує запит LOGIN, повертаючи або позитивне підтвердження LOGIN (LAK), або негативне підтвердження LOGIN (LNK). Підтвердження міститиме кінцевик MAC, заснований на ключі відповіді, але не містить інформацію про нього і дозволяє користувачеві перевірити справжність системи
Записує спробу LOGIN разом з відповіддю системи в передісторію LT Примітка: Спроба провести запит LOGIN на лінії зв´язку, по якій LT вже увійшов в систему розглядається, як серйозна помилка і ігнорується системою.
Доступ до програми FIN (з якого відправляються повідомлення користу- вач-користувач і ряд системних повідомлень) проводиться за допомогою команди SELECT, яка проходить процедуру підтвердження для гарантії того, що: Тільки перевірені користувачі можуть отримати доступ до системи S.W.I.F.T. II
Користувач зв´язався зі справжньою системою S.W.I.F.T. II Алгоритм підтвердження справжності повідомлення, використовуючи довільний ключ захисту і ключ відповіді, пов´язані послідовним номером із запитами LOGIN або SELECT, і інші елементи даних, (день / час позначки) формує кінцевик MAC.
Примітка: Цей процес відрізняється від процесу підтвердження автентичності повідомлення користувач-користувач. Він не вимагає обміну «ключами достовірності», але замість цього використовуються унікальні таблиці безпеки, створені для кожного користувача.
За винятком довільного ключа захисту і ключа відповіді, відомі тільки системі S.W.I.F.T. II і кінцевому користувачеві, елементи даних, що використовуються для формування MAC, надсилаються в складі MAC, як частина повідомлень LOGIN і SELECT. У відповідь система S.W.I.F.T. II формує новий кін- цевик MAC, з тим же ключем захисту, але з іншими елементами даних і включає його в SAK або LNK, тим самим дозволяючи користувачеві підтвердити достовірність системи S.W.I.F.T. II Далі відбувається припинення підключення користувача до системи і формується запит з новим кінцевиком, використовуючи новий ключ доступу, для гарантії того, що сеанс буде відновлено санкціонованим LT з одночасною перевіркою автентичності системи S.W.I.F.T. II.
В даний час в системі S.W.I.F.T. II була розроблена і рекомендована Радою директорів для повсюдного використання поліпшена архітектура системи забезпечення безпеки, яка відповідає в широкому сенсі сучасному рівню розвитку телекомунікаційних технологій та криптографічних методів. Основою нового підходу стало використання інтелектуальних карт (ICC), зміна алгоритму перевірки достовірності і збільшення довжини двосторонніх ключів, якими обмінюються користувачі.
Для забезпечення безпеки логічного доступу до системи S.W.I.F.T. II в рамках нового підходу була розроблена служба безпечного входу в систему і вибору режиму (SLS), яка дозволяє користувачам отримати доступ до послуг системи S.W.I.F.T. II за допомогою ICC замість використання паперових таблиць Login і Select. Застосування ICC вимагає використання зчитувачів карт. Необхідно зауважити, що на даному етапі пропонується два різних типи зчитувачів карт. Перший - спрощений зчитувач карт (BCR), який підтримує тільки службу SLS. Другий - зчитувач карт з модулем захисту (SCR), в якому крім функцій кардридера реалізована також функція модуля апаратного захисту, що виконує генерування ключів і шифрування секретної інформації (застосовується як для підтримки SLS, так і інших служб, створених в рамках нового підходу). Так як в SCR повинні зберігатися секретні дані, він зроблений захищеним від розтину - будь-яка спроба дістатися до внутрішніх частин пристрою приводить до автоматичної знищення секретної інформації, що зберігається в SCR.
Крім того, при обслуговуванні SCR або ВCR передбачено кілька різних варіантів режимів роботи (відключений від СВТ або підключений до СВТ), широкий перелік варіантів конфігурації цих пристроїв спеціально виділяються людьми (офіцери безпеки), а також широкий перелік послуг з навчання персоналу організації.
Служба SLS і операції
Як вже говорилося, основне призначення SLS - заміна паперових таблиць Login / Select новим механізмом, здатним генерувати сеансові ключі доступу до системи, які при використанні паперових таблиць доводилося прочитувати операторам СВТ вручну. Необхідно відзначити, що ICC не містить самих ключів доступу, але містить алгоритм, який може згенерувати необхідний сеансовий ключ для будь-якого запиту Login / Select. Так як даний алгоритм відрізняється від підведеного в системі S.W.I.F.T. II в даний час для генерації паперових таблиць, ключі доступу, одержувані з ICC, відрізняються від своїх еквівалентів в паперових таблиць.
Для забезпечення логічного доступу до послуг системи S.W.I.F.T. II необхідно вставити відповідним чином сконфігурованої ICC. У зчитувач карт і ввести PIN -код на клавіатурі пристрою для читання. При виборі функції Login (Select) на СВТ необхідні коди автоматично генеруються ICC і передаються в СВТ, до якого підключений зчитувач. Потім СВТ продовжує обробляти запит Login (Select) звичайним чином. Для більшості користувачів зчитувач карт буде залишатися підключеним до СВТ з метою отримання максимальної вигоди від використання служби SLS. Але є можливість використання і непідключеного зчитувача карт (наприклад, для віддалених терміналів або в разі аварії), коли необхідні коди доступу хоча і генеруються в ICC, але відображаються на дисплеї зчитувача карт, а потім вручну вводяться в СВТ.
Забезпечення безпеки повідомлень, переданих і збережених в системі Безпека обміну повідомленнями в системі S.W.I.F.T. II складається з наступних основних пунктів:
• забезпечення безпеки передачі
• перевірка повідомлень
• забезпечення безпеки доставки
• Зокрема, з огляду на, що мережа захищена від несанкціонованого доступу, потік повідомлень при передачі і зберіганні повинен мати захист від:
• втрати, підтвердження, помилковою доставки або затримки повідомлень
• помилок при передачі і зберіганні
• втрати конфіденційності
• внесення в повідомлення неправдивих змін Забезпечення безпеки передачі
У всі повідомлення додатків GPA і FIN системи S.W.I.F.T. II додається обов´язковий кінцевик CHK, який містить контрольну суму даного повідомлення, перераховується в вузлах введення / виведення мережі. Якщо відбулося спотворення повідомлення протягом передачі (це встановлюються шляхом перевірки контрольної суми, прийнятого повідомлення, що є унікальною для кожного повідомлення, з обчисленої контрольної сумою) і це не було зафіксовано в протоколі перевірок низького рівня, то у відповідь на це повідомлення буде передано негативне підтвердження і воно буде надсилатися повторно.
Перевірка повідомлень
Всі вхідні повідомлення перевіряються відповідним RP до того, як передати їх SP. Тільки повідомлення, що відповідають стандартам S.W.I.F.T. II і синтаксису, приймаються до доставки. Результати безперервних перевірок постійно зберігаються і через дуже суворих стандартів, встановлених S.W.I.F.T. II, будь-яка серйозна помилка протоколу призводить до закриття сеансів FIN або GPA.
Безпека доставки
Після суворих перевірок, проведених для всіх вхідних потоків повідомлень і високоякісних методів забезпечення безпеки, використаних для передачі повідомлень, всі повідомлення, позитивно підтверджені системою S.W.I.F.T. II, розглядаються правильними і отже доставленим системі.
Обов´язковий кінцевик CHK використовується отримують LT для перевірки того, що жодної помилки не з´явилося при передачі між вхідним RP і реципієнтом. Обов´язкове використання підтверджень прийому користувачем повідомлення (UAK / UNK) дає можливість системі S.W.I.F.T. II підтвердити чи прийняв LT надіслане до нього повідомлення чи ні.
Система S.W.I.F.T. II не розглядатиме повідомлення, доставленим до тих пір, поки позитивне підтвердження прийому користувачем повідомлення (UAK) не отримано від LT -реципієнта. Система S.W.I.F.T. II буде намагатися надіслати Ваше повідомлення 11 разів, після чого доставка повідомлення припиняється і відправник повідомляється, що повідомлення не може бути доставлено. Кожна наступна спроба доставки після першої буде містити відповідну кількість кінцевиків PDM. Перевірка повідомлень S.W.I.F.T. II гарантує, що повідомлення для підготовки (які мають кінцевик TNG) не можуть бути адресовані чинним місць призначення, і навпаки діючий потік повідомлень не може бути адресований до метам призначення з підготовки.
Безпека обміну повідомленнями користувач-користувач
При обміні повідомленнями між користувачами для забезпечення конфіденційності і автентичності, а також для контролю за цілісністю повідомлень система S.W.I.F.T. II рекомендує використовувати алгоритм перевірки достовірності. Перевірка достовірності - важлива частина системи забезпечення безпеки S.W.I.F.T. II, вона ґрунтується на обміні між користувачами ключами і перевірці того, що результат перевірки достовірності був представлений в певних типах повідомлень.
Приймаючий термінал перевіряє текст отриманого повідомлення за допомогою стандартного алгоритму SA / 2 і узгодженого ключа достовірності. І якщо в ході перевірки отримано негативний результат, то це може швидше за все статися через:
• помилок передачі
• неправильного ключа достовірності
Ключ достовірності складається з 32 шістнадцяткових символів, розділених на дві частини по 16 знаків і може бути як для передачі, так і для прийому або використовуватися в обох напрямках. Для формування ключа необхідно дотримуватися наступних правил:
• перша і друга половина повинні бути різні
• в кожній половині будь дозволений символ може з´явитися тільки один раз.
Крім цього необхідно відзначити, що ключі достовірності передаються між кореспондентами поштою, і для забезпечення безпеки ключової інформації всім користувачам системи S.W.I.F.T. II рекомендується підтримувати кореспондентські відносини тільки з відомими користувачами і в організації - ініціатора обміну вибирати тип ключа достовірності відповідно до проведеної політикою безпеки цієї організації.
Як вже говорилося в зв´язку з переходом на нові технології забезпечення безпеки в системі S.W.I.F.T. II, що використовують ICC, був вдосконалений і процес обміну ключами достовірності між користувачами, результатом чого стала поява служби обміну двосторонніми ключами (BKE). Призначення BKE - замінити тяжку систему ручного обміну двосторонніми ключами підтвердження автентичності між кореспондентами по відкритій пошті на систему, яка використовує нові повідомлення S.W.I.F.T. II і зчитувач карт з модулем захисту, спеціально розроблені для цієї мети. Нова система дозволить повністю автоматизувати процес обміну ключами. За новою технологією кожен двосторонній ключ підтвердження автентичності створюється всередині SCR і зашифрована перед передачею в СВТ, до якого SCR підключений. Ключі підтвердження автентичності, якими обмінюються кореспонденти, можуть бути або двонаправ- леними (коли один і той же ключ використовується для перевірки автентичності переданих і прийнятих повідомлень окремого кореспондента), або односпря- мованим (коли використовуються окремі ключі на прийом і на передачу повідомлень). Служба ВКЕ заснована на стандарті ISO з обміну ключами (ISO 11166 - Banking - Key Management by Means of Asymmetric Algorithms). У цьому стандарті визначено використання асиметричних алгоритмів для шифрування і цифрового підпису двосторонніх ключів, якими обмінюються кореспонденти. Спеціально для забезпечення розподілу відкритих ключів в системі
S.W.I.F.T. II був створений Центр управління безпекою (SMC) в складі якого працює Центр сертифікації ключів, який видає сертифікати відкритих ключів користувачів системи S.W.I.F.T. II.
Наступний за процедурами переходу і початкової установки реальний обмін двосторонніми ключами підтвердження автентичності через мережу S.W.I.F.T. II включає в себе обмін чотирма спеціальними повідомленнями S.W.I.F.T. II між кореспондентами, один з яких виступає як ініціатор обміну, а інший - як одержувач. Перші два повідомлення використовуються виключно для цілей встановлення сеансу обміну двосторонніми ключами. У третьому повідомленні ініціатор обміну посилає ключ, створений і зашифрований всередині SCR, використовуючи відкритий ключ одержувача. Так само SCR створює цифровий підпис ініціатора обміну ключами. Після отримання третього повідомлення учасник обміну перевіряє цифровий підпис і якщо вона дійсно належить відправнику, то йому надсилається підтвердження, ключ визнається вірним і заноситься в файл двосторонніх ключів.
Безпосередньо після обміну новий ключ стає «майбутнім» ключем для цих кореспондентів і буде використовуватися для перевірки фінансових повідомлень, починаючи з взаємно узгоджених дати і часу. При використання ключів прийому / передачі кожен кореспондент є ініціатором обміну для свого ключа передачі.
Але на закінчення хотілося б відзначити, що досвід забезпечення інформаційної безпеки в системі S.W.I.F.T. II II, хоча і є по суті своїй цінним, але йо го застосовність до окремо взятої ситуації не є однозначним при планування і побудова системи інформаційної безпеки, де основними факторами у виборі моделі і принципів будуть наступні:
• політика безпеки явно суперечить політиці відкритості
• витрати на побудову системи інформаційної безпеки не повинні перевищувати величину можливої шкоди.