Дипломная работа (ВКР) — бакалавр, специалист на тему Беспарольная аутентификация пользователей автоматизированных банковских систем

Содержание:

Введение 3

1 Особенности процессов аутентификации в банковских системах 5

1.1 Анализ структуры и состава субъектов и объектов банковских систем 5

1.2 Анализ типовых угроз банковских информационных систем и их нейтрализация путем аутентификации пользователей 8

1.3 Обзор сценариев внедрения беспарольной аутентификации в банковские системы 11

1.4 Анализ публикаций, посвященных существующим (зарубежным и отечественным) случаям внедрения методов беспарольной аутентификации 18

1.5 Выделение нерешенных частей проблемы и формирование задания на данную работу 20

2 Методы и средства, применяемые для беспарольной аутентификации пользователей 21

2.1 Средства биометрической аутентификации 21

2.1.1 Статическая (физиологическая) биометрическая аутентификация 24

2.1.2 Динамическая (поведенческая) биометрическая аутентификация 30

2.2 Атрибутные методы контроля доступа 39

2.2.1 Использование карт подтверждения доступа 39

2.2.2 Брелки как средство атрибутной аутентификации 45

2.2.3 Электронные цифровые ключи 46

2.3 Обоснование выбора оптимальных средств беспарольной аутентификации для банковской системы 48

2.4 Описание функциональной модели по применению предлагаемой системы аутентификации в банковских системах 49

3 Формирование технических решений по внедрению выбранного метода беспарольной аутентификации в банковской системе 53

3.1 Выбор конкретного типа и версии выбранных средств беспарольной аутентификации 53

3.2 Построение рекомендаций по внедрению выбранных средств беспарольной аутентификации 59

3.3 Оценка эффективности внедрения выбранных средств беспарольной аутентификации в банковской системе 61

3.4 Оценка возможности внедрения беспарольной аутентификации в банковские системы в РФ 63

Заключение 67

Список использованных источников 69

Введение:

На сегодняшний день все большее количество людей переходят от платежей, осуществляемых в наличной форме, к безналичным переводам, осуществляемым в основном с помощью банковских систем. Даже все большая доля людей пенсионного возраста переходит к получению пенсии «на карту», а отдельные банки предлагают карты даже для школьников. Увеличение популярности банковских систем среди населения способствует пропорциональному увеличению интенсивности попыток злоумышленников вносить несанкционированные изменения в их работу. Для этого они применяют широкий спектр инструментов, начиная от социальной инженерии (довольно часто) до физического подключения к сетям передачи данных с дальнейшим анализом и подменой их трафика. Одним из способов, позволяющим достаточно эффективно бороться со многими угрозами банковским системам (причем достаточно разноплановыми) является проведение надежной аутентификации их пользователей. Существуют разные подходы к аутентификации, начиная от наиболее простой парольной и заканчивая высокоэффективной биометрической статической (например, по рисунку радужной оболочки глаза). Однако, в массовом варианте (для каждого клиента банка) применение дорогостоящих и габаритных биометрических систем совершенно не представляется возможным (в то же время для менеджеров банка возможно применение дорогих средств биометрической аутентификации на их рабочем месте). Анализ недостатков парольных методов защиты приводит к необходимости создания и внедрения новых, беспарольных средств аутентификации. Таким образом исследование подходов, основанных на беспарольной аутентификации применительно к банковским системам является актуальной задачей современной отрасли кибербезопасности.

Вопросы аутентификации в целом регламентируются действующими нормативно-правовыми документами, из которых основными являются ГОСТ Р 58833-2020 «Защита информации. Идентификация и аутентификация. Общие положения» [1] и ГОСТ Р 70262.1-2022 «Защита информации. Идентификация и аутентификация. Уровни доверия идентификации» [2]. Подробно анализ этих стандартов и тематической научно-технической литературы проводится в соответствующих разделах данной работы, однако в целом можно констатировать, что проблема беспарольной аутентификации является относительно новой и мало представлена в литературе (особенно отечественной).

Целью работы является оценка возможностей внедрения беспарольной аутентификации в банковских организациях и выработка соответствующих практических рекомендаций.

Задачи работы следующие:

— обзор сценариев внедрения беспарольной аутентификации в банковские системы;

— анализ опыта внедрения существующих методов беспарольной аутентификации;

— описание функциональной модели по применению новой системы аутентификации в банковских системах;

— оценка возможности внедрения беспарольной аутентификации в банковские системы в РФ.

Объект исследования – процесс беспарольной аутентификации в банковских системах.

Предмет исследования – способы проведения беспарольной аутентификации в банковских системах.

Практическое значение работы состоит в создании предложения по проведению беспарольной аутентификации в банковских системах, которое может служить основой для реализации работоспособной информационной системы, основанной на таком варианте аутентификации.

Заключение:

Таким образом, в данной работе рассмотрены подходы к реализации процесса беспарольной аутентификации в банковских системах, и в частности в условиях банковской сферы РФ. В первую очередь, рассмотрены особенности предметной области, а именно суть процесса беспарольной аутентификации и краткие сведения о соответствующих методах и средствах. Также произведен анализ основных угроз для банковских информационных систем, и выделены те из них, что могут быть нейтрализованы с помощью проведения надежной аутентификации их пользователей. Рассмотрен перечень субъектов и объектов банковских информационных систем, а также установлено, что беспарольную аутентификацию целесообразно применять в двух различных случаях. Во-первых, такой подход возможен при авторизации в системе сотрудника банка, который может быть классифицирован как привилегированный пользователь, а, во-вторых, при авторизации т.н. «массового» клиента, т.е. обычного клиента, не относящегося к категории особых (VIP).

Далее в работе детально проанализированы способы беспарольной аутентификации, в которых выделено несколько обширных классов: биометрические методы, атрибутные подходы, а также варианты, основанные на знании некоторой информации (которая не может быть классифицирована как пароль).

Для каждого из двух предложенных в работе видов пользователей банковской ИС разработаны оптимальные схемы многофакторной беспарольной аутентификации. Для сотрудников – это двухфакторная аутентификация, основанная на считывании отпечатков пальцев, а также – на владении электронной картой. Для клиентов – трехфакторная аутентификация, основанная на использовании сотового телефона (наиболее популярный способ аутентификации на сегодняшний день в банковских системах), распознавании лица (применяется пока мало, но относительно легко может быть массово внедрена без особой модернизации существующего парка клиентских устройств), а также владении электронным цифровым ключом, в качестве которого предложено использовать секретный ключ двухключевой схемы (фактически предлагается применение электронной цифровой подписи для аутентификации клиента банка в дополнительном раунде аутентификации, если распознавание по лицу дает низкую уверенность в результате).

Применение указанных в данной работе рекомендаций в банковской сфере РФ позволило бы уйти от использования паролей, причем в случае с сотрудниками банка – в полной мере. В случае с аутентификацией клиентов решение вопроса не так однозначно и варианты беспарольной защиты могут комбинироваться с максимально надежной парольной защитой. Таким образом, работа может считаться завершенной, а ее цель – достигнутой.

Фрагмент текста работы:

1 ОСОБЕННОСТИ ПРОЦЕССОВ АУТЕНТИФИКАЦИИ В БАНКОВСКИХ СИСТЕМАХ

1.1 Анализ структуры и состава субъектов и объектов банковских систем

Для создания системы аутентификации первоначально следует провести ряд подготовительных исследований [3], из которых первым должно быть определение субъектов, потенциально подлежащих авторизации в системе (т.е. выделить роли или уровни доступа по терминологии мандатной модели управления доступом).

Так, среди пользователей автоматизированных банковских систем (в целом как и в других АС, например [4]) можно выделить следующие их группы:

а) гостевой пользователь типа nobody, который не имеет отношения к банковской системе (даже не является клиентом банка). Несмотря на отсутствие какой-либо связи с банком, такой субъект обычно должен иметь доступ к некоторым (общедоступным) информационным ресурсам банковской системы, как например, титульная страница сайта банка или перечень услуг, доступных в его информационной системе. Для данного типа пользователя какая-либо авторизация (и, значит, аутентификация) не требуется;

б) клиенты банка, являющиеся стандартного типа пользователями (user) его информационной системы. Они имеют доступ только к своим банковским счетам и не могут видеть или управлять чужими счетами, тем более вносить изменения в работу системы. Работа этих пользователей в информационной системе происходит удаленно, с использованием незащищенных каналов связи сети Интернет. Учитывая массовость таких пользователей, здесь требуется применение несложных с организационной и технической точки зрения способов аутентификации;

в) менеджеры банка являются привилегированными пользователями (privileged user), которые имеют доступ на чтение и изменение всей информации, связанной со счетами клиентов банка. Менеджеры имеют возможность подключения к информационной системе банка только из помещения банка, т.е. в пределах защищенного контура. Учитывая то, что количество менеджеров не слишком большое (на одно отделение не превышает величин порядка десятка), а также означенную выше специфику, в данном случае следует применять надежные средства аутентификации (возможно многофакторные), не ограничиваясь простыми (дешевыми) техническими решениями.