Дипломная работа (ВКР) — бакалавр, специалист на тему Развитие многофакторной аутентификации в системах управления допуском пользователей в вычислительных системах финансовых организаций

Содержание:

Список используемых сокращений и обозначений 3

Введение 4

1 Анализ особенностей функционирования вычислительных систем финансовых организаций и типовых угроз для них 6

1.1 Структура и функциональные возможности вычислительных систем финансовых организаций 6

1.2 Анализ угроз для вычислительных систем финансовых организаций 9

1.3 Анализ существующих публикаций, посвященных вопросам многофакторной аутентификации в вычислительных системах финансовых организаций 15

1.4 Постановка задания на данную работу 22

2 Анализ метода многофакторной аутентификации как основного средства управления доступом в вычислительных системах финансовых организаций 24

2.1 Суть метода многофакторной аутентификации и соответствующая нормативно-правовая база 24

2.2 Варианты проведения многофакторной аутентификации, основанные на биометрических системах. Анализ отечественных разработок 29

2.3 Разработка предложений по эффективной многофакторной аутентификации в вычислительных системах финансовых организаций, основанных на биометрических системах 33

3 Предложения по реализации предложенных протоколов многофакторной аутентификации с помощью конкретных технических решений 37

3.1 Методы и средства биометрической аутентификации пользователей в вычислительных системах финансовых организаций 37

3.2 Выработка требований к парольным составляющим систем многофакторной аутентификации и обоснование их стойкости к взлому различными методами 39

3.3 Средства доверенной интеграции различных методов аутентификации в многофакторных системах 44

3.4 Оценка возможной экономической эффективности предлагаемых решений 52

Заключение 54

Список использованных источников 56

Приложение А. Линейка продуктов RuToken (с сайта компании rutoken.ru) 62

Введение:

Внедрение современных информационных технологий во все сферы жизни общества не могло обойти стороной такую важную ее часть, как деятельность банковской отрасли. Также следует заметить, что именно эта область является наиболее привлекательной для злоумышленников разных видов, так как именно здесь предоставляется возможность прямого завладения финансовыми средствами (без необходимости выполнения каких-либо дополнительных операций, например, по обналичиванию других украденных активов). Следовательно, в банковских системах следует предусмотреть средства для противодействия имеющимся угрозам и важнейшим из них является механизм аутентификации пользователя. Как известно, аутентификацией называют подтверждение того, что пользователь действительно является тем, кем он назвался, и этот процесс может проводиться значительным числом разных способов. Наиболее простым и дешевым способом аутентификации является применение парольной защиты, однако, такой подход имеет крайне низкую стойкость. Тем не менее, полный отказ от применения паролей представляется нецелесообразным и более перспективным является объединение парольной защиты с другими средствами проведения аутентификации (например, атрибутными). Чрезвычайно надежным способом аутентификации является применение биометрических средств, измеряющих особенности тела человека. Объединение различных способов аутентификации в рамках одного акта авторизации пользователя в защищенной системе называется многофакторной аутентификацией. Таким образом, исследование возможных вариантов проведения многофакторной аутентификации применительно к банковским системам является актуальной задачей, подлежащей решению в данной работе.

Целью работы является рассмотрение подходов к обеспечению безопасности банковских систем с помощью многофакторной аутентификации и выработка рекомендаций по проведению многофакторной аутентификации в вычислительных системах финансовых организаций.

Задачи работы:

— анализ особенностей защиты банковских систем и их типовых угроз, нейтрализующихся с помощью процессов многофакторной аутентификации;

— рассмотрение сути и структуры процессов многофакторной аутентификации;

— исследование возможностей применения биометрических методов как элемента процессов многофакторной аутентификации;

— разработка рекомендаций по практическому внедрению отдельных составляющих процесса многофакторной аутентификации.

Объект исследования – процесс проведения многофакторной аутентификации в вычислительных системах финансовых организаций.

Предмет исследования – методы и средства, обеспечивающие проведение процесса многофакторной аутентификации.

Практическое значение работы состоит в централизованном рассмотрении материалов, посвященных многофакторной аутентификации, а также в выработке конкретных практических рекомендаций по внедрению данного подхода в банковских информационных системах.

Заключение:

Таким образом, в данной работе проведено исследование подходов к обеспечению безопасности банковских систем, которые реализуются на основе процесса многофакторной аутентификации пользователей информационных систем этих организаций.

В первую очередь, проведен анализ банковских информационных систем на предмет действия в них типовых угроз, субъектов аутентификации и объектов защиты. Указаны основные преимущества, которые предоставляет многофакторная аутентификация для подобных случаев. Далее рассмотрена суть понятия многофакторной аутентификации и основные схемы ее построения.

В качестве основных факторов аутентификации в данной работе рассмотрены атрибутные средства (в виде соответствующих карт, брелков или жетонов), а также методы, основанные на знании (т.е. парольная защита). Для каждого из подходов указаны положительные и отрицательные стороны, которые позволяют более взвешенно принимать решение об использовании того, или иного конкретного средства в условиях банковской организации (каждая из которых уже обладает определенными средствами защиты и оттого является уникальной).

Наиболее подробно в работе рассмотрен третий фактор аутентификации, который основан на применении биометрических средств контроля доступа. А именно, анализируются сканеры отпечатков пальцев, радужной оболочки глаза, распознавания по голосу. Наиболее реальным в условиях отечественных банковских систем является применение портативных сканеров отпечатков пальцев обладающих невысокой (как для банковской организации) стоимостью до 10 тыс. руб. и модульной организацией (подключаются по универсальному порту USB).

Для объединения нескольких аппаратных и/или программных средств, обеспечивающих многофакторную аутентификацию, предлагается использовать программно-аппаратные комплексы доверенной загрузки и использования персональных компьютеров типа «Соболь» или «Аккорд». В работе предлагаются полные комплекты решений для двух данных ПАК.

Таким образом, в данной работе разработаны решения, необходимые для возведения системы многофакторной аутентификации сотрудников финансовой организации. Применение указанных рекомендаций позволяет при необходимости быстро возводить конкретные системы контроля и управления доступом, адаптированные под существующие системы защиты и оборудование конкретного банка или другой финансовой организации.

Фрагмент текста работы:

1 АНАЛИЗ ОСОБЕННОСТЕЙ ФУНКЦИОНИРОВАНИЯ ВЫЧИСЛИТЕЛЬНЫХ СИСТЕМ ФИНАНСОВЫХ ОРГАНИЗАЦИЙ И ТИПОВЫХ УГРОЗ ДЛЯ НИХ

1.1 Структура и функциональные возможности вычислительных систем финансовых организаций

При начале выполнения данной работы, в первую очередь, следует зафиксировать понятие финансовой организации. Под финансовой организацией в соответствии с Законом № 123–ФЗ понимается организация, оказывающая финансовые услуги и взаимодействующая с финансовым уполномоченным в обязательном порядке или на добровольной основе. Часто под финансовой организацией понимают юридическое лицо, основной деятельностью которого является обработка денежных средств. Сюда относят:

— банковские организации (банки);

— учреждения, предоставляющие микрозаймы (кредитные союзы);

— ломбарды;

— страховые компании;

— пенсионные фонды;

— инвестиционные фонды, компании по доверительному управлению средствами инвесторов;

— брокерские компании;

— фондовые биржи.

Очевидно, что все приведенные организации могут отличаться в значительной мере по своим масштабам и представлять собой структуры мирового масштаба, масштаба отдельной страны, региональные, местные (локальные). Соответственно будут различаться и возможности этих организаций по внедрению средств защиты информации. В целом, также весьма различающимися могут быть и средства информационных технологий в целом, применяемых в организации. Обычно, крупные компании могут позволить себе вкладывать значительно большие средства (в абсолютном выражении) в разработку, внедрение и поддержание средств защиты информации, а также в информационные технологии (ИТ) в целом. Организации локального уровня в отдельных случаях могут вести учет данных, необходимых им для работы, практически вручную, совершенно не развивая свою информационную инфраструктуру. Таким образом. поскольку учесть в одной работе все различные виды финансовых организаций не представляется возможным, в дальнейшей работе под финансовой организацией будем иметь ввиду банковское учреждение.

Банковские организации имеют более-менее универсальный набор функций, которые определяют и перечень программных продуктов, необходимых для поддержки их жизнедеятельности. Так, основными видами деятельности банковских учреждений являются:

а) Эмиссионно-учредительная;

б) Мобилизация свободных денежных средств;

в) Превращения мобилизованных денежных средств в капитал;

г) Осуществление расчет и платежей в хозяйстве;

д) Кредитование государства, населения или предприятий;

е) Выпуск кредитных денег;

ж) Консультирование и предоставление финансовой и экономической информации.

Благодаря мобилизации свободных денежных средств и превращения их в капитал, банки получают возможность аккумулировать сбережения и доходы в виде вкладов. Сам вкладчик получает вознаграждение, которое может быть в виде оказания банковских услуг или выплаченного по вкладу процента. Сбережения во вкладах превращаются в ссудный капитал, использующийся для предоставления кредита предприятиям и объектам бизнеса разного масштаба. Одной из самых важных функций банка является кредитование. При кредитовании коммерческий банк выступает в качестве посредника, который получает деньги от конечных кредиторов и дает их конечным заемщиком. За счет кредитных средств банк может осуществлять финансирование торговли, сельского хозяйства, промышленности, промышленности и т.п. Выпуск кредитных денег – функция, которая отличает коммерческий банк от других финансовых организаций. Банки осуществляют депозитно-кредитную эмиссию, поэтому денежная масса возрастает при выдаче ссуды и уменьшается при ее возвращении.