Средства и методы защиты информации в банковской сфере

Аутентификация в защищенных АС может осуществляться несколькими методами [2,3]:

* парольная аутентификация (ввод специальной индивидуальной для каждого пользователя последовательности символов на клавиатуре);

* на основе биометрических измерений (наиболее распространенными методами биометрической аутентификации пользователей в СЗИ являются чтение папиллярного рисунка и аутентификация на основе измерений геометрии ладони, реже встречаются голосовая верификация и считывание радужной оболочки или сетчатки глаз);

* с использованием физических носителей аутентифицирующей информации.

Наиболее простым и дешевым способом аутентификации личности в АИС является ввод пароля (трудно представить себе компьютер без клавиатуры). Однако существование большого количества различных по механизму действия атак на систему парольной защиты делает ее уязвимой перед подготовленным злоумышленником.

Биометрические методы в СЗИ пока не нашли широкого применения. Непрерывное снижение стоимости и миниатюризация, например, дактилоскопических считывателей, появление «мышек», клавиатур и внешних флеш-носителей со встроенными считывателями неминуемо приведет к разработке средств защиты с биометрической аутентификацией.

В настоящее время для повышения надежности аутентификации пользователей в СЗИ применяют внешние носители ключевой информации. В технической литературе производители этих устройств и разработчики систем безопасности на их основе пользуются различной терминологией. Можно встретить подходящие по контексту термины: электронный идентификатор, электронный ключ, внешний носитель ключевой или кодовой (аутентифицирующей) последовательности. Следует понимать, что это устройства внешней энергонезависимой памяти с различным аппаратным интерфейсом, работающие в режимах чтение или чтение / запись и предназначенные для хранения ключевой (для шифрования данных) либо аутентифицирующей информации. Наиболее распространенными устройствами являются электронные ключи «Touch Memory» на базе микросхем серии DS199Х фирмы Dallas Semiconductors. Другое их название - «iButton» или «Далласские таблетки».

Рис. 1.6 - Внешний вид электронного ключа iButton

В СЗИ активно используются пластиковые карточки различных технологий (чаще всего с магнитной полосой или проксими-карты, Рис. 1.7). Пластиковые карточки имеют стандартный размер 54х85,7х0,9 - 1,8 мм.

Рис. 1.7. Пластиковая карта с магнитной полосой

Удобными для применения в СЗИ являются электронные ключи eToken (Рис. 1.8), выполненные на процессорной микросхеме семейства SLE66C Infineon, обеспечивающей высокий уровень безопасности. Они предназначены для безопасного хранения секретных данных, например, криптографических ключей. eToken выпускается в двух вариантах конструктивного оформления: в виде USB-ключа и в виде смарт-карты стандартного формата. В большинстве программно-аппаратных средств защиты информации предусмотрена возможность осуществлять аутентификацию личности пользователя комбинированным способом, т.е. по нескольким методам одновременно. Комбинирование способов аутентификации снижает риск ошибок, в результате которых злоумышленник может войти в систему под именем легального пользователя.

Рис. 1.8. - Электронные ключи eToken

Тема аутентификации (подтверждения подлинности идентификатора объекта) последние пять лет является одной из самых обсуждаемых практически на всех конференциях по информационной безопасности (ИБ) международного и национального уровней. С одной стороны, это объясняется тем, что в условиях глобализации размываются границы предприятия, мир становится мобильным, ресурсы - все более распределенными (отметим, что все более активными становятся хакеры, а значит, увеличивается процент мошенничества). Соответственно, обостряется вопрос о необходимости доподлинно знать, тот ли это ресурс, за который он себя выдает (противодействие фишингу), и является ли пользователь, который стремится получить доступ к данному ресурсу, легальным? С другой стороны, аутентификация как один из основных сервисов безопасности - обязательная составляющая систем защиты от несанкционированного доступа (НСД), в качестве подсистемы входящая в ряд систем ИБ.

Перед многими специалистами ИБ стоит задача выбора средств и методов аутентификации. Банки активно учатся оценивать риски, в частности, связанные с информационной безопасностью. Этому немало способствует и всплеск мошенничества с операциями по банковским картам, с модным нынче web-доступом к личным кабинетам по управлению инвестиционным портфелем и с уже вполне «привычными» для нашего уха хакерскими операциями со счетами, системами клиент-банк и т.д. Банки, уже ощутившие финансовый ущерб от подобных атак мошенников, начинают применять современные средства защиты, в том числе надежные технологии аутентификации, в качестве одной из мер снижения рисков финансовых потерь. Нередко встречаются и такие типы защитных мер, как рекомендации банков своим клиентам. Действуя по принципу «Предупрежден - значит, вооружен», клиентам банка рассылаются предупреждения о том, что при переводе сумм выше определенного уровня ответственность переносится на клиентов.

С точки зрения применяемых технологий аутентификации, безусловно, самой надежной является взаимная строгая двухфакторная аутентификация. В ее основе лежит технология электронной цифровой подписи (ЭЦП) с применением USB-ключей или смарт-карт в качестве надежного хранилища закрытых ключей пользователей. Под взаимностью понимается возможность проверки валидности сертификата цифровой подписи как клиента сервером, так и наоборот. Однако эта технология требует развитой инфраструктуры открытых ключей, наличия доверенной среды, а также средств проверки ЭЦП на клиентской рабочей станции.

При отсутствии возможностей для выполнения этих условий, в частности, для организации удаленного доступа из недоверенной среды, были разработаны достаточно надежные схемы с применением одноразовых паролей (технология OTP - One Time Password). Суть концепции одноразовых паролей состоит в использовании различных паролей при каждом новом запросе на предоставление доступа. Одноразовый пароль действителен только для одного входа в систему. Динамический механизм задания пароля является одним из лучших способов защитить процесс аутентификации от внешних угроз. Аутентификация с применением механизма ОТР называется усиленной.

И, наконец, при самом низком уровне рисков и ничтожно малом возможном ущербе при разглашении информации, доступ к которой необходимо организовать, широко используется способ аутентификации, основанный на применении парольной защиты.

Итак, лучшей практикой для подтверждения подлинности идентификатора является двусторонняя строгая аутентификация, основанная на технологии ЭЦП. В ситуациях, когда данную технологию использовать невозможно, необходимо применять ОТР, и только при минимальном уровне рисков проникновения злоумышленника к информационным ресурсам рекомендуется применение технологий аутентификации с помощью многоразовых паролей.

В последнее время все более актуальной становится тема предоставления сервисов удаленного доступа к информационным ресурсам посредством мобильных устройств - телефонов, смартфонов, «наладонников». Однако желание заказчика иметь полнофункциональный мобильный доступ и производить защищенные транзакции с помощью своего мобильного устройства сталкивается, прежде всего, с технологическими трудностями осуществления полнофункциональной двусторонней (клиент - сервер) аутентификации. Подавляющая часть предоставляемых на рынке сервисов недостаточно защищена от различного рода атак, в том числе типа «человек посередине». Кроме того, ситуацию усугубляют, с одной стороны, постоянно повышающийся уровень распространения интернет-мошенничества, с другой - неискушенность пользователей в вопросах безопасности. Со стороны клиента в данном случае вопросы аутентификации пользователя подменяются вопросами аутентификации даже не самого мобильного устройства, а всего лишь SIM-карты, зарегистрированной оператором связи в контракте, который пользователь подписывает при ее приобретении. Действительно, пользователь имеет нечто (в рассматриваемой ситуации - SIM-карту) и знает нечто (четырехзначный PIN-код), процесс аутентификации для него заканчивается после правильно введенного PIN-кода при включении телефона. PIN-код участвует только в обмене устройство - пользователь как средство доказательства владельцем того, что это именно его SIM-карта. Все дальнейшие действия выполняются от имени идентифицированной сервером SIM-карты по ее уникальному ID - номеру, который карта «приобрела» в момент ее производства. Клиент никак не может аутентифицировать (проверить подлинность) сервер, на который поступает заявка, скажем, о переводе некоторой суммы. Процесс обмена SMS-сообщениями, часто происходящий при предоставлении подобных сервисов, абсолютно не защищен, кстати, как и сам SMS-сервер.

Одним из бурно развивающихся сервисов в настоящее время является организация web-доступа к различным приложениям. В частности, для банков актуальны задачи выполнения защищенных on-line запросов, например, организация выписок состояния счета клиента, а также само выполнение защищенных транзакций. Главная проблема ИБ при этом - недостаточная защита клиентских рабочих станций. Естественным выходом из ситуации является перенос возможно большей части операций на сторону сервера. Современные технологические решения позволяют осуществлять подгрузку необходимых форм (например, платежных поручений) на клиентскую часть с сервера после авторизации легального пользователя на клиентской стороне. Пользователю необходимо лишь заполнить форму и подтвердить свои намерения электронной цифровой подписью. Подобные решения обычно строятся с применением трехзвенной архитектуры. Весь защищенный диалог с участием клиента организовывается на сервере приложений, к базе данных по защищенному каналу обращается лишь сервер приложений с запросами по согласованным форматам. Для обеспечения допустимого уровня рисков, как правило, необходимо полнофункциональное решение по организации доступа пользователей с применением технологии ЭЦП на основе развитой инфраструктуры открытых ключей. Такое решение должно исключать и возможность подмены сервера (фишинг) финансовых услуг и его защиту от НСД, и возможность подмены пользователя.

Для организации подобных решений необходимо применение строгой двухфакторной аутентификации, решений по разграничению доступа (каждый пользователь, в том числе администратор, имеет доступ только к необходимой ему, согласно занимаемой должности, информации), защите доступа (доступ к данным может получить пользователь, прошедший процедуру аутентификации), шифрованию данных (шифровать необходимо как передаваемые в сети данные для защиты от перехвата, так и данные, записываемые на носитель, для защиты от кражи носителя и от несанкционированного просмотра / изменения нештатными средствами системы управления БД) и аудиту доступа к данным (действия с критичными данными должны протоколироваться; доступ к протоколу не должны иметь пользователи, на которых он ведется). Данный подход позволяет персонифицировать действия пользователей и ввести понятие неотказуемости от совершенных действий. Это может стать основой профилактики правонарушений, в частности, послужить эффективным средством для предотвращения такого распространенного явления, как инсайдерские кражи баз данных.

Библиография

1. Газета «Коммерсантъ» №58 (4113) от 02.04.2009

2. Журнал «Мир связи» 11/2008. Алексей Сабанов. Актуальные задачи аутентификации.

3. Тютюнник А.В., Шевелев А.С. Информационные технологии в банке - Издательская группа «БДЦ-пресс». - 2003 г.

4. Киселева И.А. Коммерческие банки: модели и информационные технологи в процедурах принятия решений. - М.: Едиториал УРСС, 2002. - 400 с.

5. Ярочкин В.И. Информационная безопасность: Учебник для студентов вузов. - М.: Академический Проект; Гаудеамус, 2-е изд. - 2004. - 544 с.

6. Мельников В.П. Информационная безопасность и защита информации: учеб. пособие для студ. высш. учеб. заведений. - 3-е изд., стер. - М.: Издательский центр «Академия», 2008. - 336 с.

7. Курило А.П., Зефиров С.Л., Голованов В.Б и др. Аудит информационной безопасности. - М.: Издательская группа «БДЦ-пресс», 2006. - 304 с.

8. Безопасность информационных технологий. Критерии оценки безопасности информационных технологий [Текст]: РД: утв. Гостехкомиссией России. - М., 2002.

9. ГОСТ Р 51275-99. Защита информации. Объект информатизации. Факторы, воздействующие на информацию [Текст]. - Введ. 2000-01-01 - М.: Изд-во стандартов, 1999. - 8 с.

10. ГОСТ Р 50922-96. Защита информации. Основные термины и определения [Текст]. М.: Изд-во стандартов, 1996.

11. ГОСТ Р 51624-2000. [Текст]. М.: Изд-во стандартов, 2000.

12. Автоматизированные системы. Защита от НСД к информации. Классификация автоматизированных систем и требования по защите информации [Текст]: РД: утв. Гостехкомиссией России. - М.: Изд-во стандартов, 1992.

13. Средства вычислительной техники. Защита от НСД к информации. Показатели защищенности от НСД к информации [Текст]: РД: утв. Гостехкомиссией России. - М.: Изд-во стандартов, 1992.

14. Защита от несанкционированного доступа к информации. Термины и определения [Текст]: РД: утв. Гостехкомиссией России. - М.: Изд-во стандартов, 1992.

15. ГОСТ Р 15408-02. Критерии оценки безопасности информационных технологий [Текст]. - Введ. 2004-01-01 - М.: Изд-во стандартов, 2002.

16. ISO/IEC 17799:2000. Информационные технологии. Свод правил по управлению защитой информации. Международный стандарт [Текст] / ISO/IEC, 2000.

17. Девянин П.Н. Теоретические основы компьютерной безопасности [Текст]: учеб. пособие для вузов / П.Н. Девянин, О.О. Михальский, Д.И. Правиков, А.Ю. Щербаков. - М.: Радио и связь, 2000. - 192 с.

18. Ресурсы Microsoft Windows NT Workstation 4.0 [Текст]: [пер. с англ.] / Корпорация Майкорософт. - СПб.: BHV - Санкт-Петербург, 1998. - 800 с.: ил.; 28 см. + 1 электрон. опт. диск. - Перевод изд.: Microsoft Windows NT Workstation 4.0 Resource Kit / Microsoft Corporation, 1996.

Размещено на Allbest.ru