ВВЕДЕНИЕ 7
1 АНАЛИЗ ОРГАНИЗАЦИИ ДОСТУПА В РГЭУ (РИНХ) 9
1.1 Общие сведения о структуре РГЭУ (РИНХ) 9
1.2 Анализ угроз НСД к ИС РГЭУ (РИНХ)
1.3 Анализ способов защиты от НСД
1.4 Анализ системы контроля и управления доступом в РГЭУ (РИНХ)
2 МЕТОДЫ БИОМЕТРИЧЕСКОЙ АУТЕНТИФИКАЦИИ
2.1 Биометрическая аутентификация
2.2 Методы биометрической аутентификации
2.3 Методы аутентификации по радужной оболочке глаза и отпечаткам пальцев....
2.3.1 Аутентификация по радужной оболочке глаза 30
2.3.2 Аутентификация по отпечаткам пальцев
3 ЭФФЕКТИВНОСТЬ МНОГОФАКТОРНОЙ АУТЕНТИФИКАЦИИ
3.1 Методы оценки эффективности
3.2 Реализация расчета эффективности
3.3 Оценка основных показателей эффективности
3.4 Моделирование расчета повышения эффективности СКУД 61
ЗАКЛЮЧЕНИЕ
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ
Приложение А Результаты имитационного моделирования
Приложение Б Результаты экспериментальных испытаний со считывателем радужной оболочки
Приложение В Результаты экспериментальных испытаний со сканером отпечатков пальцев 78
В период активного развития и использования информационных технологий практически во всех сферах деятельности человека, в том числе и в образовательную сферу (школы, средние учебные заведения, высшие учебные заведения); значительном увеличении объемов информации, обрабатываемой в информационных системах; сосредоточении информации различного уровня секретности и принадлежности в единых базах данных; расширении круга лиц, имеющих доступ к техническим средствам обработки информации; повышении возможности доступа ко всем видам информации и создании предпосылок к ведению компьютерной разведки важнейшей задачей является обеспечение информационной безопасности.
Современные образовательные учреждения имеют сложную организационную структуру, многоаспектность функционирования, высокую техническую оснащенность, высокую концентрацию в автоматизированных системах и ресурсах, территориальную разрозненность, накопление больших объемов информации на носителях, интеграцию в единые базы данных информации различного назначения и различной принадлежности, интенсивное взаимодействие между компонентами информационных систем, в том числе и удаленных друг от друга.
Таким образом, они представляют собой совокупность взаимосвязанных между собой различных элементов, то есть систему, в рамках которой обязательно должна осуществляться защита информации. Существует множество принципов. На основе которых строятся системы защиты информации. В данной ВКР большее внимание будет уделено двум принципам организации защиты информации:
- комплексность, то есть согласованное применение разнородных средств;
- принцип экономической эффективности, то есть получение
максимума возможных благ от имеющихся ресурсов.
Одной из составляющих комплексной системы защиты информации (КСЗИ) является система контроля и управления доступом (СКУД), в задачу которой входит управление доступом, а именно контроль и ограничение доступа на заданную территорию и идентификация лица, имеющего доступ на заданную территорию.
Базовой частью любой СКУД является идентификация и аутентификация пользователей. Существуют различные методы аутентификации: по паролю, по электронным картам, по e-token, с помощью sms.
Одним из высокоперспективных направлений по идентификации и аутентификации является применение систем распознавания по биометрическим характеристикам человека. Такие системы позволяют повысить надежность защиты информации, автоматизировать процессы обеспечения доступа к защищаемым объектам на основе разработанных методов идентификации и аутентификации личности, соответствующих международным и отечественным стандартам.
В данной работе будет рассмотрена СКУД ФГБОУ ВО «РГЭУ (РИНХ)» с целью ее усовершенствования. Повысить ее эффективность возможно с помощью использования нескольких факторов аутентификации. Федеральная служба технического и экспортного контроля (ФСТЭК) рекомендует пользователям использовать вместо аутентификации на основе статических паролей многофакторную аутентификацию.
Многофакторная аутентификация основана на совместном использовании нескольких факторов аутентификации (знаний, средств или объектов хранения), что значительно повышает безопасность использования информации со стороны пользователей, подключающихся к информационным системам по защищенным и незащищенным каналам коммуникаций.
Одновременное использование нескольких факторов вместе уменьшает вероятность НСД и повышает вероятность защиты информации. В качестве одного из факторов можно использовать также биометрический показатель.
Таким образом, целью данной работы является исследование эффективности использования методов многофакторной аутентификации в РГЭУ (РИНХ).
Для достижения данной цели необходимо:
- изучить структуру РГЭУ (РИНХ);
- изучить возможные угрозы и способы защиты от них;
- изучить особенности СКУД РГЭУ (РИНХ);
- проанализировать существующие методы аутентификации, биометрические методы аутентификации;
- оценить эффективность системы защиты информации с точки зрения степени снижения потенциального ущерба от воздействия угроз безопасности применением СЗИ, биометрических систем и затраченных на систему защиты средств;
- выработать обоснованные рекомендации по обеспечению информационной безопасности и на практике оценить эффективность мероприятий по защите информации.
В выпускной квалификационной работе были проанализированы вопросы и задачи обеспечения безопасности информации в системе контроля и управления доступом РГЭУ (РИНХ). Были также проанализированы организационная структура РГЭУ (РИНХ), реализуемый комплекс мер для обеспечения безопасности персонала и студентов в университете, а также основные силы и средства , обеспечивающие безопасность персонала и студентов. Был сформирован перечень объектов за щиты РГЭУ (РИНХ) и выделены основные категории пользователей ИС РГЭУ (РИНХ). Проанализированы причины не санкционированного доступа к информации и способы за щиты от них, проанализирована существующая в РГЭУ (РИНХ) система контроля и управления доступом, проанализированы методы аутентификации и идентификации, боле е подробно проанализированы методы биометрической аутентификации по отпечаткам пальцев и по радужной оболочке глаза.
Были проанализированы методы биометрической аутентификации, стадии идентификация и аутентификация по биометрической системе. Были изучены статические и динамические методы биометрической аутентификации. Более детально исследованы методы аутентификации по радужной оболочке глаза и по отпечаткам пальцев, рассмотрены возможные а таки злоумышленников. Был также проанализирован процесс идентификации и аутентификации пора дужной оболочке глаза и по отпечатка м пальцев. Были исследованы технические устройства, не обходимые для аутентификации по радужной оболочке глаза и по отпечаткам пальцев.
Проанализированы действующие ГОСТы, существующие методы оценки эффективности. Использован метод оценки совокупной стоимости владения системами защиты информации для определения возможных затрат от внедрения методов многофакторной аутентификации в СКУД РГЭУ (РИНХ), проведено экспертное оценивание.
Проведен расчет эффективности СЗИ с использованием математического моделирования для построения сценариев оценки эффективности. Были выполнены расчеты показателей эффективности для каждого из сценариев.
Проведена оценка основных показателей эффективности (вероятность отказа регистрации, вероятность отказа сбора данных, вероятность ложного не совпадения, вероятность ложного совпадения). Были осуществлены математические расчеты и моделирование расчета повышения эффективности СКУД.
Все выше перечисленное позволило сделать математические расчеты, подтверждающие эффективность и целесообразность внедрения методов многофакторной аутентификации в СКУД РГЭУ (РИНХ).
1. Гурикова А.С. Применение технологии двухэтапной аутентификации для защиты пользовательского аккаунта // Фундаментальные и прикладные научные исследования: сборник ста те й Международной научно-практической конференции (05 ноября 2015 г., г. Екатеринбург). / в 3 ч. Ч.2 - Уфа: Аэтерна 2015. - 270 с., ISBN 978-5-906836-14-4 ч.2, ISBN 978-5-906836¬16-8
2. Гурикова А.С. Новый подход к решению проблем аутентификации в информационных системах // Перспективы развития научных исследований в 21 веке: материалы IX Международной научно-практической конференции (31.10.2015 г., г. Махачкала)
3. Гурикова А.С. Двухэтапная аутентификация как мера защиты информации пользователя информационных систем // Труды Северо-Кавказского филиала Московского технического университета связи и информатики, часть I. - Ростов-на-Дону.: ПЦ «Университет» СКФ МТУСИ, 2015, 552 с., С 493 - 496. - 0,465 п.л., ISSN 221-7975
4. Паспорт безопасности «РГЭУ (РИНХ)». [Электронный ресурс]. URL: http://www.rsue.ru/doc/bezopasnost/pasp_bezop.pdf(дата обращения: 10.03.2016).
5. Структура и органы управления «РГЭУ (РИНХ)» [Электронный
ресурс]. URL: http://rsue .ru/Podra zde le nie .a spx?id=5930
(дата обращения: 10.03.2016).
6. Методический документ ФСТЭК Меры ЗИ в ГИС, 2014. [Электронный ресурс]. URL: http://fstec.ru/te khniche skaya -za shchita - informa tsii/dokume nty/114-spe tsia Inye -norma tivnye -dokume nty/805-me todiche skij-dokume nt (дата обращения: 23.03.2016).
7. Базовая модель угроз безопасности ПД при их обработке в
ИСПД. 15.02. 2008 г [Электронный ресурс]. URL: http://fste
c.ru/te khniche skaya -za shchita -informa tsii/dokume nty/114-spe tsia ВКР-2020 - кафедра №35 ИТИЗИ - группа ИБ-341 Гурикова А.С. - 10-03.01 с.84
lnye -norma tivnye -dokume nty/3 79-ba zova ya -mode l-ugroz-be zopa snosti-pe rsona lnykh-da nnykh-pri-ikh-obra botke -v-informa tsionnykh-siste ma kh-pe rsona lnykh-da nnykh-vypiska -fste k-rossii- 2008-god (да та обращения: 23.03.2016).
8. ГОСТ Р 54831-2011. СКУД. Устройства преграждающие управляемые . Общие технические требования. Методы испытаний. [Электронный ресурс]. URL: http://vsegost.com/Ca ta
log/51/51742.shtml (дата обращения: 23.03.2016).
9. ГОСТ Р 51241 - 2008. СКУД. Классификация. Общие технические требования. Методы испытаний. [Электронный ресурс]. URL: http://e xpe rt-01.com/a sse ts/ima ge
s/uslugi/kontrol_dostupa /GOST%20R%2051241-2008.pdf (дата обращения: 23.03.2016).
10. Анисимов В.В. Протоколы аутентификации (идентификации).
[Электронный ресурс]. URL:https://site s.google .com/site /a
nisimovkhv/le a rning/kripto/le cture /te ma11 (дата обращения:
29.03.2016).
11. ГОСТ Р ИСО/МЭК 19794-2—2005 Автоматическая идентификация. Идентификация биометрическая. Форматы обмена биометрическими данными. Часть 2. Данные изображения отпечатка пальца - контрольные точки [Электронный ресурс]. URL: http:// vse gost.com/Ca ta log/21/2128.shtml (дата обращения:
29.03.2016).
12. Биометрия. Международный фонд автоматической идентификации. [Электронный ресурс]. URL: http://www.fond-ai.ru/a rt1/a rt228.html (дата обращения: 29.03.2016).
13. Обзор биометрических методов аутентификации. [Электронный ресурс]. URL: http://dic.aca de
mic.ru/dic.nsf/ruwiki/1748182 (да та обрщения: 10.04.2016).
14. Шаров В. Биометрические методы компьютерной безопасности // PC Ma ga zine /Russia n Edition №4 (80), а пре ль 2005. [Электронный ресурс]. URL: http://www.byte ma
g.ru/a rticle s/de ta il.php?ID=6719 (дата обращения: 10.04.2016).
15. Биологический энциклопедический словарь. - М.: ДиректМедия Паблишинг, 2006. - 9000 с. [Электронный ресурс]. URL: http://biblioclub.ru/?page=dict&dict_id=93(дата обращения: 10.04.2016).
16. Радужная оболочка глаза (радужка), строение. [Электронный
ресурс]. URL: http://zrenue .com/a na tomija -gla za /40-
ra duzhka /345-ra duzhnaja -obolochka -gla za -ra duzhka -stroe nie .html (дата обращения: 11.04.2016).
17. Официальный сайт Biome tric Ide a l Te st. Базы данных по биометрическим параметра м. [Электронный ресурс]. URL: http://biome trics.ide a lte st.org/(дата обращения: 16.04.2016).
18. Iris Re cognition Te chnology. [Электронный ресурс]. URL: http://www.irisid.com/productssolutions/te chnology-2/irisre cognitionte chnology/ (да та обращения: 16.04.2016).
19. Считыватель радужной оболочки глаза Panasonic BM-E
T200. [Электронный ресурс]. URL: http://www.ha nsa b.ru/%D0%A 2%D0%BEv%D0%B0ry/Pa na sonic-BM-ET200-Iris-Re a de (дата обращения: 16.04.2016).
20. Симанков В.С., Луценко Е .В. Адаптивное управление
сложными системами на основе теории распознавания образов. [Электронный ресурс]. URL:
http://victor-safronov.ru/syste ms-a na lysis/books/sima nkov-luce nko/ 14.html (да та обращения: 16.04.2016).
21. Сканеры отпечатков пальцв. Классификация и способы реализации [Эл. ресурс]. URL: https://ge e ktime
s.ru/post/116458/ , Сканеры отпечатков пальцев [Эл.
ресурс]. URL: http://www.ide xpe rt.ru/e quipme nt/7/ (дата обращения: 21.04.2016).
22. NITGE N Fingke y Ha mste r. [Электронный ресурс].
URL: http://www.ne urote chnology.com/finge rprint-sca nne r-nitge n- fingke y-ha mste r.html (дата обращения: 21.04.2016).
23. Fingke y Ha mste r. [Электронный ресурс].
URL: http://www.mtgen.com/e ng/product/finkey.html#a1 (дта обращения: 21.04.2016).
24. ГОСТ Р 50922-2006 ЗИ. Основные термины и определения. [Электронный ресурс]. URL: http://www.altell.ru/legislation/sta ndards/50922-2006.pdf (дата обращения: 29.05.2016).
25. ГОСТ 24.702-85. Единая система стандартов автоматизированных систем управления. Эффективность автоматизированных систем управления. Основные положения. [Электронный ресурс]. URL:
http://vsegost.com/Ca ta log/20/20041.shtml (дата обращения: 27.04.2016).
26. Маслова Н.А. Методы оценки эффективности систем защиты информационных систем: журнал «Искусственный интеллект».
2008, №4. [Электронный ресурс]. URL: http://www.nbuv.gov.ua /old_j rn/na tura l/II/2 008_4/Journa lA I_2 008_4/Ra zde l3/0 7_Ma
slova .pdf (да та обращения: 19.05.2016).
27. Научная школа Хубаева . Математическое и имитационное моделирование экономических и информационных процессов.
28. Ефимов Е .Н. Моделирование оценок эффективности мероприятий информационной безопасности компании при воздействии случайных факторов окружающей среды: Журнал Известия ЮФУ. Технические науки. 2015, №5 [Электронный ресурс]. URL: http://cybe rle ninka .ru/a rticle /n/mode lirova nie -otse nok-e ffe
ktivnosti-me ropriya tiy-informa tsionnoy-be zopa snosti-kompa nii-pri- vozde ystvii-sluchaynyh-fa ktorov (да та обращения: 19.05.2016).
29. ГОСТ Р ИСО/МЭК 19795-1-2007. Автоматическая идентификация. Идентификация биометрическая. Эксплуатационные испытания и протоколы испытаний в биометрии. Часть 1. Принципы и структура . [Электронный ресурс]. URL: http://www.gosthe lp.ru/gost/gost47675.html (дата обращения: 27.04.2016).
30. ГОСТ Р ИСО/МЭК 19795-2-2008. Автоматическая идентификация. Идентификация биометрическая. Эксплуатационные испытания и протоколы испытаний в биометрии. Часть 2. Методы проведения технологического и сценарного испытаний. [Электронный ресурс].
URL: http://www.gosthelp.ru/gost/gost48963.html(дата обращения: 27.04.2016).
31. ГОСТ Р ИСО/МЭК ТО 19795-3-2009. Автоматическая идентификация. Идентификация биометрическая. Эксплуатационные испытания и протоколы испытаний в биометрии. Часть 3. Особенности проведения испытаний при различных биометрических модальностях. [Электронный ресурс]. URL: http://vsegost.com/Ca ta log/48/48632.shtml (да та обращения: 27.04.2016).
32. ГОСТ Р ИСО/МЭК ТО 19795-4-2010. Автоматическая идентификация. Идентификация биометрическая. Эксплуатационные испытания и протоколы испытаний в биометрии. Часть 4. Тестирование производительности биометрических систем. [Электронный ресурс]. URL:
http://vsegost.com/Ca ta log/17/1757.shtml (дата обращения:
27.04.2016).
33. ГОСТ Р ИСО 9000-2011. Системы менеджмента качества. Основные положения и словарь. [Электронный ресурс]. URL: http://vsegost.com/Ca ta log/52/52164.shtml (дата обращения: 29.05.2016).
34. Ива нов В.П. Математическая оценка защищенности
информации от НСД. [Электронный ресурс]. URL:
http://www .bnti.ru/dbte xts/ ipks/old/a na lma t/1 /a m/iva nov/iva
nov.pdf (да та обращения: 31.05.2016).