Основные виды угроз безопасности информации представлены на рисунке 1 [4]. В данной статье будут подробно рассмотрены преднамеренные угрозы, а именно несанкционированный доступ к конфиденциальной информации, хранящейся на средствах вычислительной техники.

Рисунок 1 – Угрозы, воздействующие на безопасность защищаемой информации, обрабатываемой на ПЭВМ.

К способам несанкционированного доступа относятся [5]:

1. непосредственное обращение к объектам доступа.
   
2. создание программных и технических средств, выполняющих обращение к объектам доступа в обход средств защиты.
   
3. модификация средств защиты, позволяющая осуществить НСД.
4. внедрение в СВТ программных или технических механизмов, нарушающих предполагаемую структуру и функции СВТ и позволяющих осуществить НСД.

В настоящий момент существует достаточно большое количество систем аутентификации пользователей, проведенный анализ которых выявил множество их разновидностей, представленных на рисунке 2. Проведя их анализ, был сделан вывод о том, что на сегодняшний день одним из перспективных направлений в этой области является аутентификация на основе радиочастотных меток.

Рисунок 2 – Классификация систем аутентификации.

В различных организациях находится большое количество средств вычислительной техники, которые могут содержать в себе конфиденциальную информацию (личная информация пользователей, паспортные данные, различная служебная информация…). При этом необходимо не допустить свободного распространения этой информации и повысить ее защищенность от несанкционированного доступа.

На сегодняшний день на рынке существует больше количество программно-аппаратных комплексов (ПАК) защиты от НСД, но устанавливать их в ведомственные СВТ не всегда целесообразно, так как они обладают высокой стоимостью и сложностью интеграции, поэтому используются в основном
для защиты секретных данных, обрабатываемых на объектах электронно-вычислительной техники. Так как конфиденциальная информация не является секретной, то для разграничения доступа к информации предлагается использовать программно-аппаратный комплекс, построенный на основе микроконтроллера Arduino UNO, со специализированным программным обеспечением и радиочастотной RFID-метки.

Выбранная для реализации технология обладает рядом преимуществ, основными из которых являются:

• отсутствие необходимости в прямой видимости;
  
• больший объём хранения данных;
  
• поддержка чтения нескольких меток;
  
• устойчивость к воздействию окружающей среды;
• высокая степень безопасности;

На рисунке 3 представлены внешний вид модуля RFID 522, предназначенного для считывания кода с RFID-метки и взаимодействия с аппаратной вычислительной платформой Arduino UNO, которая, в свою очередь, содержит базу ключей и специализированное программное обеспечение, при помощи которого осуществляется управление доступом к средству ЭВТ.

Рисунок 3 – Микроконтроллер Arduino UNO с RFID.

Исходя из представленных на рисунке 3 моделей управления доступом, СВТ может использоваться в многопользовательском режиме, когда в помещение, где оно находится имеют доступ лица, не допущенные к её эксплуатации. При этом создаются предпосылки для несанкционированного доступа к хранящейся на данном СВТ информации. Система защиты информации должна быть комплексной и включать в себя несколько уровней защиты. Одним из средств защиты, позволяющим осуществить разграничение доступа к СВТ является разработанное устройство защиты от несанкционированного доступа.

Рисунок 4 – Модели управления доступом.

На рисунке 5 представлена функциональная схема устройства защиты от НСД на основе радиочастотной метки.

Рисунок 5 – Функциональная схема устройства защиты от НСД на основе радиочастотной метки.

Принцип действия схемы устройства защиты от несанкционированного доступа к ПЭВМ заключается в следующем – при внесении в поле действия считывателя бесконтактной RFID карты происходит передача её идентификационного кода на считыватель. Полученная информация преобразуется в код, создающий управляющий сигнал, который поступает на считыватель. С выхода считывателя RFID идентификационный код поступает на вход микроконтроллера Arduino, в котором происходит его сравнение с заранее запрограммированными. При совпадении предъявляемого кода с содержимым памяти контроллер доступа замыкается шлейф и на материнскую плату передается сигнал включения. При этом иначе СВТ включить никак нельзя.

Неуспешные идентификация и/или аутентификация не позволят предоставить доступ к защищаемым информационным ресурсам ПЭВМ.

Устройство защиты ПЭВМ служит для блокировки доступа к информации лиц, не имеющих на это права. При его применении включение ПЭВМ возможно только при предъявлении личного радиоэлектронного ключа (RFID метки). Устройство защиты ПЭВМ от несанкционированного доступа устанавливается внутри системного блока и подключается к материнской плате вместо кнопки питания. Питание осуществляется от независимого источника питания +5В.

На рисунке 6 представлена схема подключения модуля RFID считывателя RS522C к Arduino и порядок записи новой метки.

1. Подключить модуль RFID-считывателя к микроконтроллеру Arduino согласно схеме.
2. Через порт мини USB подключить Arduino к ПК, и с помощью специального программного обеспечения загрузить в Arduino скетч из листинга. Данный скетч определяет тип приложенного к считывателю устройства и считывает данные, на RFID – метке или карте.
3. Поднести метку к считывателю.

Рисунок 6 – Схема подключения модуля RFID считывателя RS522C к Arduino и порядок записи новой метки.

Внешний вид устройства представлен на рисунке 7.

Рисунок 7 – Реализация устройства защиты от НСД на основе радиочастотной метки.

Таким образом поставленные задачи по разработке программно-аппаратного комплекса защиты средств вычислительной техники и предложений по его реализации выполнены. ПАК может быть использован для защиты конфиденциальной информации, хранящейся на ПЭВМ от несанкционированного доступа.

Если сосредотачивать своё внимание на сектор бизнеса и рассматривать обеспечение информационной безопасностью крупных и малых предприятий, то мы придём к выводу что в этом плане существует большая пропасть. Виной всему может оказаться фактор финансового обеспечения предприятий. Так, если в крупных предприятиях внимание вопросам информационной безопасности отводится большое, то на малых предприятиях такого просто нет, или же внимание уделяется мало и финансирование отводится минимальное. Вопросы информационной безопасности на малых предприятиях, как правило, ставятся в один ряд с планами далёкими от повседневных задач.

Говоря о информационной безопасности на малом предприятии необходимо учитывать риск не только утечки информации по инсайдерским каналам, но и риск атаки через сеть используя 0-day уязвимость, благодаря которой злоумышленник смог скомпилировать эксплойт, или банально смог подобрать пароль к базам данных предприятия используя тот же брутфорс[3]. Директора малых предприятий недостаточно финансируя в вопросы информационной безопасности потерять не только персональные данные сотрудников, рискуют также потерять денежные средства и репутацию. Потому внедрив хотя бы бюджетное решение по информационной безопасности, тем самым минимизировав риски утечки важной для предприятии информации, вполне может с большей уверенностью планировать развитие бизнеса далее.

Для разработки бюджетного программно-аппаратного решения достаточно иметь в организации сотрудника, который уверенно может программировать на языках С/С++, Java. В случае, если политикой организации не предусмотрено наличие сотрудника-программиста, то желательно привлекать его по контракту на время разработки, но с полным контролем его действий и отчётностью. Такие меры ограничивают возможность создавать со стороны разработчика дополнительных, только ему известных программно-аппаратных «закладок».

Двухфакторная аутентификация весьма популярна в настоящее время, однако если брать её строгую формулировку и следовать ей, то мы неминуемо попадём в ловушку широкого распространения программно-аппаратных решений, которые уже давно научились обходить злоумышленники. Следовательно, двухфакторная аутентификация должна быть в некоторой степени эксклюзивной и иметь особенности, которые выделяют её из общей массы, например, двухфакторная аутентификация с использованием водяных знаков. Такая аутентификация значительно надёжней, если использовать стандартную по типу «логин/пароль» – «код смс». Также необходимо учитывать тот факт, что не бывает совершенной системы безопасности, можно лишь минимизировать риски проникновения злоумышленника в неё.

Двухфакторная аутентификация призвана идентифицировать пользователя в системе (сервисе) используя запрос данных аутентификации разнообразных типов что, в свою очередь, обеспечивает двухуровневую эффективную защиту от НСД (несанкционированного доступа)[1].

Первый фактор аутентификации «логин-пароль» является стандартным методом аутентификации в системе, который нет возможности изменить. Однако, желательно придерживаться пожеланиям международного стандарта ISO 27001 относительно парольной политики и менять пароль пользователя не реже одного раза 3 месяца.

Второй фактор аутентификации во многих организациях – это смс-код, который приходит в ответ на действия пользователя при попытке входа в систему. Это очень распространённый вид вторичной аутентификации, и большинство злоумышленников задумывались о возможности и методах перехвата смс-кода[4].

Некоторые аргументы в пользу несостоятельности аутентификации при помощи смс-кода:

• Смс-код можно увидеть со стороны, подсмотреть.
• Извлечь из мобильного телефона SIM и переставить в другой, приняв смс-код.
• Перехват смс-кода при помощи троянского вируса.
• С помощью социальной инженерии вынудить хозяина мобильного телефона сообщить смс-код.
• Перехватить смс-код, используя уязвимость в протоколе передачи информации SS7.

Наиболее интересные факторы вторичной аутентификации – это RFID-метка и графический пароль с водяными знаками (Рис. 1).

Рис. 1. Двухфакторная аутентификация на малом предприятии

RFID-метка представляет собой набор элементов (микросхема Mifare S50, антенна). Идентификационный код обеспечивается изготовителем номера. Данные, хранимые внутри микросхемы защищены аппаратным шифрованием. Также необходимы: считыватель RFID RC522 для приёма сигнала RFID-метки, ATmega32U4 на микроконтроллере[5].

Алгоритм работы с использованием RFID-метки можно разбить на следующие шаги:

• Исходная инициализация – проверка готовности системы к работе, задание переменных, проверка и подключение к последовательному порту.
• Ожидание системы – загорелся индикатор, расположенный на панели устройства, ожидание стабильного соединения.
• Стабильное доверительное соединение – отправка запроса на стабильное доверительное соединение.
• Идентификация доверительного соединения – подтверждение стабильного соединения.
• Режим отправки данных – при условии успешного подтверждения стабильного соединения включается режим отправки данных.
• Режим считывания данных с карты – при условии успешного подтверждения стабильного соединения происходит запрос и получение уникального кода карты.
• Отправка данных на компьютер – производится отправка данных на компьютер, которые были получены после контрольного считывания информации с карты.
• Верификация данных – на компьютере производится считывание хэша исходя из начального состояния, которое хранится в базе данных.
• Логин/пароль – ввод данных пользователя.
• Контрольная верификация данных – сверка данных с исходными, которые хранятся в базе данных.
• Получение доступа – пользователь получает доступ в систему.

Графический пароль с водяными символами заключается в том, что система отображает последовательность графических изображений для пользователя, которые, в свою очередь, создаются генератором случайных чисел (последовательностей). Пароли всегда одноразовые, т.е. после каждой удачной авторизации происходят изменения в последовательности водяных знаков, которые используются как графические пароли[2].

Практическая реализация графических паролей с водяными символами с позиции финансовых затрат минимальна. В основном, задача ставится в расчёте на поиск грамотного программиста со знанием языков программирования С/С++.

В заключении следует отметить что использование двухфакторной аутентификации способствует привыканию рабочего штата малого предприятия к нормам и правилам стандартов информационной безопасности что немаловажно для постоянного улучшения качества производимых продуктов или услуг. Целесообразность ведения политики информационной безопасности продиктовано также законодательством РФ, касательно правил хранения и защиты персональных данных в организации.

Основные виды угроз безопасности персональных данных представлены на рисунке 1 [4, с. 14]:

Рисунок 1 – Классификация угроз безопасности персональных данных.

В данной статье будет подробно рассмотрен несанкционированный доступ к персональным данным, обрабатываемым в автоматизированном рабочем месте.

В настоящее время существует множество различных систем аутентификации, классификация которых приведена на рисунке 2 [5]. Все они в разной степени обеспечивают защиту от несанкционированного доступа. Проведя их анализ и оценив массовость применяемых систем, следует вывод, что наиболее перспективными являются системы аутентификации, основанные на биометрических параметрах человека, в частности, статические (отпечатки пальцев, радужная оболочка и сетчатка глаз, геометрия ладоней и рук и т.д.).

Рисунок 2 – Классификация систем аутентификации

В различных организациях находится большое количество средств вычислительной техники, которые могут содержать в себе конфиденциальную информацию (личная информация пользователей, паспортные данные, различная служебная информация…). При этом необходимо не допустить свободного распространения этой информации и повысить ее защищенность от несанкционированного доступа.

На сегодняшний день на рынке существует больше количество программно-аппаратных комплексов (ПАК) защиты от НСД, но устанавливать их в ведомственные СВТ не всегда целесообразно, так как они обладают высокой стоимостью и сложностью интеграции, поэтому используются в основном
для защиты сведений, составляющих государственную тайну, обрабатываемых на объектах электронно-вычислительной техники. Так как конфиденциальная информация не является секретной, то для разграничения доступа к информации предлагается использовать программно-аппаратный комплекс, построенный на основе микроконтроллера Arduino UNO, со специализированным программным обеспечением и сканер отпечатков пальцев.

Выбранная для реализации технология обладает рядом преимуществ, основными из которых являются:

• больший объём хранения данных;
• поддержка чтения нескольких отпечатков пальцев;
• устойчивость к воздействию окружающей среды;
• высокая степень безопасности;

На рисунке 3 [3] представлены внешний вид сканера отпечатка пальца, предназначенного
для считывания папиллярных линий и взаимодействия с аппаратной вычислительной платформой Arduino UNO, которая, в свою очередь, содержит специализированное программное обеспечение, при помощи которого осуществляется управление доступом к средству ЭВТ, а также ряд вспомогательных устройств и элементов.

Рисунок 3 – Микроконтроллер Arduino UNO, сканер отпечатков пальцев и вспомогательные устройства и элементы.

Исходя из представленной на рисунке 4 модели управления доступом, СВТ может использоваться в многопользовательском режиме, когда в помещение, где оно находится имеют доступ лица, не допущенные к её эксплуатации. При этом создаются предпосылки для несанкционированного доступа к хранящейся на данном СВТ информации. Система защиты информации должна быть комплексной и включать в себя несколько уровней защиты. Одним из средств защиты, позволяющим осуществить разграничение доступа к СВТ является разработанное устройство защиты от несанкционированного доступа.

Рисунок 4 – Мандатная модель управления доступом.

На рисунке 5 представлена функциональная схема устройства защиты от НСД на основе сканера отпечатков пальцев.

Рисунок 5 – Функциональная схема устройства защиты от НСД
на основе сканера отпечатков пальцев.

Принцип действия схемы устройства защиты от несанкционированного доступа к ПЭВМ заключается в следующем – при сканировании отпечатка пальца пользователя происходит его сравнение с ранее внесенными в базу отпечатками. Если сканируемый отпечаток есть в базе, то посылается сигнал на вход микроконтроллера Arduino UNO, где анализируется какому из выходов соответствует данный отпечаток. После этого микроконтроллер посылает управляющий сигнал на соответствующие контакты реле, которое подключено в разрез между материнской платы ЭВТ и НЖМД. Контакты реле замыкаются и к материнской плате подключается соответствующий носитель информации. При этом иначе СВТ включить никак нельзя.

Неуспешные идентификация и/или аутентификация спровоцируют срабатывание блока сигнализации и не позволят предоставить доступ к защищаемым информационным ресурсам ПЭВМ.

Устройство защиты ПЭВМ служит для блокировки доступа к информации лиц, не имеющих на это права. При его применении включение ПЭВМ возможно только при сканировании отпечатков пальцев, внесенных в базу. Устройство защиты ПЭВМ от несанкционированного доступа устанавливается внутри системного блока и подключается между материнской платой и НЖМД. Питание осуществляется от блока питания ПЭВМ.

Таким образом поставленные задачи по разработке программно-аппаратного комплекса защиты средств вычислительной техники и предложений по его реализации могут быть выполнены. ПАК может использоваться для защиты конфиденциальной информации, хранящейся на ПЭВМ от несанкционированного доступа.

По мере того как государственные структуры всё больше используют цифровые операции и берут на себя большую ответственность за хранение как данных граждан, так и сведений, составляющих государственную тайну, риски и потребность в безопасности возрастают. Поскольку злоумышленники постоянно пытаются использовать данные граждан для  доступа к их личным данным, проверка личности пользователя стала очень важным аспектов обеспечения безопасности.

Аутентификация, основанная только на именах пользователей (логинах) и паролях, ненадежна и накладывает дополнительные трудности, поскольку пользователи могут испытывать проблемы с хранением, запоминанием и управлением своими данными для входа в нескольких учетных записях, а многие повторно используют пароли в разных службах и создают пароли, которые не имеют сложности.

Наиболее распространенным примером МФА является процесс использования банкомата в банке. Чтобы получить доступ к своим счетам, пользователи должны вставить банковскую карту (физический фактор) и ввести PIN-код (фактор знаний).

Другим знакомым примером является метод  временного одноразового пароля, используемый финансовыми учреждениями и другими крупными предприятиями для защиты рабочих процессов, приложений и учетных записей. При запросе входа в систему пользователям предлагается предоставить временный пароль, отправленный с помощью текстового сообщения, телефонного звонка или электронной почты.

Поскольку паролей недостаточно для проверки личности, МФА требует нескольких параметров (факторов) для проверки личности. Наиболее распространенным вариантом МФА является двухфакторная аутентификация (2FA). Смысл её заключается в том, что даже если субъекты угроз могут выдать себя за пользователя с одним фактором, они не смогут предоставить два или более [1].

Правильная многофакторная аутентификация использует факторы по крайней мере из двух различных категорий. Использование двух факторов из одной категории не соответствует требованиям МФА. Несмотря на широкое использование комбинации «пароль + секретный вопрос», оба фактора относятся к категории знания и не являются многофакторной аутентификацией [2].  Комбинация «пароль + временный пароль» подходят, т.к. временный пароль является фактором владения, подтверждающим владение определенной учетной записью электронной почты или мобильным устройством.

Многофакторная аутентификация вводит дополнительный этап или два во время процесса входа в систему, но даже это не всегда гарантирует безопасность. Индустрия обеспечения безопасности создает всё новые решения для оптимизации процесса МФА, при этом технология аутентификации становится все более интуитивной по мере ее развития. Например, биометрические факторы, такие как отпечатки пальцев и сканирование лица, обеспечивают быстрый и надежный вход в систему. Новые технологии, использующие такие возможности мобильных устройств, как геолокация, камеры и микрофоны в качестве факторов аутентификации, обещают еще больше улучшить процесс проверки личности.

Многие операционные системы, поставщики услуг и платформы, основанные на учетных записях, используют МФА для обеспечения необходимой надёжности проверки личности. Для отдельных пользователей или малого бизнеса внедрение МФА так же просто, как настройка операционных систем и вебплатформ.

Крупным государственным организациям с их собственными сетевыми порталами и сложными задачами управления пользователям может потребоваться использование приложения аутентификации, которые добавляют дополнительный этап аутентификации во время входа в систему [2].

Одним из перспективных разновидностей многофакторной аутентификации является адаптивная аутентификация [1]. В адаптивной аутентификации правила подтверждения личности постоянно корректируются на основе следующих переменных:

– «Степень важности»: применение различных факторов для аутентификации пользователя или группы пользователей, определяемых их ролью, ответственностью или родом деятельности.

– «Область применения»: применение более безопасных методов МФА–таких как push–уведомление или 2–й универсальный фактор (Universal 2nd Factor, U2F) – для приложений и сервисов с наибольшей степенью риска.

– «Географическое местоположение»: ограничение доступа к ресурсам на основе физического местоположения пользователя или установка правил, ограничивающих использование определенных методов аутентификации в некоторых местах.

– «Сетевой адрес пользователя»: использование информацию сети IP в качестве фактора аутентификации и блокировать попытки аутентификации из анонимных сетей, таких как Tor, Proxy и VPN.

Многофакторная аутентификация обладает рядом преимуществ, посредством которых в будущем может стать основным способом для получения доступа к данным. Во-первых, это повышение уровня доверия пользователя. Поскольку МФА помогает защитить системы от несанкционированных пользователей (и связанных с этим угроз), эта система в целом более безопасна.

Если государственные структуры не решаются просить своих граждан соблюдать более строгие меры безопасности, им следует учитывать, что сами пользователи, а особенно клиенты могут оценить дополнительную безопасность своих данных. Когда граждане доверяют системе безопасности, они с большей вероятностью доверяют государственной организации в целом, а это означает, что МФА становится важным преимуществом [3].

Успешная защита от атак (например, предотвращение дорогостоящей и разрушительной атаки) может обеспечить возврат инвестиций, который покрывает расходы на введения и обеспечения МФА. Даже не предотвращая атаки, МФА может сэкономить деньги организаций, позволяя обеспечить возможность защиты других частей сети от различных угроз [2].

По мере развития технологии многофакторной аутентификации, все шире использующей пассивные методы, такие как биометрия и программные токены, она становится все более удобной для пользователя. Простые в использовании процессы МФА помогают пользователям гораздо быстрее входить в систему, поэтому можно считать их более продуктивными.

Все факторы аутентификации, представленные на рисунке 1, имеют смысл использования для той или иной системы [1].

Рисунок 1. Основные и дополнительные факторы, используемые для аутентификации

Фактор знания

Знание (обычно пароль) является наиболее часто используемым инструментом в решении МФА. Однако, несмотря на свою простоту, пароли стали проблемой безопасности, к тому же они уменьшают скорость аутентификации.

Сегодня пользователи имеют слишком много паролей; чтобы облегчить управление ими, пользователи создают пароли, которые не являются безопасными или которые используются повторно на разных платформах. Другим недостатком является то, что знания могут быть забыты или, если они где–то хранятся, украдены.

Секретный вопрос – еще один метод познания, широко используемый, но не пользующийся популярностью. Секретный вопрос требует, чтобы пользователь хранил ответ на личный вопрос в своем профиле, а затем вводил его во время входа в систему. Этот процесс рассматривается многими пользователями как обременительный из–за необходимости повторного ввода данных, хранения и управления ответами.

Динамический контрольный вопрос, который является более эффективным и удобным для пользователя, обычно запрашивает контекстную информацию, к которой пользователь имеет доступ, например, недавнюю финансовую транзакцию.

Фактор владения

Физические факторы (также называемые факторами владения) используют токены, такие как USB-ключ или портативное устройство, которые генерируют временный QR-код (код быстрого реагирования). Мобильные телефоны широко используются в этом плане, поскольку они легко доступны в большинстве ситуаций.

Физические факторы существуют независимо от сети и обычно их трудно подделать, но такие устройства, как телефоны, могут быть потеряны или украдены, а мобильные сети могут представлять свои собственные уязвимости безопасности.

Виртуальные “программные” токены – это файлы cookie или фрагменты кода, хранящиеся таким образом, что устройство эффективно превращается в физический токен. Однако, программные токены не подходят всем пользователям, поскольку для их правильного использования требуется программное обеспечение и опыт. Кроме того, программные токены могут быть скопированы, что может привести к несанкционированному доступу.

Стандарт U2F сочетает в себе маркер USB и NFC (near-field communication) с приложением открытого стандарта, обеспечивая простой способ использования дополнительных факторов аутентификации с платформами, которые их поддерживают.

Фактор свойства

Фактор свойства включает в себя физическую особенность субъекта. Это могут быть биометрические данные лица, сетчатки глаза, отпечатки пальцев. По мере развития технологий он сможет также включать голосовой идентификатор или другие поведенческие входные данные, например, показатели нажатия клавиш. Поскольку факторы свойства надежно уникальны, всегда присутствуют и безопасны, эта категория демонстрирует многообещающие перспективы.

Однако не все устройства имеют необходимое программное обеспечение, вычислительную мощность и аппаратные функции (такие как микрофоны и камеры), поэтому некоторые пользователи не смогут воспользоваться преимуществами этих достижений в области удобства использования и безопасности МФА.

Фактор на основе местоположения и времени

Системы аутентификации могут использовать координаты GPS, параметры сети, метаданные используемой сети, а также распознавание устройств для МФА. Адаптивная аутентификация объединяет эти данные с используемыми ранее или контекстными пользовательскими данными.

Эти факторы одно очень большое преимущество. Они работают в фоновом режиме и используют очень небольшое количеством входных данных, требуемых от пользователей. Это означает, что они не препятствуют производительности. Однако, поскольку они требуют программного обеспечения и специальных знаний для использования, как правило они подходят для крупных организаций с необходимыми ресурсами для управления ими.

Ключ безопасности обычно представляет собой QR–код, который пользователь сканирует с помощью мобильного устройства для генерации серии чисел. Затем пользователь вводит эти числа в веб–сайт или приложение, чтобы получить доступ. Срок действия кодов доступа истекает через определенный промежуток времени, и новый код будет сгенерирован при следующем входе пользователя в учетную запись.

Использование социальных сетей

В этом случае пользователь предоставляет веб-сайту разрешение использовать свое имя пользователя и пароль из социальных сетях для входа в систему. Это обеспечивает простой процесс входа в систему, и он, как правило, доступен для всех пользователей.

Но социальные сети часто становятся мишенью интернет-преступников, т.к. они предоставляют богатый источник пользовательских данных. Кроме того, некоторые пользователи могут испытывать озабоченность по поводу последствий для безопасности и конфиденциальности совместного использования логинов в социальных сетях.

Аутентификация на основе рисков

Иногда называемый адаптивной многофакторной аутентификацией, этот метод сочетает в себе адаптивную аутентификацию и алгоритмы, которые вычисляют риск и учитывает контекст конкретных запросов на вход в систему. Цель этого метода – уменьшить количество избыточных логинов и обеспечить более удобный для пользователя рабочий процесс.

Для пользователей с большим количеством учётных записей для различных систем аутентификация на основе риска может быть ключевой экономией времени. Однако для её организации и управления требуется программное обеспечение, которое анализирует, как пользователи взаимодействуют с системой.

Выводы

Исходя из методов аутентификации, описанных в данной статье можно сделать вывод о том, что в системах, содержащих данные о гражданах или даже сведения, содержащие государственную тайну просто необходимо использовать МФА для защиты этих данных от несанкционированного доступа. В качестве факторов аутентификации в большинстве случаев лучше использовать сразу все основные факторы аутентификации, поскольку в этом случае сам факт несанкционированного доступа становится практически невозможным событием.

Индустрия обеспечения безопасности создает всё новые решения для оптимизации процесса аутентификации, при этом технологии становятся все более интуитивными по мере их развития. Одним из факторов аутентификации является фактор свойства, он включает в себя физическую особенность субъекта. Это могут быть биометрические данные лица, сетчатки глаза, отпечатки пальцев. По мере развития технологий он сможет также включать голосовой идентификатор или другие поведенческие входные данные, например, показатели нажатия клавиш. Поскольку факторы свойства надежно уникальны, всегда присутствуют и безопасны, эта категория демонстрирует многообещающие перспективы.

Из всех типов биометрических факторов, аутентификация, основанная на распознавании голоса, пользуется большим спросом у потребителей, поскольку распознавание голоса – бесконтактная и простая в использовании технология.

Система распознавания голоса включает в себя биометрическую технологию. Эта технология становится очень популярной в целях обеспечения безопасности. С её помощью можно легко идентифицировать людей и снизить вероятность несанкционированного доступа. С помощью биометрической системы распознавания голоса можно распознать уникальные голосовые характеристики человека. Эта система безопасности имеет широкий спектр применений и используется как для производителей банкоматов, автомобильных производителей, так и в системе безопасности доступа к сотовым телефонам для предотвращения любого вида кражи или мошенничества с целью доступа к личным данным.

Основной задачей данной технологии является аутентификация пользователя и понимание произносимых инструкций. При использовании микрофона используется АЦП (аналогово-цифровой преобразователь), который преобразует изменяющиеся аналоговые речевые сигналы в цифровые импульсы или цифровые сигналы, которые легко воспринимаются компьютером. На жестком диске уже хранятся форма речи пользователя. Голосовой сигнал декодируется и сверяется с сохраненной формой [2].

Чтобы преобразовать речь или произнесенные слова в форму, воспринимаемую компьютером, необходимо выполнить несколько сложных шагов. Аналого-цифровой преобразователь преобразует речевой сигнал в цифровой сигнал. Этот оцифрованный звук затем фильтруется для удаления шума. Это также делается для разделения звука в разных диапазонах частот (определения формант). Поскольку у разных людей разная скорость речи, звук обрабатывается таким образом, чтобы он соответствовал скорости сохраненного звукового шаблона в памяти системы.

Следующий шаг состоит в том, чтобы разделить сигнал на более мелкие сегменты в несколько сотых или тысячных долей секунды. Эти сигналы затем сопоставляются с известными фонемами. Известно, что минимальная смыслоразличительная единица любого языка является фонема. В английском языке насчитывается 5 гласных и 37 согласных фонем.

Далее следует самый сложный шаг в распознавании речи. Фонемы рассматриваются в контексте других фонем, которые находятся вокруг них. Сложная статистическая модель исследует контекстуальный фонемный сюжет и сравнивает его с большой библиотекой слов, предложений и фраз. Затем программа окончательно определяет слова, произносимые пользователем, и делает вывод в виде текста или команды.

Современные системы распознавания речи предполагают использование сложных и мощных систем статистического моделирования. Для определения правильного слова или предложения используются различные математические функции и вероятностные методы. На данный момент имеются две модели распознавания голоса [3]:

1. Скрытая Марковская модель

2. Нейронные Сети

Более интересна скрытая Марковская модель. Согласно этой модели, фонема рассматривается как звено в цепи, а завершенная цепь представляет собой слово. Чтобы определить следующую фонему, цепочка образует ветви различных звуков, которые могут прийти к следующим, оценка вероятности дается каждой разветвленной фонеме на основе встроенного словаря. Таким образом, полное слово окончательно определено.

Аппаратная конструкция системы аутентификации на основе распознавания голоса включает в себя три основных элемента [1]:

1. Микрофон

2. Микроконтроллер

3. ЖК-дисплей

Схема микрофона подключена к АЦП микроконтроллера. Набор слов и фраз хранится в памяти микроконтроллера. Как только произносится слово, АЦП микрофона преобразует его в цифровые сигналы, которые проходят через цифровые фильтры, и, наконец, ЖК-дисплей, подключенный к микроконтроллеру, отображает произнесенные слова.

Ультразвуковая обработка похожа на радар. Сверхвысокочастотный акустический тон посылается на движущийся объект, производимые отражения регистрируются приемником. Эффект Доплера управляет частотой отраженного тона, уравнение для него можно выразить как:

где,  – частота испускаемого тона,  – частота отражённого тона,  – скорость отражающей поверхности по направлению к излучателю,  – скорость звука.

Таким образом, можно сделать вывод, что если отражающая поверхность движется далеко от излучателя, то регистрируемый частотный тон будет ниже и наоборот. Отраженный сигнал будет состоять из суммы синусоид, имеющих различные силы и частоты. В случае, когда человек говорит, движение артикулятора во время произнесения речи вызовет рефлексию.

Системы распознавания голоса можно классифицировать следующим образом [3]:

1. Изолированная система распознавания голоса: требует короткого промежутка времени между произносимыми словами.

2. Непрерывная система распознавания голоса: как следует из названия, эта система не требует никаких промежутков между словами.

3. Система распознавания голоса, независящая от диктора: система может идентифицировать речь любого человека.

4. Система распознавания голоса, зависящая от диктора: система идентифицирует речь только от одного диктора (пользователя). Это означает, что только речь определенного пользователя может быть идентифицируема.

Применение технологии распознавания голоса для предотвращения несанкционированного доступа возможно после создания цифровой модели человеческого голоса, которая будет служить «резервным профилем» или образцом. Слова и фразы будут разбиты на различные виды отдельных частот, собранные вместе, для характеристики уникальных речевых способностей отдельного человека. Для согласования, образцы хранятся в базе данных, как и другая биометрическая информация.

Такие системы либо зависят от текста сообщения, либо нет, и используются, например, для контроля доступом. В первом случае, слова или фразы выступают в качестве пароля, который сравнивается с образцом. Во втором случае не требуется произносить конкретные фразы, поскольку система анализирует уникальные характеристики голоса.

Большим плюсом систем распознавания речи является ее удобность для пользователей и относительно недорогая цена по сравнению с другими биометрическими функциями.

Выводы
Исходя из всех достоинств систем распознавания голоса, можно сделать вывод о том, что применение данной технологии для предотвращения несанкционированного доступа к системам, хранящим личные данные граждан либо сведения, содержащие коммерческую тайну, в большинстве случаев является целесообразным.

Аутентификация пользователей может происходить по нескольким видам факторов, все они представлены на рисунке 1. В целях минимизации вероятности НСД предлагается использование всех основных факторов одновременно: знания, владения и свойства.

Рисунок 1. Факторы аутентификации

В качестве фактора знания будет использоваться логин и пароль, в качестве фактора владения ̶ карта с RFID-меткой, фактора свойства – отпечаток пальца. Хранение карты с RFID-меткой предполагается у третьего лица, например, у дежурного, что также предотвращает своевольный доступ к данным даже зарегистрированного пользователя. Для ввода в ЭВМ данных об отпечатке пальца и RFID-метки потребуется специальное устройство, способное взаимодействовать со специальным программным обеспечением (далее – ПО), установленным на ЭВМ. Предложение по реализации данного устройства будет рассмотрено далее.

Разграничение доступа

В качестве разграничения доступа была выбрана дискреционная модель «Харрисона–Руззо–Улъмана», поскольку она довольно проста в реализации в АС, является классической дискреционной моделью, реализует произвольное управление доступом субъектов к объектам и контроль за распространением прав доступа. На данном этапе предлагается использовать два вида субъектов: простой пользователь и администратор, обладающий возможностью редактирования учётных записей.

Для того, чтобы осуществить разграничение доступа пользователей к данным, принадлежащих другим пользователям будет использоваться криптографическое преобразование данных. В качестве алгоритма шифрования выбран алгоритм AES (Advanced Encryption Standard) ̶ алгоритм блочного симметричного шифрования, является международным стандартом с 2003 года. На данный момент нет открытых публикаций о том, что данный алгоритм подаётся криптоанализу.

Все данные пользователя по окончании их работы с его данными будут заархивированы и зашифрованы индивидуальным ключом пользователя (), сгенерированным случайным образом при создании учётной записи данного пользователя. Все файлы, содержащие данные об учётных записях пользователей также будут зашифрованы, но уже главным ключом (). Для того, чтобы исключить возможность соотнесения того или иного зашифрованного архива с конкретным пользователем, все названия также зашифрованы главным ключом ().

Программное обеспечение

Программное обеспечение, предназначенное для подключения аппаратной части и взаимодействия с ней, шифрования и расшифрования данных, реализации многопользовательской работы на ЭВМ и возможности администрирования учётных записей пользователей (администратором системы).

Для его реализации был выбран язык программирования Python, ввиду его относительной простоты и возможности использования модулей, позволяющих достаточно просто реализовать все требования к ПО и его функционал. Каждый конкретный модуль отвечает за ту или иную функцию: взаимодействие с аппаратной частью (QtSerialPort), работа с архивами (zipfile), работа с учётными записями (openpyxl), шифрование данных (cryptography), создание графического интерфейса (PyQt5), создание автоматизированного журнала работы системы (datetime). Все необходимые функции описаны в документации к этим модулям.

Аппаратная часть

Аппаратная часть собрана на базе микроконтроллера Arduino Uno, принципиальная схема устройства представлена на рисунке 2.

Рисунок 2. Принципиальная схема устройства

В качестве считывателя отпечатка пальца выступает модуль FPM10A, в качестве считывателя RFID-метки выступает модуль MFRC-522. Для дополнительной индикации правильного функционирования устройства используется экран LCD 16×3 I2C, размера которого вполне хватает для вывода необходимой информации.

Программный код, предназначенный для загрузки в микроконтроллер называется скетчем и пишется на языке Arduino C, который по сути является сильно упрощённой версией языка C++.

Взаимодействие программной и аппаратной частей

Взаимодействие программной и аппаратной частей организовано через последовательный порт, к которому можно подключиться в программе после подключения микроконтроллера кабелем к ЭВМ. Для того, чтобы аппаратная и программная части могли идентифицировать приходящие друг другу данные, требуется организовать парсинг данных по ключевым меткам. В зависимости от направления посылаемых данных количество ключевых меток будет отличаться.

Поскольку аппаратная часть используется для ввода двух типов данных, то в направлении «микроконтроллер ̶
ЭВМ» будет использоваться две ключевые метки: одна для идентификации данных с датчика дактилоскопии, вторую для данных с датчика RFID-метки. Количество ключевых меток в направлении «ЭВМ ̶
микроконтроллер» будет зависеть от того, какое количество информации мы будем отражать на LCD-экране. Поскольку предполагается отображать информацию о каждом этапе аутентификации, то будет использоваться три ключевые метки.

Правильное интерпретирование ключевых меток обеспечивается их указанием в программном коде программы и скетче микроконтроллера.

Выводы

По итогу мы имеем программно-аппаратный комплекс, позволяющий разграничить доступ к данным различных пользователей, используя многофакторную аутентификацию и криптографическое преобразование данных, что должным образом гарантирует защиту информации от НСД.

Безопасность информационных ресурсов в организациях подразумевает под собой комплекс мер, направленных на недопущение несанкционированного доступа (НСД) к защищаемым данным, внесение изменений или их удаление. Однако необходимо учитывать доступность ресурсов после наложения на них определенных мер защиты.

Одними из возможных источников утечки информации являются легальные пользователи информационной системы, которые имеют доступ к защищаемым данным, а также непосредственно сами злоумышленники. Причины, по которым становится возможен НСД, могут быть различными:

• халатное отношение сотрудников организации к защите информации;
  
• эксплуатация и применение нелицензированного программного обеспечения (ПО);
  
• DDoS атаки;
• вредоносное программное обеспечение (ВПО).

При формировании информационной системы необходимо разрабатывать надежные средства и методы, обеспечивающие защиту данных. Существует множество средств предотвращения получения несанкционированного доступа к обрабатываемой информации. Средства защиты от несанкционированного доступа (CЗИ от НСД) – это программные и/или аппаратные средства, обеспечивающие предотвращение попыток несанкционированного доступа в компьютерной сети (КС). Например, неавторизованный физический доступ, доступ к файлам, хранящимся на сервере, уничтожение конфиденциальных данных [1]. Одним из самых надежных СЗИ является физическая защита данных, которая может быть реализована за счет разграничения доступа к средствам вычислительной техники с помощью необходимых методов, алгоритмов, правил и средств [2].

В организациях для передачи, хранения и обработки информации зачастую используются USB-носители. Они получили широкое распространение из-за явных достоинств: надежность, мобильность, компактность, универсальность, доступная стоимость. Несмотря на это, компьютерная сеть, использующая USB-носители, наиболее подвержена угрозам нарушения целостности и конфиденциальности информации.

Существует множество СЗИ, различающихся по способам реализации необходимых функций контроля USB-носителей, которые, в основном, представляют собой программные комплексы. Данные средства защиты информации (ЗИ) имеют свои преимущества, но не всегда сопровождаются возможностью осуществления полного контроля доступа к информационной системе. Недостатки в СЗИ были рассмотрены в предыдущих работах [1].

Для устранения данных недостатков совместно с программной предлагается использовать аппаратную часть, состоящую из плат
Arduino UNO и NANO, RFID-считывателя, двух реле, USB-порта и сканера отпечатка пальца. Вариант сборки аппаратного устройства представлен на рисунке 1.

Рисунок 1 – Структурная схема аппаратного устройства контроля USB-носителей

Arduino UNO – многофункциональная платформа для решения практических задач. В плату типа UNO встроен микроконтроллер ATmega328P. Для подключения к ней различных устройств используется 16 цифровых и 4 аналоговых портов входа-выхода, порт USB Type-B для прошивки платформы, различные разъемы питания и кнопка сброса. Выбор платы обоснован тем, что на ней размещаются большинство элементов схемы.

Arduino NANO не сильно уступает по функционалу UNO, но получила широкое распространение из-за своих малых габаритов. Для уменьшения размера разработчики расположили элементы на двух сторонах платы. На одной части нанесена вся информация о расположении портов, припаян микроконтроллер ATmega328, разъем mini-USB, кнопка сброса и светодиоды. На другой расположен линейный стабилизатор напряжения 5V, а также
преобразователь интерфейса FTDI USB. Эта плата необходима для управления сканером отпечатка пальца и подачи напряжения на Arduino UNO.

Модуль сканирования отпечатков пальцев ZFM-20 обеспечивает контроль доступа, основанный на дактилоскопической идентификации.
ZFM-20 обладает следующими функциями: сравнение, внесение, поиск и удаление из базы данных, хранящейся в сканере, отпечатков пальцев.

Все эти функции можно реализовать, используя библиотеку Adafruit_Fingerprint. Применение данного модуля обосновано его вкладом в защищенность системы. При неправильном сканировании, доступ к системе получен быть не может.

В проектах Arduino в качестве считывателя RFID-меток используют модуль RFID-RC522, который выполнен на микросхеме MFRC522.
RFID-считыватель использует радиочастотный канал связи для обеспечения бесконтактного считывания уникальных идентификаторов (UID) с меток. Считыватель имеет 8 портов. В данном проекте используется только 7 из них: SDA, SCK, MOSI, MISO, RST, IRQ, GND, Vcc+3.3.

Аутентификация пользователя происходит в два этапа:

1. Отпечаток пальца. Пользователь прикладывает к модулю считывания отпечатков палец, при этом происходит сравнение его с базой данных. Если пользователь зарегистрирован, то с управляющего порта подается напряжение на реле, которое размыкается и обеспечивает питание с помощью +5V Arduino UNO.
2. RFID-метка. RFID-метка, неразрывно связанная с носителем, при подключении USB-устройства в порт находится в поле считывателя так, что другие метки не могут быть отсканированы. RFID-считыватель находится в постоянном ожидании новых меток, поэтому когда предоставляется идентификатор, находящийся в базе данных, и он оказываются подходящим, то на управляющий модуль подается сигнал о размыкании реле, следовательно, доступ к компьютерной сети будет разрешен.

При правильном предоставлении двух идентификаторов (отпечатка и RFID-метки), Arduino UNO подает на порт, соединенный непосредственно с реле, управляющий сигнал о замыкании цепи. В этом случае информация от USB-порта передается на вход используемого компьютера. Таким образом происходит подключение USB-носителя к компьютерной сети.

Аппаратная часть реализована в виде устройства, которое непосредственно расположено в системном блоке компьютера. USB-порты на материнской плате отпаиваются, и вместо них подключение носителей осуществляется с использованием предложенного решения. Такое физическое отключение является наиболее надежным, потому что при логическом отключении штатных портов существует вероятность восстановления их работы злоумышленником.

Предложенный в настоящей работе аппаратный комплекс сможет надежно обеспечить разграничение доступа USB-носителей к КС. Стоит отметить, что его использование будет эффективно только в совокупности с программной частью, за счет чего будет достигнута комплексность системы контроля доступа USB-носителей в практических подразделениях и организациях.

Несанкционированный доступ может осуществляться как лицами, не допущенными на объекты ограниченного пользования (внешние нарушители), так и лицами, имеющими на это право (внутренние нарушители), так как многопользовательские средства вычислительной техники (СВТ) обрабатывают информацию, доступ к которой, зачастую, должен иметь определенный пользователь.

В качестве объекта защиты будем рассматривать СВТ, установленные в объектах ограниченного пользования, на которых не обрабатывается информация, относящаяся к сведениям ограниченного распространения.

Под защищаемыми сведениями будем понимать сведения ограниченного распространения. Она может быть представлена в виде личных данных организаций, их сотрудников, а также сферу деятельности, в которой они участвуют. Такие сведения будут составлять профессиональную и коммерческую тайну, её разглашение может привести к нарушению функционирования системы ограниченного пользования в целом или отдельных её компонентов, иным негативным последствиям.

На сегодняшний день в системе ограниченного пользования большие объёмы информации ограниченного доступа хранятся и обрабатываются на средствах вычислительной техники. В связи с этим растёт число возможных угроз безопасности информации, изменяется характер возможных дестабилизирующих воздействий на информационные системы. Проведенный анализ существующих угроз показал, что наиболее актуальной угрозой безопасности информации на объектах специальной связи будет являться утечка защищаемых сведений посредством реализации несанкционированного доступа.

Рисунок 1. Основные угрозы информационной безопасности на объектах специальной связи

Актуальность представленных предложений обусловлена необходимостью совершенствования существующих систем подтверждения подлинности с целью недопущения возможности реализации несанкционированного доступа к защищаемой информации.

Применяемые на сегодняшний день в организациях средства защиты информации, осуществляющие процедуру подтверждения подлинности пользователей имеют ряд объективных уязвимостей. Так, например, широко распространенные парольные методы аутентификации обладают существенным недостатком, который заключается в следующем: применение простых паролей с небольшим числом символов или содержащем шаблонные слова (например, дата рождения, имя, фамилия пользователя и т.д.) упрощают взлом пароля методом силовой атаки со словарем. В то же время применение сложных много символьных паролей увеличивает вероятность того, что пользователь запишет пароль на какой-либо носитель информации и тем самым упростит задачу злоумышленника по перехвату пароля. Утеря персонального идентификатора пользователем, также повышает шансы нарушителя на успешную реализацию несанкционированного доступа.

Исходя из этого можно сделать вывод о том, что для организации эффективной системы защиты информации сегодня необходимо использовать методы аутентификации, основанные на биометрических характеристиках пользователей.

Рисунок 2. Классификация биометрических методов аутентификации

Основными достоинствами биометрических систем по сравнению с традиционными являются:

1. Высокая степень достоверности аутентификации
2. Неотделимость биометрических признаков.
3. Трудность их фальсификации.

Существующие системы биометрической аутентификации в абсолютном большинстве случаев предполагают включение в состав СВТ дополнительного оборудования, такого как сканер отпечатков пальцев, веб-камера, графический планшетный ПК и т.д. Учитывая это обстоятельство, можно отметить явное преимущество метода аутентификации, основанного на анализе клавиатурного почерка пользователей, который подразумевает исключительно программную реализацию. Это позволяет в значительной мере снизить затраты на разработку и установку такого средства защиты информации.

Поэтому предлагается применять анализ динамики нажатия клавиш в качестве второго фактора аутентификации наряду с использованием традиционного пароля.

Реализация предлагаемого метода аутентификации представлена на рисунке 3.

Рисунок 3. Описание предлагаемого метода аутентификации

Любая клавиатура персонального компьютера позволяет регистрировать моменты нажатия и отпускания каждой клавиши, информация о данных событиях передается посредством соответствующих скан-кодов, определенных для каждой клавиши клавиатурного поля. Этот факт лежит в основе реализованного метода аутентификации. Разработанное в рамках исследования программное средство для регистрации уникальных характеристик клавиатурного ввода использует анализ динамики нажатия клавиш. Данный параметр нередко называют расстоянием между клавишами. Он представляет собой промежуток времени между отпусканием первой клавиши вводимой последовательности символов до нажатия последующей.

Регистрация промежутков времени между всеми парами последовательно нажатых клавиш введённой пользователем последовательности символов позволит выделить его уникальные поведенческие характеристики. Однако, относительно высокая нестабильность извлекаемых характеристик требует учесть возможные незначительные отклонения полученных параметров. Для решения данной задачи предлагается проводить несколько итераций ввода пользователем анализируемой последовательности символов. И на основании всех проведенных измерений сформировать эталонные значения для каждой пары последовательных клавиш, используя формулу, представленную на слайде. Также, для того чтобы получить возможность варьировать вероятность возникновения ошибок первого и второго рода при прохождении процедуры аутентификации предлагается ввести поправочный коэффициент, с помощью которого будут формироваться эталонные диапазоны значений временных параметров. Таким образом, решение о предоставлении пользователю доступа к системе будет приниматься на основании принадлежности вновь полученных временных характеристик эталонным диапазонам.

Данный метод подтверждения подлинности заложен в основу разработанного программного средства аутентификации по динамике нажатия клавиш, которое функционирует в соответствии с алгоритмом, представленным на рисунках 4, 5.

Программное обеспечение предусматривает наличие модуля регистрации, который позволит создавать необходимое число учетных записей пользователей. В процессе регистрации, пользователю предлагается создать логин и пароль для входа в систему. Извлечение уникальных характеристик клавиатурного ввода происходит за счет проведения пользователем десяти итераций ввода заданной контрольной фразы. Зарегистрированные программным модулем временные параметры нажатия заносятся в базу данных, создаваемую для каждой учетной записи. На этом завершается процедура регистрации. Таким образом, результатом работы данного модуля будет созданная база данных учетной записи пользователя, содержащая информацию о его логине и пароле, а также совокупность зарегистрированных временных параметров.

Рисунок 4. Блок схема алгоритма работы модуля регистрации разработанного программного средства

Непосредственно процедура подтверждения реализована в модуле аутентификации. Его работа будет начинаться сразу после запуска операционной системы защищаемого СВТ. Пользователю будет отображено окно программы, предлагающее ему ввести соответствующие логин и пароль своей учетной записи. Успешный ввод пользователем пароля и логина предоставит ему возможность перейти ко второму этапу аутентификации – вводу контрольной фразы. В случае ошибочного ввода, программа предусматривает три неправильных ввода пароля пользователем. После третьей ошибки ввода программа аутентификации будет заблокирована, а пользователю будет отображено соответствующее окно таймера, который будет определять оставшееся время до повторной попытки аутентификации.

Второй этап предусматривает отображение окна программы, которое предлагает ввести пользователю контрольную фразу, отображенную на экране. К началу второго этапа программой уже будут рассчитаны эталонные диапазоны допустимых значений. Поэтому при вводе контрольной фразы будут регистрироваться вновь полученные значения временных промежутков между нажатиями последовательных клавиш. После ввода последнего символа фразы программа будет определять принадлежность временных параметров эталонным диапазонам допустимых значений, на основании этого будет приниматься решение о предоставлении доступа к системе.

В случае отказа в доступе, пользователю предоставляется две дополнительных попытки ввода контрольной фразы. Три ошибочных ввода контрольной фразы приведут к пятиминутной блокировке программы аутентификации. Важно отметить, что программой предусмотрен её перезапуск в момент отображения окна блокировки. В данном случае перезагрузка компьютера в этот момент приведет к тому, что при следующем запуске программы таймер блокировки продолжится, не предоставляя предполагаемому пользователю возможности повторно аутентифицироваться.
    

Рисунок 5 – Блок схема алгоритма работы модуля аутентификации разработанного программного средства

Для оценки эффективности разработанного программно-аппаратного комплекса необходимо оценить защищенность информации, обрабатываемой на СВТ от НСД. Она оценивается следующими параметрами:

1. Время аутентификации.
2. Вероятность НСД.
3. Коэффициент непрерывности.

Параметром, с помощью которого повышается защищенность информации, обрабатываемой на СВТ от НСД, является вероятность несанкционированного доступа. Остальные параметры берутся в ограничение. Значения этих параметров в процессе решения оптимизационной задачи не должны выйти за рамки требуемых. При этом для оценки эффективности разработанного предложения используется критерий превосходства, который подразумевает, что вероятность НСД при использовании предложенного программно-аппаратного комплекса будет не выше вероятности НСД без его использования.

Расчет вероятности НСД для двух случаев производится с использованием экспертной оценки. Итоговое значение вероятности находится путем произведения вероятности доступа к элементам, в которых хранится защищаемая информация и вероятности раскрытия информации в этом элементе. Используемое для расчета значение вероятности доступа определяется исходя из максимально значения, полученного в ходе экспертной оценки.