Аутентификационный центр

Трудно представить современный банк без услуг дистанционного обслуживания через Интернет. Услуга востребована и популярна, как при обслуживании юридических лиц, так и частных вкладчиков. Однако сегодня такие системы подвергаются интенсивным атакам со стороны мошенников.

Применяются весьма изощренные схемы незаконного получения аутентификационных данных и искажения легитимных транзакций для воровства денег с банковских счетов клиентов:

• фишинг;
• подставные сайты;
• специально разработанные вирусы, трояны, кей-логгеры и т.д.;
• используются методы социальной инженерии;
• существуют угрозы и для серверной части (инсайд, коммерческий подкуп, шантаж).

Простая парольная аутентификация стала просто опасной. Требуемую защиту сегодня могут обеспечить только решения, поддерживающие строгие механизмы многофакторной аутентификации.
Существует множество механизмов и способов аутентификации пользователей и обеспечения безопасности транзакций:

• одноразовые пароли на основе времени/события;
• механизм «Запрос – ответ»;
• подпись транзакции;
• EMV механизмы, CAP;
• механизмы на основе несимметричных алгоритмов (PKI);
• специфические механизмы привязки к мобильным устройствам.

Выбор аутентификационного решения определяется тремя ключевыми факторами: требованием к защищенности системы, удобством использования и ценой.

При этом всегда следует помнить:

• степень потенциальной угрозы зависит от функциональных возможностей системы и объема обращающихся в ней средств;
• защита должна быть адекватна угрозе и одинаково надежна в каждой точке.

Решение

На сегодняшний день на Российском рынке представлен ряд продуктов, позволяющих, с различной степенью успеха, добавлять один-два механизма аутентификации в решение для электронной коммерции.
Компания CompuTel предлагает универсальное решение по многофакторной аутентификации для систем дистанционного банковского обслуживания «Аутентификационный центр». Решение создано с использованием сервера аутентификации SafeSign Authentication Server (SSAS) и криптомодуля HSM производства компании Thales e-Security, мирового лидера рынка защиты информации. Это решение получило широкое распространение (более 600 успешных инсталляций) и признано лучшим решением в мире для электронной банковской коммерции.

«Аутентификационный центр» надежно решает вопросы аутентификации, контроля целостности информации и обеспечения безотзывности операций для любых типов аутентификационных устройств и множества различных приложений.

Решение «Аутентификационный центр» обеспечивает:

• реализацию разнообразных механизмов строгой многофакторной аутентификации;
• контроль целостности транзакций / информации;
• ведение аудит-журналов для юридического подтверждения операций.

 

Взаимодействие клиента с защищаемым ресурсом происходит в такой последовательности:

• Пользователь вводит аутентификационные данные и отправляет запрос на доступ к своей странице Интернет-Банка.
• Фронтальное приложение (ФП) перехватывает запрос и передает аутентификационную информацию на проверку серверу аутентификации SafeSign.
• Сервер SafeSign выполняет проверку подлинности аутентификационной информации и передает результаты проверки назад приложению. Проверка осуществляется с использованием аппаратного криптографического модуля SafeSign Crypto Module.
• В случае успешного прохождения процедуры аутентификации пользователь получает доступ к своей странице в Интернет-Банке.

Свойства решения

Аппаратная безопасность
В решении «Аутентификационный центр» реализованы меры, полностью исключающие мошенничество, в том числе со стороны сотрудников, обслуживающих систему:

• все криптографические преобразования и операции выполняются внутри аппаратного криптографического модуля SafeSign Crypto Module, сертифицированного в соответствии с жесткими требованиями стандарта FIPS 140-2 Level 3;
• критически важные внутренние операции SafeSign и взаимодействие с внешними приложениями защищены криптографическими механизмами;
• выполняемые операции протоколируются для целей аудита, а целостность каждой записи журнала контролируется криптографическими средствами.

Юридическая достоверность, аудит операций
Решение ведет юридически-значимый взломоустойчивый аудит-лог, содержащий записи всех аутентификаций, верификаций подписей и проверки MAC-кодов.
Кроме того, решение прослеживает историю транзакции, что позволяет:

• убедиться в завершенности транзакции;
• знать, кто провел транзакцию;
• убедиться в том, что данные по транзакции не были изменены.

Широкая гамма токенов и механизмов аутентификации
Решение поддерживает разнообразные механизмы аутентификации и токены большинства мировых производителей. Это позволяет подобрать свои механизмы аутентификации для разных пользователей и приложений на основе анализа имеющихся для них рисков и предпочтений.
Поддерживаемые технологии:

• носимые токены (Vasco, токены OATH, Thales PSM, ActivIdentity, Aladdin),
• EMV/CAP/AAC аутентификация,
• PKI-карты, цифровые сертификаты или USB токены,
• аутентификация с использованием мобильного телефона (Java-апплеты, SMS-аутентификация, Salt Group),
• PDF-верификация.

Простая интеграция
«Аутентификационный центр» легко интегрируется с решениями полного цикла банковского обслуживания клиентов.
Гибкость и легкость встраивания вызовов сервера достигается исчерпывающим набором API:

• Java RMI, JNDI или Java Bean интерфейс,
• Web Services XML или SOAP с поддержкой для Web Services Security (WS-S),
• Microsoft.Net интерфейс,
• другие протоколы, как XML D-Sig или SAML.

Встроенные инструменты управления и мониторинга сервера SSAS прозрачно интегрируются с общеизвестными продуктами IBM Tivoli и HP OpenView, для обеспечения централизованного контроля и управления IT инфраструктурой.

Масштабируемость и высокая надежность
Решение хорошо масштабируется и легко адаптируется к меняющимся потребностям бизнеса.
Различные варианты комплектации «Аутентификационного центра» позволяют использовать это решение для аутентификации как в небольших проектах , так и в проектах масштаба страны и континента (например, единая система Европейских электронных платежей, или объединенная система банковского обслуживания Швеции).
Серверная архитектура спроектирована с учетом высоких требований по надежности, включающих аппаратную и программную балансировку нагрузки и отказоустойчивую кластеризацию.

к началу раздела