Использование информационных технологий при операций кредитования физических лиц
На этапе собственной идентификации пользователь предоставляет свой идентификатор, в качестве которого, как правило, используется регистрационное имя учётной записи пользователя АИС. Далее проводится проверка, что этот идентификатор действительно принадлежит пользователю, претендующему на получение доступа к информации АИС. Для этого выполняется процедура аутентификации, в процессе которой пользователь должен предоставить аутентификационный параметр, при помощи которого подтверждается принадлежность идентификатора пользователю. В качестве параметров аутентификации могут использоваться сетевые адреса, пароли, симметричные секретные ключи, цифровые сертификаты, биометрические данные (отпечатки пальцев, голосовая информация) и т. д. Необходимо отметить, что процедуры идентификации и аутентификации пользователей в большинстве случаев проводятся одновременно, т. е. пользователь сразу предъявляет идентификационные и аутентификационные параметры доступа. TESTINGTESTING
В случае успешного завершения двух упомянутых процедур проводится авторизация пользователя, в процессе которой определяется спектр информационных ресурсов, с которыми он может работать, а также операции, которые могут быть выполнены с этими информационными ресурсами АИС. Присвоение пользователям идентификационных и аутентификационных параметров, а также определение их прав доступа осуществляется на этапе регистрации пользователей в АИС.
Межсетевые экраны (МЭ) реализуют методы контроля за информацией, поступающей в АИС и (или) выходящей из неё, и обеспечения защиты АИС при помощи фильтрации информации на основе критериев, заданных администратором. Процедура фильтрации включает в себя анализ заголовков каждого пакета, проходящего через МЭ, и передачу его дальше по маршруту следования только в случае, если он удовлетворяет заданным правилам фильтрации. При помощи фильтрования МЭ позволяют обеспечить защиту от сетевых атак путём удаления из информационного потока тех пакетов данных, которые представляют потенциальную опасность для АИС.
Средства анализа защищённости выделены в представленной выше классификации в обособленную группу, поскольку предназначены для выявления уязвимостей в программно-аппаратном обеспечении АИС. Системы анализа защищённости являются превентивным средством защиты, которое позволяет выявлять уязвимости при помощи анализа исходных текстов ПО АИС, анализа исполняемого кода ПО АИС или анализа настроек программно-аппаратного обеспечения АИС.
Средства антивирусной защиты предназначены для обнаружения и удаления вредоносного ПО, присутствующего в АИС. К таким вредоносным программам относятся компьютерные вирусы, а также ПО типа «троянский конь», spyware и adware.
Средства защиты от спама обеспечивают выявление и фильтрацию незапрошенных почтовых сообщений рекламного характера. В ряде случаев для рассылки спама применяется вредоносное программное обеспечение: оно внедряется на хосты АИС и использует адресные книги, которые хранятся в почтовых клиентах пользователей. Наличие спама в АИС может привести к одному из следующих негативных последствий:
— нарушению работоспособности почтовой системы вследствие большого потока входящих сообщений. При этом может быть нарушена доступность как всего почтового сервера, так и отдельных почтовых ящиков (они будут переполнены). В результате пользователи АИС не смогут отправлять или получать сообщения при помощи почтовой системы организации;
— реализации так называемых phishing-атак, в результате которых пользователю присылается почтовое сообщение от чужого имени с предложением выполнить определённые действия. В таком сообщении пользователя могут попросить запустить определённую программу, ввести своё регистрационное имя и пароль или выполнить какие-либо другие действия, которые способны помочь злоумышленнику успешно провести атаку на информационные ресурсы АИС. Примером атаки этого типа является посылка пользователю сообщения от имени известного банка, в котором содержится запрос о необходимости смены пароля доступа к ресурсам web-сайта банка. В случае если пользователь обратится по интернет-адресу, указанному в таком почтовом сообщении, то он будет перенаправлен на сайт злоумышленника, представляющий собой копию реального сайта банка. В результате такой атаки вся парольная информация, введённая пользователем на ложном сайте, будет автоматически передана нарушителю;
─ снижению производительности труда персонала из-за необходимости ежедневно просматривать и вручную удалять спамерские сообщения из почтовых ящиков.