Мультибиометрическая идентификация, перспективы, плюсы и минусы интеграции с классическими решениями СЗИ от НСД. Выявление преимуществ СЗИ с использованием биометрических технологий перед классическими СЗИ.

Оглавление
ВВЕДЕНИЕ 1
1. Анализ существующей системы защиты от НСД 3
1.1. Определение элементов защиты, подверженных воздействиям угроз, коэффициента уязвимости, построение гистограммы уязвимости 4
1.4. Определение последствий угроз и коэффициента ущерба 5
1.2. Определение риска. Связь вероятности угрозы с коэффициентом ущерба. Уровень риска. Спектр рисков 6
1.3. Организационные и технические мероприятия. Весовые коэффициенты мероприятий. Этапы проведения. 7
1.3. Определение коэффициента безопасности объекта, фирмы, предпринимательской деятельности 8
2. Применение систем контроля и управления доступом (СКУД). 11
2.1. Термины и определения. 12
2.2. Классификация систем контроля и управления доступом. 15
2.3. Применение систем контроля и управления доступом. 18
3. Анализ биометрических устройств и технологий 22
3.1. Международный обмен биометрическими данными 22
3.2. Распознавание по отпечаткам пальцев 23
3.3. Распознавание по радужной оболочке и сетчатке глаза 26
3.4. Распознавание по чертам лица 27
4. Биометрическая аутентификация 30
Заключение 37
Список литературы 40

Большинство систем используют отпечаток одного пальца, который пользователь предоставляет системе. Основными элементами дактилоскопической системы аутентификации являютсясканер;ПО идентификации, формирующее идентификатор пользователя; ПО аутентификации, производящее сравнение отсканированного отпечатка пальца с имеющимися в базе данных «паспортами» пользователе.Дактилоскопическая система аутентификации работает следующим образом. Сначала производится регистрация пользователя. Как правило, осуществляются несколько вариантов сканирования в разных положениях пальца на сканере. Понятно, что образцы будут немного отличаться и требуется сформировать некоторый обобщенный образец, «паспорт». Результаты запоминаются в базе данных аутентификации. При аутентификации производится сравнение отсканированного отпечатка пальца с «паспортами», хранящимися в базе данных.Формирование «паспорта», так же как и распознавание предъявляемого образца, – это задачи распознавания образов. Для этого используются различные алгоритмы, являющиеся ноу-хау фирм – производителей подобных устройствСканеры отпечатков пальцев. Многие производители все чаще переходят от дактилоскопического оборудования на базе оптики к продуктам, основанным на интегральных схемах.Продукты на базе интегральных схем имеют значительно меньшие размеры, чем оптические считыватели, и поэтому их проще реализовать в широком спектре периферийных устройств.Ряд производителей комбинируют биометрические системы со смарт-картами и картами-ключами. Например, в биометрической идентификационной смарт-карте Authentic реализован следующий подход. Образец отпечатка пальца пользователя запоминается в памяти карты в процессе внесения в списки идентификаторов пользователей, устанавливая соответствие между образцом и личным ключом шифрования. Затем, когда пользователь вводит смарт-карту в считыватель и прикладывает палец к сканеру, ключ удостоверяет его личность. Комбинация биометрических устройств и смарт-карт является удачным решением, повышающим надежность процессов аутентификации и авторизации.Небольшой размер и невысокая цена датчиков отпечатков пальцев на базе интегральных схем превращают их в идеальный для чело-века интерфейс для систем защиты. Их можно встраивать в брелок для ключей – и пользователи получают универсальный ключ, который обеспечивает защищенный доступ ко всему, начиная от компьютеров до входных дверей, дверей автомобилей и банкоматов.Системы аутентификации по форме ладони используют сканеры формы ладони, обычно устанавливаемые на стенах. Следует от-метить, что подавляющее большинство пользователей предпочитают системы этого типа. Устройства считывания формы ладони создают объемное изображение ладони, измеряя длину пальцев, толщину и площадьповерхности ладони. Например, продукты компании RecognitionSystems выполняют более 90 измерений, которые преобразуются в девятиразрядный образец для дальнейших сравнений. Этот образец может быть сохранен локально, на индивидуальном сканере ладони либо в централизованной базе данных.По уровню доходов устройства сканирования формы ладони занимают второе место среди биометрических устройств, однако редко применяются в сетевой среде из-за высокой стоимости и размера. Однако сканеры формы ладони хорошо подходят для вычислительных сред со строгим режимом безопасности и напряженным трафиком, включая серверные комнаты. Они достаточно точны и обладают до-вольно низким коэффициентом ошибочного отказа FRR, то есть про-центом отклоненных законных пользователей. Системы аутентификации по лицу и голосу являются наиболее доступными из-за их дешевизны, поскольку большинство современных компьютеров имеют видео- и аудиосредства. Системы данного класса применяются при удаленной идентификации субъекта доступа в телекоммуникационных сетях. Поскольку вероятность повторения параметров радужной оболочки и сетчатки глаза имеет порядок 10–78, такие системы являются наиболее надежными среди всех биометрических систем. Подобные средства идентификации применяются там, где требуется высокий уровень безопасности (например, в режимных зонах военных и оборонных объектов).Биометрический подход позволяет упростить процесс выяснения, «кто есть кто». При использовании дактилоскопических сканеров и устройств распознавания голоса для входа в сети сотрудники избавляются от необходимости запоминать сложные пароли. Ряд компаний интегрирует биометрические возможности в системы однократной аутентификации SSO (SingleSign-On) масштаба предприятия. Подобная консолидация позволяет сетевым администраторам заменить службы однократной аутентификации паролей биометрическими технологиями.Одной из первых областей широкого применения биометрической аутентификации личности станут мобильные системы. Проблема не сводится только к потерям компьютеров из-за краж; нарушение защиты информации может привести к значительно большим потерям. Кроме того, ноутбуки часто предоставляют доступ к корпоративной сети через программные соединения (выполняемые с помощью паролей, хранящихся на мобильных компьютерах). Твердотельные датчики отпечатков пальцев – небольшие, недорогие и низкоэнергоемкие – позволяют решить эти проблемы. С помощью соответствующего программного обеспечения эти устройства дают возможность выполнять аутентификацию для четырех уровней доступа к информации, хранящейся на мобильном компьютере: регистрация, выход из режима сохранения экрана, загрузка и дешифровка файлов.Биометрическая аутентификация пользователя может играть серьезную роль в шифровании, в виде модулей блокировки доступа к секретному ключу, который позволяет воспользоваться этой информацией только истинному владельцу частного ключа. Владелец может затем применять свой секретный ключ для шифрования ин-формации, передаваемой по частным сетям или по Интернету.Ахиллесовой пятой многих систем шифрования является проблема безопасного хранения самого криптографического секретного ключа. Зачастую доступ к ключу длиной 128 или даже больше раз-рядов защищен лишь паролем из 6 символов, то есть 48 разрядов. Отпечатки пальцев обеспечивают намного более высокий уровень защиты, и, в отличие от пароля, их невозможно забыть.ЗаключениеПрименение аппаратных средств идентификации пользователей в ПАК СЗИ НСД давно стало привычным и обыденным делом. Обычно в качестве аппаратных идентификаторов используются удобные неприхотливые вандалоустойчивые TM-идентификаторы. Уже около двадцати лет применяются они в ПАК СЗИ НСД и сдавать свои позиции не собираются. Вторую группу идентификаторов представляют различные USB-устройства: токены, смарт-карты (в совокупности со считывателями), ПСКЗИ. Эти устройства начали применяться в ПАК СЗИ НСД лет десять назад и применяются в основном в тех системах, где они также используются и в другом качестве (например, как носитель криптографического ключа). Действительно, если USB-устройство все равно будет использоваться в автоматизированной системе, то какой смысл награждать пользователя двумя устройствами, если можно обойтись одним. Да и для производителей ПАК СЗИ НСД поддержка таких устройств не представляется сложной задачей в силу простоты интерфейса и проработанности стандартов взаимодействия с устройством.Биометрические системы идентификации пользователей в ПАК СЗИ НСД применяются крайне редко. Можно сказать, что вообще не применяются. Хотя спрос на такие решения есть. Причины такой ситуации видятся в следующем: аппаратная часть ПАК СЗИ НСД имеет крайне ограниченные собственные ресурсы (память для хранения данных ограничена десятками килобайт, память кода составляет сотни килобайт), среда исполнения аппаратной части чаще всего плохо масштабируется, идентификация пользователя должна быть надежной и быстрой, обязательность автономности работы без возможности обращения к серверу.Динамические методы плохо подходят для использования в ПАК СЗИ НСД: их математические модели сложны, реализация алгоритмов распознавания занимает значительный объем кода, время работы составляет единицы секунд. Все эти недостатки делают динамические методы биометрической идентификации пользователей неприемлемыми для применения в аппаратных составляющих ПАК СЗИ НСД на данном этапе развития этих самых составляющих.В настоящее время наибольшее развитие получили статические биометрические технологии идентификации пользователей, основанные на анализе рисунка радужной оболочки глаза, геометрии лица, папиллярного рисунка на пальцах, биометрических особенностей ладони человека, основанных на венозной системе. Рассмотрим все эти технологии в аспекте применения в ПАК СЗИ НСД.Общим местом обоих режимов (впрочем, как и любой системы идентификации) является наличие эталона. Эталон может либо предъявляться пользователем, либо храниться в локальной базе ПАК СЗИ НСД, либо храниться в централизованной базе, доступ к которой осуществляется через сеть.Применительно кПАК СЗИ НСД вариант с хранением эталона в централизованной базе неприемлем по нескольким причинам: во-первых, интеграция модулей для сетевого взаимодействия в аппаратную часть ПАК СЗИ НСД достаточно сложный и нетривиальный процесс. Во-вторых, комфортное время проведения процедуры идентификации должно составлять единицы секунд, что нельзя гарантировать в варианте с централизованной базой эталонов. В-третьих, неопределенность разрешения ситуации в случае отсутствия связи центральной базой: не загружать компьютер нельзя (сбой сетевого оборудования не должен приводить к выходу из строя локального рабочего места), а как загружать - не понятно. В-четвертых, база с эталонами становится объектом, содержащим биометрические персональные данные пользователей, который в свою очередь становится защиты. Причем, классифицироваться такая система может вплоть до класса К1 - в зависимости от ее объема.Поэтому предъявления эталона пользователем является более приемлемым вариантом. Пользователь приносит на своем идентификаторе (TM-идентификаторе или USB-устройстве) биометрический эталон, этот эталон считывается в момент идентификации пользователя, проверяется возможность его использования именно на этом АРМ и проводится процедура биометрической верификации пользователя.Список литературыНормативные правовые акты:1. Федеральный закон «О техническом регулировании» от 27 декабря 2002г. № 184 ФЗ.2. Федеральный закон «О промышленной безопасности опасных производственных объектов» от 21июля 1997г. № 116-ФЗ.3. Методика оценки и сертификации инженерной безопасности зданий и сооружений, аттестованная Правительственной комиссией по предупреждению и ликвидации чрезвычайных ситуаций и обеспечению пожарной безопасности (Протокол от 25.02.2003 № 1).4. Методика оценки систем безопасности и жизнеобеспечения на потенциально опасных объектах, зданиях и сооружениях, аттестованная Правительственной комиссией по предупреждению и ликвидации чрезвычайных ситуаций и обеспечению пожарной безопасности (Протокол от 19.12.2003 № 9).5. РД 50-34.698-9. Методические указания. Информационная технология. Комплекс стандартов и руководящих документов на автоматизированные системы. Автоматизированные системы. Требования к содержанию документов.6. СП 11-107 – 98. Порядок разработки и состав раздела «Инженерно-технические мероприятия гражданской обороны. Мероприятия по предупреждению чрезвычайных ситуаций» проектов строительства».7. СНиП 12-03 – 2001. Безопасность труда в строительстве. Часть 1. Общие требования.8. ГОСТ 22.1.12-2005. Структурированная система мониторинга и управления инженерными системами зданий и сооружений.9. ГОСТ 3.1603-91. Единая система технологической документации. Правила оформления документов на технологические процессы (операции) сбора и сдачи технологических отходов.10. ГОСТ 12.1.030-80. Система стандартов безопасности труда. Электробезопасность. Защитное заземление, зануление.11. ГОСТ 34.003-90. Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения.12. ГОСТ 34.601-90. Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания.13. ГОСТ 34.603-92. Информационная технология. Виды испытаний автоматизированных систем.14. ГОСТ Р 22.7.01-99. Безопасность в чрезвычайных ситуациях. Единая дежурно-диспетчерская служба. Основные положения.15. Концепция безопасности Москвы, утвержденная постановлением Правительства Москвы от 22 августа 2000г. № 654.16. МГСН «Многофункциональные высотные здания и комплексы».17. Постановление Правительства Москвы 30 ноября 2000г. № 1250-РМ «О дополнительных мерах по повышению уровня безопасности на объектах различного функционального назначения с массовым пребыванием населения».Основная:1. Козьминых С.И. «Методологические основы обеспечения комплексной безопасности объекта, фирмы, предпринимательской деятельности»: Монография. – М.: Московский университет МВД России, 2005.2. Дрожжинов В.И., Моисеенко Г.Е. Непрерывность бизнеса и проблема 2000 год // Серия изданий «Связь и бизнес». – М.: Международный центр научной и технической информации, 1999.3. Ярочкин В.И. Безопасность информационных систем. – М.: Ось-89, 1996.4. Арлащенков Ю.П., Ковалев М.С., Котов Н.Н., Тюрин Е.П. Применение технических средств в борьбе с терроризмом. – М.: НИЦ «Охрана» ГУВО МВД России, 2000.Дополнительная:1. Авсентьев О.С., Алтухов Ю.Б. Каналы связи: Учебное пособие. – Воронеж: ВИ МВД России, 1999.5. Арлащенков Ю.П., Синилов В.Г. Порядок обследования объектов, принимаемых под охрану. Методическое пособие. – М.: НИЦ «Охрана», 1998.18. Степанов Е.А. Управление персоналом: Персонал в системе защиты информации: Учебное пособие. – М.: ФОРУМ, ИНФРА-М, 2002.19. Абрамов B.C. Информационно-аналитическая работа в охранном предприятии (теория и практика). – М.: Альфа-Престиж, 1999.Дополнительно рекомендуются каталоги и справочники специальных технических средств в области охраны объектов и защиты информации.