Выбор редакции

Другие 3 метода cybersecurity в биометрии: многофакторные аутентификация и верификация с комплексными шаблонами

Еще одним способом обеспечения информационной безопасности в Big Data системах на базе биометрии, является кратная верификация. При этом выполняется проверка не только биометрических параметров идентифицируемой личности, но и сопоставление этой информации с данными из других источников. Это предполагает, что цифровизация будет реализована не локально в рамках отдельной Big Data системы, а на общегосударственном уровне. Например, двойная верификация предполагает сверку биометрического шаблона, записанного в электронном паспорте или визе, с биометрическими характеристиками проверяемого гражданина. А тройная верификация означает дополнительную сверку двух параметров с цифровых шаблоном, хранящимся в государственной биометрической системе. В этом случае любая попытка подделать документ, удостоверяющий личность, обречена на провал. Такая тройная проверка включена в рекомендации Международной организации гражданской авиации ICAO по применению биометрических систем. Однако, на практике этот вариант еще мало где реализован из-за отсутствия в большинстве стран глобальных систем биометрии . Пока наиболее ярким примером подобной системы можно назвать индийский проект AADHAAR на базе MapR, Apache Hadoop и других технологий Big Data. Но кратные верификации не гарантируют полной защиты от злоупотреблений с биометрическими данными, включая утечки такой информации, о чем мы писали здесь.

В России, помимо единой биометрической системы, введенной в эксплуатацию с 2018 года, государственная цифровизация также предполагает вносить БПД в новые удостоверения личности. Согласно нацпрограмме «Цифровая экономика», с 2023 года они должны заменить ранее выдаваемые бумажные паспорта. С 2020 года в Москве запущен пилотный проект по выдаче электронных паспортов в виде пластиковых карточек с чипами. Такие удостоверения личности будут интегрированы с мобильным приложением для удаленной идентификации. Также, помимо основных сведений о гражданине (ФИО, дата и место рождения, пол, личный номер и подпись), связаны с БПД человека – отпечатками пальцев и электронной подписью. Ожидается, что такие документы упростят взаимодействие с госорганами, сократив время на получение государственных и коммерческих услуг. Кроме того, подобные удостоверения личности на базе биометрии помогут снизить число преступлений, связанных с кражей и неправомерным использованием персональных данных .

Похожим способом защиты информации в Big Data системах на базе биометрии является многофакторная аутентификация. При этом, для подтверждения личности, помимо соответствия текущих БПД заранее сохраненному шаблону, используется еще один внешний ключ, не привязанный напрямую к проверяемым биологическим параметрам. Например, это может быть ответ на специфический вопрос. Такая мера позволит в какой-то степени снизить риск нелегитимного использования современных технологий машинного обучения – Deep Fake, которые позволяют генерировать реалистичные видео и аудио в режиме онлайн. Об этом мы рассказывали здесь.

Наконец, поскольку ни один биометрический метод не может гарантировать 100% точность распознавания, современные Big Data системы работают с сочетанием нескольких идентификационных параметров. При этом используется комбинация статических и динамических характеристик. Например, цифровой шаблон БПД может содержать сведения об отпечатках пальцев и ладонях человека, снимки его лица, глаз (радужка и сетчатка) и поведенческие характеристики (голос, походка, манера печати на клавиатуре и т.д.). Такая тотальная цифровизация снижает вероятность ложных решений, но повышает жесткость требований к информационной безопасности подобной Big Data биометрии.

Многофакторные системы биометрии более надежны

Что такое биометрическая цифровизация и как выгодно использовать большие данные с надежной гарантией информационной безопасности своего бизнеса, вы узнаете на наших образовательных курсах в лицензированном учебном центре обучения и повышения квалификации ИТ-специалистов (менеджеров, архитекторов, инженеров, администраторов, Data Scientist’ов и аналитиков Big Data) в Москве:

  • BDAM: Аналитика больших данных для руководителей
  • DSEC: Безопасность озера данных Hadoop

Смотреть расписание
Записаться на курс

Источники

  1. https://www.osp.ru/os/2012/10/13033122/
  2. https://www.itweek.ru/security/article/detail.php?ID=70964
  3. https://www.rbc.ru/society/17/07/2019/5d2f31279a79470aabab20d0

Презентация на тему: » Биометрические системы защиты 10.10.14. Вопросы: Дайте определение понятию Защита информации. Что такое несанкционированный доступ? Как защищается информация.» — Транскрипт:

1

Биометрические системы защиты

2

Вопросы: Дайте определение понятию Защита информации. Что такое несанкционированный доступ? Как защищается информация в компьютере с использованием паролей.

3

Биометрические системы защиты В настоящее время для защиты от несанкционированного доступа к информации все более часто используются биометрические системы идентификации. Используемые в этих системах характеристики являются неотъемлемыми качествами личности человека и поэтому не могут быть утерянными и подделанными. К биометрическим системам защиты информации относятся системы идентификации: по отпечаткам пальцев; по характеристикам речи; по радужной оболочке глаза; по изображению лица; по геометрии ладони руки.

4

Идентификация по отпечаткам пальцев Оптические сканеры считывания отпечатков пальцев устанавливаются на ноутбуки, мыши, клавиатуры, флэш-диски, а также применяются в виде отдельных внешних устройств и терминалов (например, в аэропортах и банках). Если узор отпечатка пальца не совпадает с узором допущенного к информации пользователя, то доступ к информации невозможен.

5

Идентификация по характеристикам речи Идентификация человека по голосу один из традиционных способов распознавания, интерес к этому методу связан и с прогнозами внедрения голосовых интерфейсов в операционные системы. Голосовая идентификация бесконтактна и существуют системы ограничения доступа к информации на основании частотного анализа речи.

6

Идентификация по радужной оболочке глаза Для идентификации по радужной оболочке глаза применяются специальные сканеры, подключенные к компьютеру. Радужная оболочка глаза является уникальной для каждого человека биометрической характеристикой. Изображение глаза выделяется из изображения лица и на него накладывается специальная маска штрих- кодов. Результатом является матрица, индивидуальная для каждого человека.

7

Идентификация по изображению лица Для идентификации личности часто используются технологии распознавания по лицу. Распознавание человека происходит на расстоянии. Идентификационные признаки учитывают форму лица, его цвет, а также цвет волос. К важным признакам можно отнести также координаты точек лица в местах, соответствующих смене контраста (брови, глаза, нос, уши, рот и овал). В настоящее время начинается выдача новых загранпаспортов, в микросхеме которых хранится цифровая фотография владельца.

8

Идентификация по ладони руки В биометрике в целях идентификации используется простая геометрия руки размеры и форма, а также некоторые информационные знаки на тыльной стороне руки (образы на сгибах между фалангами пальцев, узоры расположения кровеносных сосудов). Сканеры идентификации по ладони руки установлены в некоторых аэропортах, банках и на атомных электростанциях.

9

Вопросы: Какие существуют биометрические методы защиты информации?

Защита средств идентификации

Возможные ошибки и как их устранить

2.5 Модель нарушителя

Модель нарушителя представляет собой некое описание типов злоумышленников, которые намеренно или случайно, действием или бездействием способны нанести ущерб информационной системе.

Определим нарушителей для ИСПДн СКУД ОАО «ММЗ» в соответствие с документом «Базовая модель угроз безопасности ПДн» от 15.02.2008 года.

Нарушители по данному документу классифицируются на внешних и внутренних. Внутреннего нарушителя в свою очередь можно разделить на несколько групп:

1. Лица, имеющие санкционированный доступ в контролируемую зону, но не имеющие доступ к ПДн.

2. Зарегистрированный пользователь информационных ресурсов, имеющий ограниченные права доступа к ПДн ИСПДн с рабочего места

3. Пользователь информационных ресурсов, осуществляющие удаленный доступ к ПДн по ЛВС.

4. Зарегистрированный пользователь с полномочиями системного администратора ИСПДн.

5. Зарегистрированный пользователь с полномочиями администратора безопасности ИСПДн.

6. Программисты — разработчики прикладного ПО и лица, обеспечивающие его сопровождение в ИСПДн.

7. Программисты — разработчики прикладного ПО и лица, обеспечивающие поставку, сопровождение в ИСПДн.

8. Другие категории лиц в соответствии с оргштатной структурой ИСПДн.

Внешними нарушителями в нашей системе могут быть:

— криминальные структуры;

— внешние субъекты (физические лица);

— конкуренты (конкурирующие организации);

— недобросовестные партнеры.

К внутренним нарушителям ОАО «ММЗ» можно отнести: программистов, обслуживающих ПО СКУД «Интеллект»; работников бюро пропусков, которые непосредственно вводят ПДн в СКУД; работников охраны, имеющие доступ к ПДн на КПП, администратора сети, обслуживающий нормальное функционирование ЛВС; другие работники, имеющие доступ в КЗ, но не имеющие доступ к ПДн.

Определим к какой категории каждый нарушитель относится.

Работники, имеющие доступ в КЗ, но не имеющие доступ к ПДн. Данный нарушитель может производить съем информации с помощью ПЭМИН

Данного нарушителя не берем во внимание, так как предотвращение съема информации по ПЭМИН является темой отдельно дипломного проекта

Охрана и администратор сети относятся к первой категории и имеют санкционированный доступ к ИСПДн, но не имеют доступа к ПДн.

Лицо этой категории, может:

· иметь доступ к фрагментам информации, содержащей ПДн и распространяющейся по внутренним каналам связи ИСПДн;

· располагать фрагментами информации о топологии ИСПДн (коммуникационной части подсети) и об используемых коммуникационных протоколах и их сервисах;

· располагать именами и вести выявление паролей зарегистрированных пользователей;

Работники бюро пропускного режима относятся ко второй категории. Это зарегистрированные пользователи ИСПДн, осуществляющие ограниченный доступ к ресурсам ИСПДн с рабочего места.

Лицо этой категории:

· обладает всеми возможностями лиц первой категории;

· знает, по меньшей мере, одно легальное имя доступа;

· обладает всеми необходимыми атрибутами (например, паролем), обеспечивающими доступ к некоторому подмножеству ПДн;

· располагает конфиденциальными данными, к которым имеет доступ.

· Его доступ, аутентификация и права по доступу к некоторому подмножеству ПДн должны регламентироваться соответствующими правилами разграничения доступа.

Программисты — пятая категория (зарегистрированные пользователи с полномочиями системного администратора ИСПДн).

Лицо этой категории:

· обладает всеми возможностями лиц предыдущих категорий;

· обладает полной информацией о системном и прикладном программном обеспечении ИСПДн;

· обладает полной информацией о технических средствах и конфигурации ИСПДн;

· имеет доступ ко всем техническим средствам обработки информации и данным ИСПДн;

· обладает правами конфигурирования и административной настройки технических средств ИСПДн.

Системный администратор выполняет конфигурирование и управление программным обеспечением (ПО) и оборудованием, включая оборудование, отвечающее за безопасность защищаемого объекта: средства криптографической защиты информации, мониторинга, регистрации, архивации, защиты от НСД.

Из вышеизложенного следует, что нарушитель ИСПДн СКУД ОАО «ММЗ» относится к 5 категории.

Отпечатки пальцев

Способы атаки

Как правило, различия между поддельными отпечатками пальцев заключаются в материалах, используемых для создания муляжа2. Чаще всего применяется технический желатин, глина, пластилин, стоматологический гипс. После получения образца отпечатка пальца пользователя, имеющего доступ в атакуемую биометрическую систему, создается форма, в которую отливается поддельный палец.

Способы защиты

Для определения того, что предъявляется именно живой отпечаток пальца, применяются аппаратные или программные методы, а также их комбинации. Аппаратные методы:

  • используется мультиспектральная регистрация (фиксация отраженного ИК-излучения — от кожи и от синтетического материала получаются совершенно разные значения). Как правило, используется в оптических считывателях;
  • фиксация пульса, основанная на оптическом или ультразвуковом методе;
  • измерение электрического сопротивления кожи.

Программные методы подразумевают сравнение отсканированного отпечатка пальца с характерными особенностями поддельных образцов. Например, слишком четкий или, наоборот, слишком рваный край отпечатка, слишком ровные линии папиллярного рисунка, большое количество слишком светлых или слишком темных областей в области сканирования – вот лишь некоторые из самых распространенных отличий муляжа от «живого» пальца.

Программный метод анализа отпечатков пальцев опирается на индивидуальные характеристики и возможности конкретного биометрического оборудования, а также на шаблоны и алгоритмы, созданные и запатентованные разработчиками.

Некоторые изготовители, например Lumidigm/HID Global, используют в своих считывателях два первых аппаратных метода, Morpho старается сочетать один из них с измерением электрического сопротивления кожи, Suprema совмещает мультиспектральное отображение с программным анализом.

По словам руководителя проектов фирмы «Папилон» Алексея Подчиненкова, функция определения «живой/неживой палец» в сканере может быть реализована с помощью датчика инфракрасного света, встроенного в сам сканер. Свет проходит через палец, а специальные библиотеки в программном обеспечении сканера анализируют проход светового потока через палец и определяют по специальному алгоритму принадлежность живому человеку.

Директор по развитию компании «Сонда» Вадим Коломиец отмечает: «Для защиты от муляжей в компании «Сонда» разработаны специализированные оптические сканеры c цилиндрической выемкой с повышенным разрешением до 1000 dpi в центральной части узора. В отличие от зарубежных аналогов все оптические элементы сканера выполнены из высококачественного оптического стекла, что гарантирует срок эксплуатации сканера не менее 10 лет без потери прозрачности оптики. В частности, один из наших сканеров отпечатков пальцев позволяет одновременно получать полные отпечатки двух пальцев разных рук. Исключается возможность перепутывания пальцев за счет программного контроля типов узоров отпечатков. Высокое качество изображения отпечатка пальца дает возможность программным способом отличить узор живого пальца от муляжа за счет наличия специфических признаков».

Способы биометрической идентификации

Как обмануть систему?

Чем же так привлекательна биометрия?

Как хранятся биометрические шаблоны: 2 основных метода защиты

Поведенческая биометрия: российский опыт

Разновидности биометрической аутентификации

В настоящее время широко используются: пальцы человека, лицо и его глаза, а также голос — это «три кита» на которых держится современная биометрическая проверка подлинности пользователей:

Существует их довольно много, однако, сегодня используются три основных типа сканеров отпечатков пальцев:

  • емкостные — измеряют электрические сигналы, поступающие от наших пальцев. Анализируют емкостную разницу между приподнятой частью отпечатка и его впадиной, после чего формируется «карта» отпечатка и сравнивается с исходной;
  • ультразвуковые — сканируют поверхность пальца путем звуковых волн, которые посылаются на палец, отражаются и обрабатываются;
  • оптические — фотографируют отпечаток пальца и выполняют сравнивание на соответствие.

Трудности при сканировании могут возникнуть, если мокрые или грязные руки, если травма (порезы, ожоги), если человек является инвалидом (отсутствуют руки, кисти, пальцы).

Другая и довольно распространенная биометрическая форма аутентификации — сканеры радужной оболочки. Узоры в наших глазах является уникальным и не меняется в течении жизни человека, что позволяет выполнить проверку подлинности того или иного человека. Процесс проверки является довольно сложным, так как анализируется большое количество точек, по сравнению со сканерами отпечатков пальцев, что свидетельствует о надежности системы.

Однако, в этом случае, могут возникнуть трудности у людей с очками или контактными линзами — их нужно будет снимать для корректной работы сканера.

Альтернативный способ использовать человеческий глаз для биометрической аутентификации — сканирование сетчатки. Сканер светит в глазное яблоко и отображает структуру кровеносных сосудов, которые так же, как и оболочка — являются уникальными у каждого из нас.

Биометрическая проверка подлинности по голосу внедряется в потребительские технологии и также имеет большие перспективы. Распознавание голоса сейчас реализовано у Google Assistant на устройствах Android или у Siri на устройствах iOS, или у Alexa на Amazon Echo. В основном сейчас, это реализовано так:

  • Пользователь: «Я хочу кушать»
  • Голосовой помощник: «Окей, вот список ближайших кафе..»

Т.е. никакой проверки на подлинность пользователя не осуществляется, однако, с развитием технологий — кушать пойдет только подлинный пользователь устройства. Тем не менее, технология аутентификации по голосу существует и в процессе проверки подлинности анализируется интонация, тембр, модуляция и другие биометрические параметры человека.

Трудности здесь могут возникать из-за фоновых шумов, настроения человека, возраста, здоровья, что, как следствие, снижает качество метода, из-за этого он не имеет столь широкого распространения.

Последней в данной статье и одна из распространенных форм биометрической аутентификации — распознавание лица. Технология довольно простая: фотографируется лицо человека и сравнивается с исходным изображением лица пользователя, имеющего доступ к устройству или на охраняемую территорию. Подобную технологию, именуемой, как «FaceID» мы можем наблюдать реализованной в iPhone от Apple.

Мы немного похожи на маму, папу или более раннего поколения родственников, а кто-то и на соседа… Как бы там ни было — каждый из нас имеет уникальные черты лица, за исключением близнецов (хотя и у них могут быть родинки в разных местах).

Несмотря на то, что технология простая по своей сути, она довольно сложная в процессе обработки изображения, поскольку осуществляется построение трехмерной модели головы, выделяются контуры, рассчитывается расстояние между элементами лица: глазами, губами, бровями и др.

Метод активно развивается, поскольку его можно использовать не только для биометрической аутентификации пользователей или сотрудников, но и для поимки преступников и злоумышленников. Ряд из камер, в общественных местах (вокзалах, аэропортах, площадях, людных улицах и т.д.) устанавливают в сочетании с данной технологией, где сканер имеет довольно высокую скорость работы и точность распознавания.

Возможности

BioLink IDenium – сертифицированная ФСТЭК биометрическая система аутентификации пользователей, позволяющая полностью заменить использование паролей на биометрическую или многофакторную аутентификацию. Внедрение IDenium обеспечивает надежную защиту доступа к информационным ресурсам организации, а также позволяет эффективно минимизировать риски НСД и инсайдерства.

Аутентификация пользователей

Система BioLink IDenium позволяет установить биометрическую аутентификацию при доступе в операционную систему, корпоративные приложения и информационные системы, а также веб-сайты. Благодаря IDenium, Вы так же можете установить аутентификацю по отпечаткам пальцев при проведении критично важных операций (перевод средств, доступ к определенной информационным ресурсам, удаление файлов). 

Многофакторная аутентификация

Для усиленной защиты доступа система BioLink IDenium позволяет использовать многофакторную аутентификацию «смарт-карта + отпечаток», благодаря сканеру отпечатков пальцев BioLink U-Match 5.0 с интегрированным считывателем смарт-карт.

При использовании данной конфигурации pin-код, привязанный к смарт-карте, заменяется на отпечаток пальца пользователя.

Single Sign-On (SSO)

Технология единого доступа (Single Sign-On) ко всем корпоративным приложениям обеспечивает не только удобство для пользователей и минимизацию рисков утечки паролей, но изначительно снижает нагрузку на службы Help Desk по восстановлению утерянных паролей. 

Работа с терминальными сессиями

Система IDenium поддерживает работу с платформами виртуализации Citrix (Xen, MetaFrame) и Microsoft (MRDP), а также тонкими клиентами.

Система IDenium полностью интегрирована с Microsoft Active Directory, что обеспечивает комфортное централизованное управление правами и сценариями пользователей, параметрами клиентских рабочих станций, а также репликацию и синхронизацию данных в масштабе организации. 

История аутентификации (логирование событий)

IDenium сохраняет полную историю событий аутентификации, благодаря чему вы всегда можете узнать, какой сотрудник и в какое время получал доступ к определенному приложению. Настройки прав доступа к логу событий позволяют строго ограничить доступ к данной информации, например, лог может быть доступен только сотрудникам службы ИБ.

Благодаря комплекту разработчика IDenium SDK, Вы можете интегрировать процесс биометрической аутентификации в любые корпоративные информационные системы с учетом индивидуальной бизнес-логики. 

По желанию Заказчика, мы всегда можем выделить специалиста BioLink для произведения интеграции в рамках совместной рабочей группы (непосредственно с заказчиком либо с вендором решения).

Масштабируемость и отказоустойчивость

Система IDenium поддерживает неограниченное число дополнительных серверов, что гарантирует равномерное распределение нагрузки на серверы биометрических данных, обеспечение отказоустойчивости и быстрой реакции во время пиковых нагрузок.

Поддержка всех современных платформ

Система BioLink IDenium поддерживает работу со всеми популярными серверными и клиентскими операционными системами (32-разрядные и 64-разрядные версии). 

  • Клиентские ОС: Windows 7, Vista, XP SP3. 
  • Серверные ОС: Windows 2008 Server R2, 2003, 2000.

Return on Investment (ROI)

Исследование Gartner Group показало, затраты каждой компании на администрирование паролей составляют от 150 до 220 USD на одного пользователя ежегодно. Это и неэффективное использование рабочего времени сотрудников из-за частых и продолжительных обращений в службу поддержки и увеличение нагрузки со стороны системных администраторов. 

Согласно данной статистике, внедрение биометрической системы IDenium позволяет сэкономить компании со штатом 1000 человек до 180 000 USD год. Это, несомненно, серьезные деньги для любой компании.

Конфиденциальны ли биометрические данные?

Принцип действия биометрической системы

Геометрия лица

Существуют биометрические системы безопасности, связанные с распознаванием по лицу в 2D и 3D-режимах. Вообще считается, что черты лица каждого человека уникальны и не меняются в течение жизни. Неизменными остаются такие характеристики, как расстояния между определенными точками, форма и т. д.

2D-режим является статическим способом идентификации. При фиксации изображения необходимо, что человек не двигался. Имеют также значение фон, наличие усов, бороды, яркий свет и другие факторы, которые мешают системе распознать лицо. Это означает, что при любых неточностях выданный результат будет неверным.

На данный момент этот метод не особо популярен из-за своей низкой точности и применяется только в мультимодальной (перекрестной) биометрии, представляющая собой совокупность способов распознавания человека по лицу и голосу одновременно. Биометрические системы защиты могут включать в себя и другие модули – по ДНК, отпечаткам пальцев и другие. Кроме этого, перекрестный способ не требует контакта с человеком, которого необходимо идентифицировать, что позволяет распознавать людей по фотографии и голосу, записанных на технические устройства.

3D-метод имеет совершенно другие входящие параметры, поэтому нельзя его сравнивать с 2D-технологией. При записывании образа используется лицо в динамике. Система, фиксируя каждое изображение, создает 3D-модель, с которой затем сравниваются полученные данные.

В этом случае используется специальная сетка, которая проецируется на лицо человека. Биометрические системы защиты, делая несколько кадров в секунду, обрабатывают изображение входящим в них программным обеспечением. На первом этапе создания образа ПО отбрасывает неподходящие изображения, где плохо видно лицо или присутствуют вторичные предметы.

Затем программа определяет и игнорирует лишние предметы (очки, прическа и др.). Антропометрические особенности лица выделяются и запоминаются, генерируя уникальный код, который заносится в специальное хранилище данных. Время захвата изображения составляет около 2 секунд.

Однако, несмотря на преимущество метода 3D перед 2D-способом, любые существенные помехи на лице или изменение мимики ухудшают статистическую надежность данной технологии.

На сегодняшний день биометрические технологии распознавания по лицу применяются наряду с наиболее известными вышеописанными методами, составляя приблизительно 20% всего рынка биометрических технологий.

Компании, которые занимаются разработкой и внедрением технологии идентификации по лицу: Geometrix, Inc., Bioscrypt, Cognitec Systems GmbH. В России над этим вопросом работают следующие фирмы: Artec Group, Vocord (2D-метод) и другие, менее крупные производители.

Оцените статью
Рейтинг автора
5
Материал подготовил
Андрей Измаилов
Наш эксперт
Написано статей
116
Добавить комментарий