У діяльності правоохоронних органів і системах цивільної ідентифікації 5 страница

Якщо йдеться про захист робочої серверної станції, то шаблони біометричних даних (наприклад, відбитків пальців) зареєстрованих користувачів знаходяться на захищених носіях електронної інформації безпосередньо на цьому комп’ютері. Після успішного проходження процедури біометричної ідентифікації користувачеві надається доступ до операційної системи. У випадку корпоративної мережі шаблони біометричних даних усіх користувачів мережі зберігаються централізовано на спеціально виділеному сервері аутентифікації. При вході в мережу користувач, проходячи процедуру біометричної ідентифікації, працює безпосередньо з спеціалізованим сервером, на якому й відбувається перевірка його ідентифікаційних параметрів. Виділення в структурі корпоративної мережі окремого сервера для проведення біометричної аутентифікації або ідентифікації дозволяє створювати масштабні мережеві рішення та зберігати на такому сервері конфіденційну інформацію, доступ до якої надаватимуться тільки за біометричною ідентифікуючою ознакою власника інформації або особи, що має право доступу до неї.

При роботі в локальній мережі досить часто, крім надання дозволу доступу до мережі, процедура біометричної перевірки інтегрується й в інші програми, що використовуються в установі, наприклад, в системи управління підприємством, різні офісні застосування, корпоративне програмне забезпечення (ПЗ) тощо. При такому підході необхідні для ідентифікації відомості щодо всіх користувачів, у тому числі й біометричні дані, централізовано зберігаються на сервері аутентифікації, а користувачі звільняються від необхідності мати при собі спеціальні картки на право доступу та запам’ятовувати різні паролі. Останнім часом біометричні системи ідентифікації все більше доповнюються засобами криптографічного захисту, в яких доступ до ключів шифрування надається тільки після вдалого проведення процедури біометричної ідентифікації (аутентифікації) їх власника*.

Питання боротьби з інсайдерами обов’язково повинне розглядатися у контексті реалізації єдиної політики безпеки, яка на сьогоднішній день є обов’язковим атрибутом будь-якої установи, підприємства або фірми. На Заході, якщо компанія не пройшла аудиторської перевірки на відповідність міжнародним стандартам щодо захисту персональних даних (HIPAA, SOX та інші), вона не отримує права на оголошення своїх фінансових показників і, як наслідок, рівень довіри до такої компанії нульовий. На жаль, в Україні такі жорсткі вимоги поки що, як правило, ігноруються. Виняток складають компанії, які беруть участь у міжнародній економічній діяльності.

Розглянемо головні причини, які сприяють або призводять то того, щодії порушників систем безпеки дозволяють досягнути їм своєї мети.

Перша причина: чим менше організація, тим менше інформаційна система, що використовується, тому досить часто функцію забезпечення інформаційної безпеки у такій установі виконують фахівці ІТ-підрозділу, які якщо і розуміють потрібність захисних заходів, об’єктивно значно більше турбуються про такі складові цієї безпеки, як цілісність і доступність інформаційних масивів, а не про виконання заходів щодо недопущення витоку конфіденційної інформації. Зрозуміло, що ефективна система захисту інформаційних ресурсів завжди є результатом компромісу між вимогами оперативності доступу до ресурсів і забезпечення їх безпеки.

Друга причина: наявна система управління доступом до ресурсів не є достатньо ефективною, тому не забезпечує вирішення поставлених перед нею завдань. Процедура надання доступу до інформаційних масивів документально або не оформлена, або не виконується: наказом не призначені власники «особливих» ресурсів і відповідальні за їх використання, їх адміністрування знеособлене, будь-який адміністратор має або за бажанням може дістати доступ до бази даних. Як наслідок, практично будь-який співробітник підприємства без службової необхідності може дістати доступ до будь-якого ресурсу, крім того, часто ціла група користувачів використовує одну і ту ж пару «логін – пароль» для роботи з тою або іншою програмою та електронним банком документів.

Третьою причиною, на яку досить часто не звертають уваги, полягає у тому, що працівники фірм можуть бути не поінформовані про відповідальність за неправомірні дії з інформацією, доступ до якої обмежений.

Четверта причина полягає в тому, що інколи персонал просто не має навичків безпечної роботи в інформаційних системах. Можливий варіант, коли з вимогами або правилами інформаційної безпеки співробітників і ознайомили, але цей захід не досяг поставленої мети, оскільки на практиці ніхто не вчив більшість працівників потрібній методиці вибору паролю, щоб його не можно було легко вгадати або підібрати. Особам, які безпосередньо працюють на автоматизованих робочих місцях, у ряді випадків не доводилося до відома про так звані правила «гігієни безпеки»: не залишати комп’ютер включеним при виході з кімнати, не записувати й нікому не передавати логіни та паролі, не залишати без нагляду аутентифікаційні пристрої, самостійно не завантажувати з оптичних дисків програмне забезпечення або інформаційні матеріали, не відвідувати «сумнівних» сайтів в Інтернеті, не відкривати додатки до електронних листів від невідомих відправників тощо.

Дуже часто при проведенні навчальних заходів при ознайомленні з новою автоматизованою системою, початку експлуатації нових допоміжних комп’ютерних програм, що запроваджуються на підприємстві, не передбачається навіть коротких показових заходів, які б сприяли підвищенню практичних знань з інформаційної безпеки. В країнах з високим рівнем інформаційних технологій підвищення обізнаності персоналу давно вже стало однією з необхідних послуг на ринку комп’ютерно-інформаційної безпеки. У нашій же державі переконати керівника виділити кошти для проведення навчання кінцевих користувачів елементарним заходам інформаційної та комп’ютерної безпеки зазвичай вдається тільки після настання серйозної події з досить значущими наслідками.

П’ята причина: відсутність на підприємстві елементарного контролю за діями співробітників в інформаційній мережі або його безсистемне та недосконале ведення. Закономірність полягає у тому, що навіть найкращі заходи не досягнуть своєї мети, якщо їх реалізація не буде систематично контролюватися. При відсутності належної організації виконання вимог інструкцій з безпеки їх просто починають ігнорувати та не виконувати.

Для усунення зазначених причин необхідна практична реалізація цілого комплексу організаційних і технічних рішень. Практичний досвід показує, що зазвичай організаційні рішення надто не змінюються з часом і щодо них існує достатня кількість спеціальної літератури. Тому зупинимося детальніше на технічних рішеннях, що підтримують та забезпечують виконання організаційної складової інформаційної безпеки, а в зв’язку з невпинним розвитком комп’ютерно-інформаційних технологій дуже швидко змінюються. Технічна підтримка організаційних заходів повинна здійснюватися сучасним ефективним комплексом технічних заходів з забезпечення комп’ютерно-інформаційної безпеки, а також обов’язковою реєстрацією практично всіх дій користувачів та контролем за дотриманням існуючих правил з роботи у корпоративній мережі. Комплекс технічних заходів повинен забезпечувати реалізацію наступних трьох груп захисних механізмів:

– управління процесами аутентифікації або ідентифікації та наданими користувачам правами доступу;

– організації блокування будь-яких неприпустимих дій користувачів;

– обов’язкової наявності копій баз даних (резервування інформації).

Організація нагляду за роботою користувачів має максимально знизити можливість їх несанкціонованих дій і включає контроль за:

– виконанням правил (політики) обраних заходів з забезпечення безпеки;

– доступом і використанням тільки суто потрібних для виконання своїх робочих обов’язків необхідного програмного забезпечення;

– процесом виконання деяких процедур;

– зовнішнім інформаційним взаємообміном осіб, що працюють на автоматизованих робочих місцях;

– додержанням наданих адміністратором мережі конкретному користувачеві електронних прав доступу;

– використанням зовнішніх пристроїв вводу-виводу.

Для успішної реалізації технічних захисних заходів у будь-якій установі або фірмі повинні бути в наявності затверджені правила безпеки, які відповідають обраній інформаційній політиці безпеки та які визначають конкретні заходи та порядок їх впровадження і використання*.

До 11 вересня 2001 року біометричні системи забезпечення безпеки використовувалися тільки для захисту військових секретів і найважливішої комерційної інформації. Парольна система ідентифікації, яка використовувалася тривалий час, з часом довела свою повну неспроможність щодо захисту інформаційних систем, де потрібна достовірна ідентифікація користувача. До того ж, більшість паролів, що використовуються, в основному досить легко підбираються. Існує достатня кількість утиліт, що дозволяють розпаковувати архіви, які захищені паролями. Якою б складною послідовністю символів не було парольне слово, його комбінацію практично завжди можна вирахувати – це питання тільки часу. Утиліти для підбору паролів здійснюють цю процедуру шляхом перебору слів, які знаходяться у великих за обсягом слів словниках.

Таким чином, на даний час практичне використання парольних систем створює більше проблем, ніж зручностей: пароль досить легко забути, а збереження секретного коду ще де-небудь перекреслює саму концепцію парольного захисту. Тут доречно навести вислів Джорджа Скаффа, віце-президента компанії «DigitalPersona» з маркетингу: «У ширшому контексті ідентифікації, адміністрування та загроз безпеці, які створюються нелегітимним використанням ключів для доступу до важливої інформації, використання паролів настільки загрожує національній безпеці Великобританії, що у запровадженні біометрії вбачається єдиний реальний вихід»**.

Найпростішим та найлегшим способом ідентифікації, що дозволяє без особливо великих витрат організувати відповідний захист конфіденційних ресурсів користувача, – це системи, що побудовані на технологіях біометричного розпізнавання. Основне завдання таких біометричних систем або пристроїв – захист інформації, тому цілком логічною виявилась поява насамперед засобів зберігання даних, які обладнані відповідними системами ідентифікації. На поточний момент використання унікальних біометричних людських характеристик є одним з якнайкращих рішень для досягнення приватності, конфіденційності, управління доступом та цілосності інформації.

Технологічні рішення, що використовують біометрію, привертають увагу багатьох фахівців з найрізноманітніших галузей економіки, а також державних установ. Біометричні системи значною мірою перевершують традиційні способи аутентифікації, що використовують систему паролів або спеціальних ідентифікаційних карт (смарт-карток). Безумовною перевагою біометрії, є спосіб авторизації, при якій система перевіряє, що особа, яка намагається ввійти до системи, є саме тією людиною, яка має на це право, а не будь-який індивідуум, що знайшов загублену смарт-картку або записник з паролями. Таким чином, біометричні системи, які не потребують спеціальних паролів і ідентифікаційних карток, вносять додатковий елемент безпеки в роботу підприємств і установ.

На сьогодні біометрика розглядається як технологія, що надає «рівень надбезпеки», а не просто як засіб аутентифікації. Однак з розвитком загальних інформаційних мереж, віддаленого доступу та локальних мереж, які надають користувачам, що знаходяться поза зоною дії внутрішніх засобів захисту, можливість доступуа для роботи з корпоративними даними – це поняття все більше зміщується у сторону значення первинної ідентифікації користувача.

У корпоративних мережах ідентифікація користувача з використанням систем біометрії, як правило, перший і основний крок для отримання доступу до даних. Біометрія, яка забезпечує досить широкий набір інструментів для управління доступом, користується особливою популярністю у розробників архітектури безпеки. Вона використовується для побудови такої інфраструктури безпеки, яка об’єднує в єдину захистну структуру технології відкритих ключів (PKI), сертифікатів і біометричної ідентифікації. Такі системи захисту забезпечують належний рівень надійності при створенні розгорнутих схем доступу*.

Таким чином, на сьогодні одним з найбільш перспективних напрямків є розробка та виробництво біометричних інтелектуальних систем безпеки.

Ця технологія заснована на інтеграції досліджень у сферах електроніки, інформатики, медицини та біометрії, і, за прогнозами фахівців, ринок продукції за цим напрямком неухильно зростатиме**.

До появи біометричних систем ідентифікація користувача або дозвіл на вхід в інформаційну систему або об’єкт здійснювався тільки за допомогою постійних величин, таких як звичайний механічний ключ або персональний номер (PIN – код), який може зберігатися на будь-якому носієві у відкритому або закодованому вигляді. Принциповою ознакою систем безпеки першого покоління є однозначність і постійність у часі та просторі ідентифікаційного параметра, тоді як біометричні дані користувача, що принципово, завжди є змінною величиною, яка залежить від багатьох чинників. При цьому завдання достовірної ідентифікації за біометричними параметрами набагато складніше, ніж ідентифікація постійних параметрів у системах першого покоління. З інформаційної точки зору системи біометричної ідентифікації є другим поколінням систем безпеки, які здійснюють ідентифікацію користувача за змінними величинами***.

Відзначимо переваги використаннябіометричних систем безпеки:

– позбавлення користувачів від проблем, що виникають у зв’язку з втратою ключів і посвідчень особистості, а також від необхідності запам’ятовувати ідентифікаційний код і паролі;

– унікальність біометричних характеристик кожної людини практично унеможливлює їх використання третіми особами або значно ускладнює процес підробки;

– спілкування користувачів з біометричним сканером відбувається досить легко і вимагає мінімальних витрат часу;

– завдяки створенню спеціальних програмних і апаратних інтерфейсів про-
цес розпізнання є зрозумілим і доступним людям будь-якого віку і не створює
мовних бар’єрів;

– при потребі можна довести авторство тієї або іншої дії кожного звернення до системи, наприклад, зберегти біометричні дані зловмисника*.

Таким чином, основу сучасних систем інформаційної безпеки створюють засоби ідентифікації або аутентифікації користувачів і управління їх доступом до корпоративних інформаційних ресурсів. Основні вимоги до системи ідентифікації (аутентифікації) та вирішувані за її допомогою завдання:

– однозначність розпізнавання користувача за унікальними, тільки йому одному властивими ознаками;

– неможливість викрадення, втрати, підміни ідентифікаційних ознак або заволодіння ними обманним шляхом;

– відсутність можливості обміну ідентифікаторами та відповідними повноваженнями користувачів;

– реалізація принципу «неможливості відмови» користувача від проведених операцій, що були здійснені ним з застосуванням ідентифікаторів, які відповідають перерахованим вище критеріям;

– ефективна інтеграція засобів ідентифікації і управління доступом в інформаційну інфраструктуру компанії зі збереженням безперервності поточних бізнес-процесів;

– зниження навантаження на користувачів, адміністраторів і фахівців з захисту інформації;

– мінімізація витрат, які виникають при запровадженні засобів ідентифікації й управління доступом;

– зменшення кількості відмов у роботі та можливість використання будь-якої за чисельністю користувачів системи контролю та управління доступом.

На практиці будь-які заходи щодо запровадження систем захисту, крім біометричних, пов’язані з додатковим навантаженням і новими обов’язками, що лягають додатковим навантаженням на адміністраторів корпоративних мереж, користувачів і співробітників служби безпеки. Біометрія становить приємний виняток: її впровадження полегшує діяльність усіх співробітників зазначених категорій, водночас забезпечуючи істотне зростання рівня інформаційної безпеки.

Біометричні рішенняз захисту інформації для досягнення більшої ефективності слід застосовувати у комплексі з такими матеріальними ідентифікаційними носіями, як смарт-картки, токени та ін. (багатофакторна ідентифікація). У деяких з цих засобів захист ідентифікаційної інформації забезпечується шифруванням, генерацією одноразових паролів, електронним підписом і цифровими сертифікатами. Як правило, сучасна ефективна система біометричної ідентифікації виконує наступні функції:

- уніфікації процесів доступу до інформаційних ресурсів на базі єдиного прийнятого для конкретної системи ідентифікатора;

– захисту інформаційних ресурсів від несанкціонованого доступу або такого доступу, що здійснюється з порушенням встановлених правил (порушення прийнятої політики безпеки);

– автоматизації та централізації управління та контролю за діями користувачів, створюваними відносно них облікових записів і наданням відповідних повноважень при роботі з операційними системами та різними прикладними продуктами;

– прискорення доступу легальних користувачів до ресурсів корпоративної мережі з забезпеченням максимальної простоти та прозорості цього процесу;

– скорочення непродуктивних втрат, що викликані помилками при введенні логіна та пароля і, як наслідок,блокуванням облікових записів і тому пподібне;

– оптимізації діяльності системних адміністраторів за рахунок зменшення кількості звернень, які зв’язані з помилками користувачів при проведенні ідентифікації, аутентифікації й авторизації;

– швидкої реєстрації нових користувачів і можливості оперативної зміни облікових записів щодо співробітників, які перейшли в інший підрозділ, були звільнені або змінили свої функціональні повноваження*.

Як відомо, застосування біометричних технологій в основному поділяють на такі три напрямки: біометрична ідентифікація в системах захисту інформації від несанкціонованого доступу, на системи контролю і керування доступом (СКУД) і на системи обліку робочого часу. Приблизно 60% від загального обсягу біометричного ринку займають СКУД. Як правило, засоби біометричної ідентифікації в цих системах доповнюються й іншими стандартними засобами фізичної охорони.

Сьогодні застосовуються два методи входу в інформаційну систему: перший вид – вхід за паролем, який вже віджив свій час, і другий – вхід за біометричною ознакою (у переважній кількості за відбитком пальця). Причому порівняння біометричного параметра відбувається не за його знятою раніше абсолютно тотожною копією, а за цифровою моделлю-шаблоном, що зберігається у базі даних відповідного біометричного показника. Це означає, що відтворити відповідний оригінал зображення з наявного у банку даних біометричного параметра просто неможливо. При цьому біометрична база даних може зберігатися як локально, так і на віддаленому сервері, що в останньому варіанті значно зменшує ймовірність витоку конфіденційної інформації.

При запровадженні біометричних систем ідентифікації головним завданням стає задача спрощення роботи зі спеціальними захисними програмами (наприклад, з програмами, що вимагають введення пароля). Замість вводу традиційного пароля потрібно, щоб система проводила біометричне розпізнання. Як правило, комп’ютерна програма парольної системи доступу в більшості випадків підтримує проведену зміну програмного сценарію дій, які необхідні для проведення біометричної ідентифікації та будуть запущені після її успішної реалізації. Таким чином, досягається організація досить надійного доступу до корпоративних ресурсів без суттєвої зміни програмного забезпечення при ідентифікації конкретної особи, а не паролю.

Точність розпізнавання біометричного параметра досить висока – в цьому заслуга сучасних технологій зчитування біометричних показників. Швидкість процедур порівняння відбитків пальців складає приблизно одну секунду, ймовірність помилкового надання доступу – 10-9. Вірогідність же помилкового відмовлення у доступі – не більш 3%, тобто не більш трьох разів на сто сканувань*.

Існують як автономні, так і мережеві системи контролю й управління доступом (СКУД). Автономні СКУД, як правило, забезпечують надійний захист одного об’єкта або однієї складової об’єкта, в тому числі й підключеного до мережі, від проникнення небажаних осіб. Мережеві системи призначені для здійснення корпоративного доступу з багатьох автоматизованих робочих місць і мають на меті організацію ієрархічного доступу абонентів в її межах**.

Розглянемо детальніше плюси та мінуси використання біометрії для забезпечення інформаційної безпеки.

Найголовнішою перевагою систем захисту інформації, що використовують біометричні технології, є їх висока надійність. І дійсно, підробити папілярний візерунок пальця людини або райдужну оболонку ока практично неможливо. Отже виникнення так званих «помилок другого роду» (надання доступу людині, яка не має на це право) практично виключено. Правда, тут є одне «але». Річ у тім, що під впливом деяких чинників біологічні особливості, за якими проводиться ідентифікація особистості, можуть змінюватися. Наприклад, людина може застудитися, внаслідок чого її голос змінюється до невпізнання. Тому частота появи «помилок першого роду» (відмови в доступі особі, що має на це право) в біометричних системах досить велика.

Ще одним важливим чинником надійності є те, що вона абсолютно ніяк не залежить від користувача. Дійсно, при використанні парольного захисту людина може використовувати коротке ключове слово або тримати папірець з «підказкою» під клавіатурою комп’ютера, чим може скористатись зловмисник. При використанні апаратних ключів недобросовісний користувач може недостатньо уважно стежити за своїм токеном або карткою, внаслідок чого носій ідентифікаційної інформації теж може потрапити до рук зловмисника. У біометричних же системах від пред’явника біометричного параметра майже не залежить нічого. І це досить велика перевага.

Чинником, що позитивно впливає на надійність біометричних систем, є також простота процедури ідентифікації для користувача. Справа у тому, що, наприклад, сканування відбитка пальця вимагає від людського індивідуума набагато менших розумових витрат, ніж введення пароля. А тому проводити цю процедуру можна не тільки перед початком роботи, але час від часу і протягом робочого дня або виконання завдання, що, цілком природньо, підвищує надійність захисту. Особливо актуально у цьому випадку використання сканерів, які розміщені безпосередньо на комп’ютерних пристроях. Так, наприклад, існують комп’ютерні миші, при використанні яких великий палець користувача завжди лежить на віконечку сканера. Тому система може постійно проводити процедуру ідентифікації, причому людина не тільки не припинятиме роботу, але і взагалі нічого не помітить.

Останньою і однією з найбільших переваг біометричних систем захисту перед іншими методами забезпечення інформаційної безпеки є неможливість передачі користувачем своїх ідентифікаційних параметрів третім особам. І це теж серйозний позитив. У сучасному світі, на жаль, продається практично все, у тому числі й доступ до конфіденційної інформації. Тим більше, що людина, яка передала ідентифікаційні носії або пові-
домила пароль зловмисникові, практично нічим не ризикує. Про пароль можна завжди сказати, що його підібрали, а про апаратний ключ або смарт-картку, що їх вкрали. У разі ж використання біометричного захисту подібний «фокус» вже не пройде.

Одним з недоліків біометричних систем захисту інформації є їх вартість. Правда, конкурентна боротьба на ринку біометричних пристроїв набуває все більш жорстких форм. А тому експерти ринку пророкують зниження ціни з часом. Ще одним найбільшим мінусом є можливість «крадіжки» біометричних идентифікаційних даних. Детально це питання було розглянуто у розділі 8.

Нагадаємо принцип роботи біометричних систем захисту. Переважна більшість людей вважають, що в пам’яті комп’ютера зберігаються зразки відбитків пальців, зображення райдужної оболонки очей або облич, голоси людей тощо. Але це не так. Здебільшого в сучасних системах у спеціальній базі даних зберігається цифровий код завдовжки до 1000 біт, що асоційований з конкретною людиною, яка має право доступу. Сканер або будь-який інший пристрій, що застосовується в системі, сканує (зчитує) певний біологічний параметр людини. Далі він обробляє отримане зображення або звук, перетворюючи їх на цифровий код. Саме цей ключ-шаблон і порівнюється з вмістом спеціальної бази даних при проведенні ідентифікації особи.

Переваги ідентифікації за цифровим кодом, який згенерований на базі отриманого сканером образу, перед безпосереднім порівнянням самих образів очевидні. Наведемо переваги ідентифікації за цифровим кодом на прикладі системи, яка працює з відбитками пальців. По-перше, зображення відбитку з хорошою якістю займає у електронній пам’яті системи досить багато місця. Таким чином, потрібні досить великі або величезні обсяги пам’яті для банку даних, в якому зберігаються дані про тисячі або десятки тисяч користувачів. По-друге, повне порівняння двох образів у вигляді картинок – процедура досить трудомістка і за часом вельми тривала. Для того, щоб підібрати подібні варіанти, потрібно методом перебору перевірити практично всю базу з еталонними відбитками. А по-третє, будь-який невеликий поріз або подряпина на подушечці пальця користувача приведуть до відмови в доступі. Тоді як при ідентифікації за цифровим кодом допускається ураженість до 30% площі малюнка без будь-яких збоїв у роботі системи*.

За аналогічним принципом побудовані комп’ютерні програми, які, використовуючи технології двох або тривимірних цифрових зображень фотографій людей, здатні розпізнавати їх обличчя та надавати кожному з них свій унікальний електронний біометричний код. Відповідні алгоритми математичних програм можуть бути застосовані в найрізноманітніших ситуаціях, починаючи від отримання доступу до надсекретної державної інформації і до використання будь-якими покупцями своїх кредитних карток.

На думку розробників, сучасні ідентифікаційні біометричні комплекси підтримують набагато більший рівень безпеки ніж системи, які використовують парольний доступ, оскільки підробити індивідуальні людські біопараметри набагато важче або взагалі неможливо, ніж викрасти пароль або підібрати ідентифікаційний номер**.

Але існують можливості «крадіжки» самих електронних біометричних кодів-характеристик особи. Для того, щоб нівелювати наслідки такої «крадіжки», в даний час здійснюється акцент на розробку систем комплексної «наскрізної» мультибіометричної ідентифікації. Як стверджують фахівці, таким новостворюваним системам будуть властиві дві унікальні риси. З одного боку, системи повинні забезпечувати ідентифікацію осіб у всіх місцях перебування на території об’єкта (офісу): від біометричного контролю за доступом на вході до об’єкта (будівлі або приміщення) до розпізнавання за біометричними ознаками при проведенні операції з завантаження операційної системи комп’ютера. З іншого боку, нова система буде проводити мультибіометричний контроль: у її рамках передбачається об’єднати технології ідентифікації за відбитками пальців, райдужної оболонки очей і обличчям (у перспективі можливо і поєднання інших характеристик біометрики). Розробники не приховують свого оптимізму, оцінюючи перспективи мультибіометричної системи «наскрізної» ідентифікації «від дверей до комп’ютера». Вони вважають, що комплексне рішення – це справжній подарунок для фахівців з інформаційної безпеки, оскільки воно дозволяє дійсно забезпечити централізоване управління фізичним і логічним доступом*.

Також можливе використання багатофакторного режиму контролю за доступом, який також забезпечує високу надійність і ефективність, коли ідентифікація користувачів при проході через турнікет, шлюз і тому подібних пристроїв здійснюється у різних комбінаціях з використанням відбитків пальців, безконтактних проксімити-карток і PIN-коду**.

За ефективності багатофакторний режим контролю доступу поступається системі «наскрізної» ідентифікації, але за ціною значно виграє.

Одним з найнадійніших методів захисту, безумовно, є криптографічний метод захисту, оскільки охороняється безпосередньо сама інформація, а не доступ до неї (наприклад, зашифрований файл не можно прочитати навіть у випадку крадіжки носія). Кінцева мета криптографії проста: зробити зрозуміле («відкрите») повідомлення цілком незрозумілим («закритим») для необізнаних. Ця мета досягається за допомогою кодування, а те, що отримується у підсумку, називається криптограмою. Розглянемо один з можливих варіантів принципу дії криптографічного методу захисту, який суміщений з системою ідентифікації користувача.

Комп’ютерна програма системи ідентифікації заснована на двох- або трьохфакторній аутентифікації та використовує для цього: унікальний PIN-код, апаратний ключ або смарт-картку і біометрію. Цифрові моделі відбитків пальців абонентів такої системи зберігаються у пам’яті ключа або картки. В процесі аутентифікації вони порівнюються з моделями відбитків пальців, які отримуються з біометричного сканера під час процедури контролю. Після успішної аутентифікації користувач дістає доступ до захищених ресурсів: персонального комп’ютера, веб-ресурсів, файлів, Інтернету та електронної пошти.

За допомогою секретного ключа дешифрується код, зашифрований загальним ключем. Знання загального ключа не дає можливості вичислити секретний ключ. Загальний ключ можна поширювати вільно. Ніхто, крім одержувача, не може розшифрувати повідомлення, не маючи секретного ключа, навіть той, хто шифрував повідомлення. Така технологія забезпечує секретність без використання закритих каналів зв’язку для обміну ключами. Секретний ключ також використовується для створення електронного підпису в e-mail повідомленнях, які одержувач може перевірити, використовуючи загальний ключ відправника. Тією обставиною, що відправник є єдиною особою, хто володіє секретним ключем, за допомогою якого був згенерований підпис, забезпечується встановлення достовірності повідомлення і особистість того, хто підписав документ. Підробка підписаного таким чином повідомлення неможлива, оскільки відправник не може згодом змінити свій підпис*.

Наши рекомендации