Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
ГОСЫ 2015 / ГОСЫ 2015 / Информационная безопасность.doc
Скачиваний:
17
Добавлен:
15.02.2016
Размер:
233.47 Кб
Скачать
  1. Основные принципы информационной безопасности

Информацией являются любые данные, находящиеся в памяти вычислительной системы, любое сообщение, пересылаемое по сети, и любой файл, хранящийся на каком-либо носителе. Информацией является любой результат работы человеческого разума: идея, технология, программа, различные данные (медицинские, статистические, финансовые), независимо от формы их представления. Все, что не является физическим предметом и может быть использовано человеком, описывается одним словом — информация.

Информация:

  1. Информация свободного доступа

  2. Информация ограниченного доступа

    1. Конфиденциальная информация

    2. Секретная информация

Конфиденциальная (confidential, частный) – служебная, профессиональная, промышленная, коммерческая или иная информация, правовой режим которой устанавливается ее собственником на основе законов о коммерческой, промышленной тайне и других законодательных актов. Собственник информации может самостоятельно установить ее статус как конфиденциальной (например, личная тайна). Требует безусловной защиты.

Служебная тайна- сведения, связанные с производственной, управленческой, финансовой или другой экономической деятельностью организации, разглашение (передача, утечка, хищение) которой может нанести ущерб ее интересам и не являющиеся государственными секретами. К таким сведениям относятся:

  • информация, содержащая сведения, используемые сотрудниками организации для работы в служебных целях;

  • данные, полученные в результате обработки служебной информации с помощью технических средств (оргтехники);

  • документы (носители), образующиеся в результате творческой деятельности сотрудников организации, включающие в себя сведения любого происхождения, вида и назначения, необходимые для нормального функционирования организации.

Информация секретная– информация, содержащая в соответствии с законом о Гос. Тайне сведения, составляющие таковую. Требует самой высокой степени защиты

Гос тайна– защищаемые государством сведения в области его военной, оборонной, внешнеполитической, экономической, разведывательной и т.п. деятельности, распространение которых может нанести ущерб безопасности государства. Распространение ГОС СЕКРЕТОВ регулируется государством и контролируется спецслужбами.

Виды информации ограниченного доступа

Информационная безопасность (ИБ) – это защищенность информации и поддерживающей ее инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб владельцам, и пользователям информации.

ЗАЩИТА ИНФОРМАЦИИ – это комплекс мероприятий, направленный на предотвращение утечки защищаемой информации, а также несанкционированных и непреднамеренных воздействий на эту информацию.

НСД - НеСанкционированный Доступ - unauthorized access Одно из наиболее распространенных и разнообразных по форме нарушений безопасности компьютерной системы. Заключается в получении нарушителем доступа к ресурсу (объекту) в нарушение установленных в соответствии с политикой безопасности правил разграничения доступа. Для НСД используется любая ошибка в системе безопасности, и он может быть осуществлен как с помощью штатного ПО и средств ВТ, так и специально разработанными аппаратными и/или программными средствами.

ИБ должна обеспечивать:

  1. целостность данных– под целостностью подразумевается актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения.

2. конфиденциальность информации - это защита от несанкционированного доступа к информации ограниченного доступа, в том числе, защита от нелегального хищения, изменения или уничтожения. (ПРИМЕР с коммерческой и личной информацией, служебной, гос. тайной)

3. доступность для санкционированного доступа – это возможность за приемлемое время получить требуемую информацию.

Основные направления деятельности по защите информации

Принципы построения систем защиты информации (информационной безопасности)

  • Системность

  • Комплексность

  • Непрерывность защиты

  • Разумная достаточность

  • Гибкость управления и применения

  • Открытость алгоритмов и механизмов защиты

  • Простота применения защитных методов и средств

Кроме того, любые используемые средства и механизмы информационной безопасности не должны нарушать нормальную работу пользователя с автоматизированной информационной системой - резко снижать производительность, повышать сложность работы и т.п. СЗИ должна быть ориентирована на тактическое опережение возможных угроз, а также обладать механизмами восстановления нормальной работы КС в случае реализации угроз.

Принципы защиты информации от НСД

Закрытие каналов несанкционированного получения информации должно начинаться с контроля доступа пользователей к ресурсам ИС. Эта задача решается на основе ряда принципов:

  1. Прицип обоснованности доступазаключается в обязательном выполнении следующего условия: пользователь должен иметь достаточную форму допуска для получения информации требуемого им уровня конфиденциальности с тем, чтобы выполнить заданные производственные функции. В качестве пользователей могут выступать активные программы и процессы, а также носители информации.

  2. Принцип разграничения- для предупреждения нарушения безопасности информации, которое, например, может произойти при записи секретной информации на несекретные носители и в несекретные файлы, при передаче ее программам и процессам, не предназначенным для обработки секретной информации, а также при передаче секретной информации по незащищенным каналам и линиям связи, необходимо осуществлять соответствующее разграничение потоков информации и прав доступа к этой информации

  3. Принцип чистоты ресурсовзаключается в очистке ресурсов, содержащих конфиденциальную информацию, при их удалении или освобождении пользователем до перераспределения этих ресурсов другим пользователям.

  4. Принцип персональной ответственности- каждый пользователь ИС должен нести персональную ответственность за свою деятельность в системе, включая любые операции с секретной информацией и возможные нарушения ее защиты – случайные или умышленные действия, которые приводят или могут привести к НСД или, наоборот делают такую информацию недоступной для законных пользователей

  5. Принцип целостности средств защитыподразумевает, что средства защиты информации в ИС должны точно выполнять свои функции в соответствии с перечисленными принципами и быть изолированными от пользователей. С целью своего сопровождения средства защиты должны включать специальный защищенный интерфейс для средств контроля, сигнализации и фиксирования.

  1. Методы и средства защиты информации

Методы защиты информации

  • препятствие– метод физического преграждения пути злоумышленнику к защищаемой информации

  • управление доступом– метод определения и распределения ресурсов системы санкционированным пользователям

  • шифрование- метод защиты информации в коммуникационных каналах путем ее криптографического закрытия. Этот метод защиты широко применяется как для обработки, так и для хранения информации. При передаче информации по коммуникационным каналам большой протяженности этот метод является единственно надежным.

  • регламентация– метод защиты информации, создающий специальные условия автоматизированной обработки, хранения и передачи защищаемой информации, при которых возможности несанкционированного доступа к ней сводились бы к минимуму.

  • принуждение- такой метод защиты информации, при котором пользователи и персонал системы вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности.

  • побуждение- метод защиты информации, который стимулирует пользователя и персонал системы не нарушать установленных норм (высокая зарплата)

Средства

  1. технические реализуются в виде электрических, электромеханических и электронных устройств. Вся совокупность технических средств делится на аппаратные и физические.

Под аппаратными принято понимать встроенные электронные устройства. Из наиболее известных аппаратных средств можно назвать схемы контроля информации по четности, схемы защиты полей памяти по ключу и т. д.

Физическиесредства реализуются в виде автономных устройств и систем. Например, замки на дверях помещений с аппаратурой, решетки на окнах, охранная сигнализация, камеры видеонаблюдения.

Физические средства защиты:

  • обеспечивают безопасность помещений, где размещены серверы сети;

  • ограничение посторонним лицам физического доступа к серверам, концентраторам, коммутаторам, сетевым кабелям и другому оборудованию;

  • обеспечивают защиту от сбоев электросети.

  1. программные средства представляют собой программное обеспечение, специально предназначенное для выполнения функций защиты информации.

Стандартные защищенные программные средства:

  • Средства защиты, использующие парольную идентификацию и ограничивающие доступ пользователей согласно назначенным правам - управление доступом и разграничение полномочий (идентификация+аутентификация+авторизация)

Идентификация позволяет субъекту (пользователю, процессу, действующему от имени определенного пользователя, или иному аппаратно-программному компоненту) назвать себя (сообщить свое имя). Посредством аутентификации вторая сторона убеждается, что субъект действительно тот, за кого он себя выдает. В качестве синонима слова "аутентификация" иногда используют словосочетание "проверка подлинности".

  • Регистрация и анализ событий, происходящих в системе - обеспечивает получение и анализ информации о состоянии ресурсов системы с помощью специальных средств контроля, а также регистрацию действий, признанных потенциально опасными для безопасности системы. Анализ собранной информации позволяет выявить средства и априорную информацию, использованные нарушителем при воздействии на систему и определить, как далеко зашло нарушение, подсказать метод его расследования и способы исправления ситуации;

  • Контроль целостностиресурсов системы предназначен для своевременного обнаружения их модификации. Это позволяет обеспечить правильность функционирования системы и целостность обрабатываемой информации.

  • Криптографическое закрытие информации

  • Защита от внешних вторжений - брандмауэры

  • Защита от компьютерных вирусов - антивирусные пакеты, антиспамовые фильтры

  • Средства резервного копирования и восстановления данных

  1. аппаратно-программныесредства защиты основаны на использовании различных электронных устройств и специальных программ, входящих в состав системы защиты информации и выполняющих такие (самостоятельно или в комплексе с другими средствами) функции защиты, как: идентификация и аутентификация пользователей, разграничение доступа к ресурсам, регистрация событий, криптографическое закрытие информации, обеспечение отказоустойчивости компонент и системы в целом и т.д.

  2. Организационные средства защиты представляют собой организационно-технические и организационно-правовые мероприятия, осуществляемые в процессе создания и эксплуатации специального ПО и аппаратных устройств для обеспечения защиты информации. Организационные мероприятия охватывают все структурные элементы на всех этапах жизненного цикла защищаемой системы (создание охраняемого периметра, строительство помещений, проектирование системы в целом, монтаж и наладка оборудования, испытания и эксплуатация), а также кадровую политику и подбор персонала.

  3. морально-этическиесредства защиты реализуются в виде норм, которые сложились традиционно или складываются по мере распространения ВТ и средств связи в данной стране или обществе. Эти нормы, как правило, не являются обязательными, как законодательные меры, однако несоблюдение их ведет к потере авторитета и престижа организации.

  4. законодательные средства защиты определяются законодательными актами страны. В них регламентируются правила использования, обработки и передачи информации ограниченного доступа и устанавливаются меры ответственности за нарушение этих правил.

  1. Криптографические методы закрытия данных. Несимметричные криптосистемы

Несимметричные криптографические системы или системы с открытым ключом

Функция у=f(x) является односторонней, если она за сравнительно небольшое число операций преобразует элемент открытого текста x в элемент шифротекста у для всех значений x из области определения функции, а обратная операция x=f-1(y) при известном y является вычислительно трудоемкой или невозможной (в идеале)

В качестве простейшей односторонней функции используют:

1) умножение матриц

2)скалярное произведение

3) вычисление значения полинома по модулю

4)экспоненциальные вычисления

В криптографических системах этого типа ключи шифрования и дешифрования различаются таким образом, что с помощью вычислений нельзя вывести один ключ из другого. Достигается это за счет применения в алгоритме генератора ключей односторонней функции с секретом.

Под односторонней функцией с секретом (с лазейкой, с потайной дверью - a trap-door one-way) называется зависящая от параметра k фукция y=fk(x), такая, что знание k дает возможность легко построить обратное преобразование x=fk-1(y), тогда как без знания k определение х по известному y вычислительно не осуществимо.

В несимметричных криптосистемах общедоступным является только ключ для процесса шифрования, а процедура дешифрования известна лишь обладателю секретного ключа.

Конечно, оба ключа связаны особым образом (в каждой криптосистеме по-разному), но распространение открытого ключа не разрушает криптостойкость системы.

В асимметричных системах должно удовлетворяться следующее требование: нет такого алгоритма (или он пока неизвестен), который бы из криптотекста и открытого ключа выводил исходный текст. Стойкость шифра зависит от длины ключа, и, если, пожертвовав скоростью, применить ключевую последовательность достаточного размера, можно добиться любой требуемой степени надежности.

А – отправитель

W-перехватчик

B- получатель

Шифратор

Открытый канал связи

Дешифратор

Справочник открытых ключей

Секретный ключ получателя

Генератор ключевой пары

Открытый ключ

ПРИМЕРЫ современных несимметричных алгоритмов

  1. RSA

  2. PGP – Pretty Good Privacy (Филипп Циммерман)

  3. Диффи-Хеллмана

  4. Эль-Гамаля

Электронная Цифровая Подпись - ЭЦП

Служит для:

    1. удостоверения подлинности документа

    2. удостоверения подлинности автора

    3. запрета отказа от авторства подписанного документа

    4. защищает от изменения документа.

  1. Однонаправленные хэш-функции

10.Однонаправленные хэш-функции

hash function - применяются в криптографии в алгоритмах шифрования, а также для формирования ЭЦП

Однонаправленной Хэш-функцией называется вычислительно необратимая функция, осуществляющая преобразование массива данных произвольного размера в блок данных фиксированного размера - Хэш-код (“цифровой отпечаток”).

Это односторонняя функция, предназначенная для получения дайджеста или "цифрового отпечатка" файла, сообщения или некоторого блока данных.

Хэш-кодсоздается функцией Н:

H (O) = h

Где O является сообщением произвольной длины и h является хэш-кодом фиксированной длины, меньшей или равной длине О.

Таким образом, хэш-код сложным образом зависит от сообщения O и является его сжатым представлением, но не позволяет восстановить исходное сообщение.

Все хэш-функции выполняются следующим образом. Входное значение (сообщение, файл и т.п.) рассматривается как последовательность n-битовых блоков. Входное значение обрабатывается последовательно блок за блоком, и создается m-битовое значение хэш-кода.

Одним из простейших примеров хэш-функции является поразрядный XOR каждого блока:

Hi = bi1 ⊕ bi2 ⊕ . . . ⊕ bik

Где

Hi - i-ый бит хэш-кода, 1 ≤ i ≤ n. k - число n-битовых блоков входа. bij - i-ый бит в j-ом блоке. ⊕ - операция XOR.

В результате получается хэш-код длины n, известный как продольный избыточный контроль. Этот метод является эффективным при случайных сбоях для проверки целостности данных.

Часто при использовании подобного продольного избыточного контроля для каждого блока выполняется однобитовый циклический сдвиг после вычисления хэш-кода. Это можно описать следующим образом.

  • Установить n-битовый хэш-код в ноль.

  • Для каждого n-битового блока данных выполнить следующие операции:

    • сдвинуть циклически текущий хэш-код влево на один бит;

    • выполнить операцию XOR для очередного блока и хэш-кода.

Это придает эффект "случайности" входным данным и уничтожает любую регулярность, которая присутствует во входных значениях.

Рассмотрим требования, которым должна соответствовать хэш-функция для того, чтобы она могла использоваться в качестве аутентификатора сообщения.

  1. Хэш-функция Н должна применяться к блоку данных любой длины.

  2. Хэш-функция Н создает выход фиксированной длины.

  3. Н (O) относительно легко (за полиномиальное время) вычисляется для любого значения O.

  4. Для любого данного значения хэш-кода h вычислительно невозможно найти O такое, что Н (O) = h – свойство необратимости.

  5. Для любого данного х вычислительно невозможно найти y ≠ x, что H (y) = H (x) – защита от подделки.

  6. Вычислительно невозможно найти произвольную пару (х, y) такую, что H (y) = H (x) – стойкость к коллизиям.

Очевидно, что длина хэш-кода должна быть достаточно большой. Длина, равная 64 битам, в настоящее время не считается безопасной. Предпочтительнее, чтобы длина составляла порядка 128 бит.

Например, количество арифметических операций, необходимых для того, чтобы найти другой блок данных, имеющий такой же хэш, как и исходный, для хэш-функции MD5, составляет приблизительно 264; для MD5 предполагаемое количество операций, необходимых для вычисления исходного сообщения по известному результату хэширования, равно 2128

MD4 алгоритм хэширования, разработанный Рональдом Л. Ривестом из RSA Data Security, Inc. В настоящее время считается ненадёжным. Это быстрый алгоритм (на 32-битных процессорах) и его используют при вычислении хэшей в peer-to-peer сети EDonkey 2000. Алгоритм описан в RFC 1320. Хэш-код представляет шестнадцатеричное число из 32 символов.

MD5 ещё один алгоритм хэширования, разработанный Рональдом Л. Ривестом из RSA Data Security, Inc. Представляет улучшенную версию MD4. Алгоритм описан в RFC 1321. В течении многих лет MD5 был стандартом интернет, но сейчас считается сломанным. Хэш-код представляет шестнадцатеричное число из 32 символов.

Хэш-функция MD5

MD5 (MD2, MD4 - Message Digest)– автор Ron Rivest – 128-битовая функция, исходное сообщение разбивается на блоки 512 бит. Последний блок дополняется до нужной длины (см. шаг1), после чего к нему дописывается длина исходного сообщения в битах. В алгоритме используется 128-битное промежуточное состояние, которое разбивается на 4 32-разрядных слова. Функция сжатия h состоит из 4 раундов, в каждом из которых выполняется перемешивание блока сообщения и промежуточного состояния. Перемешивание представляет собой комбинацию операций XOR, AND, OR и операций циклического сдвига битов над 32-битными словами. В каждом раунде целый блок сообщения перемешивается с промежуточным состоянием, поэтому каждое слово сообщения фактически используется 4 раза. После 4 раундов результат и входное промежуточное состояние складываются и получается выходное значение функции h. Этот алгоритм особенно эффективен в системах с 32-разрядной архитектурой.

Алгоритм MD4

MD5 является более сложным и, следовательно, более медленным при выполнении, чем MD4. Считается, что добавление сложности оправдывается возрастанием уровня безопасности

SHA (Secure Hash Algorithm) – семейство функций разработано Управлением Национальной Безопасности США. SHA-1 это 160-битовая хэш-функция, основанная на алгоритме MD4. Наличие общего предшественника делает SHA-1 схожей с MD5, однако SHA-1 обладает более консервативной структурой и работает в 3 раза медленнее. В алгоритме используется 160-битовое промежуточное состояние, которое разбивается на 5*32-битовых слов. Как и в MD5 выполняются 4 раунда, но вместо обработки каждого блока сообщения по 4 раза, используется линейная рекуррентная функция для того, наличие которой гарантирует, что каждый бит сообщения используется по меньшей мере 10 раз. Единственным отличием SHA-1 от SHA-0 стало добавление к линейной рекуррунтной функции циклического сдвига на один бит.

Существуют SHA-256, SHA-384, SHA-512. Функция SHA-256 (выдает 256-битовый результат) работает намного медленнее, чем SHA-1 и занимает примерно такое же время, как и AES-шифрование.

Отечественный стандарт для хэш-функций — ГОСТ Р34.11—94; он используется совместно со стандартами ГОСТ Р34.10 — 94/2001 для ЭЦП.

Из западных алгоритмов для хэш-функций наиболее известен, например, ряд MD (Message Digest) 20899.

Хэш-функция ГОСТ 3411

Алгоритм ГОСТ 3411 является отечественным стандартом для хэш-функций. Его структура довольно сильно отличается от структуры алгоритмов SHA-1,2 или MD5, в основе которых лежит алгоритм MD4.

Длина хэш-кода, создаваемого алгоритмом ГОСТ 3411, равна 256 битам. Алгоритм разбивает сообщение на блоки, длина которых также равна 256 битам. Кроме того, параметром алгоритма является стартовый вектор хэширования Н - произвольное фиксированное значение длиной также 256 бит.

ПРИМЕНЕНИЕ ХЭШ-функций

Hаиболее типичный и повсеместно распространенный способ применения    криптографического хэширования - это проверка целостности сообщений.    Для простой проверки того, были ли внесены какие-то изменения или    искажения в файл на этапе доставки, достаточно сравнивать дайджесты, вычисляемые до и после передачи информации (или извлечения файла из    хранилища, или любого другого события). Другая, близко связанная с    первой область - цифровая подпись. Из соображений общей безопасности и   для существенного ускорения обработки подавляющее большинство алгоритмов цифровой подписи устроены так, что всегда "подписывается"    только хэш-сообщения, а не весь файл.

Еще одно важное приложение - верификация правильности пароля доступа.    Пароли обычно не хранят в открытом виде. Вместо этого в базе (например, SAM для Windows или etc/shadow для Linux) хранятся хэши паролей. Тогда система аутентификации, чтобы проверить подлинность    пользователя, хэширует представленный им пароль и сравнивает результат    со значением, хранящимся в базе дайджестов паролей.

Благодаря свойствам рандомизации, хеш-функции могут    использоваться в качестве генераторов псевдослучайных чисел, а    благодаря блочной структуре, они иногда выступают в качестве основы алгоритмов шифрования - блочных и поточных. Бывает и наоборот, когда блочный шифр становится основой криптопреобразования, применяемого в циклах хэш-функции (наш ГОСТ).

  Хеш-функции стали одним из важнейших элементов    современной криптографии. Они обеспечивают безопасность в повсеместно    применяемом протоколе защищенных Internet-соединений SSL. Они помогают организовывать эффективное управление ключами в защищенной электронной почте и в программах шифрования телефонии, начиная от самых известных,  PGP или Skype. Что касается сетевой безопасности, то хэш-функции используются и в виртуальных частных сетях, и в защите системы доменных имен DNS, и для    подтверждения того, что автоматические обновления программ являются    подлинными. Внутри операционной системы хэш-функции, так или иначе,    задействованы практически во всех структурах, обеспечивающих безопасность. Иными словами, каждый раз, когда в компьютере или сети    происходит что-то, подразумевающее защиту информации, рано или поздно в действие непременно вступает хэш-функция.

Электронная подпись– параметр электронного документа отвечающий за его достоверность. Электронный документ, подписанный ЭЦП имеет юридически значимую силу, такую же, как и бумажный документ подписанный собственноручной подписью.

ЭЦП представляет собой уникальную последовательность символов, которая генерируется с помощью криптографического преобразования информации. Электронная подпись идентифицирует владельца сертификата ЭЦП, а также устанавливает отсутствие несанкционированных изменений информации в электронном документе.

Основные термины, применяемые при работе с электронной подписью:

Закрытый ключ – это некоторая информация длиной 256 бит, хранится в недоступном другим лицам месте на дискете, смарт-карте, touch memory. Работает закрытый ключ только в паре с открытым ключом.

Открытый ключ - используется для проверки ЭЦП получаемых документов-файлов технически это некоторая информация длиной 1024 бита. Открытый ключ работает только в паре с закрытым ключом. На открытый ключ выдается сертификат, который автоматически передается вместе с Вашим письмом, подписанным ЭЦП. Вы должен обеспечить наличие своего открытого ключа у всех, с кем Вы собирается обмениваться подписанными документами. Вы также можете удостовериться о личности, подписавшей электронной подписью документ, который Вы получили, просмотрев его сертификат. Дубликат открытого ключа направляется в Удостоверяющий Центр, где создана библиотека открытых ключей ЭЦП. В библиотеке Удостоверяющего Центра обеспечивается регистрация и надежное хранение открытых ключей во избежание попыток подделки или внесения искажений.

  1. Биометрические системы защиты информационных систем и ресурсов

Аутентификация на основе биометрических параметров

Био­ме­т­ри­че­с­кие ме­то­ды иден­ти­фи­ка­циисчитаются наи­бо­лее на­де­ж­ны­ми. В этом случае лич­ность пользователя системы иден­ти­фи­ци­ру­ет­ся по биометрическим параметрам или признакам (от­пе­чат­кам паль­цев, фор­ме ла­до­ни, сет­чат­ке гла­за, под­пи­си, го­ло­су и др. ха­ра­к­те­ри­сти­кам )

В соответствии с глоссарием, который создается в рамках проекта биометрического стандарта ISO/IEC, биометрическим параметром является измеряемая физическая характеристика или поведенческая черта, используемая для распознавания человека, его идентификации или проверки, является ли он тем, кем себя заявляет.

К настоящему моменту разработано множество технологий, использующих для идентификации биометрические параметры, которые хорошо и регулярно воспроизводятся, а также мало или совсем не изменяются.

Выделяют физиологическую и поведенческую группы биометрических параметров.

К первой относятся прежде всего: папиллярные узоры отпечатков пальцев;форма руки и расположение в ней кровеносных сосудов; рисунок радужной оболочки глаза; узор кровеносных сосудов в глазу; голос; изображение и термограмма лица; ДНК.

К поведенческой группе относятся, в частности, вид и характер написания подписи или кодового слова, а также манера работы с клавиатурой. Следует отметить, что классификация эта достаточно условна; скажем, параметр «голос» носит отчасти поведенческий характер.

Cогласно мировой статистике, безусловным лидером на рынке биометрических решений является технология распознавания отпечатков пальцев.

Общие принципы построения биометрических систем динамической идентификации/аутентификации

Динамические системы биометрической идентификации/аутентификации (БСИ) личности основаны на использовании в качестве признаков некоторых динамических параметров и характеристик личности (походка, рукописный и клавиатурный почерки, речь).

Биометрические системы, построенные на анализе индивидуальных особенностей динамики движений, имеют много общего. Это позволяет использовать одну обобщенную схему для описания всех биометрических систем этого класса, которая приведена на рис. 1.1. и отражает основные этапы обработки информации.

По особенностям динамики движений

Первым этапом обработки является преобразование неэлектрических величин (координат конца пера, звукового давления, положения рук) в электрические сигналы. Далее эти сигналы оцифровываются и вводятся в процессор, осуществляющий программную обработку данных. При программной обработке выполняется масштабирование амплитуд входных сигналов, приводящее их к некоторому эталонному значению. Кроме того, осуществляется приведение сигналов к единому масштабу времени, дробление сигналов на отдельные фрагменты с последующим сдвигом фрагментов сигнала до оптимального совмещения с эталонным расположением.

Перспективы использования биометрических систем.В настоящее время все большее внимание уделяется развитию и совершенствованию технологий, использующих в качестве биометрического параметра отпечатки пальцев и рисунок радужной оболочки как наиболее перспективные в смысле минимизации ошибок распознавания и хорошо проработанные методы. Вместе с тем голос и лицо человека впредь также будут использоваться для идентификации.

Биометрическая система

Биометрическая система— это автоматическая система, способная:

  • получить биометрический образец (скажем, отпечаток пальца) от человека;

  • извлечь из него биометрические данные (например, особые точки и их параметры);

  • сравнить эти данные с одним или несколькими образцами такого же типа, хранящимися в базе данных;

  • определить, насколько хорошо совпадают предъявленные данные с соответствующими данными из базы;

  • сделать заключение о том, удалось ли идентифицировать человека по предъявленным данным или подтвердить (проверить), что он является именно тем, за кого себя выдает.

Все надежные биометрические системы являются комбинированными, т е используют в качестве параметров авторизации совокупность биометрических признаков. Они характеризуются высоким уровнем безопасности, т к данные, используемые в них не могут быть утеряны пользователем, похищены или все одновременно подделаны. В силу принципа деймтвия биом системы отличаются относительно низкими порогами быстродействия и пропускной способности. Тем не менее они представляют собой единственное решение проблемы контроля доступа на особо важных объектах с малочисленным персоналом. Например, ядерные-объекты, хранилища банков, предприятия по обработке драгоценных металлов. 85% установленных в США средств биометрического контроля доступа предназначаются для защиты машинных залов суперЭВМ, хранилищ ценностей, исследовательских центров, военных установок, тюремных учреждений.

ОЦЕНКА КАЧЕСТВА Биометрических систем

Работа биометрической системы идентификации пользователя (БСИ) описывается техническими и ценовыми параметрами. Качество работы БСИ характеризуется процентом ошибок при прохождении процедуры допуска. В БСИ различают ошибки трех видов:

  • FRR (False Rejection Rate) ошибка первого рода- вероятность принять "своего" за "чужого". Обычно в коммерческих системах эта ошибка выбирается равной примерно 0,01, поскольку считается, что, разрешив несколько касаний для "своих", можно искусственным способом улучшить эту ошибку. В ряде случаев (скажем, при большом потоке, чтобы не создавать очередей) требуется улучшение FRR до 0,001-0,0001. В системах, присутствующих на рынке, FRR обычно находится в диапазоне 0,025-0,01.

  • FAR (False Acceptance Rate) ошибка второго рода - вероятность принять "чужого" за "своего". В представленных на рынке системах эта ошибка колеблется в основном от 10-3 до 10-6, хотя есть решения и с FAR = 10-9. Чем больше данная ошибка, тем грубее работает система и тем вероятнее проникновение "чужого"; поэтому в системах с большим числом пользователей или транзакций следует ориентироваться на малые значения FAR.

  • EER (Equal Error Rates)– равная вероятность (норма) ошибок первого и второго рода.

Биометрические технологии основаны на биометрии, измерении уникальных характеристик отдельно взятого человека. Это могут быть как уникальные признаки, полученные им с рождения, например: ДНК, отпечатки пальцев, радужная оболочка глаза; так и характеристики, приобретённые со временем или же способные меняться с возрастом или внешним воздействием, например: почерк, голос или походка.

Все биометрические системы работают практически по одинаковой схеме. Во-первых, система запоминает образец биометрической характеристики (это и называется процессом записи). Во время записи некоторые биометрические системы могут попросить сделать несколько образцов для того, чтобы составить наиболее точное изображение биометрической характеристики. Затем полученная информация обрабатывается и преобразовывается в математический код. Кроме того, система может попросить произвести ещё некоторые действия для того, чтобы «приписать» биометрический образец к определённому человеку. Например, персональный идентификационный номер (PIN) прикрепляется к определённому образцу, либо смарт-карта, содержащая образец, вставляется в считывающее устройство. В таком случае, снова делается образец биометрической характеристики и сравнивается с представленным образцом. Идентификация по любой биометрической системе проходит четыре стадии:

  • Запись – физический или поведенческий образец запоминается системой;

  • Выделение – уникальная информация выносится из образца и составляется биометрический образец;

  • Сравнение – сохраненный образец сравнивается с представленным;

  • Совпадение/несовпадение - система решает, совпадают ли биометрические образцы, и выносит решение.

Подавляющее большинство людей считают, что в памяти компьютера хранится образец отпечатка пальца, голоса человека или картинка радужной оболочки его глаза. Но на самом деле в большинстве современных систем это не так. В специальной базе данных хранится цифровой код длиной до 1000 бит, который ассоциируется с конкретным человеком, имеющим право доступа. Сканер или любое другое устройство, используемое в системе, считывает определённый биологический параметр человека. Далее он обрабатывает полученное изображение или звук, преобразовывая их в цифровой код. Именно этот ключ и сравнивается с содержимым специальной базы данных для идентификации личности [19].

Преимущества биометрической идентификации состоит в том, что биометрическая защита дает больший эффект по сравнению, например, с использованием паролей, смарт-карт, PIN-кодов, жетонов или технологии инфраструктуры открытых ключей. Это объясняется возможностью биометрии идентифицировать не устройство, но человека.

Обычные методы защиты чреваты потерей или кражей информации, которая становится открытой для незаконных пользователей. Исключительный биометрический идентификатор, например, отпечатки пальцев, является ключом, не подлежащим потере [18].

Соседние файлы в папке ГОСЫ 2015