بخشی از مقاله
چکیده
در حالی که فن آوری بیومتریک در حال حاضر در دسترس است و در انواع برنامه ها مورد استفاده قرار می گیرد هنوز این سوال درباره اثربخشی و تاثیر فن آوری های بیومتریک در برنامه هایی با مقیاس بالا باقی است. دسترسی به مدیریت خطر می تواند در تعیین نیاز و استفاده از بیومتریک ها در سیستم های امنیتی بسیار موثر باشند. علاوه بر آن در تصمیم به استفاده از بیومتریک لازم است که هزینه ها ومنافع چنین سیستمی واثر بالقوه آن در راحتی وحریم خصوصی مورد توجه قرار می گیرد.
.1 مقدمه
وقتی از فن آوری های بیومتریک برای شناسایی اشخاص استفاده می شود،آنها می توانند شخصیت های فیزیولوژیکی و رفتاری انسانی را اندازه گیری کنند ومورد بررسی قرار دهند.شناسایی شخصیت فیزیولوژیکی یک شخص، بر اساس اندازه گیری مستقیم اعضای بدن ،اثرانگشت ،شکل دست،شکل صورت،شبکیه چشم و عنبیه و دیگر روشهای موجود صورت می گیرد.
شناسایی رفتاری شخصیت ها براساس اطلاعات به دست آماده اقدام ها و اعمالی همچون صحبت کردن و اعضا است. برخلاف روشهای شناسایی قراردادی که از فاکتور های تصدیق هویتی که کاربران دارند همچون کارت شناسایی برای وارد شدن به یک ساختمان و یا مواردی همچون رمزی برای کامپیوترها استفاده می کنند، بیومتریک مختص خصوصیت و ویژگی های که کاربران دارند،این ویژگی ها بیشتر قابل اعتمادند،فراموش نمی شوند وبه سختی گم ویا دزدیده می شوند واحتمال حدس زدن آنها نیزکم است.
.2 کارهای مرتبط
در [1] نگارنده در ابتدا به بررسی روش های مختلف بیومتریک پرداخته است، با توجه به اینکه استفاده از یک روش بیومتریک ممکن است دارای محدودیت هایی باشد نویسنده در ادامه روشی ارائه داده است که بتوان از روش های جایگزین دیگری استفاده نمود. در[2] نویسنده در ابتدا تاریخچه ای از استاندارد های سیستم های بیومتریک آورده است در ادامه استاندارد ISOs SC3 7 را مورد تجزیه و تحلیل قرار داده است. در [3] نویسنده سیستم های مختلف فناوری اطلاعات را از نقطه نظر قابلیت اعتماد برای استفاده در سیستم های امنیتی مورد بررسی قرار داده است . در[4-6] الگوریتم های مختلفی برای استفاده از سیستم های بیومتریک در امنیت سازمان ها مورد بررسی قرار گرفته شده است.
.3 مدیریت خطرات استراتژیک موثر
رویکرد امنیت خوب اساسا بدون توجه به دارایی ها، چه سیستمهای حفاظت اطلاعات، چه حفاظت ساختمانها ویا امنیت داخلی یک کشور به طور مشابه به حال حفاظت می باشند. این اصول را می توان به پنج مرحله شکل شماره 1 که به تعیین پاسخ به پنج سوال اساسی کمک کرده اند کاهش داد.
شکل شماره1 پنج مرحله در فرایند مدیریت ریسک
-1 شناسایی دارایی های مورد حفاظت
اولین مرحله در مدیریت خطر تعیین دارایی هاست که بایستی حفاظت شده وتاثیر بالقوه از دست آنها را باید تعیین کنیم.
-2 شناسایی تهدید کنندگان
دومین مرحله شناسایی وتشخیص تهدیدات این دارایی ها است قصد و توانایی یک دشمن معیار های اصلی برای ایجاد میزان تهدیدات نسبت به این دارایی ها هستند.
-3 شناسایی نقاط آسیب پذیر
مرحله سوم شامل شناسایی و تشخیص آسیب هایی است که ممکن است به تهدیدات مشخص به منظور تحقق یافتن اجازه داده شود. به عبارت دیگر چه ضعفهایی به یک روزنه امنیتی اجازه می دهند.
-4 شناسایی اولویت ها
در مرحله چهارم ،خطر باید ارزیابی شده و اولویت ها جهت دارایی باید تعیین شوند. ارزیابی خطر بررسی پتانسیل برای از دست دادن یا آسیب زدن به یک دارایی است.سطوح خطر باارزیابی تاثیر از دست دادن یا آسیب پذیریها برپا می شوند.
-5 چه کارهایی می توان انجام داد ؟
گام نهایی شناسایی اقدامات متقابل جهت کاهش یا حذف خطرات است. در انجام این مزایا و منافع این اقدامات متقابل نیز بایستی در مقابل معایب وهزینه ها ارزیابی شوند .
.4 کنترل ملاحظات و مدیریت ریسک های سیستم های بیومتریک
فن آوری های بیومتریک خطرات منحصر به فرد را ارائه می دهند و نیازمند مدیریتی با مجوز یک سازمان در دستیابی به یک بازده قابل قبول در سرمایه گذاری آن هستند.سازمان - مدیران و حسابرسی - در هنگام ارزیابی باید کنترل های زیر را که شامل:طراحی- اجرا - نگهداری وحسابرسی سیستم های بیومتریک هستند را مد نظر داشته باشند.
4,1 سوء استفاده از اطلاعات بیومتریک از نقطه نظر اجتماعی و کسب وکار
انطباق قوانین خصوصی در سرتا سر جهان نیازمند یک تعیین فوری از قوانین قابل اجرا با استفاده از اطلاعات بیومتریک می باشد
4,2 تقلب مثبت ومنفی
سازمانها باید تاثیر گذاری را از نقطه نظر عملیاتی واعتباری ارائه شده توسط سوء استفاده از کنترلهای بیومتریک را مد نظر داشته باشند. تقلب منفی می تواند مانع تولید شود چون افراد معتبر از ارزیابی سیستم ممکن ممانعت بعمل آورند. تقلب مثبت می تواند فرصتی را برای دسترسی غیر مجاز به اطلاعات وسیستمهای حفاظت شده توسط کنترل بیومتریک ایجاد کند.
4,3 کنترل فیزیکی و منطقی بر روی دسترسی به داده های بیومتریک
محل ذخیره سازی بیومتریک به عنوان یک نقطه کلیدی در توجه به کنترل ها در نظر گرفته شده است. سازمان باید اطمینان حاصل کند که نمایندگی برجسته دیجیتال بیومتریک به عنوان اطلاعات است در طول انتقال، صرف نظر از اینکه آن را در مرکز ذخیره می کند یا در یک کامپیوتر یا در یک کارت هوشمند یا دیگر دستگاه ها تحت کنترل هستند.
4,4 امنیت برنامه ها و پایگاه اطلاعاتی کامپیوترهای میزبان
سازمان باید کنترل دسترسی و تنظیمات کامپیوترهای اساسی، شبکه های میزبان و امور بررسی قرار دهد و کانال های ارتباطی برای کنترل های مورد استفاده بیومتریک را فراهم کنند. سازمان همچنین باید اطمینان دهد که کامپیوترها خطوط شبکه و تجهیزات ودیگر تجهیزات مورد استفاده در فرآیند احراز هویت امن شده اند و حال تحت نظارت یک سازمان جهت اطمینان بخشی به آنان می باشد.
4,5 اثرات حسابرسی
اثرات حسابرسی مناسب در حصول اطمینان از استفاده مناسب، نگه داری و کنترل سیستم های بیومتریک فردی می باشد. سیستم های بیومتریک اثرات حسابرسی باید برای تمام معاملات مورد استفاده در روند بیومتریک وجود داشته و باید مکانیسم ردیابی کاربران و فعالیت های آنها را فراهم کند. اثرات حسابرسی باید نسخه های پشتیبان و اطمینان داده به برنامه های خارج از سیاست و اطمینان و در دسترس بودن آنها را حمایت کند.