2022年9月26日 星期一

· 使用生物辨識技術保護關鍵任務基礎設施

生物特徵認證技術和生物特徵數據的安全性如何? 



SECURITYINFOWATCH

商業財產應考慮在門禁控制策略中,從生物辨識開始


當今一流的生物辨識身份解決方案使用數位化、加密的簽名,這些簽名具有獨特的物理特徵,如臉部建構、虹膜圖案、手掌靜脈圖案或指紋漩渦。


德克薩斯州全州電網崩潰,和殖民天然氣管道的勒索軟體關閉,是最近影響數百萬美國人的許多廣為人知的關鍵基礎設施,故障中的兩起。雖然很少被談論,但保持我們國家商業建築營運的關鍵基礎設施系統同樣脆弱。

當租戶簽署租約時,他們相信建築管理層將不間斷地提供電力、供暖、通風、資料通訊和清潔水等資源。這些系統是關鍵任務的。他們的故障可能會暫時關閉設施,給佔用租戶帶來不便和經濟損失。在某些情況下,影響可能是災難性的。

保護基本系統免受篡改或直接攻擊,需要最高水準的安全。必須嚴格監管和監控裝置的實體訪問。因此,網路訪問設施和系統管理軟體也必須如此。

隨著越來越頻繁,開發人員和物業管理團隊,正在轉向生物辨識技術來保護這些資產。透過將生物辨識身份系統分層在現有技術之上,建築經理可以實施越來越難以滲透的多因素身份驗證解決方案。


誰持有資料?

當今一流的生物辨識身份解決方案,使用數位化、加密的簽名,這些簽名具有獨特的實體特徵,如臉部建構、虹膜圖案、手掌靜脈圖案或指紋漩渦。這些「雜湊」以隨機數位字串表示,不能用於反向工程記錄特徵的傳真。然而,由於公眾對儲存個人身份資訊(PII)的擔憂,已成為一個熱點問題,一些建築管理團隊更願意不負責儲存註冊使用者的生物辨識資料。 

然而,生物辨識身份解決方案仍然是一種選擇。在分散式資料模型中,生物辨識技術僅儲存在每個使用者的訪問控制卡上。今天的 13.56 MHZ 智慧卡具有專為此類應用程式設計的可寫程式記憶體。當用戶透過入口檢查站時,他們的生物辨識簽名必須與卡片上的內容相吻合。該卡對合法所有者以外的任何人都不起作用,使被盜、丟失或借來的卡變得毫無用處。

歐盟的新生物辨識身份證使用這種系統。這些卡片具有嵌入式晶片,其中包含加密的生物辨識資料,包括兩個指紋。然而,沒有所有指紋所在的中央歐盟資料庫。這項政策有助於建立公眾對系統的信任,並抑制了公民的擔憂,他們可能會認為強制提交指紋是侵犯隱私。個人保留對其資料的專屬權。

相比之下,一些商業屬性的設施管理團隊,選擇儲存使用者的生物辨識資料,因為這樣做可以為使用者和系統管理員提供方便。儲存的生物辨識資料允許使用者無卡,無需攜帶任何實體或行動憑證。他們的身體成為他們的門禁卡。安裝在接入點的生物辨識讀取器辨識每個使用者,與門禁控制解決方案通訊,並根據該人的許可權允許或拒絕進入。當然,如果它們不在資料庫中,則拒絕輸入。為了增強安全性,雙重身份驗證可以利用兩種生物辨識模式。例如,該系統可能需要虹膜和臉部或臉部和手掌的吻合比對。根據解決方案,單個讀取器可能能夠處理多個模式。

對於管理員來說,儲存的資料庫提供了一次性註冊過程的優勢。一旦在系統中註冊,使用者就再也不需要註冊了。除了臉部 —— 隨著年齡的增長而逐漸變化 —— 生物特徵,特別是虹膜,隨著時間的推移保持不變。相比之下,在分散式模型中,如果員工丟失了門禁卡,他們必須提交新的生物辨識資料以包含在替換卡上。

當根據最佳實踐實施時,生物辨識資料庫不會儲存與每個生物辨識簽名關聯的單個名稱 —— 只是一個使用者 ID 程式。這為已經高度安全的解決方案提供了額外的安全層。 如果資料庫被破壞,不良行為者就無法將生物辨識與特定個人聯絡起來。為了使建築管理實際使用資料,生物辨識資料庫透過 Active Directory 連結到其他系統,如門禁控制。結果是無縫和準確的自動身份驗證。

生物辨識技術應該佈署在哪裡?

生物辨識身份解決方案非常有效,以至於國土安全部建議它們成為任何訪問聯邦政府地點的多因素認證系統的一部分。[ 1]雖然對非政府建築沒有此類要求,但所有建築物中都有類似的安全級別。這些包括鍋爐房、系統前端、電信中心、公用事業壁櫥、資料中心和其他提供關鍵基礎設施訪問的區域。這些位置通常已經由電子門禁控制系統保護。也可能有監控攝影機。如果是這樣,這些攝影機可以起到執行臉部辨識(FR)的次要功能。 許多領先的攝影機製造商與第三方 FR 軟體整合,或提供面部分析作為邊緣解決方案。對於其他方式,除了或代替讀卡器外,還可以安裝在任何門口安裝專業讀卡器。

進入這些安全區域的維修和維護技術人員,通常不是現場員工。今天的生物辨識身份解決方案,提供了訪問者管理工具,透過預註冊、自我註冊過程,可以輕鬆向此類工人頒發臨時生物辨識證書。分配到特定工作地點的工人,可以使用手機提供臉部影像、帶照片的身份證(如駕駛執照),並完成線上問卷。現場的管理員審查和批准工人,並向他們的手機發放臨時證書。 到達大樓後,工人必須出示行動通行證和臉部比對,才能訪問關鍵的基礎設施系統。雙重身份驗證與生物辨識相結合,可以防止冒名頂替者到達現場,冒充經批准的、經過審查的技術人員。

當然,如果不解決網路安全問題,任何關於保護基礎設施的對話都是不完整的。控制資料中心的實體門禁可以透過生物辨識技術完成;IT 部門可以應用相同的技術來控制對網路的邏輯訪問。

傳統上,最敏感的網路管理許可權僅授予在資料中心內實際工作的員工。 疫情導致其中一些員工需要遠端工作,以及驗證和驗證其身份的故障安全方法。將生物辨識與密碼相結合,無論身在何處,網路都可以在每個使用者坐在電腦前時驗證他們的身份。 利用電腦的嵌入式攝影機或連線加密的生物辨識讀卡器來驗證使用者的臉部或虹膜,使用者的身份可以反覆與他們註冊的生物辨識資料比對。如果有人在顯示器前更換或加入它們,應用程式或電腦將立即關閉。

除了增強安全性外,該解決方案還可以為持有多個不同股份的管理公司提供規模經濟。集中的關鍵 IT 支援團隊可以為屬性組合提供遠端維護和系統更新。生物辨識身份解決方案,結合零信任架構和電腦隱私螢幕等其他技術,消除了現場工作和遠端工作的安全影響之間的任何區別。

 邁向更廣泛採用的關鍵第一步

商業房地產即將大規模採用生物辨識技術。它的使用需要每個將使用該系統的人的認可 —— 這是許多不同利益相關者的多租戶房產的挑戰。然而,生物辨識技術的安裝和啟動成本挑戰,遠遠超過了安全關鍵基礎設施的長期效益。建築管理層有權力和責任不惜一切代價確保其資產安全。實施生物辨識身份解決方案是開始的地方。

[1] https://csrc.nist.gov/publications/detail/sp/800-76/2/final


關於作者:普林斯頓身份執行長/創始人鮑比·瓦爾馬。她是一位有成就的高階經理,對技術有很強的親和力,對應用新興產品以增加價值、擴大市場和發展策略伙伴關係有敏銳的商業意識。她對科學概念有紮實的瞭解,並證明有能力將這些概念轉化為重要的商業機會。她此前曾與 SRI International 和 Sarnoff Corporation 合作,擔任業務發展總監。Bobby 在德雷克塞爾大學完成了生物醫學科學/工程碩士學位。



沒有留言:

張貼留言