Các lỗ hổng mang tính thủ tục xung quanh quá trình thu nạp 1 Tổng quan

Một phần của tài liệu Tiêu chuẩn Quốc gia TCVN 11385:2016 (Trang 31 - 32)

8. Đánh giá lỗ hổng 1 Tổng quan

8.3.10. Các lỗ hổng mang tính thủ tục xung quanh quá trình thu nạp 1 Tổng quan

8.3.10.1. Tổng quan

Có ba trường hợp có liên quan đến lỗ hổng tiềm ẩn trong quá trình thu nạp.

- Đối tượng tấn công có thể thử để được thu nạp vào hệ thống sinh trắc học bằng việc đăng ký và thu nạp không thích hợp sử dụng giấy tờ danh tính sai (người khác) hoặc không có thật (hư cấu). Một cuộc tấn công như vậy, nếu thành công, sẽ cho phép đối tượng tấn công được công nhận bởi hệ thống sinh trắc học như là một người dùng khác trong tương lai. Đối tượng tấn công cũng có thể cố gắng để được thu nạp vào hệ thống sinh trắc học với một vật giả mạo để tạo ra một tham chiếu sinh trắc học sai (của người khác) hoặc không có thật (hư cấu). Một cuộc tấn công thành công trong trường hợp này sẽ cho phép đối tượng tấn công được công nhận bởi hệ thống sinh trắc học như là một người dùng khác trong tương lai. Các tham chiếu sinh trắc học kém chất lượng thường ảnh hưởng xấu đến các tỷ lệ lỗi liên quan đến an toàn (và tỷ lệ khác) dẫn đến các tỷ lệ lỗi cao hơn so với dự đoán của kiểm thử hiệu suất thống kê mô tả tại điều 7. Điều này sẽ không chỉ làm giảm mức đảm bảo an toàn cho việc xác minh hoặc nhận dạng hoạt động liên quan đến tham chiếu kém chất lượng; nếu đối tượng tấn công có thể định danh các cá thể với các tham chiếu kém chất lượng, các cá thể này có thể trởthành mục tiêu cho những lần thử mạo danh.

8.3.10.2. Đánh giá

Việc đánh giá lỗ hổng tiềm ẩn này sẽ tập trung vào ba trường hợp tương ứng với các điều trước đó: - Liệu quá trình thu nạp có được thực hiện trong một môi trường thích hợp và tất cả các cơ chế cần thiết được đưa ra để đảm bảo rằng người sử dụng sẽ được thu nạp bằng cách sử dụng ID đúng.

- Liệu hệ thống có chức năng phát hiện và từ chối vật giả mạo không.

- Liệu hệ thống có chức năng kiểm tra chất lượng trong thành phần Xử lý Tín hiệu hoặc chức năng để dự đoán tỷ lệ lỗi trong suốt quá trình thu nạp.

Có khả năng hệ thống sinh trắc học không thể giảm thiểu lỗ hổng này hoàn toàn bằng các phương tiện kỹ thuật. Vì vậy, đánh giá viên cần xác định và báo cáo những biện pháp kiểm soát chất lượng tham chiếu mà nhà cung cấp yêu cầu để thực hiện.

Một phần của tài liệu Tiêu chuẩn Quốc gia TCVN 11385:2016 (Trang 31 - 32)

Tải bản đầy đủ (PDF)

(42 trang)