生物识别：并非完美但行之有效

在计算机安全领域，生物识别技术指的是依靠可被自动检查的物理特征进行身份验证的技术。目前，常见的生物识别方法有如下几种类型：1.对人的面部特征的分析;2.对个人独特指纹的分析;3.对人手形状和手指长度的分析;4.对位于眼睛后部的毛细血管的分析;5.对个人签名方式的分析;6. 对个人的语音语调、音高、节奏和频率的分析。当然，随着技术的发展，还会出现其它的生物识别方法。

如今，从数据中心到高端的消费品(如新型智能手机)，生物识别技术的使用都非常广泛。虽然这不是什么新技术，但许多企业要求数据中心的管理员们实施这种技术，目的是为企业增加另外一层安全。

但是，如同其它安全技术一样，这种方法也并非灵丹妙药。决策者和管理者在实施这种时髦的技术之前，还需要做好自己的功课。与实施其它技术一样，三思而后行方为万全之策。

选择与成本

纯粹的生物识别方法，如视网膜扫描和指纹识别码，未必是最佳选择。建议企业首先看一下使用案例，并确保生物识别是确实是企业所需要的。实践证明：RFID(射频识别)卡等可以很好的构建访问控制，所以企业应当认真考虑这种方案。

生物识别技术的最佳使用是在限制访问的那些地方，一般来说就是那些仅允许少量雇员进入的地方。一般情况下，员工使用RFID卡或类似的设备进入大楼，而生物识别设备被用于限制进入更小的区域。这种做法可以减少使用生物识别设备的雇员数量，从而控制了成本。

对于生物识别技术，就像对于购买任何其它的IT设备或服务一样，企业需要考虑真正的总成本。当然，企业可能考虑到了设备及安装的成本，但是否考虑到其它变量呢?企业真得考虑到了总拥有成本了吗?

生物识别技术的隐性成本还包括：处理错误读取率、解决设备故障的时间。管理成本也常被企业忽视，其中包括在部署和采用过程中的成本，以及需要保障数据安全的过程，等等。所以，管理者必须全面思考成本问题。

评估风险

生物识别技术听起来很酷，但并非完美。要记住，人的指纹几乎无处不在。一台并不太贵的指纹机就可能被欺骗：例如只需使用一些调和胶和真实指纹的复制品(副本)即可骗过这种指纹机。

也许有人觉得用指纹识别解开自己的手机显得很酷，但如果用它登录进入关键业务的云账户可行吗?通过指纹识别进入账户进行网上购物可行吗?答案是不太安全，原因在于指纹识别目前仍存在不少漏洞。

如同其它技术一样，企业对于生物识别技术也要考虑到风险与收益的问题。其主要的好处是对终端用户非常方便。当下，人们为了访问不同的账户或资源，需要记住易忘的大量口令，但唯一不能忘也不能忘的就是自己的手指或脸。所以，生物识别不仅可以使终端用户方便快捷，而且还省却了不少为解决用户遗忘口令问题而花费的时间。

但生物识别的最大问题却是出错问题，出错有可能导致将访问权拱手交给了非授权用户，还有可能出现“似非而是”的问题，即使合法用户无法通过验证。出错会造成较高的成本，而“似非而是”的错误会带来最大的风险。

各种生物识别技术所面临的风险也不同。面部识别可能存在困难，因为随着时间的推移，人的脸会变化。同时，视网膜或虹膜扫描也会带来严重的私密问题。许多传染性疾病以及怀孕等，甚至一些慢性的健康问题都可通过眼睛检测而获知，因而会带来许多私密问题。还有一个大问题是易用性。面部扫描和虹膜扫描都需要固定位置，给使用带来麻烦。如果考虑到风险问题，指纹扫描可能是最有意义的一种技术。

应用与实施

企业可以考虑将生物识别技术用于物理访问楼宇以及工作站的登录。当然，企业需要平衡潜在利益与实施生物识别方案的成本。如果企业环境中没有内置的生物识别功能，就需要在现有的设备上增加生物识别设备，这就需要考虑成本。将识别软件与其它软件和登录过程集成到一起，特别是在一个异构环境中时，集成尤其会成为一个重要问题。当然，还要考虑到长期支持此技术所要花费的成本。

但企业最终关注的是安全问题，而最安全的方法是“三管齐下”：即口令、刷卡、生物识别的结合应用。单纯地从口令方法转向生物识别方案未必更安全，但可以减少与管理和支持优质密码有关的问题(如经常性地有用户要求重置密码，等)。如果企业需要较高的安全水平，那么实施其中的两种安全措施可以有效地减轻风险，但可能会影响工作效率和访问。总之，这是一个需要平衡的问题。

生物识别的一个大问题是集成，这不仅是指与所有不同设备及其操作系统的集成，还涉及所有不同的系统。今天的终端用户为访问不同的系统需要记住很多口令，所以设法构建一种支持生物识别的单点登录的方法将是很受欢迎的。当然，终端用户是实施任何技术时的唯一最容易出问题的环节。所以，真正的关键就是终端用户的培训，以及在出现问题时能够得到快捷支持。

作者：赵长林

来源：51CTO