امنیتدرتجارت الکترونیک (بخش دوم :کنترل دسترسی)

1- کنترل دسترسی 1-1- تکنیک های کنترل 1- کنترل دسترسی فیزیکی کنترل ورود افراد مجاز به محل های نگهداری اطلاعات ، محافظت از کابل ها ، جدا سازی محل کار بر حسب وظیفه ، تعیین قوانین و سیاست نامه ها ، انجام تمرین ، دوره های آموزش امنیت ، مانیتورینگ 2- کنترل مدیریتی 1- محدودیت دسترسی به Objectبه افراد مجاز 2- رمز نگاری اطلاعات 3- معماری شبکه(جداسازی کامپیوترها از شبکه هایی که نباید به آنها دسترسی داشته باشند ) 1-2-روش های کنترل استفاده از لایه های کنترلی برای جلوگیری از انواع حملات 1- تکنیک های پیشگیرانه : جلوگیری از رخداد یک تهدید ، عدم اجازه یک Subjectبه یک Object دسترسی محدود در بانک اطلاعاتی ) فنی ( ، رمز نگاری ) فنی ( ، آنتی ویروس ) فنی ( ، مشاهده Log سیستم 2- استراتژی آشکار سازی : هشدار وقوع حمله و تشخیص حمله کننده 3- تعیین تبعات حمله 4- تعمیر بعد از حمله 5- بازیابی بعد از حمله

-3-برچسب گذاری امنیتی گروه بندی Subject هاوObjectها Object( اطلاعات ) و Subject ( کاربران ) به پنج دسته تقسیم می شوند : 1-: Unclassified دسته بندی نشده مثل اطلاعیه های عمومی 2-Sensitive :اطلاعات حساس و خاص یک بخش که افشای آن خطری برای سازمان ایجاد نمی کند و حتی الامکان نباید منتشر شود 3-: Confidental اطلاعات محرمانه در سطح دپارتمان و نباید از دپارتمان خارج شود 4-: Secret اطلاعات محرمانه طبقه بندی شده در سطح دپارتمان و بعضی از اعضای دپارتمان نباید آنها را بدانند 5- : Top secret فقط مدیر ارشد سازمان کاربر سطح بالاتر میتواند اطلاعات سطح امنیتی پایین تر را ببیند کاربر سطح پایین تر می تواند اطلاعات سطح بالاتر تولید کند برچسب امنیتی در سیستم های تجاری : 1- عمومی 2- حساس 3- خصوصی 4- محرمانه) ( مالکیت های0معنوی ( 1-4-انواع مدلهای کنترل دسترسی • کنترل دسترسی اختیاری DAC: Discretionary Access Control • کنترل دسترسی اجباری MAC: Mandatory Access Control • کنترل دسترسی مبتنی بر هویت IBAC: Identity-Based Access Control • کنترل دسترسی مبتنی بر سیاست PBAC: Police-Based Access Control • کنترل دسترسی مبتنی بر نقش RBAC: Role-Based Access Control • کنترل دسترسی مبتنی بر شبکه بندی LBAC: Lattice Based Access Control • کنترل دسترسی مبتنی بر تیم TBAC: Team-Based Access Control • کنترل دسترسی مبتنی بر وظیفه TBAC: Task-Based Access Control • کنترل دسترسی مبتنی بر اتحاد CBAC: Coalition-based access control • کنترل دسترسی مبتنی بر مشخصه ABAC: Attribute-Based Access Control احراز هویت و تایید هویت و سپس کنترل دسترسی 1-4-1-Discretionary یا DACیا احتیاطی( بر اساس صلاحدید و تشخیص مالک Object) جدول منبع-کاربر تشکیل می شود و به هر کاربر به طور جداگانه مجوز دسترسی به یک منبع داده می شود. Object1 Object2 Object3 User1 Yes No No User2 Yes Yes Yes User3 No No Yes User4 No Yes Yes مثل File Premission برای گروههای مختلف برای حذف ، اصلاح و ... الف – وابسته به Identify ب- مالک سطح دسترسی کاربران به داده ها را تعیین می کند ج- دسترسیهای معمول در سیستم های تجاری ویژگی ها : ماهیت غیر متمرکز مبتنی بر UserIDکاربران و توسط مالک اجازه دسترسی صادر می شود. 1-4-2-Fixed یا MAC یا Mandatory : بر اساس یک نقش مشخص و سیاست امنیتی هدف گذاری شده توسط مدیر سازمان به صورت قواعد یکپارچه تعریف می شود و مفهوم Objectو Subject نداریم. هر منبع یا کاربر یک برچسب امنیتی دارد و اجازه امنیتی کاربر بر اساس برچسب امنیتی Objectیا داده صادر می شود. • سطوح امنیت در سیستم تعریف می شود (مانند بدون محرمانه, محرمانه, خیلی محرمانه و ...). • به هر منبع و کاربر یک سطح امنیت اختصاص داده می شود. Level1 Level2 Level3 User1 * User2 * Object1 * Object2 * Object3 * • کاربران مجوز دسترسی به منابع با سطوح امنیت پایین تر از خود را دارند. . ویژگی ها: متمرکز و ثابت ، کاملا منعطف 1-4-3-: NanDiscretionary یا غیر احتیاطی 1-Role Based :(وظیفه ) : سطح دسترسی بر اساس وظیفه کاربر  یکسری نقش بر اساس ساختار سیستم تعریف می شود.  به هر کاربر یک یا چند نقش اختصاص داده می شود.  به هر نقش مجوز دسترسی به یک یا چند منبع اختصاص داده می شود. تغییرات کاربران خیلی بیشتر از نقش ها است 2-) Lattice Based شبکه بندی :( سطح دسترسی بر اساس برچسب امنیتی ، ترکیب قواعد و قوانین با وظایف کاربران = Role Base + Rule Based = Discretionary سطح دسترسی فایلها سیستم عامل یونیکس مدلهای کنترل دسترسی با تکیه بر روابط ریاضی به خوبی می توانند در پیاده سازی امنیت در سیستم های کامپیوتری و از جمله کاربردهای مبتنی بر وب مفید واقع شوند و با حجیم شدن سیستم, پیچیدگیهای امنیتی را زیر پوشش قرار دهند. 1-5-تشخیص و تصدیق هویت 1-: Identify شناسایی هویت کاربر 2-: Authenticate تصدیق ادعای کاربر 1-5-1- انواع Authentication 1- چی میدونی ( کلمه عبور ) ؟ 2- چی داری ؟ ) کارت هوشمند) 3- چی هستی ؟ ) : ویژگی های بیومتریک ( 1-5-2- انواع روشهای تصدیق هویت نوع یک : استفاده از شناسه نوع دو : استفاده از شناسه و کلمه عبور نوع سه : استفاده از مشخصات بیولوژیکی 1-5-3-کارت هوشمند کارت هوشمند (که با نام‌های «کارت چیپ‌دار» یا «کارت با مدار مجتمع» هم شناخته می‌شود) کارتی است که بر روی آن مدار مجتمع نصب شده‌است. از این نوع کارت می‌توان به‌جای کارت اعتباری و کارت پول یا در سیستم‌های امنیتی کامپیوتری، سیستم‌های تشخیص هویت و بسیاری موارد دیگر استفاده کرد. کارت‌های هوشمند از نظر اندازه و شکل ظاهری، شبیه به کارتهای اعتباری معمولی هستند. گونه‌های مهم کارت هوشمند عبارتند : 1- کارت هوشمند باتماس (Smart Cards) کارت‌های هوشمند از نظر اندازه و شکل ظاهری، شبیه به کارتهای مغناطیسی معمولی هستند. ولی درون این کارت‌ها کاملا با کارت‌های معمولی متفاوت است. کارت‌های مغناطیسی معمولی یک تکه پلاستیک ساده هستند با یک نوار مغناطیسی؛ در حالی که کارت‌های هوشمند درون خود یک ریز پردازنده دارند این ریزردازنده چون بیش از اندازه کوچک است با تکنولوژی خاصی کشت می‌شود (تبدیل یک ترانزیستور اندازه یک نخود به سایزی معادل کوچک‌تر از نوک سوزن). ریزپردازنده معمولاً در زیر یک اتصال طلایی در یک طرف کارت قرار دارد. این ریز پردازنده در کارت‌های هوشمند در حقیقت جایگزین نوار مغناطیسی در کارت‌های معمولی شده‌است. اطلاعاتی را که روی نوار مغناطیسی کارت‌های معمولی وجود دارد می‌توان به راحتی خواند، روی آن نوشت، آن را حذف کرد و یا تغییر داد. به علت وجود همین مشکل نوار مغناطیسی محل خوبی برای نگهداری اطلاعات نیست. به همین دلیل هم برای استفاده از چنین کارت‌هایی نیاز به طراحی شبکه‌های کامپیوتری گسترده، برای تایید صحت و دریافت و پردازش اطلاعات وجود دارد. کارت هوشمند بدون نیاز به چنین امکاناتی به دلیل امنیت خود می‌تواند اطلاعات را در خود ذخیره کرده تا در صورت لزوم در محل‌های مختلف بتوان از این اطلاعات بدون نیاز به اتصال به شبکه استفاده کرد. ریز پردازنده در کارت هوشمند برای امنیت مورد استفاده قرار می‌گیرد. در واقع کارت هوشمند یک کامپیوتر کوچک است که با کامپیوتری که به دستگاه کارت خوان متصل است ارتباط برقرار می‌کند. تا ریزپردازنده کارت، از معتبر بودن دسترسی به کارت مطمئن نشود، به کارت خوان اجازه دسترسی نمی‌دهد. پس از صدور مجوز دسترسی، کارت خوان می‌تواند همانند یک دیسک با کارت که دارای یک Ram است کار کند؛ اطلاعات را خوانده، پردازش و تغییر دهید. کارت‌های هوشمند می‌توانند تا ۸ کلیو بایت Ram (حافظه با دسترسی تصادفی برای خواندن و نوشتن اطلاعات)، ۳۶۴ کیلو بایت ROM (حافظه فقط خواندنی)، ۲۵۶ کیلوبایت PROM (حافظه فقط خواندنی قابل برنامه ریزی) و یک ریزپردازنده ۱۶ بیتی داشته باشند. کارت هشمند همچنین از یک واسط سریال برای نقل و انتقال اطلاعات استفاده کرده و انرژی خود را هم از یک منبع بیرونی (مثلاً دستگاه کارت خوان) تامین می‌کند. ریز پردازنده هم برای انجام یک مجموعه عملیات محدود همانند رمزنگاری مورد استفاده قرار می‌گیرد. کارت‌های هوشمند می‌توانند برای کارت‌های اعتباری، کارت پول‌ها، سیستم‌های امنیتی کامپیوتری، سیستم‌های تشخیص هویت دولتی و بسیاری موارد دیگر مورد استفاده قرار گیرند. 2-کارت هوشمند بی‌تماس (Contactless) کارت هوشمند که شبیه به یک کامپیوتر ساده و کوچک است که می‌تواند از طریق دستگاه کارت خوان و اتصال طلایی خود ارتباط برقرار کند، تا بتوان به اطلاعاتی که درون حافظه این کارت قرار دارد دسترسی پیدا کرد. از آنجایی که این کارت‌ها دارای یک ریز پردازنده هستند و این ریز پردازنده به دسترسی به حافظه کارت نظارت می‌کند، می‌توان به امنیت اطلاعات درون کارت اطمینان داشت و اطلاعات مهم را در آن ذخیره کرد. این کارت‌ها که در سال ۱۹۷۰ عرضه شدند مشکل امنیت را که در دسترسی به کارت‌های معمولی مغناطیسی وجود داشت، برطرف کردند. ولی این نوع کارت‌های هوشمند هم همانند کارت‌های معمولی مغناطیسی نیاز به قرار گرفتن در دستگاه برای خوانده شدن اطلاعات دارند. نسل جدید کارت‌های هوشمند، کارت‌های هوشمند بدون تماس هستند. این کارت‌ها بدون تماس و با تکنولوژی القاء Radio Frequency Identification با دستگاه کارت خوان ارتباط برقرار می‌کنند. فقط کافی است این کارت در نزدیکی دستگاه قرار گیرد. این نوع کارت در مواقعی که نیاز به برقراری ارتباط سریع و حتی بدون دخالت دست وجود دارد، کاربرد بسیاری دارد. برای مثال برای ورود یک به اتاق، کارت مکن است در جیب یا کیف شخص باشد و از همان محل و بدون نیاز به خارج کردن با دستگاه کارت خوان ارتباط برقرار کرده و مجاز بودن ورود بررسی شده و در باز شود. همچنین در بسیاری از سیستم‌های حمل و نقل عمومی در دنیا به دلیل حجم زیاد مسافران و به خاطر سریع تر شدن چک کردن بلیط از این نوع کارت‌ها استفاده می‌شود. هم اکنون کارت‌های اعتباری متروی تهران هم از نوع کارت هوشمند بدون تماس هستند.استفاده از این کارتها روز به روز بیشتر می‌شود مثلاً در شهرهای تبریز و مشهد جهت استفاده از اتوبوس به عنوان کارت بلیط اتوبوس پیاده سازی شده‌است. از نظر فاصله مجاز برای برقراری ارتباط چند نوع کارت هوشمند وجود دارد. در دو نوع از آن‌ها (نوع A و B)که استاندارد هم شده‌اند، حداکثر فاصله مجاز برای برقراری ارتباط ۱۰ سانتی متر است. این فاصله که به این دلیل است که سیستم (برای مثال کم کردن پول از کارت مترو) به صورت ناخواسته (مثلاً گذشتن از کنار ورودی مترو) عمل نکند. همچنین در یک نوع دیگر حداکثر فاصله مجاز برای برقراری ارتباط ۵۰ سانتی متر در نظر گرفته شده‌است تکنولوژی کارت هوشمند (Smart Card) به عنوان یکی از دستاوردهای نوین بشری، تحولی شگرف در حوزه سیستم‌های کاربردهای روزمره انسانها ایجاد کرده‌است. دو مقوله مهم امنیت(Security) و همراه بودن(Mobility) از ویژگی‌های منحصر بفرد این تکنولوژی است. امروزه کاربردهای این تکنولوژی در سطح دنیا در اکثر زمینه‌ها قابل مشاهده بوده و حتی این روند، رو به رشد میباشد. بانکها، مراکز مخابراتی، سازمانهای دولتی، مراکز بهداشتی، مراکز ارائه خدمات، مراکز آموزشی، مراکز تفریحی و... از این دستاوردهای کاربردی این تکنولوژی بهره میگیرند. انواع کارت هوشمند: 1- کارت‌های حافظه تماسی (Contact Memory Card) 2- کارت‌های دارای پردازشگر (Contact CPU Card) 3- کارت‌های حافظه بدون تماس (Contact-less Memory Card) 4- کارت‌های دارای پردازشگر با رابط دوگانه (Dual Interface CPU Card) انواع کارت‌های هوشمند از دیدگاه تکنولوژی ساخت : 1- ارت‌های تماسی (Contact) 2- کارت‌های بدون تماس (Contact-less) 1-5-4-بیومتریک 1- نمونه بیومتریکی عبارت است از تصویر قابل شناسایی و پردازش‌نشده یا مشخصه‌های طبیعی و رفتاری ذخیره‌شده که طی فرایندهای مختلفی، اخذ شده‌اند و برای ساختن الگو‌های بیومتریک بکار می‌روند. نمونه‌های بیومتریک مختص به هر یک از فناوری‌های مطرح بیومتریک، در جدول زیر آمده است: فناوری نمونه بیومتریکی اسکن انگشت‌ تصویر اثر انگشت اسکن چهره تصویر چهره اسکن عنبیه تصویر عنبیه اسکن شبکیه تصویر شبکیه اسکن دست تصویر سه‌بعدی از بالا و اطراف دست و انگشتان اسکن صدا صدای ضبط ‌شده اسکن امضا تصویر امضا و مشخصه‌های پویای آن اسکن تایپ کاراکترهای تایپ‌شده و مشخصه‌های پویای آنها 2- ثبت نمونه بیومتریکی فرایندی است که طی آن نمونه یا نمونه‌های بیومتریکی اولیه کاربران برای استفاده‌های بعدی در سیستم بیومتریک، جمع‌آوری، ارزش‌یابی، پردازش و ذخیره‌سازی می‌شوند. این فرایند در سیستم‌های تعیین هویت و تصدیق هویت، مشترک است. اگر کاربرانی در بکارگیری این سیستم بیومتریک با مشکل مواجه شوند، اخذ و ثبت مجدد نمونه‌های بیومتریک آنها برای حصول به اطلاعات با کیفیت قابل قبول، ضروری است. 3- ارائه نمونه بیومتریکی فرایندی است که طی آن کاربران سیستم، اطلاعات طبیعی و رفتاری خود را در قالب نمونه‌های بیومتریکی به سیستم ارائه می‌کنند. این ارائه ممکن است بصورت نگاه کردن به یک دوربین یا قرار دادن انگشت روی سطح یک سنسور بیومتریک باشد. بسته به فناوری بیومتریک مورد استفاده، امکان دارد که کاربر مجبور به درآوردن عینک (اسکن شبکیه)، ثابت ماندن برای چند لحظه (اسکن چهره) یا گفتن کلمه عبور خود (اسکن صدا) برای ایجاد یک نمونه بیومتریک شود. 4- استخراج ویژگی فرایند خودکاری است که طی آن ویژگی‌های متمایز در نمونه بیومتریک، جستجو و استخراج می‌شوند تا یک الگوی بیومتریک تولید شود. این فرایند مشتمل است بر مراحل مختلف پردازش نمونه بیومتریک برای جمع‌آوری اطلاعات دقیق و کافی از آن. بعنوان مثال، در فناوری اسکن صدا، فرکانس‌ها یا ساختار‌های خاص در صدا فیلتر می‌شوند یا در فناوری اسکن انگشت،‌ خطوط انگشتان در تصویر اثر انگشت به ضخامت یک پیکسل نازک‌ می‌شوند. بعلاوه اگر نمونه بیومتریک ارائه‌شده برای استخراج ویژگی مناسب نباشد، عموماً سیستم بیومتریک، کاربر را وادار می‌کند نمونه دیگری را به آن ارائه کند که این کار بیشتر در قالب توصیه برای تکرار این روال، صورت می‌پذیرد. بعضی مشخصه‌های مشترک طبیعی و رفتاری که در استخراج ویژگی کاربرد دارند در جدول ذیل آمده است: فناوری مشخصات بیومتریکی اسکن انگشت‌ مکان و جهت نقاط پایانی خطوط یا دوراهی‌‌ها در اثر انگشت اسکن چهره مکان نسبی گونه‌ها و شکل بینی اسکن عنبیه شیارها و فرم خطوط عنبیه اسکن شبکیه الگوی مویرگ‌های خونی در شبکیه اسکن دست ارتفاع و عرض استخوان‌ها و مفاصل در دست و انگشتان اسکن صدا فرکانس، ریتم و مدت‌ زمان ساختار‌های صوتی اسکن امضا سرعت، ترتیب حرکات، فشار و شکل‌ ظاهری امضا اسکن تایپ ترتیب تایپ کلیدها و فاصله زمانی بین کاراکترها 5- الگوی بیومتریکی عبارت است از یک فایل نسبتاً کوچک اما بسیار دقیق و متمایز که از مشخصه‌های نمونه یا نمونه‌های بیومتریک کاربر، ساخته شده است و برای انطباق نمونه‌های بیومتریک بکار می‌رود. این الگوها پس از استخراج ویژگیهای نمونه‌های بیومتریک مورد نظر، تولید می‌شوند. با وجودیکه بحث الگو یکی از مباحث اصلی در فناوری بیومتریک است، تمام سیستم‌های بیومتریک برای انطباق نمونه‌ها از الگوهای بیومتریکی استفاده نمی‌کنند. بعنوان مثال، بعضی از سیستم‌های اسکن صدا از نمونه اصلی و نه الگوی آن برای انطباق نمونه‌ها، بهره می‌برند. بسته به زمان تولید الگو‌های بیومتریک می‌توان آنها را الگو‌های ثبت یا الگوهای انطباق نامید. الگو‌های ثبت بر مبنای اولین تعاملات کاربر با یک سیستم بیومتریک ساخته و برای کاربردهای بعدی ذخیره‌سازی می‌شوند. الگوهای انطباق در جریان تلاشهای بعدی برای تطبیق نمونه‌های بیومتریک ارائه شده با الگوهای ثبت، بوجود آمده و معمولاً بعد از مقایسه از بین می‌روند. این امکان وجود دارد که چند نمونه بیومتریک برای تولید یک الگوی ثبت بکار روند. بعنوان مثال، در فناوری اسکن چهره، تصاویر متعدد چهره برای تولید الگوی ثبت مورد استفاده قرار می‌گیرند. الگوهای انطباق معمولاً تنها از یک نمونه بیومتریک استخراج می‌شوند تا با الگوی ثبت مقایسه و میزان شباهت آنها تعیین گردد. همانطوریکه فرایند استخراج ویژگی، محرمانه نگه داشته می‌شود، روشی که اطلاعات بیومتریک سازماندهی و ذخیره‌سازی می‌شوند، مختص به عرضه‌کنندگان فناوری‌های بیومتریک است. الگوهای بیومتریک قابلیت کاربرد مشترک را ندارند یعنی الگوی تولید‌شده توسط یک عرضه‌کننده فناوری نمی‌تواند با الگوی تولید‌شده توسط دیگری، مقایسه و بر آن منطبق شود. 6- انطباق عبارت است از مقایسه الگوهای بیومتریک برای تعیین میزان شباهت یا همگرایی آنها. انجام انطباق، منجر به تولید امتیاز خاصی می‌شود که در بسیاری از سیستم‌های بیومتریک با یک سطح آستانه معین، مقایسه می‌شود. اگر این امتیاز از سطح آستانه تجاوز کند، نتیجه آن، انطباق الگوهای بیومتریک و اگر این امتیاز از سطح آستانه تنزل کند، عدم انطباق این الگوها خواهد بود. شکل 3-4 دیاگرام فرایند تشخیص هویت بیومتریک مقایسه بیومتریکی، زمانی انجام می‌شود که الگوریتم‌های خاصی، الگوهای بیومتریک را پردازش کرده باشند. این الگوریتم‌ها، اطلاعات موجود در الگوها را با منظور کردن جابجایی مشخصه‌ها، نویز و دیگر عوامل موثر، برای تعیین انطباق یا عدم انطباق آنها، مورد بررسی قرار می‌دهند. بدون دسترسی به الگوریتم‌های انطباق مورد استفاده توسط عرضه‌کنندگان این فناوری‌ها، هیچ راهی برای مقایسه الگوهای بیومتریک وجود ندارد. این بدان معنا است که تنها، مقایسة بیت به بیت این الگوها، تعلق آنها را به یک کاربر خاص، روشن نمی‌سازد بلکه این بیت‌ها باید توسط الگوریتم‌های خاص بعنوان پیش‌شرط انطباق، پردازش شوند. فرایند انطباق عبارت است از مقایسه الگوهای انطباق که در زمان ارائه نمونه ساخته می‌شوند با الگوهای ثبت مرجع که معمولاً در قالب فایل‌های کامپیوتری، ذخیره‌سازی شده‌اند. در سیستم‌های تصدیق هویت، معمولاً یک الگوی انطباق با یک الگوی مرجع مقایسه می‌شود ولی در سیستم‌های تعیین هویت، یک الگوی انطباق می‌تواند با صدها و حتی میلیون‌ها الگوی مرجع، مقایسه شود. در بسیاری از سیستم‌های بیومتریک، هرگز نباید الگوهای انطباق و مرجع یکسان باشند. تطبیق مطلق، نمایانگر آن است که نوعی از کلاهبرداری مانند ارائه مجدد یک نمونه با تاخیر یا ارائه الگوی تقلبی در حال وقوع است و باید از آن جلوگیری شود. 7- میزان انطباق عبارت است از عددی که نمایانگر میزان شباهت یا همگرایی الگوها در یک انطباق بیومتریک است. روش‌های تصدیق هویت معمول نظیر شناسه کاربری و کلمه عبور که باینری هستند، تنها یک پاسخ مثبت یا منفی مطلق برای تطبیق ارائه می‌کنند. این حالت برای بیشتر سیستم‌های بیومتریک وجود ندارد. تقریباً تمام سیستم‌های بیومتریک مبتنی‌اند بر الگوریتم‌های تطبیق که در پی انجام مقایسه یک امتیاز انطباق تولید می‌کنند. این امتیاز میزان همگرایی میان الگوی انطباق و مرجع را نشان می‌دهد. معیار استانداردی برای ارزیابی این امتیاز وجود ندارد. بعضی از عرضه‌کنندگان فناوری، از معیار بین صفر و صد، برخی از معیار بین یک و منفی یک و دیگران از معیارهای لگاریتمی یا خطی استفاده می‌کنند. جدای از اینکه چه معیاری به کار می‌رود، امتیاز انطباق با سطح آستانه سیستم مقایسه می‌شود تا میزان موفقیت این انطباق، معین شود. بسیاری از سیستم‌ها، امتیازی را اعلام می‌کنند که امتیاز ثبت یا امتیاز کیفیت نام دارد. این امتیاز مشخص می‌کند که فرآیند استخراج ویژگی تا چه حدی در یافتن ویژگیهای متمایز در یک نمونه بیومتریک، موفق عمل کرده است. اگر این نمونه از نظر اطلاعات بیومتریکی در حد قابل قبولی باشد، امتیاز بالایی حاصل خواهد شد. این امتیاز در فرایند انطباق بکار نمی‌رود بلکه تنها برای تعیین میزان موفقیت فرایند ثبت نمونه‌ها کاربرد دارد. یک امتیاز کیفیت پایین، نشانگر آن است که شناسایی کاربر در این سیستم بیومتریک از درجه اطمینان بالایی برخوردار نخواهد بود. 8- سطح آستانه انطباق عبارت است از یک عدد از پیش تعریف‌شده که اغلب توسط مدیریت سیستم بیومتریک، کنترل می‌شود و میزان همگرایی لازم برای مقایسه‌ای که منجر به تطبیق الگو‌های بیومتریک می‌شود را مشخص می‌کند. اگر امتیازی که از مقایسه این الگوها حاصل می‌شود از این سطح آستانه تجاوز کند، این الگوها بر هم منطبق‌اند هرچند که خود الگوها کاملاً باهم یکسان نیستند. وقتی که یک سیستم بیومتریک برای سطوح امنیتی پایین تنظیم می‌شود، سطح آستانه برای حصول به یک انطباق موفق، بیش از پیش در مقایسه با زمانیکه سیستم برای سطوح امنیتی بالا تنظیم شده است، قابل اغماض است. 9- تصمیم‌سازی عبارت است از نتیجه مقایسه بین امتیاز انطباق و سطح آستانه. تصمیماتی که یک سیستم بیومتریک می‌تواند اتخاذ کند، شامل انطباق، عدم انطباق و عدم توانایی در تعیین میزان انطباق، خواهد بود و این در حالیست که سطوح مختلفی بین انطباق کامل و عدم انطباق قابل تعریف است. بسته به نوع سیستم بیومتریکی که بکار می‌رود، حصول به انطباق باید امکان دستیابی کاربر به منابعی که با این سیستم محافظت می‌شوند را فراهم سازد، عدم انطباق دسترسی کاربر به این منابع را محدود نماید و در صورت عدم توانایی سیستم در تصمیم‌سازی، باید به کاربر اطلاع دهد که نمونه دیگری را به آن ارائه کند. یکی از جالب‌ترین نکات درباره بیشتر سیستم‌های بیومتریک آن است که با هر بار برقراری تعامل کاربر با یک سیستم بیومتریک، الگوی انطباق منحصر به فردی تولید می‌شود. بعنوان مثال، دو بار قرار دادن متوالی و بدون وقفه یک انگشت بر روی یک دستگاه بیومتریک، منجر به تولید دو الگوی کاملاً متفاوت می‌شود. فقط وقتی این الگوها با الگوریتم خاص عرضه‌کننده فناوری پردازش می‌شوند، می‌توان همگرایی و نه لزوماً یکسان بودن آنها را مشاهده کرد. از لحاظ نظری، یک کاربر می‌تواند برای سالیان متمادی یک انگشت خود را بر روی دستگاه بیومتریک قرار دهد، ولی هرگز دو الگوی کاملاً یکسان تولید نشود. بنابراین می‌توان نتیجه‌گیری کرد که برای بیشتر فناوری‌های بیومتریک، چیزی بعنوان انطباق صد در صد وجود ندارد. این بدین معنا نیست که این سیستم‌ها ایمن نیستند، چراکه سیستم‌های بیومتریک قادرند هویت اشخاص را با میزان خطای کمتر از یک بر صد هزار یا یک بر میلیون تعیین کنند. به هر حال ادعای دقت صد در صد، ادعایی محال است و کارایی واقعی این فناوری را منعکس نمی‌کند. 10- میزان خطا در دستگاههای بیومتریک : FRR -1 میزان نپذیرفتن Subject های درست : مثلا عدم تشخیص اثر انگشت در اثر آلودگی انگشت FAR -2 میزان پذیرفتن Subject های اشتباه : سیستم از حساسیت کافی برخورد نیست Crossover Error Rate یا CER: سطح بهینه حساسیت سیستم