РешенияЗащита информации

Цели и задачи

Информационные технологии и ресурсы — неотъемлемая часть деятельности компании, и обеспечение безопасности этого ценнейшего актива является стратегическим приоритетом.

По данным независимого исследования InfoWatch, проведенного в 2006 г. среди специалистов 1 450 российских предприятий, возможная утечка информации оценивается как самая серьезная опасность бизнесу и государственным организациям. Индекс этой опасности на 50% опережает аналогичный показатель для любой из внешних угроз.

Основу системы информационной безопасности образуют средства идентификации пользователей и управления их доступом к корпоративным информационным ресурсам. Основные требования к системе идентификации и решаемые ею задачи:

 

• однозначность распознавания пользователя по уникальным, присущим ему одному признакам;
• невозможность хищения, утраты, подмены идентификационных признаков и/или овладения ими обманным путем;
• предотвращение возможного обмена идентификаторами и соответствующими полномочиями пользователей;
• реализация принципа «невозможности отказа» пользователя от транзакций, совершенных с применением идентификаторов, отвечающих перечисленным выше критериям;
• эффективная интеграция средств идентификации и управления доступом в информационную инфраструктуру компании с сохранением непрерывности текущих бизнес-процессов;
• снижение нагрузки на пользователей, администраторов, специалистов по защите информации;
• минимизация издержек, связанных с внедрением средств идентификации и управления доступом;
• отказоустойчивость и масштабируемость формируемой системы идентификации и управления доступом.

Применяемые технологии

Общепризнанным фактом является констатация ненадежности, неудобства и неэффективности устаревшей парольной системы идентификации. Мнимой оказывается и кажущаяся «бесплатность» паролей: по данным Lenovo, до 50% всех обращений в службы технической поддержки вызваны проблемами с паролями, а средняя стоимость исполнения одного обращения в техподдержку составляет от 25 до 50 долларов (Compulenta).

Достаточно популярны решения, использующие для идентификации различные материальные носители — смарт-карты, токены, «таблетки» Touch Memory (i Button). В некоторых из этих средств защита идентификационной информации обеспечивается шифрованием, генерацией одноразовых паролей, электронной подписью и цифровыми сертификатами.

Наиболее эффективно применение указанных носителей в комплексе со средствами биометрической идентификации. Биометрия может использоваться и самостоятельно; в любом из этих вариантов сохраняются ее главное преимущество — точная, безопасная, быстрая и удобная идентификация пользователя.

Почему биометрия?

Обычно мероприятия по защите информации связаны с дополнительной нагрузкой и новыми обязанностями, возлагаемыми на пользователей, администраторов, сотрудников службы безопасности. Биометрия составляет исключение: ее внедрение облегчает деятельность сотрудников всех указанных групп, одновременно обеспечивая существенный рост уровня информационной безопасности.

Для защиты информации применяется сервис BioLink IDenium, реализующий функции идентификации пользователей корпоративных сетей и управления их доступом к информационным ресурсам. Сервис BioLink IDenium реализует идентификацию пользователей по уникальным биометрическим признакам — отпечаткам пальцев.

Эффективная система биометрической идентификации выполняет следующие функции:

• унификация процессов доступа к информационным ресурсам на основе единого идентификатора — отпечатка пальца;
• защита информационных ресурсов от несанкционированного доступа и/или доступа, осуществляемого с нарушением установленных правил (политики безопасности);
• автоматизация и централизация управления пользователями, их учетными записями и соответствующими полномочиями в операционных системах и различных прикладных продуктах;
• ускорение доступа легальных пользователей к ресурсам корпоративной сети с обеспечением максимальной простоты и прозрачности этого процесса;
• сокращение непроизводительных потерь, вызванных ошибками при вводе логина/пароля, блокированием учетных записей и т.п.;
• оптимизация деятельности системных администраторов за счет уменьшения числа обращений, связанных с ошибками пользователей при идентификации, аутентификации и авторизации;
• быстрая регистрация новых пользователей и оперативное изменение учетных записей сотрудников, перешедших в другое подразделение, уволенных и т.д.

Интеграция с другими продуктами

Возможности сервиса BioLink IDenium позволяют применять биометрическую идентификацию пользователей не только на этапе входа в сеть, но и во многих других приложениях и системах, в том числе:

• в платформах удаленного доступа (CITRIX и т.п.), на «тонких» клиентах;
• в прикладных продуктах Microsoft Office (Microsoft Word, Microsoft Excel и т.д.);
• в различных системах электронной почты;
• для доступа к защищенным ресурсам Интернет.

Если в прикладном продукте применяются процедуры идентификации, стандартные в Windows, замена пароля идентификацией по отпечатку пальца может осуществляться самим пользователем с помощью модуля BioLink Password Vault, входящего в состав сервиса BioLink IDenium. Если же идентификация в каком-либо прикладном продукте осуществляется другими методами, для внедрения биометрии применяется комплект разработчика прикладных биометрических решений BioLink SDK.

Решение масштаба предприятия

Сервис BioLink IDenium внедрен в Microsoft Active Directory (AD), возможности которого активно используются IT-службами компаний и предприятий. Таким образом, переход на систему биометрической идентификации максимально облегчен, осуществляется в привычном для администраторов порядке, а последующая эксплуатация сервиса BioLink IDenium и управление пользователями производится в стандартном интерфейсе AD.

Установка BioLink IDenium осуществляется централизованно; абсолютное большинство соответствующих операций выполняется автоматически, от администратора требуется лишь общее руководство этим процессом.

Сервис BioLink IDenium не хранит изображения биометрических идентификаторов. При распознавании пользователя формируется цифровая модель предъявляемого отпечатка пальца, которая сравнивается с моделью ранее зарегистрированного биометрического идентификатора.

Сравнение цифровых моделей осуществляет программный сервер — IDenium Server. Этот сервер регистрируется в Microsoft Active Directory автоматически; в корпоративной сети можно установить несколько биометрических серверов, что обеспечит балансировку нагрузки между ними в периоды пиковой нагрузки (начало/окончание рабочего дня и т.д.).

Наличие нескольких серверов IDenium Server гарантирует отказоустойчивость системы биометрической идентификации, непрерывность доступа пользователей к ресурсам корпоративной сети и бесперебойное осуществление соответствующих бизнес-процессов.

Масштабируемость сервиса биометрической идентификации позволяет наращивать количество его пользователей, а также планомерно охватывать новые территориальные и функциональные подразделения предприятия, инкорпорируя их в уже имеющуюся инфраструктуру доступа.

Продукты BioLink, применяемые для решения задач защиты информации

• сервис биометрической идентификации BioLink IDenium;
• оптические сканеры отпечатков пальцев серии BioLink U-Match;
• комплект разработчика прикладных биометрических решений BioLink SDK (для интеграции биометрии в прикладные продукты, использующие отличные от стандартных процедуры идентификации).