КомпанияПресс-центрBioLink в преcсе11.06.2008 Биометрия в системах контроля и управления доступом: вызовы времени и новые возможностиСистемы контроля и управления доступом (хотя бы в рудиментарном виде) имеются в любой компании. Биометрические идентификаторы (отпечатки пальцев, лицо, радужная оболочка глаз и т.д.) есть у каждого человека, поэтому применение биометрии в СКУД представляется естественным и логичным. Однако практическая реализация этой идеи оказалась не столь простой. Только сейчас, на исходе первого десятилетия нового века, можно констатировать, что биометрия превращается в неотъемлемую часть и важный фактор эволюции рынка СКУД В нашей статье мы не станем повторять общеизвестные, но от этого не менее справедливые истины о преимуществах биометрических технологий, особенно востребованных именно в системах контроля и управления доступом. (Ведь идентифицируется конкретный человек, а не материальный носитель или пароль; биометрические признаки не поддаются хищению, обмену, передаче; их невозможно забыть, но просто и, как правило, удобно предъявлять при распознавании.) Сосредоточимся на анализе основных тенденций, в число которых можно включить следующие тренды:
Так, новейшими исследованиями доказана антибактериальная безопасность сканеров отпечатков пальцев. Оказывается, они не более "заразны", чем ручки дверей или кнопки лифта, и теперь тем, кто отказывал биометрии в праве на широкое распространение по "санитарно-гигиеническим" соображениям, нужно или искать другие аргументы, или ратовать за запрет и дверных ручек тоже. Выбор оптимального идентификатора Еще одним трендом является расширение номенклатуры самих биометрических идентификаторов, доступных для применения в СКУД. Распознавание по отпечаткам пальцев, безусловно, продолжает доминировать, но испытывает растущую конкуренцию со стороны новых технологий. Однако, разумеется, стоит проанализировать технологии, эксплуатируемые в промышленных масштабах и обладающие значимым весом на биометрическом рынке. Еще одним ограничением служит реальная возможность использования идентификатора в СКУД. Понятно, что таковая еще отсутствует у распознавания по ДНК (при всей его теоретической привлекательности). Проблематично применение в СКУД технологий идентификации по почерку или подписи (слишком неудобно и долго), а также по голосу (низкий уровень надежности). Вместе с тем биометрические технологии рассматриваются как равноправные в своей функциональности. Иначе говоря, не принимаются во внимание расхожие стереотипы, на которые любят ссылаться оппоненты биометрии или приверженцы одной технологии, желающие ущемить соперника. Например, практически решена проблема муляжей отпечатков пальцев: оптические сканеры солидных поставщиков с успехом реализуют "антимуляжные" функции. Столь же несостоятельны и апелляции к данным статистики, согласно которым отпечатки пальцев у некоторого процента людей не поддаются электронному сканированию. Сами эти данные оспаривать бессмысленно, но одновременно следует учесть, что схожие проблемы возникают и при использовании других идентификаторов: так затруднено (а иногда и невозможно) распознавание по радужной оболочке глаз у представителей скандинавских народов. Результаты сравнения биометрических технологий приведены в табл. 1. Таблица 1. Сравнительный анализ возможностей применения технологий биометрической идентификации в системах контроля и управления доступом
Учет специфики объекта защиты Классификация защищаемых объектов позволяет выделить два "полюса". На одном из них находятся объекты, для которых высшим приоритетом служит надежность идентификации пользователей (ради нее допустимо пожертвовать и скоростью, и удобством распознавания). На другом полюсе располагаются объекты, где на первый план выходит пропускная способность системы контроля доступа, и малейшая задержка, связанная с неправомерным отказом в доступе зарегистрированному (благонадежному) пользователю, способна парализовать функционирование всего объекта или его структурного элемента. Иначе говоря, для данных объектов наиболее важна скорость идентификации. В терминах биометрии выделенные требования описываются как вероятность возникновения ошибок FAR/FRR, т.е. коэффициентов ложного пропуска (False Acceptance Rate - система предоставляет доступ незарегистрированному пользователю) и ложного отказа в доступе (False Rejection Rate - доступ запрещен зарегистрированному в системе человеку). Необходимо учитывать взаимосвязь этих показателей: искусственно снижая уровень "требовательности" системы (FAR), мы, как правило, уменьшаем процент ошибок FRR, и наоборот. На сегодняшний день все биометрические технологии являются вероятностными, ни одна из них не способна гарантировать полное отсутствие ошибок FAR/FRR, и нередко данное обстоятельство служит основой для не слишком корректной критики биометрии. "Предъявление карты гарантирует 100-процентную идентификацию, чего не скажешь о биометрии", - в таком ключе высказываются оппоненты, и формально они правы. Однако налицо логическая уловка, связанная с подменой понятий: на самом деле идентификацию проходят разные сущности (неодушевленный носитель в одном случае и человек - в другом), и противопоставление различных технологий не только бессмысленно, но и контрпродуктивно. Более перспективным представляется анализ возможностей биометрии с учетом основных факторов, обуславливающих специфику функционирования СКУД на объектах различных классов (табл. 2). Таблица 2. Основные факторы, обуславливающие специфику применения биометрических технологий в СКУД объектов защиты различных классов
Яркими представителями объектов первого класса выступают предприятия топливно-энергетического комплекса (включая ядерные и гидроэлектростанции), промышленные производства (особенно связанные с обработкой опасных веществ - взрывчатых, химических и т.п.), инфраструктурные объекты (водозаборы, плотины, различные диспетчерские пункты), здания и сооружения силовых ведомств (военные базы, органы внутренних дел, пенитенциарные учреждения и т.д.). В качестве примеров объектов второго класса можно привести крупные спортивные, развлекательные, торговые учреждения и предприятия, чья деятельность неразрывно связана с возникновением и движением больших людских масс. Очевидно, что в СКУД объектов первого класса применение биометрии не только возможно и желательно, но и жизненно необходимо. Здесь на первый план выходят технологии, обеспечивающие наименьший уровень ошибок FAR (идентификация по отпечаткам пальцев, радужной оболочке глаз, геометрии кисти руки); не исключено в дальнейшем и внедрение мультибиометрических решений. На объектах второго класса ситуация принципиально иная. Выделить регистрацию биометрических идентификаторов в особый бизнес-процесс либо невозможно, либо нецелесообразно. С одной стороны, бесконтактный способ распознавания является оптимальным, с другой - столь же значима и скорость идентификации. Главным преимуществом биометрической технологии служит низкий процент ошибок FRR. К сожалению, сегодня не существует какой-либо биометрической технологии, способной в комплексе эффективно реализовать все перечисленные требования. В некоторой степени им отвечают технологии идентификации по двумерному изображению лица: распознавание осуществляется дистанционно и без непосредственного контакта посетителей с оборудованием, при использовании мощных серверов анализ информации, поступающей с камер CCTV, может осуществляться с приемлемой скоростью. Источниками данных для биометрической идентификации способны выступать фотографии людей, объявленных в розыск, результаты видеонаблюдения, другие видеозаписи. Еще один пласт проблем связан с тем, что значительная часть объектов защиты не вписывается в выделенные классы: жизнь богаче любых схем. К таким объектам "смешанной" природы относятся, например, транспортные предприятия (вокзалы, порты, аэропорты и т.п.). Численность внешних посетителей (в особенности на предприятиях пассажирского транспорта) также весьма велика и превышает количество постоянных сотрудников. Но ключевые требования к СКУД не зависят от принадлежности пользователя к той или иной группе и, в конечном счете, сводятся к высокой надежности. С другой стороны, эта амбивалентность открывает и новые, более широкие перспективы при формировании СКУД объектов "смешанной" природы: разнообразнее ряд биометрических идентификаторов, применяемых при работе с пользователями различных групп; регламентация доступа внешних посетителей возможна исходя из соображений безопасности и в то же время не приводит к сокращению их количества. Более того, вполне вероятно и формирование контингента привилегированных постоянных посетителей, которым биометрическая идентификация способна предоставить дополнительный уровень сервиса: ускорение досмотра на входе в здание аэропорта, сокращение времени регистрации на рейс, быстрое прохождение предполетного контроля и т.п. Здесь вновь оказываются востребованными преимущества биометрии (распознавание конкретного человека, уникальность его биометрических признаков и т.д.), а сама процедура биометрической идентификации не вызывает негативной реакции и рассматривается как необходимый элемент обшей системы безопасности. Выделение особенностей применения биометрических технологий в зависимости от специфики защищаемых объектов позволяет сделать следующие выводы:
Биометрия в общем контексте развития СКУД Долгое время скептицизм по поводу перспектив биометрии в СКУД основывался на сомнениях в том, не скажется ли внедрение "новинки" на производительность СКД и их функционирование. Однако анализ существующей практики позволяет заключить, что биометрические технологии не только удачно вписываются в общий "пейзаж" СКУД, но и способны существенно повысить эффективность этих систем (табл. 3). Таблица 3. Реализация ключевых принципов функционирования СКУД с помощью технологий биометрической идентификации
Так, необходимую гибкость и определенные гарантии отказоустойчивости может предоставить варьирование режимов идентификации (сравнение вновь предъявляемого идентификатора с множеством ранее зарегистрированных, 1 :М) и верификации (1:1, сравниваются два идентификатора - вновь предъявляемый и тот, сведения о котором записаны, например, в память одновременно предоставляемой смарт-карты). Режим верификации, как правило, способен обеспечить большую скорость распознавания; кроме того, выше уже упоминалось, что некоторые биометрические технологии способны поддерживать большое число пользователей только в этом режиме. Вместе с тем данному режиму свойственны и определенные издержки: требуются дополнительные идентификаторы, проблематично централизованное управление правами и полномочиями пользователей. Поэтому оптимальным представляется комбинированный режим работы биометрических компонентов СКУД, который попутно позволяет решить и другие вопросы (скажем, справиться с пиковыми нагрузками в начале и конце рабочего дня). В этом случае за каждым структурным подразделением (отделом, цехом и т.д.) закрепляется какой-то один из нескольких биометрических терминалов, подающих сигнал на открытие турникета по предъявлении идентификатора. Внутренняя память терминала хранит данные о биометрических идентификаторах закрепленных за ним пользователей, что помогает ускорить и поддержать этот процесс при сбоях в работе сети. С другой стороны, терминалы связаны с сервером центральной базы данных пользователей, и, если сотрудник "ошибся" терминалом, сведения о его идентификаторе поступают с сервера. Одновременно обеспечивается и централизованное управление пользователями: нет нужды регистрировать каждого из них на каждом терминале, содержимое их внутренних баз реплицируется с центральной базой в заданные интервалы (например, два раза в сутки). Клиент-серверная архитектура, вероятно, и далее будет преобладать как при формировании СКУД в целом, так и при создании биометрических подсистем. В роли "тонких клиентов" способны выступать биометрические терминалы контроля доступа и другие устройства с аналогичными функциями; функции сервера приложений в рассматриваемом контексте выполняет специализированный сервер биометрической идентификации, проводящий сравнение данных о вновь предъявляемых и ранее зарегистрированных идентификаторах. Наилучшим представляется вариант, когда этот и другие серверы приложений СКУД обращаются к единой базе данных пользователей. Данная схема может быть расширена и оптимизирована с помощью введения буферных серверов приложений, обслуживающих кластеры удаленных клиентов. Подобный сценарий обеспечивает управляемость биометрической СКУД и ее масштабируемость, особенно на предприятиях с сетью территориально распределенных филиалов: удаленные серверы функционируют в филиалах, регулярно синхронизируясь с "центром". Основные тенденции В качестве основных тенденций, характеризующих расширение применения биометрических технологий в СКУД, могут быть выделены следующие: интеграция, конвергенция, переход к "федеративному" управлению пользователями, интеллектуализация, внедрение мультибиометрических и многофакторных решений. Интеграция Объединение различных подсистем, действующих в составе СКУД. Как уже отмечалось ранее, предпринимаются активные попытки ассоциирования систем видеонаблюдения и биометрической идентификации (к сожалению, приемлемый уровень надежности распознавания пользователей еще не достигнут). Есть перспективы интеграции и с другими подсистемами - например, с подсистемой управления движением автотранспорта, как бы фантастично это ни казалось на первый взгляд. Уже сейчас разработаны решения, позволяющие идентифицировать водителей и пассажиров машин по лицу и радужной оболочке глаз, причем пользователям не нужно даже покидать салон или кабину транспортного средства. При внедрении подобных систем может быть задействован режим верификации (дополнительным фактором выступает номер автомобиля сотрудника, которому разрешен въезд на территорию предприятия или стоянку). Конвергенция Комплексирование бизнес-процессов в рамках СКУД и других систем предприятия. Во многих СКУД параллельно с контролем физического доступа уже сейчас осуществляется также и учет рабочего времени; на следующем этапе эти бизнес-процессы, видимо, будут объединены и с разграничением логического доступа к информации и с обеспечением "сквозной" идентификации в полном смысле слова: от проходной до компьютера. Федеративное управление пользователями Данная тенденция тесно связана с конвергенцией и предполагает переход от жесткой и замкнутой концепции identity management (управление пользователями в рамках одного бизнес-приложения) к более широкой и гибкой концепции identity federation. В идеале реализация данной концепции предполагает однократную регистрацию пользователя в единой базе данных с дальнейшим распространением его атрибутивных характеристик по всем бизнес-приложениям и системам: от 1C и корпоративного портала до СКУД и системы информационной безопасности. В данном контексте бизнес-приложения превращаются в поставщиков соответствующих сервисов (доступ в здание, компьютерную сеть, к внешним Интернет-ресурсам), а изменение полномочий пользователя в одной подсистеме вызывает каскад обновлений в других (например, повышение в должности автоматически связывается с изменением графика работы и политики учета рабочего времени). Интеллектуализация Передача все большего числа функций машинному интеллекту. Полностью автоматическую СКУД пока представить сложно, однако ряд важных операций уже сейчас можно перевести в этот разряд. Например, именно биометрические технологии способны эффективно реализовывать функции antipass-back или контроля присутствия сотрудника на рабочем месте. В первом случае пользователю не удастся обмануть систему, совершая повторный проход по чужой карте или брелоку, а во втором - попросив коллегу предъявлять материальный носитель вместо биометрического идентификатора. Мультибиометрия. Многофакторность В настоящее время мультибиометрическими чаще всего именуют системы, основанные на параллельном применении нескольких биометрических идентификаторов, и, разумеется, даже такое механическое суммирование можно считать шагом вперед. Однако о подлинной мультибиометрии можно будет говорить тогда, когда биометрическая идентификация станет интегральной, и в соответствии с рассмотренным выше принципом комплексирования недостатки одних технологий станут компенсироваться преимуществами других. Иллюстрацией здесь может служить объединение технологий идентификации по геометрии лица и отпечаткам пальцев. Камеры видеонаблюдения "встречают" пользователя на входе в здание или даже на подступе к нему. Средства идентификации по лицу очерчивают круг возможных "кандидатов" на распознавание (пока что большего отданной технологии требовать нельзя), и, когда пользователь сканирует отпечаток пальца с помощью терминала на проходной, его распознавание существенно ускоряется за счет ранее произведенной "выборки". Более успешна интеграция биометрии с другими технологиями идентификации, причем здесь также могут быть выделены различные ступени зрелости. Самый распространенный вариант - простая многофакторная система, когда полномочия пользователя подтверждаются и биометрическим идентификатором, и предъявлением материального носителя или вводом PIN-кода. Более сложный (но и более перспективный путь) - фиксация сведений о биометрическом идентификаторе в смарт-карте, память которой одновременно выступает и защищенным хранилищем, и аутентификационной информации и другой (электронных сертификатов, ключей шифрования, цифровой подписи и т.д.). На пути к "плато продуктивности" Можно предположить, что расширение и интенсификация применения биометрии в СКУД подчиняется общим законам всплеска и падения интереса к технологическим новациям . Определенное влияние на порождение этих волн оказывают субъективные факторы (изменение политической обстановки, мода, маркетинговая активность отдельных вендоров и т.д.), однако основой служат всё же объективные требования рынка, с одной стороны, и состоятельность конкретных технологий биометрической идентификации - с другой. Пока что ближе всего к выходу на "плато продуктивности" продвинулись технологии идентификации по отпечаткам пальцев, что можно объяснять длительной историей данного направления биометрии, а также интенсивной (и весьма успешной) работой множества фирм, действующих в этом самом обширном сегменте. В целом же дальнейшее упрочение роли, которую играет биометрия в развитии СКУД, зависит от действий различных субъектов рынка:
Источник: журнал «Системы безопасности» |