В РЕЕСТРЕ РОССИЙСКОГО ПО
+7 (499)281-69-35

КомпанияПресс-центрBioLink в преcсе

11.06.2008 Биометрия в системах контроля и управления доступом: вызовы времени и новые возможности

Системы контроля и управления доступом (хотя бы в рудиментарном виде) имеются в любой компании. Биометрические идентификаторы (отпечатки пальцев, лицо, радужная оболочка глаз и т.д.) есть у каждого человека, поэтому применение биометрии в СКУД представляется естественным и логичным. Однако практическая реализация этой идеи оказалась не столь простой. Только сейчас, на исходе первого десятилетия нового века, можно констатировать, что биометрия превращается в неотъемлемую часть и важный фактор эволюции рынка СКУД

В нашей статье мы не станем повторять общеизвестные, но от этого не менее справедливые истины о преимуществах биометрических технологий, особенно востребованных именно в системах контроля и управления доступом. (Ведь идентифицируется конкретный человек, а не материальный носитель или пароль; биометрические признаки не поддаются хищению, обмену, передаче; их невозможно забыть, но просто и, как правило, удобно предъявлять при распознавании.) Сосредоточимся на анализе основных тенденций, в число которых можно включить следующие тренды:

  • поступательное развитие рынка большинство экспертов связывают именно с активизацией использования биометрии в СКУД;
  • биометрия рассматривается как самая перспективная технология контроля и управления доступом;
  • внедрение функций биометрической идентификации привлекает все большее число новых заказчиков;
  • биометрические СКУД функционируют уже не на правах экзотики или эксклюзива, доступного только госструктурам или богатейшим корпорациям, а становятся массовым, практически обыденным явлением;
  • изменяется в лучшую сторону отношение к биометрии в широком общественном мнении, чему способствует экспансия биометрических технологий в других областях (от электронных паспортов до платежных систем, образования и здравоохранения)и развенчание мифов и стереотипов, которые всегда сопровождают любое новшество.

Так, новейшими исследованиями доказана антибактериальная безопасность сканеров отпечатков пальцев. Оказывается, они не более "заразны", чем ручки дверей или кнопки лифта, и теперь тем, кто отказывал биометрии в праве на широкое распространение по "санитарно-гигиеническим" соображениям, нужно или искать другие аргументы, или ратовать за запрет и дверных ручек тоже. Выбор оптимального идентификатора Еще одним трендом является расширение номенклатуры самих биометрических идентификаторов, доступных для применения в СКУД. Распознавание по отпечаткам пальцев, безусловно, продолжает доминировать, но испытывает растущую конкуренцию со стороны новых технологий. Однако, разумеется, стоит проанализировать технологии, эксплуатируемые в промышленных масштабах и обладающие значимым весом на биометрическом рынке. Еще одним ограничением служит реальная возможность использования идентификатора в СКУД. Понятно, что таковая еще отсутствует у распознавания по ДНК (при всей его теоретической привлекательности). Проблематично применение в СКУД технологий идентификации по почерку или подписи (слишком неудобно и долго), а также по голосу (низкий уровень надежности). Вместе с тем биометрические технологии рассматриваются как равноправные в своей функциональности. Иначе говоря, не принимаются во внимание расхожие стереотипы, на которые любят ссылаться оппоненты биометрии или приверженцы одной технологии, желающие ущемить соперника.

Например, практически решена проблема муляжей отпечатков пальцев: оптические сканеры солидных поставщиков с успехом реализуют "антимуляжные" функции. Столь же несостоятельны и апелляции к данным статистики, согласно которым отпечатки пальцев у некоторого процента людей не поддаются электронному сканированию. Сами эти данные оспаривать бессмысленно, но одновременно следует учесть, что схожие проблемы возникают и при использовании других идентификаторов: так затруднено (а иногда и невозможно) распознавание по радужной оболочке глаз у представителей скандинавских народов. Результаты сравнения биометрических технологий приведены в табл. 1.

Таблица 1. Сравнительный анализ возможностей применения технологий биометрической идентификации в системах контроля и управления доступом

Идентификатор

Преимущества

Недостатки

Отпечаток пальца

Удобство , надежность (обеспечиваемая наработками за 100 с лишним лет развития технологии), неизменность идентификатора (у взрослых людей), сравнительная дешевизна оборудования и программного обеспечения, большее (по сравнению с другими) количество идентификаторов (10 пальцев рук против двух глаз, одного лица и т. д.)

Наличие небольшой доли людей, отпечатки пальцев которых распознаются плохо, необходимость контакта со сканером отпечатков, влияние температурных и физиологических факторов (сложность распознавания сухих и "холодных" (с мороза) пальцев)

Геометрия лица (2D-технологии)

Отсутствие необходимости контактировать со сканирующим устройством, возможность применения в местах массового скопления людей (аэропорты, вокзалы и т.п.), максимальная социальная приемлемость (по аналогии с фотографированием на обычные документы)

Самый низкий (в особенности по отношению к идентификации по отпечаткам пальцев и радужке) процент успешного распознавания, большая чувствительность к изменениям идентификатора (появление очков, бороды и т.д.) и внешним факторам (поворот головы, освещенность и т.п.)

Строение черепа (3D-технологии)

Отсутствие необходимости контактировать со сканирующим устройством

Дороговизна и громоздкость оборудования, невысокая скорость идентификации, отсутствие возможности обслуживать большое число пользователей (в режиме идентификации)

Геометрия руки

Надежность сравнима с идентификацией по отпечаткам пальцев

Высокая стоимость сканеров, их большие размеры, неудобная (по сравнению с другими технологиями) процедура идентификации

Радужная оболочка глаза

Отсутствие необходимости контактировать со сканирующим устройством, очень высокий процент успешного распознавания

Изменчивость идентификатора под влиянием возраста и состояния нервной системы, чувствительность средств идентификации к внешним факторам (освещенности, цвету кожи идентифицируемого и т.д.), дороговизна сканеров, небольшое количество производителей оборудования

Рисунок вен на ладони или пальце

Отсутствие необходимости контактировать со сканирующим устройством, неизменность идентификатора на протяжении всей жизни, низкая чувствительность сканеров к внешним условиям (температура окружающей среды, освещенность и т.п.)

Необходимость точного расположения идентификатора по отношению к сканеру (на определенном расстоянии), высокая стоимость сканеров, отсутствие практики применения технологии при обслуживании большого числа пользователей (в режиме идентификации)

Учет специфики объекта защиты

Классификация защищаемых объектов позволяет выделить два "полюса". На одном из них находятся объекты, для которых высшим приоритетом служит надежность идентификации пользователей (ради нее допустимо пожертвовать и скоростью, и удобством распознавания). На другом полюсе располагаются объекты, где на первый план выходит пропускная способность системы контроля доступа, и малейшая задержка, связанная с неправомерным отказом в доступе зарегистрированному (благонадежному) пользователю, способна парализовать функционирование всего объекта или его структурного элемента. Иначе говоря, для данных объектов наиболее важна скорость идентификации.

В терминах биометрии выделенные требования описываются как вероятность возникновения ошибок FAR/FRR, т.е. коэффициентов ложного пропуска (False Acceptance Rate - система предоставляет доступ незарегистрированному пользователю) и ложного отказа в доступе (False Rejection Rate - доступ запрещен зарегистрированному в системе человеку). Необходимо учитывать взаимосвязь этих показателей: искусственно снижая уровень "требовательности" системы (FAR), мы, как правило, уменьшаем процент ошибок FRR, и наоборот.

На сегодняшний день все биометрические технологии являются вероятностными, ни одна из них не способна гарантировать полное отсутствие ошибок FAR/FRR, и нередко данное обстоятельство служит основой для не слишком корректной критики биометрии. "Предъявление карты гарантирует 100-процентную идентификацию, чего не скажешь о биометрии", - в таком ключе высказываются оппоненты, и формально они правы. Однако налицо логическая уловка, связанная с подменой понятий: на самом деле идентификацию проходят разные сущности (неодушевленный носитель в одном случае и человек - в другом), и противопоставление различных технологий не только бессмысленно, но и контрпродуктивно.

Более перспективным представляется анализ возможностей биометрии с учетом основных факторов, обуславливающих специфику функционирования СКУД на объектах различных классов (табл. 2).

Таблица 2. Основные факторы, обуславливающие специфику применения биометрических технологий в СКУД объектов защиты различных классов

Факторы

Класс объекта защиты I

Класс объекта защиты II

Главные требования к функционированию биометрических компонентов СКУД

Надежность идентификации

Скорость идентификации

Удобство идентификации

Фактор не является определяющим

Безусловно необходимо

Бесконтактный способ идентификации

Фактор не является определяющим

Весьма желательно

Контингент пользователей СКУД

В основном — штат постоянных сотрудников предприятия

Подавляющее большинство — внешние посетители

Соотношение различных групп в составе пользователей СКУД

Численность постоянных сотрудников доминирует над количеством внешних посетителей; появление последних регламентируется

Количество внешних посетителей многократно превышает численность постоянных сотрудников

Обновление состава пользователей СКУД

В штатном порядке, в процессе увольнения и приема на работу сотрудников

Происходит постоянно

Возникновение пиковых нагрузок на пункты прохода

Не исключено в начале и по окончании рабочего дня (смены), поддается регулированию административными методами

Весьма вероятно, практически не поддается регулированию

Выделение регистрации биометрических идентификаторов пользователей в самостоятельный бизнес-процесс

Возможно, желательно и реализуемо

В абсолютном большинстве случаев практически нереализуемо

Регистрация биометрических идентификаторов

Может осуществляться в обязательном порядке, в соответствии с требованиями внутреннего регламента деятельности предприятия

Для внешних посетителей - только на добровольной основе

Характер действий, ожидаемых от биометрических компонентов СКУД

Активные: СКУД принимает решения на основании результатов биометрической идентификации

Основная функция - мониторинг: биометрическая идентификация осуществляется в фоновом режиме

Действия СКУД по получению информации от подсистемы биометрической идентификации

Разрешение или запрет доступа пользователю, прошедшему биометрическую идентификацию

Выявление нежелательных посетителей, производимое с помощью их биометрической идентификации, служит сигналом к действию других компонентов СКУД

Яркими представителями объектов первого класса выступают предприятия топливно-энергетического комплекса (включая ядерные и гидроэлектростанции), промышленные производства (особенно связанные с обработкой опасных веществ - взрывчатых, химических и т.п.), инфраструктурные объекты (водозаборы, плотины, различные диспетчерские пункты), здания и сооружения силовых ведомств (военные базы, органы внутренних дел, пенитенциарные учреждения и т.д.). В качестве примеров объектов второго класса можно привести крупные спортивные, развлекательные, торговые учреждения и предприятия, чья деятельность неразрывно связана с возникновением и движением больших людских масс.

Очевидно, что в СКУД объектов первого класса применение биометрии не только возможно и желательно, но и жизненно необходимо. Здесь на первый план выходят технологии, обеспечивающие наименьший уровень ошибок FAR (идентификация по отпечаткам пальцев, радужной оболочке глаз, геометрии кисти руки); не исключено в дальнейшем и внедрение мультибиометрических решений.

На объектах второго класса ситуация принципиально иная. Выделить регистрацию биометрических идентификаторов в особый бизнес-процесс либо невозможно, либо нецелесообразно. С одной стороны, бесконтактный способ распознавания является оптимальным, с другой - столь же значима и скорость идентификации. Главным преимуществом биометрической технологии служит низкий процент ошибок FRR.

К сожалению, сегодня не существует какой-либо биометрической технологии, способной в комплексе эффективно реализовать все перечисленные требования. В некоторой степени им отвечают технологии идентификации по двумерному изображению лица: распознавание осуществляется дистанционно и без непосредственного контакта посетителей с оборудованием, при использовании мощных серверов анализ информации, поступающей с камер CCTV, может осуществляться с приемлемой скоростью. Источниками данных для биометрической идентификации способны выступать фотографии людей, объявленных в розыск, результаты видеонаблюдения, другие видеозаписи. Еще один пласт проблем связан с тем, что значительная часть объектов защиты не вписывается в выделенные классы: жизнь богаче любых схем. К таким объектам "смешанной" природы относятся, например, транспортные предприятия (вокзалы, порты, аэропорты и т.п.). Численность внешних посетителей (в особенности на предприятиях пассажирского транспорта) также весьма велика и превышает количество постоянных сотрудников. Но ключевые требования к СКУД не зависят от принадлежности пользователя к той или иной группе и, в конечном счете, сводятся к высокой надежности.

С другой стороны, эта амбивалентность открывает и новые, более широкие перспективы при формировании СКУД объектов "смешанной" природы: разнообразнее ряд биометрических идентификаторов, применяемых при работе с пользователями различных групп; регламентация доступа внешних посетителей возможна исходя из соображений безопасности и в то же время не приводит к сокращению их количества. Более того, вполне вероятно и формирование контингента привилегированных постоянных посетителей, которым биометрическая идентификация способна предоставить дополнительный уровень сервиса: ускорение досмотра на входе в здание аэропорта, сокращение времени регистрации на рейс, быстрое прохождение предполетного контроля и т.п. Здесь вновь оказываются востребованными преимущества биометрии (распознавание конкретного человека, уникальность его биометрических признаков и т.д.), а сама процедура биометрической идентификации не вызывает негативной реакции и рассматривается как необходимый элемент обшей системы безопасности. Выделение особенностей применения биометрических технологий в зависимости от специфики защищаемых объектов позволяет сделать следующие выводы:

  • современная биометрия способна предоставить достаточно широкий выбор различных технологий идентификации, соответствующих требованиям СКУД на объектах защиты различных классов;
  • наибольшая свобода выбора имеется при формировании СКУД на объектах "смешанной" природы, что не исключает необходимости использования биометрической идентификации и на других объектах, подпадающих под строгую "каноническую" классификацию;
  • чрезвычайно важна интеграция подсистемы биометрической идентификации в общую инфраструктуру СКУД объекта любого класса.

Биометрия в общем контексте развития СКУД

Долгое время скептицизм по поводу перспектив биометрии в СКУД основывался на сомнениях в том, не скажется ли внедрение "новинки" на производительность СКД и их функционирование. Однако анализ существующей практики позволяет заключить, что биометрические технологии не только удачно вписываются в общий "пейзаж" СКУД, но и способны существенно повысить эффективность этих систем (табл. 3).

Таблица 3. Реализация ключевых принципов функционирования СКУД с помощью технологий биометрической идентификации

Принцип

Содержание

Реализация

Надежность

Достоверная идентификация пользователей, недопущение попыток применения утраченных/потерянных/ похищенных идентификаторов

Обеспечивается благодаря сущностным свойствам биометрических технологий

Безотказность

Непрерывность работы системы, ее устойчивость к воздействию внешних факторов

Обеспечивается комбинированием режимов идентификации и верификации, а также возможностью регистрации резервных биометрических идентификаторов (при наличии таковых - например, "резервных" отпечатков пальцев на случай повреждения "основных")

Многорубежность

Разделение объекта защиты на зоны с различными уровнями и режимами доступа, на рубежах которых функционируют контрольные пункты

Интеграция биометрии с другими технологиям и идентификации, возможность многофакторной идентификации при доступе в особо защищаемые зоны и помещения (например, по комбинации биометрического идентификатора и смарт-карты)

Комплексное использование сил и средств

Компенсация недостатков одних технологий преимуществами других

Внедрение мультибиометрических решений

Минимизация требований к пользователям

Сокращение неудобств, связанных с введением мер контроля доступа

Обеспечивается благодаря сущностным свойствам биометрических технологий

Так, необходимую гибкость и определенные гарантии отказоустойчивости может предоставить варьирование режимов идентификации (сравнение вновь предъявляемого идентификатора с множеством ранее зарегистрированных, 1 :М) и верификации (1:1, сравниваются два идентификатора - вновь предъявляемый и тот, сведения о котором записаны, например, в память одновременно предоставляемой смарт-карты).

Режим верификации, как правило, способен обеспечить большую скорость распознавания; кроме того, выше уже упоминалось, что некоторые биометрические технологии способны поддерживать большое число пользователей только в этом режиме. Вместе с тем данному режиму свойственны и определенные издержки: требуются дополнительные идентификаторы, проблематично централизованное управление правами и полномочиями пользователей.

Поэтому оптимальным представляется комбинированный режим работы биометрических компонентов СКУД, который попутно позволяет решить и другие вопросы (скажем, справиться с пиковыми нагрузками в начале и конце рабочего дня). В этом случае за каждым структурным подразделением (отделом, цехом и т.д.) закрепляется какой-то один из нескольких биометрических терминалов, подающих сигнал на открытие турникета по предъявлении идентификатора.

Внутренняя память терминала хранит данные о биометрических идентификаторах закрепленных за ним пользователей, что помогает ускорить и поддержать этот процесс при сбоях в работе сети. С другой стороны, терминалы связаны с сервером центральной базы данных пользователей, и, если сотрудник "ошибся" терминалом, сведения о его идентификаторе поступают с сервера. Одновременно обеспечивается и централизованное управление пользователями: нет нужды регистрировать каждого из них на каждом терминале, содержимое их внутренних баз реплицируется с центральной базой в заданные интервалы (например, два раза в сутки).

Клиент-серверная архитектура, вероятно, и далее будет преобладать как при формировании СКУД в целом, так и при создании биометрических подсистем. В роли "тонких клиентов" способны выступать биометрические терминалы контроля доступа и другие устройства с аналогичными функциями; функции сервера приложений в рассматриваемом контексте выполняет специализированный сервер биометрической идентификации, проводящий сравнение данных о вновь предъявляемых и ранее зарегистрированных идентификаторах. Наилучшим представляется вариант, когда этот и другие серверы приложений СКУД обращаются к единой базе данных пользователей.

Данная схема может быть расширена и оптимизирована с помощью введения буферных серверов приложений, обслуживающих кластеры удаленных клиентов. Подобный сценарий обеспечивает управляемость биометрической СКУД и ее масштабируемость, особенно на предприятиях с сетью территориально распределенных филиалов: удаленные серверы функционируют в филиалах, регулярно синхронизируясь с "центром".

Основные тенденции

В качестве основных тенденций, характеризующих расширение применения биометрических технологий в СКУД, могут быть выделены следующие: интеграция, конвергенция, переход к "федеративному" управлению пользователями, интеллектуализация, внедрение мультибиометрических и многофакторных решений.

Интеграция

Объединение различных подсистем, действующих в составе СКУД. Как уже отмечалось ранее, предпринимаются активные попытки ассоциирования систем видеонаблюдения и биометрической идентификации (к сожалению, приемлемый уровень надежности распознавания пользователей еще не достигнут). Есть перспективы интеграции и с другими подсистемами - например, с подсистемой управления движением автотранспорта, как бы фантастично это ни казалось на первый взгляд. Уже сейчас разработаны решения, позволяющие идентифицировать водителей и пассажиров машин по лицу и радужной оболочке глаз, причем пользователям не нужно даже покидать салон или кабину транспортного средства. При внедрении подобных систем может быть задействован режим верификации (дополнительным фактором выступает номер автомобиля сотрудника, которому разрешен въезд на территорию предприятия или стоянку).

Конвергенция

Комплексирование бизнес-процессов в рамках СКУД и других систем предприятия. Во многих СКУД параллельно с контролем физического доступа уже сейчас осуществляется также и учет рабочего времени; на следующем этапе эти бизнес-процессы, видимо, будут объединены и с разграничением логического доступа к информации и с обеспечением "сквозной" идентификации в полном смысле слова: от проходной до компьютера.

Федеративное управление пользователями

Данная тенденция тесно связана с конвергенцией и предполагает переход от жесткой и замкнутой концепции identity management (управление пользователями в рамках одного бизнес-приложения) к более широкой и гибкой концепции identity federation. В идеале реализация данной концепции предполагает однократную регистрацию пользователя в единой базе данных с дальнейшим распространением его атрибутивных характеристик по всем бизнес-приложениям и системам: от 1C и корпоративного портала до СКУД и системы информационной безопасности. В данном контексте бизнес-приложения превращаются в поставщиков соответствующих сервисов (доступ в здание, компьютерную сеть, к внешним Интернет-ресурсам), а изменение полномочий пользователя в одной подсистеме вызывает каскад обновлений в других (например, повышение в должности автоматически связывается с изменением графика работы и политики учета рабочего времени).

Интеллектуализация

Передача все большего числа функций машинному интеллекту. Полностью автоматическую СКУД пока представить сложно, однако ряд важных операций уже сейчас можно перевести в этот разряд. Например, именно биометрические технологии способны эффективно реализовывать функции antipass-back или контроля присутствия сотрудника на рабочем месте. В первом случае пользователю не удастся обмануть систему, совершая повторный проход по чужой карте или брелоку, а во втором - попросив коллегу предъявлять материальный носитель вместо биометрического идентификатора.

Мультибиометрия. Многофакторность

В настоящее время мультибиометрическими чаще всего именуют системы, основанные на параллельном применении нескольких биометрических идентификаторов, и, разумеется, даже такое механическое суммирование можно считать шагом вперед. Однако о подлинной мультибиометрии можно будет говорить тогда, когда биометрическая идентификация станет интегральной, и в соответствии с рассмотренным выше принципом комплексирования недостатки одних технологий станут компенсироваться преимуществами других.

Иллюстрацией здесь может служить объединение технологий идентификации по геометрии лица и отпечаткам пальцев. Камеры видеонаблюдения "встречают" пользователя на входе в здание или даже на подступе к нему. Средства идентификации по лицу очерчивают круг возможных "кандидатов" на распознавание (пока что большего отданной технологии требовать нельзя), и, когда пользователь сканирует отпечаток пальца с помощью терминала на проходной, его распознавание существенно ускоряется за счет ранее произведенной "выборки".

Более успешна интеграция биометрии с другими технологиями идентификации, причем здесь также могут быть выделены различные ступени зрелости. Самый распространенный вариант - простая многофакторная система, когда полномочия пользователя подтверждаются и биометрическим идентификатором, и предъявлением материального носителя или вводом PIN-кода. Более сложный (но и более перспективный путь) - фиксация сведений о биометрическом идентификаторе в смарт-карте, память которой одновременно выступает и защищенным хранилищем, и аутентификационной информации и другой (электронных сертификатов, ключей шифрования, цифровой подписи и т.д.).

На пути к "плато продуктивности"

Можно предположить, что расширение и интенсификация применения биометрии в СКУД подчиняется общим законам всплеска и падения интереса к технологическим новациям .

Определенное влияние на порождение этих волн оказывают субъективные факторы (изменение политической обстановки, мода, маркетинговая активность отдельных вендоров и т.д.), однако основой служат всё же объективные требования рынка, с одной стороны, и состоятельность конкретных технологий биометрической идентификации - с другой. Пока что ближе всего к выходу на "плато продуктивности" продвинулись технологии идентификации по отпечаткам пальцев, что можно объяснять длительной историей данного направления биометрии, а также интенсивной (и весьма успешной) работой множества фирм, действующих в этом самом обширном сегменте. В целом же дальнейшее упрочение роли, которую играет биометрия в развитии СКУД, зависит от действий различных субъектов рынка:

  • вендорам биометрических систем следует наращивать функциональность и производительность своих продуктов. Как уже отмечалось, системы контроля и управления доступом имеются практически в любой компании, и надежные биометрические СКУД могут обрести многочисленную аудиторию заказчиков, заинтересованных в эффективных решениях;
  • разработчикам и поставщикам "традиционных" СКУД целесообразно анализировать возможности биометрических технологий и видеть в них не только и не столько конкурентов, сколько потенциальных союзников, способных придать новый мощный импульс развитию рынка;
  • системным интеграторам отведена важная роль инициаторов движения биометрических СКУД в направлении интеграции, конвергенции и федеративного управления пользователями (отметим, что данные тенденции соответствуют и общим трендам эволюции ИТ-рынка в целом);
  • компаниям, специализирующимся на предоставлении услуг по монтажу и пусконаладке СКУД, пришло время включить в портфель предложений и установку биометрических систем;
  • потребителям целесообразно осуществлять непрерывный мониторинг рынка, отбирая оптимальные решения (тем более что в России они представлены и весьма продвинутыми системами российских разработчиков, и продуктами иностранных вендоров), а отраслевые СМИ могут содействовать всем этим процессам, формируя объективную картину динамичных процессов внедрения технологий биометрической идентификации в СКУД.

Источник: журнал «Системы безопасности»
http://www.groteck.ru


SiteHeart