Для того чтобы свести к минимуму риски, связанные с несанкционированным проникновением, в системах контроля доступа рекомендуется использовать двухфакторную идентификацию. Она представляет собой совокупность двух (в некоторых случаях больше) методов верификации:
Простейшим примером, демонстрирующим двухфакторную авторизацию, является схема работы банкомата. В этом случае в наличии у пользователя имеется пластиковая карта. В качестве информации, обязательной для подтверждения личности, выступает пин-код.
В медицинских учреждениях, к которым предъявляются серьезные требования по защите персональных данных пациентов, пластиковую банковскую карту принято заменять проксимити-картой. Она в совокупности с персональным кодом обеспечивает доступ на территорию медучреждения, с её помощью можно ограничить круг лиц, которым разрешен доступ в каждое конкретное помещение (лабораторию, регистратуру, палату или кабинет), её же можно использовать для входа в компьютерную сеть.
Как видно из вышесказанного, схема достаточно простая, и возникают вполне обоснованные сомнения: насколько она эффективна и безопасна.
В качестве инструмента, обеспечивающего физический доступ на объект, проксимити-карты используются уже несколько десятилетий. В последнее время появилась возможность оснастить персональные компьютеры устройствами для считывания информации с этих карт, что позволило приспособить их для контроля доступа пользователей в сеть.
Карта представляет собой носитель, на котором «зашит» идентификационный номер, который принято называть CSN (card serial number) или, если перевести, серийный номер карты. Именно он в базе данных привязывается к каждому конкретному пользователю. При этом важно учитывать, что информация на карте хранится в незашифрованном виде.
Подобная структура, безусловно, намного более продвинутая и эффектная, чем обычный ввод пароля, но говорить о значительной степени надежности в данном случае не приходится. Информация с карты легко считывается, и, при наличии некоторого дополнительного оборудования и незначительной технической подготовки, легко создать её дубликат.
Даже использование современных карт радиочастотной идентификации, которые, помимо записи серийного номера:
не решают этих проблем.
Чем больше информации записано на карте, чем сложнее алгоритм шифрования, тем больше времени уходит на идентификацию и считывание. Внедрение дополнительных уровней защиты требует плотной работы, как с фирмой-производителем карт, так и с компанией, занимающейся производством оборудования для считывания. Именно эти препятствия не позволяют использовать возможности проксимити-карт на все 100%.
И, если с обеспечением безопасности при физическом доступе на объект эти устройства довольно сносно справляются, то для компьютерных сетей, защиты данных и важных приложений их применяют крайне редко.
В большинстве организаций и компаний вопросы безопасности не являются первостепенными. Дополнительные траты на безопасность достаточно сложно оправдать, а их окупаемость практически всегда находится под сомнением. Даже если производители проксимити-карт закладывают в них возможность двухуровневой авторизации, конечные пользователи предпочитают либо полностью отключить процедуру ввода пароля либо формализируют её, используя grace period.
В последнем случае предъявитель карты вводит пароль только при первичном доступе на объект (допустим в начале рабочего дня) и в последующие несколько часов эта процедура от него не требуется. Таким образом, если в этот промежуток времени карточка будет украдена или утеряна, либо злоумышленник решит воспользоваться дубликатом, он сможет беспрепятственно передвигаться по объекту.
О существовании альтернативного варианта задумывались уже давно.
Основными условиями его функционирования являлись:
Сложив вместе все выше перечисленные факторы, можно легко прийти к выводу о необходимости использования биометрии.
Уже больше века в криминалистике дактилоскопия используется для однозначного определения преступника. Уникальность узора на подушечках пальцев многократно подтверждена, а технология считывания и алгоритмы распознавания опробованы и прекрасно показали себя на практике.
Именно эту особенность человеческого организма и решили использовать конструктора при создании СКУД, работающих на биометрических параметрах. При этом отпадает необходимость в приобретении дополнительных идентификационных устройств, которые можно потерять или забыть дома.
Основной проблемой в этом случае становится грамотный подбор сенсоров и датчиков, позволяющих обеспечить наибольшую эффективность и стабильность работы в реальных условиях объекта.
В современных дактилоскопических считывателях используется мультиспектральные методы извлечения изображения. Использование нескольких спектров при считывании позволяет произвести сканирование не только внешнего слоя, но и проникнуть на несколько миллиметров вглубь решая, таким образом, большинство проблем, связанных с:
При этом значительно упрощается как процедура первоначальной регистрации пользователя в СКУД, так и последующий процесс считывания, идентификации и регистрации событий. Это позволяет минимизировать финансовые и временные затраты на вторичные методы подтверждения личности и дополнительные проверки.
Повсеместное введение электронного документооборота, постоянно увеличивающееся количество угроз со стороны хакеров и вирусов, финансовые и репутационные потери от утечек информации – все это и многое другое требует современного и эффективного подхода к обеспечению безопасности компьютерных данных.
И это касается не только банковского дела, оборонных предприятий и учреждений, но и, в не меньшей степени, медицинских организаций. Биометрия, несомненно, является технологией будущего в этом отношении.
Её использование четко определяет права пользователя, уровень его допуска и возможности. А постоянно совершенствующиеся сканеры и датчики позволяют значительно ускорить и упростить процесс опознания и авторизации пользователя.
© 2010-2024 г.г.. Все права защищены.
Материалы, представленные на сайте, имеют ознакомительно-информационный характер и не могут использоваться в качестве руководящих документов