Решения — Защита информации — IDenium for Active Directory

 Приоритетное направление информационной безопасности — идентификация пользователей корпоративных сетей и управление их доступом к информационным ресурсам (Identity and Access Management). В этих целях активно используется служба каталогов Microsoft Active Directory (AD), в инфраструктуру которой интегрирован сервис биометрической идентификации BioLink IDenium.

Сервис функционирует под управлением операционных систем Microsoft Windows 2000/XP/2003/Vista, включая их 64-битные версии. Назначение и функции BioLink IDenium: 

Назначение и функции BioLink IDenium:

• замена громоздкой и уязвимой парольной системы надежной и удобной идентификацией по отпечаткам пальцев;
• эффективное разграничение доступа к информационным ресурсам корпоративных сетей;
• централизованное управление правами и полномочиями пользователей и жизненным циклом их учетных записей;
• однократная регистрация пользователей и их биометрических идентификаторов с последующим предоставлением зарегистрированным пользователям доступа к информационным ресурсам сети с любого из входящих в ее состав компьютеров;
• протоколирование событий доступа и аудит.

С внедрением BioLink IDenium снижается нагрузка на администраторов и специалистов служб защиты информации, повышается уровень информационной безопасности, а работа пользователей упрощается и ускоряется. Именно пользователи идентифицируются по уникальным неотчуждаемым параметрам — отпечаткам пальцев — простым касанием компактного сканера.

Отпечаток пальца служит единым идентификатором для входа в сеть, доступа к информационным ресурсам, обрабатываемым прикладными программами, электронной почте, защищенным ресурсам Интернет, ERP, CRM и другим управленческим и информационным системам.

В сервисе BioLink IDenium эффективно интегрируются биометрия и технология смарт-карт.

Биометрическая идентификация осуществляется не только при входе в операционную систему, но и при запуске прикладных программ.

Сервис поддерживает работу с целым рядом различных сканеров отпечатков пальцев, включая сканеры, встроенные в ноутбуки и другие мобильные компьютерные устройства. 

С внедрением сервиса BioLink IDenium:

• повышается уровень информационной безопасности;
• сокращаются трудозатраты пользователей, освобождаемых от необходимости помнить и вводить пароли;
• упрощаются процедуры идентификации пользователей при соблюдении требований защиты информации;
• снижается (на 80-90%) нагрузка на администраторов благодаря уменьшению числа обращений пользователей, «забывших» или утративших пароли и материальные идентификаторы.

Разделы

• Компонетны
• Как действует IDenium
• Интеграция с Active Directory
• Политики идентификации
• Применение смарт-карт
• Управление пользователями
• Поддерживаемые сканеры
• Технические требования
• Лицензионная политика
• IDenium LITE и IDenium Corporate
• Преимущества
• Успешные внедрения
• Скриншоты

Компоненты

 Серверное программное обеспечение

IDenium Server

• обрабатывает запросы на идентификацию пользователей, получаемые от рабочих станций
• сравнивает цифровые модели вновь предъявляемого и ранее зарегистрированного отпечатка пальца пользователя
• создает ответные пакеты, содержащие учетные данные пользователя, инициировавшего запрос на идентификацию
• хранит в каталогах расширенной схемы Active Directory всю информацию, необходимую для идентификации пользователя операционной системы (включая цифровые модели отпечатков пальцев пользователей)

Синхронизатор паролей

• обеспечивает синхронизацию учетных данных пользователей, хранящихся в каталогах Active Directory и на серверах BioLink IDenium
• должен быть установлен на каждом из контроллеров домена сети

Клиентское программное обеспечение

BioLink IDenium Admin Pack

• требуется для развертывания компонентов IDenium на компьютере администратора сети
• служит для регистрации/перерегистрации биометрических идентификаторов пользователей, настройки политик идентификации, решения других административных задач
• позволяет при создании учетных записей новых пользователей регистрировать их биометрические идентификаторы централизованно, используя только один компьютер администратора сети

BioLink Windows Logon

• проверяет подлинность (верифицирует) пользователя при входе в операционную систему
• верифицирует пользователя при работе с другими приложениями, взаимодействующими с BioLink Windows Logon
• передает информацию о пользователе, полученную в результате верификации и необходимую для аутентификации пользователя в операционной системе

BioLink IDenium SDK

• устанавливает взаимосвязь между биометрическим идентификатором пользователя операционной системы и учетной записью пользователя в прикладной программе
• заменяет логин/пароль на вход в прикладные программы идентификацией по отпечатку пальца (во взаимодействии с BioLink Windows Logon)
• позволяет расширить схему Active Directory для обеспечения возможности хранения в каталогах этой службы идентификационных параметров пользователей прикладных программ

Как действует IDenium

• пользователь прикладывает палец к сканеру отпечатков, установленному на рабочей станции
• изображение отпечатка пальца с помощью BioLink Windows Logon преобразуется в цифровую модель
• IDenium Server сравнивает сформированную модель с моделью ранее зарегистрированного отпечатка и принимает решение об идентификации пользователя
• при положительном решении об идентификации формируется пакет, содержащий учетные данные пользователя
• эти учетные данные поступают из каталога Active Directory, актуальность учетных данных обеспечивается благодаря работе синхронизатора паролей
• IDenium Server транслирует учетные данные на рабочую станцию
• BioLink Windows Logon передает полученные учетные данные системе, инициировавшей запрос на идентификацию пользователя
• система, инициировавшая запрос, получает сведения о пользователе в привычном для нее виде — прежде всего как имя (логин) пользователя (user ID) и, если это необходимо, его пароль (password)
• на основании этих сведений уже сама информационная система в обычном для себя режиме проверяет идентичность пользователя и решает вопрос о предоставлении ему доступа к защищаемым ресурсам

Интеграция с Active Directory

• централизованное хранение, защиту и передачу идентификационных данных пользователей осуществляет Active Directory
• управление правами и полномочиями пользователей так же централизовано и осуществляется с помощью стандартной Microsoft Management Console (MMC) оснастки Active Directory Users and Computers (ADUC)
• алгоритм работы администратора не меняется: после установки IDenium в консоли MMC появляются вкладки BioLink
• администратор управляет учетными записями пользователей, их правами и полномочиями, регистрирует новых пользователей и их биометрические идентификаторы
• администратор определяет и изменяет регламент доступа пользователей к защищаемым информационным ресурсам — разрешая или запрещая им применять для авторизации биометрические идентификаторы), пароли, смарт-карты
• синхронизатор паролей в автоматическом режиме ведет постоянный мониторинг учетных записей, хранящихся в глобальном каталоге AD, и при необходимости обновляет учетные данные пользователей, необходимые для их идентификации программному серверу IDenium

Политики идентификации

После установки IDenium стандартное распознавание пользователя по логину/паролю дополняется следующими сценариями идентификации:

• по отпечатку пальца — рекомендуется для рядовых пользователей
• по отпечатку пальца ИЛИ паролю — рекомендуется для администраторов и специалистов службы безопасности
• по отпечатку пальца И паролю — при доступе к особо ценным информационным ресурсам
• по смарт-карте, в память которой записан цифровой сертификат для входа в Windows, — с заменой ввода PIN-кода карты идентификацией по отпечатку пальца

Выбор необходимого сценария осуществляется администратором и реализуется в соответствующей политике идентификации. Политики настраиваются с помощью утилит Active Directory: оснастка ADUC, окно свойств пользователя, вкладка «Безопасность».

Политики идентификации можно задавать как для каждого пользователя, так и для групп пользователей.

Применение смарт-карт

Владельцы смарт-карт, в память которых записан цифровой сертификат для входа в Windows, могут заменить ввод PIN-кода карты простой, удобной и надежной идентификацией по уникальным неотчуждаемым биометрическим параметрам — отпечаткам пальцев.

При комплексном использовании технологий биометрии и смарт-карт рекомендуется применять офисный USB-сканер отпечатков пальцев BioLink U-Match 5.0, интегрированный со считывателем смарт-карт.

Если в компании уже имеются считыватели смарт-карт, их можно дополнить USB-сканерами отпечатков пальцев: BioLink U-Match 3.5 (настольное корпусное исполнение) или BioLink U-Match BI (встраиваемое исполнение, для применения в терминалах, информационных киосках и т.п. оборудовании).

Управление пользователями

В зависимости от политики информационной безопасности, применяемой в компании, администратор BioLink IDenium может выбирать разные сценарии управления пользователями, задавая правила регистрации (перерегистрации) биометрических идентификаторов.

Регистрация (перерегистрация) отпечатков пальцев может осуществляться:

1. самостоятельно пользователем — с помощью BioLink Windows Logon;
2. самостоятельно пользователем, при условии обязательного предъявления пользователем зарегистрированного ранее отпечатка пальца при перерегистрации биометрических идентификаторов;
3. пользователем на рабочем месте и в присутствии администратора (сотрудника службы безопасности).

Рекомендуется применять в качестве типового второй или третий сценарии.

Каждый пользователь может зарегистрировать до 10 отпечатков пальцев и в дальнейшем идентифицироваться по любому из них.

Администратор может разрешить кэширование сведений об идентификаторах пользователя на рабочей станции. Если кэширование разрешено, то при отсутствии соединения с IDenium Server (например, при временных сбоях в локальной сети) пользователь может авторизоваться на рабочей станции с помощью локального кэша (при условии, что ранее пользователь уже проходил идентификацию на данной рабочей станции).

Необходимо учитывать, что включение кэширования может привести к снижению уровня информационной безопасности, и администратор в любое время может запретить хранение идентификаторов пользователя в локальном кэше.

Кроме того, администратор может запретить вывод на экран изображения отпечатка пальца при прохождении пользователем биометрической идентификации. В этом случае изображение отпечатка будет заменено типовой картинкой, шаблонное изображение на которой не имеет ничего общего с реальными отпечатками.

Однако в этом случае пользователь не сможет контролировать свою работу со сканером, ориентируясь на реальное изображение отпечатка и менять угол наклона, силу, с которой палец касается окна сканера и другие параметры, которые необходимо учитывать в случае, если характер предъявления отпечатка пальца сканеру отличается от того, что был применен при его регистрации.

Поддерживаемые сканеры

С программным обеспечением BioLink IDenium могут использоваться следующие сканеры отпечатков пальцев:

• BioLink U-Match 1.0…3.5 — офисные оптические USB-сканеры отпечатков пальцев;
• BioLink U-Match BI USB — встраиваемый оптический USB-сканер отпечатков пальцев;
• BioLink U-Match 5.0 — офисный оптический USB-сканер отпечатков пальцев, интегрированный со считывателем смарт-карт;
• сканеры компании UPEK, встроенные в ноутбуки и другие мобильные компьютерные устройства (перед применением IDenium со сканерами этого типа необходимо предварительно проконсультироваться с компанией BioLink).

Технические требования

Клиентская рабочая станция

• персональный компьютер с процессором Pentium IV 1500 МГц или выше
• операционная система Microsoft Windows 2000 (SP 4) / XP (SP2)/ 2003 (SP2) / Vista
• объем оперативной памяти не менее 256 Мбайт (рекомендуется 512 Мбайт)
• 200 Мбайт свободного места на жестком диске (зависит от типа операционной системы)
• дисковод для чтения CD-ROM (на время установки программного обеспечения — если она не осуществляется централизованно)
• сетевой адаптер
• USB-порт для подключения сканера отпечатков пальцев (или встроенный сканер отпечатков пальцев компании UPEK)

Рабочая станция администратора

• персональный компьютер с процессором Pentium IV 1500 МГц или выше
• операционная система Microsoft Windows Server 2000 (SP 4) / 2003 (SP2) или Microsoft Windows 2000 (SP 4), XP (SP2) с дополнительно установленной консолью для управления Active Directory
• объем оперативной памяти не менее 256 Мбайт (рекомендуется 512 Мбайт)
• 200 Мбайт свободного места на жестком диске
• дисковод для чтения CD-ROM (на время установки программного обеспечения)
• сетевой адаптер
• USB-порт для подключения сканера отпечатков пальцев (или встроенный сканер отпечатков пальцев компании UPEK)

Контроллер домена

• персональный компьютер с процессором Pentium IV 3000 МГц или выше
• операционная система Microsoft Windows Server 2000 (SP 4) / 2003 (SP2)
• объем оперативной памяти не менее 512 Мбайт
• 200 Мбайт свободного места на жестком диске

Аппаратная платформа IDenium Server

• персональный компьютер с процессором Pentium IV 3000 МГц или выше
• операционная система Microsoft Windows Server 2000 (SP 4) / 2003 (SP2)
• объем оперативной памяти не менее 1024 Мбайт
• 200 Мбайт свободного места на жестком диске

Лицензионная политика

Лицензируются следующие объекты:

• программный IDenium Server — должен присутствовать в локальной сети хотя бы в одном экземпляре. Закупка резервных программных серверов биометрической идентификации рекомендуется для компаний с большим числом пользователей для распределения нагрузки между упомянутыми серверами в периоды пиковой нагрузки (например, в начале рабочего дня) и обеспечения отказоустойчивости (если по каким-либо причинам из строя выйдет аппаратная платформа одного сервера, его функции мгновенно возьмут на себя резервные);
• количество пользователей — определяется по числу учетных записей, логины и (если это необходимо) пароли которых заменяются на биометрические идентификаторы;
• число рабочих станций — определяется по количеству сканеров отпечатков пальцев, подключенных к рабочим станциям, на которых устанавливается клиентское программное обеспечение BioLink IDenium.

Количество пользователей и число рабочих станций могут не совпадать — например, если в условиях многосменной работы один и тот же компьютер эксплуатирует несколько операторов, либо обслуживание технологической линии под управлением ряда компьютеров одним или несколькими операторами.
Для установки BioLink IDenium требуется приобретение материального носителя — DVD-бокса с инсталляционным диском.
При закупке BioLink IDenium оформляется лицензия, в которой указывается количество серверов биометрической идентификации, лицензий на рабочие места и лицензий на пользователей, приобретенных заказчиком.

IDenium LITE и IDenium Corporate

Лицензионная политика BioLink IDenium оптимизирована под потребности компаний с различным количеством сотрудников и рабочих мест. Компаниям с числом пользователей (и/или рабочих мест) до 100 единиц поставляется IDenium LITE; если какой-либо из упомянутых показателей превышает указанный порог, заказчику поставляется IDenium Corporate. Закупка IDenium Corporate рекомендуется также в случае, если какой-либо из упомянутых показателей находится в «пограничной» зоне (80-90 единиц) и в дальнейшем возможно их увеличение.
В любое время доступно обновление программного обеспечения IDenium LITE до линии IDenium Corporate.
Функциональность программного обеспечения обеих линий (IDenium LITE и IDenium Corporate) одинакова, различия касаются лишь описанных выше механизмов лицензирования.

Преимущества

Успешные внедрения

Народный банк, Казахстан

• сканеры отпечатков пальцев и прикладное программное обеспечение биометрической идентификации на 9 000 рабочих мест
• основной и резервный серверы биометрической идентификации
• интеграция биометрической идентификации в специализированные банковские приложения
• планы применения биометрических технологий в банкоматах

Западно-Сибирский коммерческий банк, Россия

• биометрическая идентификация пользователей корпоративной сети
• биометрическая система функционирует в головном офисе и 30 филиалах
• идентификация сотрудников банка при доступе в корпоративную сеть, к финансовым системам, защищенным Интернет-ресурсам

Завод «Тяжмаш», Сызрань, Россия

• биометрическая идентификация инженеров, конструкторов, техников
• интеграция биометрии в специализированные программные продукты, применяемые при проведении опытно-конструкторских работ и в инжиниринге
• планы распространения биометрии на филиалы предприятия и использования биометрических систем учета рабочего времени и контроля доступа

Министерство связи и массовых коммуникаций, Россия

• оснащение аппаратными и программными средствами биометрической идентификации рабочих мест сотрудников центрального аппарата Министерства и находящихся в его ведении федеральных агентств и служб
• программный сервер централизованной биометрической идентификации
• проект реализован в два этапа с последовательным увеличением численности пользователей биометрической системы

Скриншоты

Вход в систему	Политики	Панель управления
Ввод отпечатков	Безопасность	Смена пользователя
Смена пользователя	Мультифакторная идентификация	Разблокировка компьютера