| Рубрикатор |  |
 |
| Статьи |  |
ИКС № 06 2011 | |
|
| Вячеслав ПЕТИН | 13 июня 2011 |
Биометрические системы контроля доступа в ЦОД
В современных дата-центрах сконцентрировано большое количество дорогостоящего оборудования, там же хранится пользовательская информация, ценность которой порой превосходит стоимость «железа». Поэтому наряду с системами пожарной сигнализации, пожаротушения и охраны ЦОДам требуются системы контроля доступа, и самые прогрессивные из них – биометрические.
От кого же мы защищаем ЦОД? Во-первых, от злоумышленников, проникающих на охраняемую территорию с конкретными вредительскими целями. Но не только. Нанести непоправимый ущерб сложным и чувствительным к механическим воздействиям системам можно и по некомпетентности, из самых лучших побуждений. В общем, необходимость установки системы контроля доступа (СКД) в дата-центре, на наш взгляд, сомнений не вызывает. Однако чтобы применение технических средств ограничения доступа имело смысл, нужно позаботиться и о надежной конструкции самого помещения. Проще говоря, и стены, и двери должны быть достаточно прочными.
Технологии ограничения доступа
|
С к о л ь к о л е т б и о м е т р и и? Не многие знают, что биометрию человечество применяет как минимум с XIV века. Уже тогда отпечаток пальца служил купцам вместо подписи на торговых соглашениях. В 1880 г. доктор Генри Фолдс опубликовал в научном журнале статью с идеей использования дактилоскопии как способа идентификации личности в криминалистике. А в 1905 г. математик Карл Пирсон превратил идентификацию по отпечаткам пальцев в стройную научную дисциплину. С тех пор биометрия сделала большие успехи, и помимо единственной технологии идентификации по отпечаткам пальцев сейчас существуют десятки методов, которые продолжают развиваться и совершенствоваться. В их числе – идентификация по форме кисти руки, голосу, почерку, сетчатке и радужной оболочке глаза, рисунку сосудов пальцев и форме лица. В 1947 г. в Вудс-Холле (США) прошла Первая международная биометрическая конференция, где было организовано Международное биометрическое общество, съезды которого проходят каждые четыре-пять лет. Биометрические технологии, отличавшиеся ранее дороговизной, сегодня становятся все более доступными для малого бизнеса и даже для домашнего применения. |
Сегодня становятся все популярнее системы на основе сканирования рисунка сосудов пальцев, обеспечивающие более высокий уровень безопасности по сравнению с системами на базе отпечатков пальцев. В последние годы активно развивается технология идентификации по геометрии лица. Однако данный метод гораздо сложнее остальных в плане технической реализации, а кроме того, он требует большего отрезка времени для идентификации пользователя, чем, например, сличение шаблонов отпечатков пальцев. Но поскольку для ЦОДов высокая пропускная способность системы не нужна, в них эта технология вполне может применяться.
Основные мировые производители биометрического оборудования – компании ZK Software, Smartec, Sagem, Identix, Bioscrypt, Recognition Systems и LG Electronics.
Необходимо отметить, что к установленным на предприятии биометрическим системам доступа сотрудники иногда относятся с недоверием и неохотно предоставляют свои идентификационные данные. Такое отношение вряд ли оправданно, поскольку все биометрические характеристики хранятся в памяти считывателей или в базе данных СКД в виде специальных шаблонов. Шаблоны же сформированы таким образом, что восстановить из них исходный биометрический признак, будь то отпечаток пальца или изображение лица, невозможно. Поэтому применение биометрической СКД не представляет для сотрудников никакой опасности с точки зрения возможной утечки их персональных данных.
Особенности применения
В биометрических системах контроля доступа биометрический считыватель для ввода того или иного признака может иметь встроенный контроллер управления дверью. Однако в безопасных решениях использование встроенного контроллера недопустимо, поскольку это дает злоумышленнику возможность демонтировать устройство и, замкнув провода, напрямую управлять замком двери. Устранить подобную уязвимость позволяет Wiegand-интерфейс, через который биометрический считыватель подключается к управляющему модулю системы контроля доступа. В этом случае управление замком двери осуществляется модулем, расположенным в безопасной зоне, т.е. внутри защищаемого помещения. Причем считыватели разных технологий могут работать в составе практически любых СКД, чье аппаратное обеспечение поддерживает Wiegand-интерфейс.
При подобной архитектуре системы контроля доступа в памяти считывателя помимо биометрического шаблона хранится Wiegand-код, который посылается во внешнюю СКД при успешной идентификации биометрического признака. И уже внешняя система принимает решение, предоставить пользователю доступ на объект или нет. Помимо описанных вариантов, существуют биометрические считыватели с выносным контроллером двери, который может быть расположен в защищенной зоне.
Хотя при защите ЦОДов рекомендуется использовать считыватели с внешними контроллерами, отметим, что практически любой биометрический ридер имеет датчик вскрытия, срабатывающий при демонтаже устройства. При этом генерируется сигнал тревоги, который поступает как на локальные устройства оповещения, так и в глобальные системы мониторинга, где оператор выбирает соответствующий способ реагирования на тревогу. Срабатывание датчика вскрытия также может активировать дополнительное запирающее устройство.
Один из важнейших элементов любой биометрической системы – программное обеспечение для ввода биометрических шаблонов, регистрации и сбора событий, настройки, мониторинга и обслуживания системы. Если биометрические считыватели подключаются к контроллерам внешней системы, то возможны два варианта работы с ПО.
Первый вариант: комплексная система имеет два различных программных интерфейса. Через программный интерфейс биометрической системы производится регистрация шаблонов и присваивание им соответствующих кодов, а через программный интерфейс системы контроля доступа назначаются уровни доступа, формируются отчеты и осуществляется мониторинг системы в целом.
Второй вариант: комплексная система имеет единый программный интерфейс для СКД и биометрической подсистемы. Такой вариант удобнее и потому предпочтительнее. Например, при добавлении сотрудника в систему все операции по вводу пользовательской информации и биометрических шаблонов, назначению уровней доступа, добавлению фотографий и т.п. выполняются из одного интерфейсного окна.
На что обратить внимание при выборе оборудования
При организации системы контроля доступа особенно важны следующие параметры биометрических считывателей.
Тип сканера (для идентификации по отпечаткам пальцев). На рынке наиболее широко представлены устройства с емкостными и оптическими сканерами отпечатков пальцев. Емкостные сканеры чувствительны к статическому электричеству и имеют низкую разрешающую способность. С помощью оптических сканеров биометрические шаблоны получаются значительно более качественными. Существуют также ультразвуковые, полупроводниковые, радиочастотные и другие сканеры отпечатков пальцев. У каждой технологии – свои преимущества и недостатки. Например, ультразвуковые сканеры дают высокое качество шаблона, но очень дороги.
Емкость базы данных шаблонов. Биометрические считыватели редко имеют большую память для хранения шаблонов. Ограничения на размер памяти накладывает главным образом быстродействие процессора устройства, так как выполняемая им задача идентификации весьма ресурсоемкая: считыватель должен сравнить один шаблон с множеством других. Обычно память рассчитана на сотни, иногда тысячи шаблонов. При использовании считывателей отпечатков пальцев нужно учитывать необходимость хранения нескольких шаблонов для одного человека, поскольку пальцы подвержены различным поврежде-ниям. Среди считывателей с увеличенной памятью отметим модель MA500 от Sagem, которая может обслуживать до 50 тыс. пользователей (по два отпечатка пальца на каждого), и считыватель 4G V-station от Bioscrypt с памятью на 500 тыс. шаблонов.
Многофакторная идентификация. Наличие такой возможности значительно повышает уровень безопасности системы. Так, при работе в режиме «код + биошаблон» пользователь должен и предъявить биометрический признак, и ввести код доступа. Также очень распространен режим «карта + биошаблон». Существует и трехфакторная идентификация, например «карта + код + биошаблон». Для реализации подобных режимов работы большинство биометрических считывателей опционально имеют встроенный считыватель проксимити- или смарт-карт. Некоторые устройства со встроенными считывателями смарт-карт позволяют хранить биометрические шаблоны не в памяти считывателя, а на самой смарт-карте. Этот метод нивелирует влияние ограниченной памяти устройства, поскольку при сравнении предоставленного биометрического признака с биометрическим шаблоном последний берется не из памяти считывателя, а со смарт-карты. Данный режим эквивалентен двухфакторной идентификации – для получения доступа пользователь должен предъявить и карту, и биометрический признак. Некоторые биометрические считыватели имеют клавиатуру для ввода PIN-кода и/или программирования устройства.
Скорость идентификации (время считывания и распознавания шаблона). Обычно высокая пропускная способность нужна на проходных крупных предприятий. Доступ в помещения ЦОДа требуется только обслуживающему персоналу, соответственно, пропускная способность не является крити-ческим параметром. Именно поэтому здесь могут использоваться биометрические считыватели, скажем, на основе идентификации по форме лица или по сетчатке глаза, работа которых занимает чуть больше времени, чем работа считывателей отпечатков пальцев.
Wiegand-интерфейс (вход/выход). Wiegand-выход позволяет подключать биометрические считыватели к широкому спектру систем контроля доступа. Также к Wiegand-входу биометрического считывателя можно подключать внешние считыватели проксимити- или смарт-карт и использовать карты в качестве дополнительного фактора идентификации.
Коэффициент ложного пропуска (FAR). Важный параметр любой системы безопасности. Он показывает, насколько велика вероятность того, что неправильный биометрический шаблон будет определен как правильный. Значение данного параметра не должно превышать 0,0001 (т.е. на 10 тыс. попыток может произойти одно ошибочное определение биометрического шаблона).
Коэффициент ложного отказа (FRR). Этот параметр показывает, насколько велика вероятность того, что правильный биометрический шаблон будет определен как неправильный. Поскольку в ЦОДе не требуется высокая пропускная способность, параметр не очень важен: при неверной идентификации биометрического признака сотруднику не составит труда пройти идентификацию еще раз, потратив чуть больше времени.
Биометрические технологии все шире распространяются на профильных рынках. Это обусловлено и более высоким уровнем защиты, обеспечиваемым биометрией по сравнению с системами на основе бесконтактных карт, и удобством ее применения.
Биометрические системы наиболее полно отвечают высоким требованиям безопасности, предъявляемым к системам контроля доступа таких важных объектов, какими являются ЦОДы. Быстрое развитие биометрических технологий обязывает нас при планировании комплексной системы безопасности подобных объектов тщательно изучить текущее состояние отрасли с тем, чтобы выбрать наиболее подходящие технологии и функциональное оборудование.
Адрес: 105082, Россия, г. Москва, 2-й Ирининский пер, д. 3