В серьёзных организациях системные администраторы и сотрудники служб информационной безопасности обычно назначают и контролируют права доступа пользователей (или групп пользователей) к различным объектам (файлам, устройствам и т. д.) с помощью инструментария Active Directory, входящего в состав серверной ОС. Однако этот инструментарий оказывается недостаточно удобным, если идентификация пользователей осуществляется не с помощью традиционных паролей, а посредством использования биометрических методов (например, по отпечатку пальца).
Облегчить жизнь сисадмина и сделать этот процесс удобным призван продукт “Сервис биометрической идентификации и управления доступом IDenium for Active Directory” (IDenium for AD), разработанный российской компанией BioLink Solutions. Версия 2.0 этого продукта вышла в начале прошлого года и могла работать под управлением Windows 2000/XP/2003.
В мае этого года появилась версия 3.0. В отличие от своей предшественницы она может также функционировать под управлением Windows Vista. Кроме того, новинка “понимает” не только оптические USB-сканеры отпечатков пальцев семейства BioLink U-Match (они выпускаются как в виде автономных устройств, так и во встраиваемом исполнении), но и сканеры отпечатков пальцев компании UPEK. Это один из крупнейших мировых производителей такого рода оборудования, кроме того в сканерах UPEK реализован иной принцип формирования изображения отпечатка пальца, нежели чем в оптических сканерах BioLink U-Match, где оно сразу формируется полностью (поэтому окно сканирования в них довольно большое и рассчитано на то, чтобы в нём палец уместился полностью). В сканерах же UPEK пользователь как бы “протягивает” палец через узкую полоску сканера. В результате получается несколько “кадров-полосок”, из которых затем формируется целостное изображение. Такие “протяжные” сканеры компактнее, что и позволяет встраивать их в ноутбуки и другие мобильные компьютерные устройства, где каждый квадратный сантиметр рабочей поверхности на вес золота.
Дальнейшие планы развития IDenium связаны с разработкой ещё двух его редакций: IDenium Enterprise (для гетерогенных сетей и тех компаний, которые по каким-то причинам не планируют возлагать на службу Active Directory функции, связанные с биометрической идентификацией) и IDenium Personal Edition (для автономно работающих компьютеров, в частности ноутбуков). Как объясняют разработчики, именно с прицелом на персональную редакцию в нынешнюю версию IDenium интегрированы сканеры UPEK, которые чаще всего встраиваются в ноутбуки.
Специалисты BioLink подчёркивают, что в любом случае IDenium не хранит изображения отпечатков пальцев (это очень важно с точки зрения соблюдения владельцами этих пакетов ряда федеральных законов РФ). В этом решении для распознавания пользователя формируется цифровая модель предъявляемого отпечатка пальца, которая сравнивается с моделью, хранящейся в памяти сервера (восстановление изображения отпечатка пальца по его цифровой модели принципиально невозможно). В то же время пользователь может зарегистрировать отпечатки всех 10 пальцев рук, а затем идентифицироваться по любому из них.
Собственно сравнение цифровых моделей биометрических идентификаторов осуществляет программа IDenium Server. Разработчики утверждают, что её регистрация в каталоге Active Directory при инсталляции продукта происходит автоматически. Более того, в корпоративной сети можно установить несколько биометрических серверов, что обеспечит балансировку нагрузки между ними в пиковые периоды — например, в начале рабочего дня, когда в корпоративную сеть практически одновременно входит множество пользователей.
Наличие нескольких серверов повышает и отказоустойчивость биометрической системы: если, в частности, по каким-то причинам выйдет из строя аппаратная платформа одного сервера, “эстафету идентификации” у него мгновенно примет другой. Клиентское ПО сервиса IDenium for AD предоставляет пользователю возможность легко и быстро идентифицироваться по отпечаткам пальцев при входе в корпоративную сеть. При этом регистрация биометрических идентификаторов возможна как самими пользователями на их рабочих местах (что целесообразно, скажем, при едином переходе компании с традиционных паролей на биометрическую систему), так и на рабочем месте администратора (когда под его контролем вносятся сведения о вновь нанятом сотруднике, включая сканирование пальцев новичка). Для защиты особо ценных ресурсов IDenium for AD допускает двухфакторную идентификацию — по отпечатку пальца и паролю. Выбор политики идентификации осуществляется администратором корпоративной сети на вкладке BioLink стандартной консоли Microsoft AD Users and Computers.
Важно отметить, что IDenium Server выполняет только сравнение, а данные пользователей хранятся в Active Directory. Интеграция с Active Directory обеспечивает возможность централизованной установки клиентских частей IDenium на рабочих местах пользователей с рабочего места администратора, что весьма важно для крупных структур.
Алгоритмы биометрической идентификации, используемые в IDenium for AD, аналогичны алгоритмам, применяемым в давно известной системе учёта рабочего времени и контроля доступа BioTime (в январе вышла версия 4.3 этого продукта см.) и недавно выпущенной системе BioID, предназначенной для эффективной и надёжной регистрации и идентификации клиентов и посетителей предприятий массового обслуживания. Но назначение этих систем различно. IDenium for AD адресован корпоративному сектору и ориентирован на компании, считающие свои информационные ресурсы важным активом. Впрочем, в первом приближении можно сказать, что IDenium for AD ближе к BioTime, чем к BioID (так, нынешняя версия IDenium не может вести учёт посетителей).
Пакет IDenium for AD расширяет возможности службы Active Directory, “очеловечивая” управление доступом к информационным ресурсам. Взаимодействие IDenium for AD и службы Active Directory позволяет персонализировать политику доступа, заданную администратором, за счёт биометрической идентификации по уникальным для каждого человека параметрам. Напомним, что согласно заявлениям Microsoft, Active Directory позволяет администраторам работать с корпоративными сетями, определять в них правила доступа к сетевым ресурсам, устанавливать различное программное обеспечение и критические обновления на все компьютеры в сети.
В дальнейшем функциональность IDenium for AD предполагается расширить, в частности за счёт разработки опции биометрической идентификации пользователей других продуктов (например, ERP- и CRM-систем) с хранением данных пользователей в базах Active Directory.
В свете последних законодательных перемен интересен механизм лицензирования IDenium for AD. Он отличается от порядка лицензирования вышеупомянутых систем BioTime и BioID. Прежде всего потому, что на всех рабочих станциях пользователей IDenium должны иметься сканеры отпечатков пальцев (а для BioTime и BioID можно поставить лишь один сканер на ресепшен, где все сотрудники или посетители будут регистрировать свой приход-уход). Поэтому схема лицензирования IDenium включает три компонента: лицензию на IDenium Server, лицензии на клиентское ПО (которое работает на рабочих станциях) и лицензии на пользователей. Необходимость отдельно лицензировать пользователей и их рабочие места возникает потому, что довольно часто у заказчиков возникает ситуация, когда за одним компьютером работает сразу несколько человек (например, операторы при многосменном режиме), так что разделение лицензий позволяет оптимизировать расходы на их приобретение. В ближайших планах BioLink — ещё большая адаптация ценовой политики IDenium for AD под потребности малых и средних предприятий.