Обзор
В новейшей системе TrueFace CyberWatch для идентификации пользователей применяются нейронные сетевые технологии
Система TrueFace CyberWatch 1.0, выпущенная фирмой Miros, никогда не забывает лиц пользователей и благодаря этому надежно защищает секретные компьютерные данные от злоумышленников. В этом относительно недорогом продукте нашли применение новейшие методы биометрии, которые позволяют существенно повысить безопасность сетей. Комплект, состоящий из видеокамеры и ПО, внимательно рассматривает всех пользователей и допускает в систему лишь знакомых ему. Технология на базе нейронных сетей позволяет системе со временем “заучивать” лица и производить их распознавание.
При тестировании в PC Week Labs комплект TrueFace продемонстрировал высокую надежность защиты конфиденциальных приложений. Хорошее впечатление не смогли испортить даже недостатки в управлении и составлении отчетов в первой его версии. Мы считаем, что TrueFace CyberWatch 1.0 - отличное вложение денег для любого администратора, которому необходим наивысший уровень сетевой безопасности.
Выпуск TrueFace CyberWatch 1.0 начат в марте. Серверное ПО, способное запомнить 100 пользователей, стоит $9995, одна лицензия на клиентское ПО - $199, видеокамера QuickCam корпорации Connectix, которой оснащается каждый клиент, - $99. В целом при обслуживании 100 пользователей за каждого из них придется выложить $400, что намного меньше по сравнению с другими биометрическими системами, предлагаемыми сегодня. Средства идентификации по радужной оболочке глаза, например, стоят около $5000 в пересчете на один узел.
Правда, есть и более дешевые комплекты. Так, FaceIt PC Access 2.0 корпорации Visionics можно получить с Web-узла производителя всего за $59,95. Этот продукт не требует ввода имени или пароля, он идентифицирует лицо подошедшего к компьютеру пользователя и, опознав его, включает экран и активизирует клавиатуру. Если пользователь отходит от компьютера, монитор вновь отключается и клавиатура запирается до его возвращения. Однако FaceIt требует применения более дорогостоящих аппаратных средств, включая отдельную плату “захвата” изображения для каждого допущенного к работе пользователя. А это, в конечном счете, доводит его общую стоимость до уровня CyberWatch.
Новый комплект фирмы Miros можно применять с любым сетевым протоколом, однако клиентское и серверное ПО должно быть установлено в среде Windows 95 или Windows NT. Нынешним летом Miros намерена выпустить и версию, совместимую с ОС фирмы Sun Microsystems. В системе допустимо использование не только стандартной, но и других видеокамер, включая устройство DVC300 для универсальной последовательной шины. Последнее выпущено компанией Eastman Kodak в апреле и стоит $199. И все же нельзя забывать, что точность идентификации личности и надежность защиты сети в значительной степени зависят от качества получаемого видеосигнала.
Комплект TrueFace CyberWatch предназначен для обслуживания внутренних приложений, которые открывают доступ к финансовой, научно-исследовательской, военной, медицинской, криминальной, кадровой и другим видам конфиденциальной информации. Может он использоваться и в иных целях, например с административными приложениями подразделений информационного обслуживания.
При разработке TrueFace CyberWatch фирма Miros с самого начала преследовала цель обеспечить защиту приложений, но не сетевую безопасность. По этой причине в любую систему, охраняемую с помощью комплекта, приходится вводить специальный вызов функций интерфейса прикладного программирования. Таким образом, новый продукт нельзя использовать с готовыми приложениями повышения производительности труда и обслуживания баз данных, в них необходимо либо внести соответствующие доработки, либо создать для каждого из них специализированные клиентские компоненты системы безопасности. Для демонстрации возможностей своего продукта Miros снабдила его тестовым приложением - предустановленной клиентской программой, которая открывает электронную таблицу расчета заработной платы Microsoft Excel. Именно ее мы и использовали в ходе тестирования.
К середине года разработчики надеются решить проблему, связанную с API, и дать администраторам возможность конфигурировать защиту сетей и приложений на более высоком уровне, не прибегая к программированию.
Мы инсталлировали TrueFace CyberWatch на двух ПК: Vectra VL4 5/166 компании Hewlett-Packard работал под управлением Windows NT 4.0 Server корпорации Microsoft, а компьютер фирмы Micron Electronics на базе 90 МГц процессора Pentium - в среде Windows 95. Установить ПО особого труда не составило, но не мешало бы еще более упростить этот процесс. Сейчас он включает в себя пять отдельных этапов, в том числе установку сигнала (dongle) на сервере.
На клиентском ПК под управлением Windows 95 была установлена стандартная видеокамера QuickCam, подключенная к параллельному порту и клавиатуре. Для нее также пришлось инсталлировать специализированное ПО.
TrueFace CyberWatch следит за всем происходящим, занося в контрольный журнал не только текстовые данные обо всех пользователях (и самозванцах тоже), но и их фотографии
Проще, чем фото на паспорт
Настройка ПО почти не занимает времени, и мы смогли сразу же приступить к фотографированию пользователей на клиентском ПК. Полученные изображения пересылались на сервер TrueFace. Там наиболее удачные сводились воедино с учетной записью пользователя и базовой информацией о нем. К сожалению, новый продукт не способен взаимодействовать с базой данных Windows NT, поэтому первоначальная установка системы, обслуживающей большую группу пользователей, может потребовать значительного времени.
При каждой попытке запуска находящегося под его охраной приложения клиент TrueFace прежде всего запрашивает имя пользователя. Получив его, он отображает интуитивное окно и приводит в действие видеокамеру, которая фотографирует пользователя. Полученные снимки выводятся на экран, чтобы пользователь мог выбрать наиболее удачный из них.
В ходе тестирования мы не стали долго рассматривать свои изображения, а остановились на первом из них. Затем программа предложила нам вторую фотографию, сделанную в другом ракурсе, которую мы также решили одобрить. Весь процесс занял не более 5 с. Еще несколько секунд потребовалось TrueFace для сравнения полученных изображений с хранящимися на сервере. К нашему удивлению, все прошло гладко с первой же попытки.
В ходе экспериментов мы подходили к компьютеру то в очках, то без них, переодевались и меняли прическу, однако система безошибочно признавала нас. Дело в том, что на фотографии анализируется только лицо, причем ПО способно игнорировать многие изменения в нем. Однако гримасы, темные очки, необычный поворот головы или ее сильный наклон, нестандартное освещение, различное расстояние от видеокамеры - все это приводило к вежливому отказу в доступе.
Программная часть комплекта содержит лишь несколько органов управления видеокамерой, но на практике и ими приходится пользоваться нечасто. С их помощью можно изменить яркость изображения, его контрастность и баланс. Очень большое значение имеет местоположение объекта съемки. Не научившись выдерживать нужное расстояние, пользователь вначале будет получать сообщения “Face not located” (“Лицо не идентифицировано”), однако по мере накопления опыта таких сбоев будет все меньше.
Количество переходит в качество
Пользователь может внести в базу данных до 20 снимков, но каждый из них должен пройти через администратора. Относительно большое число изображений помогает компенсировать изменение освещенности объекта (скажем, днем подсветка будет от окна, а вечером - от настольной лампы). Чем больше фотографий пользователя хранится в базе данных, тем больше вероятность его точной идентификации при любых условиях. В большинстве случаев бывает достаточно пяти-шести снимков.
Скорость срабатывания TrueFace в первую очередь зависит от освещения и положения объекта съемки, так как львиную долю времени занимает выделение лица пользователя. После завершения этой операции процесс идет очень быстро. По утверждению представителей Miros, клиентскому ПК со 166 МГц процессором Pentium для пересылки и обработки файла размером 750 Мб требуется около 1 с, а заключительное сравнение занимает пару миллисекунд.
На скорость проведения аутентификации влияет и производительность клиентского ПК, на котором выполняется существенная часть операций. Наш компьютер с 90 МГц процессором Pentium, по скорости работы примерно вдвое уступавший 166 МГц системе, затрачивал на обработку наихудшего из тестовых снимков около 20 с, а всех остальных - 10 - 12 с. Как сообщили разработчики, при идеальных условиях и применении 166 МГц Pentium общее время идентификации составит 3 - 4 с.
Главный недостаток, который мы отметили в TrueFace CyberWatch, связан с утилитой серверного администрирования. Она работала очень медленно, допускала включение только одной управляющей программы, а при отключении выдавала сигнал ошибки. К тому же она не позволяет просмотреть все изображения пользователя сразу, на экран их можно выводить лишь по одному. Неудачей закончились и все наши попытки распечатать файл регистрации событий. После сделанных замечаний представитель Miros сообщил нам, что эти ошибки устранены и покупатели получат исправленный диск.
Итоговый бюллетень PC Week Labs
На комплект TrueFace CyberWatch 1.0, выпущенный фирмой Miros, непременно должны обратить внимание те администраторы, которые должны защищать от посторонних глаз особо важную информацию. Заложенная в продукт технология распознавания лиц предоставляет высочайший уровень аутентификации доступа к приложениям в любой системе обеспечения безопасности. Однако при этом в защищаемые приложения необходимо вводить вызовы функций API, что требует их доработки на программном уровне.
TrueFace CyberWatch 1.0.Фирма Miros, Уэлсли, шт. Массачусетс, (617) 235-0330, http://www.miros.com.
С методикой оценки параметров тестируемых продуктов, применяемой в PC Week Labs, можно ознакомиться на узле: www.pcweek.com/reviews/meth.html.
+ Очень высокая достоверность аутентификации; отсутствие субъективных предпосылок нарушения безопасности (забытые пароли, украденные жетоны и др.); скорость и простота работы; регистрация всех попыток доступа в контрольном журнале; относительно невысокая цена по сравнению с другими биометрическими средствами.
Несовместим с существующими базами данных аутентификации пользователей; ограниченные возможности административной утилиты, наличие в ней ошибок; необходимость вводить в каждое защищаемое приложение вызовы функций API; высокая скорость работы обеспечивается лишь на клиентских ПК с быстрыми процессорами Pentium.
К сильным сторонам TrueFace CyberWatch следует отнести возможность ревизии системы. Система ведет контрольный журнал, в котором регистрируются все попытки доступа, как успешные, так и отвергнутые. Сюда же заносятся и все сделанные при этом фотографии. Сравнив их со снимками из базы данных и убедившись, что отказ в доступе получил легитимный пользователь, администратор может сразу же добавить его изображение в соответствующий файл. Эта функция особенно удобна в тех случаях, когда кто-либо из сотрудников возвращается из отпуска загоревшим и бородатым или приходит из больницы с повязкой на лице.
TrueFace сталкивается с серьезными трудностями при необходимости различить близнецов. На этот случай предусмотрена настройка порогов чувствительности комплекта, однако этой меры может оказаться недостаточно. Если система используется для защиты особо важной информации, лучше добавить в нее еще один элемент аутентификации, например пароль или жетон.
В версии TrueFace CyberWatch 1.0 отсутствует детектор подделок, который воспрепятствовал бы попыткам проникновения с помощью фотографии легитимного пользователя. Однако представители Miros сообщили, что разработка такой функции уже завершена и она войдет в следующую версию комплекта, выпуск которой состоится в нынешнем году.
Пользователи TrueFace пока должны самостоятельно отключать приложение при выходе из офиса, иначе кто-нибудь может быстро занять их место и продолжить работу. Miros намерена уже в текущем году оснастить свой продукт утилитой, которая будет отмечать уход пользователя с рабочего места и “запирать” компьютер. При возвращении процесс аутентификации придется повторить.
Кен Филлипс (PC Week Labs)
С внештатным редактором Кеном Филлипсом можно связаться через Internet по адресу: kenp@sunrise.alpinet.net.