В серьёзных организациях системные администраторы и сотрудники служб информационной безопасности обычно назначают и контролируют права доступа пользователей (или групп пользователей) к различным объектам (файлам, устройствам и т. д.) с помощью инструментария Active Directory, входящего в состав серверной ОС. Однако этот инструментарий оказывается недостаточно удобным, если идентификация пользователей осуществляется не с помощью традиционных паролей, а посредством использования биометрических методов (например, по отпечатку пальца).


IDenium for AD адресован компаниям, считающим важным защитить свои информационные ресурсы
IDenium for AD адресован компаниям, считающим важным защитить свои информационные ресурсы
Облегчить жизнь сисадмина и сделать этот процесс удобным призван продукт «Сервис биометрической идентификации и управления доступом IDenium for Active Directory» (IDenium for AD), разработанный российской компанией BioLink Solutions. Версия 2.0 этого продукта вышла в начале прошлого года и могла работать под управлением Windows 2000/XP/2003.

В мае этого года появилась версия 3.0. В отличие от своей предшественницы она может также функционировать под управлением Windows Vista. Кроме того, новинка «понимает» не только оптические USB-сканеры отпечатков пальцев семейства BioLink U-Match (они выпускаются как в виде автономных устройств, так и во встраиваемом исполнении), но и сканеры отпечатков пальцев компании UPEK. Это один из крупнейших мировых производителей такого рода оборудования, кроме того, в сканерах UPEK реализован иной принцип формирования изображения отпечатка пальца, чем в оптических сканерах BioLink U-Match, где оно сразу формируется полностью (поэтому окно сканирования в них довольно большое и рассчитано на то, чтобы в нём палец уместился полностью). В сканерах же UPEK пользователь как бы «протягивает» палец через узкую полоску сканера. В результате получается несколько «кадров-полосок», из которых затем формируется целостное изображение. Такие «протяжные» сканеры компактнее, что и позволяет встраивать их в ноутбуки и другие мобильные компьютерные устройства, где каждый квадратный сантиметр рабочей поверхности на вес золота.

Дальнейшие планы развития IDenium связаны с разработкой ещё двух его редакций: IDenium Enterprise (для гетерогенных сетей и тех компаний, которые по каким-то причинам не планируют возлагать на службу Active Directory функции, связанные с биометрической идентификацией) и IDenium Personal Edition (для автономно работающих компьютеров, в частности ноутбуков). Как объясняют разработчики, именно с прицелом на персональную редакцию в нынешнюю версию IDenium интегрированы сканеры UPEK, которые чаще всего встраиваются в ноутбуки.

Специалисты BioLink подчёркивают, что в любом случае IDenium не хранит изображения отпечатков пальцев (это очень важно с точки зрения соблюдения владельцами этих пакетов ряда федеральных законов РФ). В этом решении для распознавания пользователя формируется цифровая модель предъявляемого отпечатка пальца, которая сравнивается с моделью, хранящейся в памяти сервера (восстановление изображения отпечатка пальца по его цифровой модели принципиально невозможно). В то же время пользователь может зарегистрировать отпечатки всех 10 пальцев рук, а затем идентифицироваться по любому из них.

Собственно сравнение цифровых моделей биометрических идентификаторов осуществляет программа IDenium Server. Разработчики утверждают, что её регистрация в каталоге Active Directory при инсталляции продукта происходит автоматически. Более того, в корпоративной сети можно установить несколько биометрических серверов, что обеспечит балансировку нагрузки между ними в пиковые периоды — например, в начале рабочего дня, когда в корпоративную сеть практически одновременно входит множество пользователей.

Наличие нескольких серверов повышает и отказоустойчивость биометрической системы: если, в частности, по каким-то причинам выйдет из строя аппаратная платформа одного сервера, «эстафету идентификации» у него мгновенно примет другой. Клиентское ПО сервиса IDenium for AD предоставляет пользователю возможность легко и быстро идентифицироваться по отпечаткам пальцев при входе в корпоративную сеть. При этом регистрация биометрических идентификаторов возможна как самими пользователями на их рабочих местах (что целесообразно, скажем, при едином переходе компании с традиционных паролей на биометрическую систему), так и на рабочем месте администратора (когда под его контролем вносятся сведения о вновь нанятом сотруднике, включая сканирование пальцев новичка). Для защиты особо ценных ресурсов IDenium for AD допускает двухфакторную идентификацию — по отпечатку пальца и паролю. Выбор политики идентификации осуществляется администратором корпоративной сети на вкладке BioLink стандартной консоли Microsoft AD Users and Computers.

Важно отметить, что IDenium Server выполняет только сравнение, а данные пользователей хранятся в Active Directory. Интеграция с Active Directory обеспечивает возможность централизованной установки клиентских частей IDenium на рабочих местах пользователей с рабочего места администратора, что весьма важно для крупных структур.

Алгоритмы биометрической идентификации, используемые в IDenium for AD, аналогичны алгоритмам, применяемым в давно известной системе учёта рабочего времени и контроля доступа BioTime (в январе вышла версия 4.3 этого продукта) и недавно выпущенной системе BioID, предназначенной для эффективной и надёжной регистрации и идентификации клиентов и посетителей предприятий массового обслуживания. Но назначение этих систем различно. IDenium for AD адресован корпоративному сектору и ориентирован на компании, считающие свои информационные ресурсы важным активом. Впрочем, в первом приближении можно сказать, что IDenium for AD ближе к BioTime, чем к BioID (так, нынешняя версия IDenium не может вести учёт посетителей).

Пакет IDenium for AD расширяет возможности службы Active Directory, «очеловечивая» управление доступом к информационным ресурсам. Взаимодействие IDenium for AD и службы Active Directory позволяет персонализировать политику доступа, заданную администратором, за счёт биометрической идентификации по уникальным для каждого человека параметрам. Напомним, что согласно заявлениям Microsoft, Active Directory позволяет администраторам работать с корпоративными сетями, определять в них правила доступа к сетевым ресурсам, устанавливать различное программное обеспечение и критические обновления на все компьютеры в сети.

В дальнейшем функциональность IDenium for AD предполагается расширить, в частности за счёт разработки опции биометрической идентификации пользователей других продуктов (например, ERP- и CRM-систем) с хранением данных пользователей в базах Active Directory.

В свете последних законодательных перемен интересен механизм лицензирования IDenium for AD. Он отличается от порядка лицензирования вышеупомянутых систем BioTime и BioID. Прежде всего потому, что на всех рабочих станциях пользователей IDenium должны иметься сканеры отпечатков пальцев (а для BioTime и BioID можно поставить лишь один сканер на ресепшн, где все сотрудники или посетители будут регистрировать свой приход-уход). Поэтому схема лицензирования IDenium включает три компонента: лицензию на IDenium Server, лицензии на клиентское ПО (которое работает на рабочих станциях) и лицензии на пользователей. Необхо­димость отдельно лицензировать пользователей и их рабочие места возникает потому, что довольно часто у заказчиков возникает ситуация, когда за одним компьютером работает сразу несколько человек (например, операторы при многосменном режиме), так что разделение лицензий позволяет оптимизировать расходы на их приобретение. В ближайших планах BioLink — ещё большая адаптация ценовой политики IDenium for AD под потребности малых и средних предприятий.