Идентификация требует, чтобы пользователь был так или иначе известен ЛВС. Она обычно основана на назначении пользователю идентификатора пользователя. Однако ЛВС не может доверять заявленному идентификатору без подтверждения его подлинности. Установление подлинности возможно при наличии у пользователя, чего-нибудь уникального, что только пользователь имеет, типа карты, чего-то единственного, что только пользователь знает, типа пароля, или что-то, что делает пользователя уникальным, типа отпечатка пальца. Чем больше количество таких уникальных вещей предоставлено пользователем ЛВС, тем меньше риск, что кто-то подменит законного пользователя.
Система идентификации и аутентификации (IdentityManagementSystem) — комплекс аппаратно-программных средств, управляющих учетными записями субъекта, соответствующими правами доступа, а также осуществляющих мониторинг активности пользователя, необходимый для выявления потенциальных злоумышленников внутри организации. Как правило, средства идентификации и аутентификации интегрированы со средствами разграничения доступа. Немаловажным свойством системы аутентификации является возможность интеграции в нее всевозможных аппаратных средств защиты — кард-ридеров, электронных замков, устройств считывания биометрических данных, металлоискателей, средств сигнализации и пожаротушения и т.п.
Ниже приведены некоторые наиболее распространенные средства идентификации и аутентификации:
ActiveDirectory — LDAP-совместимая реализация интеллектуальной службы каталогов корпорации Microsoft для операционных систем семейства WindowsNT. ActiveDirectory позволяет администраторам использовать групповые политики (GPO) для обеспечения единообразия настройки пользовательской рабочей среды, развертывать ПО на множестве компьютеров (через групповые политики или посредством MicrosoftSystemsManagementServer 2003 (или SystemCenterConfigurationManager)), устанавливать обновления ОС, прикладного и серверного ПО на всех компьютерах в сети (с использованием WindowsServerUpdateServices (WSUS); SoftwareUpdateServices (SUS) ранее).
ActiveDirectory хранит данные и настройки среды в централизованной базе данных. Сети ActiveDirectory могут быть различного размера: от нескольких сотен до нескольких миллионов объектов.
Достоинства Active Directory:
· Изначальная интегрированность в серверные версии операционной системы MicrosoftWindows. Следовательно, при наличии лицензионного ПО обладает нулевой стоимостью;
· Простота настройки и конфигурирования.
Основные недостатки:
· Отсутствие поддержки других операционных систем, кроме MSWindows;
· Малое количество поддерживаемых протоколов доступа, и как следствие, низкий уровень интегрируемости с другими системами.
NovelleDirectory — это совместимая с Х.500 служба каталогов, выпущенная компанией Novell, Inc. для централизованного управления доступом к ресурсам на множество сетевых серверов. Этот продукт широко используется и конкурирует с ActiveDirectory компании Microsoft, JavaSystemDirectoryServer компании Sun и FedoraDirectoryServer компании RedHat.
eDirectory представляет собой иерархическую, объектно – ориентированную базу данных, которая представляет все ресурсы организации в виде логического дерева. Ресурсами могут быть сотрудники, должности, серверы, рабочие станции, приложения, принтеры, службы, группы и т.д. Эффективное управление глобальным и точным доступом к ресурсам достигается за счет использования динамического наследования прав и использование механизмов эквивалентности правам. Права доступа для объектов в дереве определяются во время выполнения запроса и зависят от того, какие права назначены объекту явно, через эквиваленты по правам и благодаря местонахождению (контексту) объекта в дереве.
Достоинства NovelleDirectory :
· Многоплатформенность;
· Реплицируемость (возможность тиражирования системы на несколько серверов для повышения надежности и снижения нагрузки);
· Развитые средства мониторинга и управления;
Основные недостатки:
· Высокая стоимость;
· Высокие требования к квалификации обслуживающего персонала;
Кроме программных средств, ограничивающих и регламентриющих доступ только лишь к цифровой информации, в средних и крупных организациях также применяются аппаратные системы контроля доступа, которые отвечают за доступ в здания, помещения и т.п. Как правило, комплекс аппаратных СКУД представляет собой целостную систему, интегрированную в общую схему информационной безопасности организации.
Основные компоненты СКУД:
Идентификатор – ключ, который служит для определения прав владеющего им человека. Это может быть бесконтактная (Proximity) карточка или брелок. Также, в качестве идентификатора может использоваться код, набираемый на клавиатуре или ряд биометрических признаков человека - отпечаток пальца, рисунок сетчатки или радужной оболочки глаза.
Контроллер – основная часть системы. Именно контроллер принимает решение, пропустить или нет человека в данную дверь. Контроллер хранит в своей памяти коды идентификаторов со списком прав каждого из них.
Считыватель – устройство, которое считывает код идентификатора и передает его контроллеру. Считыватель должен быть доступен снаружи помещения, проход в которое необходимо получить.
Электромагнитные замки – сравнительно недороги и в некоторых случаях очень удобны в установке. Почти все они относятся к группе замков, запираемых напряжением, то есть, пригодны для установки на путях эвакуации при пожаре. Недостатки — несколько более высокая цена, а также необходимость гибкой подводки на саму дверь.
Турникеты – существуют двух основных типов: поясные и полноростовые. За счет высокой пропускной способности они незаменимы на входе в крупное предприятие, где, к тому же, используется система учета рабочего времени.
Ворота и шлагбаумы – чаще всего используются на въездах на предприятие и на автомобильных парковках. Основное требование — устойчивость к климатическим условиям и возможность управления от контроллера СКУД.
Проектирование СКУД целесообразно осуществлять в сотрудничестве со специалистами компании, производящей монтаж данной системы. В настоящее время в России существуют десятки фирм, специализирующихся на производстве, реализации и внедрении данных средств защиты. Вот некоторые из них:
"Parsec"
Производитель технических средств контроля доступа (сетевые контроллеры, сетевые считыватели, интерфейсы), а также программного обеспечения для них. В качестве интегрированной системы безопасности предлагается система ParsecNET, управляющая аппаратными средствами и устанавливаемая на один или более IBM-совместимые персональные компьютеры (ПК)
СКУД CANTEC
Программно-аппаратный комплекс, основу которого составляют контроллеры на 1-4 точки прохода ACD-4. Контроллеры управляют замками, турникетами, шлагбаумами, шлюзовыми кабинами и приводами автоматических ворот. Можно также осуществлять управление внешними устройствами (свет, вентиляция и т.д.). Для связи используется CAN-сеть, обеспечивающая бесперебойную работу системы в режиме реального времени. Содержит систему анализа, позволяющий производить мониторинг событий, перемещение пользователей, учет рабочего времени и т.д.
"Securitron"
Корпорация, производящая оборудование для систем СКУД (США).
"Паладин-Л"
Компания, специализирующаяся на электронных системах безопасности. Осуществляет монтаж систем различных производителей, как отечественных, так и зарубежных.
Некоторые биометрические характеристики уникальны для данного человека, и их можно использовать для установления личности или проверки декларируемых личных данных:
· для идентификации пользователя (вместо ввода имени пользователя);
· совместно с паролем или персональным идентификатором (таким, как смарт-карта) - для обеспечения двухфакторной аутентификации.
Биометрические характеристики делятся на следующие группы:
· физиологические (физические или статические) - основаны на данных, полученных путем измерения анатомических данных человека;
· поведенческие (динамические) - основаны на данных, полученных путем измерения действий человека.
Все биометрические системы работают одинаково, отличаясь объектами и способами измерений. Пользователь предоставляет образец - опознаваемое, необработанное изображение или запись физиологической или поведенческой характеристики - посредством регистрирующего устройства (например, сканера или камеры). Предоставленная характеристика обрабатывается для получения информации об отличительных признаках, в результате чего получается ЭИП (эталонный идентификатор пользователя) -числовая последовательность; сам образец из него восстановить невозможно.
В процессе биометрической идентификации снятая в процессе идентификации характеристика сравнивается с ЭИП. Поскольку эти два значения полностью никогда не совпадают, то для принятия положительного решения о доступе степень совпадения должна превышать определенную пороговую величину.
Соответственно, в биометрических системах полученная при попытке идентификации характеристика претендента может быть ошибочно признана: