Эффективная и высокотехнологичная защита

Система биометрической идентификации
пользователей корпоративных сетей и приложений
1
Биометрия – надежное решение проблем идентификации
2
IDenium – назначение, функции и возможности
3
IDenium - компоненты
4
Как действует IDenium
5
Ключевые возможности
6
Успешные внедрения
Проблемы парольной идентификации
RSA: на основе обследования 1700 компаний в США
o
88% сотрудников не удовлетворены системой управления паролями
o
25% сотрудников держат свои пароли в текстовом файле
o
У 15% сотрудников список паролей хранится записанным на бумаге недалеко от компьютера
o
17% заявило, что службе поддержки в среднем требуется более 15 минут на решение их проблемы с паролем
71% нарушений безопасности происходит с
участием сотрудников
до 50% обращений в службу поддержки вызваны
проблемами с паролями
CSI/FBI Computer Crime Survey
Lenovo
До 75% сотрудников разглашают пароли
коллегам
SecurEnvoy, 2009
Средства шифрования, межсетевые экраны, оказываются бесполезны,
если злоумышленнику стал известен пароль доступа к
информационным ресурсам
Недостатки классических методов идентификации:


владение информацией (пароль)

Легкие пароли быстро подобрать, сложные пароли трудно запомнить

Большинство людей записывают пароли: ежедневники, стикеры,
подобный
текстовый
файл
зачастую
–
легкая
добыча
злоумышленника

Большинство сотрудников с легкостью сообщают свои пароли
коллегам или посторонним лицам

Затраты на администрирование паролей в масштабах крупной
организации могут быть весьма существенны

Простои и дискомфорт сотрудников из-за забытых или измененных
паролей
обладание вещью (карта, жетон, токен)

Легко потерять , забыть или намеренно передать другому лицу

Может стать добычей злоумышленника (вора)

Большинство сотрудников оставляют карты и токены доступа
вставленными в считыватель, когда отходят от своего рабочего
места

Существенная стоимость владения (поломки, потери)
Преимущества биометрии
Биометрическая идентификация

УНИКАЛЬНОСТЬ
•

БЕЗОПАСНОСТЬ



невозможен отказ от действий, подтвержденных биометрическим идентификатором
пользователи не забывают, не теряют паролей и не обмениваются ими
НАДЕЖНОСТЬ
•
•

идентифицируется конкретный человек, а не его пароль, жетон или карта
биометрические идентификаторы не имеют ограничений по числу считываний
возможна регистрация резервных идентификаторов
УДОБСТВО
•
•
естественная простота и удобство применения
удобство администрирования
1
Биометрия – надежное решение проблем идентификации
2
IDenium – назначение, функции и возможности
3
IDenium - компоненты
4
Как действует IDenium
5
Ключевые возможности
6
Успешные внедрения
IDenium: назначение и функции
BioLink IDenium -
система защита информации от
несанкционированного доступа с помощью надежного и удобного
механизма биометрической идентификации пользователей
корпоративных сетей и приложений
Решаемые задачи




снижение рисков (финансовых, конкурентных, репутационных),
связанных
с
несанкционированным
доступом
к
информационным ресурсам предприятия
существенное сокращение затрат на администрирование
паролей в масштабах организации
снижение непроизводительных затрат рабочего времени
сотрудников
удобство и комфорт в работе
IDenium: назначение и функции

идентификация при входе в операционную систему
поддерживаются ОС Microsoft Windows 2000, Windows XP (32/64-bit), Windows 7
(32/64-bit), Windows Server 2003 (32/64-bit), Windows 2008 Server R2

идентификация при входе в любое Windows приложение
с помощью биометрического SSO BioLink Password Vault или путем интеграции
в приложение собственной разработки с помощью IDenium SDK

идентификация при работе в терминальной сессии




поддержка Microsoft RDP и Citrix
при входе в терминальную сессию
при входе в любое Windows приложение через терминальную сессию
поддержка «тонких клиентов» на платформе Windows CE

идентификация при входе в Web-приложения

идентификация при проведении транзакций
IDenium: возможности

централизованное хранение и администрирование биометрических
данных



биометрический сервер для быстрого поиска



биометрическая идентификация «1-ко-многим» в реальном времени
масштабируемость и отказоустойчивость за счет установки дополнительных
серверов, поддержка «горячей замены»
полная интеграция со службой каталогов Microsoft Active Directory



вход по отпечаткам пальцев с любой рабочей станции сети
повышенный уровень безопасности
поддержка любых сложных многодоменных конфигураций (леса, древа
доменов)
автоматическая репликация биометрических данных по региональным
подразделениям (сайтам Active Directory)
централизованная настройка и редактирование сценариев входа в
приложения
IDenium: возможности

назначаемые политики безопасности для гибкой настройки




интегрированные средства администрирования



вход по отпечатку пальца, смарт-карте, паролю или их комбинации
разрешение самостоятельной смены биометрических идентификаторов на
рабочей станции
разрешение кэширования данных на рабочей станции
средства администрирования интегрированы в стандартную оснастку Active
Directory Users and Computers (ADUC)
удобство управления учетными записями и биометрическими данными
пользователя из единого стандартного интерфейса
автоматическое развертывание клиентского ПО


после подключения устройства и установки драйвера, клиентское ПО и
обновления могут быть доставлены автоматически
возможность удаленной регистрации биометрических данных пользователя
1
Биометрия – надежное решение проблем идентификации
2
IDenium – назначение, функции и возможности
3
IDenium - компоненты
4
Как действует IDenium
5
Ключевые возможности
6
Успешные внедрения
IDenium: компоненты

Серверные компоненты

BioLink IDenium Server
для обработки запросов на биометрическую идентификацию и поиска по базе данных в
реальном масштабе времени

BioLink Password Monitor
для синхронизации паролей учетных записей между сервером IDenium и каталогом
Active Directory

Клиентское программное обеспечение

BioLink IDenium Admin Pack
расширение оснастки администрирования учетных записей Active Directory

BioLink Windows Logon
для идентификации пользователя при входе в операционную систему

BioLink Password Vault
для идентификации пользователя при входе в приложения

BioLink IDenium SDK
интеграция с приложениями собственной разработки
IDenium Server



обрабатывает запросы на идентификацию пользователей, получаемые от
рабочих станций
сравнивает цифровые модели вновь предъявляемого и ранее
зарегистрированного отпечатка пальца пользователя
создает ответные пакеты, содержащие учетные данные пользователя,
инициировавшего запрос на идентификацию
Password Monitor


обеспечивает синхронизацию учетных данных пользователей, хранящихся в
каталогах AD и на серверах BioLink IDenium
должен быть установлен на каждом
из контроллеров домена сети
BioLink IDenium Admin Pack




развертывание компонентов управления IDenium
на компьютере администратора сети
регистрация/перерегистрация биометрических идентификаторов
пользователей
настройка политик идентификации, решение других административных задач
при создании учетных записей новых пользователей их биометрические
идентификаторы можно регистрировать централизованно, используя
компьютер администратора
BioLink Windows Logon



идентифицирует пользователя при входе в операционную систему
передает информацию о пользователе, полученную в результате верификации
и необходимую для аутентификации пользователя в ОС
позволяет осуществить регистрацию биометрических данных (при установке
соответствующей политики)
BioLink Password Vault




замена стартового окна идентификации пользователя по имени и паролю в
любом Windows приложении на идентификацию по отпечатку пальца
возможность самостоятельной (пользовательской) записи сценариев входа в
приложения
редактирование сценариев входа в приложения администратором системы
возможность импорта сценариев для централизованного назначения атрибутов
доступа в приложение (например, импорт списка паролей из Excel файла)
1
Биометрия – надежное решение проблем идентификации
2
IDenium – назначение, функции и возможности
3
IDenium - компоненты
4
Как действует IDenium
5
Ключевые возможности
6
Успешные внедрения
1
пользователь прикладывает
палец к сканеру отпечатков
2
BioLink Windows Logon
преобразует изображение
отпечатка пальца
в цифровую модель
и отправляет ее серверу
идентификации
3
IDenium Server сравнивает
новую модель
с ранее зарегистрированной
и принимает решение
об идентификации
пользователя
Как действует
BioLink IDenium
рабочая
станция
сервер
идентификации
3
2
1
4
при положительном
решении
об идентификации
формируется пакет
с учетными данными
пользователя
5
эти учетные данные
поступают из каталога AD,
их актуальность
обеспечивает синхронизатор
паролей
6
IDenium Server транслирует
учетные данные на рабочую
станцию
Как действует
BioLink IDenium
рабочая
станция
сервер
идентификации
3
2
4
1
6
5
база данных
службы каталогов
Active Directory
7
BioLink Windows Logon
передает учетные данные
системе, инициировавшей
запрос на идентификацию
пользователе
8
система получает сведения
о пользователе в привычном
для нее виде — как логин
и пароль пользователя
Как действует
BioLink IDenium
рабочая
станция
сервер
идентификации
3
2
4
7
6
1
8
5
9
ID
password
9
контроллер
домена
Windows
база данных
службы каталогов
Active Directory
система в обычном для себя
режиме проверяет
идентичность пользователя
и решает вопрос о
предоставлении ему доступа
к защищаемым ресурсам
1
Биометрия – надежное решение проблем идентификации
2
IDenium – назначение, функции и возможности
3
IDenium - компоненты
4
Как действует IDenium
5
Ключевые возможности
6
Успешные внедрения
Интеграция с Active Directory



централизованное хранение,
защита и передача
идентификационных данных
пользователей средствами AD
централизованное управление
правами и полномочиями
пользователей
вкладки BioLink стандартной
Microsoft Management Console
оснастки Active Directory Users
and Computers (ADUC)
Регистрация идентификаторов

одновременно с созданием
учетной записи пользователя в AD


при найме нового сотрудника,
в присутствии администратора
и на его рабочем месте
самостоятельная регистрация
биометрических идентификаторов
пользователем на своем рабочем
месте

например, на этапе развертывания
сервиса BioLink IDenium
Самостоятельная регистрация





пользователь выбирает
регистрируемый отпечаток
отпечаток сканируется
допускается регистрация
отпечатков всех 10 пальцев рук
дальнейшая идентификация
по любому из отпечатков
для перерегистрации отпечатков
действует тот же механизм
Политики идентификации

идентификация только по отпечатку


идентификация по отпечатку пальца
или паролю


для администраторов и сотрудников
службы информационной безопасности
двухфакторная идентификация
по отпечатку пальца и паролю


для большинства пользователей
защита доступа к ценным ресурсам
по смарт-карте

с заменой ввода PIN-кода карты
идентификацией по отпечатку пальца
Применение смарт-карт



в память смарт-карты вносится
цифровой сертификат для входа
в Windows
ввод PIN-кода заменяется
биометрической идентификацией
офисный USB-сканер
BioLink U-Match 5.0 интегрирован
со считывателем смарт-карт
Биометрический вход в приложения Password Vault



динамическая замена окна
входа в приложение по
имени и паролю на
биометрическую
идентификацию
запись сценариев входа на
стороне клиента
централизованное
управление сценариями
Управление сценариями Password Vault


панель управления
сценариями входа в
приложения для учетной
записи пользователя
редактирование сценариев
входа в приложения
(vbScript)
Централизованная установка



осуществляется с рабочего места
администратора
сервер(ы) биометрической
идентификации регистрируются
в Microsoft Active Directory
автоматически
дополнительный сервер
биометрической идентификации

отказоустойчивость и балансировка
нагрузки
Поддерживаемые сканеры отпечатков

BioLink U-Match 1.0-3.5


BioLink U-Match BI USB


встраиваемый оптический USB-сканер
BioLink U-Match 5.0


офисные оптические USB-сканеры
офисный оптический USB-сканер
отпечатков пальцев, интегрированный
со считывателем смарт-карт
сканеры компании UPEK

встроены в ноутбуки и другие мобильные
компьютерные устройства
1
Биометрия – надежное решение проблем идентификации
2
IDenium – назначение, функции и возможности
3
IDenium - компоненты
4
Как действует IDenium
5
Ключевые возможности
6
Успешные внедрения
Западно-Сибирский коммерческий банк
www.zapsibkombank.ru
Внедрение системы биометрической идентификации IDenium в головном офисе
Банка и 30 филиалах. Биометрической идентификация используется при доступе
сотрудников в корпоративную сеть, финансовые системы и защищенные
Интернет-ресурсы.
Благодаря эффективной работе системы и высоким оценкам руководства
службы информационной безопасности Банка, проект постоянно и стабильно
масштабируется с целью охвата всех рабочих станций во всех филиалах
«Запсибкомбанка».
«Внедрение биометрической идентификации сотрудников в нашем Банке – шаг вперед к
более высокому уровню информационной безопасности. Система BioLink IDenium
полностью интегрируется в структуру Active Directory, что позволяет нам максимально
удобно работать со сценариями и политиками пользователей. Встроенный алгоритм
распознавания отпечатков пальцев позволяет производить процесс идентификации очень
быстро – не более одной секунды. Также хотелось бы отметить совместимость IDenium с
новыми операционными системами семейства Microsoft: Vista и Seven»
Андрей Чавыкин, руководитель службы информационной безопасности ЗапСибКом Банка
Банк Авангард
www.avangard.ru
В Банке Авангард реализована интеграция процесса биометрической идентификации
сотрудников с собственной информационной системой. Проект включил в себя
оборудование 2000 рабочих мест.
Интеграция идентификации по отпечаткам пальцев выполнена с помощью
специализированного комплекта разработчика BioLink SDK, позволяющего
интегрировать биометрическою идентификацию в любые программные продукты
сторонних поставщиков или собственной разработки.
Идентификация сотрудников производится с помощью сканеров отпечатков пальцев
BioLink U-Match 3.5
Народный банк Казахстана
www.halykbank.kz
Внедрение системы биометрической идентификации IDenium в Народном банке
Казахстана – не имеющий аналогов, самый масштабный биометрический проект на
территории СНГ.
Общее количество рабочих мест, оснащенных сканерами отпечатков пальцев BioLink
U-Match 3.5 и подключенных к системе IDenium, составило 9000.
Для максимально надежной работы IDenium, аппаратная конфигурация системы
включила основной и резервный серверы. Благодаря комплекту разработчика
BioLink SDK, была произведена интеграция системы со специализированными
банковскими программными продуктами.
Альянс Банк
www.alb.kz
Внедрение системы биометрической идентификации IDenium включило
оборудование 3800 рабочих мест в головном офисе и 17 филиалах Банка.
Идентификация сотрудников производится с помощью сканеров отпечатков
пальцев BioLink U-Match 3.5 и используется при доступе в корпоративную сеть,
финансовые системы и защищенные Интернет-ресурсы.
Группа компаний «Видео-Интернэшнл»
www.vi.ru
Система биометрической идентификации BioLink IDenium функционирует в
головном офисе и 27 региональных подразделениях компании.
Проект включил в себя оборудование 1350 рабочих мест для идентификации
сотрудников при входе в корпоративную сеть и приложения.
Завод «Тяжмаш»
www.tyazhmash.com
Интеграция биометрической идентификации в специализированные
программные продукты, применяемые при проведении опытно-конструкторских
работ и в инжиниринге.
в планах развития проекта: распространение биометрии на филиалы предприятия
и использование биометрической системы учета рабочего времени и контроля
доступа.
Министерство связи и
массовых коммуникаций РФ
www.minsvyaz.ru
Оснащение аппаратными и программными средствами биометрической
идентификации рабочих мест сотрудников центрального аппарата Министерства и
находящихся в его ведении федеральных агентств и служб.
Программный сервер централизованной биометрической идентификации.
Проект реализован в два этапа с последовательным увеличением численности
пользователей биометрической системы.
Allen County Sheriff's Department
www.allencountysheriff.com
Биометрическая система идентификации сотрудников BioLink IDenium внедрена в
департаменте шерифа штата Индиана.
Первый этап проекта включил оборудование 200 рабочих мест, 2 серверов, а также
интеграцию с тонкими клиентами Hewlett Packard T5540 на базе Windows CE.
На втором этапе проекта количество рабочих будет расширено до 1800
Система BioLink IDenium с успехом прошла
независимое тестирование в
авторитетнейшем мировом издании по
IT-безопасности SC МAGAZINE
Заключение экспертов тестовой лаборатории SC МAGAZINE:
«Система биометрической идентификации пользователей BioLink IDenium:
- эффективно интегрирует функции биометрической идентификации
пользователей корпоративных сетей в инфраструктуру Microsoft Active Directory
(AD) и терминальные приложения — например, столь популярную ныне платформу
Citrix;
- отличается удобством централизованной установки;
- комфортна и понятна для всех категорий пользователей;
- является выгодной покупкой для организаций и предприятий, заботящихся о
защите своих информационных ресурсов»
О компании BioLink Solutions
Biolink Solutions – признанный лидер российского рынка биометрических систем, работающий на рынке с 2000 года.
Специалистами BioLink накоплены обширный опыт и глубокие знания в области биометрии, которые воплощены в
серийно выпускаемых продуктах компании.
Комплексные решения компании ориентированы на применение в самых различных отраслях IT-рынка — от
персональных компьютеров частных пользователей и информационной инфраструктуры малых и средних фирм до
масштабных проектов идентификации в рамках отдельных отраслей и целых государств.
Сферы деятельности Biolink Solutions: разработка, производство, и внедрение аппаратных и программных средств
биометрической идентификации; системная интеграция комплексов корпоративной безопасности на единой платформе
биометрической идентификации и индивидуальные разработки для любых бизнес-задач и масштабов.
Ключевые направления компании: защита конфиденциальной корпоративной и личной информации, учет рабочего
времени, контроль физического доступа в помещения и системы массовой идентификации.
Портфолио компании включает сотни успешных внедрений в России, Казахстане, Молдове, Индии,
Нигерии, США и других странах.
Контакты Biolink Solutions
www.biolink.ru
Тел.: +7 (495) 645-87-03
Факс: +7 (495) 645-87-03
Россия, 125493, Москва, ул. Авангардная, д. 3.
•
Спасибо за внимание!
220104, г. Минск, ул. Матусевича, 58, комн. 183
[email protected]
(+375 17) 312 26 99
www.biolink.by | www.biotime.ru | www.idenium.ru