Описание решения
Задача
Чтобы обеспечивать информационную безопасность, необходимо принимать целый ряд организационных и технических мер по защите информации, а также физически защищать данные от различных угроз. Современные кибератаки носят комплексный характер, поэтому для борьбы с ними нужны комплексные системы.
Очевидно, что отдельно взятое средство защиты, каким бы продвинутым и эффективным оно ни было, не способно отразить все актуальные киберугрозы. Так, комплексная система защиты окажется уязвимой, если пользователи станут использовать слабые пароли, которые легко подобрать, например «123456». В таком случае информационные системы организации не получится защитить никакими современными средствами, поскольку критическая уязвимость находится в самом основании системы защиты.
Однако неверно предполагать, что все киберугрозы кроются только в области цифровых технологий и что комплексные меры технической защиты информации вполне обеспечивают безопасность корпоративных ресурсов.
Так, средства усиленной аутентификации пользователей чаще применяют для осуществления удаленного доступа, а локальный доступ защищают обычным паролем. Но когда при подключении к публичным ресурсам используют дополнительные факторы аутентификации, нередко оставляют без внимания главный вопрос: почему это необходимо? Усиленная аутентификация применяется как способ защиты удаленного доступа не только для того, чтобы злоумышленник не смог воспользоваться паролем в неконтролируемой точке подключения. Альтернативные, более защищенные факторы аутентификации, а также дополнительные способы защиты удаленного рабочего места и публичных ресурсов необходимы прежде всего потому, что в ситуациях, когда их используют, нельзя принять меры физической защиты информации (поставить контрольно-пропускной пункт, организовать видеонаблюдение, установить запираемые двери, сейфы и т. д.).
Таким образом, меры физической защиты информации не менее важны, чем технические средства защиты информации, помогающие сберечь данные, поэтому управлению физическим доступом и его защите нужно уделять не меньше внимания, чем защите логического доступа.
Оба этих процесса защиты доступа включают в себя одинаковые подпроцессы:
- регистрацию пользователей;
- идентификацию и аутентификацию пользователей;
- разграничение доступа субъектов (сотрудников или пользователей) к объектам (помещениям или ИТ-ресурсам).
Учитывая схожесть основных составляющих, эти процессы вполне могут существовать в тесной связке, дополняя друг друга. Например, сотрудник не должен иметь права авторизоваться на рабочем месте и подключаться к корпоративным ресурсам, пока не зайдет в соответствующее помещение. Такая постановка задачи звучит слишком очевидно, и именно поэтому ей не уделяют должного внимания, зачастую упуская из виду то обстоятельство, что инсайдер, укравший логин и пароль легитимного пользователя, может попытаться авторизоваться на рабочем месте.
Если возможность авторизации на рабочем месте, которое защищено только паролем, ограничивается с учетом фактического местонахождения сотрудника, это можно назвать полноценной двухфакторной аутентификацией, поскольку для подтверждения подлинности используется как пароль, так и геолокация. При этом само помещение тоже защищено, а доступ в него предоставляется только сотруднику, обладающему таким правом. Зачастую для этого используется RFID-карта, позволяющая пройти через систему контроля и управления физическим доступом (СКУД).
Чтобы обеспечить двухфакторную аутентификацию с помощью пароля и геопозиционирования сотрудника, можно интегрировать СКУД с решением для контроля и защиты доступа на уровне рабочей станции. При этом упомянутое решение должно поддерживать использование бесконтактной карты RFID для авторизации как на рабочем месте в защищенном помещении, так и на иных, менее критичных рабочих местах в общедоступных помещениях (например, на терминалах в производственном цеху).
Решение
Используя специализированные решения для интеграции СКУД со средствами управления и защиты доступа, можно реализовать систему усиленной аутентификации с учетом геопозиции сотрудника в пределах помещения организации.
Платформа Indeed AM позволяет не только реализовать такую интеграцию, но и использовать бесконтактную карту RFID, служащую для доступа в помещение, с целью авторизации на рабочем месте в защищенном помещении либо на иных, менее критичных рабочих местах (таких как терминалы в производственном цеху). Следует отметить, что при авторизации на рабочем месте в защищенном помещении так же рекомендуется вводить пароль или PIN-код.
Интеграция платформы Indeed AM со СКУД позволяет реализовать различные сценарии защиты доступа (в зависимости от требований к удобству, безопасности и финансовым затратам на содержание). Подразумеваются, в частности, следующие сценарии:
- использование единой RFID-карты для доступа в помещения и для авторизации на рабочих станциях;
- использование единой RFID-карты для доступа в помещения, а также для авторизации на рабочих местах, в корпоративных приложениях и веб-приложениях, установленных на рабочих станциях (с применением модуля Enterprise Single Sign-On);
- использование биометрических данных для прохода через СКУД и для авторизации на рабочих местах;
- использование RFID-карты или данных биометрии для прохода через СКУД и иных факторов аутентификации для авторизации на защищенном рабочем месте;
- использование смарт-карт с RFID-меткой и защищенным хранилищем ключевой информации (реализация единого устройства для всех задач идентификации и аутентификации).
Таким образом, интеграция систем защиты физического и логического доступа не только повышает общую эффективность комплексной системы защиты информации, но обеспечивает удобство и способствует снижению затрат, поскольку для всех задач идентификации и аутентификации используется единый аппаратный носитель.
Технические характеристики
Поддерживаемые каталоги пользователей:
- Active Directory
Поддерживаемые модели RFID-карт
- EM-Marin
- HID Prox
- HID iClass
- Mifare
Поддерживаемые технологии биометрической идентификации и аутентификации по статическим признакам
- Отпечатки пальцев
- Рисунок вен ладони
- Геометрия лица (двухмерное и трехмерное изображение)
Поддерживаемые модели биометрических сканеров
- PalmSecure компании Fujitsu (рисунок вен ладони)
- RealSense компании Intel (трехмерное изображение лица)
- PalmJet компании BioSmart (рисунок вен ладони)
- FS-80 компании Futronic (отпечатки пальцев)
- Веб-камеры любых производителей, обеспечивающие разрешение Full HD (двухмерное изображение лица)
Поддержка интеграции с техническими средствами
- Средства управления полномочиями и учетными записями: Solar inRights, 1IDM, КУБ, Microsoft FIM, IBM Tivoli Identity Manager
- Средства мониторинга и корреляции событий информационной безопасности: решения класса SIEM
- Средства контроля и управления доступом: «Бастион», АРМ «Орион» компании «Болид», СКУД марки TSS, разработанные компанией «Семь печатей»
