Аутентификация
по бесконтактным картам
и интеграция со СКУД

Решение на основе Indeed AM реализует подход единой карты доступа сотрудника и обеспечивает логический доступ в ОС и приложения с помощью карты СКУД

Запланировать демонстрацию

Описание решения

Чтобы обеспечивать информационную безопасность, необходимо принимать целый ряд организационных и технических мер по защите информации, а также физически защищать данные от различных угроз. Современные кибератаки носят комплексный характер, поэтому для борьбы с ними нужны комплексные системы.

Очевидно, что отдельно взятое средство защиты, каким бы продвинутым и эффективным оно ни было, не способно отразить все актуальные киберугрозы. Так, комплексная система защиты окажется уязвимой, если пользователи станут использовать слабые пароли, которые легко подобрать, например «123456». В таком случае информационные системы организации не получится защитить никакими современными средствами, поскольку критическая уязвимость находится в самом основании системы защиты.

Однако неверно предполагать, что все киберугрозы кроются только в области цифровых технологий и что комплексные меры технической защиты информации вполне обеспечивают безопасность корпоративных ресурсов.

Так, средства усиленной аутентификации пользователей чаще применяют для осуществления удаленного доступа, а локальный доступ защищают обычным паролем. Но когда при подключении к публичным ресурсам используют дополнительные факторы аутентификации, нередко оставляют без внимания главный вопрос: почему это необходимо? Усиленная аутентификация применяется как способ защиты удаленного доступа не только для того, чтобы злоумышленник не смог воспользоваться паролем в неконтролируемой точке подключения. Альтернативные, более защищенные факторы аутентификации, а также дополнительные способы защиты удаленного рабочего места и публичных ресурсов необходимы прежде всего потому, что в ситуациях, когда их используют, нельзя принять меры физической защиты информации (поставить контрольно-пропускной пункт, организовать видеонаблюдение, установить запираемые двери, сейфы и т. д.).

Таким образом, меры физической защиты информации не менее важны, чем технические средства защиты информации, помогающие сберечь данные, поэтому управлению физическим доступом и его защите нужно уделять не меньше внимания, чем защите логического доступа.

Оба этих процесса защиты доступа включают в себя одинаковые подпроцессы:

  • регистрацию пользователей;
  • идентификацию и аутентификацию пользователей;
  • разграничение доступа субъектов (сотрудников или пользователей) к объектам (помещениям или ИТ-ресурсам).

Учитывая схожесть основных составляющих, эти процессы вполне могут существовать в тесной связке, дополняя друг друга. Например, сотрудник не должен иметь права авторизоваться на рабочем месте и подключаться к корпоративным ресурсам, пока не зайдет в соответствующее помещение. Такая постановка задачи звучит слишком очевидно, и именно поэтому ей не уделяют должного внимания, зачастую упуская из виду то обстоятельство, что инсайдер, укравший логин и пароль легитимного пользователя, может попытаться авторизоваться на рабочем месте.

Если возможность авторизации на рабочем месте, которое защищено только паролем, ограничивается с учетом фактического местонахождения сотрудника, это можно назвать полноценной двухфакторной аутентификацией, поскольку для подтверждения подлинности используется как пароль, так и геолокация. При этом само помещение тоже защищено, а доступ в него предоставляется только сотруднику, обладающему таким правом. Зачастую для этого используется RFID-карта, позволяющая пройти через систему контроля и управления физическим доступом (СКУД).

Чтобы обеспечить двухфакторную аутентификацию с помощью пароля и геопозиционирования сотрудника, можно интегрировать СКУД с решением для контроля доступа на уровне рабочей станции. При этом упомянутое решение должно поддерживать использование бесконтактной карты RFID для авторизации как на рабочем месте в защищенном помещении, так и на иных, менее критичных рабочих местах в общедоступных помещениях (например, на терминалах в производственном цеху).

Используя специализированные решения для интеграции СКУД со средствами управления и защиты доступа, можно реализовать систему усиленной аутентификации с учетом геопозиции сотрудника в пределах помещения организации.

Платформа Indeed AM позволяет не только реализовать такую интеграцию, но и использовать бесконтактную карту RFID, служащую для доступа в помещение, с целью авторизации на рабочем месте в защищенном помещении либо на иных, менее критичных рабочих местах (таких как терминалы в производственном цеху). Следует отметить, что при авторизации на рабочем месте в защищенном помещении так же рекомендуется вводить пароль или PIN-код.

Схема применения RFID карт для доступа в ОС

Интеграция платформы Indeed AM со СКУД позволяет реализовать различные сценарии защиты доступа (в зависимости от требований к удобству, безопасности и финансовым затратам на содержание). Подразумеваются, в частности, следующие сценарии:

  • использование единой RFID-карты для доступа в помещения и для авторизации на рабочих станциях;
  • использование единой RFID-карты для доступа в помещения, а также для авторизации на рабочих местах, в корпоративных приложениях и веб-приложениях, установленных на рабочих станциях (с применением модуля Enterprise Single Sign-On);
  • использование биометрических данных для прохода через СКУД и для авторизации на рабочих местах;
  • использование RFID-карты или данных биометрии для прохода через СКУД и иных факторов аутентификации для авторизации на защищенном рабочем месте;
  • использование смарт-карт с RFID-меткой и защищенным хранилищем ключевой информации (реализация единого устройства для всех задач идентификации и аутентификации).

Таким образом, интеграция систем защиты физического и логического доступа не только повышает общую эффективность комплексной системы защиты информации, но обеспечивает удобство и способствует снижению затрат, поскольку для всех задач идентификации и аутентификации используется единый аппаратный носитель.

Поддерживаемые каталоги пользователей:

  • Active Directory

Поддерживаемые модели RFID-карт

  • EM-Marin
  • HID Prox
  • HID iClass
  • Mifare

Поддерживаемые технологии биометрической идентификации и аутентификации по статическим признакам

  • Отпечатки пальцев
  • Рисунок вен ладони
  • Геометрия лица (двухмерное и трехмерное изображение)

Поддерживаемые модели биометрических сканеров

  • PalmSecure компании Fujitsu (рисунок вен ладони)
  • RealSense компании Intel (трехмерное изображение лица)
  • PalmJet компании BioSmart (рисунок вен ладони)
  • FS-80 компании Futronic (отпечатки пальцев)
  • Веб-камеры любых производителей, обеспечивающие разрешение Full HD (двухмерное изображение лица)

Поддержка интеграции с техническими средствами

  • Средства управления полномочиями и учетными записями: Solar inRights, 1IDM, КУБ, Microsoft FIM, IBM Tivoli Identity Manager
  • Средства мониторинга и корреляции событий информационной безопасности: решения класса SIEM
  • Средства контроля и управления доступом: «Бастион», АРМ «Орион» компании «Болид», СКУД марки TSS, разработанные компанией «Семь печатей»

Программа импортозамещения

Ознакомьтесь со специальными условиями для комфортного перехода на российское программное обеспечение

Посмотреть

другие решения

отзывы клиентов