Модель системы биометрической идентификации персонала
advertisement
УДК 001(06) Телекоммуникации и новые информационные технологии… И.В. ПРУДНИКОВ, Ю.Л. ГЕРОНИМУС1 Институт государственного управления, права и инновационных технологий, Москва 1 Национальный исследовательский ядерный университет «МИФИ» МОДЕЛЬ СИСТЕМЫ БИОМЕТРИЧЕСКОЙ ИДЕНТИФИКАЦИИ ПЕРСОНАЛА ПРЕДПРИЯТИЯ ДЛЯ ПОСТРОЕНИЯ КОМПЛЕКСНОЙ СИСТЕМЫ УПРАВЛЕНИЯ И КОНТРОЛЯ ДОСТУПА Разработана модель комплексной системы биометрической идентификации персонала, для построения единой системы контроля и управления логическим и физическим доступом. Рассмотрены методы, модель, проблемы точности системы и способы их решения. Основные функции системы контроля и управления доступа (СКУД) заключаются в организации автоматизированного пропускного режима на предприятии с возможностью контроля и документирования перемещением персонала в пределах защищенных зон предприятия, а также контроля доступа к рабочим местам, защищенным ресурсам и информационным системам (ИС). Для обеспечения анализа транзакций о получении/отказе доступа СКУД реализует накопление и анализ информации обо всех попытках получения доступа в едином хранилище. В данной работе представлены результаты разработки модели системы предназначенной для построения информационного комплекса контроля доступа и сбора статистической информации о получении/отказе в доступе на предприятии. Модель разработана таким образом, чтобы реализовать функции как физического доступа (проходные, доступ в помещения) так и функции логического доступа (доступ к рабочим местам, ресурсам сети, и информационным системам). Модель системы биометрической идентификации используемой для реализации системы контроля и управления доступом (далее система) имеет модульную структуру. При разработке модели, задача построения СКУД была разделена на 3 подзадачи – контроль доступа из внешнего периметра (при пересечении внешней границы предприятия, – проходная, КПП и т.п.), контроль доступа к ИС (при попытке получить доступ к информационным системам предприятия) и контроль доступа во внутреннем периметре (при пересечении защищенных точек прохода внутри предприятия). Модуль контроля доступа из внешнего периметра спроектирован таким образом, что имеет свою автономную БД, содержащую информацию о сотрудниках и их правах доступа при пересечении внешнего периметра. Идентификация сотрудников при пересечении точки внешнего периметра предполагается реализовать с помощью проксимити-карт. Данный способ идентификации наиболее удобен при реализации систем массовой идентификации большого потока людей. Модуль контроля доступа во внутреннем периметре предназначен для контроля доступа в помещения, комнаты. Модуль реализован с помощью автономных терминалов, имеющих внутреннее хранилище идентификаторов сотрудников, которым разрешен доступ через данный терминал. Терминал так же имеет в своем составе устройство сканирования (отпечатка пальца, кода проксимити карты), и клавиатуру для ввода цифрового кода. Т.о. возможно реализовать многофакторную аутентификацию сотрудника. Количество факторов аутентификации зависит от уровня защищенности. Также терминал имеет свое хранилище для регистрации событий пересечения защищенной точки и механизм идентификации предъявленных идентификаторов. Устройство может работать полностью в автономном режиме, что позволяет создавать на его основе СКУД высокой отказоустойчивости. Централизованное управление, и обмен данными с автономным терминалом производится с помощью специального управляющего ПО. Модуль контроля доступа к ИС выполняет задачу контроля доступа к различным информационным системам, использующимся на предприятии. Модуль ориентирован в основном на идентификацию по отпечатками пальцев. Модуль реализован в виде 2-х основный компонент- клиент системы контроля доступа и подсистема идентификации с хранилищем. В общем случае, клиент системы контроля доступа представляет собой COM объект, встраиваемый в клиентскую часть ИС. По сути, данный COM-объект выполняет функцию построения модели отпечатка (сканирование изображения и преобразование в массив структур данных), и далее пересылку подсистеме идентификации. Для отдельных специализированных систем реализованы специфичные клиенты системы контроля доступа. Это, как правило, специальные «плагины» разработанные под конкретную систему (например «плагин» для идентификации в MS Active Directory). _______________________________________________________________________ ISBN 978-5-7262-1230-2. XIV выставка-конференция 1 УДК 001(06) Телекоммуникации и новые информационные технологии… Подсистема идентификации – специальный компонент представляющий собой сервер идентификации, обрабатывающий запросы от клиента идентификации. Подсистема идентификации имеет хранилище данных об идентификаторах и правах доступа. В этом же хранилище накапливается информация о фактах предоставления/отказа в доступе. Модуль консолидации данных и статистики выполняет задачу консолидации информации об идентификаторах сотрудников, правах доступа и событиях пересечения точки прохода и получения/отказа доступа к ИС. Модуль содержит в себе подсистему ввода данных (пользовательский интерфейс оператора системы) и подсистему отчетности, предназначенную для построения отчетов по событиям предоставления/отказа доступа в здания, помещения, из внешнего периметра, и к ИС. Модуль консолидирует информацию об идентификаторах сотрудников и правах доступа, за счет ведения единой БД. Первичная информация в данную БД может попадать из нескольких сторонних систем, таких как, например кадровая БД. Далее информация в этой консолидированной БД дополняется, с помощью подсистемы ввода данных (пользовательский интерфейс). Подсистема отчетности служит для построения аналитических и статистических отчетов о перемещении сотрудников в пределах организации, и о предоставлении/отказе доступа к ИС. С помощью подсистемы интеграции, модуль может обмениваться данными со всеми остальными модулями системы, выступая достоверным источником информации об идентификаторах и правах доступа с одной стороны, и выступая приемником статистических данных из всех остальных модулей системы, с другой стороны. Общая информационная модель была проанализирована на основе разработанных DFD диаграмм. Проведена оценка влияния различных типов биометрических ошибок. Выделены ошибки, которые являются неотъемлемой характеристикой биометрической аутентификации как разновидности процесса распознавания образов; и ошибки, специфичные для биометрических идентификационных систем. Статистические расчеты вероятности ошибок рассмотрены на основе использования базы данных биометрических образцов. Коэффициент ложного доступа (КЛД) является ключевым критическим параметром для безопасности системы в целом. Коэффициент ложного отказа доступа (КЛОД) – больше влияет на удобство использования. КЛД системы в целом, линейно зависит от размера базы данных биометрических образцов. Для повышения точности подсистемы идентификации по отпечаткам пальцев, был разработан, протестирован и применен специальный метод, позволяющий снизить КЛД биометрической распознающей системы. Суть метода заключается в разработке специфичной и процедуры получения машинных репрезентаций отпечатков пальцев и аутентификационного протокола, который оперирует 2-мя метчерами одного типа, и несколькими машинными репрезентациями входящего биометрического образца. Применение представленной в данной работе системы для организации СКУД объекта высокой степени защищенности, позволит создать единую среду контроля и управления доступом на предприятии, с возможностью создания различных уровней защищенности и накопления статистической информации о любом акте предоставления/отказа доступа. Авторы благодарны руководителю Научно-педагогической группы «Интегрированные системы» Степановой Е.Б. за поддержку работы. _______________________________________________________________________ ISBN 978-5-7262-1230-2. XIV выставка-конференция 2
