BioLink Idenium
IDenium - биометрическая система защиты, аутентификации пользователей и единого доступа к приложениям (Single Sign-On) позволяет устранить ненадежные пароли и затраты на их администрирование с помощью биометрической или мультифакторной аутентификации
Биоидентификация
Система IDenium позволяет заменить пароли на биометрическую аутентификацию при доступе в ОС, корпоративные приложения, веб-сайты и терминальные сессии (Citrix Xen и MetaFrame, RDP)
Интеграция с Active Directory
Система IDenium полностью интегрирована с Active Directory, что обеспечивает администраторам удобное централизованное управление правами и сценариями доступа пользователей
Single Sign-On (SSO)
Технология единого доступа во все корпоративные приложения обеспечивает не только удобство для пользователей, но и минимизирует затраты на администрирование
Возможности
BioLink IDenium – сертифицированная ФСТЭК биометрическая система аутентификации пользователей, позволяющая полностью заменить использование паролей на биометрическую или многофакторную аутентификацию. Внедрение IDenium обеспечивает надежную защиту доступа к информационным ресурсам организации, а также позволяет эффективно минимизировать риски НСД и инсайдерства.
Аутентификация пользователей
Система BioLink IDenium позволяет установить биометрическую аутентификацию при доступе в операционную систему, корпоративные приложения и информационные системы, а также веб-сайты. Благодаря IDenium, Вы так же можете установить аутентификацю по отпечаткам пальцев при проведении критично важных операций (перевод средств, доступ к определенной информационным ресурсам, удаление файлов).
Многофакторная аутентификация
Для усиленной защиты доступа система BioLink IDenium позволяет использовать многофакторную аутентификацию «смарт-карта + отпечаток», благодаря сканеру отпечатков пальцев BioLink U-Match 5.0 с интегрированным считывателем смарт-карт.
При использовании данной конфигурации pin-код, привязанный к смарт-карте, заменяется на отпечаток пальца пользователя.
Single Sign-On (SSO)
Технология единого доступа (Single Sign-On) ко всем корпоративным приложениям обеспечивает не только удобство для пользователей и минимизацию рисков утечки паролей, но изначительно снижает нагрузку на службы Help Desk по восстановлению утерянных паролей.
Работа с терминальными сессиями
Система IDenium поддерживает работу с платформами виртуализации Citrix (Xen, MetaFrame) и Microsoft (MRDP), а также тонкими клиентами.
Централизованное управление в AD
Система IDenium полностью интегрирована с Microsoft Active Directory, что обеспечивает комфортное централизованное управление правами и сценариями пользователей, параметрами клиентских рабочих станций, а также репликацию и синхронизацию данных в масштабе организации.
История аутентификации (логирование событий)
IDenium сохраняет полную историю событий аутентификации, благодаря чему вы всегда можете узнать, какой сотрудник и в какое время получал доступ к определенному приложению. Настройки прав доступа к логу событий позволяют строго ограничить доступ к данной информации, например, лог может быть доступен только сотрудникам службы ИБ.
Интеграция с корпоративными приложениями
Благодаря комплекту разработчика IDenium SDK, Вы можете интегрировать процесс биометрической аутентификации в любые корпоративные информационные системы с учетом индивидуальной бизнес-логики.
По желанию Заказчика, мы всегда можем выделить специалиста BioLink для произведения интеграции в рамках совместной рабочей группы (непосредственно с заказчиком либо с вендором решения).
Масштабируемость и отказоустойчивость
Система IDenium поддерживает неограниченное число дополнительных серверов, что гарантирует равномерное распределение нагрузки на серверы биометрических данных, обеспечение отказоустойчивости и быстрой реакции во время пиковых нагрузок.
Поддержка всех современных платформ
Система BioLink IDenium поддерживает работу со всеми популярными серверными и клиентскими операционными системами (32-разрядные и 64-разрядные версии).
- Клиентские ОС: Windows 7, Vista, XP SP3.
- Серверные ОС: Windows 2008 Server R2, 2003, 2000.
Return on Investment (ROI)
Исследование Gartner Group показало, затраты каждой компании на администрирование паролей составляют от 150 до 220 USD на одного пользователя ежегодно. Это и неэффективное использование рабочего времени сотрудников из-за частых и продолжительных обращений в службу поддержки и увеличение нагрузки со стороны системных администраторов.
Согласно данной статистике, внедрение биометрической системы IDenium позволяет сэкономить компании со штатом 1000 человек до 180 000 USD год. Это, несомненно, серьезные деньги для любой компании.
Компоненты
Серверные компоненты
BioLink IDenium Server
IDenium Server обрабатывает запросы на идентификацию пользователей, получаемые от рабочих станций, сравнивает цифровые модели вновь предъявляемого и ранее зарегистрированного отпечатка пальца пользователя. И после этого создает ответные пакеты, содержащие учетные данные пользователя, инициировавшего запрос на идентификацию
BioLink Password Monitor
Данный компонент обеспечивает синхронизацию учетных данных пользователей, хранящихся в каталогах AD и на серверах BioLink IDenium, и устанавливается на каждом из контроллеров домена сети.
Клиентское программное обеспечение
BioLink IDenium Admin Pack
Компонент предназначен для системных администраторов, позволяя им централизованно управлять биометрическими идентификаторами пользователей, конфигурировать клиентские рабочие станции, настраивать политики доступа и выполнять другие задачи администрирования IDenium.
BioLink IDenium Windows Logon
Идентифицирует пользователя при входе в операционную систему, передает информацию о пользователе, необходимую для аутентификации пользователя в ОС. Позволяет осуществить регистрацию биометрических данных (при установке соответствующей политики)
BioLink IDenium Password Vault
Данный компонент служит для замены стартового окна идентификации пользователя по имени и паролю в любом Windows-приложении на идентификацию по отпечатку пальца. Имеется возможность самостоятельной (пользовательской) записи сценариев входа в приложения, а также редактирование сценариев входа в приложения администратором системы. Доступен импорта сценариев для централизованного назначения атрибутов доступа в приложение (например, импорт списка паролей из Excel файла)
Интеграция с корпоративными приложениями и системами
IDenium SDK
Данный компонент служит для установления связи между биометрическим идентификатором пользователя операционной системы и учетной записью пользователя в приложении, а также позволяет расширить схему Active Directory для обеспечения возможности хранения в каталогах этой службы идентификационных параметров пользователей прикладных программ
Интеграция с Active Directory
Система биометрической аутентификации BioLink IDenium полностью интегрирована с Microsoft Active Directory, что обеспечивает комфортное централизованное управление правами и сценариями пользователей, параметрами клиентских рабочих станций, а также репликацию и синхронизацию данных в масштабе организации.
- Централизованное хранение, защиту и передачу идентификационных данных пользователей осуществляет Active Directory
- Управление правами и полномочиями пользователей так же централизовано и осуществляется с помощью стандартной Microsoft Management Console (MMC) оснастки Active Directory Users and Computers (ADUC)
- Алгоритм работы администратора не меняется: после установки IDenium в консоли MMC появляются вкладки BioLink
- Администратор управляет учетными записями пользователей, их правами и полномочиями, регистрирует новых пользователей и их биометрические идентификаторы
- Администратор определяет и изменяет регламент доступа пользователей к защищаемым информационным ресурсам — разрешая или запрещая им применять для авторизации биометрические идентификаторы), пароли, смарт-карты
- Синхронизатор паролей в автоматическом режиме ведет постоянный мониторинг учетных записей, хранящихся в глобальном каталоге AD, и при необходимости обновляет учетные данные пользователей, необходимые для их идентификации программному серверу IDenium
Алгоритм взаимодействия IDenium c Active Directory
- Пользователь прикладывает палец к сканеру отпечатков, установленному на рабочей станции
- Изображение отпечатка пальца преобразуется в цифровую модель, которая передается на сервер идентификации
- IDenium Server сравнивает сформированную модель с ранее зарегистрированной и при положительной идентификации формируется пакет, содержащий учетные данные пользователя. Учетные данные поступают из каталога Active Directory, актуальность учетных данных обеспечивается благодаря синхронизации этого каталога и IDenium Server
- IDenium Server транслирует учетные данные в систему в привычном для нее виде — прежде всего имя (логин) пользователя (user ID) и, если это необходимо, его пароль (password)
- На основании полученных сведений система проверяет идентичность пользователя и предоставляет ему доступ к защищаемым ресурсам
Типовое решение
Пример расчета конфигурации BioLink Idenium для 47 пользователей:
Изображение
Наименование
Цена за единицу
Количество
Сумма
BioLink BioLink IDM-4L-BASE20
42240.00 руб.
1
42240.00 руб.
BioLink BioLink IDM-4L-USR50
360.00 руб.
27
9720.00 руб.
BioLink BioLink IDM-4L-WS50
1270.00 руб.
27
34290.00 руб.
BioLink BioLink IDM-4-BOX
5400.00 руб. в т.ч. 20 % НДС
1
5400.00 руб. в т.ч. 20 % НДС
BioLink BioLink FPS-MB75
8300.00 руб. в т.ч. 20 % НДС
47
390100.00 руб. в т.ч. 20 % НДС
Сумма
481750.00 руб.
В том числе НДС 18%, на облагаемые налогом позиции:
79100.00 руб.
BioSmart-FinGuard
Описание Biosmart-FinGuard
Назначение
Программно-аппаратный комплекс BioSmart-FinGuard предназначен для защиты персонального компьютера от несанкционированного доступа (НСД) на базе системы безопасности операционной системы Windows 2000/XP/2003 с использованием принципа аутентификации пользователя по отпечаткам пальцев.
Вместо традиционного ввода логина и пароля, пользователю достаточно приложить палец к сканеру отпечатков пальцев и система BioSmart-FinGuard автоматически распознает отпечаток пальца и предоставит доступ к информационному ресурсу.
Основные функции
- Защита от НСД к информационным ресурсам;
- идентификация человека путём сканирования отпечатка пальца;
- доступ только зарегистрированных пользователей;
- ведение журнала событий стандартными средствами ОС Windows.
Преимущества
Благодаря использованию метода дактилоскопической идентификации человека в системе «BioSmart-FinGuard» имеется ряд преимуществ перед традиционными системами идентификации пользователей персональных компьютеров и сетей, использующими пароли, электронные ключи, магнитные карты:
- Исключается возможность несанкционированного использования ключей, карты, ввода чужого пароля.
- Обеспечивается высокая степень защиты от имитации и подделки.
- Отпадает необходимость обязательного ношения электронных ключей, карты, запоминания пароля.
- Исключается влияние человеческого фактора (потеря или порча, забывчивость, передача третьим лицам и т.п.).
- Отсутствуют затраты на изготовление новых электронных ключей, карт, замену или восстановление существующих.
- Снижение затрат на администрирование и сопровождение системы, в связи с уменьшением запоминаемых паролей.
- Быстрый и удобный доступ к информации в ПК и информационным ресурсам.
Принцип работы BioSmart-FinGuard
Регистрация пользователей производится с помощью ПО BioSmart-FinGuard и биометрического считывателя для ПК, подключаемого через USB порт персонального компьютера. Регистрация может происходить как на рабочем месте администратора, так и на рабочем месте клиента. На каждого пользователя возможно зарегистрировать до десяти отпечатков пальцев.
Данные о пользователях, отпечатках пальцев хранятся в зашифрованном виде в базе Active Directory на контроллере домена или в локальной базе данных. На рабочем месте клиента и контроллере домена работает служба, устанавливающая шифрованный канал связи между клиентом (Finger Logon) и сервером для передачи идентификационных данных от сервера к клиенту.
В момент входа в систему пользователь должен приложить палец к биометрическому считывателю. Полученный отпечаток сравнивается с эталоном, хранящимся на сервере в случае доменной аутентификации, или происходит сравнение с локальной базой данных на ПК пользователя. При успешной идентификации происходит авторизация пользователя в системе.
Модификации системы BioSmart-FinGuard
Доменная версия FinGuard DOMAIN
Доменная версия FinGuard DOMAIN предназначена для идентификации пользователей сети по базе данных отпечатков, хранящихся на контроллере домена.
- Полная интеграция в Active Directory, что позволяет полностью использовать встроенные Active Directory технологии:
- средства хранения и репликации данных;
- технологии управления пользователями, групповыми политиками;
- средства аудита;
- протокол аутентификации Kerberos.
- Поддержка интеграции базы данных пользователей в существующие или сторонние СУБД, например MySQL.
- Данные о пользователях (шаблоны отпечатков пальцев, пароли) хранятся всегда в зашифрованном виде в базе данных Active Directory или MySQL.
- Простая процедура аутентификации пользователей в системе. Пользователю достаточно приложить любой из зарегистрированных пальцев к биометрическому сканеру, а не вспоминать и вводить сложный пароль. Всего для пользователя можно ввести до 10 отпечатков пальцев.
- Удобное и простое администрирование системы:
- возможность автоматической генерации паролей, длинной до 128 символов;
- возможность скрытой генерации паролей (пароль не будет известен пользователю и системному администратору);
- исключается возможность передачи пароля или идентификатора «третьему лицу», забывчивость и утеря пароля.
- Применение технологии шифрования Microsoft Crypto API. Технология позволяет быстро и эффективно внедрить новые методы шифрования.
- Ведение системного протоколирования в журналах ОС Windows.
- Поддержка протокола IPSec для шифрования данных аутентификации, что не снижает пропускной способности локальной сети и не занимает вычислительных ресурсов системы в целом.
- Возможность регистрации отпечатков пальцев пользователей с любого ПК доступной доменной зоны.
- Масштабируемость системы. Возможность работы в сетях любых топологий по отношению к контроллерам доменов (первичные, вторичные, доверительные).
Политика лицензирования: На сервере (контроллере домена) в USB порт устанавливается электронный ключ, в котором хранится информация о количестве пользователей с возможностью авторизации по отпечаткам пальцев. В сети также могут одновременно присутствовать пользователи с аутентификацией по паролю.
Локальная версия FinGuard LOCAL
Предназначена для идентификации пользователей на локальной рабочей станции.
- Автоматическая загрузка учетной записи OC Windows по отпечатку пальца.
- Данные о пользователе (шаблоны отпечатков пальцев, пароли) хранятся на локальном ПК.
- Поддержка базы данных LSA (защищенная база данных ОС Windows).
Политика лицензирования: Лицензия прошита в биометрическом сканере для ПК. Программное обеспечение поставляется бесплатно. В сети также могут одновременно присутствовать пользователи с аутентификацией по паролю.
Локальная версия с доменным доступом FinGuard LOCAL-DOMAIN
Предназначена для идентификации пользователей на локальной рабочей станции с предоставлением доступа к информационным ресурсам.
- Автоматическая загрузка учетной записи OC Windows по отпечатку пальца.
- Данные о пользователе (шаблоны отпечатков пальцев, пароли) хранятся на локальном ПК.
- Поддержка базы данных LSA (защищенная база данных ОС Windows).
Политика лицензирования: Лицензия прошита в биометрическом сканере для ПК. Программное обеспечение поставляется бесплатно. В сети также могут одновременно присутствовать пользователи с аутентификацией по паролю.
Основные компоненты системы Biosmart-FinGuard
Биометрический сканер для ПК
Назначение
Биометрический сканер представляет собой модуль для захвата и передачи на ПК образа отпечатка пальца для последующей идентификации. Уникальная технология, использующая прецизионную CMOS матрицу, позволяет получать изображения отпечатка пальца с высоким качеством. Сканер может применяться в любых приложениях, где требуется эффективная и достоверная идентификация человека. В сканер встроена специальная электронная схема - LFD, позволяющая отличить живой палец от муляжа.
Основные технические характеристики
Интерфейс | USB |
Разрешение рабочей поверхности | 508 dpi |
Размеры рабочей поверхности | 16x24 мм |
Размер отсканированного изображения | 480х320 мм |
Температурный диапазон | от 0 до 55 °С |
Напряжение питания через USB порт | DC 4.4 - 5.25 |
Вес | 80 г |
Скорость передачи данных | 6 Мбит/сек |
Программное обеспечение Biosmart-FinGuard
Назначение
- Регистрация пользователей системы, регистрация отпечатков пальцев.
- Привязка пользователей системы к существующим учетным записям ОС Windows.
- Создание новых пользователей системы с автоматическим созданием новых учетных записей ОС Windows.
- Администрирование системы, просмотр данных о пользователях системы.
Электронный ключ Biosmart-FinGuard
Назначение
Предназначен для хранения информация о количестве пользователей с возможностью авторизации по отпечаткам пальцев.
Основные технические характеристики
Питание | от USB порта |
Тип разъема | USB type A plug 2V |
Прозрачность | Не конфликтует с другими USB устройствами |
Габаритные размеры | 58х16х8 мм |
Операционные системы | Windows 95/98/ME/2000/XP/2003 |
Рабочая температура окружающей среды | от -10 до +80 °С |
Рабочая влажность | от 0 до 100% без конденсата |
Технология распознавания живого пальца
Технология «Live Finger Detection (LFD)» (Распознавание живого пальца) - запатентованная технология, разработанная компанией Futronic для предотвращения доступа к важной информации, осуществляемого злоумышленником при помощи использования муляжа отпечатка пальца, сделанного из силикона, резины и т.д.
В работе данной технологии используются активные сенсоры по распознаванию живого человеческого пальца. В сканерах Futronic используется отдельный спецсигнал для аутентификации пальца по принципу «живой-неживой». Этот сигнал проходит сквозь кожу пальца и затем возвращается назад в сканер на сенсор. Возвращаемый с пальца живого человека сигнал уникален, в отличие от сигнала, возвращаемого с любого муляжа.