8 часов назад
Егор Голубкин
Генеральный директор компании BIOSMART
Физическая безопасность центров обработки данных становится не менее важной, чем защита цифровой инфраструктуры. Даже при высоком уровне киберзащиты прямой доступ к серверному оборудованию способен привести к утечке данных, подмене систем или обходу средств защиты. На этом фоне биометрические технологии всё активнее используются в архитектуре безопасности ЦОД.
Генеральный директор BIOSMART Егор Голубкин объясняет, какие биометрические модальности сегодня реально работают в ЦОД, чем отличаются идентификация по отпечаткам пальцев, венам ладони и лицу, а также почему рынок постепенно движется к мультибиометрическим системам контроля доступа.
Тенденция перехода на биометрическую идентификацию в центрах обработки данных (ЦОД) сформировалась давно. Первые установки в российских ЦОД появились ещё десять лет назад.
ЦОД — это зона, доступ к которой необходимо очень тщательно контролировать. Сервер любой организации — это главная цель промышленного шпионажа и мошеннических действий. Получение злоумышленником физического доступа к «железу» — оборудованию центра обработки данных — является одной из самых серьёзных угроз информационной безопасности. Даже при наличии мощной киберзащиты прямой доступ к серверу может привести к катастрофическим последствиям. Вот чем именно это опасно:
- Прямое копирование или хищение данных.
- Установка аппаратных бэкдоров.
- Физическое повреждение оборудования.
- Подмена оборудования или ПО.
- Обход всех уровней логической защиты.
Самый безопасный вариант организации контроля доступа —это биометрия с защитой от антиспуфинг и проверкой реального присутствия человека перед камерой (liveness detection).
Какие модальности реально работают
В нашей практике чаще всего используются три варианта. Каждая модальность имеет свои преимущества и недостатки.
1) Идентификация по отпечаткам пальцев стала самой распространённой модальностью благодаря невысокой стоимости оборудования. Принцип её работы прост: сенсор фиксирует разницу в отражении света между гребнями и впадинами папиллярного узора, создавая изображение отпечатка, которое сравнивается с шаблоном из базы данных.
Ключевые преимущества такой модальности — уникальность и неизменность отпечатков на протяжении всей жизни, а также возможность их восстановления даже после повреждений кожи. В отличие от RFID-карт, отпечатки нельзя потерять, забыть, украсть или передать другому лицу.
Однако есть и недостатки. К примеру, идентификация по отпечаткам пальцев может быть неэффективна на предприятиях, где работники часто получают микротравмы пальцев.
2) Идентификация по венам ладони — более безопасный вариант, который стали устанавливать позже. Устройства сканируют ладонь в мультиспектральном инфракрасном свете и считывает её отражение. Гемоглобин в венах поглощает часть ИК-излучения, поэтому на отражении проявляется узор кровеносных сосудов, что делает невозможным обман с помощью силиконовых муляжей. Эта технология также устойчива к внешним изменениям, таким как повреждения кожи, включая порезы, мозоли и ожоги.
К тому же, в основе идентификации по венам ладони используются уникальные алгоритмы машинного обучения на базе сверхточных нейронных сетей. Это позволяет снизить вероятность ошибочного предоставления доступа до минимума: FAR составляет 10-8 при вероятности ошибочного отказа в предоставлении доступа (FRR) не более 1%.
Критически важный компонент — алгоритм антиспуфинга по венам ладони. Этот алгоритм отличает реальную ладонь человека и распознаеёт атаку на биометрическую систему.
Основные виды таких атак:
— распечатка сканированной ладони;
— рисунок, имитирующий ладонь и венозный узор;
— любой предмет со стабильным рисунком.
Здесь также применяется сверхточная нейронная сеть, но в виде бинарного классификатора, который выдает либо 0, либо 1 в зависимости от принятого решения: живая ладонь или фейк.
3) Идентификация по лицу – это метод, позволяющий распознавать человека по индивидуальным чертам лица. Современные устройства обеспечивают защиту от фальсификаций как на аппаратном, так и на программном уровне. В их состав входит оптический комплекс, состоящий из трёх камер: RGB, инфракрасной (IR) и 3D-камеры, а также используется система liveness detection, которая проверяет, живой ли объект перед камерой.
Применение идентификации по лицу в ЦОД было актуально и раньше, но с вступлением в силу федерального закона № 572 внедрение биометрии по лицу в ЦОД должно осуществляться строго в его рамках. Легитимны два варианта: транзакционная модель, которая прямо взаимодействует с Единой Биометрической Системой (ЕБС), либо векторная модель с использованием Коммерческой Биометрической системы (КБС). Без одного из этих механизмов обработка биометрии по лицу в ЦОД будет противоречить законодательству.
Наши кейсы в ЦОД
В портфеле реализованных проектов BioSmart для центров обработки данных (ЦОД) различной масштабности применяются три биометрические модальности. Каждая из них решает конкретные задачи контроля доступа.
— ЦОД на 1 960 стойко-мест. Мы интегрировали 11 контроллеров BioSmart 5M с идентификацией по отпечаткам пальцев, которые решают задачи по организации доступа к оборудованию ЦОДа.
— Небольшой ЦОД на 100 пользователей. Для него была внедрена система контроля доступа на основе вен ладони, включающая контроллеры BioSmart UniPass Pro 2 и считыватели BioSmart PalmJet BOX. Также была установлена классическая система контроля по RFID-картам с использованием контроллеров BioSmart Prox-E-EX и считывателей BioSmart WR-10-BLE.
— Комплексное решение для крупного объекта в Республике Татарстан, который сопоставим по площади с городским кварталом. Здесь оборудован полный периметр защиты с термоконтролем доступа и биометрией по лицу на базе терминала BioSmart Quasar 10, что обеспечивает высокий уровень контроля доступа в серверные помещения.
Стандартизация и тренды
Является ли биометрия обязательным стандартом? На данный момент прямых нормативов, которые предписывали бы использовать исключительно биометрию, нет. Однако требования, например, в ФСТЭК обязывают операторов обеспечивать ЗТС.3 Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы и помещения и сооружения, в которых они установлены. И рекомендуют применять автоматизированные СКУД согласно ГОСТ Р 51241-2008.
Европейские технические стандарты рассматривают биометрию как второй независимый фактор идентификации.
В качестве ключевого тренда мы рассматриваем развитие мультибиометрических систем. Речь не о двух отдельных устройствах, а о едином терминале, совмещающем, например, распознавание по лицу и венам ладони, либо по лицу и RFID-картам. Такой подход кратно повышает устойчивость к взломам и точность идентификации — практически до 100%. Заказчик самостоятельно выбирает режим работы: по одному фактору или по нескольким.
Почти пятая часть нашего портфеля приходится на терминалы по лицу со встроенным сканером вен ладони. Такое решение позволяют клиентам работать как в рамках Единой биометрической системы, так и автономно для решения внутренних задач. Это отражает более стратегический и осознанный подход клиентов к выбору технологий, демонстрируя их стремление к повышению безопасности и эффективности.
Заключение
Биометрия в ЦОД — это прагматичный ответ на ограничения карточных систем. Нет единого рецепта для всех: для одного объекта подойдут отпечатки пальцев, для другого — вены или лицо, для третьего — мультимодальное решение. Задача вендора — предложить выбор. Задача заказчика — осознанно подойти к архитектуре безопасности с учётом реальных угроз и регуляторных перспектив.
Журнал RUБЕЖ
Пожарная безопасность
Транспортная безопасность
