Статьи | Secuteck.Ru

Инсталляция биометрии на крупных распределенных объектах: печальная реальность и путь к эффективным решениям

Written by Александр Дремин | 29/03/21

Чем крупнее и сложнее объект, тем дороже обходится каждый промах инсталлятора. В этой статье расскажем, как избежать ошибок при построении СКУД на крупном распределенном объекте.

Обеспечение безопасности объекта, идентификация сотрудников и посетителей, учет рабочего времени, контроль за исполнением должностных инструкций, удаленное управление корпоративными системами и, наконец, устранение точек неэффективного расходования средств и сокращение издержек бизнеса – эти и многие другие задачи с успехом решает биометрическая СКУД, но при условии, что она выбрана и установлена правильно.

Все статьи журнала "Системы безопасности"
доступны для скачивания в iMag >>

 

Что такое крупная биометрическая СКУД и какой она должна быть?

Все инсталлируемые в России СКУД должны соответствовать требованиям ГОСТ 51241– 2008. Этот стандарт классифицирует СКУД по нескольким ключевым параметрам: по типу управления, по классу защищенности и по размеру.

По типу управления СКУД подразделяют на три типа: автономные, сетевые централизованные и сетевые универсальные. В автономных СКУД все устройства, установленные в точках прохода, работают автономно, без связи с сервером; в сетевых централизованных СКУД устройствами управляет единый удаленный сервер, а в сетевых универсальных системах устройства могут работать как в сетевом, так и локальном режиме.

Классов защищенности тоже три: первый, второй и третий. СКУД на крупном распределенном объекте должна соответствовать третьему, самому высокому, классу защищенности.

Большинство заказчиков (как и многие инсталляторы) привыкли оценивать размер СКУД по объему базы данных персональных идентификаторов: чем больше людей в базе, тем больше СКУД. Однако, вопреки ожиданиям, согласно ГОСТу размер СКУД третьего класса определяется не по количеству пользователей, а по числу контролируемых точек прохода. По этому критерию СКУД подразделяют на малые (до 64 точек), средние (до 256 точек) и СКУД большой емкости (свыше 256 точек). К примеру, СКУД из четырех турникетов на предприятии с 10 тыс. сотрудников считается малой.

Опираясь на требования ГОСТа, сформулируем критерии, которым должна соответствовать биометрическая СКУД третьего (самого высокого) класса защищенности на распределенном объекте:

  • число уровней доступа – не менее 256;
  • количество временных зон – не менее 256;
  • поддержка глобального антипассбэка, или запрета двойного прохода;
  • двойная идентификация (например, "карта + биометрия");
  • ввод дополнительного признака при проходе под принуждением;
  • правило прохода двух лиц;
  • событий в автономной памяти не менее 10 тыс.;
  • возможность интеграции с ОПС, видеонаблюдением на системном уровне;
  • отображение плана объекта с указанием точек расположения устройств СКУД, пожарной и охранной сигнализации, видеокамер и тревожных состояний этих точек;
  • контроль за перемещением и поиск пользователей.

Современные биометрические терминалы оснащены высокоскоростными процессорами и имеют гигабайты оперативной памяти, поэтому легко справляются с такими задачами, как разграничение временных зон и работа в режиме двойной идентификации.

Однако очевидно, что выполнение этих требований возможно только при условии, что СКУД поддерживает интеграцию на системном уровне и может комплексно среагировать на сигнал из центра: к примеру, при пожаре все двери должны разом разблокироваться, а преграждающие устройства – перейти в режим свободного прохода.

Кроме того, при интеграции на системном уровне все важные данные могут дублироваться, чтобы гарантировать достоверность поступающей информации и обеспечить оперативное управление устройствами СКУД в любой ситуации.

Интеграция на системном уровне – абсолютный must have для биометрических СКУД.

"Оптимизация требований законодательства о транспортной безопасности в условиях цифровой трансформации" читать >>>

Каким должно быть программное обеспечение биометрической СКУД на крупном распределенном объекте?

Программная среда, в которой "живет" биометрическая система, должна решать широкий комплекс задач и легко адаптироваться к самым разным условиям.

Критерии качественного биометрического софта:

  1. Масштабируемость архитектуры. Клиент-серверная архитектура должна давать возможность оперативно расширять количество точек доступа и объем данных, особенно биометрических: ведь если в карточной СКУД одна пользовательская запись занимает всего несколько десятков байт, то "вес" биометрического шаблона составляет как минимум несколько десятков килобайт.
  2. Устойчивость при нагрузочном тестировании. Прежде чем приступать к инсталляции биометрической СКУД на крупном объекте, необходимо провести нагрузочное тестирование для ПО и баз данных. Ведущие вендоры, уверенные в качестве своих решений, предоставляют клиентам специальный тестовый софт, достоверно имитирующий среду из нескольких тысяч считывателей и нескольких тысяч биометрических шаблонов.
  3. Мультизадачность. На больших объектах важна возможность работы SDK биометрических устройств в режиме многозадачности. В системе, где это не предусмотрено, рутинные операции с данными могут занимать огромное время. Мне встречались системы УРВ, где обновление шаблонов и выгрузка журналов событий для пары сотен биометрических терминалов занимала всю ночь.
  4. Защита данных. Безопасность данных имеет для бизнеса колоссальное значение, и проектировщики СКУД должны это учитывать.
    Современная биометрическая СКУД должна быть оснащена многоуровневой системой защиты от атак из внутреннего и внешнего контура.

Базовые критерии качества СКУД с точки зрения безопасности данных:

  • биометрические терминалы должны быть защищены от подлога как на уровне железа (мощные оптические системы, 3D-камеры, современные процессоры и достаточный объем оперативной памяти), так и на программном уровне (Liveness Detection, запрет на идентификацию фото- и видеоизображений);
  • поставщиками оборудования и алгоритмов должны выступать проверенные и авторитетные вендоры; применение устройств noname с неизвестным принципом работы недопустимо;
  • каналы, по которым передаются данные, должны быть защищены от хакерских атак;
  • сами данные должны передаваться в зашифрованном виде (к примеру, биометрический идентификатор нужно хранить в виде цифрового шаблона-дескриптора, из которого технически невозможно восстановить исходное изображение лица, отпечатка пальца или рисунка вен);
  • операции с персональными данными должны соответствовать требованиям законодательства (ФЗ-152 "О персональных данных", GDPR).

Согласно ГОСТу размер СКУД третьего класса определяется не по количеству пользователей, а по числу контролируемых точек прохода.

Интеграция биометрии в СКУД: с какими сложностями сталкиваются инсталляторы и какие они методы применяют?

Мы по собственному опыту знаем, что в 90% случаев биометрическая система внедряется в уже действующую систему управления доступом. Чаще всего это СКУД на RFID-картах, инсталлированные в 2000-х гг., хотя мы до сих пор сталкиваемся и с охранными системами на "таблетках" Dallas или доступом по ПИН-коду. Иногда в рамках одного объекта действует сразу несколько систем (СКУД, ОПС, видеонаблюдение и пр.), установленных в разное время разными вендорами и "живущих параллельной жизнью" на одном сервере.

Как правило, заказчик ожидает, что все эти системы (со всеми их контроллерами, кабельными трассами и устаревшим ПО) продолжат функционировать, а биометрия будет интегрирована в общий контур в качестве надстройки. На практике это возможно далеко не всегда: цифровые технологии развиваются стремительно и современные высокопроизводительные считыватели и терминалы подчас физически не могут корректно работать в одной связке с устройствами и софтом 20-летней давности.

Отвечая на запросы рынка, ответственный разработчик и поставщик биометрии обязан позаботиться о том, чтобы спектр доступных методов и инструментов интеграции биометрии в небиометрические системы был максимально широким.

Современная биометрическая СКУД для крупного распределенного объекта должна поддерживать следующие методы интеграции:

  1. Аппаратная интеграция в сторонние СКУД по интерфейсам Wiegand и OSDP. Интерфейс Wiegand более популярен, однако имеет множество недостатков, прежде всего это низкая помехозащищенность и сравнительно небольшое максимально допустимое расстояние (всего несколько десятков метров). В 2011 г. компании HID, Lenel, Mercury разработали альтернативу – протокол OSDP на базе физического интерфейса RS-485. В отличие от Wiegand, OSDP превосходно защищен от помех, имеет возможность шифрования данных и может работать на расстоянии до 300 м от контроллера.
  2. Программная интеграция с помощью SDK и REST API. Многие вендоры поддерживают наборы библиотек SDK для быстрой программной интеграции. Есть и более удобный метод – программная интеграция через REST API. Этот метод пришел в биометрию из вебтехнологий. При интеграции по REST API программирование сведено к минимуму, а все команды со сторонними библиотеками описываются специальными языками JSON или XML.
  3. Интеграция в сторонние системы и комплексы (СКУД, ОПС, видеонаблюдение) с помощью SDK.
  4. Интеграция со сторонними устройствами (датчиками, алкотестерами, тревожными кнопками). Стороннее оборудование может быть подключено непосредственно к самим биометрическим устройствам через USB или интегрировано в СКУД.

Отвечая на запросы рынка, ответственный разработчик и поставщик биометрии обязан позаботиться о том, чтобы спектр доступных методов и инструментов интеграции биометрии в небиометрические системы был максимально широким.

Заключение

Мы видим нашу миссию в том, чтобы помогать бизнесу обеспечить безопасность ресурсов и сократить издержки, поэтому мы хотим, чтобы как можно больше заказчиков понимало, что инсталляция биометрической СКУД на крупном распределенном объекте – сложнейший проект с тысячью нюансов и тонкостей. Ошибки в выборе решения и его интеграции могут обойтись очень дорого.

Мы рекомендуем компаниям стратегически планировать модернизацию СКУД, тщательно и скрупулезно подходить к вопросу выбора поставщика биометрии, устанавливать оборудование и системы только от проверенных, известных вендоров, обладающих опытом и компетенциями.

А мы со своей стороны будем рады помочь в реализации проектов любой сложности: проконсультируем, подберем и настроим оборудование под конкретные задачи, окажем техническую поддержку на всех этапах установки и эксплуатации.

Иллюстрация предоставлена автором

Опубликовано в журнале "Системы безопасности" №1/2021
View full post