В рубрику "Системы контроля и управления доступом (СКУД)" | К списку рубрик | К списку авторов | К списку публикаций
Системой контроля и управления доступом (СКУД) сегодня уже никого не удивишь. Доверять защиту своего имущества от посягательства посторонних электронике, будь то частный коттедж или крупное предприятие, стало столь же обыденным явлением, как, например, 100 лет назад для защиты от воров вешать на ворота амбарный замок
С.Л. Стасенко
Коммерческий директор компании "Релвест"
Чем защищаем...
Все современные СКУД можно разделить на два больших класса: сетевые системы и автономные. В сетевой системе все контроллеры соединены друг с другом и подключены к компьютеру, что дает множество преимуществ (особенно в крупных системах) как в плане удобства контроля и администрирования всей системы, так и в организации достаточно сложных алгоритмов прохода, благодаря возможности взаимосвязанной работы отдельных точек доступа в системе.
Если в компаниях, занимающих всего несколько помещений, или в частных коттеджах нередко можно встретить автономные системы, представляющие собой в простейшем случае кодона-борные панели, то на крупных предприятиях, в офисных центрах, банках и т.п., как правило, устанавливаются мощные сетевые СКУД с широкими функциональными возможностями, позволяющими реализовывать различные алгоритмы работы системы.
В зависимости от специфики и масштаба объекта состав и функциональные требования, предъявляемые к СКУД, могут в значительной степени различаться. Логика работы точки доступа защищаемой системой, в первую очередь, зависит от типа самой точки.
Двери
Двери - самый распространенный тип точки доступа в помещение; они стоят на входе в здание, кабинет, на выходах на лестничные площадки и т.д. В зависимости от конфигурации двери, направления открывания, наконец, материала, из которого она сделана, подбирается соответствующее исполнительное устройство, которое будет ее запирать. Таким устройством является электрический управляемый замок (электромеханический или электромагнитный) или защелка.
Правильно установленная дверь - хорошее препятствие для несанкционированного доступа в защищаемое помещение, однако она обладает одним существенным недостатком, о чем стоит обязательно помнить при организации логики работы системы, в которой присутствуют такие точки доступа. Недостаток состоит в том, что вслед за лицом, имеющим доступ в защищаемое помещение и открывшим дверь, может пройти кто-то еще. Это может быть опаздывающий на работу коллега по отделу, который не поднес к считывателю свою карту, затерявшуюся в портфеле, или посетитель, или просто посторонний человек, не имеющий прав заходить в данное помещение.
Турникеты
Такие типы точек доступа встречаются в основном на объектах с большим количеством персонала. Турникеты, в отличие от дверей, при правильной настройке всей системы позволяют пропускать при предъявлении идентификатора только одного человека. За счет этого, а также за счет высокой пропускной способности (2-3 секунды на одного человека) они незаменимы на проходных крупных предприятий, входах в большие офисные центры, где, к тому же, в большинстве случаев используется система учета рабочего времени.
Шлагбаумы и ворота
Чаще всего используются на въездах на территории предприятий и закрытые автомобильные стоянки. Если рассматривать такие точки в рамках СКУД объекта (работа платных парковоч-ных комплексов - тема для отдельной статьи), то по своей логике такие точки доступа во многом схожи с дверями.
Отличительная особенность требований, предъявляемых к ним, заключается в том, что зачастую владельцы ворот хотят автоматически идентифицировать не только человека, въезжающего на объект, но и автотранспорт. В настоящее время это вполне реализуемая задача благодаря появившимся на рынке считывателям большой дальности, способным с расстояния в несколько метров распознавать прикрепленные к автомобилю метки.
Шлюзовые кабины
Шлюзовые кабины используются на объектах, где предъявляются повышенные требования к безопасности. Это редко встречающийся и порой трудный в реализации тип точки доступа; далеко не все СКУД способны обслуживать столь сложные устройства.
Количество вариантов алгоритмов работы таких точек доступа множество, и оно ограничивается порой только воображением и изобретательностью заказчика. Это могут быть просто две последовательно расположенные двери, когда в конкретный момент времени только одна из них может быть открыта. Пример гораздо более сложного алгоритма работы шлюза: когда в кабине располагают, помимо датчика присутствуя, еще и весовую платформу, тогда доступ внутрь защищаемого помещения разрешается только в том случае, если система решит, что вес входящего человека "похож" на тот, который указан для него в базе данных системы.
...и как защищаем
От особенностей организации доступа, непосредственно связанных со спецификой физической реализации самих точек доступа, перейдем теперь к рассмотрению наиболее распространенных алгоритмов доступа, реализуемых благодаря "интеллектуальной" составляющей системы. В нее входят контроллеры, устройства идентификации (Рroximity-считыватели, считыватели смарт-карт, биометрические считыватели), сами идентификаторы и программное обеспечение, под управлением которого работает вся система.
Описываемые ниже алгоритмы в большинстве своем применимы только к сетевым СКУД, поскольку для реализации таких алгоритмов необходима взаимосвязанная работа отдельных точек доступа, а также возможность их программирования и управления от компьютера.
Способы идентификации на точках доступа
Самый простейший способ идентификации на точке прохода - набор ПИН-кода на клавиатуре считывателя. При таком способе даже не требуется наличия у человека каких-либо внешних идентификаторов. Однако недостатки такого метода очевидны. Во-первых, заставить запомнить бабушку-уборщицу 4- или того хуже 8-значный код не всегда представляется возможным. Во-вторых, постороннему человеку не составит никакого труда подглядеть набираемый код.
Более стойким несанкционированному доступу и, несомненно, самым распространенным на сегодняшний день является доступ по бесконтактным Рroximity-картам. Каждая карта имеет уникальный номер, присваиваемый ей при производстве, по которому СКУД определяет права владельца карты в системе. Однако и этот способ не является абсолютно защищенным. Сымитировать обычную Рroximity-карту может при желании любой более или менее толковый студент-радиолюбитель. В конце концов, карту можно просто украсть. За то время пока владелец обнаружит пропажу, сообщит в службу безопасности, чтобы данную карту удалили из системы, злоумышленник может успеть не раз проникнуть на объект.
Сейчас в СКУД на смену Рroximity-картам приходят смарт-карты. Отличительная особенность данного типа идентификаторов - возможность хранения идентификационного кода в защищенной перезаписываемой области карты, кроме того, сам процесс обмена карты со считывателем осуществляется по криптозащищенному протоколу. И хотя риск кражи или утери карты остается, однако подделка такой карты практически невозможна даже при наличии мощнейшей вычислительной техники. Данный способ идентификации самый доступный, оптимальный по уровню стойкости к подделке, и наверняка в ближайшем будущем для большинства объектов станет общепризнанным стандартом. Другое, пожалуй, самое модное сегодня и активно развивающееся направление - идентификация по биологическим признакам. Простейший и наиболее дешевый способ - идентификация по отпечатку пальца. Со стороны все выглядит, как в лучших американских фильмах, однако при организации точки прохода с использованием дактилоскопических устройств необходимо помнить о нескольких вещах. Действительно, палец трудно забыть дома в другой сумке, да и "украсть" его злоумышленнику тоже весьма проблематично. Это, конечно, плюсы. Однако у этого способа идентификации есть и ряд минусов, которые мешают его широкому распространению. Во-первых, практически все представленные сейчас на рынке модели таких считывателей имеют достаточно высокий уровень ошибок первого и второго рода (когда считыватель не "узнает" пользователя, имеющего доступ через данную точку прохода, или, наоборот, воспринимает как известный чужой отпечаток). Во-вторых, не стоит считать, что режим доступа по отпечатку пальца является абсолютно стойким к подделке. Подделывать научились и отпечатки! Ну и, в-третьих, существенное ограничение к использованию данных считывателей на проходных с большим потоком людей - довольно низкая пропускная способность таких точек доступа. Даже процесс верификации пользователя (не говоря уже про идентификацию) занимает секунды, что никак не приемлемо для проходных, особенно в "часы пик".
Правда, учитывая нынешнюю динамику развития технологий биометрии, можно с уверенностью сказать, что в ближайшие несколько лет надежность и скорость такого способа идентификации должна подняться до вполне приемлемого уровня.
Нередко можно встретить устройства идентификации, совмещающие в себе две, а порой и три из вышеописанных технологий идентификации. Например, Рroximity-считыватель с клавиатурой. В этом случае доступ осуществляется по карте + ПИН-коду. Не так давно появились интересные устройства, совмещающие в себе биометрическую технологию распознавания по отпечатку пальца и считыватель смарт-карт. При этом отпечаток пальца хранится в защищенной перезаписываемой области карты. Такой подход позволяет при наличии нескольких биометрических считывателей исключить необходимость занесения отпечатка пальцев каждого сотрудника в каждый считыватель. Отпечаток заносится при инициализации карты в системе всего один раз. Далее пользователь системы подносит карту и прикладывает палец к сенсору устройства, где полученный отпечаток сравнивается с тем, который хранится в карте.
Алгоритмы доступа в рамках всей системы
В сетевых СКУД все контроллеры объединены линиями связи и подключены к ПК, обеспечивающему централизованный сбор информации и управление системой. Благодаря этому практически все такие СКУД обеспечивают ряд полезных функций по организации алгоритмов доступа, работающих в рамках всей системы. В зависимости от структуры и топологии системы реализация данных алгоритмов может возлагаться как на аппаратную часть системы, так и на программное обеспечение.
Одна из таких функций - запрет "двойного прохода" (антипассбэк). Суть ее работы заключается в том, что все точки доступа, ограничивающие, например, вход на территорию предприятия, логически объединяются в одну область. При проходе сотрудника через одну из точек области система фиксирует, что данный сотрудник на территории предприятия. До тех пор пока данная карта не будет предъявлена на выходе на одной из точек доступа, входящих в область, повторное предъявление этой карты на вход на любой из точек вызовет отказ в доступе. Таким образом, этот алгоритм позволяет исключить возможность прохода по одной карте нескольких человек на территорию объекта или в заданную область.
В качестве еще одного примера можно привести реализацию алгоритмов доступа по временным (гостевым) картам. Такие карты выдаются посетителям в бюро пропусков и имеют особый статус в системе, ограничивающий их права по сроку действия и доступным областям. В зависимости от возможностей системы такие карты могут быть выданы как на определенный срок действия (например, неделю), так и на определенное количество проходов. Права доступа в системе у таких карт тоже существенно ограничены (они могут позволять только вход на территорию или в здание).
Существует множество других алгоритмов доступа, менее распространенных и достаточно редко применяемых. Например, доступ в помещение по двум картам. Этот алгоритм используется чаще всего для доступа в секретные лаборатории или банковские хранилища.
Рассмотреть все встречающиеся алгоритмы в рамках небольшой статьи, к сожалению, невозможно. И это понятно, так как с развитием технологий СКУД и все возрастающей требовательностью заказчика к безопасности своего объекта с каждым днем становится все больше.
Опубликовано: Журнал "Системы безопасности" #4, 2006
Посещений: 13079
Автор
| |||
В рубрику "Системы контроля и управления доступом (СКУД)" | К списку рубрик | К списку авторов | К списку публикаций
