Контакты
Подписка
МЕНЮ
Контакты
Подписка

СКУД – миссия выполнима!

В рубрику "Системы контроля и управления доступом (СКУД)" | К списку рубрик  |  К списку авторов  |  К списку публикаций

СКУД – миссия выполнима!

Современное обеспечение непрерывности бизнеса требует высокого уровня безопасности. Большинство нарушений происходят именно на проходах. Системы контроля и управления доступом (СКУД) являются и лицом фирмы, и передним краем ее незримой борьбы за существование. Более того, СКУД является мощным инструментом в эффективном управлении человеческими ресурсами
Н.В. Кукушин
Генеральный директор
ООО "Русский партнер"

В одной очень секретной организации в подвале была хорошо охраняемая секретная комната. Помимо кодовых замков на дверях, охранной сигнализации, у входа в подвал стоял часовой, а напротив постоянно находился вооруженный дежурный офицер. В секретной комнате хранились документы с грифом "Секретно" и "Особой важности".

В один прекрасный день начальник секретной комнаты обнаружил там чемодан, набитый дефицитными товарами ГДР. О том, как спят часовые, всем было понятно. Очевидные потертости на замках выдавали их код. Но как ему удалось обмануть сигнализацию? Объясняя, солдат взял обычный тестер и пару резисторов и продемонстрировал отключение охранной сигнализации мостового типа. Было это во времена, когда студенты служили срочную, примерно 25 лет назад. С тех пор охранные сигнализации в основной своей массе практически не изменились по принципу шлейфной организации и их все также несложно обмануть, как и одинокого полусонного охранника. Добавились автоматизированные СКУД, но какие из них могут быть действительно надежной опорой службы безопасности?

Самая простая СКУД

Самая простая СКУД состоит из контроллера, входного считывателя, геркона, кнопки выхода, электрозамка и блока питания.

Контроллер является центральной частью простейшей СКУД – это микропроцессорное устройство, которое запрограммировано для чтения сигналов считывания карт доступа и хранения событий и графиков в памяти, контроля состояния геркона и управления дверным замком.

Для того чтобы открыть дверь, сотрудник подносит карту доступа к считывателю, и если код карты является идентичным с кодом, прописанным в памяти контроллера, то замок открывается. Очень часто используется контроллер, встроенный в считыватель. Это опасно – достаточно открутить два винта, которые держат считыватель, отсоединить провод к замку и дверь открывается.

Но в основном продавцы обычно не говорят своим клиентам об этом, чтобы они продолжали пребывать в своих заблуждениях. Есть много покупателей и установщиков, которые используют встроенный контроллер для управления дверным замком.

Итак, первый вывод – необходимо позаботиться о физической защите контроллера и цепей управления дверным замком. Еще лучше – использовать контроллеры отдельно от считывателя, что не намного дороже.

Простые контроллеры, которые управляются картами, обычно не позволяют устанавливать специальные правила для каждого пользователя, например на выходные и праздничные дни. Для регистрации необходимо по одному поднести все карты к считывателю, что довольно неудобно.

Поэтому гораздо практичнее продвинутые контроллеры, которые настраиваются с помощью Web-интерфейса. Компьютерная настройка значительно упрощает все задачи администратора, не так уж трудно вписать списки контроля доступа и быстро менять собственные правила для каждой карты.

Быстрая окупаемость СКУД

СКУД эффективно решает многие непростые задачи, которые типичны для большинства предприятий.

На одном из весьма крупных, солидных объектов, где мы устанавливали оборудование видеонаблюдения, руководитель выдал нам талоны на обеды в столовой для персонала – обычные кусочки цветной бумаги с напечатанным на лазерном принтере словом "обед". Первая мысль, которую мы обсудили на пути в столовую, была о том, насколько легко можно напечатать такие талоны в любом количестве.

При бумажной системе не может быть точно известно, сколько придет людей на обед. Еда остается, и ее нужно куда-то списать, поэтому и сами повара могут напечатать талоны, чтобы получить дополнительные продукты. Раз уж денежные знаки подделывают, то подделать талоны на обед – просто пустяк для современных технологий.

"Вам должны были выдать ложки в отделе кадров" – именно так сказала нам на раздаче повариха и ушла. Мы были в полном недоумении, неужели действительно кроме талонов нужны еще и ложки от отдела кадров?

Но не успели мы придумать, где взять ложки, как другая повариха принесла нам и ложки, и обед. Нам было о чем поговорить за столом, а качество блюд нас очень порадовало.

В скором времени вместо талонов там стали использовать карты доступа и относительно недорогой, но надежный контроллер, считыватель которого был установлен прямо у раздачи в столовой. Контроллер СКУД автоматически ведет всю статистику обедавших, исключает подделку и повторное посещение. Используются те же карты доступа, что и для прохода через турникет на входе предприятия. Отдел кадров больше не раздает ложки. Затраты – только на контроллер, блок питания, кабели и считыватель – менее 8 тыс. руб. с монтажом "под ключ".

Точно так же водители, проезжая мимо ворот, прикладывают карту к считывателю въезда или выезда, благодаря чему открывание ворот автоматизируется и всегда точно известно, какие машины внутри, а какие на выезде. Конечно, есть великолепные карты доступа с большим радиусом чтения, но клиентам часто удобнее, во-первых, использовать одни и те же карты на всей территории объекта, а во-вторых, малый радиус считывания карты устраняет некоторые коллизии. В любом случае, автоматизированное управление воротами избавляет охрану от многих изматывающих функций, позволяет сосредоточиться на главном и быть в хорошем тонусе для противодействия нарушителям.

Охранники, обходя территорию, прикладывают свои карты к считывателям СКУД, благодаря чему руководитель всегда может проверить активность тех или иных конкретных охранников, что особенно актуально в выходные и праздничные дни с учетом любви охранников к пасьянсу и просмотру фильмов.

Аналогично просматривается деятельность работников инженерных служб, обеспечивающих исправное функционирование энергоснабжения, отопления, подачи и удаления воды, вентиляции, освещения и т.д. Неуловимых электриков и сантехников гораздо проще найти, когда они как бы случайно забыли сотовый телефон или радиостанцию.

Отклонение от графиков обходов устанавливается автоматически, остается только получить уже письменные объяснения соответствующего персонала, что день за днем воспитывает сознательное отношение к соблюдению установленных руководителем правил. Известно, что более всего наши люди не любят писать подобные бумаги, поэтому стимул весьма эффективен для управления кадрами, особенно если в трудовой договор заранее включен пункт о том, что время написания объяснений, связанных с нарушением инструкций предприятия, не оплачивается. Жестоко? Да, но руководитель может на первый раз великодушно простить прегрешения работника, простить и во второй. Все в руках руководителя, именно так и должно быть.

Снимите это немедленно!

Примерно десяток лет назад появились микросканеры по цене двух долларов, от которых спустя пару лет произошли биометрические СКУД дактилоскопического типа по отпечатку пальца. Разумеется, новый товар продавался по достаточно высокой цене, тысячекратно превышающей стоимость микросканера, и многие клюнули на новизну. Хотя применение биометрических сканеров открывает большие возможности в обеспечении безопасности, например дополнительное подтверждение подлинности при срабатывании antipassback, их надежность очень мала. Впринципе продавцы довольно гладко излагали на глянцевой бумаге преимущества биометрических СКУД, основным из которых считалась стоимость карт доступа, которые не надо покупать.

Но реальность оказалась гораздо сложнее. Что делать секретарше, которая проколола скобкой палец и наклеила пластырь? Что делать маляру, если краска или смола не смываются? Токарю, слесарю-инструментальщику, руки которых часто ободраны, порезаны стружкой, всегда в масле и металлической пыли? Вдобавок, насколько гигиенично использование таких технологий? Рабочие из шалости или по другим мотивам незаметно подкладывали пластилин, царапали поверхность микросканера и тогда фирма надолго теряла все преимущества автоматизированного управления доступом, рушился производственный ритм.

Потом в Интернете появились ролики, демонстрирующие изготовление фальшивого отпечатка за несколько минут с помощью гипса и силикона.

Руководители многих предприятий призадумались и, несмотря на уже произведенные немалые затраты на биометрические СКУД, были вынуждены спешно устанавливать традиционные СКУД, среди которых в настоящее время доминируют достаточно удобные RFID-карты. Из них самыми надежными считаются Mifare.

Появилась автоматическая 3D-идентификация предъявителя карты доступа, но автоматический процесс 3D-распознавания лиц еще не избавлен от ошибок в ту и иную сторону – ошибочно не пустили или ошибочно пропустили, поэтому на серьезных объектах вряд ли имеет смысл их применять.

Замок – самое слабое звено

Трудные проблемы управления доступом связаны с выбором и установкой замков и турникетов. Правильное решение предопределяет результат. Электромеханические замки недешевы и их надежность часто оставляет желать лучшего. Наиболее надежны электромагнитные замки, которые дешевле, не изнашиваются и соответствуют требованиям пожарной безопасности.

Любой замок может быть испорчен при прохождении через дверь. Например, можно приложить обычную канцелярскую скрепку на магнит, сила притяжения электромагнитного замка значительно уменьшается, и дверь в течение всего дня открыта для всех.

Профессиональные контроллеры посылают сигнал тревоги охраннику, если дверь открыта в период, когда замок был закрыт. Функция "взлом двери" предотвращает две существенные угрозы: ослабление магнита с помощью скрепки и других подобных методов, а также отключение провода питания замка. Обычные дешевые контроллеры не имеют такой возможности. Если эта функция упускается из виду или сигнал тревоги не выдается, СКУД не в состоянии выполнять свои задачи.


Важные двери должны быть оборудованы видеокамерами для выявления правонарушителей и оперативного предотвращения их деятельности. Двери, где камера установлена на видном месте, как правило, не пытаются взломать и это только одно из многих преимуществ интеграции с видеонаблюдением.

Результат идентификации персонала по видеоканалу более надежен. Сочетание карта + FaceID эквивалентно использованию двух различных типов замков в одной двери. Такие системы должны быть защищены от подмены видео при помощи ранее записанного видео, в противном случае преимущество теряется.

Феерия самообмана

СКУД может выполнять свои функции, когда решены многие проблемы, включая интеграцию с видео, пожарной сигнализацией, резервным копированием, различными уровнями доступа к информационным ресурсам, контролем внутрисистемных процессов, защитой от вирусов, сетевыми экранами и прокси-серверами, системами фильтрации, физической защитой линий, криптографической защиты каналов передачи данных, резервированием оборудования. IP-технология – наиболее простой и дешевый способ для обеспечения всех основных задач систем контроля доступа.

Старые форматы линий, такие как RS-485 и CAN, как правило, хвалят, ссылаясь на почтенные стандарты, но медленный формат делает подтасовку очень вероятной угрозой. Недорогие средства VPN IPSec здесь недоступны. Конвертор Ethetnet RS-485 сегодня стоит полсотни долларов, что позволяет эффективно преодолевать большие расстояния по витой паре. Новое строительство под устаревшие форматы теперь проигрывает IP-технологиям.

Почему защита информации в СКУД столь важна?

Часто системы управления доступом устроены так, что именно периферийный контроллер хранит списки управления доступом (ACL), кодовые имена сотрудников и их расписание и правила доступа, а также информацию о проходах. Это открывает широкие возможности для чтения и модернизации ACL. Производителей СКУД редко заботят пароли в сети и все контроллеры руководствуются только байтом адреса. Проще говоря, зачем идти на работу, когда память контроллера так легко доступна для чтения и перезаписи? Это делает возможным клонирование всех карт сразу. Легко!

ACL может быть непредсказуемо изменен, и в этом случае нарушители получают доступ в запретные зоны. В то же время охранники теряют права доступа и они заблокированы – все запрещено, чтобы предотвратить вмешательство в деятельность нарушителей. В один прекрасный день это может быть просто чьей-то шуткой, чтобы развеять скуку начальника службы безопасности.

IP-сети дают самые надежные средства для защиты данных. Есть уже и турникеты, и замки, и другое необходимое оборудование с IP-интерфейсами.

Раздвоение личностей

Существенной проблемой для СКУД является распространившееся клонирование ключей и карт доступа. В газетах полно объявлений о клонировании за 50 руб. любому желающему, что удобно для пользователей домофонов. Но неудобно для руководителей. Многие СКУД не препятствуют одновременному использованию в системе нескольких одинаковых ключей или карт доступа.

Клонированный ключ позволяет не только пройти на предприятие, но также открывает все те внутренние двери, которые были разрешены для аутентичного ключа. Клонирование может быть осуществлено как в результате скрытного завладения картой доступа, чтения канала связи контроллеров, чтения памяти контроллера, так и самим работником. "У нас таких нет!" – возбужденно возражает руководитель, недопонимая уязвимость. Если закрыть глаза, то баба-яга исчезнет – это довольно типичное заблуждение в обеспечении безопасности.

Зачем работнику клонирование? Мотивы могут быть разными. Во-первых, многие предприятия вводят непомерный штраф за утерю карты (500 руб.), дешевле сделать клон и ходить с ним, а оригинал держать в сейфе дома. Даже если штрафа нет, то потеря ключа наверняка запишется в личном деле. Во-вторых, некоторые службы безопасности настолько бюрократизированы, что главному инженеру проще сделать клона, допустим сантехнику, чтобы он мог прибежать в экстренных случаях через многочисленные двери фирмы. И подобных мотивов множество.

Global Antipassback

Популярен прием против клонирования – использование функции Global Antipassback СКУД, но различные изготовители вкладывают в нее совершенно разные возможности, которые покупателю очень непросто проверить, нормативы производителями не декларируются. Наибольшая сложность СКУД с Antipassback в том, что информация о каждом проходе должна сразу проникнуть во все контроллеры, управляющие доступом.

Более того, при непродуманном конфигурировании уровней и зон доступа Antipassback таит в себе очень опасные проблемы. Допустим, некое очень важное лицо заходит со своей картой доступа в шлюз, а мы в этот момент прикладываем к другому считывателю клон его карты, в результате чего повторный проход блокируется и очень важное лицо останется запертым в шлюзе, пока не придет охрана и не вызволит его. Работа Antipassback наверняка будет списана на ошибки СКУД, поскольку для расследования требуется существенное время, за которое нарушитель успеет ретироваться с той же или иной клонированной картой.

Если считыватели входа и выхода установлены на одном турникете, то нарушителю несложно дотянуться до противоположного считывателя и сразу устранить препятствия, создаваемые Antipassback.

Следующий вариант использования Antipassback – переполнение памяти сразу всех контроллеров СКУД, для чего в сети генерируются ложные пакеты о событиях, которые идут обычно в режиме Multicast. В результате переполнения памяти ничего не значащими событиями нужная информация будет удалена, так как память в контроллерах обычно невелика. Самое простое – прикладывание клонированной карты поочередно к одному и к другому считывателю, которые расположены рядом.

Работа контроллера сетевой СКУД в автономном режиме – это нонсенс, зачастую недопонимаемый. Если пропала связь с центром – проход безоговорочно блокируется.

Резервирование электропитания

Надежность электропитания СКУД имеет важнейшее значение. Самый простой способ открыть дверь – просунуть в ближайшую розетку подходящий провод, например ПВ-1х16. При этом гарантированно сработает автоматический выключатель, электропитание будет выключено и электромагнитный дверной замок откроется. Еще проще имитировать утечку по изоляции, и УЗО отключит весь этаж. Как правило, спустя некоторое время является заспанный электрик, источающий водочное амбре и без каких-либо раздумий включает электропитание.

Электрические щиты закрываются на обычные электротехнические замки, один ключ подходит ко всем щитам. Чтобы открыть нужную дверь, откроем щиток и выключим самый замусоленный автоматический выключатель, через который и идет электропитание к контроллеру СКУД и замку.


Следовательно, СКУД должны фиксировать все случаи отключения электропитания для расследования их причин. Электрические щиты должны быть под охранной сигнализацией и вообще ни один электрик не вправе что-либо включать без согласования с главным инженером или ответственным за электрохозяйство. Все блоки электропитания СКУД должны иметь резервный аккумулятор, пусть даже небольшой, но он отвадит всех желающих отключать электроснабжение для прохода.

Для сетевого оборудования, компьютеров, ОПС, СКУД, видеонаблюдения и аварийного освещения следует проложить отдельные линии электропитания от АВР, что существенно продлит сроки наработки на отказ, увеличит достоверность и надежность важного для обеспечения безопасности оборудования.

Два безупречных приема экономии

Для того чтобы понять и осмыслить основные угрозы и эффективно использовать доступные технологии, необходимо значительное время, поэтому разумно обратиться к подрядчикам, у которых уже есть рациональные решения, в том числе и в плане экономии. По меньшей мере два безупречных приема экономии позволяют быстро отсеять подрядчиков, не обладающих знаниями и опытом в сфере современных телекоммуникаций.

Конвергентные сети – современная основа организации безопасности. Все, что раньше требовало множества кабелей, теперь уместилось в один-единственный кабель IP – таков смысл конвергентных сетей, важным преимуществом которых становится высочайшая надежность, гибкость топологий и экономическая эффективность. Теперь не нужно каждый раз прокладывать кабели, когда требуется поставить новую систему, потому что все они могут базироваться на одном кабеле благодаря технологиям конвергентной IP-сети. Важные функции – 802.1d, 802.1w, 802.1s, 802.3af, 802.1q, 802.1p, 802.1x – должны поддерживаться оборудованием и быть доступны для понимания подрядчика, иначе оборудование не будет их использовать.

Второй безупречный прием разумной экономии – общее использование оборудования для защиты информации и обеспечения информационной безопасности в целом: средства резервного копирования, разграничения доступа к информационным ресурсам и мониторинга внутрисистемных процессов, антивирусная защита, брандмауэры, прокси-серверы, системы фильтрации, резервирование и защита линий, системы криптографической защиты каналов передачи данных. Все они могут успешно использоваться для совместной работы видеонаблюдения, ОПС, VoIP, ВКС и других информационных систем предприятия.

С приходом VoIP произошла великая пакетная революция в телефонии, IP-видеонаблюдение победило остальные альтернативы. Пришла очередь и СКУД.

Опубликовано: Каталог "СКУД. Антитерроризм"-2012
Посещений: 14844

  Автор

Кукушин Н. В.

Кукушин Н. В.

Генеральный директор ООО
"Русский Партнер"

Всего статей:  17

В рубрику "Системы контроля и управления доступом (СКУД)" | К списку рубрик  |  К списку авторов  |  К списку публикаций