Системи контролю і управління доступом: куди йдемо?

8

Системи контролю та управління доступом (СКУД) переживають період розквіту. Написані оглядові статті та книги, досвідченими стали виробники, освіченими — замовники. Нам представляється справою невдячною намагатися в компактній статті скільки-небудь повно і послідовно відобразити все сучасне різноманіття СКУД, їх злементов і розв’язуваних ними завдань. Це шлях для авторів підручників і монографій. Тому ми обмежимося розглядом лише кількох відносно нових (останні 2-3 року) аспектів сучасного розвитку СКУД.
Російський ринок скуд в цілому
В даний час більшість фахівців в сферах розробки, виробництва, продажу та інсталяції систем контролю та управління доступом (СКУД) відзначають хоча і незначний, але впевнене зростання обсягів споживання. Навіть в період кризи спад в цьому сегменті ринку не було катастрофічним і виражався в основному в деякому уповільненні реалізації великих проектів, динаміка компактних інсталяцій при цьому практично не змінювалася. Мабуть, замовники все більше усвідомлюють, що СКУД належить до тих небагатьох засобів безпеки, які не лише підвищують рівень протистояння об’єкта реалізації потенційних загроз, але і приносять прямий та значний економічний ефект.
Позитивні тенденції розвитку економіки країни в 2011 році дозволяють прогнозувати подальше збільшення попиту на СКУД. До основним традиційним споживачам — державним режимним організаціям, великим промисловим підприємствам, банкам, бізнес-центрів — додаються відносно нові: установи освіти, культури, медицини.
Загальне збільшення споживання СКУД також буде, ймовірно, обумовлено розширенням функціоналу самих систем, тенденцією до зростання вимог до оснащення об’єктів технічними засобами забезпечення безпеки через активізації протиправних дій, а також необхідністю модернізації систем, встановлених більше 5 років тому.
Функціонал
В останні роки сформувався стійкий набір основних функцій СКУД як засобу регулювання доступу та автоматизації обліку робочого часу. Зараз практично неможливо знайти мережеву систему без вбудованого або поставляється окремо модуля формування і печатки різних звітів по обліку робітника часу і контролю трудової дисципліни. Подальшим розвитком цього напряму є інтеграція з системами управління підприємством (ERP, HR-системами) і бухгалтерського обліку на рівні обміну інформацією про кадрові зміни, персональних даних, повноваження та правила проходу через точки доступу. Багато СКУД, особливо призначені для оснащення малих і середніх об’єктів, інтегровані з популярним сімейством керуючих програм 1С. Більшість сучасних мережевих СКУД оснащені відкритими інтерфейсами для інтеграції в систему управління підприємством. Реалізуються проекти, що передбачають інтеграцію СКУД з системами SAP, Boss та ін. найближчим часом відкритість СКУД (як і будь-яких систем АСУ) до інтеграції стане, мабуть, стандартом, буде рости номенклатура підтримуваних ними систем управління, рівень автоматизації і глибина взаємодії. Це ж відноситься і до інтеграції СКУД з іншими підсистемами забезпечення безпеки.
Конкуренція кількісних характеристик СКУД змістилася у бік більш «тонких» показників. Якщо раніше в якості основних показників розглядалося число користувачів у системі та автономно збережених подій у ній, то сучасний замовник вимагає значної кількості (сотні і тисячі) рівнів доступу, тимчасових розписів та їх складових інтервалів, високих швидкостей обміну в інформаційній магістралі, швидкості прийняття рішень, числа і гнучкості програмування основних і додаткових входів і виходів, наявності і кількості типових конфігурацій для управління точками проходу різних типів (двері, турнікети, шлюзи, шлагбауми тощо).
У передових СКУД з’явилися такі необхідні для великих об’єктів функції, як автоматизація введення персональних даних користувачів та оформлення перепусток, що реалізуються на основі автоматичного розпізнавання вмісту документів, що засвідчують особу, — паспортів, водійських посвідчень. Щоб уникнути необхідності встановлення занадто великої кількості спеціалізованих програм в СКУД вбудовуються web-сервіси для оформлення та узгодження заявок на перепустки, що дозволяють користуватися для цього звичайними браузерами. Розвиваються інтерфейси СКУД, зокрема, з’являються можливості призначення групових прав доступу співробітникам підрозділів, роботи з багаторівневими деревоподібними структурами підприємств. Функція заборони повторного проходу (antipassback) реалізується в передових СКУД апаратно і забезпечує створення декількох десятків рівнів вкладеності зон контролю. Досить популярні останнім часом такі функції потужних СКУД, як підрахунок числа користувачів в контрольованій зоні та на підприємстві в цілому, що особливо важливо при надзвичайних ситуаціях), пошук співробітників за місцем останнього пред’явлення карти, контроль переміщення користувачів по території підприємства, контроль несення служби персоналом охорони під час патрулювання об’єкта та ін.
Сучасні СКУД забезпечують ефективний контроль та управління не тільки доступом персоналу, але і дозволяють контролювати переміщення транспортних засобів по території підприємств, створюючи логістичні підсистеми систем управління підприємством. Це особливо важливо в ситуаціях, коли на загальній території розташовано кілька підприємств, на територію допускається транспорт підрядників і замовників, і дозволяє уникнути істотних відхилень від заданого маршруту та графіка руху і тим самим знизити ризики протиправних дій.
Неспецифічні нові технології
Будучи електронними інформаційними системами, СКУД постійно вдосконалюються/ вбираючи в себе досягнення електроніки та інформатики. Зростаюча обчислювальна потужність мікропроцесорів, збільшення обсягу і надійності елементів пам’яті є основою для забезпечення відповідності можливостей СКУД зростаючим вимогам замовників. Поява потужних мікропроцесорів з вбудованою репрограммируемой пам’яттю забезпечило можливість дистанційного оновлення і розвитку апаратної частини СКУД без демонтажу її елементів, що дозволяє підтримувати актуальність системи протягом усього терміну експлуатації без додаткових фінансових витрат. З точки зору виробника такий підхід забезпечує додаткові конкурентні пре майна і дозволяє розвивати систему за рахунок виведення на ринок нового обладнання і збереження сумісності зі старими апаратними версіями.
Серед тенденцій розвитку СКУД слід особливо відзначити загальний інтерес до впровадження IP-технологій. Можливість використання локальних обчислювальних мереж (ЛВС) для передачі інформації в деяких системах присутня вже більше 10 років. Їх структура передбачає використання послідовних інтерфейсів RS-485 або аналогічних для об’єднання лінійних контролерів та спеціальні шлюзи або центральні контролери обладнання для об’єднання в єдину інформаційну мережу по каналах Ethernet. Основною відмінністю обладнання нового покоління є повна відмова від використання послідовних інтерфейсів. Практично всі провідні виробники вивели на ринок або анонсували контролери доступу з можливістю прямого підключення до мережі Ethernet. Нові технології привносять додаткові можливості, до яких можна віднести зручність використання обладнання і більш низьку вартість впровадження СКУД на об’єктах з розвиненою 1Т-інфраструктурою. Виробники отримують можливість організації прямого обміну інформацією між контролерами і живлення пристроїв від мережі Ethernet з застосуванням технології РоЕ (Power over Ethernet).
Слід, однак, відзначити, що далеко не скрізь є необхідна оснащеність каналами Ethernet, а придбання додаткового обладнання і прокладання відповідних комунікацій може виявитися невигідною, якщо в місцях організації точок доступу не планується розміщення інших IP-пристроїв або комп’ютерів. Обмежена навантажувальна здатність не дозволяє використовувати технологію РоЕ для живлення контролерів і виконавчих пристроїв сумарною потужністю понад 13 Вт, а її структура ускладнює реалізацію тривалого резервування електроживлення системи і підвищує загальну вартість обладнання ЛОМ. Питання захисту мережі від несанкціонованого доступу, забезпечення достатньої пропускної спроможності і правильна організація маршрутизації пакетів даних також вимагають уважного розгляду. Враховуючи ці моменти, можна припустити, що найбільш затребуваними будуть універсальні системи, які забезпечують можливість використання обладнання з класичними і Ethernet-інтерфейсами як окремо, так і в необхідних сполученнях. Деякі виробники вже мають у своєму арсеналі такі рішення, причому в ряді випадків для вибору того чи іншого типу інтерфейсу досить придбати відповідні модулі розширення контролерів СКУД.
Ідентифікація користувачів
Способи ідентифікації користувачів СКУД можна розділити на дві групи. Першу з них утворюють способи, засновані на застосуванні зовнішніх по відношенню до користувача ідентифікаторів — електронних ключів, що містять унікальний код, який розпізнається СКУД і яким в її базі даних поставлені у відповідність персональні дані користувача. Другу групу утворюють способи ідентифікації, засновані на використанні біометричних характеристик самого користувача.
Біометрична ідентифікація вельми приваблива, оскільки ідентифікаційний ознака невід’ємний від користувача, його не можна втратити, забути, передати, досить складно або неможливо підробити, його не потрібно виготовляти, видавати, поновлювати та ін. Саме тому біометрична ідентифікація в даний час — найбільш швидко направлення на ринку систем безпеки. Навіть історично перші біометричні технології ідентифікації — по контурах долоні і відбитками пальців — постійно удосконалюються. Так, за допомогою телевізійних пристроїв створені безконтактні зчитувачі цих ознак (рис.1). На відміну від традиційних, вони більш гігієнічні, так як не припускають контакту пальця з будь-якою поверхнею, а тому значно простіше в обслуговуванні.

Телевізійні пристрої лежать в основі 2D і 3D (рис. 2) технологій розпізнавання та ідентифікації осіб, а також відомих ідентифікаторів по малюнку веселкової оболонки очей і щодо нових — за внутрішньою структурою судин пальця (рис. 3).
Системи контролю і управління доступом: куди йдемо?
Системи контролю і управління доступом: куди йдемо?
Однак, незважаючи на високу привабливість, бурхливий розвиток і, мабуть, хороші перспективи біометричної ідентифікації, сукупні показники швидкості і надійності розпізнавання в таких пристроях поки що суттєво поступаються пристроїв з зовнішніми ключами, переважна кількість яких має в своїй основі RFID (Radio Frequency Identification) технології.
Як і раніше, найбільш затребуваними залишаються зчитувачі і ідентифікатори форматів EM-Marine і HID Proxcard П. Незважаючи на відсутність захисту від копіювання, їх частка в загальному обсязі засобів ідентифікації не зменшується. Це обумовлено не тільки низькою вартістю налагоджених рішень і підтримкою більшістю виробників, але і наявністю великої кількості вже встановлених систем. При розширенні і навіть заміни системи на більш досконалу, споживач прагне зберегти наявні в обігу карти для виключення процесів збору наявних і видачі нових ідентифікаторів. Для великих підприємств з кількістю персоналу в кілька тисяч людей це може призвести до значних матеріальних і тимчасових витрат, особливо при використанні друку на картках інформації про власника і підприємстві. Для зниження ймовірності несанкціонованого доступу копії ідентифікатора зазвичай використовують сукупність додаткових засобів захисту — фото — і видеоверификацию, доступ з підтвердженням, доступ по карті та PIN-кодом, доступ по двом картам і т. п.
Тим не менше, практично всі учасники ринку СКУД розуміють необхідність застосування більш захищених від копіювання технологій ідентифікації. Такі механізми реалізовані в безконтактних смарт-картах форматів Mifare, iCLASS та ін. За останні кілька років їх вартість знизилася в кілька разів і впритул наблизилася до вартості карт форматів EM-Marine і HID. Карти Mifare різних виконань масово застосовуються в транспортних додатках і в якості соціальних карт у багатьох містах Росії.
Використання вбудованої пам’яті smart-карт і її зростаюча ємність дозволяють зберігати не тільки ідентифікаційна ознака, але і дані про власника, в тому числі біометричні, місце роботи, посаду, табельний номер та ін., а також його права доступу. За рахунок збільшення сумарного обсягу ідентифікаційної інформації повністю виключається ситуація її збігу в різних картах. При цьому істотно змінюється функціонал і знижується вартість стаціонарного обладнання СКУД. Можливість зберігання на карті біометричних даних полегшує реалізацію высокодостоверных і швидкодіючих точок доступу, зводячи завдання розпізнавання (вибір одного з всіх) до задачі ідентифікації (порівняння з єдиним зразком).
Існує, однак, і ряд аргументів на користь традиційного побудови СКУД. У таких системах персональні дані та права доступу зберігаються в базах даних системи, вони можуть централізовано і оперативно контролюватися і коригуватися при втраті або крадіжці картки, зміну персональних даних, графіка роботи і т. п. Використання карт сторонніх організацій (наприклад, вищестоящих) для економії коштів на придбання ідентифікаторів утруднене, так як пов’язано з необхідністю розкриття інформації про структуру зберігання даних на картах, погодження розміщення додаткової інформації.
Для читання захищеної інформації необхідно забезпечити збереження унікального ключа доступу до даних у зчитувачі. Для цього використовується двосторонній обмін інформацією контролера зі зчитувачем або запис ключів доступу до даних спеціально підготовленої майстер-картою при її пред’явленні до зчитувачі. Перше рішення більш зручно, але вимагає застосування спеціальних зчитувачів і контролерів. Друге рішення дозволяє використовувати стандартні контролери з Wiegand інтерфейсом, але ускладнює налаштування і модифікацію параметрів системи.
Впровадження захищених технологій зчитування кодів — питання часу і стримується тільки загальнотехнічної інерційністю систем. Що стосується поділу інформаційного функціоналу між картою і стаціонарним обладнанням, то найбільш перспективними представляються системи із зберіганням на карті ідентифікаційних ознак і централізованим зберіганням прав доступу (включаючи розклад) і персональних даних користувачів.
Проміжним варіантом використання smart-карт, що дозволяє поступово переходити на сучасні ідентифікатори без заміни стаціонарного устаткування СКУД. є використання для ідентифікації їх серійних номерів. Деякі виробники постачають на ринок відповідні зчитувачі з Wiegand інтерфейсом. Такий механізм не використовує захищені режими і схильний до ризику копіювання, як і традиційні EM-Marine і ProxCard ідентифікатори.
Системи ідентифікації RFID дальньої дії з рас стояниями зчитування кілька метрів знаходять все більш широке застосування при створенні СКУД транспортних засобів. Основним завданням, розв’язуваної у таких системах є обробка колізій, коли в зоні дії зчитувача виявляється одночасно декілька ідентифікаторів.
Крім власне ідентифікації користувачів, визначення і реалізації прав доступу користувачів, сучасні СКУД включають і такий додатковий функціонал, як ідентифікацію умов доступу. До давно використовується обмеженням числа одночасно знаходяться в зоні доступу користувачів, обмеження їх біологічних характеристик (вага, зріст) додаються обмеження входу для осіб з багажем, а також antitailgating-системи, що перешкоджають одночасного проходу двох і більше осіб за одним кодом. Принцип роботи таких систем заснований на аналізі за допомогою телевізійних (рис. 4) чи інфрачервоних (рис. 5) детекторів зони перед входом в точку доступу і блокування можливості входу при виявленні в зоні, що забезпечує прохід за час відкритого стану виконавчого пристрою більше однієї людини. В найбільш відповідальних зонах доступу, а також при обмежених розмірах зон перед точкою доступу такий аналіз поєднується з організацією входу за логікою шлюзу.
Системи контролю і управління доступом: куди йдемо?
Системи контролю і управління доступом: куди йдемо?
Виконавчі пристрої
Ринок надає сучасному проектувальнику величезне різноманіття виконавчих пристроїв, які автоматично реалізують рішення СКУД про здійснення або заборону доступу. Електромеханічні, електромоторні та магнітні замки, засувки, приводи припускають установку на всілякі типи дверей, воріт і хвірток — від скляних до засипних дверей грошових сховищ. Стійкові і тумбовые турнікети-триподи, роторні підлозі — і повноростові турнікети, шлюзові кабіни, обертові і зсувні двері забезпечують широкі можливості по організації різних прохідних. Зазначимо оригінальні рішення для стадіонів, які дозволяють в перервах між заходами наглухо закривати доступ на об’єкт (рис. 6, 7), а також турнікет з додатковою хвірткою для велосипеда, що відкривається при вирішенні доступу користувача та наявності значної маси металу в зоні чутливості відповідного датчика (рис. 8).
Системи контролю і управління доступом: куди йдемо?
Системи контролю і управління доступом: куди йдемо?
Системи контролю і управління доступом: куди йдемо?
Останнім часом в якості виконавчих пристроїв виступають різні противотаранные пристрою, особливо ефективні при парному використанні і включення за логікою шлюзу.
Порівняно молодим класом виконавчих пристроїв є автоматизовані сховища з разграниченным доступом до вмісту осередків. Крім різних конструкцій «ключниць», предметами зберігання виступають персональні радіостанції (рис. 9), ноутбуки (рис. 10), зброя та ін
Системи контролю і управління доступом: куди йдемо?
Системи контролю і управління доступом: куди йдемо?
Зміни в нормативній базі
За минуле п’ятиріччя відбувся ряд змін в нормативно-законодавчих актах, так чи інакше стосуються ринку СКУД. Особливо хотілося б відзначити два нових документа, тим більше що реакція ринку на появу цих документів різна.
Введення в дію державного стандарту — ГОСТ Р 51241-2008 «Засоби і системи контролю та управління доступом. Класифікація. Загальні технічні вимоги. Методи випробувань», в якому нарешті-то узаконений перехід до термінів і визначень, реально застосовуються на ринку СКУД, — в цілому позитивно оцінені ринком. Власне, заміна понятійного апарату у новому стандарті — головна його відмінність від чинного раніше ГОСТ Р 51241-98.
А ось прийняття ФЗ №152 «0 персональних даних» ринком СКУД було практично проігноровано, а даремно.
В якості унікальних даних, властивих суб’єкту доступу, СКУД оперує відомостями про прізвище, ім’я, по батькові суб’єкта, його посади, службовий телефон, адресу реєстрації, часу входу/виходу і т. п. Згідно з визначенням закону (№152-ФЗ «0 персональних даних») СКУД — це інформаційна система персональних даних (ПДн), а самі ПДн, оброблювані СКУД, підлягають захисту методами і способами, визначеними регуляторами в цій сфері (ФСБ, ФСТЕК і Роскомнадзор РФ).
Обов’язок захисту ПДн покладається на оператора ПДн (юридична особа, яка здійснює обробку ПДн). Крім організаційних заходів щодо захисту ПДн (політика безпеки, положення, регламенти, накази, посадові інструкції) законом передбачені і технічні заходи щодо захисту ПДн. Вони втілюються у впровадженні сертифікованих засобів захисту ПДн.
На жаль, більшість виробників, інсталяторів і користувачів СКУД далекі від тематики захисту інформації і, зокрема, ПДн. Тому в процесі створення СКУД замовник, потенційний оператор ПДн, часто виявляється не поінформований про необхідність створення системи захисту ПДн, а функціонал більшості СКУД — недостатнім для реалізації вимог закону.
Серйозність ситуації буде, ймовірно, оцінена ринком після закінчення часу, відведеного на приведення систем обробки ПДн вимогам закону, визначеними урядом, і вступу в дію санкцій за його порушення.
Проектування системи захисту ПДн необхідно здійснювати одночасно з проектуванням СКУД, що дозволяє оптимізувати конфігурацію СКУД з точки зору вартості відповідної СЗІ та забезпечити суттєву економію коштів. Більш того, одночасне проектування СКУД та системи захисту СКУД є вимогою нормативно-правових актів у сфері ЗВ. Введення в дію та експлуатація СКУД, що обробляє персональні дані, але не оснащеної системою захисту ПДн, є порушенням оператором (власником СКУД) чинного законодавства.
Засоби захисту інформації (СЗІ) реалізують функції управління доступом до ПДн, реєстрації та обліку, забезпечення цілісності, забезпечення безпечного міжмережевої взаємодії, антивірусного захисту, виявлення вторгнень, аналізу захищеності.
Крім СЗІ, «надстраиваемых» над СКУД, сама СКУД повинна реалізовувати визначений нормативними документами набір функцій з контролю та управління маніпуляціями з базою даних користувачів.
Підтвердженням відповідності СКУД вимогам законодавства у сфері захисту ПДн є атестація СКУД на відповідність вимогам щодо безпеки інформації. Виконання робіт з технічного захисту ПДн (впровадження засобів захисту), а також атестацію системи захисту повноважні проводити тільки організації, що мають відповідну ліцензію ФСТЕК Росії.
Не претендуючи на повноту і істину в останній інстанції, сподіваємося, що зазначені у статті моменти і тенденції стануть їжею для корисних роздумів і висновків всіх учасників ринку СКУД.