Системы безопасности: кампусные СКУД (часть 2)

ИСПОЛЬЗОВАНИЕ КАМПУСНЫХ КАРТ В СКУД

Вариант 1. Классическая технология. 
По первой, классической технологии работают большинство СКУД.

Преимущества:

Основным преимуществом будет возможность свободного выбора поставщика СКУД из множества доступных вариантов. Более того, при такой технологии использования карт университет может приобрести исключительно «железо» – контроллеры доступа, считыватели, замки или турникеты, интерфейсные модули и т.д., а затем при помощи SDK (комплекта разработчика ПО) разработать собственную «математику», то есть создать свое ПО управления СКУД. И экономия, и опыт для собственного отдела разработки и сопровождения программных продуктов.

Интеграция СКУД с другими кампусными приложениями организовывается исключительно на программном уровне – за счет автоматической синхронизации различных баз данных, добавления к функционалу СКУД дополнительных функций, таких как учет рабочего времени и подсистемы видеоидентификации/верификации и т.д.

Недостатки:

Все точки доступа должны иметь проводную связь с сервером базы данных (БД) СКУД. Даже если контроллер предусматривает автономный режим в случае проблем со связью – при указанных количествах пользователей и специфике университетов (база данных СКУД обновляется фактически ежедневно) любые сбои связи между контроллерами СКУД с БД крайне нежелательны.

Из-за проводной топологии стоимость системы получается достаточно высокой, причем она обусловлена не столько ценой оборудования, сколько затратами на организацию проводных каналов. Из-за этого подобные системы (за очень редким исключением) начинаются и заканчиваются «на турникете». СКУД, построенная по такой схеме, редко когда включает более десятка-другого точек доступа.

Специфика кампусов украинских вузов, когда учебные корпуса разбросаны по всему городу, также значительно усложняет (и удорожает) СКУД, так как каналы связи должны отвечать достаточно жестким требованиям по надежности и пропускной способности.

Использование карты как идентификатора таит в себе еще одну и весьма серьезную угрозу: поскольку идентификатором выступает неперезаписываемый (и нешифруемый!) ROM-код карты, носитель сможет выполнять свои обязанности в СКУД ровно до тех пор, пока очередная «группа китайских товарищей» не научится выпускать карты, в которые можно будет записать любой «неперезаписываемый» серийный номер… То есть пока не научатся клонировать ROM-код карт. Учитывая, что рассматриваемые нами кампусные карты эмулируют RFID-карту Mifare Standard, можно утверждать, что такой момент уже настал. Для обеспечения более-менее приемлемого уровня безопасности СКУД придется комбинировать с дополнительной системой идентификации, например осуществлять двухфакторный контроль доступа по схеме «карта + отпечаток пальца» или «карта + видеоидентификация по лицу». Подобный вариант серьезно влияет и на стоимость системы, и на ее надежность, как вы понимаете, далеко не в лучшую сторону.

 

Вариант 2. Перезаписываемая память карты

Перейдем ко второму варианту: СКУД использует перезаписываемую память карты для записи плана доступа пользователя и другой информации.

В этом случае назначенные пользователю права доступа записываются на кампусную карту, а контроллеру в точке доступа остается только считать их и самостоятельно принять решение о разрешении/запрете доступа. Хранить список идентификаторов в собственной памяти ему уже не нужно. Достаточно знать параметры той точки доступа, за которую отвечает контроллер, и реальное время/дату (для корректной работы расписаний доступа и аудита).

Благодаря такому подходу связь с базой данных контроллеру нужна далеко не во всех случаях и не на всех точках доступа. Безусловно, наиболее важные точки доступа – те же турникеты на входе или в наиболее важных зонах кампуса – должны работать в режиме реального времени для обеспечения контроля и управления ими в реальном времени.

Онлайн-точки доступа при такой технологии использования кампусных карт играют и еще одну очень важную роль: они выступают в роли промежуточных хабов, при проходе через которые происходит обновление данных на карте пользователей. Обновление работает в обе стороны: из БД СКУД на карту пишется обновление прав доступа (по необходимости), а с карты в БД – информация, записанная на нее в автономных точках доступа.

Автономными точками доступа (корректнее будет называть их беспроводными точками доступа) в данном случае могут выступать двери аудиторий, лабораторий, кафедр, служебных и технических помещений, двери комнат в общежитии и, наконец, замки на шкафчиках в спорткомплексе или бассейне. Такие точки разбросаны по всему кампусу, их количество на порядки превышает количество турникетов на входе, и прокладка кабелей к ним – либо абсолютно нерешаемая задача, либо безумно дорогое удовольствие. Но если управление такими точками в режиме реального времени не является обязательной функцией (в абсолютном большинстве случаев так оно и есть), провода можно и не проводить! Права доступа считываются с карты (права эти, напомню, обновляются при каждом проходе через онлайн-точку доступа, то есть минимум дважды в день, при входе и выходе из кампуса), и далее контроллер самостоятельно принимает решение о доступе. Он также производит запись аудита (факта прохода) и другой информации как в свою собственную память, так и на карту для последующей передачи в БД СКУД через онлайн-точку доступа.

Такие точки доступа могут иметь самую разную аппаратную реализацию: это может быть как классическая связка «контроллер – считыватель – исполнительное устройство – блок питания», так и электронные замки и даже миниатюрные электронные цилиндры (у которых контроллер, считыватель и все остальные части объединены конструктивно). Широкий выбор типов оборудования СКУД позволяет достаточно просто включать в единую систему как новые, так и существующие двери помещений, различные устройства (турникеты и шлагбаумы, упомянутые выше шкафчики в бассейне или, например, специальные замки с антипаник-баром для эвакуационных выходов) и даже лабораторное оборудование, серверные шкафы и т.д.

Описываемые системы позволяют абсолютно свободно смешивать в единой СКУД все перечисленные типы оборудования: проводные (IP) и беспроводные, онлайн и офлайн (автономные) точки доступа. Для каждой конкретной задачи можно свободно выбирать какой тип оборудования СКУД наиболее адекватно отвечает поставленным задачам по соотношению «цена/функционал».

При использовании технологии записи данных на карты концепция построения СКУД, с которой мы начали рассмотрение этой темы, будет выглядеть следующим образом: кампусная карта используется для записи плана доступа пользователей. При этом за защиту информации от несанкционированного чтения и/или записи отвечает сама СКУД, опираясь как на встроенные возможности криптозащиты карт, так и на программные возможности ПО управления СКУД.

СКУД решает весьма широкий круг задач: начиная с «первой линии обороны», то есть организации пропускного режима на территорию кампуса или здания/зоны, заканчивая вопросами контроля преподавателей (благодаря фиксации аудита, то есть времени/даты открытия/закрытия замка на двери аудитории), лабораторий  лабораторного оборудования, шкафчиков бассейна, дверей комнат в общежитии и т.д. Соответственно глубина проникновения СКУД вглубь кампуса ничем не ограничена – ни по времени (так как большинство подобных систем разворачивается поэтапно, начиная с тех самых турникетов на входе), ни по типу/количеству оборудуемых помещений и контролируемых устройств.

Благодаря технологии записи данных на карту появляется дополнительная возможность интеграции СКУД с другими кампусными приложениями. В профиль пользователей СКУД может носиться дополнительная информация: номер читательского билета студента или его зачетной книжки, табельный номер сотрудника по системе учета рабочего времени и другие идентификаторы пользователя в различных кампусных приложениях. При инициализации (записи) карты доступа в ее памяти создаются дополнительные области – и в них записываются идентификаторы.

После этого университету останется только установить в нужных точках (в читательском зале, на кафедре или на служебном входе) специальное оборудование, которое производит считывание и декодирование нужного идентификатора с дальнейшей его передачей в соответствующее кампусное приложение. То есть СКУД может взять на себя аппаратную составляющую различных идентификационных приложений, в то время как сами приложения (ПО и специализированные базы данных) могут быть разработаны самим университетом. Эта технология позволяет кампусным приложениям оперировать понятием «идентификатор пользователя», а не «идентификатор карты» – при поломке или утере карты она просто перевыпускается, и все ранее присвоенные пользователю идентификаторы на ней восстанавливаются (отпадает необходимость постоянной синхронизации базы данных идентификаторов карт для очень большого количества пользователей).

Недостатки:

Минусы у систем, работающих по описываемой технологии использования кампусных карт, конечно же, тоже есть.

Во-первых, производятся они исключительно за пределами нашей страны. На данный момент ни об одной отечественной системе, которая могла бы записывать на карту если не информацию о плане доступа, то хотя бы уникальный идентификатор пользователя (не привязанный к нешифруемому серийному номеру карты), мне не известно. На Западе же подобные системы производятся и используются уже достаточно давно. И именно они используются как СКУД большинства европейских (и не только) кампусов. Среднее количество точек доступа в таких системах колеблется в районе 600–1500. Но есть системы, включающие 4–5 тыс., а иногда даже порядка 10 тыс. точек доступа. Количество пользователей в БД таких систем может превышать 100 тыс. человек.

Во-вторых, приходится констатировать еще один «недостаток» – достаточно часто проработкой проекта и внедрением СКУД в университетах занимаются компании, имеющие опыт исключительно в сфере развертывания систем безопасности в офисах и на промышленных предприятиях. Стремление использовать типовые методы проектирования и распространенная практика, когда такие компании свой основной заработок делают именно «на проводах», значительно затрудняют продвижение данной концепции. И только если заказчик (вуз или университет) опирается на опыт применения СКУД в европейских кампусах и имеет достаточно четко проработанную концепцию внедрения полноценного комплекса кампусных приложений, СКУД университета имеет шанс из «турникета на входе» превратиться в систему, отвечающую за решение принципиально большего спектра задач.

А. В. Катренко

Коммерческий директор

«Смарт Секьюрити» (Россия)