Системи безпеки: кампусні СКУД (частина 2)

ВИКОРИСТАННЯ КАМПУСНИХ КАРТ В СКУД

Варіант 1. Класична технологія. 
За першою, класичною технологією працюють більшість СКУД.

Переваги:

Основною перевагою буде можливість вільного вибору постачальника СКУД з безлічі доступних варіантів. Більш того, при такій технології використання карт університет може придбати виключно “залізо” – контролери доступу, зчитувачі, замки або турнікети, інтерфейсні модулі і т.д., а потім за допомогою SDK (комплекту розробника ПЗ) розробити власну “математику”, то тобто створити своє ПО управління СКУД. І економія, і досвід для власного відділу розробки і супроводу програмних продуктів.

Інтеграція СКУД з іншими кампусні додатками організовується виключно на програмному рівні – за рахунок автоматичної синхронізації різних баз даних, додавання до функціоналу СКУД додаткових функцій, таких як облік робочого часу і підсистеми відеоідентифікації / верифікації і т.д.

Недоліки:

Всі точки доступу повинні мати проводове мовлення з сервером бази даних (БД) СКУД. Навіть якщо контролер передбачає автономний режим в разі проблем зі зв’язком – при зазначених кількостях користувачів і специфіці університетів (база даних СКУД оновлюється фактично щодня) будь-які збої зв’язку між контролерами СКУД з БД вкрай небажані.

Через провідний топології вартість системи виходить досить високою, причому вона обумовлена ​​не стільки ціною обладнання, скільки витратами на організацію провідних каналів. Через це подібні системи (за дуже рідкісним винятком) починаються і закінчуються “на турнікеті”. СКУД, побудована за такою схемою, рідко коли включає більше десятка-другого точок доступу.

Специфіка кампусів українських вузів, коли навчальні корпуси розкидані по всьому місту, також значно ускладнює (і здорожує) СКУД, так як канали зв’язку повинні відповідати досить жорстким вимогам по надійності та пропускної здатності.

Використання карти як ідентифікатора таїть в собі ще одну і вельми серйозну загрозу: оскільки ідентифікатором виступає неперезапісиваемий (і нешіфруемий!) ROM-код карти, носій зможе виконувати свої обов’язки в СКУД рівно до тих пір, поки чергова “група китайських товаришів” не навчиться випускати карти, в які можна буде записати будь-який “неперезапісиваемий” серійний номер … тобто поки не навчаться клонувати ROM-код карт. З огляду на, що розглядаються нами кампусні карти емулюють RFID-карту Mifare Standard, можна стверджувати, що такий момент настав. Для забезпечення більш-менш прийнятного рівня безпеки СКУД доведеться комбінувати з додатковою системою ідентифікації, наприклад здійснювати двохфакторну контроль доступу за схемою “карта + відбиток пальця” або “карта + Відеоідентифікація по обличчю”. Подібний варіант серйозно впливає і на вартість системи, та на її надійність, як ви розумієте, далеко не в кращу сторону.

 

Варіант 2. Жорсткий диск карти

Перейдемо до другого варіанту: СКУД використовує перезаписувану пам’ять карти для запису плану доступу користувача та іншої інформації.

В цьому випадку призначені користувачеві права доступу записуються на кампусну карту, а контролера в точці доступу залишається тільки вважати їх і самостійно прийняти рішення про дозвіл / заборону доступу. Зберігати список ідентифікаторів у власній пам’яті йому вже не потрібно. Досить знати параметри тієї точки доступу, за яку відповідає контролер, і реальний час / дату (для коректної роботи розкладів доступу та аудиту).

Завдяки такому підходу зв’язок з базою даних контролера потрібна далеко не у всіх випадках та не на всіх точках доступу. Безумовно, найбільш важливі точки доступу – ті ж турнікети на вході або в найбільш важливих зонах кампусу – повинні працювати в режимі реального часу для забезпечення контролю і управління ними в реальному часі.

Онлайн-точки доступу при такій технології використання кампусних карт грають та ще одну дуже важливу роль: вони виступають в ролі проміжних хабів, при проході через які відбувається оновлення даних на карті користувачів. Оновлення працює в обидві сторони: з БД СКУД на карту пишеться оновлення прав доступу (за потребою), а з карти в БД – інформація, записана на неї в автономних точках доступу.

Автономними точками доступу (коректніше буде називати їх бездротовими точками доступу) в даному випадку можуть виступати двері аудиторій, лабораторій, кафедр, службових та технічних приміщень, двері кімнат в гуртожитку і, нарешті, замки на шафках в спорткомплексі або басейні. Такі точки розкидані по всьому кампусу, їх кількість на порядки перевищує кількість турнікетів на вході, і прокладка кабелів до них – або абсолютно нерозв’язна задача, або шалено дороге задоволення. Але якщо управління такими точками в режимі реального часу не є обов’язковою функцією (в абсолютній більшості випадків так воно і є), дроти можна і не проводити! Права доступу зчитуються з картки (права ці, нагадаю, оновлюються при кожному проході через онлайн-точку доступу, тобто мінімум двічі в день, при вході і виході з кампусу), і далі контролер самостійно приймає рішення про доступ. Він також проводить запис аудиту (факту проходу) та іншої інформації як в свою власну пам’ять, так і на карту для подальшої передачі в БД СКУД через онлайн-точку доступу.

Такі точки доступу можуть мати різну апаратну реалізацію: це може бути як класична зв’язка “контролер – зчитувач – виконавчий пристрій – блок живлення”, так і електронні замки і навіть мініатюрні електронні циліндри (у яких контролер, зчитувач та всі інші частини об’єднані конструктивно). Широкий вибір типів обладнання СКУД дозволяє досить просто включати в єдину систему як нові, так і існуючі двері приміщень, різні пристрої (турнікети та шлагбауми, згадані вище шафки в басейні або, наприклад, спеціальні замки з антипаник-баром для евакуаційних виходів) і навіть лабораторне обладнання, серверні шафи і т.д.

Описувані системи дозволяють абсолютно вільно змішувати в єдиній СКУД всі перераховані типи обладнання: провідні (IP) та бездротові, онлайн і офлайн (автономні) точки доступу. Для кожної конкретної задачі можна вільно вибирати який тип обладнання СКУД найбільш адекватно відповідає поставленим завданням по співвідношенню “ціна / функціонал”.

При використанні технології запису даних на карти концепція побудови СКУД, з якої ми почали розгляд цієї теми, буде виглядати наступним чином: кампусна карта використовується для запису плану доступу користувачів. При цьому за захист інформації від несанкціонованого читання і / або запису відповідає сама СКУД, спираючись як на вбудовані можливості криптозахисту карт, так і на програмні можливості ПО управління СКУД.

СКУД вирішує досить широке коло завдань: починаючи з “першої лінії оборони”, тобто організації пропускного режиму на територію кампусу або будівлі / зони, закінчуючи питаннями контролю викладачів (завдяки фіксації аудиту, тобто часу / дати відкриття/закриття замка на дверях аудиторії), лабораторій лабораторного обладнання, шафок басейну, дверей кімнат в гуртожитку і т.д. Відповідно глибина проникнення СКУД вглиб кампусу нічим не обмежена – ні за часом (так як більшість подібних систем розгортається поетапно, починаючи з тих самих турнікетів на вході), ні за типом / кількості обладнаних приміщень і контрольованих пристроїв.

Завдяки технології запису даних на карту з’являється додаткова можливість інтеграції СКУД з іншими кампусні додатками. У профіль користувачів СКУД може носитися додаткова інформація: номер читацького квитка студента або його залікової книжки, табельний номер співробітника по системі обліку робочого часу та інші ідентифікатори користувача в різних кампусних додатках. При ініціалізації (записи) карти доступу в її пам’яті створюються додаткові області – і в них записуються ідентифікатори.

Після цього університету залишиться тільки встановити в потрібних точках (в читацькому залі, на кафедрі або на службовому вході) спеціальне обладнання, яке виробляє зчитування і декодування потрібного ідентифікатора з подальшою його передачею в відповідне кампусні додаток. Тобто СКУД може взяти на себе апаратну складову різних ідентифікаційних додатків, в той час як самі додатки (ПО і спеціалізовані бази даних) можуть бути розроблені самим університетом. Ця технологія дозволяє кампусні додатків оперувати поняттям “ідентифікатор користувача”, а не “ідентифікатор карти” – при поломці або втраті картки вона просто перевипускається, і все раніше присвоєні користувачу ідентифікатори на ній відновлюються (відпадає необхідність постійної синхронізації бази даних ідентифікаторів карт для дуже великої кількості користувачів).

Недоліки:

Мінуси у систем, що працюють по описуваної технології використання кампусних карт, звичайно ж, теж є.

По-перше, виробляються вони виключно за межами нашої країни. На даний момент ні про одну вітчизняній системі, яка могла б записувати на карту якщо не інформацію про план доступу, то хоча б унікальний ідентифікатор користувача (не прив’язані до нешіфруемому серійним номером карти), мені не відомо. На Заході ж подібні системи виробляються і використовуються вже досить давно. І саме вони використовуються як СКУД більшості європейських (і не тільки) кампусів. Середня кількість точок доступу в таких системах коливається в районі 600-1500. Але є системи, що включають 4-5 тис., А іноді навіть близько 10 тис. Точок доступу. Кількість користувачів в БД таких систем може перевищувати 100 тис. чоловік.

По-друге, доводиться констатувати ще один “недолік” – досить часто опрацюванням проекту та впровадженням СКУД в університетах займаються компанії, що мають досвід виключно в сфері розгортання систем безпеки в офісах та на промислових підприємствах. Прагнення використовувати типові методи проектування і поширена практика, коли такі компанії свій основний заробіток роблять саме “на проводах”, значно ускладнюють просування даної концепції. І тільки якщо замовник (вуз або університет) спирається на досвід застосування СКУД в європейських кампусах і має досить чітко опрацьовану концепцію впровадження повноцінного комплексу кампусних додатків, СКУД університету має шанс з “турнікета на вході” перетворитися в систему, що відповідає за рішення принципово більшого спектру завдань .

А. В. Катренко

Комерційний директор

“Смарт Секьюріті” (Росія)