Создание системы для мониторинга и анализа средств контроля и управления доступом в РУП ПО "Белоруснефть"

Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

Введение

информация программный управление доступ

В настоящее время существуют различные направления, специализирующиеся на защите информации. Это компьютерная безопасность, организационно-правовая и инженерно-техническая защита информации, а также её методология. Для успешного противодействия несанкционированному получению информации необходима надёжная и управляемая комплексная система информационной безопасности. Одним из элементов системы информационной безопасности является система контроля и управления доступом. Системы контроля и управления доступом предназначены для контроля и управления перемещениями людей, ограничения и разграничения доступа на объект, учёта рабочего времени персонала, помогают организовать выдачу пропусков посетителям, формировать отчёты и анализировать состояние дисциплины, координировать действия охранников и многое другое, являясь эффективной защитой от проникновения посторонних лиц на территорию охраняемого объекта. Системы контроля и управления доступом помогают обеспечивать не только сохранность материальных ценностей, но и безопасность персонала. Чтобы система правильно функционировала, необходимо научиться строить такие системы, а так же научиться их настраивать.

1. Основные принципы защиты информации

1.1 Задачи специалиста занимающегося комплексным обеспечением информационной безопасности автоматизированных систем

То, что придумывают одни, всегда пытаются использовать другие. И первые рано или поздно начинают защищать плоды собственного интеллекта. Так появилась одна из наиболее ценных и востребованных на сегодняшний день профессий - специалист по защите информации. Сегодня, разумеется, неразрывно связанная с компьютерами. Вначале система информационной безопасности разрабатывались для нужд военных. Стратегические данные, касающиеся обороноспособности, были настолько важны, что их утечка могла привести к огромным людским потерям. Соответственно, компьютерная безопасность обратилась к опыту криптографии, то есть шифрования.

Появлялись криптошрифты и специальные программы, позволяющие автоматизировать процесс шифровки и дешифровки. Позже, когда необходимость защиты информации распространилась на иные сферы, стало понятно, что иногда шифрование сильно затрудняет и замедляет передачу и использование данных. А с развитием компьютерных сетей и систем стали появляться другие задачи. Со временем появилась классификация тайн, которые необходимо защищать. Они составили шесть категорий: государственная тайна, коммерческая, банковская, профессиональная, служебная и персональные данные. Понятно, что для разных отраслей и типов предприятий приоритетными оказываются одна или две категории. Производству, связанному с наукой, например, крайне важно предотвратить утечку планов, новых разработок и испытаний.

Специалисты считают, что сегодня, в отличие от прошлых десятилетий, больше внимания уделяется двум вещам: доступности и целостности информации. Доступность означает тот факт, что каждый пользователь может в любое время затребовать необходимый сервис и работать в нем без осложнений. С другой стороны - во время хранения и передачи информация должна оставаться целостной. Особенно актуально это, например, для банков, где важно не допустить изменения реквизитов, приписывания лишних ноликов. В то же время, провайдерам или операторам связи абсолютно необходимо сохранять доступность и безотказность работы информационных систем (сервера, узла связи), потому что именно это является основой успеха.

Современная защита информации - это поиск оптимального соотношения между доступностью и безопасностью. Или, другими словами, это постоянная борьба с ошибками пользователей и интеллектом хакеров. Статистика говорит, что 70-80% компьютерных преступлений совершаются работающими или уволенными сотрудниками, то есть внутри компаний.

Иногда люди, обладающие большими полномочиями, паролями и доступом к информации, не могут одолеть соблазна воспользоваться этими преимуществами. А те, кого уволили, таким образом, мстят фирме, отделу или лично уволившему начальнику.

Преступная практика диктует принципы работы специалиста по защите информации. Для обеспечения контроля доступом на предприятие, необходимо уделять внимание системам контроля и управления доступом. Существует принципиальная схема, по которой строится работа специалиста по защите информации.

Во-первых, проводится информационное обследование и анализ. Это самый важный этап, в результате которого появляется так называемая "модель нарушителя": кто, зачем и как может нарушать безопасность. Чтобы грамотно провести обследование, профессионал должен знать основные направления экономического и социального развития отрасли, перспективы, специализацию и особенности предприятия, специфику работы конкурентов, детали прохождения информации по подразделениям, знать кадровые проблемы и быть в курсе "подводных течений" в коллективе. На втором этапе разрабатываются внутренние организационно-правовые документы, которые максимально упорядочивают информационные потоки. Далее специалист по защите информации руководит приобретением, установкой и настройкой средств и механизмов защиты.

1.2 Организационные основы защиты информации на предприятии

Для наиболее полного и глубокого анализа происходящих в сфере защиты конфиденциальной информации процессов, понимание сущности планируемых и проводимых в этих целях мероприятий, прежде всего, необходимо рассмотреть одно из важнейших направлений защиты конфиденциальной информации - организационную защиту информации.

Организационная защита информации является организационным началом, так называемым «ядром» в общей системе защиты конфиденциальной информации предприятия. От полноты и качества решения руководством предприятия и должностными лицами организационных задач зависит эффективность функционирования системы защиты информации в целом. Роль и место организационной защиты информации в общей системе мер, направленных на защиту конфиденциальной информации предприятия, определяются исключительной важностью принятия руководством своевременных и верных управленческих решений с учётом имеющихся в его распоряжении сил, средств, методов и способов защиты информации и на основе действующего нормативно-методического аппарата.

Среди основных направлений защиты информации наряду с организационной выделяют правовую и инженерно-техническую защиту информации.

Однако организационной защите информации среди этих направлений отводится особое место.

Организационная защита информации призвана посредством выбора конкретных сил и средств (включающие в себя правовые, инженерно-технические и инженерно-геологические) реализовать на практике спланированные руководством предприятия меры по защите информации. Эти меры принимаются в зависимости от конкретной обстановки на предприятии, связанной с наличием возможных угроз, воздействующих на защищаемую информацию и ведущих к её утечке.

Роль руководства предприятия в решении задач по защите информации трудно переоценить. Основными направлениями деятельности, осуществляемой руководителем предприятия в этой области, являются: планирование мероприятий по защите информации и персональный контроль за их выполнением, принятие решений о непосредственном доступе к конфиденциальной информации своих сотрудников и представителей других организаций, распределение обязанностей и задач между должностными лицами и структурными подразделениями, аналитическая работа и т.д. Цель принимаемых руководством предприятия и должностными лицами организационных мер - исключение утечки информации и, таким образом, уменьшение или полное исключение возможности нанесения предприятию ущерба, к которому эта утечка может привести.

Система мер по защите информации в широком смысле слова должна строиться исходя из тех начальных условий и факторов, которые, в свою очередь, определяются состоянием устремлённости разведок противника либо действиями конкурента на рынке товаров и услуг, направленными на овладение информацией, подлежащей защите.

Это правило действует как на государственном уровне, так и на уровне конкретного предприятия.

Используются два примерно равнозначных определения организационной зашиты информации.

Организационная защита информации - составная часть системы защиты информации, определяющая и вырабатывающая порядок и правила функционирования объектов защиты и деятельности должностных лиц в целях обеспечения защиты информации.

Организационная защита информации на предприятии - регламентация производственной деятельности и взаимоотношений субъектов (сотрудников предприятия) на нормативно-правовой основе, исключающая или ослабляющая нанесение ущерба данному предприятию. Первое из приведённых определений в большей степени показывает сущность организационной защиты информации. Второе - раскрывает её структуру на уровне предприятия. Вместе с тем оба определения подчёркивают важность нормативно-правового регулирования вопросов защиты информации наряду с комплексным подходом к использованию в этих целях имеющихся сил и средств.

Основные направления организационной защиты информации:

- организация работы с персоналом;

- организация внутриобъектового и пропускного режимов и охраны;

- организация работы с носителями сведений;

- комплексное планирование мероприятий по защите информации;

- организация аналитической работы и контроля.

Основные принципы организационной защиты информации:

- принцип комплексного подхода - эффективное использование сил, средств, способов и методов защиты информации для решения поставленных задач в зависимости от конкретной складывающейся ситуации и наличия факторов, ослабляющих или усиливающих угрозу защищаемой информации;

- принцип оперативности принятия управленческих решений (существенно влияет на эффективность функционирования и гибкость системы защиты информации и отражает нацеленность руководства и персонала предприятия на решение задач защиты информации);

- принцип персональной ответственности - наиболее эффективное распределение задач по защите информации между руководством и персоналом предприятия и определение ответственности за полноту и качество их выполнения.

Среди основных условий организационной защиты информации можно выделить следующие:

- непрерывность всестороннего анализа функционирования системы защиты информации в целях принятия своевременных мер по повышению её эффективности;

- неукоснительное соблюдение руководством и персоналом предприятия установленных норм и правил защиты конфиденциальной информации.

При соблюдении перечисленных условий обеспечивается наиболее полное и качественное решение задач по защите конфиденциальной информации на предприятии. Основные подходы и требования к организации системы защиты информации. Успешное решение комплекса задач по защите информации не может быть достигнуто без создания единой основы, так называемого «активного кулака» предприятия, способного концентрировать все усилия и имеющиеся ресурсы для исключения утечки конфиденциальной информации и недопущения возможности нанесения ущерба предприятию. Таким «кулаком» призвана стать система защиты информации на предприятии, создаваемая на соответствующей нормативно-методической основе и отражающая все направления и специфику деятельности данного предприятия.

Под системой защиты информации понимают совокупность органов защиты информации (структурных подразделений или должностных лиц предприятия), используемых ими средств и методов защиты информации, а также мероприятий, планируемых и проводимых в этих целях.

Для решения организационных задач по созданию и обеспечению функционирования системы защиты информации используются несколько основных подходов, которые вырабатываются на основе существующей нормативно-правовой базы и с учётом методических разработок по тем или иным направлениям защиты конфиденциальной информации. Один из основных подходов к созданию системы защиты информации заключается во всестороннем анализе состояния защищённости информационных ресурсов предприятия с учётом устремлённости конкурирующих организаций к овладению конфиденциальной информацией и, тем самым, нанесению ущерба предприятию.

Важным элементом анализа является работа по определению перечня защищаемых информационных ресурсов с учётом особенностей их расположения (размещения) и доступа к ним различных категорий сотрудников (работников других предприятий). Работу по проведению такого анализа непосредственно возглавляет руководитель предприятия и его заместители по направлениям деятельности. Изучение защищённости информационных ресурсов основывается на положительном и отрицательном опыте работы предприятия, накопленном в течение последних нескольких лет, а также на деловых связях и контактах предприятия с организациями, осуществляющими аналогичные виды деятельности.

При создании системы защиты информации, в первую очередь, учитываются наиболее важные, приоритетные направления деятельности предприятия, требующие особого внимания. Предпочтение также отдаётся новым, перспективным направлениям деятельности предприятия, которые связаны с научными исследованиями, новейшими технологиями, формирующими интеллектуальную собственность, а также развивающимся международным связям. В соответствии с названными приоритетами формируется перечень возможных угроз информации, подлежащей защите, и определяются конкретные силы, средства, способы и методы её защиты. К организации системы защиты информации с позиции системного подхода выдвигается ряд требований, определяющих её целостность, стройность и эффективность.

Система защиты информации должна быть:

- централизованной - обеспечивающей эффективное управление системой со стороны руководителя и должностных лиц, отвечающих за различные направления деятельности предприятия;

- плановой - объединяющей усилия различных должностных лиц и структурных подразделений для выполнения стоящих перед предприятием задач в области защиты информации;

- конкретной и целенаправленной - рассчитанной на защиту абсолютно конкретных информационных ресурсов, представляющих интерес для конкурирующих организаций;

- активной - обеспечивающей защиту информации с достаточной степенью настойчивости и возможностью концентрации усилий на наиболее важных направлениях деятельности предприятия;

- надёжной и универсальной - охватывающей всю деятельность предприятия, связанную с созданием и обменом информацией.

Основные методы, силы и средства, используемые для организации защиты информации. Один из важнейших факторов, влияющих на эффективность системы защиты конфиденциальной информации, - совокупность сил и средств предприятия, используемых для организации защиты информации.

Силы и средства различных предприятий отличаются по структуре, характеру и порядку использования. Предприятия, работающие с конфиденциальной информацией и решающие задачи по её защите в рамках повседневной деятельности на постоянной основе, вынуждены с этой целью создавать самостоятельные структурные подразделения и использовать высокоэффективные средства защиты информации. Если предприятия лишь эпизодически работают с конфиденциальной информацией в силу её небольших объёмов, вместо создания подразделений они могут включать в свои штаты отдельные должности специалистов по защите информации.

Данные подразделения и должности являются органами защиты информации. Предприятия, работающие с незначительными объёмами конфиденциальной информации, могут на договорной основе использовать потенциал более крупных предприятий, имеющих необходимое количество квалифицированных сотрудников, высокоэффективные средства защиты информации, а также большой опыт практической работы в данной области. Для проведения работ по организации защиты информации используются также возможности различных нештатных подразделений предприятия, в том числе коллегиальных органов (комиссий), создаваемых для решения специфических задач в этой области. В их числе - постоянно действующая техническая комиссия, экспертная комиссия, комиссия по рассекречиванию носителей конфиденциальной информации, комиссия по категорированию объектов информатизации и др. Функции, возлагаемые на данные комиссии, рассмотрены в других статьях. Чтобы добиться максимальной эффективности при решении задач защиты информации, наряду с возможностями упомянутых штатных и нештатных подразделений (должностных лиц) необходимо использовать имеющиеся на предприятии средства защиты информации. Под средствами защиты информации понимают технические, криптографические, программные и другие средства и системы, разработанные и предназначенные для защиты конфиденциальной информации, а также средства, устройства и системы контроля эффективности защиты информации.

Технические средства защиты информации - устройства (приборы), предназначенные для обеспечения защиты информации, исключения её утечки, создания помех (препятствий) техническим средствам доступа к информации, подлежащей защите. Криптографические средства защиты информации - средства (устройства), обеспечивающие защиту конфиденциальной информации путём её криптографического преобразования (шифрования). Программные средства защиты информации - системы защиты средств автоматизации (персональных электронно-вычислительных машин и их комплексов) от внешнего (постороннего) воздействия или вторжения.

Эффективное решение задач организации защиты информации невозможно без применения комплекса имеющихся в распоряжении руководителя предприятия соответствующих сил и средств. Вместе с тем определяющую роль в вопросах организации защиты информации, применения в этих целях сил и средств предприятия играют методы защиты информации, определяющие порядок, алгоритм и особенности использования данных сил и средств в конкретной ситуации. Методы защиты информации - применяемые в целях исключения утечки информации универсальные и специфические способы использования имеющихся сил и средств (приёмы, меры, мероприятия), учитывающие специфику деятельности по защите информации. Общие методы защиты информации подразделяются на правовые, организационные, технические и экономические.

Методы защиты информации с точки зрения их теоретической основы и практического использования взаимосвязаны. Правовые методы регламентируют и всесторонне нормативно регулируют деятельность по защите информации, выделяя, прежде всего, её организационные направления. Тесную связь организационных и правовых методов защиты информации можно показать на примере решения задач по исключению утечки конфиденциальной информации, в частности относящейся к коммерческой тайне предприятия, при его взаимодействии с различными государственными и территориальными инспекторскими и надзорными органами. Эти органы в соответствии с предоставленными им законом полномочиями осуществляют деятельность по получению (истребованию), обработке и хранению информации о предприятиях и гражданах (являющихся их сотрудниками). Передача информации, в установленном порядке, отнесённой к коммерческой тайне или содержащей персональные данные работника предприятия, должна осуществляться на основе договора, предусматривающего взаимные обязательства сторон по нераспространению (неразглашению) этой информации, а также необходимые меры по её защите.

Организационные механизмы защиты информации определяют порядок и условия комплексного использования имеющихся сил и средств, эффективность которого зависит от применяемых методов технического и экономического характера. Технические методы защиты информации, используемые в комплексе с организационными методами, играют большую роль в обеспечении защиты информации при её хранении, накоплении и обработке с использованием средств автоматизации. Технические методы необходимы для эффективного применения имеющихся в распоряжении предприятия средств защиты информации, основанных на новых информационных технологиях.

Среди перечисленных методов защиты информации особо выделяются организационные методы, направленные на решение следующих задач:

- реализация на предприятии эффективного механизма управления, обеспечивающего защиту конфиденциальной информации и недопущение её утечки;

- осуществление принципа персональной ответственности руководителей подразделений и персонала предприятия за защиту конфиденциальной информации;

- определение перечней сведений, относимых на предприятии к различным категориям (видам) конфиденциальной информации;

- ограничение круга лиц, имеющих право доступа к различным видам информации в зависимости от степени её конфиденциальности;

- подбор и изучение лиц, назначаемых на должности, связанные с конфиденциальной информацией, обучение и воспитание персонала предприятия, допущенного к конфиденциальной информации;

- организация и ведение конфиденциального делопроизводства;

- осуществление систематического контроля за соблюдением установленных требований по защите информации.

Приведённый перечень организационных методов не является исчерпывающим и, в зависимости от специфики деятельности предприятия, степени конфиденциальности используемой информации, объёма выполняемых работ, а также опыта работы в области защиты информации, может быть дополнен иными методами. Одним из средств организационного обеспечения информационной безопасности являются системы контроля и управления доступом.

1.3 Общие принципы построения систем контроля и управления доступом (СКУД)

Системы контроля доступа предназначены для организации санкционированного доступа на территорию и во внутренние помещения предприятий и организаций. Современные системы контроля доступа имеют множество применений, а у каждого заказчика - индивидуальные запросы. Но всё же есть функции систем контроля и управления доступом востребованные наиболее часто. К таким функциям относится учёт рабочего времени. Обычно СКУД используются как одна из систем интегрированной системы безопасности. Наиболее распространённая интеграция - с системой видеонаблюдения и системой охранной сигнализации.

Основными функциями СКУД являются:

- разграничение доступа - предоставление допуска в зону, находящуюся под контролем системы, лицам, имеющим право прохода в данный момент, и запрещение доступа лицам, которым проход в зону не разрешён;

- дистанционное управление и изменение состояния различных исполнительных устройств, регулирование прохода в автоматизированном режиме, блокирование и разблокирование дверей, турникетов и др. устройств в различных экстренных ситуациях (при пожаре, нападении и др.);

- получение в реальном масштабе времени информации о различных штатных и тревожных событиях с помощью текстовых, звуковых и речевых сообщений;

- автоматическое ведение протоколов событий, возникающих в процессе работы Системы, например, фиксация событий входа и выхода через пункты прохода, изменения режимов работы оборудования и программного обеспечения (ПО), действия операторов, работающих с системой и т. д.;

- ведение учёта рабочего времени, получение различных отчётов о событиях в Системе;

- ведение автоматизированного учёта выдачи постоянных, временных и разовых пропусков (идентификаторов), а также хранение информации об их владельцах (включая фотоизображения) в базах данных;

- при включении в систему видеонаблюдения - ведение дистанционного обзора и визуальной идентификации людей и средств автотранспорта.

Системы СКУД прочно укоренились в повседневной жизни. Без них почти немыслим ни один крупный объект - будь то банк, промышленное предприятие или торговый супермаркет, - ни современный загородный дом.

Выбор систем любого масштаба сегодня очень широк: на рынке присутствуют десятки российских производителей, практически все именитые мировые производители, а также множество сравнительно новых в области безопасности имён.

1.3.1 Типы систем контроля и управления доступом

Сетевые СКУД. Все СКУД можно отнести к двум большим классам или категориям: сетевые системы и автономные системы. В сетевой системе все контроллеры соединены друг с другом через компьютер, что даёт множество преимуществ для крупных систем, но совсем не требуется для «домашней» СКУД. Удельная стоимость одной точки прохода в сетевой системе всегда выше, чем в автономной. Кроме того, для управления такой системой уже нужен как минимум один квалифицированный специалист. Но, несмотря на эти особенности, сетевые системы незаменимы для больших объектов (офисы, производственные предприятия), поскольку управляться даже с десятком дверей, на которых установлены автономные системы, становится затруднительно. Незаменимы сетевые системы в следующих случаях:

- если нужен контроль над событиями, которые происходили в прошлом, либо оперативный дополнительный контроль в реальном времени. Например, в сетевой системе служащий на проходной может на экране монитора видеть фотографию человека, который показал только что свой идентификатор, что подстраховывает от передачи карточек другим людям;

- если требуется организовать учёт рабочего времени и контроль трудовой дисциплины. В том или ином виде такая функция входит в программное обеспечение практически всех современных сетевых СКУД;

- если нужно обеспечить тесное взаимодействие с другими подсистемами безопасности (охранной сигнализации, теленаблюдения).

В сетевой системе из одного места можно не только контролировать события на всей подвластной территории, но и централизованно управлять правами пользователей, быстро занося или удаляя идентификаторы. Все сетевые системы имеют возможность организовать несколько рабочих мест, разделив функции управления между разными людьми и службами.

Локализация. При выборе крупной системы немаловажны её топология, то есть принципы объединения в сеть контроллеров и компьютеров, максимальные параметры (количество поддерживаемых точек прохода), возможность организации нескольких рабочих мест. Естественно, все количественные характеристики надо рассматривать через призму потенциального роста на несколько лет вперёд, поскольку, выложив несколько десятков тысяч долларов за систему сегодня не хотелось бы встать в тупик через пару лет при подключении ещё одной двери к вашей сетевой СКУД.

База данных. Если система маленькая (несколько дверей, один компьютер, пара сотен пользователей), то так называемой «плоской» СУБД типа Paradox, Access и им подобной хватит вполне. Такая СУБД нетребовательна к ресурсам компьютера и простотой в эксплуатации. Для системы из нескольких сотен точек прохода с персоналом в пару десятков тысяч человек, естественно, логичнее выбирать архитектуру «клиент-сервер». СУБД этого типа выдерживают намного большие количественные нагрузки, но взамен требуют более мощных компьютеров и хорошо подготовленных системных администраторов для сопровождения системы. Существует и промежуточное решение - сама СУБД может быть «плоской» (а, следовательно, дешёвой и нетребовательной к оборудованию), а работа с ней может вестись через серверы приложений, что по пропускной способности и надёжности ставит такую систему практически в один ряд с клиент - серверной архитектурой. У клиент-серверных систем, за редким исключением, есть один очевидный недостаток - они требуют отдельной лицензии. Хотя для большой системы стоимость лицензии уже и не будет столь ощутимой на фоне общих затрат.

Автономные СКУД. Автономные системы дешевле, проще в эксплуатации, а по эффективности иногда ничуть и не хуже. Автономные системы не умеют: создавать отчёты по событиям, считать рабочее время, передавать информацию о событиях на другой этаж, управляться дистанционно. При этом автономные системы не требуют прокладки сотен метров кабеля, устройств сопряжения с компьютером, да и самого компьютера тоже. Это все прямая экономия денег, сил и времени при установке системы. Если имеется большое количество дверей и некоторое количество персонала, система с автономными контроллерами достаточно быстро выходит из-под контроля. Это связано с тем, что заносить и удалять ключи пользователей из баз данных автономных контроллеров очень непросто, когда контроллеров и людей много. А по устойчивости к взлому «автономные системы» практически ничуть не уступают сетевым системам, поскольку элементы, за это отвечающие - идентификаторы, считыватели, запорные устройства - в обоих случаях могут использоваться одни и те же. Конечно же, есть некоторые исключения.

При выборе автономной системы с высокими требованиями по устойчивости к взлому нужно обратить внимание на следующее:

- Считыватель должен быть отделён от контроллера, чтобы провода, по которым возможно открывание замка, были недоступны снаружи.

- Контроллер должен иметь резервный источник питания на случай случайного пропадания сети или умышленного её отключения.

- Считыватель предпочтительно использовать в вандалозащищённом исполнении.

- Надёжное запирающее устройство.

Некоторые автономные системы имеют функции копирования базы данных ключей. Это может оказаться полезным, если имеется несколько дверей, в которые ходят одни и те же люди при численности, близкой к сотне или более.

1.3.2 Основные компоненты СКУД

Прежде, чем обсуждать построение системы в целом, рассмотрим наиболее общие компоненты любой из них.

Идентификатор. В любой СКУД имеется некий идентификатор (ключ), который служит для определения прав владеющего им человека. Это может быть «далласовская таблетка», широко используемая в подъездных домофонах, бесконтактная (или proximity) карточка или брелок, карта с магнитной полосой (сейчас практически не используется). Кроме того, в качестве идентификатора может использоваться код, набираемый на клавиатуре, а также ряд биометрических признаков человека - отпечаток пальца, рисунок сетчатки или радужной оболочки глаза, трёхмерное изображение лица. Карту или брелок можно передать, их могут украсть или скопировать. Код можно подсмотреть или просто сказать кому-то.

Биометрические признаки передать или украсть невозможно, но некоторые из них всё же подделываются без больших трудозатрат. Тип используемого идентификатора во многом определяет защищённость системы от злоумышленников. Например, любой школьник - радиолюбитель по приводимым в Интернете описаниям может легко сделать имитатор «далласовской таблетки», а хранящийся в ней код всегда отштампован на обратной стороне. Бесконтактные карты или брелоки, стандартно используемые в системах доступа, подделываются немного сложнее, но также не защищены от этого. Сегодня есть карточки с высоким уровнем защищённости (используются мощные схемы криптографирования, ключи для шифрования может назначать сам пользователь), но в нашей стране в стандартных СКУД эти решения, как ни странно, пока применяются мало.

Биометрические признаки подделать сложнее всего (а среди них отпечатки пальцев - проще всего). Вообще, там, где требуется высокий уровень защищённости от взлома, как правило, используют одновременно несколько идентификаторов - например, карточку и код, отпечаток пальца и карту или код. При выборе типа идентификатора нужно иметь в виду:

1. В системе может быть единственная точка прохода (например, турникет на входе в здание), а пользователей может быть несколько сотен. В этом случае цена идентификатора, помноженная на количество, может превысить стоимость всего оборудования. А если учесть, что их теряют, и ломают, то это запланированные затраты и на будущее. В такой ситуации оптимальное решение - стандартная proximity карта, цена которой сегодня уже менее 30 тыс. рублей, а с точки зрения удобства использования равной ей не найти.

2. Желательно, чтобы выбранные идентификаторы были широко доступны на рынке (то есть, чтобы они производились не единственной в мире компанией, а имели бы клоны). Это залог того, что и через несколько лет вы сможете докупать нужное количество ключей.

3. Если требуется использовать биометрический идентификатор, то не стоит использовать такую систему на точке прохода с большим трафиком (например, на проходной завода) - результатом будут очереди перед входом. Хотя на хранилищах и других ответственных помещениях биометрический считыватель может оказаться уместным.

Контроллер. Это «мозги» системы. Именно контроллер принимает решение, пропустить или нет данного человека в данную дверь. Контроллер хранит в своей памяти коды идентификаторов со списком прав каждого из них. Когда предъявляют идентификатор, считанный из него код сравнивается с хранящимся в памяти, на основании чего принимается решение о том, открыть дверь или ворота, либо не открывать. Поскольку контроллер выполняет такие важные функции, его надо размещать в защищённом месте, как правило внутри помещения, вход в которое он охраняет. Иначе не нужны никакие идентификаторы - злоумышленник найдёт провода от электрозамка и откроет его, не взирая ни на какие «умственные способности» контроллера.

Контроллер для своей работы требует электропитания, поэтому очень важно, чтобы он мог работать даже в случае аварии электросети (а такую аварию может организовать и злоумышленник). Профессиональные контроллеры, как правило, имеют собственный аккумулятор, который поддерживает работоспособность контроллера от нескольких часов до нескольких суток. Если применяется совсем простой автономный контроллер без собственного блока питания, то лучше купить источник бесперебойного питания, специально для этого предназначенный. В сетевых системах до сих пор нет однозначного мнения, что лучше - отдельный контроллер на каждую точку прохода, либо многодверные (на 2, 4 двери) контроллеры. Первый вариант удобен в монтаже, прозрачен с точки зрения конфигурирования и развития системы. Как правило, в однодверном варианте встроенного в контроллер источника питания достаточно как для самого контроллера, так и для запитывания не только считывателей, но и исполнительных устройств (электрозамков). В многодверных контроллерах последнее требование далеко не всегда выполняется. Кроме того, при несколько более низкой цене многодверного контроллера неудобство состоит в кратности числа дверей.

Например, имеются 4 двери и один четырёхдверный контроллер - все хорошо до тех пор, пока вам не понадобилось оборудовать пятую дверь. Тут придётся сразу заплатить за ещё три ненужных дверных канала. Более привлекательная (в пересчёте на одну дверь) цена контроллера также может оказаться сомнительной - большая длина коммуникаций и стоимость их прокладки может свести данное преимущество к нулю.

И последнее - вопрос живучести системы. Если выходит из строя однодверный контроллер, то выходит из строя, например, один из четырёх турникетов на проходной, если поломается четырёхдневный контроллер - вся проходная встанет.

Считыватель. Этим термином называют устройство, которое умеет получить код идентификатора и передать его контроллеру. В зависимости от принципов работы идентификатора меняется и технология считывания кода. Для стандартной таблетки это два электрических контакта, выполненных в виде «лузы», для proximity карты это уже достаточно сложное электронное устройство, а для считывания, например, рисунка радужной оболочки глаза в состав считывателя входит миниатюрная телевизионная камера. Считыватель по определению должен быть доступен снаружи помещения, проход в которое необходимо получить. Отсюда и комплекс требований. Если считыватель устанавливается на улице (въездные ворота, наружная дверь здания), то, как минимум, он должен выдерживать суровые климатические нагрузки - жару и холод, снег и дождь. А если прилегающая территория не находится под присмотром, то ещё потребуется и механическая прочность для устойчивости против вандалов. Самыми вандалостойкими могут быть сделаны считыватели бесконтактных карт. Если сплошной корпус из нержавеющей стали кажется недостаточно защищённым, можно замуровать считыватель в бетонную стену или поместить за слоем прочного пластика толщиной в пару сантиметров - при таком способе установки повредить считыватель без специального инструмента уже невозможно. А самому считывателю такая защита ничем не мешает - ведь он «видит» карту на расстоянии до 10 и более сантиметров. Биометрические считыватели на сегодняшний день всё ещё очень дороги, поэтому их применение должно быть обоснованным. Кроме того, им свойственны ещё некоторые недостатки:

- сравнительно большое время идентификации - от десятых долей до единиц секунд. Для трафика на заводской проходной это может оказаться смертельным;

- практически все они не рассчитаны на уличное применение;

- считыватели отпечатков пальцев вызывают у людей некоторый дискомфорт, хотя, по правде сказать, ни один из современных дактилоскопических считывателей не хранит сами отпечатки пальцев, а только некую их математическую модель, по которой отпечаток не восстанавливается;

- достоверность распознавания человека по биометрическим признакам долго ещё будет отличаться от единицы, что также может создать определённые неудобства. Либо система периодически будет выдавать отказ в доступе, либо порог «узнавания» придётся снизить до величины, при которой вероятность пропуска «чужого» станет достаточно большой.

Отдельно можно упомянуть считыватели большой дальности (с расстоянием идентификации до нескольких метров и более). Такие системы удобны на автомобильных проходных, на въездах на стоянки. Идентификаторы для таких считывателей как правило активные (то есть используют встроенную батарейку), поэтому немаловажной является возможность замены батарейки через 3-5 лет.

1.3.3 Виды запирающих устройств

Если задача СКУД состоит в ограничении проходов через обычные двери, то исполнительным устройством будет электрически управляемый замок или защёлка. Защёлки легко устанавливаются почти на все двери, а поскольку обычно ставятся в дверном косяке, то не требуют гибкой подводки питания к самой двери. По защищённости от взлома это наихудший из вариантов, поэтому рекомендуется использовать электрозащёлки там, где вероятность взлома со стороны злоумышленника минимальна - обычно это двери внутри офиса. На ночь оборудованные электрозащёлкой двери обычно запирают механическим ключом. Следует отметить, что электрозащёлки, как и другие типы замков, бывают открываемые напряжением (то есть дверь откроется при подаче напряжения питания на замок), и закрываемые напряжением. Последние открываются, как только с них снимается напряжение питания. По требованиям пожарников, все двери, которые используются на пути эвакуации в случае пожара, должны оборудоваться запорными устройствами, запираемыми напряжением.

Электромагнитные замки также не являются идеальным вариантом запорного устройства, но также сравнительно недороги и в некоторых случаях очень удобны в установке. Их необходимо монтировать с внутренней стороны двери. Почти все они относятся к группе замков, запираемых напряжением, то есть пригодны для установки на путях эвакуации при пожаре.

Электромеханические замки бывают самых разных типов. Как правило, можно выбрать достаточно устойчивый к взлому замок (прочный механически, с мощным ригелем). Недостатки - это несколько более высокая цена, а также необходимость гибкой подводки на саму дверь. Большинство таких замков имеют механический перевзвод, то есть, если на замок подали открывающий импульс даже небольшой длительности, дверь будет в открытом состоянии до тех пор, пока её не откроют и снова не закроют.

Турникеты. Такие устройства для разграничения прохода используют только на предприятиях. Турникеты бывают двух основных типов: поясные и полноростовые. Турникет при правильной настройке всей системы позволяет действительно пропустить по одной карте только одного человека. За счёт этого, а также за счёт высокой пропускной способности (на проход требуется минимум времени) они незаменимы на входе в крупное предприятие, где, к тому же, используется система учёта рабочего времени. Полноростовый турникет намного дороже поясного, но его нельзя перепрыгнуть, что и определяет область применения. При выборе турникета так же нужно предусмотреть требования пожарных. Если рядом с турникетом нет быстро открывающегося свободного прохода, поясной турникет должен иметь переламывающиеся усилием нормального человека штанги. Другие виды заграждающих устройств:

1. Шлюзовые кабины. Экзотическая вещь, используемая в банках и на других предприятиях с усиленными требованиями по безопасности. Выбирая кабину выясните, в состоянии ли она работать с вашей СКУД - это требование выполняется далеко не всегда, так как шлюзовые кабины снабжаются автономными микропроцессорными блоками управления, и не всегда имеют входы и выходы для сопряжения со стандартными контроллерами СКУД. Если же кабина не имеет встроенной электроники - выясните, обеспечивают ли контроллеры выбранной СКУД реализацию того алгоритма управления шлюзом, который нужен вам.

2. Ворота и шлагбаумы. Чаще всего используются на въездах на предприятие и на автомобильных парковках. Основное требование - устойчивость к нашим климатическим условиям и возможность управления от контроллера СКУД. Ворота могут быть сдвижными или распашными - в соответствии с конструкцией ворот выбираем и электропривод для них.

2. Характеристика объекта, текущего оборудования и программного обеспечения

2.1 Характеристика и общий обзор объекта

В данном проекте рассматривается программное обеспечение, подразумевающее работу дистанционно с тремя филиалами корпорации, расположенными в городах Гомеле, Речице и Светлогорске.

Во всех филиалах установлены аналогичные СКУД и ПО, информация хранится на локальных серверах и передается по каналам связи на главный сервер, расположенный в Гомеле.

2.2 Описание существующих СКУД на предприятии

В концерне используются СКУД фирмы PERCO. Данная фирма является ведущим российским производителем систем и оборудования безопасности.

Комплекс был установлен в 2000 году на основе базового пакета комплектации PERCo-SYS-12000.

Краткие технические характеристики СКД PERCo-S-12000 :

· Точки прохода - двери, с электромеханическими или электромагнитными замками и проходные с турникетами, шлагбаумы и ворота.

· Масимальное количество точек прохода (дверей и турникетов) - 255.

· Максимальное количество человек проходящих через одну дверь - 1000.

· Максимальное количество человек проходящих через одну турникет - 36000.

· Соединение контроллеров - шина RS-485 длиной до 1200 м.

· Возможность подключения удалённых объектов и площадок по ЛВС.

· Тип пропуска - бесконтактные proximity карты форматов HID, Motorola или EM-Marin.

· Защита от передачи пропуска (глобальный "антипассбэк").

· Сетевое программное обеспечение (ПО) системы позволяет организовать необходимое количество автоматизированных рабочих мест (отдел кадров, бюро пропусков, администратор, охрана, бюро труда и заработной платы).

PERCo-SYS-12000 - предназначена для предприятий:

1. с большим количеством рабочих,

2. с повышенными требованиями к безопасности,

3. с территориально удалёнными объектами.

Рисунок 1 - Схема подключения компонентов PERCo-SYS-12000

СКУД ПЭРКо-SYS-12000 обеспечивает эффективное решение следующих задач:

1. Контроль и управление доступом.

Сотрудникам предприятия раздаются пропуска - бесконтактные карты доступа.

Каждому пропуску (карте) назначены индивидуальные права доступа на объект (через проходную или КПП например) или в конкретные помещения.

Доступ может разграничиваться:

· по времени, т.е. каждому сотруднику может быть задан индивидуальный временной график доступа на объект, при этом система поддерживает многосменные и скользящие графики;

· по статусу, т.е. для каждого сотрудника можно определить помещения, в которые он имеет право входа и право постановки/снятия помещения с охраны.

Для посетителей и временных сотрудников в системе предусмотрены разовые и временные пропуска. Пропуск с закончившимся сроком действия автоматически запрещается в системе.

В случае, если речь идет о разграничении доступа на особо важные объекты, в системе предусмотрена многоуровневая идентификация сотрудника: организация доступа при условии «карта + набор кода», по принципу «только вдвоем» (комиссионное вскрытие помещения), с дополнительным выборочным контролем охраной (по времени или случайным образом), а также генерация тревоги при проходе под принуждением (сотрудник набирает специальный тревожный код, замок при этом разблокируется, но оператор получает тревожный сигнал).

На любом из объектов может быть организован режим видеоидентификации, когда право доступа реализуется только с подтверждения охранника после сравнения им полученного от видеокамеры изображения лица, предъявившего карточку, с эталонным изображением владельца карточки, хранящимся в системе.

2. Учет рабочего времени и контроль за трудовой дисциплиной.

СКУД PERCo-SYS-12000 регистрирует события и позволяет получать различные отчеты:

· время прихода и ухода каждого сотрудника,

· опоздание,

· нарушение графика,

· отсутствие на рабочем месте,

· уход с рабочего места раньше времени,

· время присутствия сотрудников непосредственно на рабочем месте,

· график рабочего времени сотрудника,

· отчеты о событиях в системе (нарушения режима контроля доступа, постановка и снятие помещений с охраны, тревоги).

Отчеты можно создавать как по каждому сотруднику в отдельности, так и по группе. Временные рамки -- как за произвольный период, так и за фиксированный (день, неделя, месяц).

Для автоматизации учета возможна поставка дополнительного модуля ПО «Учет рабочего времени», позволяющего формировать табель по стандартной форме Т-12.

Алгоритм учета поддерживает многосменные и скользящие графики работы, корректно обрабатывая нюансы различных видов трудового распорядка. Возможности интерфейса программы позволяют визуально совместить время присутствия сотрудника на рабочем месте с сеткой его рабочего распорядка.

Предусмотрена возможность вводить оправдательные документы и наряды на сверхурочные работы, что позволяет не только корректно учитывать отсутствие сотрудников по уважительным причинам, но и вести отдельный учет сверхурочных работ, что удобно, например, если такие работы оплачиваются по особым тарифам.

Модуль формирует корректную информацию о каждом отсутствии сотрудника, равно как и обо всех переработках.

Программа позволяет получать любые необходимые отчеты, формируя запросы по типам нарушений, по датам, по сотрудникам, по подразделениям и т.д.

3. Контроль за передвижением пользователей системы по территории предприятия

Территория предприятия делится на зоны (до 128) -- участки, доступ на которые контролируется системой (например, помещение, входная дверь которого оборудована считывателями). Зоны могут быть как прилегающими, так и вложенными друг в друга (например, помещение включает в себя несколько комнат, двери которых также оборудованы считывателями). На уровне зон реализован, так называемый пространственный Аnti-Passback -- система не пропустит пользователя во внутреннюю зону, если он не пересек границу внешней. Частным случаем этого правила является невозможность дважды войти в одну зону, не покидая ее пределов, что создает защиту от передачи пропуска другому лицу. Этот режим может применяться и в менее строгом виде -- при нарушении зональности доступ на объект не запрещается, но нарушение фиксируется.

В системе предусмотрена возможность получения отчетов о перемещении конкретного пользователя или группы пользователей за определенный интервал времени (например, кто присутствовал в данном помещении в определенное время и т.п.).

4. Оформление и выдача пропусков, автоматизированный кадровый учет.

ПО системы обеспечивает возможность ведения базы данных персонала (ФИО, должность, отдел, табельный номер, режим работы, фотография, паспортные данные, пропуск, права доступа), а также оформления бесконтактных карточек в качестве пропусков.

Пользователь ПО может сам создавать и выводить наклейки на пропуска нужного ему вида: с фотографией, информацией о владельце пропуска, логотипом фирмы.

5. Функции охраны и оперативное управление оборудованием.

Система позволяет следить за всеми событиями в точках прохода и выдает на экран компьютера сообщения о тревожных событиях (взломах замков, нарушениях режима контроля доступа и т.д.). Оператор может управлять системными устройствами прямо со своего рабочего места -- дистанционно заблокировать замки или, наоборот, открыть их, например, в случае пожара.

Обеспечивается возможность режимов: «Разблокировано», «Заблокировано», «Контролируемый доступ» и «Охрана» (для контроллера замка).

Некоторые события в системе (по вашему выбору) могут быть объявлены тревожными. Например, срабатывание любого из подключенных датчиков, или попытка проникнуть на объект, находящийся в режиме «охрана», лиц, не имеющих на это права, или попытка механического вскрытия помещения, находящегося в «закрытом» режиме.

Предусмотрено гибкое задание реакции системы на тревожные события: «тихая» или «громкая» тревога, видеозапись, открытие дверей аварийного выхода при срабатывании пожарного датчика и т.п.

Кроме того, система поддерживает «стоп-лист» -- список пропусков, реакция системы на предъявление которых будет повышенной. В этот список можно занести, например, утерянные или украденные пропуска.

Не позднее, чем через 1 сек. после возникновения тревоги, ее зафиксирует оператор системы или охранник. При этом, оператор или охранник получит информацию о причинах тревоги, месте ее возникновения (изображение на графической схеме территории) и инструкцию к действию.

В системе предусмотрена возможность получить корректные отчеты обо всем, что касается возникновения тревожных ситуаций и действий охраны.

2.3 Техническое описание системы PERCo-SYS-12000

В аппаратный состав системы входят следующие структурные единицы:

- Компьютер с установленным ПО (может быть несколько);

- Концентратор PERCo-SC-12200Р (варианты на 12000 и 32000 пропусков);

- Базовый контроллер-концентратор PERCo-SC-12300Р (варианты на 12000 и 32000 пропусков);

- Драйвер турникета PERCo-DT-12301;

- Драйвер роторного турникета PERCo-DRT-12301;

- Драйвер замка/турникета PERCo-DL/DT-12310;

- Драйвер связи PERCo-DN-12201;

- Контроллер замка PERCo-CL-12200 (варианты Е и Н);

- Контрольный считыватель PERCo-CR-12001 (варианты Е, Н, ЕН и М);

- Репитер;

- Удлинитель линии PERCo-SE-12001;

- Считыватель;

- Карта;

- Электромеханический исполнительный механизм (турникет, замок и т.п.);

- Блок питания;

Основные характеристики системы

Основные технические характеристики устройств системы приведены ниже:

Количество контроллеров до 255

Количество исполнительных устройств до 1020