Общая характеристика систем контроля и управления доступом

Для повышения пропускной способности применяются шлюзы-ротанты. Принцип их действия аналогичен шлюзам тамбурного типа, но вместо двух обычных дверей используется одна поворотная дверь турникетного типа. Пропускная способность шлюза-ротанта составляет от 18 до 22 человек в минуту.

Для более надежной защиты от злоумышленников шлюзы в большинстве случаев комплектуются системами взвешивания для дополнительного контроля количества людей внутри кабины и встроенными металлодетекторами для контроля проноса оружия. Стены кабины могут быть из стали или бронестекла.

Турникеты. Турникеты систем контроля доступа также можно разделить на два типа: поясные и полноростовые. Принцип работы турникета достаточно хорошо известен: если запрос на доступ правомерен, то механическая система, поворачиваясь, открывает проход на охраняемую территорию.

Турникеты поясные оставляют возможность для перепрыгивания, поскольку, как и следует из их названия, заградительный барьер доходит только до пояса человека, поэтому их целесообразно ставить только рядом с постом охраны.

Турникеты полноростовые можно устанавливать в удаленных от поста охраны местах и использовать в полностью автоматическом режиме работы.

Автоматические шлагбаумы и автоматика для ворот. Ворота могут быть распашными (их сопротивление тарану не очень высокое и они требуют очистки проезжей части перед воротами от снега и льда), раздвижные, подъемные и рулонные. В качестве атрибутных идентификаторов на транспортное средство применяют путевой лист, в котором указывается государственный номер машины, фамилия водителя и лица, ответственного за перевозку груза (часто эти функции выполняет водитель), вид и количество груза. Идентификаторами водителя и пассажиров являются их пропуска.

Современные СКУД транспорта оснащаются также дистанционными атрибутными идентификаторами (типа проксимити), средствами досмотра транспорта (специальными зеркалами и техническими эндоскопами), а также на особо важных объектах - антитеррористическим средством для экстренной остановки автомобиля, пытающего протаранить ворота. Последнее средство представляет собой металлическую колонну (блокиратор) диаметром до 50 см, которая устанавливается перед воротами с внешней стороны в бетонированном или металлическом колодце. На дне колодца размещается баллон со сжатым воздухом и пиропатроном, который взрывается по электрическому сигналу с КПП, а сжатый воздух поднимает колонну за доли секунды перед движущимся автомобилем. Подобный блокиратор может остановить 20-тонный автомобиль, движущийся со скоростью 60 км/ч.

Контроллеры лифтов. Принцип их действия состоит в следующем. Система контроля доступа по персональному коду определяет доступные этажи и при попытке попасть на какой-либо этаж, выходящий из этого диапазона, блокирует движение лифта в запретный сектор.

Кроме СКУД на основе считывателя карточек доступа, находят применение СКУД на основе видеодомофона и СКУД на основе турникета, считывателя карточек доступа и видеодомофона.

СКУД на основе видеодомофона. Принцип работы такой системы основан на передаче видеоизображения с телекамеры, установленной на входной двери или в ее зоне, на монитор поста охраны. Система также включает дистанционную систему открытия двери на основе электромеханического замка и переговорное устройство. Система может быть дополнена видеомагнитофоном, ведущим непрерывную запись сигнала телекамеры. Установка дополнительных камер для интеграции СКУД и системы видеонаблюдения требует установки «видеомультиплексора» - устройства, выводящего сигнал на монитор одновременно с нескольких камер.

СКУД на основе турникета, считывателя карточек доступа и видеодомофона. Данная СКУД является типовым проектом для бизнес-центра или любого другого комплекса помещений. Служащие проходят в комплекс помещений по индивидуальным карточкам доступа, считыватель которых управляет турникетом, расположенным у поста охраны. В нерабочее время (выходные дни, праздники, ночное время) проход через главную дверь блокируется электромеханическим замком. Переговорное устройство и система наружного видеонаблюдения входной двери позволяют охране дистанционно управлять входной дверью в нерабочее время, когда дверь находится в состоянии «всегда закрыто» в отличие от рабочего времени «всегда открыто». В нерабочее время такая система позволяет снизить численность охранников без ущерба для безопасности. За турникетом может располагаться рамочный металлодетектор.



3. Требования к системам контроля управления доступом

Системы контроля и управления доступом (СКУД) предназначены для обеспечения санкционированного входа в здание и в зоны ограниченного доступа и выхода из них путем идентификации личности по комбинации различных признаков, а также для предотвращения несанкционированного прохода в помещения и зоны ограниченного доступа объекта.

Согласно ГОСТ Р 51241-98 СКУД должна состоять из устройств преграждающих управляемых (УПУ) в составе преграждающих конструкций и исполнительных устройств; устройств ввода идентификационных признаков (УН1111) в составе считывателей и идентификаторов; устройств управления (УУ) н составе аппаратных и программных средств.

Считывателями и УПУ оборудуют: главный и служебные входы; КПП; помещения, в которых непосредственно сосредоточены материальные ценности; помещения руководства; другие помещения по решению руководства предприятия. Пропуск сотрудников и посетителей на объект предприятия через пункты контроля доступа следует осуществлять в здание и служебные помещения - по одному признаку; входы в зоны ограниченного доступа (хранилища ценностей, сейфовые комнаты, комнаты хранения оружия) - не менее чем по двум признакам идентификации.

СКУД должна обеспечивать выполнение следующих основных функций:

- открывание УПУ при считывании идентификационного признака, доступ по которому разрешен в данную зону доступа (помещение) в заданный временной интервал или по команде оператора СКУД;

- запрет открывания УПУ при считывании идентификационного признака, доступ по которому не разрешен в данную зону доступа (помещение) в заданный временной интервал;

- санкционированное изменение (добавление, удаление) идентификационных признаков в УУ и связь их с зонами доступа (помещениями) и временными интервалами доступа;

- защиту от несанкционированного доступа к программным средствам УУ для изменения (добавления, удаления) идентификационных признаков;

- защиту технических и программных средств от несанкционированного доступа к элементам управления, установки режимов и к информации;

- сохранение настроек и базы данных идентификационных признаков при отключении электропитания; ручное, полуавтоматическое или автоматическое открывание УПУ для прохода при аварийных ситуациях, пожаре, технических неисправностях в соответствии с правилами установленного режима и правилами противопожарной безопасности;

- автоматическое закрытие УПУ при отсутствии факта прохода через определенное время после считывания разрешенного идентификационного признака;

- выдачу сигнала тревоги (или блокировку УПУ на определенное время) при попытках подбора идентификационных признаков (кода);

- регистрацию и протоколирование текущих и тревожных событий;

- автономную работу считывателя с УПУ в каждой точке доступа при отказе связи с УУ.

На объектах предприятия, где необходим контроль сохранности предметов, следует устанавливать СКУД, контролирующие несанкционированный вынос данных предметов из охраняемых помещений или зданий по специальным идентификационным меткам.

УПУ с исполнительными устройствами должно обеспечивать:

- частичное или полное перекрытие проема прохода;

- автоматическое и ручное (в аварийных ситуациях) открывание;

- блокирование человека внутри УПУ (для шлюзов, проходных кабин);

- требуемую пропускную способность.

Считыватели УВИП должно обеспечивать:

- считывание идентификационного признака с идентификаторов;

- сравнение введенного идентификационного признака с хранящимся в памяти или базе данных УУ;

- формирование сигнала на открывание УПУ при идентификации пользователя;

- обмен информацией с УУ.

УВИП должны быть защищены от манипулирования путем перебора или подбора идентификационных признаков.

Идентификаторы УВИП должны обеспечить хранение идентификационного признака в течение всего срока эксплуатации для идентификаторов без встроенных элементов электропитания и не менее 3 лет для идентификаторов со встроенными элементами электропитания.

Конструкция, внешний вид и надписи на идентификаторе и считывателе не должны приводить к раскрытию применяемых кодов.

УУ должно обеспечивать:

- прием информации от УВИП, ее обработку, отображение в заданном виде и выработку сигналов управления УПУ;

- ведение баз данных сотрудников и посетителей объекта с возможностью задания характеристик их доступа (кода, временного интервала доступа, уровня доступа и другие);

- ведение электронного журнала регистрации проходов сотрудников и посетителей через точки доступа;

- приоритетный вывод информации о тревожных ситуациях в точках доступа;

- контроль исправности и состояния УПУ, УВИП и линий связи с ними.

Конструктивно СКУД должны строиться по модульному принципу и обеспечивать:

- взаимозаменяемость сменных однотипных технических средств;

- удобство технического обслуживания и эксплуатации, а также ремонтопригодность;

- исключение возможности несанкционированного доступа к элементам управления;

- санкционированный доступ ко всем элементам, узлам и блокам, требующим регулирования, обслуживания или замены в процессе эксплуатации.

Выбор оборудования СКУД, места его установки на объекте следует проводить в соответствии с РД 78.36.005-99 и РД 78.36.003-2002.



4. Средства идентификации и аутентификации

Рассмотрим более подробно используемые средства идентификации и аутентификации.

Идентификационные карточки с магнитной дорожкой.

Этот тип карточек был разработан еще в 60-е гг. XX в., но с тех пор был существенно усовершенствован: увеличена информационная емкость, износоустойчивость, повысилась защищенность от злоупотреблений. В ранних образцах запись информации велась магнитным полем напряженностью 300 эрстед. Это не обеспечивало надежной защиты от случайного или умышленного стирания. Кроме того, запись магнитным полем такой напряженности позволяла нарушителям достаточно просто подделывать такие карточки, не прибегая к помощи сложного оборудования. Устранить эти недостатки удалось путем применения специальных магнитных материалов, требующих для записи магнитного поля напряженностью 4000 эрстед. Такие магнитные материалы в конце 1970-х гг. впервые стала применять фирма ЗМ. В настоящее время достигнута плотность записи 75 бит/см. Высокая плотность записи дает возможность хранить на карточке достаточно большой объем информации.

Для повышения степени защищенности карточек, наряду с обычной информацией о владельце, может наноситься, например, специальный защитный код, описывающий структуру материала, из которого они изготавливаются. Этот способ был применен фирмой Copytex GmbH (ФРГ), где использовался тот факт, что каждая карточка имеет уникальную структуру материала, которая может быть зафиксирована с помощью соответствующих технических средств. При выпуске карточки в обращение структурные особенности ее основы в цифровом коде записываются на магнитную дорожку. При проверке специальное оптоэлектрическое устройство считывающего терминала сканирует карточку, просвечивая ее поверхность, после чего система автоматически определяет соответствие полученных данных записанному коду.

Идентификационные карточки с магнитной барий-ферритовой прослойкой.

В таких карточках магнитный слой является серединой «сэндвича» из несущей основы (с фотографией и личными данными владельца) и пластикового покрытия. Расположение в нем и полярность зарядов барий-ферритовых частиц образуют код. Достоинством таких карточек является самая низкая стоимость по сравнению со всеми другими видами и повышенная защищенность от копирования. Однако они не обеспечивают надежной защиты от случайного или умышленного стирания или изменения встроенного кода. Кроме того, они недостаточно износоустойчивы. Область их применения ограничена теми сферами, где не требуется сколько-нибудь высокий уровень безопасности при контроле доступа.

Идентификационные карточки, кодированные по принципу Виганда.

В основу таких карточек встраиваются миниатюрные отрезки тонкой ферромагнитной проволоки специального вида (расположенные в строго определенной последовательности, различной для разных карт), которые и содержат информацию о персональном коде ее владельца (рис. 3). При вложении карточки в считыватель эти так называемые «проволочки Виганда» вызывают изменение магнитного потока, которое фиксируется соответствующим датчиком, преобразующим импульсы в двоичный код. Технология кодирования Виганда обеспечивает весьма высокую степень защиты идентификационной карточки от случайного и умышленного стирания, фальсификации зафиксированного кода и изготовления дубликата.



Рис. 3. Бесконтактная карта (интерфейс Виганда)]

Бесконтактные радиочастотные проксимипш-карты.

Считыватель генерирует электромагнитное излучение определенной частоты и при внесении карты в зону действия считывателя это излучение через встроенную в карте антенну запитывает чип карты. Получив необходимую энергию для работы, карта пересылает на считыватель свой идентификационный номер с помощью электромагнитного импульса определенной формы и частоты. Сама проксимити-карта состоит из приемопередающей антенны и электронного чипа (рис. 4).

Рис. 4. Проксимити-карта

Идентификационные карточки со скрытым штриховым кодом (бар-код).Невидимый штриховой код впечатывается в основу карточки и считывается с помощью излучения в инфракрасном спектре. Код образуется за счет конфигурации теней при прохождении ИК-излучения через карточку и обладает высокой степенью защищенности от подделки. Однако эта технология довольно дорого стоит, хотя стоимость таких карточек и ниже, чем стоимость карточек Виганда.

Идентификационные карточки с оптической памятью.

Кодирование информации на таких карточках осуществляется примерно так же, как при записи данных на оптических дисках - компьютерных носителях. Считывание производится лазером. Современная технология обеспечивает очень высокую плотность записи, поэтому емкость памяти таких карточек исчисляется мегабайтами. Это позволяет хранить не только буквенно-цифровые данные, но и изображения и звуковую информацию. Карточки этого типа имеют низкую стоимость и высокую степень защищенности от несанкционированного копирования. Однако высокая плотность хранения информации требует достаточно бережного отношения и сложных считывающих терминалов. Изготавливаются корпорацией Drexler Technology Corp., США (карточка LaserCard) и торонтской фирмой Optical Recording Corp.

Голографические идентификационные карточки.

Используемые при изготовлении таких идентификационных документов трехмерные голограммы формируются на основе интерференции двух или нескольких когерентных волновых полей. Применение голограммы наряду с повышенной защитой документов от фальсификации обеспечивает высокую плотность записи информации (до 10 бит информации, содержащейся в изображении на 1 мм). Повышенная защищенность документов обусловлена тем, что техническая реализация методов голографии отличается достаточной сложностью и требует применения специальной аппаратуры.

Одним из видов голограмм, нанесение которых не сопряжено со значительными затратами, являются печатные голограммы. С помощью так называемой «радужной голограммы» формируется печатная основа, на которую затем может быть нанесено большое число голографическнх отличительных признаков подлинности идентификационного документа. Существенным достоинством печатных голограмм является то, что они могут наноситься на используемые в настоящее время документы. Это позволяет заметно повысить уровень защищенности удостоверений от фальсификаций при сравнительно низких затратах.

Более высокий уровень защиты обеспечивают голограммы, основанные на эффекте объемного отражения Информация, содержащаяся в них, может считываться непосредственно при обычном освещении (т. е. без вспомогательной аппаратуры). Наносимые на документ с помощью голограммы данные могут представлять собой как отдельные буквенно-цифровые знаки, так и сложную комбинацию буквенно-цифровых, графических и фотографических символов

Интерференционная диаграмма, содержащая информацию, распределяется квазислучайно по всей площади и на всю глубину эмульсионного слоя голограмм рассматриваемого вида, что обусловливает предельные трудности при попытке фальсифицировать идентификационный документ. Содержащаяся в голограмме информация становится видимой в лучах обычного света, источником которого может быть, например, настольная лампа. Информация представляется в виде реального или мнимого изображения.

Одним из новых перспективных видов голограмм являются так называемые «голограммы Даусманна». Разработанная технология нанесения информации обеспечивает возможность сочетания в одном фотоэмульсионном слое изображения буквенно-цифровых данных, черно-белого фотографического снимка, а также объемно-рефлексионной голограммы. Изготавливаемые с использованием этой технологии документы получили название «удостоверения в удостоверении», так как информация черно-белого изображения полностью совпадает с данными, содержащимися в голограмме. Какие-либо изменения в черно-белом фотоснимке обнаруживаются сразу путем его сличения с голограммой. Данная голографическая технология формирования признаков подлинности особенно эффективна для таких идентификационных документов, как удостоверение личности, загранпаспорт и т. д.

При необходимости голограммы могут применяться и для хранения биометрических данных (например, отпечатков пальцев). Подобная система разработана немецкой фирмой Siemens AG. Для обеспечения надежной защиты от попыток фальсификации или копирования идентификационных карточек фирма применила еще и шифрование данных.

Голографические методы защиты информации на документах, наряду с высокой надежностью, обладают и рядом недостатков. К ним относятся, например, высокая сложность аппаратуры автоматизации процесса контроля, достаточно жесткие требования к сохранности документа Наибольшую эффективность обеспечивает полуавтоматическая аппаратура, функционирующая с участием оператора-контролера, который анализирует результаты сравнения и принимает решение о пропуске на объект.

Идентификационные карточки с искусственным интеллектом (смарт-карты).

Такие документы содержат вмонтированные в основу миниатюрные интегральные микросхемы - запоминающее устройство и микропроцессор. Одно из преимуществ карточек этого типа - возможность регистрации значительного объема идентификационных данных. Они обладают довольно высокой степенью защищенности записанной в них информации от фальсификации и различного рода злоупотреблений. В литературе встречаются другие названия этих карточек - «разумные» или «интеллектуальные».

Вычислительный микроблок этой карточки содержит три типа запоминающих устройств (ЗУ). Для хранения программного обеспечения предназначена память типа ПЗУ (постоянное ЗУ), в которую информация заносится

фирмой-изготовителем на этапе выпуска карточки в обращение и не допускает внесения каких-либо изменений в хранящиеся инструкции.

Для хранения промежуточных результатов вычислений и других данных временного характера применяется память типа ЗУПВ (запоминающее устройство произвольной выборки). Она управляется встроенным микропроцессором, который осуществляет контроль за процессом взаимодействия со считывателем. После отключения электрического питания информация здесь не сохраняется.

Память третьего типа - программируемое постоянное запоминающее устройство (ППЗУ) - предоставляется пользователю для записи персональной информации. Она также находится под управлением встроенного микропроцессора, т. е. только по его команде в эту память могут вноситься какие-либо изменения. Записанная информация не стирается и при отключении электрического питания. В памяти этого типа, как правило, выделены три зоны: открытого доступа, рабочая и секретная.

В открытой зоне может храниться, например, персональная информация пользователя (имя, адрес и т. п.), считывание которой допускается посторонним терминалом соответствующего типа. Однако какие-либо изменения в записях могут производиться только с разрешения пользователя и с помощью спецаппаратуры.

Рабочая зона предназначена для занесения специфической информации, изменение и считывание которой допускается только по команде пользователя и при наличии соответствующих технических средств.

В секретной зоне записывается идентифицирующая информация, например, личный номер или код-пароль. Кроме того, здесь же обычно хранятся временные и территориальные полномочия пользователя по доступу к охраняемым объектам и помещениям. Информация секретной зоны может быть считана только терминалом системы контроля доступа, для которого предназначена данная карточка. Изменения также вносятся только по команде этой системы.

Хранимые здесь данные не раскрываются никакой посторонней считывающей аппаратурой, в том числе фирмы-изготовителя. Секретная информация заносится в эту зону при регистрации пользователя контрольно-пропускной системой. До недавнего времени в качестве такой памяти применялись запоминающие устройства СППЗУ (стираемое программируемое постоянное ЗУ). Внесенная информация могла быть стерта только с помощью ультрафиолетового излучения и спецоборудования. Более современным типом памяти является ЭСППЗУ - электрически стираемое программируемое постоянное ЗУ, которое в отличие от предыдущего более долговечно (срок службы - до нескольких лет) и обладает большей гибкостью.

Некоторые интеллектуальные карточки позволяют хранить цифровые образы биометрических характеристик пользователя (динамику росписи, отпечатка пальца, ладони, геометрических параметров кисти, рисунка глазного дна, портретного изображения). В целях защиты от несанкционированного использования идентификационных карточек, применяемых пользователями таких систем, электронный «портрет» хранится в памяти в цифровом зашифрованном виде, что значительно затрудняет восстановление записанной информации и ее подделку злоумышленниками.

Бесконтактные идентификационные карточки.

Такие карточки по виду не отличаются от всех остальных, но наряду с обычной атрибутикой содержат встроенный миниатюрный приемопередатчик, который осуществляет дистанционное взаимодействие со считывателем системы контроля доступа.

В качестве коммуникационного средства при дистанционном считывании могут служить направленное электромагнитное поле (микроволновые радиосигналы), оптический луч (инфракрасное излучение) или акустические волны (ультразвук).

Особенность бесконтактных считывателей по сравнению с устройствами других типов состоит в том, что внешний элемент их конструкции (антенна) может быть вмонтирована, например, в стену рядом с охраняемой дверью Это обеспечивает скрытность и соответственно защиту от попыток физического разрушения

Расстояние, на котором взаимодействует бесконтактная идентификационная карточка с антенной считывающего устройства, в современных бесконтактных контрольно-пропускных автоматах может изменяться в зависимости от конкретной модели от нескольких сантиметров до 10 м и более.

Наибольшее распространение сейчас получили микроволновые считыватели и идентификационные карточки со встроенной электронной схемой или «электронные жетоны» (которые пользователь может носить во внутреннем кармане, портфеле или прикрепленными к связке ключей). Такие идентификаторы называют еще «электронными метками».

Различают следующие типы электронных меток.

Пассивные электронные метки.

Работают на основе переизлучения электронной энергии от микроволнового радиопередатчика терминала. Переизлучаемый сигнал улавливается радиоприемником терминала, после чего подаются соответствующие команды на механизм отпирания двери.

Полуактивные электронные метки.

Содержат миниатюрную батарею, которая является источником электропитания для приемопередатчика. Сам приемопередатчик находится обычно в режиме ожидания, а при попадании в зону действия микроволнового излучателя поста выдает сигнал определенной частоты, принимаемый терминалом системы.

Активная электронная метка.

Представляет собой микроволновый передатчик-радиомаяк, транслирующий сигнал определенной частоты (для некоторых моделей кодированный) непрерывно.

Наиболее простые модели бесконтактных контрольно-пропускных терминалов, развитие которых началось еще в начале 1970-х гг. в США, могли транслировать лишь групповой сигнал, не подразделяя пользователей по отдельности. В дальнейшем с развитием электронной технологии появились идентификационные карточки, которые кроме микросхемы приемопередатчика включали в свой состав запоминающее устройство. В этой памяти хранится многозначный код, который при обмене сигналами переносится в контрольный терминал и идентифицируется в соответствии с полномочиями конкретного пользователя.

Например, полуактивная электронная метка была разработана немецкой фирмой Burcka Systems в качестве пропуска бесконтактного типа. Ее встроенная память позволяет хранить сколько угодно большое число программируемых кодовых комбинаций, допускающих к тому же их дистанционное изменение. Максимальное расстояние считывания составляет 3 м. Пропуск можно носить под одеждой, так как микроволновый сигнал проникает даже через плотный (текстильный и кожаный) материал верхней одежды. В качестве источника питания используется миниатюрная литиевая батарея со сроком службы 10 лет.

Современные проксимити-идентафикаторы представляют собой электронные пропуска в виде пластиковых карточек или брелков и довольно широко используются в системах контроля доступа. Они обеспечивают бесконтактное дистанционное распознавание (идентификацию) персонального кода владельца электронными считывателями. В переводе на русский язык proximity (проксимити) означает «близость». Однако эта близость довольно условна, поскольку расстояние между проксимити-идентификатором и считывателем в зависимости от мощности считывателя и типа идентификатора может варьироваться от нескольких сантиметров до 2,5 м.

Специальные электронные считыватели проксимити-идентификаторов распознают личность его владельца по записанному на идентификаторе персональному коду. Механизм распознавания (считывания) базируется на дистанционной радиочастотной технологии. Проксимити-считыватель постоянно посылает радиосигнал. При попадании в зону действия считывания про-ксимити-идентификатор активизируется и посылает в ответ сигнал, содержащий уникальный код доступа, записанный в памяти его электронной схемы. Считывание кода с проксимити-идентификатора происходит на определенном расстоянии от считывателя, т. е. без непосредственного контакта. При этом позиционирование идентификатора относительно считывателя не имеет значения.

Все проксимити-идентификаторы делятся на две группы - пассивные и активные.

В настоящее время используются как активные, так и пассивные прокси-мити-идентификаторы. Пассивный проксимити-идентификатор не содержит встроенного источника энергии, он абсолютно герметичен и имеет практически неограниченный срок службы. При этом расстояние, на котором он работает стабильно, составляет от 10 до 50 см от считывателя. Как правило, такие идентификаторы используются для быстрого и надежного обслуживания большого потока людей, например допуск их через проходную предприятия. Активный проксимити-идентификатор может работать на расстоянии от одного до трех метров, но требует постоянного контроля степени заряда встроенной батареи и ее своевременной замены (обычно не чаще чем через 5 лет). Так, например, автомобильные проксимити-идентификаторы HID ProxPass работают на расстоянии до 2,5 м. Большое расстояние считывания активного идентификатора позволяет использовать его в системах контроля въезда-выезда автомобилей, производить контроль перемещения крупногабаритных грузов, вагонов или контейнеров.

Все проксимити-идентификаторы HID отличаются высокой степенью защищенности от подделки. Благодаря отсутствию механического контакта между проксимити-идентификатором и считывателем, идентифткатор не изнашивается, и срок его службы практически не ограничен. Проксимити-идентификаторы обладают достаточной механической прочностью, устойчивы к изгибам, ударам, не боятся влаги и загрязнения.

На проксимити-идентификаторы можно наносить надписи, фотографии, логотипы. Для этого применяются специальные поливинилхлоридные наклейки, а фотоизображения и рисунки на поверхности тонких проксимити-идентификаторов печатаются на специальных принтерах.

Пластиковые ключи.

Пластиковые ключи используются во всех рассмотренных выше способах кодирования. Их отличие заключается в конструктивном способе отпирания, внешне напоминающем способ отпирания обычного механического замка - вставление ключа в скважину, проверку доступа и индикацию владельцу ключа разрешения на открытие замка (поворот ключа).

Этот идентификатор отличается более высокой степенью износоустойчивости по сравнению с идентификационными карточками. В памяти такого ключа хранится личный номер его владельца Принцип проверки основан на сравнении вводимого пользователем номера с номером, хранящимся в памяти ключа, который считывается терминалом при его вставлении в прорезь.

В память ключа обычно заносится следующая информация:

- системный идентификационный номер (уникален для каждой установки и предоставляется фирмой-изготовителем при заказе системы; максимальное число различных системных номеров свыше 65 тыс.);

- пользовательский идентификационный номер (определяется покупателем при выпуске и программировании ключа; можно заказать до 9999 различных номеров);

- уровни доступа (для автономного считывателя до 256 уровней система предоставляет доступ от данного уровня и выше);

- дни недели (7 дней недели соотнесены с временными зонами; комбинация дня недели и временной зоны определяет право доступа через любой считыватель в любое данное время);

- временные зоны (каждая система располагает до 16 отдельными зонами, которые могут быть назначены пользователю);

- кодонаборная панель (для важных объектов в памяти ключа может храниться до 10 различных цифр).

Терминалы на базе комбинации считывателя и кодонаборного устройства.

Комбинирование методов аутентификации личности позволяет повысить надежность защиты от несанкционированного доступа. Однако при этом увеличивается время выполнения процедуры проверки.

В настоящее время различными зарубежными фирмами освоен выпуск целого ряда моделей.

Наибольший интерес представляет комбинированный терминал фирмы Security Dynamics. Используемая идентификационная карточка (по размеру похожа на стандартную кредитную, но вдвое толще ее) содержит встроенный микропроцессор, миниатюрный источник питания, жидкокристаллический индикатор, электронные часы, а также запоминающие устройства двух типов- с произвольной выборкой (ЗУПВ) и постоянное (ПЗУ). Каждую минуту на индикаторе высвечивается число из псевдослучайной последовательности, алгоритм генерации которой известен микрокомпьютеру системы. Так что терминал «знает», какое конкретное число, на какой идентификационной карточке, в какой конкретный период времени будет записано. По существу этот псевдослучайный номер служит паролем в течение 60 с.

Процедура проверки выглядит следующим образом. Пользователь вводит с помощью клавиатуры свой личный идентификационный номер, а затем то число, которое отображено в данный момент на индикаторе его идентификационной карточки. Система определяет корректность этого числа для данной карты и отрезка времени.

Для противодействия угрозам перехвата личного кода законного пользователя может быть запрограммирована такая возможность, когда вместо раздельного ввода данных владельцем идентификационной карточки набирается на клавиатуре сумма идентификационного номера и числа, прочитанного на индикаторе.



5. Особенности СКУД для крупных распределенных объектов

В СКУД для крупного распределенного объекта с различной архитектурой используются мощные центральные контроллеры, осуществляющие процесс управления с использованием специализированных удаленных интерфейсных модулей. Особенности применения определяют требования, предъявляемые к программному обеспечению для таких систем Чаще всего используют СКУД с централизованной или распределенной архитектурой, но иногда применяется и архитектура смешанного типа.

5.1 Централизованная архитектура

В крупной распределенной системе контроля и управления доступом, особенно при больших расстояниях между отдельными зданиями охраняемого объекта, каждое здание должно иметь свой центральный контроллер. Это обеспечивает автономное функционирование системы безопасности каждого здания в случае нарушения связи между отдельными объектами. Число подключаемых считывателей на один контроллер, как правило, колеблется от 16 до 96, поэтому обычно мощности одного контроллера вполне хватает для создания СКУД отдельного объекта в крупной распределенной системе. Контроллеры централизованных СКУД являются чисто логическими устройствами и не управляют дверями, т. е не имеют релейных выходов управления замками, входов для подключения считывателей СКУД Функции управления дверями, другими внешними устройствами выполняют внешние интерфейсные модули и релейные блоки. Они, как правило, устанавливаются недалеко от объектов управления (двери, охранные шлейфы и др.) Для обмена информацией между контроллером и интерфейсными модулями наиболее часто используется интерфейс RS-485, однако уже появились системы, в которых возможно подключение интерфейсных модулей по стандарту LAN

Следует также отметить, что наиболее мощные центральные контроллеры насчитывают несколько коммуникационных интерфейсов RS-485, что обеспечивает широкий охват территории крупных зданий без применения усилителей интерфейса Фактически можно проложить свой интерфейс RS-485 в нескольких направлениях от центрального контроллера. Что касается сетевого интерфейса, то для крупных объектов возможность подключения интерфейсных модулей СКУД к центральному контроллеру по стандарту LAN весьма актуальна, поскольку в этом случае появляется перспектива использования существующей на объекте сетевой инфраструктуры и существенного снижения расходов на прокладку коммуникаций. Контроллер в системах с централизованной архитектурой хранит всю базу данных идентификаторов и событий, произошедших в системе. Располагается он обычно недалеко от управляющих компьютеров (серверов) в местах наивысшей защищенности (комнаты охраны, серверные и пр.). Разделение функций принятия решений и непосредственно управления повышает степень безопасности СКУД, так как сам контроллер хорошо защищен и установлен на большом расстоянии от управляемого им УПУ Кроме того, такой подход помогает снизить стоимость крупных систем, поскольку цена контроллера «растворяется» в общей стоимости системы. Следует отметить, что сами контроллеры можно объединять в сети, позволяя тем самым создавать СКУД значительного масштаба (рис. 5). При нарушении связи контроллера с компьютером система работает в автономном режиме. Другими словами, централизованная система - это жесткая властная вертикаль или пирамида, когда наверху руководящий контроллер («начальник»), а ниже - обычные интерфейсные модули («исполнители»), которые собственно и реализуют управляющие команды.



Рис. 5. Вариант построения СКУД с централизованной архитектурой

5.2 Распределенная архитектура СКУД

Отличительная особенность СКУД с распределенной архитектурой состоит в том, что база данных идентификаторов (и событий в системе) содержится не в одном, а в нескольких контроллерах. Они обычно выполняют функции управления внешними устройствами и охранными шлейфами через реле и входы охранной сигнализации, расположенные непосредственно на плате самого контроллера. Эти контроллеры, как правило, устанавливаются непосредственно внутри защищаемых ими помещений. Это не снижает вероятности несанкционированного манипулирования контроллером, но имеет свои плюсы - при таком подходе менее критично нарушение связи между контроллером и интерфейсным модулем (как в обычной централизованной системе). В случае обрыва линии связи между контроллерами и компьютером система продолжает выполнять основные функции управления процессом доступа в автономном режиме. Выведение из строя одного контроллера не повлияет на работу остальных. Наиболее часто в системах с распределенной архитектурой контроллер управляет проходом в 2-4 двери. При использовании таких СКУД на крупных распределенных объектах следует помнить, что каждое отдельное здание, скорее всего, будет оснащаться своей подсистемой, состоящей из группы контроллеров со своим управляющим компьютером. Такая особенность связана с ограничением длины наиболее часто используемых в таких системах интерфейсов - RS-485 и 20-мА токовая петля. Прокладка линий связи между удаленными зданиями потребует применения усилителей интерфейса, а это не всегда удобно и несколько снижает надежность, поэтому можно рассматривать систему в целом как совокупность подсистем нескольких зданий. Если перейти на строительную терминологию, то распределенная СКУД - это некоторое число контроллеров - «прорабов», которые отвечают только за свой участок работ и сами же их выполняют. Они самостоятельно анализируют и хранят часть информации о функционировании своей небольшой части системы.

5.3 Смешанная архитектура

Обычно такие системы получаются из СКУД с централизованной архитектурой путем добавления специализированных считывателей или интерфейсных модулей с собственным буфером памяти идентификаторов и событий - «интеллектуальных интерфейсных модулей». Можно сказать, что каждый такой модуль является небольшим контроллером СКУД, сравнимым с контроллером в распределенной системе. Благодаря использованию данного технического решения достигается избыточное резервирование функций, резко повышающее степень безопасности системы. Поскольку контроллер в СКУД с централизованной архитектурой управляет большим числом дверей, повреждение линии связи между ним и интерфейсными модулями управления оконечными устройствами может привести к блокированию значительной части или даже всей системы. Локальный считыватель или промежуточный интерфейсный блок, обладающий встроенным буфером памяти, в этом случае переходит в автономный режим управления доступом (на своем участке). Системы, построенные с использованием данных модулей, обладают наивысшей степенью безопасности и исключительной надежностью функционирования. Для крупных распределенных СКУД со смешанной аппаратной архитектурой важно, что некоторые производители имеют в номенклатуре интерфейсные модули с возможностью подключения к центральному контроллеру по LAN-интерфейсу. При наличии развитых сетевых коммуникаций на территории объекта подобные модули устанавливаются в удаленных зданиях, что придает системе дополнительную гибкость и позволяет экономить значительные средства.

Таким образом, смешанная система - это властная вертикаль, или пирамида с возможностью передачи части функций управления на более низкий уровень в случае возникновения экстренной ситуации.

5.4 Программное обеспечение для крупных СКУД

Программные комплексы для крупных распределенных СКУД имеют свои особенности, которые необходимо иметь в виду при выборе Г1К для систем малого и среднего масштаба.

Одним из наиболее распространенных вариантов СКУД является небольшая изолированная система. Ее главная характеристика состоит в том, что все модули (управление базой данных, ядро, функциональные модули, драйверы оборудования и др.) устанавливаются и запускаются на одном компьютере. К этому же компьютеру подключается и все оборудование. Компьютер при этом должен обладать достаточной вычислительной мощностью и объемом памяти для выполнения всех программных модулей, а также адекватным исходной задаче дисковым пространством - для хранения базы данных системы Основные достоинства подобной системы - простота инсталляции, обслуживания, контроля линий связи и низкая стоимость решения. Из недостатков можно отметить, прежде всего, отключение некоторых функций при «зависании» или выключении компьютера, возможность администрирования только на одном компьютере, замедление реакций комплекса при большом количестве подключенного оборудования. Для крупной распределенной системы важнейшим негативным фактором окажется необходимость подключения всего управляемого оборудования к данному компьютеру, что часто просто невыполнимо.

При использовании централизованной системы с удаленным управлением все служебные модули комплекса (ядро, драйверы оборудования и логики) функционируют на одном компьютере - центральном сервере системы, а запуск управляющей консоли возможен не только на данном компьютере, но и на других машинах сети. В такой системе центральный компьютер должен обладать еще большими вычислительной мощностью, объемом памяти и дисковым пространством, чем в однопользовательской системе Однако в данной схеме появляется возможность задействовать не очень мощные компьютеры с небольшими дисками в качестве клиентских рабочих станций. Достоинства очевидны: простота установки, обслуживания и контроля линий связи, так как все оборудование подключено к одному компьютеру. В такой системе легко контролировать состояние функциональных модулей и драйверов оборудования, так как все они функционируют на одной машине. Недостатки в значительной степени такие же, как в предыдущем варианте.

Для централизованной системы главным отрицательным фактором будет тот же - необходимость подключения всего управляемого оборудования к одному компьютеру (серверу).

В крупных СКУД иногда используется вариант, при котором сервер управления базой данных системы и ядро работают па центральном сервере, а драйверы оборудования и логики распределены по всей сети. Запуск управляющих консолей возможен на любом компьютере сети, что делает управление более гибким. Необходимость распределения по сети драйверов оборудования и логики связана в основном с тем, что здания предприятия распределены по территории и часть оборудования может находиться достаточно далеко от центрального сервера. Поскольку часть модулей вынесена с центрального сервера системы на другие компьютеры, нагрузка на центральный сервер снижается. Применение такой архитектуры оправданно при наличии большой территории с распределенным по ней управляющим оборудованием. В этом случае нет необходимости прокладывать коммуникации из всех точек к центральному серверу. Достаточно подключить аппаратуру к ближайшему компьютеру сети и запустить на этом компьютере обслуживающий драйвер При этом требования к мощности данного компьютера остаются относительно скромными.

Надо отметить, что в случае распределенного запуска программных модулей встает задача контроля их состояния. Для упрощения работы в ПО системы должны быть встроены специальные средства, позволяющие администратору со своего рабочего места контролировать работу модулей на других компьютерах, запускать или останавливать их.

Выделим наиболее важные достоинства и недостатки такого ПО. К числу достоинств следует отнести:

- простоту подключения благодаря возможности присоединения оборудования к ближайшему компьютеру;

- возможность создания очень крупных СКУД высокой надежности для крупных распределенных объектов;

- повышение общей скорости работы системы за счет снижения нагрузки на центральный сервер,

- снижение стоимости монтажа системы благодаря экономии на прокладке линий связи.

Недостатками можно считать:

- требование контроля администратором состояния распределенных по системе модулей;

- необходимость наличия на объекте обученного персонала.

ПО с такой структурой подходит для построения СКУД и интегрированных систем безопасности (ИСБ) заводов, аэропортов, банков, офисов крупных компаний, институтов и других крупных объектов, имеющих значительные территории с большим числом отдельно стоящих зданий и сооружений.

В общем случае программное обеспечение СКУД предоставляет пользован - по следующие стандартные возможности:

- программирование временных интервалов, в которые двери (ворота) открыты совсем, открываются при сканировании идентификационной карточки (или аутентификации пользователя на биометрических терминалах) или закрыты наглухо, а также включение/выключение по расписанию или по показаниям приборов, освещения, вентиляции, лифтов, датчиков охранной сигнализации;

- программирование выходных дней и праздников, когда допуск предоставляется только определенным лицам;

- создание нескольких иерархических групп пользователей в зависимости от уровня предоставляемого им допуска;

- исполнение функции «ни шагу назад», препятствующей тому, чтобы один сотрудник, пройдя через дверь передал свою карточку другому человеку (т. е. определяется временной интервал, в течение которого карточка не может открыть дверь еще раз, либо на выходе из помещения устанавливается еще один считыватель, и карточка может снова «зайти», только предварительно «выйдя»);

- если компьютер подключен к системе постоянно, на него может быть выведен план охраняемой территории со всеми точками контроля доступа, дверями, проходами, расположением датчиков и т. п., на котором в режиме реального времени отображаются все происходящие события;

- оператор системы постоянно контролирует обстановку и в случае необходимости может принять требуемые по обстановке решения

Обычно крупные СКУД работают в совокупности с системами охранной сигнализации и телевизионного наблюдения. В этом случае, например при попытке несанкционированного проникновения в помещение, оснащенное СКУД или датчиками охранной сигнализации, включаются телекамеры и блокируются выходы. Система может программироваться на разблокирование всех исполнительных устройств в экстренных случаях. Подобный набор функций заложен, например, в программном обеспечении систем безопасности «Multi Net 5100» (работающей в среде OS/2) фирмы «DIEBOLD».

Типовые возможности математического и программного обеспечения достаточно крупных СКУД позволяют решать задачи контроля за посетителями, контроля за выносом материальных ценностей, автоматизировать ряд функций службы патрулирования и т. д.

Каждому посетителю на входе выдается идентификационная карточка с разрешением на доступ в заданное время в определенные зоны. На выходе карточка должна сдаваться. При этом возможен оперативный контроль мест посещения, а в случае задержки на объекте вне пределов заданного временного интервала подается сигнал тревоги.

По аналогичной методике может быть организован контроль своевременного движения групп службы патрулирования.

Для выноса материальных ценностей на любой рабочей станции системы может быть сформирован список предметов, который скрепляется «электронной подписью» уполномоченного руководителя. При этом вводится личный идентификационный номер сотрудника, который выносит предметы. При подходе к проходной этот список автоматически (по предъявлению идентификационной карточки сотрудника) выводится на дисплей контролера, который сверяет список.

Гибкость ПО современных систем контроля доступа позволяет достаточно легко изменять их конфигурацию, менять заданные условия нахождения в помещениях и на территории для любого сотрудника.

В целях повышения надежности функционирования СКУД их программное обеспечение может предусматривать функционирование центральных рабочих станций в связке двух машин в режиме параллельной обработки данных.



ЗАКЛЮЧЕНИЕ

В процессе выполнения курсовой работы мы ознакомились с общей характеристикой системы контроля и управления доступом, а именно:

- организацией контрольно-пропускного режима на предприятии;

- целями и задачами создания контрольно-пропускного режима;

- подготовкой исходных данных для организации контрольно пропускного режима;

- разработкой инструкции о пропускном режиме;

- назначением, классификацией и составом СКУД;

- требованиями к системам контроля управления доступом;

- средствами идентификации и аутентификации;

- особенностями СКУД для крупных распределенных объектов и т.д.



ИСПОЛЬЗОВАНЫ ИСТОЧНИКИ

Нормативные документы

1. ГОСТ Р 51241-98. «Средства и системы контроля и управления доступом. Классификация. Общие технические требования. Методы испытаний».

2. РД 78.36.005-99. «Выбор и применение систем контроля и управления доступом».

3. РД 78.36.003-2002. Руководящий документ «Инженерно-техническая укрепленность Технические системы охраны Требования и нормативы проектирования по защите объектов от преступных посягательств».

4. ГОСТ «Устройства преграждающие управляемые - УПУ».

Литература

5. Тихонов В А., Райх В. В. Информационная безопасность: концептуальные, правовые, организационные и технические аспекты: Уч. пособие. М.: Гелиос АРВ, 2006.

6. Абалмазов Э. И. Энциклопедия безопасности. Справочник каталог, 1997.

7. Тарасов Ю Контрольно-пропускной режим на предприятии. Защита информации // Конфидент, 2002. № 1. С. 55-61.

8. Сабынин В. Н. Организация пропускного режима первый шаг к обеспечению безопасности и конфиденциальности информации // Информост радиоэлектроники и телекоммуникации, 2001. № 3 (16).

9. Татарченко И. В., Соловьев Д. С. Концепция интеграции унифицированных систем безопасности // Системы безопасности. № 1 (73). С. 86-89.

10. Мащенов Р. Г. Системы охранной сигнализации: основы теории и принципы построения: учебное пособие. М.: Горячая линия - Телеком, 2004

11 Горлицин И. Контроль и управление доступом - просто и надежно КТЦ «Охранные системы», 2002.

12. Барсуков В. С. Интегральная защита информации // Системы безопасности, 2002. №5, 6.

13. Стасенко Л. СКУД - система контроля и управления доступом // Все о вашей безопасности. Группа компаний «Релвест» (Sleo@relvest.ru).

14. Абрамов А. М., Никулин О. Ю, Петрушин А. И. Системы управления доступом. М.: «Оберег-РБ», 1998.

15. Предтеченский В И , Рыжухин Д. В , Сергеев М. С. Анализ возможности использования кодонаборных устройств (клавиатур) в системах контроля и управления доступом высокого уровня безопасности. М.: МГИФИ, 2005.

16. Гинце А. Новые технологии в СКУД // Системы безопасности, 2005.

№6

17. Защита информации. Выпуск 1. М.: МП «Ирбис-11», 1992.

18. Злотник Е. Touch Memory - новый электронный идентификатор // Монитор, 1994. №6 С. 26-31.

19. Филипп X. Уокер Электронные системы охраны. Наилучшие способы предотвращения преступлений / Пер. с англ. М.: «За и против», 1991

20. Флорен М. В. Организация управления доступом // Защита информации «Конфидент», 1995. № 5. С. 87-93.

21. Барсуков В. С. Биоключ - путь к безопасности // Специальная техника,