Сучасне забезпечення безперервності бізнесу вимагає високого рівня безпеки.
Більшість порушень відбуваються саме на проходах. Системи контролю і управління доступом (СКУД) є особою фірми, і переднім краєм її незримої боротьби за існування. Більш того, СКУД є потужним інструментом в ефективному управлінні людськими ресурсами
В одній дуже секретної організації в підвалі була добре охороняється секретна кімната. Крім кодових замків на дверях, охоронної сигналізації, біля входу в підвал стояв вартовий, а навпаки постійно знаходився озброєний черговий офіцер. У секретній кімнаті зберігалися документи з грифом "Секретно" і "Особливої важливості".
В один прекрасний день начальник секретної кімнати виявив там валізу, набиту дефіцитними товарами НДР. Про те, як сплять вартові, всім було зрозуміло. Очевидні потертості на замках видавали їх код. Але як йому вдалося обдурити сигналізацію? Пояснюючи, солдат взяв звичайний тестер і пару резисторів і продемонстрував відключення охоронної сигналізації мостового типу. Було це за часів, коли студенти служили срочнуюслужбу, приблизно 25 років тому. З тих пір охоронні сигналізації в основній своїй масі практично не змінилися за принципом шлейфного організації та їх все також нескладно обдурити, як і самотнього напівсонного охоронця. Додалися автоматизовані СКУД, але які з них можуть бути дійсно надійною опорою служби безпеки?
Найпростіша СКУД
Найпростіша СКУД складається з контролера, вхідного зчитувача, геркона, кнопки виходу, електрозамку і блоку живлення.
Контролер є центральною частиною найпростішої СКУД - це мікропроцесорний пристрій, який запрограмовано для читання сигналів зчитування карт доступу і зберігання подій і графіків в пам'яті, контролю стану геркона і управління дверним замком.
Для того щоб відкрити двері, співробітник підносить картку доступу до зчитувача, і якщо код карти є ідентичним з кодом, прописаним в пам'яті контролера, то замок відкривається. Дуже часто використовується контролер, вбудований в зчитувач. Це небезпечно -досить відкрутити два гвинти, які тримають зчитувач, від'єднати провід до замку і двері відкриваються.
Але в основному продавці зазвичай не говорять своїм клієнтам про це, щоб вони продовжували перебувати в своїх помилках. Є багато покупців і установників, які використовують вбудований контроллер для управління дверним замком.
Отже, перший висновок - необхідно подбати про фізичний захист контролера і ланцюгів управління дверним замком. Ще краще - використовувати контролери окремо від зчитувача, що не набагато дорожче.
Прості контролери, які управляються картами, звичайно не дозволяють встановлювати спеціальні правила для кожного користувача, наприклад на вихідні і святкові дні. Для реєстрації необхідно по одному піднести всі карти до зчитувача, що досить незручно.
Тому набагато практичніше просунуті контролери, які настроюються за допомогою Web-інтерфейсу. Комп'ютерна настройка значно спрощує всі завдання адміністратора, не так уже й важко вписати списки контролю доступу і швидко змінювати власні правила для кожної карти.
Швидка окупність СКУД
СКУД ефективно вирішує багато непрості завдання, які типові для більшості підприємств.
При паперової системі не може бути точно відомо, скільки прийде людей на обід. Їжа залишається, і її потрібно кудись списати, тому і самі кухарі можуть надрукувати талони, щоб отримати додаткові продукти. Раз вже грошові знаки підробляють, то підробити талони на обід - просто дрібниця для сучасних технологій.
"Вам повинні були видати ложки в відділі кадрів" - саме так сказала нам на роздачі кухарка і пішла. Ми були в повному подиві, невже дійсно крім талонів потрібні ще й ложки від відділу кадрів?
Але не встигли ми придумати, де взяти ложки, як інша кухарка принесла нам і ложки, і обід. Нам було про що поговорити за столом, а якість страв нас дуже порадувало.
Незабаром замість талонів там стали використовувати карти доступу і відносно недорогий, але надійний контролер, зчитувач якого був встановлений прямо у роздачі в їдальні. Контролер СКУД автоматично веде всю статистику обідали, виключає підробку і повторне відвідування. Використовуються ті ж карти доступу, що і для проходу через турнікет на вході підприємства. Відділ кадрів більше не роздає ложки. Витрати - тільки на контролер, блок живлення, кабелі та пристрій для читання - менше 8 тис. Руб. з монтажем "під ключ".
Точно так же водії, проїжджаючи повз ворота, прикладають карту до зчитувача в'їзду або виїзду, завдяки чому відкривання воріт автоматизується і завжди точно відомо, які машини всередині, а які на виїзді. Звичайно, є чудові карти доступу з великим радіусом читання, але клієнтам часто зручніше, по-перше, використовувати одні і ті ж карти на всій території об'єкта, а по-друге, малий радіус зчитування карти усуває деякі колізії. У будь-якому випадку, автоматизоване управління воротами позбавляє охорону від багатьох виснажливих функцій, дозволяє зосередитися на головному і бути в гарному тонусі для протидії порушникам.
Відхилення від графіків обходів встановлюється автоматично, залишається тільки отримати вже письмові пояснення відповідного персоналу, що день за днем виховує свідоме ставлення до дотримання встановлених керівником правил. Відомо, що найбільше наші люди не люблять писати подібні папери, тому стимул вельми ефективний для управління кадрами, особливо якщо в трудовий договір заздалегідь включений пункт про те, що час написання пояснень, пов'язаних з порушенням інструкцій підприємства, не оплачується. Жорстоко? Так, але керівник може на перший раз великодушно простити гріхи працівника, пробачити і в другій. Все в руках керівника, саме так і повинно бути.
Зніміть це негайно # 33;
Приблизно десяток років тому з'явилися мікросканери за ціною двох доларів, від яких через пару років відбулися біометричні СКУД дактилоскопічного типу по відбитку пальця. Зрозуміло, новий товар продавався за досить високою ціною, тисячократно перевищує вартість мікросканера, і багато клюнули на новизну. Хоча застосування біометричних сканерів відкриває великі можливості в забезпеченні безпеки, наприклад додаткове підтвердження автентичності при спрацьовуванні antipassback, їх надійність дуже мала. В принципі продавці досить гладко викладали на глянцевому папері переваги біометричних СКУД, основним з яких вважалася вартість карт доступу, які не треба купувати.
Але реальність виявилася набагато складніше. Що робити секретарці, яка проколола дужкою палець і наклеїла пластир? Що робити маляра, якщо фарба або смола не змиваються? Токарю, слюсарю-інструментальнику, руки яких часто обдерті, порізані стружкою, завжди в маслі і металевого пилу? До того ж, наскільки гігієнічно використання таких технологій? Робітники з пустощі чи з інших мотивів непомітно підкладали пластилін, дряпали поверхню мікросканера, і тоді фірма надовго втрачала всі переваги автоматизованого управління доступом, рухнув виробничий ритм. Потім в Інтернеті з'явилися ролики, що демонструють виготовлення фальшивого відбитка за кілька хвилин за допомогою гіпсу і силікону.
Керівники багатьох підприємств задумалися і, незважаючи на вже вироблені чималі витрати на біометричні СКУД, були змушені спішно встановлювати традиційні СКУД, серед яких в даний час домінують досить зручні RFID-карти. З них найнадійнішими вважаються Mifare.
З'явилася автоматична ЗD-ідентифікація пред'явника картки доступу, але автоматичний процес ЗD-розпізнавання осіб ще не позбавлений від помилок в ту і іншу сторону - помилково не пустили або помилково пропустили, тому на серйозних об'єктах навряд чи має сенс їх застосовувати.
Замок - найслабша ланка
Важкі проблеми управління доступом пов'язані з вибором і установкою замків і турнікетів. Правильне рішення зумовлює результат. Електромеханічні замки недешеві і їх надійність часто залишає бажати кращого. Найбільш надійні електромагнітні замки, які дешевше, не зношуються і відповідають вимогам пожежної безпеки.
Будь-замок може бути зіпсований при проходженні через двері. Наприклад, можна прикласти звичайну канцелярську скріпку на магніт, сила тяжіння електромагнітного замка значно зменшується, і двері протягом усього дня відкрита для всіх.
IP-технологія - найбільш простий і дешевий спосіб для забезпечення всіх основних завдань систем контролю доступу.
Старі формати ліній, такі як RS-485 і CAN, як правило, хвалять, посилаючись на поважні стандарти, але повільний формат робить підтасовування максимально можливої загрозою. Недорогі кошти VPN IPSec тут недоступні. Конвертор Ethernet RS-485 сьогодні стоїть півсотні доларів, що дозволяє ефективно долати великі відстані по кручений парі. Нове будівництво під застарілі формати тепер програє IP-технологій.
Чому захист інформації в СКУД настільки важлива?
ACL може бути непередбачувано змінений, і в цьому випадку порушники отримують доступ в заборонені зони. У той же час охоронці втрачають права доступу, і вони заблоковані - все заборонено, щоб запобігти втручанню в діяльність порушників. В один прекрасний день це може бути просто чиєїсь жартом, щоб розвіяти нудьгу начальника служби безпеки.
IP-мережі дають самі надійні засоби для захисту даних. Є вже і турнікети, і замки, і інше необхідне обладнання з IP-інтерфейсами.
Клонований ключ дозволяє не тільки пройти на підприємство, але також відкриває всі ті внутрішні двері, які були дозволені для автентичного ключа. Клонування може бути здійснено як в результаті таємного заволодіння картою доступу, читання каналу зв'язку контролерів, читання пам'яті контролера, так і самим працівником.
"У нас таких немає # 33;" - збуджено заперечує керівник, недопонімая вразливість. Якщо закрити очі, то баба-яга зникне - це досить типове оману в забезпеченні безпеки.
Навіщо працівникові клонування? Мотиви можуть бути різними. По-перше, багато підприємств вводять непомірний штраф за втрату карти (500 руб.), Дешевше зробити клон і ходити з ним, а оригінал тримати в сейфі вдома. Навіть якщо штрафу немає, то втрата ключа напевно запишеться в особовій справі. По-друге, деякі служби безпеки настільки бюрократизовані, що головному інженеру простіше зробити клону, припустимо сантехніку, щоб він міг прибігти в екстрених випадках через численні двері фірми. І подібних мотивів безліч.
Популярний прийом проти клонування - використання функції Global Antipassback СКУД, але різні виробники вкладають в неї зовсім різні можливості, які покупцеві дуже непросто перевірити, нормативи виробниками не декларуються. Найбільша складність СКУД з Antipassback в тому, що інформація про кожному проході повинна відразу проникнути в усі контролери, що управляють доступом.
Більш того, при непродумане конфігурації рівнів і зон доступу Antipassback таїть в собі дуже небезпечні проблеми. Припустімо, дуже важлива особа заходить зі своєю карткою доступу в шлюз, а ми в цей момент прикладаємо до іншого зчитувача клон його карти, в результаті чого повторний прохід блокується і дуже важлива особа залишиться замкненим в шлюзі, поки не прийде охорона і не визволить його . Робота Antipassback напевно буде списана на помилки СКУД, оскільки для розслідування потрібно чимало часу, за яке порушник встигне ретируватися з тієї ж чи іншої клонованої картою.
Якщо зчитувачі входу і виходу встановлені на одному турнікеті, то порушнику нескладно дотягнутися до протилежного зчитувача і відразу усунути перешкоди, створювані Antipassback.
Наступний варіант використання Antipassback - переповнення пам'яті відразу всіх контролерів СКУД, для чого в мережі генеруються помилкові пакети про події, які йдуть в основному в режимі Multicast. В результаті переповнення пам'яті нічого не значущими подіями потрібна інформація буде видалена, так як пам'ять в контролерах зазвичай невелика. Найпростіше - прикладання клонованої карти по черзі до одного і до іншого зчитувача, які розташовані поруч.
Робота контролера мережевий СКУД в автономному режимі - це нонсенс, часто не зовсім розуміють. Якщо пропав зв'язок з центром - прохід беззастережно блокується.
Надійність електроживлення СКУД має найважливіше значення. Найпростіший спосіб відкрити двері - просунути в найближчу розетку відповідний провід, наприклад ПВ-1х16. При цьому гарантовано спрацює автоматичний вимикач, електроживлення буде вимкнено і електромагнітний дверний замок відкриється. Ще простіше імітувати витік по ізоляції, і УЗО відключить весь поверх. Як правило, через деякий час є заспаний електрик, що виділяє горілчане амбре і без будь-яких роздумів включає електроживлення.
Електричні щити закриваються на звичайні електротехнічні замки, один ключ підходить до всіх щитів. Щоб відкрити потрібні двері, відкриємо щиток і вимкнемо самий заяложений автоматичний вимикач, через який і йде електроживлення до контролера СКУД і замку.
Отже, СКУД повинні фіксувати всі випадки відключення електроживлення для розслідування їх причин. Електричні щити повинні бути під охоронною сигналізацією і взагалі жоден електрик не має права що-небудь включати без узгодження з головним інженером або відповідальним за електрогосподарство. Всі блоки електроживлення СКУД повинні мати резервний акумулятор, нехай навіть невеликий, але він відвадить всіх бажаючих відключати електропостачання для проходу.
Два бездоганних прийому економії
Для того щоб зрозуміти і осмислити основні загрози і ефективно використовувати доступні технології, необхідно чимало часу, тому розумно звернутися до підрядників, у яких вже є раціональні рішення, в тому числі і в плані економії. Щонайменше, два бездоганних прийому економії дозволяють швидко відсіяти підрядників, що не володіють знаннями і досвідом в сфері сучасних телекомунікацій.
Конвергентні мережі - сучасна основа організації безпеки. Все, що раніше вимагало безлічі кабелів, тепер вмістилося в один-єдиний кабель IP - такий сенс конвергентних мереж, важливою перевагою яких стає найвища надійність, гнучкість топології і економічна ефективність. Тепер не потрібно кожен раз прокладати кабелі, коли потрібно поставити нову систему, тому що всі вони можуть базуватися на одному кабелі завдяки технологіям конвергентної IP-мережі.
Важливі функції - 802.1d, 802.1w, 802.1s, 802.3af, 802.1q, 802.1p, 802.1х - повинні підтримуватися обладнанням і бути доступні для розуміння підрядника, інакше обладнання не буде їх використовувати.
Другий бездоганний прийом розумної економії - спільне використання обладнання для захисту інформації та забезпечення інформаційної безпеки в цілому:
- кошти резервного копіювання;
- розмежування доступу до інформаційних ресурсів;
- моніторинг внутрішньосистемних процесів,
- антивірусний захист, брандмауери, проксі-сервери, системи фільтрації;
- резервування і захист ліній;
- системи криптографічного захисту каналів передачі даних.
Друкується зі скороченнями.