Классификация средств и систем КУД по устойчивости к НСД.
1. Классификация средств КУД по устойчивости к НСД основана на устойчивости к разрушающим и неразрушающим воздействиям по уровням устойчивости:
1) нормальной;
2) повышенной;
3) высокой.
2. УПУ классифицируют по устойчивости к разрушающим воздействиям.
Устойчивость УПУ устанавливают по:
1) устойчивости к взлому;
2) пулестойкости (только для УПУ со сплошным перекрытием проема);
3) устойчивости к взрыву.
Нормальная устойчивость УПУ обеспечивается механической прочностью конструкции без оценки по показателям устойчивости к разрушающим воздействиям.
Для УПУ повышенной и высокой устойчивости со сплошным перекрытием проема (сплошные двери, ворота) и блокированием объекта в проеме (шлюзы, кабины проходные) устанавливается классификация по устойчивости к взлому, взрыву и пулестойкости как для защитных дверей по ГОСТ Р 51072.
3. Классификация устройств исполнительных (замки, защелки) по устойчивости к разрушающим воздействиям в зависимости от конструкции - по ГОСТ Р 52582, ГОСТ Р 51053, ГОСТ 19091, ГОСТ 5089.
4. По устойчивости к неразрушающим воздействиям средства КУД в зависимости от их функционального назначения классифицируют по следующим показателям:
· устойчивости к вскрытию - для УПУ и исполнительных устройств (замков и запорных механизмов);
· устойчивости к манипулированию;
· устойчивости к наблюдению для считывателей ввода запоминаемого кода (клавиатуры, кодовые переключатели и т.п.);
· устойчивость к копированию (для идентификаторов);
· устойчивости защиты средств вычислительной техники (СВТ) средств управления СКУД от несанкционированного доступа к информации.
Классификацию по устойчивости к неразрушающим воздействиям: вскрытию, манипулированию, наблюдению, копированию устанавливают в стандартах и нормативных документах на средства КУД конкретного типа.
5. Классификацию СКУД к НСД определяют как для систем с централизованным управлением по защищенности от несанкционированного доступа к информации ПО СКУД и средств вычислительной техники (СВТ), входящих в состав сетевых СКУД.
Классификацию систем КУД по защищенности от НСД к информации устанавливают как для автоматизированных систем в соответствии с РД «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требований по защите информации. Государственная техническая комиссия при президенте Российской Федерации (Гостехкомиссия России). Утвержден решением председателя Государственной технической комиссии при президенте Российской Федерации от 30 марта 1992 г., М.: 1992, с учетом классификации средств СВТ, входящих в состав сетевых СКУД по устойчивости от НСД к информации в соответствии с РД «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации». Государственная техническая комиссия при президенте Российской Федерации (Гостехкомиссия России). Утвержден решением председателя Государственной технической комиссии при президенте Российской Федерации от 30 марта 1S92 г., М.: 1992
Интегрированная система безопасности «FortNet» предназначена для решения задач по обеспечению комплексной безопасности объекта, в частности: ограничению доступа, организации охраны объекта, управления различными техническими и вспомогательными системами.
Структура организации системы.Структуру построения интегрированной системы условно можно разбить на три уровня:
· аппаратный уровень;
· транспортный уровень;
· программный уровень.
Графически структура построения системы для случая, когда в качестве транспорта используется Ethernet будет выглядеть следующим образом (рис.1):
Рис.1. Структуру построения интегрированной системы безопасности
Аппаратный уровень представляет собой совокупность всех аппаратных устройств системы, выполняющих задачи: по управлению различными исполнительными устройствами и механизмами; устройств обеспечения стыка с данными устройствами, а также совокупность управляющих центров (узлов), обеспечивающих синхронизацию и обобщенное управление всеми этими устройствами.
Децентрализация управления. Аппаратный уровень системы можно представить как отдельные ячейки или соты. Условное графическое изображение уровня представлено на рис.2.
Рис.2. Структуру аппаратного уровня системы безопасности «FortNet»
Транспортный уровень представляет собой совокупность каналов сбора информации от управляющих контролеров и локальных устройств, подключенных к нему.
Физический уровеньмежду управляющими контролерами Ethernet. Обеспечивает взаимодействие между управляющими контролерами и локальными устройствами – канал RS-485.
Программный уровень представляет собой управляющий компьютер с установленным программным обеспечением «FortNet», обеспечивающий ввод\вывод необходимых данных в систему; соединения между компьютерами, объединенными в единую сеть; и сами компьютеры выполняющие роль удаленных рабочих мест.
Состав системы. Интегрированная система безопасности «FortNet» включает в себя следующие основные части:
1. Программное обеспечение верхнего уровня «FortNet».
2. Управляющие контролеры типа:
- ABC-E
- VNC
- VNC-E (в нашем случае).
- ANC-E
3. Модули удаленного управления точкой прохода - ARCP.
4. Модуль подключения клавиатуры - RKB10.
5. Модуль охранных шлейфов - RAM-8.
6. Модуль релейных выходов - RRM-8.
Примечание. В состав системы могут входить дополнительные модули, выходящие за рамки данного списка.
Общие возможности системы. Интегрированная система FortNet, построенная на технологии Ethernet с использованием интегрированных контроллеров VNC/VNC-E, и контроллеров ABC-E и ANC-E, позволяет строить интегрированные системы охраны/контроля доступа любой сложности и территориальной распределенности. Возможности контроллеров показаны в табл.1.
Таблица 1
Технические характеристики интегрированных контроллеров, применяемых в интегрированной системе FortNet
Тип контроллера | ABC-E 1.3Е | ABC-E 12.3Е | VNC-E v. 1.8 | VNC v. 1.7 | ANC-E |
Способ связи с сервером | Ethernet | Ethernet | Ethernet | CAN | Ethernet |
Количество подключаемых контроллеров | Не ограничено | Не ограничено | Не ограничено | Не ограничено | |
Считывателей | |||||
Охранных шлейфов | - | - | |||
Релейных выходов | - | - | |||
Динамическое распределение памяти | + | + | + | - | + |
Количество карточек, максимально | |||||
Буфер событий, минимально | - | ||||
Количество карточек, минимально | - | ||||
Буфер событий, максимально | |||||
Поддержка считывателей совмещенных с клавиатурой (карточка + PIN код) | - | + | + | + | + |
Управление тамбур–шлюзами (TRC) | - | + | + | + | + |
Управление лифтами (LRC) | - | + | + | + | + |
Уровней доступа | |||||
Временные зоны (разграничение доступа по времени) | - | ||||
Зоны доступа | + | + | + | + | + |
Пожарная разблокировка | + | + | + | + | + |
Ограничение срока действия карточки | - | + | + | + | + |
Автоматический переход на зимнее/летнее время | - | + | + | + | + |
Поддержка списка хозяев помещения (доступ при наличии/отсутствии хозяина) | - | ||||
Интеграция с видео«Интеллект» ITV | + | + | + | + | + |
Элементы разграничения доступа.Элементами разграничения доступа называется совокупность технических и организационных мероприятий, позволяющих разграничить доступ на определенные территории, как физических лиц, так и технических средств.
Одним из элементов системы разграничения доступа является точка прохода. Согласно выше приведенного определения можно сказать, что точкой проходаявляется место, оснащенное элементами идентификации физического лица (технического средства) и оборудованное механизмом ограничения свободного прохода через него.
Элементами идентификации являются любые технические средства, обеспечивающие достаточно достоверное распознавание физических лиц по определенным идентификационным критериям. В качестве идентификационных критериев могут применяться самые разнообразные методы, например, биометрические или с помощью дополнительных технических средств - идентификаторов.
Биометрические системы производят распознание по каким-либо физическим параметрам человека, например, отпечаткам пальцев, руки, визуально по изображению, по голосу и т.д.
Биометрические системы не требуют дополнительных внешних носителей информации. Процесс идентификации личности биометрическими системами может быть достаточно продолжительным по времени и занимать до нескольких минут.
Внешний идентификатор представляет собой носитель информации, который содержит некую уникальную информацию, подтверждающую персону человека. Это может быть карта с магнитной полосой, со штрих кодом, бесконтактная радиочастотная карта, чип-карта и т.д.
Устройство считывания производит съем информации с носителя и сверяет с информацией, хранящейся в своей памяти. Внешний идентификатор позволяет достаточно быстро, как правило, не больше нескольких секунд, подтверждать персону человека. Основным его недостатком является необходимость иметь его при себе.
Под механизмом ограничения свободного прохода предполагается любое техническое средство, исключающее или затрудняющее свободный проход без разрешения. Например, дверь с электрозамком, турникет, калитка, тамбур-шлюз и т.д. В частном случае точка прохода может не иметь механических препятствий, а быть оборудована только системами контроля прохода, например, оптическим лучом. Разрешение на проход выдается системой контроля доступа после идентификации человека и подтверждения его права доступа на данную территорию.
Организация точки прохода в системе «FortNet».Организация одностороннейточки прохода.
Вариант организации односторонней точки прохода изображен на рис.3. В целях упрощения на функциональной схеме не отражены элементы питания электрозамка и модуля ARCP.
Рис.3. Схема организация односторонней точки прохода
На данном рисунке отображены следующие элементы:
· устройство идентификации – проксимити-считыватель;
· механизм ограничения свободного прохода - дверь;
· исполнительное устройство – электрозамок;
· устройство разблокировки исполнительного устройства - кнопка;
· датчик состояния двери – дверной контакт;
· модуль управления точкой прохода – контроллер RCP.
Рассмотрим вариант прохождения через точку прохода. В качестве варианта взята точка прохода на базе одностворчатой двери, оборудованной механизмом запора – электромеханическим замком.
Примечание: В качестве устройства идентификации здесь и далее будут рассматриваться бесконтактные проксимити-считыватели.
Нормальное состояние для точки прохода: механизм удержания двери заблокирован, дверь закрыта. Физическое лицо, оснащенное бесконтактным идентификатором – проксимити-картой, находится вне помещения. Задача: необходимо попасть внутрь помещения.
Для решения данной задачи необходимо кратковременно поднести проксимити-карту к устройству идентификации - считывателю. Считыватель произведет «съем» кода с проксимити-карты и транспортирует данный код в устройство обработки – модуль ARCP.
Модуль произведет анализ полученного кода и, если данное физическое лицо обладает правом доступа на данную территорию, выдаст команду разблокировки на механизм удержания двери – электромеханический замок.
Считыватель произведет индикацию разрешения доступа в данное помещение. Если права доступа нет, то производится индикация об отказе в доступе.
Если факт прохода состоялся (была открыта дверь), то датчик состояния двери сформирует сигнал, который поступит в модуль ARCP. Система «считает», что человек прошел.
Для выхода из помещения достаточно кратковременно нажать на кнопку открытия двери. Модуль ARCP произведет при этом разблокировку замка.
При данном методе построения контролируется только вход в помещение. Выход из помещения производится без контроля. Для разблокировки механизма удержания двери используется кнопка. Недостатком данного метода является:
· отсутствие возможности проконтролировать нахождение физических лиц в помещении;
· производить учет рабочего времени по временным критериям.
Организация двустороннейточки прохода. Вариант организации двусторонней точки прохода изображен на рис.4. В целях упрощения на функциональной схеме не отражены элементы питания электрозамка и модуля ARCP.
Рис.4. Схема организация двусторонней точки прохода
На данном рисунке отображены следующие элементы:
· устройство идентификации – проксимити-считыватели;
· механизм ограничения свободного прохода - дверь;
· исполнительное устройство – электрозамок;
· датчик состояния двери – дверной контакт;
· модуль управления точкой прохода – контроллер ARCP.
Процесс взаимодействия элементов разграничения доступа аналогичен описанному выше.
Для точки прохода оборудованной элементами считывания с двух сторон, выход из помещения производится аналогично входу.
При данном методе построения точки прохода контролируется вход и выход в помещение.
Данная схема построения позволяет полноценно решать задачи:
· поиска сотрудников на территории предприятия;
· контроля персонала в помещении;
· учета рабочего времени.
Данная схема не исключает возможности подключения кнопки открытия двери.
Повышение достоверности факта прохода.В процессе пересечения точки прохода могут возникать нештатные ситуации, вызванные так называемым «человеческим фактором». Наиболее распространенной проблемой является ситуация, когда пользователь приложил идентификатор к считывателю, получил разрешение на проход, приоткрыл дверь, но по каким-то причинам передумал и не пошел далее. Система считает, что был факт пересечения точки прохода, так как датчик открытия двери выдал соответствующий сигнал.
Если на данную точку прохода дополнительно распространяется функция «контроль повторного прохода», то данный пользователь не сможет произвести повторное открытие двери. Данная ситуация может повлечь за собой некорректный учет рабочего времени пользователей.
Примечание: Интегрированная система «FortNet» позволяет организовать построение односторонних и двусторонних точек прохода с повышенной достоверностью факта пересечения.
Для повышения достоверности могут применяться оптические датчики типа ИК-барьер.
Статус пользователя. Под статусом пользователя понимается состояние идентификатора, хранящегося в энергонезависимой памяти управляющего контролера. Статус пользователя имеет два состояния:
· активен;
· неактивен.
Под состоянием «активен» предполагается, что данный идентификатор (проксимити - карточка) находится в памяти контроллера и позволяет пользователю иметь право доступа в определенные точки прохода.
Под состоянием «неактивен» предполагается, что данный идентификатор (проксимити - карточка) находится в памяти контроллера, но не позволяет пользователю иметь право доступа ни в какие точки прохода.
Примечание: Интегрированная система «FortNet» позволяет реализовать изменение статуса пользователя без прекращения работоспособности системы разграничения доступа.
Данная функция применяется на объектах, где помимо постоянных пользователей активно присутствуют временные пользователи системы. Изменение статуса карточки позволяет быстро ее активизировать при выдаче посетителю и делать её неактивной по истечению времени пребывания на данном объекте.
Список событий. Список событий – параметр, определяющий максимальное количество событий, хранящихся в памяти одного управляющего контроллера. Интегрированная система «FortNet» поддерживает (для одного сегмента) – от 2304 до 32256 записей.
Событием в системе является любое изменение, вызванное как внешним воздействием на систему, так и внутренним – по встроенным временным часам.
Например, событием, вызванным внешним воздействием является: факт прохода через любую точку прохода, нарушение охранной зоны, попытка несанкционированного прохода, и т.д.
Внутренним событием является факт автоматической постановки под охрану группы в определенное время. Например, в 20.00 по команде внутренних часов и т.д.
Примечание: Интегрированная система «FortNet» обеспечивает хранение списка событий в своей энергонезависимой памяти. Сбой системы электропитания или персонального компьютера не приведет к потере списка событий.
Уровень доступа. Под уровнем доступа понимается список пользователей, которым разрешено проходить через данную точку прохода. В данный список вносятся все точки прохода, через которые данному пользователю разрешен проход. Как правило, в данном списке дополнительно присутствуют данные о временных зонах.
Интегрированная система «FortNet» поддерживает 256 уровня доступа. Это означает, что можно сформировать 256 списков, в каждом из которых, ограничить возможность в доступе конкретных физических лиц по определенным точкам прохода.
Пример:Система доступа имеет четыре точки прохода. Количество физических лиц – 10.
Необходимо организовать три уровня доступа, как это показано в табл. 2,3,4.
Таблица 2
Уровень доступа №1
Физическое лицо | Точки прохода |
Иванов | № 2,3 |
Сидоров | |
Петров | |
Дубинин |
Таблица 3
Уровень доступа №2
Физическое лицо | Точки прохода |
Заболотный | № 1,3 |
Заморин | |
Травкин | |
Волкова |
Таблица 4
Уровень доступа №3
Физическое лицо | Точки прохода |
Зябликов | № 4 |
Заболотный |
Временная зона. Под временной зоной понимается график интервалов времени, в течение которых данному пользователю в данной точке прохода, разрешен доступ.
Например, временной зоной для физического лица – Иванова, будет являться следующий график:
· разрешение входа с 8.45 до 9.15;
· разрешение входа\выхода с 12.45 до 13.45;
· разрешение выхода с 18.00 до 18.30;
· запрет входа\выхода с 18.30 до 8.45.
Примечание: В системе указывается только интервалы времени, в течение которых, доступ разрешен, соответственно в остальное время доступ будет запрещен.
Интегрированная система «FortNet» допускает сформировать в пределах одних суток четыре временных интервала с разрешенным доступом, что позволяет гибко формировать рабочий график для разных групп пользователей.
Временная зона позволяет указать интервалы доступа не только в течение одних суток, но и сделать распределение по:
· рабочим дням;
· выходным дням;
· любой выбранной дате.
Периодичность временной зоны.Понятие временной зоны предполагает взаимосвязь с параметром периодичности или кратности временной зоны.
Под периодичностью временной зоны понимается максимальная продолжительность временной зоны с какими-либо параметрами, выраженная в количестве дней недели, после которого происходит повторение параметров по данной временной зоне.
Пример 1. Необходимо сформировать временную зону с 7 дневной кратностью для некоторого списка сотрудников. Точка прохода - «Проходная».
Для списка сотрудников сформирована временная зона, по которой они в течение 5-ти рабочих дней могут проходить через «проходную» организации, а в субботу и воскресенье доступ им запрещен. На следующей рабочей неделе данный список повторяется. Следовательно, периодичность временной зоны составляет 7 дней.
Примечание: Интегрированная система «FortNet» поддерживает произвольную периодичность временных зон, что позволяет гибко формировать уровни доступа сотрудников на предприятиях, использующих посменный график работы.
Таблица 5
Параметры для периодичности временной зоны
Дни недели | |||||||
Функция | Понедельник | Вторник | Среда | Четверг | Пятница | Суббота | Воскресенье |
Разрешить доступ | 8.45-18.30 | 8.45-18.30 | 8.45-18.30 | 8.45-18.30 | 8.45-18.30 | Х | Х |
Пример 2. Необходимо сформировать временную зону с 3-х дневной периодичностью для некоторого списка сотрудников. Точка прохода - «Проходная».
Таблица 6
Параметры для периодичности временной зоны
Для списка сотрудников сформирована временная зона, по которой они в течение 2-х дней могут проходить через «проходную» организации, а на третий - имеют доступ только в ограниченное время. Через каждые три дня данный список повторяется. Следовательно, периодичность временной зоны составляет 3 дня.
Контроль повторного прохода – «AntiPass Back».Функция «AntiPass Back» (контроль повторного прохода) – определяет возможность прохода дважды по одному и тому же идентификатору через одну и ту же точку прохода.
Если данная функция на конкретной точке прохода включена, то пользователь, пройдя через эту точку внутрь помещения и передав кому–либо свой пропуск-идентификатор, не сможет добиться повторного разрешения для входа через данную точку прохода. Система выдаст предупредительное сообщение оператору системы: «Доступ запрещен. Контроль повторного входа».
Если помещение имеет несколько точек прохода, то есть в одно помещение можно войти\выйти через несколько дверей, то эти точки прохода определяются в так называемую «зону доступа».
Если пользователь покинул территорию данной зоны, не отметившись, система, при его попытке вновь попасть внутрь, выдаст предупредительное сообщение оператору и заблокирует проход.
Функция «Хозяин помещения».Функция «Хозяин помещения» позволяет реализовать режим доступа в помещение в зависимости от присутствия/отсутствия в нем лиц, для которых прописаны права «Хозяина помещения».
Этот механизм удобен для организации доступа сотрудников/посетителей в помещения, присутствие в которых имеет смысл только при наличии на месте сотрудников, работающих в нем.
Например:
· доступ сотрудников предприятия в бухгалтерию только если кто-то из бухгалтеров находится на рабочем месте;
· доступ сотрудников предприятия на склад только при наличии кладовщика на складе.
Также в рамках этой функции может быть реализован запрет доступа в помещение в присутствии перечня лиц. Например, ограничение доступа в переговорную комнату, когда она уже занята.
Контроллеры VNC/VNC-E/ABC-E поддерживают списки до 8-ми хозяев помещения.
Контроллер ANC-E поддерживает до список до 32 хозяев помещения.