Как любой театр начинается с вешалки, так и любая система информационной безопасности начинается с обеспечения физической безопасности самой информационной системы, независимо от ее типа, размера и стоимости.
Несколько слов о сути, вместо вступления.
В сфере физической безопасности термин «контроль доступа» относится к практике ограничения доступа к собственности, зданиям или помещениям, доступ к которым разрешен только уполномоченным лицам.
Контроль физического доступа может быть достигнут с помощью человека (охранника, вышибалы или администратора), с помощью механических средств, таких как замки и ключи на двери, или с помощью технологических средств, таких как системы доступа на основе карт или биометрическая идентификация.
Очевидно, что для обеспечения безопасности вашей домашней информационной системы вам следует как минимум запирать двери перед выходом.
В противном случае у вас будет только два развлечения: восстановить утерянные данные и надеяться, что ваша ценная информация была зашифрована.
В большинстве компаний, использующих для работы информационные системы, при входе если не в рабочее помещение, то в здание находится специально обученный человек с надписью «охрана» или «служба охраны» на бейдже или на спине: ), который обычно требует предъявления пропуска у тех, кто работает в этом здании и записывает в журнал всех, кто не работает в этом здании/помещении, но по каким-то деловым причинам должен зайти внутрь.
По легенде, он делает это для того, чтобы в случае потери имущества быстро найти из посторонних людей того, кто мог это сделать.
Как правило, современные офисные помещения оборудованы камерами видеонаблюдения, поэтому в случае противоправных действий посетителей их можно легко выявить.
В идеале возле каждой двери в помещение должен сидеть специально обученный охранник, проверять пропуска и записывать в журнал, кто в какое время вошел и вышел (а еще лучше 2 на случай, если кому-то из охранников понадобится отойти на минутку).
).
Помимо охранника, двери в помещения должны быть заперты (хотя бы у тех же охранников :)).
Если с замками все более-менее понятно (в каждом доме есть входная дверь, запертая на замок, а то и несколько), то с охранниками, которые тщательно фиксируют в журнале каждое открытие двери, проблемы обычно даже не успевают возникнуть , потому что содержать такую толпу людей, не вовлеченных в непосредственный рабочий процесс компании, приносящий основную прибыль, слишком невыгодно.
С целью снижения затрат на персонал охраны и повышения уровня физической безопасности применяются системы контроля и управления доступом (в здания и помещения).
Сразу оговорюсь, что наличие охраны в лице человека все же необходимо, поэтому далее мы не будем касаться этого вопроса, так как он выходит за рамки темы.
Система контроля доступа определяет, кому разрешен вход или выход, где им разрешен вход или выход, где им разрешен вход или выход, и когда им разрешен вход или выход. В данном случае имеются в виду те, у кого есть пропуск (т.е.
право доступа), те, у кого пропуска нет, вопросы куда, куда и когда входить/выходить волновать не должны.
Электронный контроль доступа использует возможности компьютеров для решения проблем, связанных с ограничениями, налагаемыми механическими замками и ключами (и в описанной выше степени охранниками).
Электронная система определяет, возможен ли доступ к охраняемой территории на основании предоставленного разрешения.
Если доступ получен, дверь открывается на определенный период времени и это действие будет зафиксировано в системе.
Если в доступе отказано, дверь останется закрытой, а попытка доступа также будет зафиксирована.
Система также будет следить за дверью и подавать сигнал тревоги, если дверь открывается грубой силой или остается открытой слишком долго (в случае, если кто-то намеренно оставил дверь открытой, чтобы посторонний мог проникнуть внутрь).
Точками контроля доступа могут быть двери, турникеты, ворота, шлагбаумы, парковочные места, лифты или другие физические барьеры, доступ к которым можно контролировать электронным способом.
Обычно точкой контроля доступа является дверь, а доступ контролируется магнитным замком и устройством считывания карт. 
Основным пользовательским интерфейсом системы контроля доступа является устройство считывания смарт-карт. Считыватель зависит от технологии смарт-карт. Считыватели магнитной полосы, штрих-кода или карт Weigand обычно называются контактными считывателями и чаще всего используются в магазинах и банкоматах.
Некоторые считыватели контактов требуют, чтобы карта была проведена на определенное расстояние, чтобы данные были правильно считаны.
Считыватели бесконтактных или бесконтактных смарт-карт на самом деле представляют собой радиопередатчик.
Поле трансляции считывателя активирует карту, которая затем начинает радиопередачу со считывателем.
Смарт-карты с позолоченными контактами, видимыми на лицевой стороне карты, известны как контактные смарт-карты и требуют, чтобы такие же позолоченные контакты на считывателе физически касались контактов карты для завершения передачи данных.
Биометрические считыватели уникальны в своем технологическом использовании, но всегда требуют от пользователя поднести к нему часть своего тела, будь то прикосновение к считывателю для представления отпечатков пальцев или геометрии руки или необходимость смотреть в камеру для распознавания лица, радужной оболочки и сетчатки.
сканирование или произнесение какой-либо фразы в микрофон для распознавания голоса.
Проще говоря, тот, кто имеет права доступа в помещение (пропуск), предъявляет пропуск в систему (подносит к бесконтактному считывателю) и либо дверь открывается, либо не открывается, но в любом случае такое событие автоматически фиксируется в система.
Нетривиальный случай реализации.
Конечно, затевать бурную деятельность по установке системы контроля доступа в помещении площадью 15 кв.
м, в котором сидят 3 человека, особого смысла не имеет. Но для достаточно крупной компании, имеющей несколько зданий в разных городах, стоит задуматься о внедрении полноценной системы контроля доступа, чтобы повысить общий уровень безопасности, в том числе информационной.
Допустим, компания, «название которой для нас не слишком важно», имеет несколько региональных филиалов.
При этом регионы довольно хорошо удалены друг от друга.
Для связи с некоторыми регионами можно использовать только спутниковый канал связи с соответствующей пропускной способностью и другими преимуществами, связанными с задержкой распространения сигнала, как показано на рисунке.
Каждый филиал имеет несколько крупных зданий в крупных городах.
Линии связи между зданиями достаточно качественные, поэтому на следующем рисунке они не показаны.
На рисунке также показано количество устройств чтения смарт-карт. Дело в том, что контроллеры системы контроля доступа устанавливаются исходя из количества бесконтактных считывателей (т.е.
фактически мощность контроллера и его цена зависят от количества картридеров).
Для здания с минимальной конфигурацией обеспечения физической защиты с использованием систем контроля доступа необходимо установить считыватели у парадных и запасных входов, склада, серверной, кабинета директора, кабинета информационной безопасности (по одному с каждой стороны двери, т.е.
2 считывателя на дверь).
Всего на здание необходимо установить в среднем 12 считывателей, потому что.
будут вариации с теми помещениями, которые желательно ограничить внутри самого здания (это может быть чистое помещение, лаборатория, комната для секретных переговоров, электроподстанция, гараж и т. д.).
Кроме того, необходимо учитывать тот факт, что каждое здание оборудовано системами охранной и пожарной сигнализации (согласно требованиям соответствующих органов) и системой видеонаблюдения, которая должна быть правильно увязана с системой контроля доступа для простота управления.
Для такой большой системы хотелось бы сформулировать требования.
Никаких подробностей типа «система должна поддерживать бесконтактные считыватели и смарт-карты и регистрировать в журнале события входа и выхода из помещения» здесь мы не будем, потому что они очевидны.
Остановимся на основных моментах и преимуществах, которые мы хотели бы получить в результате использования такой системы: • Контроль доступа • Учет времени • Улучшение качества безопасности • Контроль автономных объектов, где отсутствует постоянно присутствующий охранный и обслуживающий персонал (АТС и энергоцентры) • Снижение вероятности причинения материального ущерба в результате кражи.
• Документирование и возможность ретроспективы всех событий, связанных с входом/выходом в помещение • Интеграция с существующей ИТ-инфраструктурой • Интеграция с уже установленными системами безопасности, пожарной сигнализации и видеонаблюдения.
• Устранение несанкционированного доступа к рабочим станциям (АРМ).
• Дифференцированный контроль для разных групп сотрудников • Возможность неограниченного масштабирования системы контроля и управления доступом на межрегиональный уровень.
Давайте обсудим, чего следует избегать на начальном этапе выбора платформы системы контроля доступа: • Использование непромышленных баз данных (в этом случае возникнет проблема со специалистами, способными работать с этой базой данных, а также проблема переноса данных в/из базы/базы данных, не говоря уже о своевременной установке обновления и устранение критических уязвимостей таких систем, а с недавних пор и требований закона «о персональных данных») • Отсутствие интеграции с Active Directory, в которой уже есть записи обо всех сотрудниках компании (придется дублировать информацию в базе данных контроля доступа, возникнут трудности с обеспечением согласованности данных в разных ИТ-системах) • Невозможность масштабирования на все филиалы компании (если система изначально не поддерживает возможность такого масштабирования, то в случае возникновения данной проблемы ее решение будет невозможно без полной смены ключевого оборудования АСУ) • Отсутствие единой точки управления системой (отсутствие одного человека, ответственного за систему, а также невозможно будет сказать, что происходит с доступом к объектам, если система не управляется централизованно) Дополнительные требования, связанные с масштабированием системы: • Система должна иметь открытую архитектуру для простоты интеграции в нее других компонентов.
• Обеспечить простоту масштабирования системы на межрегиональный уровень.
• Обеспечивать поддержку удаленных автономных объектов по тонким каналам TCP/IP (56 кбит/с).
• Используйте промышленные СУБД (Oracle или MS SQL) • Иметь интеграцию с Active Directory. • Обеспечение возможности использования карт не только для доступа в помещения, но и для двухэтапной авторизации пользователей.
Более или менее всем вышеперечисленным требованиям система OnGuard соответствует. Enterprice от Lenel Systems, показан на картинке ниже.
Более качественную картинку и полезную информацию можно найти в брошюра по этой системе .
Что примечательно в этой системе (не воспринимайте это как рекламу, мне просто пришлось просмотреть в свое время около пятидесяти различных систем контроля доступа, как отечественных, так и зарубежных): Функциональные особенности и возможности: • Открытая архитектура • Использование готовых стандартных программных продуктов • Централизованное управление комплексной системой безопасности • Сохранение независимости локальных систем • Централизованная база данных (любая реляционная база данных по выбору клиента) • Использование единого удостоверения личности • Масштабируемость до уровня крупных межрегиональных систем • Интерфейс для работы с базами данных HR-системы • Синхронизация данных между несколькими базами данных через LAN/WAN. • Одновременный мониторинг событий и тревог в нескольких регионах с одной рабочей станции.
• Сегментированная архитектура базы данных.
Системы, для которых доступны встроенные интерфейсы: • Система производства пропусков • Цифровые системы видеонаблюдения • Охранная сигнализация • Управление посетителями • Защита данных • Управление недвижимостью • Ээлектронная почта • Управление персоналом • Учет времени «элементы комплексной системы безопасности, поддержка которых не ограничена количественно: • Региональные серверы • Карты доступа • Часовые пояса • Станции мониторинга • Уровни доступа • Релейные выходы + Интеграция с Active Directory и другими ИТ-системами посредством фирменного программного обеспечения OpenIT. Самый последний пункт является самым важным, потому что.
Большинство этих систем не имеют интеграции с Active Directory, а зря, ведь для крупных компаний это большой плюс.
Многие системы хорошо интегрируют системы видеонаблюдения и сигнализации; OnGuard также можно комбинировать с системами охранной и пожарной сигнализации и системой видеонаблюдения.
Попробуем сравнить две системы.
Сравним систему от Lenel Systems с самой популярной отечественной системой контроля доступа Perco по нескольким критериям.
Мы сравним самые продвинутые версии обоих производителей: 
Что мы можем сказать по результатам сравнения? Разработчикам Perco необходимо поработать над системой.
Тем, кто захочет использовать систему контроля доступа от Perco, чтобы закрыть более одной двери или турникета на реальном предприятии с численностью более 300 сотрудников, будет предоставлена возможность ощутить некоторые прелести закрытых фирменных систем и качество технической поддержки отечественных производителей программного обеспечения.
Давайте сосредоточимся на отрицательных отзывах здесь.
Давайте теперь рассмотрим преимущества использования промышленной системы СУБД (Oracle или MS SQL) и интеграции с Active Directory. Во-первых, такую систему можно легко интегрировать с существующими HR-системами.
Во-вторых, с помощью слегка модифицированной карты доступа можно организовать двухфакторную аутентификацию пользователей на рабочей станции, заставив таким образом пользователя блокировать рабочую станцию перед выходом из помещения даже на несколько минут. В-третьих, поскольку система будет взаимодействовать с Active Directory, теми же картами можно будет, скажем, оплатить обед в столовой, а не класть сдачу в карманы.
Можно, конечно, использовать для такого случая обычные банковские карты, но гораздо интереснее совместить ее с бухгалтерской программой и платить за зарплату (тем более, что компания таким образом может немного снизить налоговые отчисления).
Экскреция.
В общем, если вы решили установить систему контроля доступа, то помните, что простой учет рабочего времени может обеспечить бабушка-сторож, которая будет тщательно фиксировать время прихода и ухода человека.
А создать удобную в использовании и администрировании систему, обеспечивающую автоматический контроль доступа каждого сотрудника по индивидуальной схеме, сопряженную с системами охранной сигнализации и видеонаблюдения, которую в дальнейшем можно без замены оборудования расширить на несколько зданий, лучше найти что-то с открытой архитектурой, промышленной СУБД и интеграцией с Active Directory. И самое главное, не давайте HR-отделу слишком много полномочий для работы с этой системой, иначе они превратят ее в инструмент шантажа сотрудников за опоздания и отсутствие на работе.
Теги: #безопасность #информационная безопасность
-
Распознавание Цифр На Микроконтроллере
19 Oct, 24 -
Линус Обсуждает Ядро Linux 2.8 Или 3.0
19 Oct, 24
