1.Обзор систем контроля и управления доступом
1.1 Назначение, классификация и состав СКУД
Система контроля и управления доступом (СКУД,СКД) должна обеспечивать допуск конкретных автомобилей на территорию парковки, не допуская остальных. В общем случае под СКУД обычно понимают совокупность программно-технических и организационно-методических средств, с помощью которых решается задача контроля и управления территорией объекта и отдельными помещениями, а также оперативный контроль за передвижением персонала и времени его нахождения на территории объекта.
Рассмотрим более подробно, что же представляет собой современная система контроля и управления доступом (СКУД). Будем понимать под СКУД объединенные в комплексы электронные, механические, электротехнические, аппаратно-программные и иные средства, обеспечивающие возможность доступа определенных лиц в определенные зоны (территория, здание, помещение) или к определенной аппаратуре, техническим средствам и предметам (персональный компьютер (ПК), автомобиль, сейф и т. д.) и ограничивающие доступ лицам, не имеющим такого права. Такие системы могут осуществлять контроль перемещения людей и транспорта по территории охраняемого объекта, обеспечивать безопасность персонала и посетителей, а также сохранность материальных и информационных ресурсов предприятия. Системы контроля и управления доступом используются на промышленных предприятиях, в офисах, магазинах, на автостоянках и автосервисах, в жилых помещениях.
Интерес к системам контроля и управления доступом растет еще и потому, что наличие такой системы важно для эффективной работы предприятия. Контроль не только существенно повышает уровень безопасности, но и позволяет оперативно реагировать на поведение персонала и посетителей. Также важной задачей для многих предприятий является необходимость контролировать график и вести учет рабочего времени. Особое внимание уделяется системам, позволяющим выстраивать необходимые конфигурации из стандартных блоков, учитывая все особенности предприятия. [1, с.13]
Существующий ГОСТ Р 51241-2008 «Средства и системы контроля и управления доступом» (прил. 1), который устанавливает классификацию, общие технические требования и методы испытаний, подразделяет СКУД:
по способу управления;
числу контролируемых точек доступа;
функциональным характеристикам;
уровню защищенности системы от несанкционированного доступа;
СКУД 1-го класса - малофункциональные системы малой емкости, работающие в автономном режиме и осуществляющие допуск всех лиц, имеющих соответствующий идентификатор. В такой системе используется ручное или автоматическое управление исполнительными устройствами, а также световая или звуковая сигнализация.
Рис 1.1 – Типовая схема СКУД 1-го класса (помещение с одной дверью)
СКУД 2-го класса - мнофункциональные системы. Они могут быть одноуровневыми и многоуровневыми и обеспечивают работу как в автономном, так и в сетевом режимах. Допуск лиц (групп лиц) может осуществляться по дате, временным интервалам. Система способна обеспечить автоматическую регистрацию событий и автоматическое управление исполнительными устройства.
Рис 1.2 – Типовая схема СКУД 2-го класса
СКУД 3-го класса, как правило, являются сетевыми. В них используются более сложные идентификаторы и различные уровни сетевого взаимодействия (клиент-сервер, интерфейсы считывателей карт Виганда или магнитных карт, специализированные интерфейсы и др.). [1, с.14-15 ]
Рис 1.3 – Типовая схема СКУД 3-го класса (помещение с одной дверью)
Способы управления СКУД:
автомномные – для управления одним или несколькими УПУ, без передачи информации на центральное устройство управления и без контроля со стороны оператора;
централизованные (сетевые) – для управления УПУ с обменом информацией с центральным пультом и контролем системой со стороны центрального устройства управления;
универсальные (сетевые) – включающие функции как автономных, так и сетевых систем, работающие в сетевом режиме управлением центрального устройства управления и переходящие в автономный режим при возникновении отказов в сетевом оборудовании, центральном устройстве или обрыве связи.
Требования к функциональным характеристикам СКУД
Автономные СКУД должны обеспечивать:
выдачу сигнала на открывание УПУ при считывании зарегистрированного в памяти системы идентификационного признака;
запрет открывания УПУ при считывании незарегистрированного в памяти системы идентификационного признака;
запись идентификационных признаков в память системы;
защиту от несанкционированного доступа при записи кодов идентификационных признаков в памяти системы;
сохранение идентификационных признаков в памяти системы при отказе и отключении электропитания;
ручное, полуавтоматическое или автоматическое открывание УПУ для прохода при аварийных
ситуациях, пожаре, технических неисправностях в соответствии с правилами установленного режима и
правилами противопожарной безопасности;
автоматическое формирование сигнала закрытия на УПУ при отсутствии факта прохода;
выдачу сигнала тревоги при аварийном открывании УПУ для несанкционированного проникновения.
Дополнительные характеристики автономных систем в зависимости от класса по функциональным характеристикам приведены в таблице 1.1.
Таблица 1.1 – Функциональные характеристики автономных систем
Функциональная характеристика автономных систем
|
Класс
|
1
|
2
|
3
|
1.Установка уровней доступа
|
-
|
-
|
+
|
2. Установка временных интервалов доступа
|
-
|
+
|
+
|
3. Возможность регулирования времени открывания УИ
|
-
|
+
|
+
|
4. Возможность идентификации по двум признакам
|
-
|
-
|
+
|
5. Защита от повторного использования идентификатора для прохода в одном направлении
|
-
|
-
|
+
|
6. Ввод специального идентификационного признака для открывания под принуждением
|
-
|
-
|
+
|
7. Подключение считывателей различных типов
|
-
|
+
|
+
|
8. Доступ по «правилу двух (и более) лиц»
|
-
|
-
|
+
|
9. Световая индикация о состоянии доступа
|
+
|
+
|
+
|
10. Контроль состояния УПУ
|
-
|
+
|
+
|
11. Световое и/или звуковое оповещение о попытках НСД
|
-
|
-
|
+
|
12. Регистрация и хранение информации о событиях в энергонезависимой
памяти
|
-
|
+
|
+
|
13. Число событий. хранимых в энергонезависимой памяти, не менее
|
-
|
64
|
256
|
Продолжение таблицы 1.1
14. Ведение даты и времени возникновения событий
|
-
|
+
|
+
|
15. Возможность подключения устройства для вывода информации o событиях
|
-
|
+
|
+
|
16. Возможность передачи информации о событиях на ПК
|
-
|
-
|
+
|
17. Возможность интегрирования с системой охранной сигнализации на
релейном уровне
|
-
|
+
|
+
|
18. Возможность интегрирования с системой охранного телевидения на
релейном уровне
|
-
|
-
|
+
|
Примечание - Знак «+» означает наличие функции и обязательность ее проверки при установлении класса, знак «_» - отсутствие функции.
|
СКУД с централизованным управлением и универсальные должны соответствовать общим функциональным требованиям для автономных систем и дополнительно обеспечивать:
работу в локальной сети контроллеров СКУД;
регистрацию и протоколирование тревожных и текущих событий;
приоритетное отображение на экране управляющего компьютера тревожных событий;
управление работой УПУ в точках доступа по командам оператора;
задание временных режимов действия идентификаторов в точках доступа и уровней доступа;
защиту технических и программных средств от несанкционированного доступа к элементам управления, к установке режимов и к информации;
автоматический контроль исправности средств, входящих в систему, и линий передачи информации;
возможность автономной работы контроллеров системы с сохранением контроллерами основных функций при отказе связи с пунктом централизованного управления;
установку режима свободного доступа с пункта управления при аварийных ситуациях и чрезвычайных происшествиях (пожар, землетрясение, взрыв и т.п.);
блокировку прохода по точкам доступа командой 0 пункта управления в случае нападения;
возможность подключения дополнительных средств специального контроля. средств досмотра.
Дополнительные характеристики систем с централизованным управлением в зависимости того класса по функциональным характеристикам приведены в таблице 1.2.
Таблица 1.2 – Функциональные характеристики систем с централизованным управлением и универсальных
Функциональные характеристики систем с централизованным управлением (сетевых) и универсальных
|
Класс
|
1
|
2
|
3
|
1.Число уровней доступа, не менее
|
16
|
64
|
256
|
2.Число временных интервалов доступа, не менее
|
16
|
64
|
256
|
3. Защита от повторного использования идентификатора для прохода в
одном направлении:
-локальная
-глобальная
|
-
-
|
+
-
|
+
+
|
4. Возможность двойной идентификации
|
-
|
+
|
+
|
5. Поддержка биометрической идентификации
|
-
|
-
|
+
|
6. Ввод специального идентификационного признака для открывания под
принуждением
|
-
|
+
|
+
|
7. Подключение считывателей различных типов
|
-
|
+
|
+
|
8. Доступ по «правилу двух (и более) лиц»
|
-
|
+
|
+
|
9. Число событий. сохраняемых в энергонезависимой памяти контроллеров
не менее
|
1000
|
5000
|
10000
|
10. Возможность интегрирования с системой охранной и пожарной сигнализации на релейном уровне
|
+
|
-
|
-
|
11. Возможность интегрирования с системой видеоконтроля на релейном
уровне
|
+
|
-
|
-
|
12. Возможность интегрирования с системами охранной и пожарной сигнализации и системами видеоконтроля на системном уровне
|
-
|
+
|
+
|
13. Возможность управления работой дополнительных устройств в точках доступа (освещение, вентиляция, лифты, технологическое оборудование и т.п.)
|
-
|
-
|
+
|
Продолжение таблицы 1.2
14. Обеспечение изображения на экране ПК плана объекта и (или) помещений объекта с указанием мест расположения средств контроля доступа. охранной и пожарной сигнализации. средств видеоконтроля и графическим отображением тревожных состояний в контрольных точках на плане
|
-
|
+
|
+
|
15. Интерактивное управление средствами по изображению плана объекта на
экране ПК
|
-
|
-
|
+
|
16. Ведение баз данных на пользователей
|
-
|
+
|
+
|
17. Поддержание фотографических данных пользователей в базе данных
|
-
|
-
|
+
|
18. Контроль за перемещением и поиск пользователей
|
-
|
-
|
+
|
Примечание - Знак «+» означает наличие функции и обязательность ее проверки при установлении класса, знак «_» - отсутствие функции.
|
Универсальные системы должны обеспечивать автономную работу при возникновении отказов в сетевом оборудовании, центральном устройстве или обрыве связи. а также восстановление режимов работы после устранения отказов и восстановлении связи. [6, с30-36]
СКУД должны иметь характеристики, значения которых должны быть установлены в стандартах и (или) ТУ на системы конкретного типа:
-
максимальное число точек доступа. зон доступа. пользователей, обслуживаемых системой;
максимальное число точек доступа. обслуживаемых одним контроллером;
максимальное число контроллеров в системе;
число считывателей на один контроллер системы;
число и вид временных интервалов доступа, уровней доступа;
-
число типов считывателей, используемых в системе;
время реакции системы на заявку на проход;
максимальная длина линии связи с контроллерами и допустимые параметры линии связи;
максимальное расстояние действия считывателя (для бесконтактных считывателей);
максимальное время хранения информации о событиях в памяти системы;
максимальная пропускная способность для системы в точках доступа;
Рис 1.4 – Общая схема СКУД
1.2 Идентификаторы и считыватели
Понятие идентификатора и идентификации является основным понятием для СКУД. Термин идентификация означает - опознавание, поиск по признаку. Идентификация может производиться по следующим основным принципам:
идентификация по запоминаемому коду - по коду, вводимому вручную с помощью клавиатуры, кодовых переключателей или других подобных устройств;
идентификация по вещественному коду - по коду, записанному на физическом носителе (идентификаторе) в качестве которого применяются различные ключи, карты, брелоки и т.д.;
биометрическая идентификация - идентификация, основанная на определении индивидуальных физических признаков человека.
Идентификация по запоминаемому коду
В качестве считывателей в этом случае используется цифровая или алфавитно-цифровая клавиатура, а также различные кодовые переключатели, панели или другие подобные устройства. Код вводится вручную, путем набора соответствующих символов или установки позиций переключателей. Название этого типа идентификации творит о том, что код или пароль должен быть запомнен пользователем. Положительной стороной этого является то, что нет материального носителя кода, и соответственно не требуется затрат на его использование. Однако запоминание кода или пароля человеком имеет определенные недостатки. Для надежности код или пароль должен иметь как можно большее количество знаков. Например, по стандарту на СКУД, пароль доступа к программе компьютере должен иметь не менее шести знаков. Коды доступа для некоторых сейфовых замков высокой секретности имеют 12 знаков. Запомнить такое количество цифр или знаков для большинства людей достаточно трудно. Это приводит к тому, что зачастую код записывают на бумаге и хранят ее рядом c компьютером или с сейфом. При этом секретность доступа практически теряется. Еще одна проблема связана с проходными на крупных предприятиях. При большом потоке людей через проходную, ошибки, связанные с неправильным набором кода, резко снижают пропускную способность и порождают множество конфликтов со службой охраны. Клавиатурные считыватели недостаточно защищены от манипуляций (подбор кода, наблюдение). Однако они имеют определенные достоинства, например разрядность кода, может быть выбрана произвольно, код может устанавливаться самим пользователем и произвольно им изменяться, и быть неизвестным оператору системы, также имеется возможность ввода дополнительных кодов, например, кода «тихой» тревоги при нападении, кодов управления.
Рис 1.3.1 - Идентификатор по запоминаемому код
Идентификация по вещественному коду
В настоящее время наибольшее распространение получили СКУД, использующие идентификацию по вещественному коду. Широкое распространение этот вид идентификации получил в связи с тем, что традиционно, для идентификации человека (удостоверения его личности) используется пропуск или другой документ - предмет на котором нанесена информация о человеке в виде его фотографии и соответствующих записей.
Собственно идентификация (опознавание) человека проводится также человеком (дежурным на проходной, охранником и т.д.) в основном по фотографии на документе. Здесь в полной мере свою отрицательную роль играет человеческий фактор. Состояние человека, усталость, потеря внимания, недостаточная бдительность и т.д. приводят к снижению надежности охраны.
В электронных автоматических системах в качестве идентификаторов используются пластиковые карты, брелоки, браслеты, механические или электронные ключи, и другие подобные устройства. В последние время пластиковые карты стали широко применяться в различных автоматизированных системах, в том числе и для контроля доступа. На пластиковые карты могут быть нанесены различные надписи, а также фотографии владельцев с помощью специальных принтеров или путем наклейки пленок При этом карта доступа может служить и в качестве традиционного обычного документа .
Технология кодирования пластиковых карт отличается большим разнообразием - от простых и дешевых карт со штриховым кодом до карт с электронной начинкой. Постоянно появляются новые типы пластиковых карт, использующие различные технологии, с целью повышения надежности, секретности кода и улучшения других характеристик.
Биометрическая идентификация
При Идентификации по индивидуальным биометрическим признакам определяется именно человек – носитель этих признаков, a не выданный ему документ - карта, кед, ключ и т.д. Это является основным отличием данных систем от любых других идентифицирующих устройств. Самые распростра-нённые признаки человека которые используются для биометрической идентификации:
отпечатки пальцев,
узор кровеносных сосудов сетчатки глаза,
геометрия кисти,
изображение лица,
динамика подписи,
голосовые характеристики.
Идентификатор пользователя - это устройство или признак, по которому определяется пользователь. Для идентификации применяются атрибутные и биометрические идентификаторы. В качестве атрибутных идентификаторов используют автономные носители признаков допуска: магнитные карточки, бесконтактные проксимити-карты, брелки «тач-мемори», различные радиобрелки, изображение радужной оболочки глаза, отпечаток пальца, от- печаток ладони, черты лица и многие другие физические признаки. Каждый идентификатор характеризуется определенным уникальным двоичным кодом. В СКУД каждому коду ставится в соответствие информация о правах и привилегиях владельца идентификатора. В настоящее время применяются:
бесконтактные радиочастотные проксимити-карты (proxmity) – наи-более перспективный в настоящее время тип карт. Бесконтактные карточки срабатывают на расстоянии и не требуют четкого позиционирования, что обеспечивает их устойчивую работу и удобство использования, высокую пропускную способность;
магнитные карты - наиболее широко распространенный вариант. Существуют карты с низкокоэрцитивной и высококоэрцитивной магнитной полосой и с записью на разные дорожки;
карты Виганда (Wiegand) - названные по имени ученого, открывшего магнитный сплав, обладающий прямоугольной петлей гистерезиса;
штрих-кодовые карты - на карту наносится штриховой код. Существует более сложный вариант - штрих-код закрывается материалом, прозрачным только в инфракрасном свете, считывание происходит в ИК-области;
ключ-брелок «тач-мемори» (touch-memory) - металлическая таблетка, внутри которой расположен чип ПЗУ.
Рис 1.3.2 – Пример биометрического идентификатора
Для идентификации личности современные электронные системы кон-троля доступа используют устройства нескольких типов в зависимости от применяемого вида идентификатора пользователя. В литературных источниках, посвященных описанию различных СКУД, часто можно встретить подмену понятия аутентификация, понятием верификация. Это связано, по-видимому, со следующим:
1) в науке существует понятие «верификация» (от лат. verus - истинный и facio - делаю), которое означает проверку, эмпирическое подтверждение теоретических положений науки путем сопоставления их с наблюдаемыми объектами, тактильными данными, экспериментом;
2) в программировании и информатике существует понятие «аутентификация пользователя», которое означает проверку соответствия пользователя терминала в сети ЭВМ предъявленному идентификатору (применяется для защиты от несанкционированного доступа и выбора соответствующего режима обслуживания);
3) в программировании существует также понятие «верификация», которое означает формальное доказательство правильности программы, а также контроль, проверку вводимых оператором данных.
Таким образом, существует некоторое пересечение в определениях, связанное с использованием слов «проверка» и «подтверждение». Отсюда перенос названных терминов в другую предметную область (СКУД), очевидно, носит достаточно условный характер. Они означают установление подлинности личности (объекта). Допуск осуществляется при непосредственном «физическом контакте» с пользователем в процессе идентификации и аутентификации его личности. Идентификация - это процедура опознания объекта (человека-пользователя) по предъявленному идентификатору, установление тождества объекта или личности по совокупности общих и частных признаков. В отличие от идентификации аутентификация подразумевает установление подлинности личности на основе сообщаемых проверяемым субъектом сведений о себе. Такие сведения называют идентификационными признаками.
Рис 1.3.3 – Пример устройства идентификации используемый в проекте
Устройства идентификации (считыватели) расшифровывают информацию, записанную на карточках или ключах других типов, и передают ее в контроллер чаще в виде цифровой последовательности. Считыватели карточек доступа могут быть контактные и бесконтактные. Возможны следующие способы ввода признаков:
ручной, осуществляемый путем нажатия клавиш, поворота переключателей и т. д.;
контактный - в результате непосредственного контакта между считывателем и идентификатором;
дистанционный (бесконтактный) при поднесении идентификатора к считывателю на определенное расстояние.
Для съема информации о биологических признаках человека используют специальные биометрические считыватели (терминалы), а ввод ПИН-кода осуществляется с клавиатур различных типов. Именно считыватели определяют внешний вид и основные эксплуатационные характеристики всей системы. Рассмотрим принципы их работы.
Кнопочные клавиатуры. Принцип действия достаточно ясен: если набранный на клавиатуре код доступа верен, то проход на защищаемую территорию разрешен. Кодонаборные устройства иногда совмещаются со считывателем карт, в этом случае код служит для подтверждения факта санкционированного использования карты.
Считывали штрих-кодов в настоящий момент практически не устанавливаются в системы контроля доступа, поскольку подделать пропуск чрезвычайно просто на принтере или на копировальном аппарате.
Считыватели магнитных карт. Основным элементом считывателя магнитных карт является магнитная головка, аналогичная магнитофонной. Код идентификации считывается при передвижении карты с магнитной полосой.
Основные достоинства таких идентификаторов:
стоимость считывателей и магнитных карт достаточно низка;
возможно изменение кода магнитной карты с помощью кодировщика.
Основные недостатки:
защищенность от несанкционированного доступа невелика, поскольку нарушитель, завладев на весьма ограниченное время чужой картой, может подделать столько ее дубликатов, сколько ему нужно;
считыватели магнитных карт достаточно ненадежны в эксплуатации: магнитные головки со временем засоряются и смещаются;
низкая пропускная способность такой системы контроля доступа, поскольку зачастую приходится идентифицировать магнитную карту несколько раз;
карты с магнитной полосой требуют весьма бережного хранения, необходимо избегать воздействия электромагнитных полей.
По указанным причинам сложные системы контроля доступа достаточно редко комплектуются подобными устройствами идентификации личности. Магнитные карты метро - исключение из правила, что объясняется дешевизной технологии.
Считыватели бесконтактных карт (интерфейс Виганда). Считыватель представляет собой индукционную катушку с двумя магнитами, которая находится в пластиковом или металлическом корпусе и для полной герметичности залита специальным изоляционным материалом. При проведении пластиковой карты через считыватель система контроля доступа получает бинарный код карты. Считывание ведется бесконтактным индукционным методом.
Основные достоинства:
высокая надежность благодаря простоте устройства;
невозможность подделки пластиковой карты, так как отсутствует ин- формация о структуре;
высокая устойчивость пластиковой карты к внешним воздействиям: чтобы испортить карту, ее необходимо сломать.
Считыватели проксимити-карт Такие карты позволяют производить дистанционную идентификацию личности. Внутри считывателя находится приемо-передающая антенна и электронная плата обработки сигналов. Считыватели ключей «тач-мемори».
Считыватель «тач-мемори» крайне прост и представляет из себя фактически контактную площадку, предназначенную для прикосновения специальных ключей. Ключ «тач-мемори» представляет собой специальную микросхему, размещенную в цилиндрическом корпусе из нержавеющей стали.
Сравнение различных технологий идентификации личности, наиболее распространенных в современных системах контроля доступа, производится по наиболее важным для потребителя параметрам. Достоинства и недостатки различных технологий идентификации приведены в табл. 3.1
Таблица 3.1. Достоинства и недостатки различных технологий идентификации
Параметр
|
Интерфейс
Виганда
|
Проксимити-технология
|
Магнитные карты
|
Затраты на эксплуатацию считывателя
|
-
|
Низкие
|
Высокие
|
Скрытность кода
|
Высока
|
Средняя
|
Низкая
|
Время жизни карты
|
Большое
|
Большое
|
Малое
|
Время жизни считывателя
|
Большое
|
Среднее
|
Малое
|
Влияние электромагнитных полей
|
-
|
Высокое
|
Высокое
|
Стоимость установки
|
Средняя
|
Высокая
|
Высокая
|
Стоимость эксплуатации
|
Низкая
|
Средняя
|
Высокая
|
Возможность изменения кода
|
-
|
-
|
Имеется
|
Пропускная способность
|
Средняя
|
Высокая
|
Низкая
|
Из сравнения различных технологий идентификации личности можно сделать следующие выводы:
системы контроля доступа, использующие магнитные карты, не получили широкого распространения;
наиболее практичной является технология, использующая интерфейс Виганда;
в тех случаях, когда надо обеспечить высокую пропускную способность, скрытность места установки считывателя или необходимость дистанционного доступа наиболее целесообразно применять прокимити-технологию;
в целях расширения области применения системы контроля доступа должны содержать в себе комплекс, совместно использующий интерфейс Виганда и проксимити-технологию. [1, с16-24]
|