Усиленные алгоритмы в системах доступа особо важных объектов
Часть 1 А. Омельянчук Системы безопасности №2, 2005 Постоянное удешевление электронной аппаратуры привело к тому, что системы контроля и управления доступом (СКУД) перестали быть прерогативой суперсекретных объектов. Теперь любое предприятие может позволить себе несколько точек контроля доступа.
Более того, простота расширения систем позволяет легко реализовать сложные алгоритмы, нередко даже без внесения изменений в аппаратуру СКУД Даже на объектах, не претендующих на громкое звание особо важных, всегда найдется несколько помещений, требующих повышенной защиты. Иногда можно обеспечить такую защиту простыми средствами.
В качестве типового примера можно взять базовый алгоритм прохода по двум ключам, требующий одновременного поворота двух ключей на расстоянии нескольких метров друг от друга. В СКУД для этого можно просто установить два считывателя и подключить их выходные контакты последовательно, тогда дверь откроется только в том случае, если одновременно сработают оба считывателя.
При этом имеется в виду нормально закрытый замок, на который надо подать напряжение, чтобы он открылся. Если замок, наоборот, нормально открытый (например, магнитный), то контакты надо подключить параллельно.
Таким образом, с помощью простейшей релейной логики на основе стандартных контроллеров СКУД можно реализовать алгоритм, достойный банковского хранилища или военного объекта.
Рассмотрим ряд алгоритмов «повышенной секретности», многие из которых также легко реализуются на релейной логике. НЕСКОЛЬКО ОДНОТИПНЫХ СЧИТЫВАТЕЛЕЙ — ОДНА ДВЕРЬ Правило двух карт Описанный выше способ подключения двух (или более) однотипных считывателей позволяет реализовать множество разнообразных алгоритмов, основанных на общем принципе «нескольких карт». В доэлектронную эру этот принцип назывался «комиссионностью» -вскрытие помещения осуществляется только «комиссией» в составе нескольких человек.
В настоящее время этот алгоритм обычно называется «правилом двух карт». Хорошие контроллеры позволяют его реализовать на одном считывателе — просто в течение нескольких секунд требуется поднести вторую карту, и дверь откроется.
Если карта была только одна или не соблюдено разрешенное время чтения второй карты, в доступе будет отказано.
Конечно, на одном считывателе нельзя защититься от ситуации, что один человек предъявит поочередно две карты.
Для уверенности в том, что входят двое, считывателей должно быть также, два и они должны быть сильно разнесены даже при использовании самых лучших, самых интеллектуальных контроллеров. Режим «эскорт» В данном случае имеется в виду прохождение посетителя по режимному объекту в сопровождении приставленного к нему охранника.
При этом двери открываются только при последовательном предъявлении двух карт, причем одна из чих должна относиться к категории «охранник», а вторая — «посетитель». Как правило, охраннику тоже не положено отлучаться одному, оставляя в одиночестве посетителя. Как всегда, серьезные контроллеры реализуют этот алгоритм логически, на одном считывателе.
Но и на простейших контроллерах его можно реализовать, установив два считывателя и запрограммировав один из них на «охранников», а другой -на «посетителей». Режим постановки/снятия с охраны Используя похожую логику, можно на простых контроллерах реализовать режим снятия с охраны по разрешающей карте.
В описанных выше вариантах предполагалось, что каждый контроллер срабатывает на короткое время (1-2 с), карты подносятся практически одновременно. Однако можно, наоборот, запрограммировать один из контроллеров на очень длительное время таким образом, что после поднесения разрешающей карты (например, начальника (караула) другие карты, управляющие другим считывателем, могут открывать дверь.
Для прекращения режима допуска в помещение можно установить кнопку. При использовании «продвинутых» контроллеров режим постановки/снятия с охраны реализуется проще, с применением клавиатурных считывателей: начальник караула считывает карту и вводит определенный код, после чего помещения встают на охрану или снимаются с охраны.
СЧИТЫВАТЕЛИ РАЗНЫХ ТЕХНОЛОГИЙ — ОДНА ДВЕРЬ Проход в режиме контроля двух различных идентификаторов существенно повышает безопасность. Если второй установленный считыватель использует другую технологию, то проход разрешен только тому, у кого есть две разного рода карты (или два идентификатора).
Например, весь объект сделан на картах HID, a на особо секретной двери стоят два считывателя карт — HID и Indala. В таком случае, даже если злоумышленники выкрадут у особо важной персоны карту, с которой тот ходит по всей территории, пройти в эту дверь они не смогут: ведь у него в бумажнике есть еще одна «специальная» карта, о которой они даже не знали.
Даже установка считывателя магнитных карт или клавиатуры рядом с Proximity-считывателем уже поднимает уровень защиты.
Карта и биометрия При использовании двойных технологий, когда один из считывателей биометрический, мы получаем классическое сочетание — карта и биометрия.
Использование биометрии позволяет значительно поднять уровень защиты, поскольку кража карты становится бессмысленной.
Поскольку современные биометрические считыватели по стоимости вполне доступны даже для небольшого предприятия, их применение вполне оправдано.
Верификация и идентификация Биометрический признак, заранее введенный в память считывателя (системы), сохраняется там в виде цифрового шаблона, вид и размер которого зависит от типа считывателя, применяемых математических алгоритмов обработки, заданной точности и пр. Существенно, что почти никогда повторно введенный признак не совпадает с шаблоном полностью. Процедура сравнения двух шаблонов весьма сложная и включает в себя серьезные вычисления.
При классической идентификации (1:N) необходимо сравнить все шаблоны из базы данных со вновь введенным биометрическим признаком.
Это достаточно сложный процесс, требующий мощного процессора. Как правило, автономные считыватели, работающие в таком режиме, сильно ограничены по количеству пользователей (встроенный в них процессор просто не в состоянии успеть перебрать большую базу данных).
Использование же специальных центральных процессоров возможно лишь в некоторых сложных системах, применяемых только на объектах особой важности. В процессе верификации при вводе персонального цифрового кода (PIN-кода) или чтении карты пользователь как бы заранее предупреждает считыватель, с каким шаблоном будет производиться сравнение.
Это существенно упрощает процесс и сокращает время на распознавание, поскольку считывателю не надо «копаться» во всей базе шаблонов — сравнение происходит в режиме 1:1. Многие биометрические считыватели заранее конструктивно рассчитаны на использование в режиме верификации: они имеют и вход и выход в виде стандартного интерфейса Виганда и могут подключаться к контроллеру СКУД любого производителя, понимающему данный интерфейс, между считывателем и контроллером.
В таком случае сначала считывается какой-либо носимый идентификатор (или вводится код), а только потом биометрический признак (например, отпечаток пальца).
Биометрический считыватель проверяет соответствие кода отпечатку пальца и, если все нормально, передает код на контроллер.
Обратите внимание, такой режим легко можно реализовать с использованием практически любого типа считывателя и контроллера. Контроллер даже не знает, что работает с биометрическим считывателем — он получает код карты «как бы» от обычного считывателя.
Режим «спецконтроль» Режим «спецконтроль», или подтверждение разрешения на проход от охранника, наиболее часто применяется на проходной, где охранник выступает в роли биометрического сканера лица.
Пока считыватель карты принимает решение, можно ли пускать предъявленную карту в данную область, охранник сличает изображение на карте с лицом ее предъявителя и подтверждает, нажав на кнопку, разрешение на проход. В современных СКУД охранник смотрит не на пропуск, а на изображение из компьютерной базы данных, соответствующее предъявленной карте.
При этом не требуется даже прямого визуального контакта с клиентом — его фактическое изображение можно передавать с камеры, установленной на проходной.
Такая функция, нередко называемая «видеобэджинг», ныне присутствует во многих, даже недорогих, программных комплексах СКУД. Отмечу, что это функция именно программного обеспечения, применяемого совместно с контроллерами СКУД, а не самих контроллеров.
Есть и «нормально открытая» модификация данного режима, когда изображения входящих выводятся на монитор, но подтверждения от охраны в нормальном режиме не требуется, а наоборот, если что-то охране не понравилось, можно заблокировать проход одним нажатием на кнопку (для этого, кстати, достаточно кнопкой физически разомкнуть цепь управления замком или турникетом). Режим «код + карта» Еще один популярный вид совмещения технологий карт и некоего подобия биометрии — клавиатуры для набора кода.
При этом в отношении «подделки» код не является физическим объектом, который можно просто выкрасть, а в какой-то мере «биометрическим признаком», хранимым в мозгу человека.
Правда, его можно подсмотреть либо выпытать у знающего человека, что намного проще, нежели воспользоваться чужим пальцем, глазом или голосом.
Простота реализации клавиатуры сделала такое решение весьма популярным.
Многие считыватели выпускаются в модификациях «со встроенной клавиатурой», а большая часть контроллеров поддерживает двойной режим — «код+карта». Кроме того, в случае прохода под принуждением (например, с автоматом, приставленным к спине) нередко предусматривается возможность ввода модифицированного кода (кода с признаком принуждения) — дверь откроется как обычно, но охрана получит тихий сигнал тревоги.
В качестве апофеоза технологии клавиатуры ввода ПИН нельзя не упомянуть эксклюзивную разработку компании Hirsh — клавиатуру, защищенную от подсматривания кода, что является наиболее уязвимым звеном. Этот тип клавиатуры меняет положение цифр при каждом новом вводе кода, причем подсветка позволяет видеть цифры только человеку, стоящему непосредственно прямо перед считывателем.
Естественно, что в этом случае запомнить код по положению кнопок, их потертости или по наличию на них отпечатков пальцев нельзя. Правда, пользоваться такой клавиатурой не слишком удобно, да и цена ее устроит не всех.
ШЛЮЗОВЫЕ АЛГОРИТМЫ Под шлюзовыми алгоритмами имеется в виду не механическая аппаратура типа шлюзовых кабин, а логические алгоритмы работы взаимоувязанных дверей. Аппаратное решение может быть любое: как на основе готовых шлюзов, так и на основе обычных дверей или «двухтактных» турникетов (устроенных так, что для прохода одного человека необходимо провернуть турникет на два щелчка).
Логика очень часто может быть реализована путем правильного соединения контроллеров между собой.
Простейший шлюз Простейший шлюз — две последовательные двери, организованные таким образом, что одновременно открыть можно только одну из двух дверей.
Поскольку для открытия второй двери надо предъявить карту считывателю за первой дверью, при этом первая дверь должна быть закрыта, то легко гарантировать, что человек, предъявивший карту, действительно прошел.
В принципе шлюз вполне можно реализовать на «релейной логике», подключив датчики закрывания дверей так, чтобы они перекрестно блокировали другую дверь.
Но сообразительные наши соотечественники быстро находят «противоядие» — если дернуть двери строго одновременно, они обе откроются и их (обе) в открытом состоянии можно будет подпереть, например, поленом, чтобы не мешали работать. Поэтому корректная обработка шлюза возможна только с помощью контроллера, обрабатывающего сигналы от обоих считывателей: он может определить, какой из сигналов пришел раньше, и второй просто проигнорировать.
К сожалению, такой режим автору статьи встречался только в некоторых системах или в спецконтроллерах для аппаратных шлюзов. Режим «человек в шлюзе» Контроль наличия человека в шлюзе дополнительно усиливает алгоритм прохода через него — двери не могут быть открыты снаружи, если внутри кто-то находится.
Датчик присутствия — любой.
Например, ИК-активный по диагонали или тензометрический датчик на полу.
Дальнейшее развитие идеи тензометрического датчика — контролировать, что человек ровно один, или можно также контролировать его вес (по сути, тоже биометрический считыватель, хотя вес — очень нестабильный признак человека).
Встречаются решения с ограничением пространства на полу, на котором можно стоять: нарисовано место для двух ног, вокруг которого чувствительная зона — наступишь мимо, и двери не откроются.
Усиление безопасности шлюза Для усиления безопасности шлюза характерно применение внутри него считывателя другой технологии, например биометрического.
В таком случае противник, проникнув через входную дверь шлюза, оказывается перед неожиданным препятствием, к которому он не мог подготовиться заранее. При этом можно ограничить время: вторая дверь должна быть открыта в течение 15 с после закрывания первой — иначе тревога.
Понятно, что обратно через входную дверь никак выйти нельзя — нарушитель блокируется. А для усиления режима можно поставить шлюз из трех дверей.
Вторая открывается только тогда, когда закрыта первая, а «секретный» считыватель стоит именно за второй.
Если кому-нибудь нравится придумывать подобные алгоритмы, могут сами их реализовать. Сделать можно все, что не противоречит принципу причинности, но реализуется это обычно путем специальной доработки программы (на компьютере) или микропрограммы (на контроллере управления).
Похоже на больную фантазию? Ничуть, автору доводилось видеть «дорожку» из двух турникетов, затем шлюза из двух дверей на расстоянии 30 см между дверями (между ними достаточно тесно) и еще одной выходной двери — все с отдельными считывателями. К тому же все это было расположено в изломанном лабиринте так, что не видишь, что следующее.
И, кстати, пока не пройдешь весь лабиринт, следующий человек туда не может войти. Это норма жизни на одной алмазной шахте.
Цель -максимально затруднить возможность передать что-нибудь на улицу «навстречу потоку», когда вроде бы все идут внутрь и личный досмотр не проводится.
ЛОГИЧЕСКИЙ ШЛЮЗ Таким образом, идеология шлюза не обязательно подразумевает наличие собственно двух дверей.
Это может быть шлюз без дверей — просто лучевые датчики, которые должны пересекаться в определенном порядке и с определенными временными интервалами. Система рассчитывается так, чтобы не мешать честным людям, но если кто-то пытается ее обмануть (повернуть турникет, не проходя в него, или пройти в дверь вдвоем по одной карте), то, вероятно, он выпадет из расчетной схемы.
Даже если просто человек, незнакомый с расположением дверей, задержится там, где другие не задерживаются, это может не вызвать тревогу, но привлечет внимание охранника или включение регистрации. Такие «подозрительные» пометки облегчают жизнь при просмотре протокола — нельзя же всерьез пытаться проанализировать все записи о том, кто и куда ходил за последние два месяца (3 тысячи сотрудников на 300 дверей).
А вот хотя бы выборочный контроль «подозрительных» ситуаций поможет выявить, кто же там «кое-где у нас порой честно жить не хочет». ЛОГИЧЕСКИЕ СРЕДСТВА ЗАЩИТЫ Наиболее «продвинутые» СКУД в отличие от примитивных одно- или двухдверных контроллеров не просто поддерживают централизованное управление несколькими считывателями, но и обеспечивают возможность сбора и совместной обработки информации от большого числа считывателей в одном защищенном месте. Рассмотрим некоторые, наиболее востребованные логические средства защиты.
Режим защиты от повторного прохода, или anti-passback, предназначен для исключения повторного использования одной и той же карты разными людьми.
Как известно, этот режим бывает двух типов: «временной запрет повторного прохода» и «зональный контроль повторного прохода». ВРЕМЕННОЙ ЗАПРЕТ ПОВТОРНОГО ПРОХОДА Некоторое время (1-10 мин.) после разрешенного прохода карта не позволит повторный проход в ту же дверь. В принципе эта ситуация не исключает использования одной карты разными людьми, но обеспечивает достаточное количество проблем у ленивых. Реально применяется, например, при въезде на парковку: ваш товарищ может быть и разрешил бы вам припарковаться бесплатно по его карточке, но ждать для этого 20 минут вы его вряд ли уговорите. ЗОНАЛЬНЫЙ КОНТРОЛЬ ПОВТОРНОГО ПРОХОДА Жесткий вариант контроля местоположения человека — «пока не вышел из помещения, обратно не войдешь» — подразумевает назначение «входных» и «выходных» считывателей.
Более того, для каждого считывателя указывается, в какой области должен находиться человек, чтобы его можно было впустить в данную дверь. Например, если система помнит, что данный человек последний раз проходил в дверь на склад в северном крыле и оттуда не выходил, а карта предъявляется на считыватель из приемной в секретный кабинет (в приемную этот человек точно не входил), следовательно, карту у него украли и пытаются незаконно войти в его кабинет.
Для надежной работы на аппаратном уровне необходимо, чтобы все входные и выходные считыватели данной зоны (области) были физически подключены к одному контроллеру. Иначе эта функция может быть реализована только на следующем уровне управления системой — в компьютерном программном обеспечении, что значительно менее надежно.
Локальный antipassback означает просто установку двух считывателей на дверь — на вход и на выход, подразумевается, что эта дверь — единственная, через которую можно войти в данное помещение.
Такой вариант возможен даже с небольшими контроллерами на два считывателя, но эффект от него невелик. Если другие контроллеры не знают, где находится данный человек, они все равно пустят предъявителя данной карты.
Следует отметить, что жизнь в условиях строгого зонального antipassback — просто мука.
Идете вы с девушкой по коридору, подходите к двери, она подносит карту и проходит в дверь. А вы ждете пока дверь закроется, затем подносите свою карту к считывателю и, наконец, тоже проходите, но девушка уже ушла.
А иначе никак — система вас где-нибудь запрет «за нарушение порядка прохода дверей». Кстати, в отечественной практике механизм, аналогичный зональной защите от повторного прохода, называется «маршруты». В таком случае указывается последовательность дверей, через которые человек должен пройти, -если последовательность нарушается, будет тревога. КОНТРОЛЬ ПОВТОРНОГО ПРОХОДА С ПРАВИЛОМ ДВУХ КАРТ Для наиболее ответственных помещений может быть одновременно включен режим двух карт — доступ разрешен только при последовательном предъявлении двух карт с достаточным уровнем полномочий (то есть войти можно только вдвоем).
В сочетании со строгим режимом повторного входа получаем высокую степень защиты. При этом выходить тоже необходимо вдвоем в течение строго оговоренного временного интервала.
Таким образом обеспечивается, например, что никто не останется наедине с секретными материалами и не сфотографирует их. КОНТРОЛЬ КОЛИЧЕСТВА ЛЮДЕЙ В ПОМЕЩЕНИИ Раз уж система знает, кто и где находится, может применяться и ограничение количества людей в помещении.
Например, в секретке с 5 столами нечего делать шестому человеку, и система его туда просто не пустит. БЭДЖИНГ КАК СРЕДСТВО УСИЛЕНИЯ РЕЖИМА ANTIPASSBACK В данном случае имеется в виду оформление карт-пропусков («бэджей», как их нередко называют) и требование носить их на виду.
Карты сотрудников с высшим уровнем доступа можно делать, например, ярко-красными. В таком случае первый встречный, увидев красную карту в руках незнакомца (сотрудников высшего уровня в лицо все знают), на всякий случай вызовет охрану.
Или иначе — увидев человека с «посетительским» желтым пропуском, каждый ему подскажет, куда можно ходить. Исключительно полезно добавить еще и цветные видеокамеры в коридорах и лифтовых холлах, тогда охранники также сразу будут замечать явные нарушения режима: несоответствие карты человеку или недопустимость нахождения человека с такой картой в этой области.
КОНТРОЛЬ ПОВЕДЕНИЯ Механизм, аналогичный упомянутому выше «логическому шлюзу», применяется на объектах высшего уровня защиты.
Расписывается поминутно, а то и посекундно последовательность действий человека (бригады), получившего наряд на работу в области высокого риска. Например, через 15-20 с после входа в дверь 1 необходимо пройти в дверь 2, затем сработает датчик 3 и в течение 5 мин. будет постоянно срабатывать датчик 4, после чего человек пройдет в дверь 5 и т.д. Данные алгоритмы применяются в зонах повышенного риска в целях техники безопасности в зонах опасных для жизни, и для охраны ценностей и секретов. Такие механизмы, как правило, реализуются в компьютерном программном обеспечении интегрированных систем и могут применяться как в реальном времени, так и при анализе протоколов прошлых событий. ЭВРИСТИЧЕСКИЙ АНАЛИЗАТОР Задача составления посекундных технологических карт, описанных в предыдущем пункте, была бы малореальна, если бы их нельзя было составлять автоматически, на основе опыта среднестатистической работы.
Более того, автоматический анализатор, выявляющий закономерности (даже самые дурацкие, например типа «Иванов обычно в начале смены курить ходит, а Петров — в конце»), позволяет определить и отклонения от нормы («чего это Петров с утра в курилку направился?») и соответственно привлекать внимание охраны.
Автоматизированные системы безопасности для того и предназначены, чтобы снимать с персонала службы безопасности необходимость рутинного контроля и привлекать их внимание к особым случаям, требующим человеческого анализа. ПРАВО ВХОДА И ПРАВО СНЯТИЯ С ОХРАНЫ Кроме времени на полномочия отдельных лиц (точнее, карт) могут влиять и другие параметры: например, если помещение на охране, то войти может только начальник караула, при этом помещение с охраны снимается.
А если оно уже снято с охраны — любой сотрудник может входить и выходить.
Вообще, уровень доступа для данной двери может меняться практически по любому простому условию, типа состояния какого-нибудь датчика (кнопки тревоги) или прямой команды с клавиатуры или компьютера.
АВАРИЙНЫЕ РЕЖИМЫ Широко распространен алгоритм автоматического разблокирования всех дверей на выход (или как минимум отмены antipassback и снижения уровня доступа на выход из всех дверей) по сигналу пожарной тревоги.
Действительно, в панике трудно ожидать, что все будут старательно выполнять требования «отмечаться» на всех считывателях, да и время на выполнение нормальных процедур может стоить кому-то жизни. И наоборот — в случае обнаружения кражи обычно система переводится в режим «никого не выпускать», вплоть до выяснения обстоятельств.
Следует помнить, что к автоматизации аварийных режимов работы СКУД надо подходить взвешенно и осторожно — преступник может сознательно имитировать пожар, чтобы «замести» следы кражи и свободно покинуть место преступления. ОБРУБАНИЕ «ХВОСТОВ» Простейший прием, реализуемый большинством контроллеров, но который часто забывают правильно настроить: после того как дверь открыли и закрыли (человек, предъявивший карту, прошел), замок нужно сразу запереть.
Не надо держать его отпертым все запрограммированное время (например, 15 с), если человек прошел за 3 с. Второе предупреждение из той же серии: нельзя в ответственных местах применять «западающие» замки типа широко известного «куркового». Если после подачи сигнала «отпереть», замок остается отпертым постоянно, то человек может передумать и не пойти в дверь, а система об этом даже не будет знать.
То есть в принципе можно запрограммировать сложный алгоритм контроля за такими ситуациями, но лучше ставить замки попроще: есть напряжение — открыто, нет напряжения — закрыто.
Часть 2 А. Омельянчук Системы безопасности №3, 2005 Мы продолжаем публикацию статьи, начатой в предыдущем номере журнала (СБ №2 за 2005 год, см. также публикацию на Sec.Ru # 13989) и посвященной способам повышения защищенности систем контроля управления доступом (СКУД), применяемых на объектах особой важности. В этой части статьи мы начнем рассмотрение приемов, позволяющих повысить физическую защищенность СКУД от попыток манипулирования ею. Большей части СКУД требуется специальная аппаратная поддержка от контроллеров и/или других элементов системы Защита доступа к аппаратуре СКУД При оснащении объекта СКУД следует помнить, что любые «навороченные» режимы работы бесполезны, если дверь — «бумажная». В частности, если провода, идущие к замку двери, можно замкнуть отверткой за три секунды. Сокрытие аппаратуры и коммуникаций от чужих взглядов Иногда (для некоторых помещений) достаточно хотя бы чуть-чуть затруднить взлом.
Например, если для взлома комнаты с кофеваркой необходимо взломать запертую жестяную коробку, это остановит большинство более или менее трезвых людей.
Если в комнате хранится водка, а по коридору могут ходить не вполне равнодушные к ней люди, вероятно, необходимо как минимум скрыть в стену упоминавшиеся провода. А упоминавшиеся коробки должны быть размещены в недоступных (или труднодоступных) для подобных «неравнодушных» местах — например, за подвесным потолком.
Вообще, есть такой принцип: security through obscurity.
Я не знаю хорошего русского эквивалента этой фразы.
Буквальный перевод — «защита через сокрытие». Суть — даже простейший замок или датчик прекрасно выполнит свою роль, если преступник не знает о его существовании или о его местоположении.
Защита доступа к аппаратуре ограничения доступа — простой и эффективный метод, позволяющий обезопасить помещения и саму аппаратуру СКУД, их защищающую, от повышенного внимания некоторых несознательных представителей homo sapiens.
Рассмотрим наиболее серьезный случай: в помещении хранятся деньги, или информация, которая кому-либо нужнее денег. Если есть опасение, что несанкционированный доступ в такое помещение будет готовить хорошо представляющий себе системы контроля доступа профессионал, возможно, в течение длительного времени, то необходимо внимательно рассмотреть раскладку контроллеров по помещениям.
В частности, контроллер, управляющий данной дверью, должен находиться либо за ней, либо хотя бы в помещении с не менее строгим режимом охраны. Если выполнено это условие, то преступник начнет искать помощников внутри учреждения.
А потому чем меньше людей знают структуру и расположение системы, тем спокойнее все они спят.
Кроме того, необходимо защищать доступ к компьютеру с управляющей программой (как физически, так и программно). Ограничение доступа к информации о системе контроля управления доступом — не менее важная составляющая системы защиты, чем защита аппаратной части системы.
Защита от прямого управления замком Контроллер, как правило, содержит в себе реле, включающее (выключающее) замок. Если злоумышленник проникнет внутрь коробочки с контроллером и замкнет выходные контакты, никакие хитрые алгоритмы не помогут.
Конечно, контроллер обычно располагается внутри защищаемого помещения. Но злоумышленник может заранее, под видом обычного посетителя, в рабочие часы проникнуть внутрь и незаметно открыть контроллер.
Или подкупить/обмануть честного сотрудника, чтобы он разблокировал замок. Поэтому защита цепи управления замком — весьма важное дело.
Датчики вскрытия Во-первых, ящик с контроллером должен быть оснащен датчиком вскрытия и быть постоянно заперт.
Кроме того, сигнал о вскрытии его корпуса должен обрабатываться не как обычная тревога (прошло — ну и ладно, авось контакт барахлит). Тревога вскрытия (повреждения) контроллера обязательно требует вызова сервисного персонала и тщательной проверки функционирования аппаратуры после возможного вмешательства.
Цифровое управление замком Линия связи между замком и контроллером должна быть по возможности короткой и защищенной от вмешательства. Один из наиболее надежных вариантов — монтаж цифрового модуля управления замком непосредственно в замок или в стену вместе с замком.
От контроллера идут провода для цифрового кодированного управления этим выносным микромодулем. Попытка врезаться в такую линию управления ничего не даст злоумышленнику.
Контроль состояния замка Выходящий последним может применить нехитрый прием — закрыть дверь неплотно (не захлопывать), например подложив бумажку. Датчик на двери показывает, что все в порядке, все спокойны.
А дверь на самом деле не заперта — входи кто хочешь. Конечно, будет тревога, но поймать преступника можно уже и не успеть.
Хорошие замки имеют дополнительный датчик «фактически заперто». Например, замки с ригелем могут иметь контакт в гнезде для ригеля — это датчик, определяющий, полностью ли ригель вошел на место. А магнитные замки могут иметь датчик магнитного потока, который фиксирует, что ответная пластина прижата к магниту и притянута им. Защита от доступа к кнопке выхода Нередко в целях экономии считыватель устанавливают только на вход в помещение, а на выход — просто кнопку, так называемую «кнопку выхода». Разумеется, если злоумышленник замкнет идущие к ней провода, контроллер сочтет, что кто-то, законно вошедший в помещение, хочет выйти, и откроется, чего ему (злоумышленнику) и требовалось.
Подобно всем входам типа «сухой контакт», как и на большинстве охранных панелей, контроллер доступа может проверять сопротивление шлейфа.
В таком случае кнопка замыкает не накоротко, а на некоторое предопределенное сопротивление (оконечный резистор).
Если злоумышленник просто замкнет провода накоротко, то вместо открытой двери получит сирену, прожектора и взвод охраны.
Хорошие системы поддерживают режим «на охране»: когда все вышли из помещения, сигналы от кнопки выхода игнорируются или обрабатываются как тревожный сигнал.
Если действительно кого-то нечаянно заперли и он пытается выйти, то это настоящее ЧП. Еще бы, не заметили оставшегося в секретном помещении человека! Защита от фальсификации считывателя Как правило, считыватель расположен снаружи, в неохраняемой зоне.
В большинстве голливудских фильмов герой взламывает крышку считывателя, подключает внутрь него какой-нибудь карманный суперкомпьютер, и тот, пожужжав секунды три, находит нужный код. Защита от подбора кода Если трижды введен неверный код (или предъявлена карта, не имеющая прав доступа), умный контроллер определит, что его пытаются «вычислить» и заблокирует такой считыватель на некоторое время: 10-20 секунд вполне достаточно. Если человек действительно ошибся три раза подряд, то за 10 секунд он наконец вспомнит правильный код. А если это и правда попытка подбора кода, то с такой скоростью (с перерывами по 10 секунд перед каждой попыткой) перебор всего лишь десяти тысяч кодов (четырехзначный код) займет 100 000 секунд, то есть больше суток.
За это время самый ленивый охранник пойдет посмотреть, почему это из секретного крыла постоянно идут сообщения об ошибке ввода кода.
Защита от вскрытия считывателя Датчик вскрытия можно установить и на считывателе. Точнее — под считывателем.
Это обычный нажимной контакт, который сработает, если кто-то сорвет считыватель со стены. Еще один (менее распространенный) вариант -использование периодического самотестирования.
Некоторые считыватели могут периодически выдавать определенный код, просто сообщающий о нормальном функционировании прибора.
Если такого кода в заданное время не будет, контроллер «догадается», что что-то не в порядке и выдаст сигнал «тревога/поврежде- Защита системы от нарушения работоспособности Сознательное вредительство возможно с целью дискредитации системы или просто вывода ее из строя — например, без помощи могучей охранной системы персонал охраны окажется не в состоянии контролировать весь объект.
Основной способ защиты от тайного повреждения состоит в том, что повреждение не должно остаться тайной.
Все сигналы о повреждении аппаратуры, в частности типа «пропажа связи», должны быть отображены и доведены до сведения дежурного охраны наравне с чисто тревожными сигналами. Кроме того, «продвинутые» системы теоретически имеют возможность шифрации всех пересылок по линии связи, хотя это смахивает на манию преследования.
Если уж противник способен «расколоть» протокол управления или хотя бы подключить к линии связи свой собственный контроллер вместо родного и начать управлять дверью, либо, наоборот, сымитировать охранную панель в «нормальном состоянии», пока сам крушит стены, то вас, наверное, ничто уже не спасет: вы стали жертвой игр спецслужб.
Аппаратное дублирование функций Так или иначе повреждение будет обнаружено.
Но необходимо предусмотреть, что будет, если та или иная часть системы выйдет из строя. Наиболее вероятно повреждение линий связи между контроллером принятия решений и интерфейсами дверей/охранных датчиков.
Один из способов защиты в этом случае — дублирование (резервирование) линий связи.
Не обязательно экономить на проводах.
Разные устройства можно подключить к разным шлейфам, возможно даже к шлейфам разных контроллеров.
Некоторые системы высшего уровня защиты поддерживают особые конфигурации сети связи между контроллерами — типа «звезда+кольцо» или, как минимум, «защищенное кольцо , когда используются специальные двухпортовые модули для подключения стандартных периферийных устройств к двум портам управляющего контроллера.
Он поочередно использует одну и другую линию, а раздвоитель порта на периферийном устройстве обеспечивает ответ по той линии, по которой поступил вопрос. Так контролируется целостность обоих линий.
Топология обеих линий может быть как «шина», так и «звезда». Также возможно организовать линии в «двунаправленное Кольцов». Режим работы при обрыве связи (facility) Работа ответственных считывателей не должна нарушаться из-за обрыва связи. Обрыв — это повреждение системы, в случае которого поднимается тревога, начинается работа ремонтной бригады… но люди-то ходить должны.
На случай обрыва связи указывается поведение данной двери, причем в оптимальном варианте периферийный контроллер имеет собственную базу данных и в аварийном режиме может осуществлять локальное принятие решения. Другие варианты поведения двери при обрыве связи — «заперто», «открыто» или режим допуска по общему коду.
То есть на уровне дверного интерфейса решение о допуске принимается на основе соответствия формата карты принятому на данном объекте.
В частности, должен совпадать так называемый «общий код», он же «код объекта», «код клиента», «код проекта», короче facility code. Это первые 8 или 16 бит кода карты (предполагается, что у всех карт на объекте эти биты совпадают) Следует заметить, что в отличие от аппаратного дублирования функций, данный режим является упрощенным и не всегда применим на конкретных дверях.
Вряд ли вас устроит перспектива прохода всех сотрудников организации в денежное хранилище, в которое ранее имели доступ только несколько персон. Уж лучше на время полностью заблокировать такое помещение.
Скрытый монтаж считывателя Описанные варианты повышения стойкости системы к враждебному воздействию хороши, но лучше по возможности исключить доступ к какой бы то ни было части системы, имеющей гальваническую связь с ответственными устройствами. Взлом одного считывателя дает теоретическую возможность подать туда ток 220 В в надежде вывести из строя хотя бы интерфейс ный контроллер: глядишь, дверь-то и откроется.
Если всю проводку вести внутри защищенных помещений или в трубах (бронерукавах) в толще стены, а считыватели (особенно потенциально подверженные вандализму или враждебному воздействию) спрятать в толщу стены — это тоже защита. Как минимум, не следует привинчивать считыватели обычными винтами — возьмите хоть чуть более вандалостойкие — «под звездочку», «овальный треугольник» или другие аналогичные «секретные». Часть 3 А. Омельянчук Системы безопасности #4, 2005 Мы завершаем публикацию статьи, посвященной способам повышения защищенности систем контроля управления доступом (СКУД), применяемых на объектах особой важности, начатую в № 2 и 3 журнала СБ за 2005 г. (Публикации на Daily.Sec.Ru соответственно #13989 и #14040) Дополнительные способы защиты СКУД Контроль доступа Контроль, а не управление доступом — задача чисто охранная, и решается она путем установки датчика открытия двери.
Основная часть этой задачи — интерпретация сигналов отдатчика, то есть определение того, в каких случаях открывание двери не вызывает тревоги.
Для двери, оборудованной считывателем, такой случай -открывание двери после предъявления карты доступа, дающей предъявившему достаточные полномочия для прохода в помещение.
Если считывателя нет, интерпретация сигналов сводится к стандартным задачам с постановкой/снятием с охраны и т.п. Особое условие, предъявляемое при оборудовании охраняемых дверей, особенно пожарных выходов, — требование, чтобы они не использовались в нормальной ситуации, но в любой момент могли быть открыты изнутри. Стандартное решение в данном случае — разрушаемые крышки на замке или сирена, включающаяся при открывании двери (обязательно предупреждение о наличии сигнализации — например, яркая надпись на двери). Для пожарных выходов желательно наличие «перекладин» для открывания двери, которые позволяют открыть дверь, навалившись на нее всем телом, грудью или рукой. Впрочем, можно просто поставить большие кнопки, открывающие замок, главное — установить их на самой двери, а не рядом с ней, чтобы при пожаре паникующим людям не пришлось их искать в дыму. Также для систем «пожарного выхода» считается полезной функция некоторой задержки открывания — секунд 10-20. Такая задержка не страшна при пожаре, но зато, например, затрудняет отход пытающемуся убежать преступнику. Да и выйти покурить через пожарный выход не захочется, если для этого сначала надо несколько секунд стоять и слушать сирену. В обратном варианте дверь имеет ручку открывания изнутри, но не снаружи. Датчик двери программируется на тревогу, лишь если дверь остается открытой по истечении заданного времени (несколько секунд). Хочешь выйти — выходи, но дверь за собой закрой (не препятствуй доводчику). Протоколирование событий Протоколирование всех событий — это существенная задача, решаемая только в так называемых «компьютерных» системах, имеющих полномасштабный операторский интерфейс. Частной подзадачей в данном случае является определение местонахождения человека.
Существенным при проектировании системы может быть вопрос, какие события необходимо сохранять в протоколе, а какие — нет. Проблема не в емкости винчестера на компьютере, а в емкости памяти контроллера на случай обрыва связи с компьютером.
Впрочем, можно запрограммировать разные режимы протоколирования в случае отсутствия и наличия связи с компьютером. Хотя объем протокола на винчестере тоже может стать проблемой: при большом объеме замедляются поиск и просмотр длинного файла, да и переполнение диска порой происходит, причем обязательно неожиданно — пару лет все было спокойно и вдруг на тебе… Видеорегистрация Альтернативный вариант — просто регистрация изображения всех входящих людей, возможно, даже без ограничения доступа.
В частном случае (для экономии места и облегчения просмотра архива) регистрируются только те, кто не предъявлял карту.
При этом замок в дневное время может быть постоянно отперт, но если при входе не предъявить карту, открывание двери вызовет тревогу и соответственно включение видеозаписи. Вполне приемлема даже запись на видеомагнитофон по тревоге, хотя для последующего просмотра удобнее регистрация нескольких кадров на компьютере.
Удобство пользования — важнейший показатель эффективности СКУД Удобство пользования охраняемой дверью -очень серьезный фактор эффективности ее работы, и упрощение пользования дверью с нормально закрытым замком является важной задачей для проектировщика СКУД. Иначе не избежать «заблокированных» дверей, с подсунутыми щепочками и заклеенными контактами, чтобы не мешали и не пищали.
Нормальные честные сотрудники охраняемого предприятия вполне могут одержать победу над любой системой и свести ее эффективность на нет, если будут воспринимать СКУД как своего врага.
Например, если вы ожидаете, что в данную дверь будут иногда заносить груз, предусмотрите режим длительного открывания.
В частности, режим длительно открытой двери в присутствии охранника, периодически подносящего к считывателю карточку, вполне приемлем, если считыватель включен в режим «предупреждения о тревоге», то есть за 10 секунд до истечения допустимого времени удержания двери открытой начинают подаваться звуковые сигналы. А потом уж, в случае отсутствия реакции со стороны охранника, включается сирена.
Дверь на склад, куда постоянно ходят с ящиками и коробками, стоит оборудовать более «дальнобойным» считывателем (чтобы недоставать карту из кармана: руки-то заняты), кроме того, можно поставить дверь, открывающуюся в обе стороны либо вообще автоматическую. Частный момент — время реакции считывателя.
Вообще-то оно должно быть в пределах секунды, но на случай большой одновременной нагрузки на все двери контроллера на считывателях невысокого уровня защиты с большой нагрузкой следует применять интерфейсы с загружаемой базой данных, загружая туда тех пользователей, которые очень торопятся, и тех, которые создают собственно перегрузку (часто ходят). Впрочем, иногда бывает и наоборот: сознательно усложненная процедура прохода в особый отдел уменьшит количество заходящих туда «не по делу», при этом (если, конечно, не будет мешать работать) не вызовет отрицательной реакции у сотрудников этого отдела, ибо поднимет их статус в глазах остальных.
Учет рабочего времени Нередко учет времени — основная, если не единственная причина, подвигающая клиента на установку СКУД.
Следует отметить, что специализированные системы собственно учета рабочего времени обладают огромной функциональностью и предназначены не столько для фискальных целей, сколько для планирования производства.
Так, рабочий, переходя от одной операции к другой, фиксирует это на считывателе (указывая соответственно код операции). Фиксирует и простои по разным причинам, потери времени на ожидание смежника и т.д. Все это делается именно для анализа и управления процессом производства. Впрочем, применение системы учета рабочего времени для начисления заработной платы тоже не так просто, как может показаться на первый взгляд. Во-первых, система должна позволять ввод причины отсутствия собственно в момент опоздания, а также впоследствии требовать ввод результатов проверки этой причины старшим по должности. Во-вторых, учет опозданий на разное время (например, 5 минут и 1 час) ведется по разному. В-третьих, учет переработки производится, как правило, только при наличии одобрения руководства, хотя переработка в пределах 10-20 минут может засчитываться в пределах компенсации незначительных (5-10 минут) опозданий. Короче говоря, на некоторых предприятиях инструкция о порядке расчета выработанного времени (и зарплаты) на основе данных о времени прихода-ухода занимает около 100 страниц мелким шрифтом. Еще один существенный момент — разграничение доступа разных лиц к информации об учете рабочего времени. Данные о начислении заработной платы являются секретными для дежурного охранника, в то время как бухгалтеру, наоборот, не следует знать подробности прав доступа разных лиц. А информация о перемещении VIP вообще может рассматриваться как особо секретная. Только контроль опозданий — регистрация проходов вне разрешенного временного интервала прохода В самом простом случае протоколирование ведется (или выборка из протокола делается) только по случаям входа/выхода на территорию предприятия в течение рабочего времени (то есть по опозданиям и ранним уходам с работы).
Каждый такой случай оформляется отдельной объяснительной.
Собственно отработанное время не учитывается (сотрудники на ставке). Вход по нескольким считывателям (отдельно вход, отдельно выход) Более разумным, чем предыдущий, является следующий вариант: посредством организации зоны защиты от повторного прохода на всей территории предприятия строго учитывается время, в течение которого каждый вошедший на предприятие находился внутри.
Для этого, как известно, необходимо устанавливать раздельные считыватели для входа и выхода. Не обязательно на одну дверь, можно и на разные, если через одну разрешается только вход, а через другую только выход.
Контроль прохода через турникет Дабы препятствовать забывчивости сотрудников, не предъявляющих карточку при проходе сплошным потоком, следует устанавливать турникет.
К сожалению, турникет не препятствует одному человеку «отметить» всю бригаду.
Хотя можно применять различные меры борьбы с такими злоупотреблениями, например устанавливать активный (или пассивный) ИК-датчик на выходе из турникета, чтобы один лишь поворот турникета не засчитывался за проход на территорию. Более надежные средства — шлюзы, но они вряд ли рентабельны при использовании в целях учета времени.
Контроль по первому/последнему применению карты на любом считывателе При желании сэкономить средства можно, установив один считыватель на всю проходную, обязать всех «отмечаться» на нем при входе и выходе. Обратите внимание, что пропускная способность считывателя без двери (турникета) ограничена лишь временем реакции системы.
Временем присутствия на работе считается интервал от первого до последнего предъявления карты тому или иному считывателю, например, установленному на входе в кабинет сотрудника.
В этом случае контроль в значительной мере построен на доверии, причем контроль временного отсутствия сотрудника в течение дня практически невозможен даже при наличии доброй воли прогульщика.
Организация потока людей Пропускная способность Не забывайте просчитать пропускную способность дверей широкого пользования. Цикл прохода через нормальную дверь занимает не менее 5 секунд, включая доводку двери.
Это не значит, что в дверь могут пройти 600-700 человек в час. Наоборот, если проходить в нее будут хотя бы 100 человек в час, то каждый третий, вероятно, будет проходить в дверь, еще не закрывшуюся после предыдущего прохода.
Если планируемая дверь уже стоит на объекте и не оборудована СКУД, можно понаблюдать за ней на месте: как часто ею пользуются, насколько часто проходят в дверь, не закрывшуюся после предыдущего открывания.
Пропускная способность вращающихся турникетов оценивается в 900 человек в час. В принципе я видел, как турникет с нормальным режимом СКУД работал с пиковой нагрузкой 60 человек в минуту, но турникет стоял на том предприятии уже не первый год, и люди были уже «натренированы» им пользоваться. Для увеличения пропускной способности входа можно рассмотреть вариант установки «нормально открытых» турникетов с выдвижными створками (как в метро).
Их максимальная паспортная пропускная способность составляет 40 человек в минуту.
Не забывайте и о так называемом «оптическом турникете». Это такой же турникет, как в метро, но в нем нет никаких автоматических створок, которые заменяет сирена.
Такие турникеты выпускаются как специальные изделия, но по сути это просто одиночный активный ИК-датчик. В случае несанкционированного прохода можно включать сирену или лампу.
Пропускная способность оптического турникета ограничивается только скоростью работы считывателя и контроллера СКД, то есть составляет около 1 секунды на человека. Конечно, чем больше нагрузка на проход, тем меньше степень его защиты.
Хотя бы потому, что контролируется лишь один признак — карта, и, хуже того, у присутствующего рядом охранника нет никакой возможности контролировать корректность действий. Вспомните, как бывает в час пик в метро: кто-то проходит силой, придержав дверцы, кто-то перепрыгивает, кто-то идет вдвоем («паровозиком») по одному билету.
При интенсивном потоке людей все эти нарушения уже не контролируются.
Если вы хотите добиться высокой степени защищенности объекта, вам неизбежно придется устанавливать шлюз.
Пропускная способность шлюзовых систем с автоматическими дверями может, конечно, достигать 1000 чел/час. Но если внутри шлюза, как принято на особо важных объектах, стоит еще и биометрический считыватель, или хотя бы датчик веса или иной датчик, «следящий», чтобы в шлюз заходили только поодиночке, тогда 300 чел/час следует считать хорошим результатом, достижимым, когда люди уже привыкли пользоваться шлюзом.
Проектирование «человекопотока» Снижения пиковой нагрузки на проходы можно достичь простыми организационными мерами (плавающий график для разных категорий служащих).
Расположение смежных подразделений рядом может позволить отделить группу комнат общей дверью (через которую ходят относительно редко).
На такой двери можно установить достаточно жесткие режимы прохода -«антипассбэк» или режим «код-карта», а на дверях внутри отделения — более мягкий режим, без шумных тревог по поводу каждой не вовремя закрытой двери. В здании сложной архитектуры следует избегать ситуации, когда в секретный отдел ходят потому, что через него ближе пройти в столовую.
Если в одно помещение можно пройти через разные двери (вариант — несколько проходов в центральной проходной), не обязательно разрешать всем имеющим право доступа ходить через все двери. Их можно принудительно развести на несколько потоков.
Архитектурные решения также могут серьезно облегчить работу проходной. Ограничительные барьеры (заборчики и загородочки) должны выравнивать поток через соседние проходы, исключать возможность по ошибке предъявить карту считывателю справа, а пойти в турникет слева и т.д. Нештатные режимы Оборудуя охраняемую дверь, необходимо заранее предусмотреть особые режимы прохода, чтобы потом не возникали подложенные под двери кирпичи и заклеенные жвачкой контакты на двери.
Процедура приема тяжелых и негабаритных грузов не должна срывать нормальную работу основной системы. Не надо отключать контроль на основной двери.
Лучше открыть для груза черный ход, не меняя режим прохода людей, чтобы те не проходили в отодвинутую загородку рядом с турникетом, потому что там простор нее. Потом сами же обижаться будут, когда получат прогул за этот день из-за того, что не от метились на входе. Режим срочной эвакуации также не должен означать, что все двери нараспашку.
По возможности это должен быть однонаправленный режим «только на выход», исключающий встречный проход. Надеюсь, что данные советы, основанные на практике применения СКУД, помогут вам правильно подобрать систему для вашего объекта.
Об авторе: А.М. Омельянчук, технический директор ЗАО «Компания Безопасность» Источник: Системы безопасности