Системы контроля и управления доступом (скуд)
Содержание:
- Принцип работы
- Защита данных
- В ЗАО «Компания Безопасность» можно заказать разработку, монтаж и обслуживание СКУД
- Защита сети
- Классификация систем СКУД
- Локально вычислительные сети (ЛВС)
- Производители СКУД
- Места монтажа
- Как расшифровать классификацию систем СКУД
- Назначение и задачи СКУД
- Чем отличаются варианты СКУД
- Цены систем контроля и управления доступом (СКУД) и отдельных компонентов: обзор рынка с комментариями
- Процесс идентификации
- Контроль доступа
- Виды
Принцип работы
Автоматизированная СКУД может использовать различные технические решения и иметь несколько принципов работы, которые влияют на выбор установки системы.
Разделяется СКУД на:
- Простые – классический набор с контролем и управление доступа.
- Расширенные – с запретом на повторное прохождение, одновременный вход через точку доступа 2-ух и более сотрудников, двух-этапная идентификация, закрытый и открытый режимы, проход с подтверждением.
Таблица 2 – виды работы систем с примерами действий |
|
Вид |
Схема действия |
Стандартный |
|
Запрет на повторный проход |
Применяется в тех случаях, когда ключ-карту нельзя использовать во второй зоне доступа, пока персонал находится в этой. Можно устанавливать такие режимы:
|
Одновременный вход через точку доступа 2-ух и более сотрудников |
|
Проход с подтверждением |
|
Двойная (тройная и тд.) идентификация |
|
Закрытый режим доступа |
Применяется в случаях, когда необходимо заблокировать доступ ко всем объектам или определенной группе объектов. К примеру:
|
Открытый режим доступа |
Применяется в случаях, когда необходимо открыть доступ через точку доступа. К примеру на предприятие пришла экскурсия из 15 человек. Что бы каждого не пропускать через турникет по ключу, охранник на время “открывает” точку доступа. |
Защита данных
DAP – Database audit and protection
Системы данного класса обеспечивают безопасность систем управления реляционными базами данных (СУБД). DAP – это развитие базовых возможностей мониторинга инструментов database activity monitoring (DAM), но при этом они имеют такие дополнительные функции, как:
- обнаружение и классификация данных;
- управление угрозами и уязвимостями;
- анализ на уровне приложений;
- предотвращение вторжений;
- блокировка активности;
- анализ управления идентификацией и доступом.
DLP – Data Leak Prevention или Data Loss Prevention
Системы предотвращения утечки данных строятся на анализе потоков данных, пересекающих периметр защищаемой информационной системы. При обнаружении конфиденциальной информации срабатывает активный компонент системы, и передача сообщения (пакета, потока, сессии) блокируется или сохраняется копия трафика для постанализа на случай проведения расследования возможной утечки.
DCAP – Data-Centric Audit and Protection
Эти средства защиты конфиденциальности данных знают, где хранятся конфиденциальные данные, определяют политики управления данными в бизнес-контексте, защищают данные от несанкционированного доступа или использования, а также производят мониторинг и аудит данных, чтобы убедиться в отсутствии отклонений от нормального поведения. Несмотря на новый подход к защите данных (а не периметра), решение не нашло большой популярности.
CASB – Cloud Access Security Broker
Инструмент контроля за облачными приложениями, ресурсами и сервисами. Он управляет тем, как происходит взаимодействие между облачными приложениями и внешним миром с помощью прокси и/или API-режима. Системы CASB могут разворачиваться как в локальной, так и в облачной среде, а также в гибридной комбинации с использованием локальных и облачных контрольных точек.
SDS – Software-Defined Storage
Программное решение, обеспечивающее хранение данных и управление ими. Основная отличительная возможность SDS – это виртуализация функции хранения, отделяющая аппаратное обеспечение от программного, которое управляет инфраструктурой хранения. В этом смысле SDS является развитием концепции программно-определяемой сети.
В ЗАО «Компания Безопасность» можно заказать разработку, монтаж и обслуживание СКУД
Опираемся на основные стандарты и ГОСТ Р 15.301-2016 (правила разработки и постановки продукции производственно-технического назначения). Соблюдаем нормы, учитываем последующее техобслуживание, возможную модернизацию, используем совместимые средства, надежную аппаратуру. Чтобы узнать подробнее о СКУД, купить готовое решение или заказать проектирование, позвоните или пришлите запрос на почту, договоритесь о встрече с инженером. При необходимости выезжаем на объект, изучаем территорию и проводим консультацию с привязкой к особенностям конструкции, периметра и требований к охраняемым зонам, рассчитываем примерные сроки и цены установки на объектах в Москве, Московской области и других регионах России.
Защита сети
SWG – Secure Web Gateways
Решения данного класса позволяют фильтровать нежелательное или вредоносное ПО из веб-трафика, а также обеспечивают соблюдение корпоративных и нормативных политик. Они располагают следующим набором функций:
- фильтрация URL-адресов;
- обнаружение и фильтрация вредоносного кода;
- имеют средства управления приложениями для популярных веб-приложений.
Также все чаще встречается встроенная или интегрированная в решения защита от утечки данных.
NGFW – Next-Generation Firewalls
Объединяют многие возможности традиционных межсетевых экранов, включая:
- фильтрацию пакетов;
- преобразование сетевых адресов (NAT);
- преобразование адресов портов (PAT);
- блокировку URL-адресов;
- VPN с функциональностью quality of service (QoS);
и другие функции, которых нет в традиционных брандмауэрах: предотвращение вторжений (IPS), проверка SSL и SSH, deep-packet inspection, обнаружение вредоносных программ на основе репутации и осведомленность о приложениях.
NTA – Network Traffic Analysis
Продукты для анализа сетевого трафика, которые осуществляют анализ сетевых данных в режиме реального времени. Они должны обладать полной видимостью внутри реальных транзакций (декодирование протокола приложения и дешифровка современных криптографических стандартов), иметь возможность расшифровывать трафик для анализа без ущерба безопасности данных. NTA также могут располагать функционалом, позволяющим им проводить поведенческую аналитику.
IDS – Intrusion Detection Systems
IDS анализируют и отслеживают сетевой трафик на предмет признаков, указывающих на то, что злоумышленники используют известную киберугрозу для проникновения или кражи данных из вашей сети. Системы IDS сравнивают текущую сетевую активность с базой данных известных угроз, чтобы обнаружить такие типы поведения, как: нарушения политики безопасности, вредоносное ПО и сканеры портов.
Разновидности IDS: Network-, Protocol-, Application Protocol- и Host-based.
IPS – Intrusion Prevention System
IPS активно запрещает сетевой трафик на основе профиля безопасности, если этот пакет представляет известную угрозу безопасности (логическое продолжение IDS, часто реализуется система IDS/IPS).
Разновидности IPS: Network-, Wireless- и Host-based.
IDPS – Intrusion Detection and Prevention Systems
Это автономные физические и виртуальные устройства, которые проверяют определенный сетевой трафик (как локальный, так и облачный). Они часто располагаются в сети для проверки данных, проходящих через такие устройства защиты периметра, как брандмауэры, безопасные веб-шлюзы и безопасные почтовые шлюзы. IDPS обеспечивают обнаружение при помощи следующих способов:
- сигнатур;
- обнаружения аномалий протокола;
- поведенческого мониторинга;
- эвристики;
- интеграции advanced threat defense (ATD);
- threat intelligence (TI).
UTM – Unified threat management
Модификация файрвола, объединяющая в себе множество функций, связанных с обеспечением безопасности, например, IDS/IPS, VPN, антивирус.
Классификация систем СКУД
Разделяют классификацию по техническим параметрам и функциональному потенциалу.
Критерии по техническим параметрам следующие:
- число степеней идентификации;
- число регулируемых мест объекта;
- количество людей, проходящих через пост пропуска СКУД в часы пик (пропускная способность);
- расчетное количество постоянных сотрудников, способных быть обработанными оперативной памятью;
- факторы влияния окружающей среды.
Критерии по функциональному потенциалу следующие:
- степень оперативности внесения изменений в управленческие СКУД программы;
- эффективность защиты от актов намеренного разрушения системы охраны, как материальных средств, так и программного обеспечения;
- степень уровня секретности;
- возможность идентификации в режиме автоматики;
- назначение разного уровня доступа сотрудникам и посетителям, согласно их полномочий;
- способность накапливать и анализировать большое количество данных;
- надежное срабатывание (закрытие/открытие) всех постов, управляемых системой;
- распечатка любой информации по запросу пользователя.
Локально вычислительные сети (ЛВС)
ЛВС (локальная вычислительная сеть) – это комплекс оборудования и программного обеспечения, обеспечивающий передачу, хранение и обработку информации.
Назначение локальных сетей
Назначение локальной сети — осуществление совместного доступа к данным, программам и оборудованию. У коллектива людей, работающего над одним проектом появляется возможность работать с одними и теми же данными и программами не по-очереди, а одновременно. Локальная сеть предоставляет возможность совместного использования оборудования. Оптимальный вариант — создание локальной сети с одним принтером на каждый отдел или несколько отделов. Файловый сервер сети позволяет обеспечить и совместный доступ к программам и данным.
У локальной сети есть также и административная функция. Контролировать ход работ над проектами в сети проще, чем иметь дело с множеством автономных компьютеров.
Локальные сети делятся на два вида:
- Одноранговые локальные сети — сети, где все компьютеры равноправны: каждый из компьютеров может быть и сервером, и клиентом. Пользователь каждого из компьютеров сам решает, какие ресурсы будут предоставлены в общее пользование и кому
- Локальные сети с цетрализованным управлением. В сетях с централизованным управлением политика безопасности общая для всех пользователей сети.
В зависимости от назначения и размера локальной сети применяются либо одноранговые сети, либо сети с централизованным управлением.
В состав локальной сети (ЛВС) входит следующее оборудование:
- Активное оборудование – коммутаторы, маршрутизаторы, медиаконвекторы;
- Пассивное оборудование – кабели, монтажные шкафы, кабельные каналы, коммутационные панели, информационные розетки;
- Компьютерное и периферийное оборудование – серверы, рабочие станции, принтеры, сканеры.
В зависимости от требований, предъявляемых к проектируемой сети, состав оборудования, используемый при монтаже может варьироваться.
Производители СКУД
На отечественном рынке есть множество российских и зарубежных производителей, между которыми существует жесткая конкуренция. В лидерах находятся те, кто производит весь комплекс оборудования для монтажа СКУД. Определяющими среди потребителей являются качество и цена производимых контроллеров и программного обеспечения.
Из российских производителей самыми популярными по данным интернет — ресурсов Яндекса являются:
- Компания «PERco» с производственной базой в г. Санкт-Петербурге, реализует свою продукцию не только в России, но и в около 100 странах мира;
- Компания «Parsec», выпускающую продукцию под логотипом Parsec около 20 лет;
- Компания «IronLogic» работает на рынке оборудования СКУД более 10 лет, реализует свою продукцию в более чем 30 странах мира;
- Компания «Sigur» (ех Сфинкс);
- Компания «RusGuard»;
- Компания «Прософт Биометрикс»;
- Компания «Эра новых технологий».
Среди зарубежных производителей выделяются следующие:
- Компания «Hid Global» — крупнейший производитель на мировом рынке в отрасли безопасности;
- Компания «NedAp», производитель специализирующийся на радиочастотных бесконтактных идентификаторах с производством в Нидерландах.
- Компания «Suprema», корейский производитель, выпускающий биометрические устройства для СКУД;
- Компания «ZKTeco», выпускает весь комплект оборудования для систем доступа, но специализируется на биометрических компонентах идентификации, как любой китайский производитель реализует продукцию по низким ценам, но сохраняет при этом хорошее качество.
Некоторые рекомендации по приобретению и установке
Избежать ошибок при внедрении СКУД помогут следующие советы.
- Перед началом внедрения следует провести полное обследование объекта. Следует выбрать оптимальное расположение постов пропуска. Проход сотрудников должен быть свободным без создания очередей.
- Определиться с возможной интеграцией СКУД с другими системами безопасности. При ее наличии лучше сразу устанавливать сетевой вариант системы.
- Оборудование должно иметь конструктивное исполнение для нормального функционирования в климатических условиях данной местности. Это должно обеспечить сохранность узлов, например, от коррозии.
- Для обеспечения нормальной связи между элементами СКУД. Следует минимизировать влияние электромагнитного излучения находящихся вблизи силовых кабелей. Прокладку линий связи системы доступа следует проводить не ближе 0,5 м от них и пересекать строго под прямым углом.
- Перед монтажом необходимо проверить работу программного обеспечения. Система должна быть рассчитана на число работающих сотрудников, компьютер не должен виснуть при работе. Такая проверка сократит время на пусконаладочные работы.
- Предусмотреть возможность перегрева контроллера при большом потоке людей. Существуют методы доработки системы, повышающие ее устойчивость к перегрузкам.
- Необходимо установить аварийный источник питания. Нельзя исключать случаи непредвиденных вариантов функционирования.
- Исполнительные устройства пропуска (турникеты) не должны быть сомнительного качества. Они обязаны быть изготовлены из качественного материала и стабильно функционировать.
- При заказе партии пропусков следует убедиться в их соответствии с устанавливаемой системой доступа. Количество следует заказать с учетом возможных потерь и повреждений.
В условиях острой конкуренции всегда существует риск совершения действий, которые могут навредить развитию бизнеса. Система контроля и управления доступом охраняет его от попыток создания проблем нормальному процессу функционирования. Рынок может предложить системы разного уровня сложности
Важно правильно сориентироваться во всем многообразии СКУД и выбрать самую экономичную и одновременно надежную в эксплуатации
Места монтажа
Перед тем как монтировать СКУД, специалисты, совместно с заказчиком, выбирают места монтажа. Например, электромеханические и электромагнитные замки, а также электрические защелки крепятся на дверное полотно. На места въезда или прохода устанавливают шлагбаумы, ворота и т.д. Монтаж таких систем должен проводиться квалифицированным персоналом. Можно заказать такую работу специальной фирме или сделать самому. В последнем случае необходимо купить комплект СКУД. Также необходимы определенные знания по монтажу устройств.
Нужен ли он в доме?
Многие домовладельцы устанавливают у себя такую систему для обеспечения безопасности своего жилища. Эффективнее всего она будет в больших квартирах, частных домах или коттеджах. Домашний СКУД обладает следующими возможностями:
- Возможность открытия дверей на расстоянии. Доступ дается родным или гостям.
- Защита материальных ценностей.
- Быстрый и удобный вход с помощью смартфона, карты или брелока. Также возможен проход, используя отпечатки, сканирование взгляда или биометрический контроль руки.
- Активация сирены. Она срабатывает, если в дом пытаются проникнуть посторонние. Оповещение о несанкционированном проникновении придет смской или на электронную почту.
- Учет всех событий. Владельцы могут узнать, кто когда приходил и уходил.
- Ограничение доступа к определенным комнатам в жилище.
- Возможность заблокировать идентификатор в случае его утери.
Домовладельцы могут заказать оснащение системы дополнительным оборудованием. Что входит в скуд в этой категории? В нее включены датчики положения двери, видео, аудиодомофоны и т.д. Установка таких устройств потребует дополнительных финансовых вложений. Все современные СКУД не боятся отключения электричества. Бесперебойную службу им обеспечивает встроенный аккумулятор.
Как расшифровать классификацию систем СКУД
По техническим параметрам и потенциалу все можно разделить на две группы. Давайте рассмотрим подробнее.
Если классифицировать по техническим компонентам, то категории будут следующими:
- степень идентификации;
- количество регулируемых мест;
- объемы передвижения людей по почте;
- сколько людей может обработать память;
- как окружающая среда влияет на это.
Функциональные критерии:
- насколько эффективна защита от разрушения;
- уровень секретности;
- вы можете своевременно вносить изменения в программное обеспечение;
- автоматическая идентификационная работа;
- определение карточек разного уровня для сотрудников в зависимости от инстанции;
- бухгалтерский учет и анализ данных;
- надежность срабатывания замков на местах;
- печать любой информации, запрошенной пользователем.
Назначение и задачи СКУД
Система
контроля и управления доступом (СКУД)
– это совокупность программных и
технических средств, а также
организационно-методических мероприятий,
с помощью которых решается задача
контроля и управления посещением
охраняемого объекта.
СКУД
может решать такие задачи, как оперативный
контроль местонахождения персонала и
время нахождения персонала на объекте.
С помощью программных средств реализуется
функция расчёта отработанного сотрудниками
времени. Зачастую на предприятиях СКУД
интегрируется с системой охранно-пожарной
сигнализации для комплексного решения
задач безопасности. Тем самым можно
обеспечить реакции охранной на попытки
несанкционированного доступа, взлома
дверей и т.п.; возможность автоматической
постановки/снятия с охраны помещений
по факту прохода в зону доступа сотрудника;
предоставление свободного выхода в
случае возникновения пожара.
Чем отличаются варианты СКУД
Работа системы контроля доступа координируется программным обеспечением и устройствами, которыми оснащен тот или иной объект. Они могут отличаться по назначению и принципу действия. Двери, ворота, турникеты, сигнальная световая индикация, датчики слежения, видеокамеры — все эти и многие другие приборы выполняют уникальные функции. Каждый из них индивидуально подбирается для конкретного предприятия или учреждения.
Кто-то предпочтет, чтобы контроль доступа осуществлялся с помощью биометрической технологии, тогда как другие пользователи решат, что достаточно карты с магнитной полосой. На предприятии A биометрическим выбором могут быть отпечатки пальцев, а на предприятии B — сканирование лица. Потребности в безопасности и предпочтения сильно различаются, поэтому разнообразие предложений не ограничено.
Даже в рамках одной технологии существуют различия в компонентах, опциях и цене. Все системы контроля доступа имеют общую черту — они зависят от человека. Роковой ошибкой заказчика может быть пренебрежение человеческим фактором при чрезмерном упоре на технологическую сторону. Это происходит тогда, когда идет поиск возможностей сократить расходы за счет полной замены сотрудников службы безопасности электронными устройствами.
Типы СКУД:
- Выборочный доступ предполагает решение высшего руководства о том, кто может читать конфиденциальные файлы.
- Обязательный доступ позволяет пользователю создавать новые документы, но не дает ему административных прав для этой информации. То есть, исполнитель разрабатывает текст, но не принимает решение, кого допустят к этим данным, а также, кто сможет редактировать файл. Этот тип допуска широко используется в военных и финансовых учреждениях.
- Доступ, основанный на роли пользователя в организации — одна из наиболее распространенных СКУД. Например, менеджмент среднего звена имеет доступ на второй этаж, высшему руководству разрешен доступ на все этажи, а всем остальным — только на первый этаж.
- Доступ на основе правил — самая современная разновидность СКУД. Он основан на IP пользователя и на заранее разработанных правилах внутреннего распорядка. Это четко сформулированный перечень требований для отслеживания перемещений внутри учреждения, включая конкретизацию времени и места.
Цены систем контроля и управления доступом (СКУД) и отдельных компонентов: обзор рынка с комментариями
Бренд/Модель | Средняя цена (по состоянию на апрель 2018 г.), руб. | Примечания |
S-G/ Hard 1 |
5422 | Комплект СКУД для одной двери: замок; контроллер, контактная площадка, кнопка для разблокировки дверей, ключи, источник питания. |
BOLID/ C2000-2 |
3400 | Универсальный контроллер доступа на два считывателя Болид C2000-2 применяют в комбинации с турникетами, дверями, шлагбаумами. |
Anviz/ T5Pro |
9500 | Универсальный считыватель отпечатков пальцев и для идентификации с применением беспроводных технологий RFID. |
Ростов-Дон/ Т73М1 |
60700 | Современный турникет с датчиком расположения штанг магнитного типа. |
AccordTec/ AT-SN net |
7450 | Система управления и контроля доступом с функцией учёта рабочего времени. В комплекте имеется ПО для формирования отчётов по установленным временным интервалам. |
Что такое СКУД в охране, решают с учётом специфики конкретного предприятия. Для экономии средств следует внимательно подготовить проектную документацию на основе реальных режимов работы. Для дополнительных консультаций пользуйтесь комментариями к данной публикации. Здесь же оставляйте свои замечания и комментарии по опыту подключения и эксплуатации.
Особенности монтажа системы контроля и управления доступом показаны в этом видео:
Процесс идентификации
В основу работы СКУД заложен процесс идентификации. Он подразумевает процедуру сравнения идентификационной информации с шаблонами, которые уже хранятся в памяти системы. Данные функции выполняет специальное оборудование – считыватели, а те передают информацию блоку управления.
Идентификация осуществляется следующими способами:
- По кодовому слову (паролю), которое запоминает пользователь и вводит вручную на клавиатуре, кодовом устройстве или, используя другое оборудование. Преимуществом способа выступает отсутствие материального носителя и денежных трат на него.
Однако секретность доступа очень низкая, ведь нередко код записывают на бумажном носителе и хранят на видных местах. Другой проблемой являются ошибки при наборе кодового слова, что снижает скорость прохода сотрудников на предприятие. - По коду, который хранится на физическом носителе. В качестве идентификатора используются электронные ключи, брелоки или карты, на которые записан код.
- Биометрическая идентификация – в качестве кода здесь используются биометрические данные конкретного человека – отпечаток пальца, рисунок вен ладони, лицо, рисунок радужной оболочки глаза.
Контроль доступа
IAM — Identity and access management
Решения для управления идентификацией и доступом к ресурсам, устройствам, сервисам и приложениям. Решения данного класса часто входят в состав более сложных систем защиты.
IGA – Identity Governance and Administration
Развитие технологий Identity Management (IdM) и IAM привело к возникновению нового класса решений для идентификации и управления доступом – IGA. Основное отличие между ними заключается в том, что IGA предлагают более гибкие настройки и процессы согласования доступа к ресурсам, а также имеют системы разделения ответственности для критичных бизнес-операций и системы оценки рисков при настройке ролей.
PAM – Privileged Access Management
Данный класс решений призван затруднить проникновение в сеть и получение доступа к привилегированным учетным записям, а также усилить защиту привилегированных групп пользователей. Помимо этого, PAM также расширяет возможности мониторинга, видимости и детализированного управления привилегированными учетными записями. Заметим, что для обозначения систем контроля привилегированных пользователей, встречаются и другие наименования данного класса решений, например: Privileged User Management (PUM), Privileged Identity Management (PIM), Privileged Password Management (PPM), Privileged Account Security (PAS).
SDP – Software Defined Perimeter
Программно-определяемый периметр, также известный как Zero Trust Network Access (ZTNA). Это новый подход к защите удаленного доступа к сетевым службам, приложениям и системам как локально, так и в облаке. SDP распределяет доступ к внутренним приложениям на основе личности пользователя и с доверием, которое адаптируется под текущий контекст. Помимо прочего, SDP делает инфраструктуру приложений невидимой для интернета, что позволяет избежать сетевых атак.
Виды
По типу управления
- Автономные – проход без контроля оператором и доклада на центральный пульт.
- Централизованные – доступ разрешает центральный пульт.
- Универсальные – возможность перехода на автономную работу при неисправности сетевого оборудования обрыве связи, выходе из строя центрального пульта.
По классу функциональных возможностей
1. Первый – ограниченный функционал.
Автономные системы с простейшим набором функций на небольших объектах без необходимости объединения контролируемых объектов в единый комплекс с централизованным управлением. Комплектация включает исполнительный элемент, считыватель и контроллер. Пример – бюджетные замки со считывателями носителей электронного ключа или встроенными кодонаборниками. Возможно подключение кнопок выхода, герконов открывания, ИК-датчиков.
2. Второй – расширенные функции.
Недорогие комплексы на базе нескольких контроллеров с увеличением количества обрабатываемой информации и числа пользователей, а также обязательным использованием компьютера для программирования всех контроллеров, сбора и анализа информации, составления отчётов и сводок, эффективного отслеживания ситуации на объекте.
3. Третий – многофункциональные системы.
Самые хорошие многоуровневые сетевые комплексы для большого числа пользователей с контроллерами, объединёнными в локальные сети, которые предлагают лучшие производители. Используются при необходимости контроля времени прохода с применением сложных электронных идентификаторов.