Степень безопасности использования различных технологий идентификации
На сегодняшний момент существует множество технологий, успешно используемых в системах, контролирующих регламентированный проход на территорию охраняемого этой системой объекта. В частности, это:
- ИК-код;
- штрихкод;
- магнитная полоса;
- индуктивный код;
- радиоканальные карты;
- биометрические системы;
- Smart-карты,
из которых ИК-код, штрих-код, индуктивный код и магнитная полоса практически не используются в современных системах, так как они зарекомендовали себя как не слишком удобные в использовании или плохо защищенные от несанкционированного использования. При работе современных систем контроля и управления доступом (СКУД) сегодня наиболее широко применяются радиоканальные карты, а также Smart-карты и биометрические считыватели. Таким образом, цель данной статьи – подробное рассмотрение последних трех позиций в вышеприведенном списке в приложении их к современным системам контроля и управления доступом. Важным отличием биометрических считывателей, особенно ценным в технологиях, обеспечивающих безопасность, является идентификация одного из биометрических параметров человека, а не карты или идентификатора. Таким образом, идентификационные данные не могут быть переданы другому человеку или украдены, а это незаменимо для обеспечения безопасности на режимном предприятии. К тому же считывание биометрических показателей является очень надежным методом идентификации. Таким образом, можно не учитывать человеческий фактор и вовсе отказаться от охраны пропускного пункта. Однако за все достоинства подобных устройств ввода идентификационных признаков приходится платить уменьшением пропускной способности проходной засчет медленного темпа работы, ограниченные условия эксплуатации и дороговизны. Именно из-за этого биометрические системы контроля и управления доступом не слишком распространены. Однако в случае, когда речь идет об особо секретных объектах или важных зонах предприятия, эти недостатки сглаживаются тем, что количество лиц, имеющих допуск, ограничено. И в большинстве случаев высокая цена не останавливает владельцев предприятий. Все это окупается надежным способом идентификации человека, которую обеспечивает естественная неповторимость биометрических параметров каждого человека. Это позволяет надеяться на то, что повсеместное распространение систем обеспечения безопасности, основанных на биометрии, - это всего лишь вопрос времени.
Считыватели радиоканальных карт установлены на предприятиях, засекреченных менее основательно, нежели вышеозначенные. Это самые распространенные объекты, безопасность которых, несомненно, важна, но скорее на бытовом, нежели на государственном уровне. Существуют различные протоколы передачи информации, используемые при работе радиоканальных считывателей: Em-Marin, Deis-ter, Hitag1/Hitag2, HID. Все они предполагают использование при работе частоты в 125 кГци при проведении сеанса связи между считывателем и картой передают в открытом виде UIN карты. Основной сильной стороной считывателей, основывающихся на работе с радиоканалами, это отсутствие задержек при идентификации, работа на расстоянии от 0 до 1 метра, невысокая стоимость и предельная простота в обслуживании. Но простой доступ к радиоканалу в момент открытой передачи UIN позволяет легко перехватить эту информацию, которую позже можно будет использовать для незаконного доступа на объект. В этом случае может использоваться функция запрета повторного прохода. Это может стать проблемой для личностей, планирующих несанкционированный визит, однако от копирования карты и ее дальнейшего использования злоумышленником не защитит. В целях обеспечения безопасности именно от копирования идентификационных данных используется новая Smart-технология. Для сеанса связи между считывателем и Smart-картой и используется частота 13,56 МГц. Smart-протоколы бывают следующих видов: Legic, Mifare, iC-lass. Общей особенностью перечисленных протоколов является то, что каждая Smart-карта оснащена встроенной памятью с несколькими секторами и вычислительным процессором. Чем выше частота передачи, тем больше скорость обмена данными между считывателем и картой. Плюс к тому, в отличие от обыкновенного радиоканального считывателя, обмен данными происходит в три этапа, каждый из которых представляет собой посылку разнообразной по содержанию информации. Это препятствует копированию идентификационного номера карты. Например, карта стандарта Mifare при попадании в рабочее поле Smart-считывателя отправляет ему не только UIN, но и случайное число. Считыватель отправляет обратно в карту обработанное число; такой обмен происходит еще раз. После второго вычисления со считывателя на контроллер УПУ направляется номер карты, который, в случае совпадения с данными контроллера, служит ключом для пропускного устройства. Исходная информация для вычислений меняется раз от раза. Таким образом гарантируется подлинность карты стандарта Mifare, а не использование ее копии. Исходя из этого, можно сказать, что копирование данных путем вторжения в радиоканал будет бесполезным. Причем из-за разбиения памяти на сектора Smart-карты могут обеспечивать доступ к различным отделам и помещениям охраняемого объекта: ведь ту информацию, которая в случае радиоканальной идентификации пришлось бы записывать на разные карты, в памяти Smart-карты разносятся в разные сектора. Контроллеры таких систем контроля и управления доступом при этом могут быть не связаны между собой. Когда система состоит из автономных контроллеров, Smart-карта связывает оператора СКУД и недоступные для него пункты доступа. Оператор может внести изменения в Smart-карту, а не в удаленный контроллер. Такая централизованность позволяет экономить человеческие и материальные, а также временные ресурсы. Еще эта характеристика Smart-карт может обеспечивать системность СКУД и связывание их в единую сеть с единым головным рабочим местом оператора, которая может быть значительно разнесена по пространственным характеристикам. Таким образом, можем сделать следующие выводы: по результатам нашего анализа особенностей радиоканальной, биометрической и Smart-технологий обеспечения безопасности объектов, выбор требуемой системы контроля и управления доступом должен основываться на уровне требований к безопасности охраняемого объекта. Радиоканальные карты удобны для использования на предприятиях с большим количеством работников, имеющих доступ в закрытую зону, а также с требованиями в плане безопасности, близкими к стандартным, так как они наименее хорошо защищены от перехвата данных и передачи. Smart-технологии обеспечивают большую безопасность, но все же они не гарантируют невозможность передачи карт посторонним лицам. Биометрические же системы необходимо применять на объектах с высокой секретностью, так как могут наиболее достоверно идентифицировать личность входящего там, где их применение в связи с высокой стоимостью аппаратуры будет оправдано.
Повышение уровня безопасности УВИП с помощью комплексного применения нескольких технологий идентификации
Комплексное соединение ряда технологий идентификации в едином УВИП значительно повышает надежность идентификации пропускаемых в зону с ограниченным доступом людей. Проще всего в таком случае использовать комбинацию, которая давно и прочно зарекомендовала себя, - а именно сочетание Smart- или радиоканальной технологии с устройством для набора кода. Большинство производителей именно из этого расчета и формируют линейку своей продукции; считыватель с кодовой клавиатурой занимает в таких списках важное место. Таким путем постороннее лицо не сможет использовать карту или, тем более, воспользоваться считанным UIN. К тому же, если злоумышленником производится давление на сотрудника, имеющего доступ в защищенную зону, клавиатура для набора кода может послужить единственной возможностью нажать тревожную кнопку незаметно для несанкционированного посетителя. Но в том случае, когда карта и код передаются сотрудником лицу, не имеющему доступ в данную зону, умышленно, этот способ идентификации непригоден. Комплексное объединение устройства для набора кода и приборов для считывания биометрических параметров позволяет не только воспользоваться всеми преимуществами, описанными в предыдущем случае, но и решает вопрос передачи кода или карты по сговору, так как биометрические параметры разнятся от личности к личности. При этом решается проблема длительного поиска эталона для объекта идентификации, так как этот поиск осуществляется сразу по двум параметрам – биометрии и внесенному коду, соотнесенным в модели. По той же причине кодонаборная клавиатура часто заменяется радиоканальным устройством, что позволят избавиться от недостатков сразу обеих систем. Также интересным вариантом представляется сочетания считывателей биометрических параметров и Smart-карт. Такая аппаратура создает два возможных режима работы. Первый – обыкновенный Smart-режим, описанный выше. Второй – использование Smart-карты в качестве места хранения биометрической информации о владельце, к примеру, отпечатка пальца. Когда карта находится в рабочем поле считывателя, информация с нее сравнивается с образцом, предъявленным к биометрической идентификации. При совпадении производится пропуск объекта в защищаемую зону. Очень важным видится нам то обстоятельство, что номера Smart-карт занимают в памяти устройства значительно меньше места, чем образцы отпечатков, которые в этом случае хранятся в памяти карт. Это приводит к тому, что количество объектов, зафиксированных в памяти устройства, значительно возрастает, хотя все же не является бесконечным.
Защита от несанкционированного управления УВИП и физического воздействия на устройства
Расположение устройств ввода идентификационных признаков вне зоны, которая становится безопасной благодаря их работе, делает их уязвимыми для попыток несанкционированного управления ими. Нарушитель может просто сломать считыватель и беспрепятственно проникнуть в защищаемую зону или воспользоваться незащищенной линией связи, не взламывая стену, а также похитить устройство. В том случае, если связь между устройством контроля доступа и собственно контроллером не наблюдается в реальном времени, как интерфейс Wie-gand, то оператор окажется в полном неведении об утрате прибора. Беззащитную линию связи можно заставить реализовать открытый протокол, после чего воспользоваться симулятором номеров карт и получить доступ к защищенной зоне. Если вы против такого развития событий, то вам стоит обеспечить перманентный мониторинг линии связи «контроллер – считыватель», закрытый протокол передачи информации или, в крайнем случае, оградить линию связи от вторжения саботажной линией, а собственно устройство ввода идентификационных параметров - тамперным контактом, запрограммированным на распознание отрыва или вскрытия.
Также вы можете попытаться защитить считыватель с помощью помещения его внутрь стены. Приемно-передающая антенна, правда, должна в любом случае находиться снаружи. Однако если это будет выдавать присутствие системы, то демонтировать вмурованный в кладку прибор будет значительно сложнее, чем ничем не защищенный. Оправданно также использование уличных кожухов с повышенной взломоустойчивостью.
Самым главным негативным последствием кражи устройства ввода идентификационных признаков является доступ к хранящейся в его памяти базе данных всех имеющих доступ к закрытой зоне сотрудников. Само собой разумеется, что объекты с повышенной секретностью или государственной важности не имеют право так подставлять себя и свой коллектив. Поэтому при создании системы контроля и управления доступом лучше создать базу данных биометрических и иных параметров не в памяти считывателя, а в хранилище контроллера. К тому же это позволяет расширить такую базу, поскольку кроме нахождения контроллеров внутри защищенной зоны и, как следствие, недосягаемости для злоумышленников, память контроллера существенно больше памяти собственно УВИП. Это помогает сохранять большое число данных без опасности попадания их не в те руки. Контроллеры с подобными функциями уже разработаны и позволяют увеличить размер базы данных до 100 000 идентификационных признаков в режиме автономной работы. Естественным следствием разработки такой системы стала усовершенствованная защита связи внутри системы «считыватель-контроллер», кодирование передаваемых данных и перманентный контроль над линией связи.
Нами уже было подмечено, что радиоканальная технология идентификации обладает значительным минусом – возможностью копирования идентификационных номеров карт. Для этого всего лишь требуется оборудование для съема данных по открытому радиоканалу, что позволяет копировать номера карт, находящихся на связи со считывателем. Возможно и по-другому скопировать информацию с карты: при этом используется специальное устройство, которое карта воспринимает как считыватель, и данные копируются в любом месте, например, на улице, а не только на режимном объекте. Если подобное устройство обладает достаточно мощным передатчиком и высокотехничной антенной, рабочее поле его копировальных способностей может достигать метра. Против появления двойных карт может помочь либо использование Smart-устройств, либо комплексные средства идентификации. И, естественно, стоит защитить связь "считыватель-контроллер", иначе применяемые средства безопасности не приведут к должному результату.