Модернизация системы контроля доступа
Актуальность проблемы
Два требования, которым должна соответствовать система контроля доступа: отвечать стандартам безопасности и ключевым бизнес-процессам компании.
Соответствие стандартам безопасности
Промышленным стандартом физического контроля доступа принято считать идентификаторы 125 кгц. Основная причина их популярности: низкая стоимость. Недостатки: отсутствие возможности перепрограммирования, незащищенность технологии, как следствие, простота подделки и копирования.
Наличие передовых технологий идентификации, реализованных в смарт-картах 13,56 мгц линейки iCLASS SE с дополнительными средствами шифрования модели SIO, возможность комбинирования нескольких способов идентификации, включая биометрию, применения карты доступа как единого идентификатора для входа в помещение и к ИТ-ресурсам компании – основные предпосылки для пересмотра корпоративных политик в вопросах аутентификации и идентификации.
Таблица оценки защищенности технологий идентификации
| Угроза безопасности | ||||
| Повторное воспроизведение | Клонирование | Конфиденциальность данных | Дополнительный уровень безопасности | |
| Защита от угроз | ||||
| Взаимная аутентификация | Диверсификация ключа | Шифрование DES, 3DES, AES | Привязка к UID/CSN, CMAC 96 | |
| Технология RFID | ||||
| EM Marine | Нет | Нет | Нет | Нет |
| Mifare | Да, но открытая | Нет | Нет | Нет |
| DESFire EV1 | Да | Да | Да | Нет данных |
| iCLASS SE | Да | Да | Да | Да |
Соответствие ключевым бизнес-процессам компании
Необходимость замены вышедших из строя аппаратных частей системы, потребность в новом функционале и расширении системы, интеграция с корпоративными системами, такими как 1C и SAP ставят вопросы о необходимости модернизации аппаратной или программной частей системы контроля доступа.
Варианты перехода на защищенные технологии идентификации
Технология Secure Identity Object™ (SIO)
- обеспечивает многоуровневую защиту данных
- представляет собой электронный контейнер для хранения данных в любом из форматов карт
Как это работает: во время кодирования карты происходит привязка к уникальному идентификатору носителя UID с последующим заверением записанной информации электронной подписью. Присвоение UID и наличие электронной подписи исключают возможность копирования информации и взлома защиты карты.
Различают несколько концепций перехода с устаревших технологий на защищенные:
- полная замена программной и/или аппаратной частей, в случае, если установленная на объекте система не подлежит модернизации
- замена или обновление программной части, в случае, если ПО не поддерживает современные технологии или форматы карт
- поэтапная замена аппаратной части (считыватели и /или карты)
Каждый из вариантов подразумевает проведение экспертной оценки и экономического расчета.
Полная замена программной и/или аппаратной частей системы СКУД
Целесообразно, в случае, если система СКУД не соответствует ни критериям безопасности, ни ожиданиям бизнес-заказчика. Основным достоинством данного варианта является возможность не только внедрить передовые технологии, но и обеспечить совместимость и преемственность технологий при последующих обновлениях системы. Ключевой недостаток решения: высокие единовременные инвестиции.
Замена или обновление программной части
Функциональные ограничения действующей системы с точки зрения программного обеспечения, отсутствие программной поддержки передовых технологий идентификации и форматов карт, недостаточная совместимость и преемственность версий ПО - наиболее частые причины замены управляющего ПО системы СКУД.
При выборе управляющего ПО целесообразно обращать внимание на известность марки и поставщика, программную поддержку систем и оборудования. Интегрированная система комплексной безопасности TerraID базируется на собственном программном обеспечении и высокотехнологичном современном оборудовании ведущих мировых брендов: HID Global (контроль доступа), Suprema (биометрическая идентификация), FARGO (персонализация карт), Digifort (видеонаблюдение), ABBYY (распознавание документов), ASB Security (пожарная сигнализация) и др.
Программное обеспечение TerraID – продукт TerraLink, одного из ведущих системных интеграторов, который более 20 лет занимает лидирующие позиции на рынке информационных технологий.
ПО TerraID поддерживает передовые технологии идентификации и форматы карт, позволяя организовать комплексную систему безопасности с различными комбинациями идентификации, в том числе совместное использование защищенных технологий iCLASS SE на базе новой модели шифрования SIO и доступ по отпечатку пальца.
Программный продукт компании TerraLink
Предназначен для организации корпоративных систем безопасности и контроля доступа.
Ключевая особенность в области идентификации: позволяет полноценно использовать функциональные особенности оборудования HID Global и биометрии Suprema.
Комбинация различных идентификаторов, например, отпечаток пальца и защищенные смарт-карты iCLASS SE c SIO, обеспечивает необходимый уровень безопасности и комфорта работы с TerraID.
Поэтапная замена аппаратной части
Основными критериями выбора данного способа обновления системы является равномерное распределение затрат на модернизацию системы, возможность заказчика самостоятельно определить временной период перехода на новую систему и какой функционал необходимо внедрить в первую очередь.
Немаловажным является возможность обеспечения бесперебойной работы системы в период перехода на более защищенные технологии, а также безболезненность перехода для администраторов системы и сотрудников компании.
Исходя из критериев оценки ниже предложено два варианта перехода на защищенные технологии идентификации.
Механика постепенного перехода на защищенные технологии идентификации
Мультитехнологичные карты
Постепенная замена proximity-карт сотрудников на мультитехнологичные карты HID Global с последующей заменой считывателей на устройства, поддерживающие защищенные технологии идентификации.
BioEntry Plus / BioEntry W Дактилоскопический считыватель
Поддержка технологий:
- 125кгц EM, HID Prox
- 3.56мгц Mifare/DesFire,iCLASS
3 варианта режима идентификации:
- отпечаток пальца
- карта
- карта + отпечаток пальца
Достоинства:
- выпуск карт может быть длительным
- затраты могут быть поэтапными
- считыватели могут быть заменены позже
Недостатки:
- мультитехнологичные карты дороже обычных идентификаторов
Мультитехнологичные считыватели
Постепенная замена считывающих устройств на мультитехнологичные считыватели HID Global, которые обеспечивают поддержку технологий 125 кгц и 13.56мгц, включая iCLASS SE c моделью шифрования данных SIO для последующей замены proximity-карт сотрудников на смарт-карты.
Достоинства:
- затраты могут быть поэтапными
- карты могут быть заменены позже
- выдача карт – простой и постоянный процесс
Недостатки:
- мультитехнологичные считыватели дороже обычных считывателей
Комбинированные считыватели HID multiCLASS SE®
- идеально подходят для плавного перехода со старых систем контроля доступа на новые
- поддерживают следующие технологии:
Механика перехода на систему с многофакторной идентификацией
Для перехода на систему СКУД с многофакторной идентификацией используют мультитехнологичные биометрические считыватели или терминалы марки Suprema, которые кроме дактилоскопического сенсора оснащены встроенными считывателями карт с поддержкой технологии 125кгц E-Marine, HID Prox и 13.56мгц форматов Mifare, DesFire и iCLASS SE.
Особенность данного подхода: возможность для разных пользователей или групп пользователей настроить разные режимы доступа. Например, для рядовых сотрудников настроить доступ только по карте, для входа в служебные помещения по отпечатку пальца, для сотрудников, наделенных высокими правами доступа использовать многофакторную идентификацию: по карте и отпечатку пальца.
Данный способ миграции имеет аналогичные достоинства и недостатки, что и ранее рассмотренный вариант перехода на защищенные технологии идентификации, используя мультитехнологичные считыватели.
Резюме
Проведение аудита и экономического расчета для выбора способа модернизации действующей системы СКУД целесообразно в случае несоответствия системы бизнес-процессам компании и стандартам безопасности.
При выборе программной части системы необходимо обратить внимание на совместимость и преемственность версий программного обеспечения, возможность расширения системы, мультивендорного подхода поддержки оборудования и вариаций добавления нового функционала.
При выявлении угроз, вызванных подделками или копированием идентификаторов, переход на защищенные технологии идентификации можно осуществить постепенно, используя мультитехнологичные считыватели или мультитехнологичные карты HID Global. для перехода на многофакторную идентификацию целесообразно применять мультитехнологичные биометрические считыватели Suprema.
Возможность совместной эксплуатации мультитехнологичных считывателей HID Global и Suprema в одной системе под управляющим ПО TerraID расширяет комбинации перехода на передовые защищенные технологии.