Методика побудови системи доступу на об'єкт
Тепер, після того, як описані загальні підходи до контролю доступу на об'єкт і описані основні елементи системи доступу, представляється доцільним дати деякі рекомендації по побудові подібної системи.
В якості одного з варіантів рішення цієї задачі можна рекомендувати наступний шлях.
Спочатку необхідно проаналізувати навколишню дійсність з позиції переміщень осіб і вантажів. Необхідно уважно простежити увесь технологічний процес роботи вашої фірми або відділу, звертаючи увагу на наступні загальні моменти.
Приміщення. В першу чергу закриттю підлягають ті приміщення, в яких знаходяться ресурси (інформаційні, матеріальні, людські), втрата, псування, модифікація або розголошування яких може привести до повної або часткової зупинки виробничого циклу отримання основних прибутків підприємства.
До приміщень, що закриваються, відносять також ті, в яких є цінності, втрата яких хворобливо відіб'ється на основному виробництві, хоча і не приведе до фатальних наслідків, а також приміщення, де знаходиться устаткування, яке важко заповнити або що має високу вартість (що далеко не завжди співпадає). Сама фірма є цінністю, тому не забудьте включити в зону охорони усю її територію.
Групи осіб. Набагато важче буває визначити, яке коло осіб вас відвідує і повинен відвідувати, в який час ним має бути дозволений доступ і в які приміщення і, найголовніше, чи є необхідність це робити.
Традиційно виділяються три головні групи осіб - це співробітники вашої організації, відвідувачі і зловмисники (разом з першими і другими).
Дуже часто виділяється більше число груп осіб, наприклад, здійснюється ділення співробітників на "командний склад" і "рядових співробітників", постійних працівників і тимчасових, а відвідувачів на разових, тимчасових і постійних.
Погрози. Наступним етапом цієї далеко не простої роботи є аналіз можливих погроз і категорирование приміщень на основі цього аналізу. Навіть поверхнева оцінка на рівні "Кому може бути цікаво те, що знаходиться в цьому приміщенні, і наскільки виражений цей інтерес"?, "Від кого захищаємося"? дозволяє знайти заходи, які необхідно прийняти для забезпечення безпеки, і оцінити (порівняно з вартістю цінностей, що зберігаються) витрати, які дозволено понести.
Як правило, кожному приміщенню (приймальня, вхід, бухгалтерія, склад, кабінет керівника, відділ 1, відділ 2, АСУ, виробничий майданчик, туалет, .) ставляться у відповідність потенційні погрози (хуліганство, крадійство зовнішнє або внутрішнє, установка засобів прослуховування, доступ до обчислювальних засобів, доступ до документами, архівам, виведення з ладу устаткування, ..).
Категорирование приміщень - етап об'єднання і виділення груп приміщень. Категорирование можна проводити (мінімально) по трьох параметрах: по рівню закритості приміщення (рівню допуску осіб, доступ яким дозволений), по надійності замикання і по завантаженості проходу в приміщення (частоти проходів людей).
Наприклад, виробничий майданчик і склад, де зберігається готова продукція, в малій виробничій фірмі можуть мати однаковий рівень закритості і коло осіб, у яких є допуск в ці приміщення, проте з точки зору фізичної надійності замикання і частоти відвідувань, швидше за все, доведеться встановити різні категорії.
Спробуйте скласти таблицю з вказівкою найменування приміщень і параметрів категорирования, по таблиці простіше встановити загальні категорії для декількох приміщень, дати найменування категоріям. Нижче наведений приклад такої таблиці.
Далі необхідно намалювати план приміщень, що підлягають захисту з урахуванням "підступів" до вашої фірми, сходових клітин, проходів, коридорів і тому подібне. Насамперед обкреслите зовнішню межу підконтрольних приміщень, тобто встановите зовнішню межу зони контролю. На плані надпишіть найменування приміщень, параметри категорирования. Передбачите "круговий захист" по межі зони.
| Рівень завантаженості | Надійність замикання ((рівень закритості) | Частота відвідувань ((завантаження проходу) | |
| Приймальня | висока | середня | середня |
| Бухгалтерія | середня | висока | низька |
| Склад | середня | висока | низька |
| Кабінет керівника | висока | висока | середня |
| Відділ 1 | низька | середня | низька |
| Відділ 2 | низька | середня | низька |
| АСУ | низька | висока | середня |
| Виробнича майданчик | середня | середня | низька |
| Туалет | висока | низька | середня |
Традиційною помилкою при організації межі виступає те, що адміністратори безпеки забувають про маловикористовувані проходи, двері або вважають достатнім замикання цих шляхів сполучення на засув або клямку зсередини приміщення.
Не забувайте, будь-яка система контролю за людьми працює у ворожому людському оточенні і 95 % посягань на функціонування системи здійснюють ваші працівники.
Рівень технічної укрепленности. Немає сенсу ставити замок з шістьма ригелями на дерев'яні двері, або залізні двері в дерев'яну коробку, або металеву коробку з дверима на тимчасову перегородку з гипсокартона. Рівень захисних властивостей системи "Стіна - дверний блок - засіб замикання" має бути приблизно однаковим.
Наступним етапом роботи над ним може бути визначення зон охорони і рубежів контролю.
Рубежі контролю і зони охорони. Зоною охорони вважатимемо обмежену рубежами контролю площу, що складається з групи або одного приміщення. Встановлення рубежу контролю - організація "непереборних" перешкод на шляхи дотримання осіб і вантажів, а також визначення порядку дотримання через ці рубежі підконтрольних суб'єктів. Остаточною метою цієї роботи є об'єднання приміщень, що мають близькі категорії доступу, в загальні зони охорони і оптимізація кількості цих зон і рубежів контролю і, як наслідок, вартості витрат на організацію і підтримку режиму контролю.
Маршрутизація переміщень. При проведенні роботи по розміщенню рубежів контролю доведеться скласти ще декілька допоміжних схем, що відбивають маршрути переміщень осіб, властивих специфіці роботи вашої організації, - маршрутизацію проходів.
Для цього необхідно поставити себе на місце людини, що належить до кожної з прийнятих вами груп осіб, і простежити за планом приміщень або прямо по об'єкту, як ви проходитимете під час приходу на робочі місця, переміщатиметеся під час робочого дня і йтимете після роботи. Необхідно визначити порядок прийому, супроводу і відходу відвідувачів.
Складіть детальні маршрути і документи, що визначають порядок дотримання для усіх груп осіб. Пильній увазі підлягає питання доступу на об'єкт у вечірній і нічний час, святкові дні, а також у разі аварійних і нештатних ситуацій. Завершенням цієї роботи буде визначення розташування рубежів розмежування доступу на шляхах переміщень людей, маючи на увазі неможливість їх обходу.
Багато фірм пропонують різноманітні засоби автоматизації управління доступом "західного", "східного" і вітчизняного виробництва. Це автоматизовані контрольно-перепускні системи "Електронна прохідна", мережеві комп'ютеризовані системи електронних замків (інтегровані в єдині пожежно-охоронні системи), автономні електронні замки, системи механічних замків і інші (різноманітні по вирішуваних завданнях, складності і конфігурації) засоби.
Нижчеприведений список компонентів є загальним практично для усіх технічних засобів управління доступом:
- - перешкода, що одночасно є засобом пропуску персоналу;
- - керований пристрій для підтримки перешкоди в закритому стані (нормально доступ має бути заборонений);
- - засоби управління пристроєм замикання з модулем ідентифікації;
- - ідентифікатори.
При ухваленні рішення про впровадження якої-небудь системи управління доступом традиційне прагнення одним комплексом (чи моделлю) устаткування вирішити, якщо не усе, то більшість завдань у сфері управління доступом, хоча такий підхід не завжди є виправданим, оскільки сукупність висунених вимог суперечлива.
Приміром, шлюзові двері представляють найбільш надійний засіб контролю проходу, проте їх пропускна спроможність дуже низька (згадаємо про час масового приходу/відходу на робочі місця), що значно утрудняє їх впровадження. Опора на здоровий глузд у кожному конкретному випадку приносить значну економію витрат.
В результаті робіт по організації системи доступу на об'єкт повинне з'явитися розуміння наступних моментів :
- -що знаходиться в цьому конкретному приміщенні;
- - як часто відвідується кожне приміщення (раз на добу);
- - яке коло осіб повинне відвідувати приміщення (по групах осіб, виділених раніше);
- - в який час, яким групам осіб доступ в це приміщення має бути дозволений;
- - якими заходами досягається розмежування доступу в приміщення, і який порядок доступу сьогодні, коли проводиться аналіз;
- - ким, де і яким чином здійснюється видача, зберігання і облік ключів, пропусків або інших засобів ідентифікації;
- - яка механічна надійність замикання існуючих засобів і їх технічний стан;
- - яка технічна укрепленность об'єкту (його стан - сьогодні і в перспективі);
- - яким чином позначиться на виробничому процесі застосування засобів контролю;
- - хто здійснюватиме контроль і управління доступом (хто буде відповідальним адміністратором системи).
Впровадження будь-хто, навіть суперавтоматизованою, системи управління доступом в приміщення не звільняє повністю людину від участі в цьому процесі. Введення контролю за доступом означає, передусім, створення перешкод на шляхи будь-якої людини - не лише зловмисника, але і охочого потрапити в приміщення, що захищається, по службовій необхідності. Чим вище надійність механічного замикання перешкоди і складність ідентифікації користувача, тим більший час, як правило, займатиме процес пізнання і відмикання проходу.
Ці чинники у поєднанні з психологічними особливостями людини повинні враховуватися при ухваленні рішення про організацію управління доступом в приміщення, особливо при впровадженні автоматизованих систем.
При побудові системи доступу необхідно мати зважаючи на, що вона повинна об'єднуватися в єдиному комплексі з системою охоронної сигналізації і відеоспостереження, які мають загальну систему управління.
При цьому комплексна система повинна відповідати наступним вимогам:
- бути гнучкою, тобто допускати можливість зміни конфігурації при зміні структури фірми;
- передбачати заміну застарілого периферійного устаткування досконаліше без заміни основного дорогого устаткування.
Система охоронної сигналізації здійснює функцію охорони об'єкту в будь-якому з передбачених режимів і видає сигнал на старанний пристрій у разі порушення режиму охорони.
Широкий вибір охоронних датчиків руху (інфрачервоних і НВЧ), контактних датчиків і датчиків шуму (на розбиття скла) дозволяє спроектувати систему охорони під будь-які вимоги клієнта.
В якості старанних пристроїв зазвичай застосовуються сирени, зумери, дзвінки і т. д.
Система охоронної сигналізації є системою нижчого рівня, ніж система контролю доступу, оскільки основна функція охоронної сигналізації - це прочитування інформації з датчиків, обробка її по заданих програмах і сповіщення спостерігача за допомогою старанного пристрою (сирени). Охоронна сигналізація не може активно управляти зовнішніми пристроями при порушенні режиму охорони, наприклад, перекривати проходи і двері або включати спеціальне освітлення (прожекторы) у вказаному місці.
Рішення по подальшому управлінню об'єктом при спрацьовуванні охоронної сигналізації приймається спостерігачем.
Система відеоспостереження призначена для візуального контролю за обстановкою на об'єкті і реєстрації отриманої інформації на спеціальних пристроях.
Система відеоспостереження складається з:
- - датчиків відеоінформації - відеокамер;
- - пристроїв обробки відеоінформації (комутатори, квадраторы, мультиплексори);
- - пристрій відображення відеоінформації - моніторів;
- пристроїв реєстрації інформації - спеціальних відеомагнітофонів.
Система управління доступом (СУД) - самий передовий напрям, що швидко розвивається, в технічних засобах охорони.
По-перше, застосування СУД може забезпечити максимальну автоматизацію, що дозволить значно підвищити ефективність роботи служби безпеки, в першу чергу, за рахунок вступу повнішої і об'єктивнішої інформації про стан об'єкту. Це значно зменшить час, необхідне операторові для ухвалення правильного рішення в екстремальній ситуації.
По-друге, сучасні системи доступу дозволяють оптимізувати кількість постів охорони, що не лише істотно скорочує витрати на зміст, оснащення, ліцензування особового складу, але і дозволяє зменшити вплив суб'єктивного людського чинника.
По-третє, СУД можуть вирішувати такі нетрадиційні для систем безпеки завдання, як облік робочого часу, швидке визначення місцезнаходження співробітника і т. д., що помітно впливає на ефективність управління персоналом компанії.
По-четверте, тільки СУД дозволяє отримувати достовірну інформацію про присутність людей в будівлі і окремих приміщеннях, виходячи з чого ефективно управляти ліфтами, освітленням, вентиляцією і так далі, у тому числі енергозбережними режимами.
Усе це дозволило системам управління доступу за останні роки пройти шлях від простих одно-дверных до складних, багаторівневих просторово - розподілених систем.
Разом з розвитком СУД прийшло і розуміння, що універсальних систем контролю доступу не існує. Не можна одну і ту ж систему використовувати в невеликому офісі і корпорації, де принципово відрізняються і вимоги до системи контролю доступу, і завдання, що вирішуються службами безпеки.
Найбільш складними (як технічно, так і організаційно) є корпоративні системи управління доступом (КСУД). КСУД, призначені для великих об'єктів, мають деревовидну ієрархічну побудову. Такий принцип дуже вдалий для реалізації схеми "штаб-квартира - територіально рознесені філії". У штаб-квартирі (головному офісі) розташовується управління по безпеці, а у філіях - свої місцеві служби безпеки, що підкоряються центральній. Кожна з філій має власний комплекс безпеки з необхідними автоматизованими робітниками місцями. Оперативне управління, природно, лягає на місцеву службу безпеки.
На сьогодні найширший розвиток в корпоративних системах отримала проксимити-технология ідентифікації. Причини - висока пропускна спроможність, зручність користування і малі експлуатаційні витрати. Але відстань ідентифікації 5-10 см для корпоративних систем часто виявляється недостатніми, це пов'язано в першу чергу з рядом завдань, що вирішуються такими системами, а саме: управління доступом автотранспорту, контроль за винесенням ноутбуків і тек з секретними документами.
Ці завдання вирішуються за допомогою технології ідентифікації на відстані 1-2 м, що дістали назву "Hands Free". Наприклад, зчитувач Loop Coupler 270 фірм Cotag International ідентифікує активну проксимити-карту на відстані до двох метрів. Перспективні розробки в цьому напрямі веде ряд західних і навіть російських фірм, причому для обробки зовсім слабких сигналів пасивних проксимити-карт пропонується математичний апарат, використовуваний при обробці інформації від далеких зірок. Викликає інтерес анонсована фірмою Sensor - matic система SenTracID, що дозволяє ідентифікувати 64-бітові пасивні карти на відстані до 1,8 метра.
Застосування в корпоративних системах подібних передових технологій ідентифікації при раціональному розташуванні считывателей на об'єкті дозволяє отримувати достатню інформацію для відповідної обробки і аналізу.
Причому велика відстань прочитування дає можливість потайно відстежувати переміщення співробітників, відвідувачів або документів, що сильно збільшує тактичну перевагу служби безпеки перед замаскованим супротивником.
Найсерйозніші відмінності корпоративних СУД від рядових систем містяться в можливості програмного забезпечення по отриманню, обробці і аналізу інформації про події на об'єкті. Причому особливу роль в цьому грає не лише оперативне отримання тривожної інформації на постах охорони, але і отримання звітів і зведень різними посадовцями і управліннями безпеки корпорації з можливістю багатокритерійного відбору і фільтрації.
Корпоративні системи повинні дозволяти аналізувати архів подій одночасно різним підрозділам служби безпеки в реальному часі без затримок з урахуванням відповідних прав доступу. Обробляти такі інформаційні потоки і в той же час безконфліктно і звіти можуть тільки системи, побудовані на реляційних об'єктно-орієнтованих базах даних останнього покоління. Для прикладу, система З*КУБ, побудована на платформі ORACLE 8, дозволяє управляти 10 000 точками доступу (30 000 користувачів), обробляючи в піковому режимі до 200 подій в секунду, і при цьому може формувати і передавати в реальному часі звітну інформацію на декілька десятків комп'ютерів відповідних служб.
Описані можливості сучасних корпоративних СУД при достатній кількості точок доступу дозволяють побудувати високоефективну систему безпеки корпорації, вирішальну і таке складне завдання, як виявлення "чужих" серед "своїх", на долю яких за оцінками експертів і доводиться до 90% усіх злочинів в сучасних комерційних структурах. При цьому співробітники і відвідувачі, що мають необхідні повноваження, повинні почувати себе вільно і мати можливість переміщатися по будівлі або території об'єкту без перешкод. Принципово вирішувати задачу побудови комплексної системи охорони можна двома принципово різними методами.
Можна запропонувати споживачеві оригінальну систему охорони, засновану на власних розробках. Гідність такої системи в тому, що центральний пульт управління і інформаційні потоки системи будуть оптимальний (у ідеалі - один інформаційний монітор і управління за допомогою клавіатури комп'ютера). Але для реалізації такого варіанту знадобляться великі витрати (матеріальні і тимчасові) на розробку, виробництво, випробування і сертифікацію, - собівартість системи буде, поза сумнівом, висока.
Краще запропонувати споживачеві систему охорони, побудовану на основі провереренных і сертифікованих пристроїв і програм. Правда, при цьому зросте число пристроїв управління і відображення інформації, зате ця система доступна за витратами. Крім того, її можна варіювати шляхом компонування різних по складності і вартості пристроїв
За умовчанням адміністратор не може видалити ОГП Default Domain Policy. Це дозволяє виключити випадкове видалення ОГП, що містить важливі параметри домену.
При роботі з ОГП із стандартної консолі, наприклад Active Directory Useni And Computers, майстер делегування дозволяє лише керувати параметрами безпеки об'єкта; надати з його допомогою права керування об'єктом не можна.
► Надання прав керування ОГП
1. Відкрийте оснастку Group Policy для ОГП.
2. Клацніть кореневий вузол консолі правою кнопкою миші і виберіть команду Properties.
3. Перейдіть на вкладку Security (Безпека) і виберіть групу безпеки, якої потрібно надати або заблокувати адміністративний доступ до ОГП (рис. 12-11). Для зміни списку груп безпеки, яким необхідно надати або заблокувати адміністративний доступ до ОГП, скористайтеся кнопками Add і Remove.
4. Щоб надати повні права керування ОГП, дозвольте читання і запис Користувач або адміністратор, що не має дозволу Write, не зможе просмот-1 реть параметри ОГП засобами оснащення Group Policy. Для відкриття ОГП всі розширення оснащення Group Policy вимагають наявності дозволу Write.
5. Натисніть кнопку OK.