Особливості побудови систем контролю доступу

 

Під системою контролю доступу (СКД) розуміють об'єднані в комплекси електронні, механічні, електротехнічні, апаратно-програмні й інші засоби, що забезпечують можливість доступу певних осіб у певні зони (території, будинки, приміщення) або до певної апаратури, технічних засобів і предметів (ПЕОМ, автомобіль, сейф та ін.) і обмежуючий доступ осіб, що не мають такого права. Загальна схема СКД зображена на рис. 3.1.

 

Рисунок 3.1 – Загальна схема СКД

 

При виборі структури системи і її апаратури необхідно приділяти особливу увагу ретельному аналізу її характеристик.

До основного з них відносяться:

– вартість;

– надійність функціонування;

– швидкодія;

– час реєстрації користувача;

– ємність пам'яті;

– стабільність до зловмисних дій;

– імовірність помилкового відхилення законного користувача (помилки I–го виду);

– імовірність помилкового надання доступу незаконному користувачу (помилки II–го виду).

Як пояснення відзначимо, що залежно від способу перевірки прийнято розрізняти кілька видів СКД:

– ручні (достовірність особистості визначає контролер на основі пропонованого пропуску з фотографією власника);

– механізовані (фактично та ж ручна перевірка з елементами автоматизації зберігання й пред'явлення пропусків);

– автоматизовані (ідентифікація користувача й перевірка особистісних атрибутів здійснюється електронним автоматом, а аутентифікація й прийняття рішення про надання доступу проводиться оператором контрольно-пропускного пункту (КПП));

– автоматичні (вся процедура перевірки й прийняття рішення здійснюється комп'ютером).

Звичайно система керування доступом складається з:

– набору карт–пропусків (ключів), які видаються користувачам системи;

– зчитувачів – пристроїв, що ідентифікують ключі;

– виконавчих пристроїв, якими можуть бути електорозамки, шлагбауми й електроприводи воріт будь-яких типів;

– контролерів – інтелектуальних блоків, які керують системою й приймають рішення про можливість проходу.

Як ключі-носії ознаки (до речі, повна аналогія з ключами у звичайному розумінні цього слова) можуть використовуватися карти різних типів: магнітні, Віганд, "проксиміті", або ж сама людина (як носій індивідуальних біологічних ознак), людська пам'ять, яка запам'ятовує набір цифр, яким є PIN-код (індивідуальний код користувача) та ін.

Для зчитування інформації з ключів призначені пристрої ідентифікації. Залежно від типу носія міняються й пристрої ідентифікації. Зчитування інформації з різного виду карт здійснюють спеціальні зчитувачі, що використовують ті або інші фізичні принципи. Для знімання інформації про біологічні ознаки людини використовують спеціальні біометричні зчитувачі (термінали), а PIN-код вводиться з клавіатур різних типів.

Інформація, що зчитується з ключів, надходить у процесорний блок- контролер, що її обробляє, аналізує, приймає рішення щодо можливості проходу. Будь-яка система обов'язково має плату, на якій розміщуються мікропроцесор та інші напівпровідникові елементи. Інше питання, де ця плата розташована: в окремому блоці-контролері, або вона вставлена прямо в корпус зчитувача. У кожної з цих архітектур є свої плюси й мінуси. Архітектура контролера, з’єднаного зі зчитувачем, стійкіша до обривів мережі, але й менш захищена від злому, оскільки блок, що приймає рішення, розташований поза приміщенням, що охороняється.

СКД може взаємодіяти з персональним комп'ютером. У системах досить великої ємності комп'ютер, використовуючи спеціалізоване програмне забезпечення, повністю керує контролерами, збирає, обробляє й архівує інформацію, що надходить з об'єкта, взаємодіє з сигналізацією й охоронним телебаченням.

Найважливішим елементом СКД є периферійне встаткування, оскільки саме воно вступає в безпосередній "фізичний контакт" з користувачем у процесі ідентифікації й аутентифікації його особистості. Ідентифікація – це процедура впізнання об'єкта (людини-користувача) за пред'явленим ідентифікатором, установлення тотожності об'єкта або особистості за сукупністю загальних і приватних ознак. На відміну від ідентифікації аутентифікація має на меті встановлення достовірності особистості на основі повідомлюваних суб’єктом, що перевіряє, відомостей про себе. Такі відомості називають ідентифікаційними ознаками. Під час перевірки на КПП вони є, як правило, індивідуальними даними (прізвище, ім'я, по батькові), особистий ідентифікаційний номер (код) та біометричними характеристиками, що однозначно визначають особистість користувача перед системою. Ідентифікаційні ознаки, або ідентифікатори, можна зафіксувати на матеріальному носії (ідентифікаційній картці, пластиковому ключі), які під час перевірки на КПП зчитуються апаратурою або безпосередньо в процесі перевірки вводяться користувачем у систему через термінал. Для введення ідентифікаторів користувача в СКД застосовуються такі основні види периферійного встаткування:

– термінали, що набирають коди;

– пристрої, що зчитують;

– біометричні термінали.

У літературних джерелах, присвячених описанню різних СКД, часто зустрічається підміна поняття аутентифікація поняттям верифікація. Пов'язано це з таким:

– у науці існує поняття верифікація (від лат. Verus – щирий і facio – роблю), що означає перевірку, емпіричне підтвердження теоретичних положень науки шляхом зіставлення їх зі спостережуваними об'єктами, почуттєвими даними, експериментом;

– у програмуванні й інформатиці існує поняття authentifikation of user, що означає аутентифікацію користувача, тобто перевірку відповідності користувача термінала в мережі ЕОМ пред'явленому ідентифікатору (застосовується для захисту від несанкціонованого доступу й вибору відповідного режиму обслуговування);

– у програмуванні існує також поняття Verification, що означає формальний доказ правильності програми, а також контроль, перевірку даних, що вводяться оператором.

Отже, існує деяке перетинання у визначеннях, пов'язане з використанням слів "перевірка" і "підтвердження". Тому перенесення названих термінів в іншу предметну галузь (СКД), мабуть, носить досить умовний характер. Вони означають встановлення достовірності особистості (об'єкта).

Основу сучасних СКД становлять автоматичні й автоматизовані СКД, у них процедура перевірки може включати також зіставлення особи контролера, що перевіряється, з відеопортретом на моніторі. У таких системах у складі периферійного встаткування є спеціальна телекамера, вмонтована в термінал, що зчитує.

Сучасні автоматичні й автоматизовані СКД залежно від способу керування поділяються на автономні, централізовані і розподілені (іноді як різновид розглядають СКД зі змішаною логікою).

Автономні (локальні) СКД, керовані мікрокомп'ютером, як правило, обслуговують один КПП (можливо, з декількома лінійками проходу й, відповідно, контрольними терміналами). Ідентифікаційна інформація про користувачів та їх повноваження зберігаються в локальній базі даних. СКД такого типу найпростіші за конфігурацією, але й найменш надійні з погляду можливості виходу їх з ладу. Їх можна застосовувати в основному на тих об'єктах, де не потрібен високий рівень безпеки. Часто в літературі такі системи називаються однодверними. На рис. 3.2 наведена типова схема побудови такої системи.

Рисунок 3.2 – Схема системи з роздільними контролером та зчитувачем

 

Найчастіше до контролера можна підключити до двох зчитувачів, які встановлюються на двоє дверей або на одні двері контролю входу й виходу. Один зі зчитувачів можна замінити на клавіатуру для набору коду. Крім цього, система дозволяє підключати електрозамки, кнопки виходу, геркони, ІЧ-датчики, сирену та ін.

Існують однодверні системи, аналогічні вищеописаній, але в них зчитувач і контролер об'єднані в один корпус (рис. 3.3), тобто блок, що приймає рішення про відкриття замка, зосереджений у модулі, що зчитує. Це здешевлює систему, але зменшує ії функціональні можливості, а головне, збільшує ймовірність злому шляхом розкриття корпусу зчитувача й замиканням контактів, до яких підключений замок.

Рисунок 3.3 – Схема системи з суміщеним контролером та зчитувачем

 

У найдешевих системах поєднуються в одному корпусі блок, що приймає рішення, клавіатура для набору коду, зчитувач і замок.

На об'єктах з вимогами підвищеної безпеки застосовуються контролери з цифровим керуванням реле замка. Виносний модуль реле замка монтується безпосередньо біля замка й керується особливим цифровим кодом. Прикладом таких систем є СКД на основі контролерів, пропонованих фірмою APOLLO (США).

Найчастіше в автономних системах використовуються зчитувачі магнітних карт Touch Memory і "проксиміті", дуже рідко- біометрія, Віганд або інші зчитувачі.

Але в більшості автономних систем зчитувачі поєднанні з клавіатурою для набору індивідуального коду. За допомогою клавіатури здійснюється програмування систем.

Це системи на основі одного або декількох автономних контролерів, які здійснюють всі необхідні дії, властиві СКД, автономно (без використання керуючого комп'ютера). Контролери в таких системах мають власний буфер пам'яті номерів карт (ідентифікаторів) і подій, що відбуваються в системі. Як правило, вони мають вихід на локальний принтер для роздруківки протоколу подій. Програмуються зазначені контролери, як правило, з яких-небудь кнопкових панелей або за допомогою,,майстер-карт”, що дозволяють заносити у пам’ять контролера нові карти й видаляти старі. Один контролер у таких системах звичайно керує доступом в одні (максимум – двоє) дверей. Як ідентифікатори (електронних пропусків) у таких системах можуть застосовуватися магнітні карти, електронні "пігулки" – "IButton", радіочастотні PROXI–карти та ін. Всі пристрої керування дверима й охоронними шлейфами (реле керування замком, входи для підключення датчика дверей, кнопки виходу й охоронних датчиків) розташовуються в автономних системах, як правило, на платі самого контролера. Часто сам контролер конструкційно поєднується в одному корпусі зі зчитувачем. У найпростіших автономних системах поєднуються в одному корпусі контролер прийняття рішень, зчитувач/клавіатура й електрозамок. Але слід відзначити, що заходи по зниженню собівартості системи можуть призвести до зниження безпеки, збільшуючи ймовірність злому.

З метою підвищення безпеки в найвдосконаленіших автономних системах застосовується виносне цифрове реле керування замком. Це дозволяє запобігти спробам проникнення в приміщення шляхом прямого підключення електрозамка до проводів живлення. У деяких системах передбачена можливість їх розширення. Досягається це різними способами:

– за рахунок об'єднання окремих контролерів у мережу (використання додаткового мережного модуля на додаток до контролера);

– шляхом збільшення потужності й ускладнення самого контролера, що дозволяє підключати до нього більше двох зчитувачів.

В обох випадках для зв'язку контролерів між собою або з периферійними виконавчими модулями часто використовується який-небудь стандартний інтерфейс, наприклад, RS-485. Але слід пам'ятати, що програмувати доводиться кожний контролер окремо (незважаючи на обмін даними між ними). Для систем з кількістю дверей більше, ніж три, такий процес може виявитися досить стомлюючим і трудомістким (особливо при значній кількості користувачів). У цьому випадку кращою є установка найпростіших мережних СКД.

Централізовані СКД перебувають під безпосереднім і постійним керуванням центрального комп'ютера системи охорони об'єкта, що обслуговує всі периферійні ланки КПП (рис. 3.4). База даних централізована. Застосування таких систем економічно виправдано, лише коли до центрального комп'ютера підключена велика кількість терміналів – кілька десятків і більше. Перевага таких систем у тому, що вони, на відміну від автономних, дозволяють вести централізовану реєстрацію часу проходу службовців і здійснювати статистичну машинну обробку цих відомостей, а також оперативно вводити всі необхідні зміни в режими доступу тих або інших осіб або в цілому на об'єкт. Такі СКД здатні забезпечити високий рівень безпеки об'єкта. Для підвищення надійності функціонування системи можна застосувати паралельну обробку даних на двох ПЕОМ.

Рисунок 3.4 – Схема централізованої СКД

 

Кількість контролерів залежить від ємності системи й максимальної кількості зчитувачів, що обслуговуються одним контролером.

Як правило, для збільшення ефективності роботи й зменшення вартості всієї системи безпеки об'єкта централізовані СКД дозволяють здійснювати інтеграцію з датчиками сигналізації.

Особливість систем середньої ємності – істотне збільшення кількості користувачів і кількості оброблюваної інформації. У зв'язку з цим використання персонального комп'ютера в таких системах обов'язкове. Комп'ютер і його спеціалізоване програмне забезпечення дозволяють програмувати кожний контролер, збирати й аналізувати інформацію, встановлювати будь-які звіти й відомості, ефективніше відслідковувати ситуацію на об'єкті.

Централізовані СКД середньої ємності прив'язані до конкретної технології. Спеціальні адаптери (перетворювачі) коду дозволяють приєднати зчитувачі різних технологій. Багато виробників вказують про те, що їх система інтегрується з будь-яким зчитувачем. Але, як правило, або це твердження недостатньо обґрунтоване, або вимагає серйозних додаткових витрат на установку нових модулів.

Головна особливість таких СКД у тому, що вони можуть конфігурувати апаратуру й керувати процесом доступу з комп'ютерних терміналів (термінала). Різні СКД мають свої індивідуальні особливості й розрізняються за:

– архітектурою;

– можливостями;

– масштабом (граничній кількості зчитувачів/дверей);

– кількістю керуючих комп'ютерів;

– типом застосовуваних зчитувачів;

– ступенем стабільності до злому;

– ступенем стабільності до електромагнітних впливів.

Більшість мережних СКД зберігають багато переваг автономних систем, основне з яких – робота без використання керуючого комп'ютера. Це означає, що при вимиканні керуючого комп'ютера система фактично перетворюється в автономну. Контролери даних систем, так само як і автономні контролери, мають власний буфер пам'яті номерів карт користувачів і подій, що відбуваються в системі. Наявність у системі комп'ютера дозволяє службі безпеки оперативно втручатися в процес доступу й керувати системою в режимі реального часу. Найважливіший елемент мережних СКД – програмне забезпечення (ПЗ). Воно відрізняється різноманітністю – від відносно простих програм для одного керуючого термінала, що дозволяє додавати в базу даних нових користувачів і забирати вибулих, до найскладніших програм з архітектурою клієнт-сервер.

У системах цього класу використовуються потужні центральні контролери, що здійснюють процес керування більшою кількістю периферійних виконавчих пристроїв. Наприклад, один контролер AAN–100 компанії APOLLO може керувати процесом доступу в 96 дверей. Як правило, контролери в таких системах є чисто електронними пристроями й не містять релейних виходів. У таких системах функції керування зовнішніми пристроями й охоронними шлейфами звичайно виконують зовнішні інтерфейсні модулі й релейні блоки, що встановлюються, у свою чергу, недалеко від об'єктів керування (дверей, охоронних шлейфів та ін.). Для обміну інформацією між контролером і інтерфейсними модулями найчастіше використовується інтерфейс RS-485. Контролер у системах з централізованою архітектурою зберігає всю базу даних ідентифікаторів і подій, що відбулися в системі. Поділ функції прийняття рішень і безпосередньо керування дозволяє підвищити ступінь безпеки СКД.

Розподілені СКД найдосконаліші з погляду організації процесу обробки інформації в системі, оскільки щонайкраще протистоять збійним і аварійним ситуаціям, зокрема, при збоях у роботі центральної ПЕОМ, порушенні цілісності провідної лінії, що зв'язує його з периферією та ін. Периферійні пункти оснащені локальними мережами на базі мікрокомп'ютерів (контролерів), що виконують процедуру перевірки самостійно, а центральний комп'ютер включається в роботу лише для актуалізації локальних баз даних і статистичної й логічної обробки інформації.

На рис. 3.5 зображена схема розгалуженої мережі СКД.

Рисунок 3.5 – Схема розгалуженої мережі СКД

 

Відмінна риса СКД з розподіленою архітектурою полягає в тому, що база даних ідентифікаторів (і подій у системі) утримується не в одному, а в декількох контролерах, які, як правило, самі виконують функції керування зовнішніми пристроями й охоронними шлейфами через реле й входи охоронної сигналізації, розташовані безпосередньо на платі самого контролера.

Ще одна відмінна риса системи такого класу – можливість зв'язку вхідних і вихідних пристроїв різних контролерів системи. Наприклад, можна запрограмувати систему так, щоб спрацьовування датчика сигналізації біля входу в офіс викликало блокування електрозамків, підключених до декількох контролерів, що контролюють прилеглі приміщення.

Крім того, програмне забезпечення великих систем дозволяє використовувати для керування відразу кілька комп'ютерів і розподіляти виконавчі функції між ними. Наприклад, комп'ютер адміністратора може відслідковувати місцезнаходження співробітників і використання ними робочого часу; оператор комп'ютера відділу кадрів має поповнювати базу даних і друкувати перепустки, на прохідній встановити комп'ютер з програмами; що допомагають ідентифікувати особу, а на пост охорони – виводити графік сигналів тривоги та ін.

Великі системи, як правило, працюють у тісній взаємодії з іншими інженерними системами об'єкта: охоронною сигналізацією, системами телевізійного спостереження й контролю, системами життєзабезпечення, оперативного зв'язку та ін.

Через неможливість віддаленої установки від об'єкта керування ці контролери встановлюються безпосередньо всередині приміщень, які захищені ними. Це не сприяє зниженню ймовірності несанкціонованого маніпулювання контролером, але має свої плюси – при обриві лінії зв'язку між контролерами й комп'ютером система продовжує виконувати основні функції з керування процесом доступу в автономному режимі. Найчастіше в системах з розподіленою архітектурою контролер може керувати проходом в одні-двоє дверей.

Типовий приклад таких систем:

– контролер компанії NORTHERN COMPUTERS (контролер N–1000 II)– на 2 дверей;

– контролер компанії KANTECH (КТ–200) – на двоє дверей.

Розподілені системи мають ту перевагу, що завдяки своїй модульній конструкції дозволяють нарощувати потужність СКД поступово, переходячи від локальних пунктів до розподіленої мережі; простіше виконується й модернізація встаткування; аварія на окремому КПП не впливає на роботу всієї мережі; для обробки осіб, що перевіряються, потрібно менше часу.

Системи зі змішаною логікою. Як правило, такі системи виходять з СКД з централізованою архітектурою шляхом додавання спеціалізованих зчитувачів або інтерфейсних модулів з власним буфером пам'яті ідентифікаторів і подій. Завдяки використанню такого технічного рішення досягається надлишкове резервування функцій, різко підвищується ступінь безпеки системи. Оскільки контролер у СКД з централізованою архітектурою керує значною кількістю дверей, ушкодження лінії зв'язку між ним та інтерфейсними модулями керування кінцевими пристроями може привести до блокування значної частини або всієї системи. Локальний зчитувач з власною базою даних у цьому випадку переходить в автономний режим керування доступом на своїй ділянці. Приклад такого рішення – зчитувач АР–500 компанії APOLLO або інтерфейсний блок керування чотирма дверима AIM–4SL. Системи, побудовані з використанням цих модулів, мають найвищий ступінь безпеки.

Наведемо найвідоміші мережні СКД різної архітектури з вказівкою кількості зчитувачів, що підтримуються одним контролером.

Більшість контролерів, на основі яких будуються системи з комп'ютерним керуванням, підтримують парне число зчитувачів: 2; 4; 8; 16; 24; 32; 50; 64; 96 (на 1 контролер). Найвідоміші компанії Apollo, Advantor, Cardax, Cotag, Eff–Eff Hirsch, LEL, Kantech, Keri Systems, Northern Computers, РАС, TSS–201, Westinghous та ін.