апрель    2024

Пн	Вт	Ср	Чт	Пт	Сб	Вс
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30

показать все 

18.04.2024

Ассоциация разработчиков «Отечественный софт» отметила 15-летие

Читать далее 

17.04.2024

РДТЕХ представил Технологическую карту российского ПО 2023

Читать далее 

16.04.2024

RAMAX Group получила партнерский статус уровня Gold по продукту Tarantool

Читать далее 

12.04.2024

На RIGF 2024 обсудили ключевые вопросы цифрового развития России

Читать далее 

показать все 

18.04.2024

5 способов повысить безопасность электронной подписи

Читать далее 

18.04.2024

Как искусственный интеллект изменит экономику

Читать далее 

18.04.2024

Неочевидный САПР: выход ПО за рамки конструкторской деятельности

Читать далее 

18.04.2024

Скоро некому будет делать сайты и заниматься версткой

Читать далее 

18.04.2024

Цифровая трансформация в энергетике: как запустить проект с максимальным финансовым эффектом?

Читать далее 

05.04.2024

Мотивируй, не то проиграешь!

Читать далее 

22.03.2024

В 2024 году в России и мире вырастут объемы применения AR/VR 

Читать далее 

25.02.2024

Цифровые технологии: надежды и риски

Читать далее 

05.02.2024

Будут ли востребованы услуги технической поддержки софта Oracle в России в ближайшие годы?  

Читать далее 

31.01.2024

Здания с признаками интеллекта. Как Сергей Провалихин автоматизирует дома и производства

Читать далее 

показать все 

Главная / Архив номеров / 2014 / Выпуск №6 (39) / Эффективная физическая безопасность предприятия

Рубрика: Тема номера /  Технологии безопасности

Андрей Бирюков, системный архитектор, ЗАО «НИП Информзащита»

Эффективная физическая безопасность предприятия

Защищать корпоративные ресурсы нужно не только от кибератак, но и от угроз из реального мира. Поговорим о том, как это сделать эффективно

Как известно, безопасности не бывает много, зато очень часто ее бывает недостаточно. На страницах нашего журнала абсолютное большинство статей, связанных с защитой информации, посвящено исключительно информационной безопасности. То есть тому, как данные должны защищаться при их обработке и хранении на компьютере, а также передаче по сети. Однако не менее важную роль играет и физическая безопасность.

Конфиденциальность, целостность, доступность

В основу систем безопасности положены три главных принципа: конфиденциальность, целостность и доступность. Понятие «конфиденциальность» подразумевает обеспечение доступа к информации только авторизованным пользователям. Например, для входа в систему необходимо ввести логин и пароль. «Целостность» – это обеспечение достоверности и полноты информации и методов ее обработки. Проще говоря, должен обеспечиваться контроль целостности данных от несанкционированных изменений. А «доступность» – это обеспечение доступа к информации и связанным с ней активам авторизованных пользователей по мере необходимости. Например, корпоративные сервисы должны быть постоянно доступны для пользователей.

Не всегда эти три принципа равнозначны. Так, в государственных силовых структурах основным является конфиденциальность, то есть информация скорее будет уничтожена, чем станет известна противнику. В частных структурах иногда доступность и целостность могут оказаться даже важнее конфиденциальности. Так, например, интернет-магазин понесет бОльшие убытки в случае вынужденного простоя, чем если часть учетных данных пользователей станет известна злоумышленникам.

Физические угрозы

Большинство компаний уделяет много внимания информационной безопасности, при этом часто пренебрегая обеспечением необходимого уровня безопасности физической. Например, многие организации применяют шифрование данных, хранимых на серверах. При этом предполагается, что в случае кражи сервера или диска злоумышленники не смогут получить доступ к данным. Предположим, что используемый алгоритм шифрования достаточно надежен и ключ имеет большую длину. Таким образом, мы обеспечили конфиденциальность, но как быть с целостностью и доступностью? Нет диска – нет данных, а, следовательно, пользователи не могут работать с информацией, и компания несет убытки. Конечно, специалисты рекомендуют разворачивать резервную площадку, но это стоит очень дорого и большинству организаций не по карману. Остается только закупка новых дисков и сервера и восстановление из резервной копии. А это опять-таки простои и убытки. Таким образом, физическая безопасность позволяет обеспечить не только конфиденциальность, но и целостность и доступность.

Контролируем доступ

Рассмотрим более подробно, какие именно физические угрозы бывают, и как от них защититься. Угрозы бывают природные и создаваемые человеком. Поговорим о вторых, так как для большинства организаций они наиболее вероятны. Одной из основных угроз является криминал, и в первую очередь – кражи. Здесь наилучшим средством защиты будет интеграция организационных и технических мер. Под оргмерами подразумевается, прежде всего, пропускной режим при доступе на предприятие. Каждый входящий должен однозначно идентифицироваться. Охрана на входе должна записывать паспортные данные всех гостей, гости должны перемещаться по территории компании только в сопровождении сотрудника. Должны быть разработаны документы, регламентирующие доступ на охраняемую территорию.

Теперь поговорим о технических средствах защиты.

Начнем с контроля доступа. Во многих организациях используются Системы контроля и управления доступом (СКУД). Реализовываться данная технология может несколькими способами. Наиболее распространенными являются бесконтактные карты. При использовании смарт-карт сотрудник для доступа на территорию или для перемещения по ней подносит к считывателю данную карту, и на основании идентификатора, зашитого на нее, система принимает решение о разрешении или запрете доступа. Системы СКУД не слишком дороги, относительно просты в использовании и не требуют больших затрат при администрировании. ПО для управления СКУД представляет собой приложение и БД, часто используются бесплатные редакции СУБД MS SQL.

Но системы СКУД не лишены недостатков. Основным является утеря сотрудниками смарт-карт или передача их другим лицам. Если в случае с потерей все довольно просто: администраторам необходимо выпустить новую и заблокировать старую, то с передачами карт другим сотрудникам все обстоит несколько сложнее. Дело в том, что идентифицировать, тот ли сотрудник, которому принадлежит карта, вошел в помещение, может только человек. На мониторе охранника должна отображаться фотография человека, которому принадлежит карта. Однако к каждой двери поставить охранника невозможно, поэтому подобные риски должны пресекаться административными средствами.

Например, в корпоративной политике безопасности указывается, что сотрудники не должны предоставлять свои карты доступа другим лицам. А для контроля соблюдения данных правил можно использовать технические средства. Как я уже сказал, вся информация о входах и перемещениях пользователей по территории хранится в БД.

Автоматизируем контроль

Однако очень часто все эти записи никем не используются. Мониторинг того, кто, когда и куда проходил, на постоянной основе не выполняется. То есть в случае каких-либо инцидентов (постоянных опозданий, контроля перемещений отдельных сотрудников и т.д.) информацию из БД извлекают посредством встроенных в ПО СКУД инструментов построения отчетов. Но делается это от случая к случаю. Гораздо эффективнее использовать СКУД совместно с системой мониторинга событий безопасности.

Существует целый ряд таких систем (HP ArcSight, McAfee SIEM, Qradar и другие), которые используются для мониторинга событий информационной безопасности. Однако при определенной доработке они могут также применяться и для сбора событий с систем СКУД. Система управления событиями безопасности позволяет не только собирать события, но и строить корреляции между ними. Классический пример правила корреляции, применительно к СКУД: при входе пользователя в Active Directory проверяется, зарегистрирован ли в базе СКУД вход сотрудника, которому принадлежит данный аккаунт. В случае если регистрации в СКУД не было, администратор получает уведомление об инциденте. Можно предположить, что либо взломан аккаунт в AD, либо кто-то прошел в здание не по своей карте. Также система управления событиями позволяет строить отчеты, в которых фиксируются все опоздания и ранние уходы с работы. Для тех отраслей, где важна дисциплинированность сотрудников (кассиры, секретари, операторы и т.д.), учет рабочего времени может позволить укрепить дисциплину работников.

Биометрия и прочая экзотика

Итак, рассмотрев самое распространенное средство контроля доступа, теперь поговорим о более экзотических системах, которые тем не менее иногда встречаются.

Немного отвлечемся на теорию. Бывают три вида аутентификации: что ты знаешь, что у тебя есть и кто ты. Первый – это пароли. При обеспечении контроля доступа этот способ для пользователей применяется крайне редко, поэтому мы его не рассматриваем. Второй – это уже упомянутые смарт-карты. А третий – это биометрические признаки, проще говоря, уникальные идентификаторы человека: отпечатки пальцев, сетчатка глаза, геометрия руки, роспись и т.д.

Вот о биометрическом контроле доступа мы и поговорим.

Из всех способов биометрического контроля наиболее широко распространено считывание отпечатков пальцев. Также стоит отметить, что большинство современных ноутбуков корпоративного уровня оборудованы считывателем отпечатков пальцев. Однако между биометрической аутентификацией на ноутбуках и считыванием отпечатков пальцев при входе в здание есть принципиальные отличия, которые необходимо учитывать при проектировании подобных систем аутентификации, чтобы избежать впоследствии проблем. С ноутбуком работает небольшое число пользователей, как правило, вообще один. Соответственно при аутентификации системе необходимо лишь убедиться, что данные отпечатки соответствуют указанному логину пользователя. Соотношение один к одному.

Совершенно другая картина, если мы считываем отпечатки пальцев у пользователей при входе в здание. Здесь нам необходимо считывать отпечатки множества сотрудников, находить в базе соответствующий каждому образец и затем производить сравнение. Соотношение уже один ко многим. В этом случае значительную роль уже начинает играть время поиска образца отпечатка в базе и степень погрешности, с которой определяются отпечатки. Если в случае с ноутбуком системе не удалось с первого раза распознать отпечаток, то пользователю не составит большого труда провести пальцем по считывателю заново. А вот когда на входе в здание стоит очередь сотрудников и каждого удается распознать с третьего-четвертого раза (например, из-за мороза на улице), то это может причинить массу неудобств и усилить негативное отношение сотрудников к службе безопасности. Для систем распознавания отпечатков пальцев хорошими считаются следующие временные характеристики: регистрация нового отпечатка пальцев не более двух минут для одного пользователя, распознавание отпечатков не менее 10 за минуту. То есть для входа одному сотруднику потребуется не менее шести секунд. А если в компании работают несколько сотен человек и все они приходят на работу почти одновременно? Опять-таки может возникнуть очередь.

Все эти моменты необходимо учитывать при планировании развертывания систем распознавания отпечатков пальцев.

Альтернативой распознаванию отпечатка пальца является использование в качестве идентификатора человека геометрии его ладони. То есть к считывателю подносится ладонь, отпечаток которой сравнивается со значением, хранимым в базе системы.

Око за око

Помимо контроля отпечатков, существуют также и другие механизмы биометрической аутентификации, которые распространены значительно меньше в силу прежде всего дороговизны и сложности в эксплуатации. Есть системы распознавания человека по радужной оболочке глаза. Хотя эти системы и считаются более надежными по сравнению с описанными выше, массовому применению их, помимо высокой стоимости, также мешает неприятие многими пользователями. Дело в том, что правильному распознаванию могут мешать контактные линзы. Также не всем удается в течение нескольких секунд смотреть в одну точку.

Подводя итог описанию различных систем контроля физического доступа, можно рекомендовать правильно оценивать те риски, которым может быть подвергнута организация в случае проникновения кого-то постороннего. Учитывая все сложности, которые могут возникнуть при использовании средств биометрической аутентификации, наилучшим решением для коммерческой организации будет использование средств СКУД с бесконтактными смарт-картами и ее интеграция с системами управления событиями безопасности.

Наблюдаем за происходящим

Теперь поговорим, как осуществляется контроль того, что происходит как на охраняемом объекте, так и на прилегающих территориях. Здесь наиболее распространенным и эффективным решением является использование камер наружного наблюдения (CCTV).

При установке CCTV стоит помнить, что камеры должны контролировать все проходы в помещения. При этом размещать камеры в помещениях, где работают сотрудники, не совсем корректно, так как тогда вы рискуете столкнуться с обработкой персональных данных, в частности, биометрии пользователей, что, естественно, накладывает дополнительные требования к защите данной информации. Кроме того, в тех местах, где установлены камеры, необходимо установить информационные таблички, сообщающие о том, что здесь ведется видеонаблюдение. От CCTV мало толку, если получаемые изображения никто не просматривает. Но также не лишним является сохранение видеозаписей. Рекомендованный временной интервал хранения – три месяца.

Относительная дешевизна дисковых хранилищ, а также хорошие возможности по сжатию видеоизображений позволяют обеспечить хранение информации без лишних затрат.

Cisco – не только сети

В качестве примера построения подобной системы можно рассмотреть решения от компании Cisco Systems. Изначально возможны два варианта построения системы видеонаблюдения на базе IP-оборудования этой компании: либо «с нуля», либо с использованием уже эксплуатируемых аналоговых компонентов, таких как камеры, мониторы и т.д. Стоит отметить, что второй вариант позволяет существенно сэкономить на создании системы IP-видеонаблюдения, повысить ее эффективность и расширить возможности.

В случае использования уже существующей инфраструктуры аналоговые камеры подключаются к сети системы через одно- или четырехканальные видеосерверы Cisco (IP-шлюзы), которые выполняют оцифровку видеосигнала, его сжатие в формат MPEG-4 и передачу по сети.

Существует несколько видов видеосерверов, и в зависимости от масштаба и конфигурации системы видеонаблюдения можно выбрать как автономные видеосерверы, так и модели в виде платы с их установкой в стойку.

Для работы с уже собранными видео, то есть для поиска и воспроизведения, в составе системы необходимо использовать устройство Cisco ISP (Integrated Services Platform), подключаемое непосредственно к IP-сети и выполняющее роль видеорегистратора. Для управления такой гибридной системой используется ПО Video Surveillance Stream Manager, которое позволяет конфигурировать и администрировать работу видеосистем.

Интересной особенностью предлагаемых решений является отсутствие необходимости создания специальной инфраструктуры для работы CCTV. Камеры видеонаблюдения подключаются непосредственно к IP-сети, а ПО инсталлируется на сетевой ПК либо на специализированный аппаратный компонент системы – Encoding Server. Кроме того, камеры могут использовать технологию PoE для получения питания. Также при необходимости IP-видеонаблюдение можно осуществлять и с помощью аналоговых камер, подключенных через видеосерверы, а для хранения больших объемов видеоданных использовать RAID-массивы Cisco Video Surveillance Storage System.

По сути, решение Cisco позволяет «оцифровать» уже имеющиеся аналоговые камеры и сделать управляемыми.

Несколько слов о хранении собранного видеоконтента. Системы хранения видеоданных Video Surveillance Storage System предназначены для создания больших архивов видеоинформации и обладают емкостью до 42 Тб. Также эти устройства способны защищать видеоданные от несанкционированного доступа и предотвращать потерю важных корпоративных данных.

Интегрированные решения

Современная тенденция объединять множество функций в одном устройстве, предназначенном для небольших организаций, не обошла стороной и CCTV.

Комбинированный маршрутизатор Cisco ISR (Integrated Services Router), по сути, является единой платформой как для создания IP-сети объекта, так и для IP-видеонаблюдения. ISR обладает всеми функциями для приема видеоизображения от аналоговых или проводных/беспроводных IP-камер видеонаблюдения. Также с помощью этого устройства можно осуществлять просмотр видео в реальном времени, а также его запись, хранение и поиск на средствах сторонних производителей. Маршрутизатор ISR снабжен предустановленным ПО Video Surveillance Media Server, а рабочее место оператора системы видеонаблюдения оснащается клиентским ПО – CVS Operations Manager для администрирования системных компонентов, просмотра видео с IP-камер видеонаблюдения в режиме реального времени, поиска и воспроизведения архивных видеоданных и управления функциями системы [1].

День и ночь

Итак, мы обеспечили контроль доступа на территорию, развернули систему видеонаблюдения и управления камерами. Теперь хорошо бы наделить нашу систему физической безопасности некоторым интеллектом. Конечно, все основные решения по контролю доступа по-прежнему должен принимать человек, но было бы неплохо автоматизировать и упростить его работу. Например, передавать, а тем более записывать видеоданные в нерабочее время не имеет большого смысла, так как на картинке будут только пустые коридоры. С другой стороны, любое перемещение по территории должно быть зафиксировано. В связи с этим камере необходим функционал, позволяющий автоматически обнаруживать движение и включать запись.

Кроме того, хорошо бы, чтобы камера автоматически переключалась в ночной режим, когда уровень освещенности помещения снижается, так как работает только дежурное освещение. В модельном ряду видеокамер Cisco есть несколько устройств, отвечающих данным требованиям.

Cisco 2500 работает в формате MPEG-4 с разрешением до D1 (720х576 пикселей), скоростью захвата до 25 кадров в секунду. При этом имеется подвижный ИК-фильтр, который переключает камеру при освещенности на объекте видеонаблюдения 0,4/0,04 лк, имеется встроенный видеосервер, они конфигурируются через веб-браузер, поддерживают технологию PoE и различные сетевые функции.

При проблемах с созданием инфраструктуры, необходимой для развертывания системы видеонаблюдения, можно воспользоваться беспроводными решениями. Беспроводная IP-камера видеонаблюдения Cisco 2500W «день-ночь» использует две антенны, беспроводной интерфейс 802.11b/g. Эта камера может осуществлять круглосуточное IP-видеонаблюдение, имеет детектор движения, два тревожных входа и два выхода и обеспечивает безопасность передачи данных за счет применения WPA/WPA2 и WEP.

Наконец, существуют универсальные IP-камеры Cisco «день-ночь» моделей 4500 и 4300, которые могут транслировать до двух потоков видео в форматах H.264 и M-JPEG. Каждая IP-камера видеонаблюдения этой серии имеет аудиоканал, детектор движения с функцией уведомления, входы и выходы тревоги, веб-сервер для работы под управлением веб-браузера или ПО Cisco Video Surveillance Manager.

Таким образом, на основе предложенных решений вполне можно организовать эффективную систему видеонаблюдения.

***

В этой статье я рассмотрел лишь небольшую часть средств обеспечения физической безопасности. Описывать такие общеизвестные элементы защиты, как ворота, заборы и решетки, особого смысла не имеет, хотя они также являются теми компонентами, которые обеспечивают физическую защиту. Однако в своей статье я остановился на наиболее технологичных системах защиты, так как их можно эффективно интегрировать в корпоративную систему информационной безопасности, например, связав СКУД и CCTV с системой управления событиями безопасности.

Завершая статью, хотелось бы напомнить, что безопасность есть понятие комплексное, и эффективная информационная безопасность немыслима без надежной физической защиты.

1. http://www.ip-videosystems.ru.

В начало⇑

Комментарии отсутствуют

Комментарии могут отставлять только зарегистрированные пользователи