Проектирование любой УРВ начинается с выбора идентификатора, и первые проблемы возникают уже на этом этапе. При выборе идентификатора нужно исходить из нескольких параметров: степень защищенности от клонирования, удобство использования и операций с ним, универсальность, престиж и цена. К сожалению, чаще всего для собственников главным критерием выбора является низкая цена и они забывают о других аспектах, что может привести к убыткам в будущем.
Как же собственнику защититься от саботажа и манипуляций сотрудников и при этом сэкономить на контролирующем персонале?
Карточка EM-Marin — точно не лучшее решение: ее легко можно клонировать в любом доме быта, универсальность также под вопросом, вряд ли стоит ее использовать для СКУД, логического доступа и безопасной печати, престиж отрицательный, остается только удобство и низкая цена. Выбор более дорогих Proximity-карт, на мой взгляд, еще хуже — степень защиты такая же низкая, но они еще и дороже.
Лучше ситуация с картами Mifare. Если не использовать статичный номер карты для идентификации, то защищенность у них гораздо выше. К тому же распространенность в различных приложениях и решениях в повседневной жизни делает их достаточно привлекательными, особенно если учесть невысокую стоимость этих карт.
Использование более защищенных бесконтактных Smart-карт, DESFire EV1/EV2, HID iCLASS SE или Seos, защитит от клонирования. На сегодня это одни из самых защищенных RFID-карт, с которыми могли бы посоперничать контактные Smart-карты, но в качестве идентификатора УРВ их практически не применяют из-за неудобства при использовании. Такие карты можно смело использовать и для других задач, где требуется повышенная защищенность: физический доступ, мультифакторная аутентификация, безопасная печать и т.д. И, конечно же, карта, персонализированная на карт-принтере HDP, повышает престиж компании и улучшает внешний вид сотрудника не меньше стильного костюма. Цены на такие карты сейчас значительно снизились за счет маркетинговой политики производителей и большего распространения и сравнимы по цене с некоторыми Proximity-картами.
К сожалению, даже у самых защищенных карт есть один значительный, особенно для УРВ, недостаток: их можно легко передать другому, что позволяет недобросовестным сотрудникам обходить систему. И тогда собственнику приходится нанимать дополнительный персонал для контроля, в частности в удаленных офисах или торговых точках. Расходы возрастают, но человеческий фактор не позволяет защититься от саботажа полностью.
Биометрические данные и даже защищенный виртуальный идентификатор на смартфоне решают вышеуказанную задачу. Вряд ли человек передаст свой смартфон кому-то, если, конечно, он единственный. Подделать или копировать виртуальный идентификатор на другой смартфон невозможно, так как он привязывается к смартфону, на который выдан, и при переносе данные не совпадут. Престиж такого способа также на высоте, но универсальность и цена не самые оптимальные. Пока не так сильно распространена поддержка смартфонов в сторонних системах. А если учесть высокую стоимость виртуальной карты и, конечно, стоимость самого смартфона с операционной системой и Bluetooth последних поколений, то станет понятно, что пока этот способ остается в узком секторе потребителей УРВ, хотя и набирает популярность в последнее время.
Выбор биометрических данных в качестве идентификатора — решение, наиболее защищенное не только от клонирования, но и манипуляций и саботажа. Но нужно учитывать, что не все люди имеют четкие биометрические данные, которые гарантировали бы уверенную идентификацию. Известно, что у нескольких процентов людей, например, очень слабые капиллярные линии на пальцах, особенно у детей, что делает невозможным использовать их в дактилоскопических считывателях. С другой стороны, важно, чтобы система не пропустила незарегистрированного пользователя, приняв за одного из введенных сотрудников. Поэтому загрубить параметры -- тоже не выход. В таких случаях поможет только интегрированность системы с другими способами биометрической идентификации: 3D-моделью лица, а также RFID-картами в самых безнадежных случаях. Быть свободным в выборе разных способов идентификации пользователей — это, согласитесь, удобно. Только, пожалуй, несовместимость биометрических идентификаторов с другими системами, кроме СКУД, конечно, можно считать негативным фактором. Биометрия пока не нашла серьезного распространения в других приложениях, но это неудобство будет устранено уже в ближайшем будущем. Относительно высокая стоимость оборудования легко компенсируется отсутствием затрат на карты, которые приходится выдавать новым сотрудникам или менять из-за утери.
Способов идентификации для УРВ много, и нужно при подборе четко понимать, какие задачи следует решать, чтобы выбрать оптимальный. И также важно помнить, что даже суперзащищенная технология не дает абсолютной защиты без административных мероприятий или из-за неверного использования. Например, не стоит выбирать формат 26-bit для идентификаторов. Не все знают, что это неконтролируемый формат и, зная номер карты, можно заказать у производителя дубликат с точно таким же номером. И для этого не нужно взламывать защиту. Лучше применять контролируемые и уникальные форматы H10304, Corporate или Elite. В некоторых ПО с помощью встроенного конструктора можно даже создать свой собственный уникальный формат идентификатора.
Не менее важным аспектом при построении УРВ является выбор программного обеспечения. Современные системы обладают базовым функциями, позволяющими решать простые стандартные задачи. Но, предположим, у заказчика не маленький офис, а сеть филиалов и нужно ограничить права администратору только рамками его филиала, а операторам разрешить только необходимые им для работы операции и открыть им только необходимые закладки интерфейса ПО. Некоторые ПО даже позволяют фиксировать не только события, но и сохранять логи действий оператора, что значительно облегчает расследование инцидентов.
Все вышесказанное больше относится к безопасности системы. Поговорим про удобство. HR-службе важно иметь возможность настроить УРВ так, чтобы учесть все особенности и нюансы рабочего процесса предприятия. С небольшим офисом все просто — достаточно базовых функций УРВ, которые обычно уже входят в функционал современных СКУД. Но если предприятие крупное, со сложной схемой рабочего процесса, то понадобится решение помощнее, с расширенным функционалом УРВ. Такое ПО должно давать возможность настраивать режим работы группам сотрудников, а иногда даже каждому сотруднику индивидуально, учитывать многосменность, переработки (овертаймы), нефиксированное время начала смены, зависимость начала смены от для недели, гибкие обеденные перерывы и виды работ. Но в первую очередь система должна давать возможность разделить рабочий график на физический (доступ в СКУД) и логический (для учета отработанного времени). Время фактического прихода на работу и время начала рабочего дня сотрудника в УРВ должно учитываться раздельно.
Еще один важный момент — снижение трудоемкости при обработке отчетов. На крупных предприятиях без автоматизации процессов не обойтись. Система УРВ должна иметь необходимые инструменты, позволяющие синхронизировать ее данные и данные корпоративных ERP-, HR-, бухгалтерских систем (1С, SAP и др.). В зависимости от структуры информационной среды предприятия можно добиться значительной оптимизации процессов и экономии ресурсов с помощью таких инструментов ПО, как автоматический импорт/экспорт, в том числе из активной директории, интерфейс Web API и других, которые позволят добиться интеграции настолько глубокой, насколько это оптимально для бизнес-процессов.
И в заключение нельзя не остановиться на перспективах развития системы. Важно, чтобы в системе УРВ были заложены возможности расширения функционала и маcштабируемость. Физическое расширение структуры системы легче осуществить в будущем, если оборудование было заложено не просто современное, но с некоторым запасом, особенно это касается коммуникаций. Современные УРВ строятся в основном на IP, что значительно облегчает модернизацию системы в будущем. ПО также должно иметь возможность наращивать не только функционал, но и расширять список поддерживаемого оборудования. Тогда без глобальных вложений можно постоянно расширять систему вместе с ростом предприятия, поддерживая ее адекватность новым задачам.
Юрий Литвиненко, руководитель Департамента Дистрибуции компании TerraLink
Опубликовано в журнале «Системы безопасности» №5, 2017
Заполните анкету
и получите Партнерские цены.
Заполнение упрощенной формы регистрации позволяет делать покупки в интернет-магазине. Доступны только розничные цены. Регистрация происходит автоматически
Расширенная форма регистрации открывает доступ к прайс-листу, формам запросов и другим закрытым разделам сайта. Позволяет делать покупки в интернет-магазине по ПАРТНЕРСКИМ ценам в соответствии со статусом партнера.