13:46
Контроль доступа
Когда учетные данные представляются читателю, он отправляет информацию об учетных данных, обычно число, на панель управления, высоконадежный процессор. Панель управления сравнивает номер удостоверения со списком управления доступом, предоставляет или отклоняет представленный запрос и отправляет журнал транзакций в базу данных . Когда доступ запрещен на основании списка контроля доступа , дверь остается заблокированной. Если между учетными данными и списком контроля доступа есть совпадение, на панели управления срабатывает реле, которое, в свою очередь, открывает дверь. Панель управления также игнорирует сигнал открытия двери, чтобы предотвратить тревогу. Часто считыватель обеспечивает обратную связь, такую ​​как мигающий красный светодиод для запрещенного доступа и мигающий зеленый светодиод для предоставленного доступа.
Вышеприведенное описание иллюстрирует однофакторную транзакцию. Учетные данные могут быть переданы, тем самым подрывая список контроля доступа. Например, Алиса имеет права доступа к серверной комнате , а Боб - нет. Алиса либо дает Бобу свои учетные данные, либо Боб принимает их; теперь у него есть доступ к серверной комнате. Чтобы предотвратить это, можно использовать двухфакторную аутентификацию . В двухфакторной транзакции представленные учетные данные и второй фактор необходимы для предоставления доступа; Другим фактором может быть PIN-код, второе удостоверение личности, вмешательство оператора или биометрический ввод .
Существует три типа (факторы) аутентификации информации: 
что-то, что пользователь знает, например, пароль, пароль или PIN-код
что-то, что есть у пользователя, например, смарт-карта или брелок
что-то пользователь, такой как отпечаток пальца, проверенный биометрическим измерением
Пароли являются распространенным средством проверки личности пользователя перед предоставлением доступа к информационным системам. Кроме того, теперь распознается четвертый фактор аутентификации: кто-то из ваших знакомых, при котором другой человек, который знает вас, может предоставить человеческий элемент аутентификации в ситуациях, когда системы были настроены для таких сценариев. Например, пользователь может иметь свой пароль, но забыл свою смарт-карту. В таком сценарии, если пользователь известен назначенным когортам, когорты могут предоставить свою смарт-карту и пароль в сочетании с существующим фактором рассматриваемого пользователя и, таким образом, предоставить два фактора для пользователя с отсутствующими учетными данными, давая три фактора в целом, чтобы разрешить доступ.

Полномочия - это физический / материальный объект, часть знаний или аспект физического существа человека, который обеспечивает индивидуальный доступ к конкретному физическому средству или компьютерной информационной системе. Как правило, учетные данные могут быть чем-то, что человек знает (например, число или PIN-код), чем-то, что у него есть (например, значок доступа ), чем-то, чем он является (например, биометрический элемент), или некоторой комбинацией этих элементов. Это называется многофакторной аутентификацией . Типичные учетные данные - это карта доступа или брелок, и более новое программное обеспечение также может превращать смартфоны пользователей в устройства доступа. [
Существует много карточных технологий, включая магнитную полосу, штрих-код, Wiegand , близость 125 кГц, 26-разрядное считывание карт, контактные смарт-карты и бесконтактные смарт-карты . Также доступны брелки, которые более компактны, чем удостоверения личности, и прикреплены к брелоку. Биометрические технологии включают в себя отпечатки пальцев, распознавание лиц, распознавание радужки, сканирование сетчатки глаза, геометрию голоса и руки. Встроенные биометрические технологии, имеющиеся на новых смартфонах, также могут использоваться в качестве учетных данных в сочетании с программным обеспечением доступа, работающим на мобильных устройствах. В дополнение к более старым более традиционным технологиям доступа к картам, новые технологии, такие как ближняя связь (NFC) и Bluetooth с низким энергопотреблениемможет также передавать учетные данные пользователя читателям для доступа к системе или зданию.

Компоненты системы контроля доступа включают в себя:
Панель контроля доступа (также известная как контроллер )
Вход с контролем доступа, такой как дверь , турникет , парковочные ворота, лифт или другой физический барьер
Считыватель установлен возле входа. (В случаях, когда выход также контролируется, второй читатель используется на противоположной стороне входа.)
Блокирующее оборудование, такое как электрические дверные защелки и электромагнитные замки
Магнитный дверной выключатель для контроля положения двери
Устройства запроса на выход (REX) для разрешения выхода. Когда нажата кнопка REX или детектор движения обнаруживает движение у двери, сигнал тревоги двери временно игнорируется при открытии двери. Выход из двери без электрической разблокировки двери называется свободным механическим выходом. Это важная функция безопасности. В случаях, когда замок должен быть электрически разблокирован на выходе, устройство запроса на выход также открывает дверь

Топология контроля доступа 
Типичная дверная проводка контроля доступа
Контроль доступа к электропроводке двери при использовании интеллектуальных считывателей
Решения по управлению доступом принимаются путем сравнения учетных данных со списком контроля доступа. Этот поиск может быть выполнен хостом или сервером, панелью управления доступом или считывателем. Развитие систем контроля доступа наблюдало устойчивый толчок поиска от центрального хоста к краю системы или считывателю. Около 2009 года преобладающей топологией является концентратор, который выступает в качестве панели управления в качестве концентратора, а читатели - в качестве спиц. Функции поиска и управления находятся на панели управления. Спицы общаются через последовательное соединение; обычно RS-485. Некоторые производители подталкивают принятие решений к краю, помещая контроллер в дверь. Контроллеры имеют IP- адреса и подключаются к хосту и базе данных с использованием стандартных сетей

Считыватели контроля доступа могут быть классифицированы по функциям, которые они могут выполнять: 
Основные (не интеллектуальные) считыватели: просто прочитайте номер карты или PIN-код и отправьте его на панель управления. В случае биометрической идентификации такие считыватели выводят идентификационный номер пользователя. Как правило, протокол Wiegand используется для передачи данных на панель управления, но другие опции, такие как RS-232, RS-485 и Clock / Data, не являются редкостью. Это самый популярный тип считывателей контроля доступа. Примерами таких считывателей являются RF Tiny от RFLOGICS, ProxPoint от HID и P300 от Farpointe Data.
Полуинтеллектуальные считыватели: имеют все входы и выходы, необходимые для управления дверной фурнитурой (замок, дверной контакт, кнопка выхода), но не принимают никаких решений о доступе. Когда пользователь представляет карточку или вводит PIN-код, считыватель отправляет информацию главному контроллеру и ожидает его ответа. Если подключение к главному контроллеру прерывается, такие считыватели перестают работать или работают в ухудшенном режиме. Обычно полуинтеллектуальные считыватели подключаются к панели управления через шину RS-485 . Примерами таких считывателей являются InfoProx Lite IPL200 от CEM Systems и AP-510 от Apollo.
Интеллектуальные считыватели: имеют все входы и выходы, необходимые для управления дверной фурнитурой; у них также есть память и вычислительная мощность, необходимые для самостоятельного принятия решений о доступе. Как и полуинтеллектуальные считыватели, они подключены к панели управления через шину RS-485. Панель управления отправляет обновления конфигурации и извлекает события из считывателей. Примерами таких считывателей могут быть InfoProx IPO200 от CEM Systems и AP-500 от Apollo. Существует также новое поколение интеллектуальных читателей, называемых « IP-читателями ». Системы с IP-ридерами обычно не имеют традиционных панелей управления, и ридеры общаются напрямую с ПК, который выступает в роли хоста.

Топологии системы контроля доступа
Система контроля доступа с использованием последовательных контроллеров
1. Серийные контроллеры. Контроллеры подключаются к главному ПК через последовательную линию связи RS-485 (или через токовую петлю 20 мА в некоторых старых системах). Необходимо установить внешние преобразователи RS-232/485 или внутренние карты RS-485, поскольку стандартные ПК не имеют портов связи RS-485. 
Преимущества: 
Стандарт RS-485 допускает длинные кабельные трассы, до 4000 футов (1200 м)
Относительно короткое время отклика. Максимальное количество устройств на линии RS-485 ограничено 32, что означает, что хост может часто запрашивать обновления состояния с каждого устройства и отображать события почти в реальном времени.
Высокая надежность и безопасность, поскольку линия связи не используется совместно с другими системами.
Недостатки
RS-485 не допускает проводку звездного типа, если не используются сплиттеры
RS-485 плохо подходит для передачи больших объемов данных (например, конфигурации и пользователей). Максимально возможная пропускная способность составляет 115,2 кбит / с, но в большинстве систем она снижена до 56,2 кбит / с или менее для повышения надежности.
RS-485 не позволяет хост-компьютеру взаимодействовать с несколькими контроллерами, подключенными к одному и тому же порту одновременно. Поэтому в больших системах передача конфигурации и пользователей на контроллеры может занимать очень много времени, мешая нормальной работе.
Контроллеры не могут инициировать связь в случае тревоги. Хост-компьютер действует как ведущий на линии связи RS-485, и контроллеры должны ждать, пока они не будут опрошены.
Для создания резервной конфигурации хост-компьютера требуются специальные последовательные коммутаторы.
Отдельные линии RS-485 должны быть установлены вместо использования уже существующей сетевой инфраструктуры.
Кабель, соответствующий стандартам RS-485, значительно дороже, чем обычный сетевой кабель категории 5 UTP.
Работа системы сильно зависит от главного компьютера. В случае сбоя главного компьютера события от контроллеров не извлекаются, и функции, которые требуют взаимодействия между контроллерами (т. Е. Предотвращают передачу), перестают работать.

2. Последовательный основной и субконтроллер. Все дверное оборудование подключено к субконтроллерам (так называемые дверные контроллеры или дверные интерфейсы). Субконтроллеры обычно не принимают решения о доступе, а вместо этого пересылают все запросы основным контроллерам. Главные контроллеры обычно поддерживают от 16 до 32 субконтроллеров.
Преимущества:
Рабочая нагрузка на хост-ПК значительно снижается, так как для этого требуется только связь с несколькими основными контроллерами.
Общая стоимость системы ниже, так как субконтроллеры, как правило, простые и недорогие устройства.
Все остальные преимущества, перечисленные в первом абзаце, применяются.
Недостатки: 
Работа системы сильно зависит от основных контроллеров. В случае сбоя одного из главных контроллеров события от его субконтроллеров не извлекаются, и функции, которые требуют взаимодействия между субконтроллерами (то есть анти-обратный переход), перестают работать.
Некоторые модели субконтроллеров (как правило, более дешевые) не имеют памяти или вычислительной мощности для самостоятельного принятия решений о доступе. Если основной контроллер выходит из строя, субконтроллеры переходят в ухудшенный режим, в котором двери либо полностью заблокированы, либо разблокированы, а события не записываются. Таких субконтроллеров следует избегать или использовать только в областях, которые не требуют высокой безопасности.
Основные контроллеры, как правило, дороги, поэтому такая топология не очень хорошо подходит для систем с несколькими удаленными местоположениями, которые имеют всего несколько дверей.
Все остальные недостатки, связанные с RS-485, перечислены в первом параграфе.

3. Последовательные основные контроллеры и интеллектуальные считыватели. Вся дверная фурнитура подключается напрямую к интеллектуальным или полуинтеллектуальным считывателям. Считыватели обычно не принимают решения о доступе и пересылают все запросы главному контроллеру. Только если соединение с главным контроллером недоступно, читатели будут использовать свою внутреннюю базу данных для принятия решений о доступе и записи событий. Полуинтеллектуальные считыватели, которые не имеют базы данных и не могут функционировать без основного контроллера, должны использоваться только в областях, которые не требуют высокой безопасности. Основные контроллеры обычно поддерживают от 16 до 64 считывателей. Все преимущества и недостатки те же, что перечислены во втором абзаце.
4. Последовательные контроллеры с терминальными серверами. Несмотря на быстрое развитие и все более широкое использование компьютерных сетей, производители систем контроля доступа оставались консервативными и не спешили внедрять продукты с поддержкой сетей. При выборе решений с сетевым подключением многие выбирали вариант, требующий меньших усилий: добавление терминального сервера , устройства, которое преобразует последовательные данные для передачи по локальной или глобальной сети.
Преимущества: 
Позволяет использовать существующую сетевую инфраструктуру для подключения отдельных сегментов системы.
Обеспечивает удобное решение в тех случаях, когда установка линии RS-485 будет затруднена или невозможна.
Недостатки: 
Увеличивает сложность системы.
Создает дополнительную работу для установщиков: обычно терминальные серверы должны настраиваться независимо, а не через интерфейс программного обеспечения контроля доступа.
Последовательный канал связи между контроллером и сервером терминалов действует как узкое место: даже если данные между хост-ПК и сервером терминалов движутся со скоростью сети 10/100/1000 Мбит / с, скорость передачи данных должна быть замедлена до 112,5. кбит / с или меньше. Существуют также дополнительные задержки в процессе преобразования между последовательными и сетевыми данными.
Все преимущества и недостатки, связанные с RS-485, также применимы.

5. Сетевые главные контроллеры. Топология почти такая же, как описано во втором и третьем абзацах. Применяются те же преимущества и недостатки, но встроенный сетевой интерфейс предлагает несколько ценных улучшений. Передача конфигурационных и пользовательских данных на главные контроллеры происходит быстрее и может выполняться параллельно. Это делает систему более отзывчивой и не прерывает нормальную работу. Никакого специального оборудования не требуется для настройки избыточного хост-компьютера: в случае сбоя основного хост-компьютера дополнительный хост-компьютер может начать опрос сетевых контроллеров. Недостатки, представленные терминальными серверами (перечислены в четвертом абзаце), также устранены.
6. IP контроллеры . Контроллеры подключены к главному ПК через Ethernet LAN или WAN.
Преимущества: 
Существующая сетевая инфраструктура полностью используется, и нет необходимости устанавливать новые линии связи.
Нет ограничений по количеству контроллеров (как 32 на линию в случае RS-485).
Специальных знаний по установке, подключению, заземлению и устранению неисправностей RS-485 не требуется.
Связь с контроллерами может осуществляться на полной скорости сети, что важно при передаче большого количества данных (базы данных с тысячами пользователей, возможно, включая биометрические записи).
В случае тревоги контроллеры могут инициировать соединение с хост-ПК. Эта возможность важна в больших системах, потому что она служит для уменьшения сетевого трафика, вызванного ненужным опросом.
Упрощает установку систем, состоящих из нескольких сайтов, которые разнесены на большие расстояния. Обычной интернет-связи достаточно для установления соединения с удаленными местами.
Доступен широкий выбор стандартного сетевого оборудования для обеспечения связи в различных ситуациях (оптоволокно, беспроводная связь, VPN, двухканальная связь, PoE).
Недостатки: 
Система становится подверженной сетевым проблемам, таким как задержки в случае интенсивного трафика и сбои сетевого оборудования.
Контроллеры доступа и рабочие станции могут стать доступными для хакеров, если сеть организации недостаточно защищена. Эта угроза может быть устранена путем физического отделения сети контроля доступа от сети организации. Большинство IP-контроллеров используют либо платформу Linux, либо проприетарные операционные системы, что затрудняет их взлом. Стандартное шифрование данных также используется.
Максимальное расстояние от концентратора или коммутатора до контроллера (при использовании медного кабеля) составляет 100 метров (330 футов).
Работа системы зависит от главного компьютера. В случае сбоя главного компьютера события от контроллеров не извлекаются, и функции, которые требуют взаимодействия между контроллерами (то есть анти-обратная передача), перестают работать. Некоторые контроллеры, однако, имеют опцию одноранговой связи, чтобы уменьшить зависимость от хост-ПК.

7. IP-ридеры . Считыватели подключены к главному ПК через Ethernet LAN или WAN.
Преимущества: 
Большинство IP-ридеров поддерживают PoE. Эта функция позволяет очень легко обеспечить питание от батареи всей системы, включая замки и различные типы детекторов (если они используются).
Считыватели IP исключают необходимость в корпусах контроллеров.
При использовании IP-ридеров не теряется емкость (например, у 4-дверного контроллера будет 25% неиспользуемой емкости, если он контролирует только 3 двери).
Системы считывания IP-адресов легко масштабируются: нет необходимости устанавливать новые главные или вспомогательные контроллеры.
Отказ одного IP-ридера не влияет на другие ридеры в системе.
Недостатки: 
Для использования в областях с высокой степенью безопасности для IP-считывателей требуются специальные модули ввода / вывода, чтобы исключить возможность проникновения путем доступа к проводке кнопок блокировки и / или выхода. Не все производители IP-ридеров имеют такие модули в наличии.
Будучи более сложными, чем обычные читатели, IP-считыватели также более дороги и чувствительны, поэтому их не следует устанавливать на открытом воздухе в районах с суровыми погодными условиями или высокой вероятностью вандализма, если только они специально не предназначены для наружной установки. Несколько производителей делают такие модели.
Преимущества и недостатки контроллеров IP применимы и к считывателям IP.

В области компьютерной безопасности общий контроль доступа включает аутентификацию , авторизацию и аудит . Более узкое определение контроля доступа будет охватывать только утверждение доступа, в результате чего система принимает решение о предоставлении или отклонении запроса на доступ от уже аутентифицированного субъекта на основании того, к какому субъекту разрешен доступ. Аутентификация и контроль доступа часто объединяются в одну операцию, поэтому доступ утверждается на основании успешной аутентификации или на основе маркера анонимного доступа. Методы аутентификации и токены включают пароли , биометрический анализ, физические ключиэлектронные ключи и устройства, скрытые пути, социальные барьеры, мониторинг людьми и автоматизированными системами
Доступ к учетным записям может быть обеспечен с помощью многих типов контроля. 
Управление доступом на основе атрибутов (ABAC)
Парадигма контроля доступа, в соответствии с которой права доступа предоставляются пользователям посредством использования политик, которые оценивают атрибуты (атрибуты пользователя, атрибуты ресурса и условия среды) .
Дискреционное управление доступом (DAC)
В DAC владелец данных определяет, кто может получить доступ к определенным ресурсам. Например, системный администратор может создать иерархию файлов для доступа на основе определенных разрешений.
Контроль доступа на основе истории (HBAC)
Доступ предоставляется или отклоняется на основе оценки в реальном времени истории действий запрашивающей стороны, например, поведения, времени между запросами, содержания запросов. Например, доступ к определенной услуге или источнику данных может быть предоставлен или отклонен по личному поведению, например, интервал запроса превышает один запрос в секунду.
Контроль доступа на основе истории присутствия (HPBAC)
Контроль доступа к ресурсам определяется в терминах политик присутствия, которые должны удовлетворяться записями присутствия, сохраняемыми запрашивающей стороной. Политики обычно пишутся с точки зрения частоты, распространения и регулярности. Примером политики может быть «Заявитель совершил k отдельных посещений, все в течение прошлой недели, и никакие два последовательных посещения не разделены более чем на T часов». 
Управление доступом на основе идентификационных данных (IBAC)
Используя эту сеть, администраторы могут более эффективно управлять действиями и доступом на основе индивидуальных потребностей. 
Обязательный контроль доступа (MAC)
В MAC пользователи не имеют большой свободы в определении того, кто имеет доступ к их файлам. Например, разрешение безопасности пользователей и классификация данных (как конфиденциальных, секретных или сверхсекретных) используются в качестве меток безопасности для определения уровня доверия.
Управление доступом на основе организации (OrBAC)
Модель OrBAC позволяет разработчику политики определять политику безопасности независимо от реализации 
Управление доступом на основе ролей (RBAC)
RBAC обеспечивает доступ на основе названия должности. RBAC в значительной степени исключает свободу действий при предоставлении доступа к объектам. Например, специалист по кадрам не должен иметь разрешений для создания сетевых учетных записей; эта роль должна быть зарезервирована для сетевых администраторов.
Метод RAC на основе правил управления доступом (RAC) в значительной степени основан на контексте. Примером этого может быть только предоставление студентам возможности пользоваться лабораториями в течение определенного времени дня.
Контроль доступа на основе ответственности Доступ к
информации осуществляется на основе обязанностей, возложенных на субъекта или деловую роль

В объектно-ориентированных языках программирования , управления доступом является частью аппарата достижения инкапсуляцию , один из четырех основ объектно-ориентированного программирования. Цель состоит в том, чтобы установить четкое разделение между интерфейсом (видимая и доступная части класса) и реализацией (внутреннее представление и вспомогательные методы).
Категорія: Технологии Кибербезопасности | Переглядів: 234 | Додав: Kontent_MENEGER | Теги: контроль доступа | Рейтинг: 0.0/0
Всього коментарів: 0
avatar